XXX-ISMS-手冊(cè).doc

信息安全管理體系手冊(cè)依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)要求XX公司2011年10月25日文檔信息文檔說(shuō)明本文檔是ISO/IEC 27001:2005信息安全管理體系的信息安全管理體系手冊(cè)。本文檔說(shuō)明了XX公司信息安全管理體系的結(jié)構(gòu)與內(nèi)容。版權(quán)說(shuō)明本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬XX公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)XX公司的書(shū)面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。 文件修改記錄編號(hào)版本修改內(nèi)容修改日期批準(zhǔn)人11.0新建文檔2011-10-26查正朋目 錄文檔信息2文檔說(shuō)明2版權(quán)說(shuō)明2文件修改記錄2目 錄30.1批準(zhǔn)發(fā)布令40.2信息安全管理者代表任命書(shū)50.3公司簡(jiǎn)介60.4信息安全方針80.5信息安全目標(biāo)90.6信息安全管理體系手冊(cè)的管理101總則111.1目的111.2適用范圍112引用標(biāo)準(zhǔn)113定義114信息安全管理體系124.1總要求124.2建立并管理ISMS144.3文件要求165管理職責(zé)195.1管理層的承諾195.2資源管理206ISMS內(nèi)部審計(jì)226.1總則227ISMS管理評(píng)審237.1總則237.2評(píng)審輸入237.3評(píng)審輸出248ISMS改進(jìn)248.1持續(xù)改進(jìn)248.2糾正措施258.3預(yù)防措施26| Confidential290.1 批準(zhǔn)發(fā)布令本公司依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)編制的信息安全管理體系手冊(cè)規(guī)定了信息安全管理體系的范圍和本公司對(duì)信息安全管理體系的要求。本手冊(cè)作為信息安全管理的指導(dǎo)性文件，主要作用是：1. 強(qiáng)化員工的信息安全意識(shí)，規(guī)范公司的信息安全行為；2. 對(duì)公司的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；3. 當(dāng)信息系統(tǒng)受到侵害時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；4. 使合作伙伴和客戶對(duì)公司充滿信心。在廣泛征求意見(jiàn)的基礎(chǔ)上經(jīng)過(guò)多次修訂，現(xiàn)予以發(fā)布，并于2007年2月1日正式實(shí)施。望公司各部門(mén)及各級(jí)人員認(rèn)真學(xué)習(xí)本手冊(cè)內(nèi)容，嚴(yán)格遵守并執(zhí)行本手冊(cè)的各項(xiàng)規(guī)定和要求。信息安全管理體系手冊(cè)以質(zhì)量手冊(cè)為基準(zhǔn)，在編制過(guò)程中堅(jiān)持符合性、適宜性和有效性的統(tǒng)一。同時(shí)，本手冊(cè)將根據(jù)內(nèi)、外部環(huán)境的變化進(jìn)行評(píng)審、修改和完善?？偨?jīng)理：2011年10月25日0.2 信息安全管理者代表任命書(shū)為了貫徹實(shí)施ISO/IEC 27001:2005信息安全管理體系-要求國(guó)際標(biāo)準(zhǔn)，確保公司信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保護(hù)和改進(jìn)，現(xiàn)經(jīng)公司總經(jīng)理批準(zhǔn)任命 為信息安全管理者代表，行使以下的職責(zé)并擁有以下權(quán)限：1. 代表總經(jīng)理負(fù)責(zé)按標(biāo)準(zhǔn)要求建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保護(hù)并持續(xù)改進(jìn)公司的信息安全管理體系，實(shí)現(xiàn)公司的信息安全方針和目標(biāo)；2. 負(fù)責(zé)組織公司信息安全管理體系手冊(cè)的編寫(xiě)、修計(jì)和審核工作；3. 協(xié)助總經(jīng)理開(kāi)展管理評(píng)審，并向總經(jīng)理報(bào)告信息安全管理體系業(yè)績(jī)和改進(jìn)需求；4. 確保公司提高信息安全保密意識(shí)；5. 負(fù)責(zé)公司信息安全管理體系有關(guān)事宜與外界聯(lián)絡(luò)的工作?？偨?jīng)理： 2011年10月25日0.3 公司簡(jiǎn)介0.4 信息安全方針保障業(yè)務(wù)正常和安全運(yùn)行，保證業(yè)務(wù)的連續(xù)性；保護(hù)客戶隱私及客戶資料的機(jī)密性，維護(hù)客戶的利益；保護(hù)公司的商業(yè)秘密和技術(shù)機(jī)密，維護(hù)公司的利益；建立公司的安全品牌，確保客戶的信心。信息安全方針經(jīng)公司最高領(lǐng)導(dǎo)層制定頒布，公司全體員工應(yīng)能理解并執(zhí)行信息安全方針，并就信息安全方針進(jìn)行交流。0.5 信息安全目標(biāo)建立國(guó)際一流、國(guó)內(nèi)領(lǐng)先的信息安全保障體系。建立和完善信息安全組織體系、管理體系和技術(shù)體系，達(dá)到國(guó)際一流、國(guó)內(nèi)領(lǐng)先的信息安全保障水平，同步或領(lǐng)先公司的信息化水平，保障和促進(jìn)公司業(yè)務(wù)發(fā)展和業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)。0.6 信息安全管理體系手冊(cè)的管理公司的信息安全管理體系手冊(cè)分為受控原本、受控副本及非受控副本。受控原本由XX公司存檔，作為標(biāo)準(zhǔn)文件；受控副本是受控原版的復(fù)印件，發(fā)至本公司內(nèi)使用者或認(rèn)證中心手中加蓋紅色“受控”印章并編制發(fā)放號(hào)碼，作為有效文件使用。向本公司以外的相關(guān)人員提供本手冊(cè)時(shí)，須經(jīng)管理者代表批準(zhǔn)，且必須加蓋藍(lán)色“非受控”印章。該文件作為非受控副本，不受文件修改的控制。信息安全管理體系手冊(cè)受控副本根據(jù)文件持有者名單由XX公司發(fā)至相關(guān)人員，并按文件控制程序予以培訓(xùn)。信息安全管理體系手冊(cè)在以下情況應(yīng)進(jìn)行修改：l 本公司組織結(jié)構(gòu)有較大變動(dòng)時(shí)l 外部環(huán)境有重大變化時(shí)l 國(guó)家法律、法規(guī)有重大變化時(shí)l 本公司信息安全方針有重大變化時(shí)信息安全管理體系手冊(cè)的修改由管理者代表負(fù)責(zé)組織有關(guān)人員實(shí)施，經(jīng)管理者代表審核后，報(bào)總經(jīng)理批準(zhǔn)，同時(shí)更改信息安全管理體系手冊(cè)修改狀態(tài)或版本號(hào)。1 總則1.1 目的1.1.1 通過(guò)編制和發(fā)布本信息安全管理體系手冊(cè)，向客戶證實(shí)公司具有穩(wěn)定的提供滿足客戶需求和使用法律法規(guī)要求的交付平臺(tái)的設(shè)計(jì)、開(kāi)發(fā)、服務(wù)的能力。1.1.2 通過(guò)信息安全管理體系的有效運(yùn)行和不斷的持續(xù)改進(jìn)，增強(qiáng)客戶滿意度。1.2 適用范圍1.2.1 本手冊(cè)適用于涉及交付平臺(tái)設(shè)計(jì)、開(kāi)發(fā)和維護(hù)；與上述相關(guān)的基礎(chǔ)設(shè)施和人員。與最新版本的適用性聲明相一致。1.2.2 本手冊(cè)可作為內(nèi)審和外審的依據(jù)。2 引用標(biāo)準(zhǔn)ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求ISO/IEC 17799:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施指南ISO/IEC 13335:2004 IT安全管理3 定義資產(chǎn)：任何對(duì)組織有價(jià)值的事物?？捎眯裕盒枰獣r(shí)，授權(quán)實(shí)體可以訪問(wèn)和使用的特性。保密性：信息不可用或不被泄露給未授權(quán)的個(gè)人、實(shí)體和過(guò)程的特性。信息安全：保護(hù)信息的保密性、完整性、可用性及其他屬性，如：真實(shí)性、可核查性、可靠性、防抵賴性。信息安全事件：信息安全事件是指識(shí)別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件表明可能違反信息安全策略或防護(hù)措施失效；或以前未知的與安全相關(guān)的情況。信息安全事故：信息安全事故是指一個(gè)或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對(duì)業(yè)務(wù)運(yùn)營(yíng)造成嚴(yán)重影響或威脅信息安全。信息安全管理體系：信息安全管理體系是整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)方法以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。完整性：保護(hù)資產(chǎn)的正確和完整的特性。殘余風(fēng)險(xiǎn)：實(shí)施風(fēng)險(xiǎn)處置后仍舊殘留的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)接受：接受風(fēng)險(xiǎn)的決策。風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息以識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。風(fēng)險(xiǎn)評(píng)價(jià)：將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險(xiǎn)的過(guò)程。風(fēng)險(xiǎn)管理：指導(dǎo)和控制一個(gè)組織的風(fēng)險(xiǎn)的協(xié)調(diào)的活動(dòng)。風(fēng)險(xiǎn)處置：選擇和實(shí)施措施以改變風(fēng)險(xiǎn)的過(guò)程。適用性聲明：與組織信息安全管理體系相關(guān)并適用于信息安全管理體系的控制目標(biāo)和控制措施的文件化的陳述。4 信息安全管理體系4.1 總要求公司在建立信息安全管理體系的過(guò)程中，充分遵循ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求，采用PDCA模式建立信息安全管理體系，并加以實(shí)施、保持和改進(jìn)其有效性。本公司建立健全信息安全管理體系的過(guò)程模式如下圖所示。信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)的策劃活動(dòng)包括：l 信息安全管理體系的策劃與準(zhǔn)備。策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估，及信息安全管理體系設(shè)計(jì)。l 信息安全管理體系文件的編制。為實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)提供不可或缺的依據(jù)。l 信息安全管理體系運(yùn)行。信息安全管理體系文件編制完成以后，按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)施。在體系運(yùn)行試運(yùn)行期間（為期3個(gè)月），及時(shí)發(fā)現(xiàn)體系策劃本身存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。l 信息安全管理體系審核與評(píng)審。公司為驗(yàn)證所有安全程序的正確實(shí)施，以及檢查信息系統(tǒng)是否符合安全實(shí)施標(biāo)準(zhǔn)，將進(jìn)行系統(tǒng)的、獨(dú)立的檢查和評(píng)價(jià)。公司把審核與評(píng)審作為一種自我改進(jìn)的機(jī)制，保持信息安全管理體系持續(xù)有效性，并不斷的改進(jìn)與完善。4.2 建立并管理ISMS4.2.1 建立ISMS公司根據(jù)ISO/IEC 27001:2005的要求，按以下步驟建立ISMS：1. 根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)、技術(shù)確定ISMS的范圍涵蓋XX公司等部門(mén)；2. 根據(jù)實(shí)際情況確定ISMS策略；3. 定義適用于公司的風(fēng)險(xiǎn)評(píng)估方法；4. 識(shí)別公司信息系統(tǒng)涉及的資產(chǎn)面臨的各種風(fēng)險(xiǎn)；5. 對(duì)各種風(fēng)險(xiǎn)加以評(píng)估，判斷風(fēng)險(xiǎn)是否可以接受或需要進(jìn)行必要的處置；6. 識(shí)別風(fēng)險(xiǎn)處置的各種措施；7. 選擇風(fēng)險(xiǎn)處置的控制目標(biāo)和控制方式；8. 根據(jù)公司的信息安全方針，處置不可接受的風(fēng)險(xiǎn)。管理層批準(zhǔn)可接受的殘留風(fēng)險(xiǎn)；9. 管理層授權(quán)實(shí)施并運(yùn)作ISMS；10. 準(zhǔn)備適用性聲明。4.2.2 實(shí)施和運(yùn)作ISMS公司在信息安全管理體系文件編制完成以后，分成兩個(gè)階段來(lái)實(shí)施并運(yùn)作ISMS：1. 按照文件的控制要求對(duì)信息安全管理體系文件進(jìn)行審核與批準(zhǔn)，并發(fā)布實(shí)施，進(jìn)入試運(yùn)行期。在試運(yùn)行期間，公司充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系策劃本身存在的問(wèn)題，找出問(wèn)題根源，采取糾正措施，糾正各種不符合，并按照更改控制程序要求體系予以更改，進(jìn)一步完善信息安全管理體系的目的。這一階段的主要工作是：a) 公布風(fēng)險(xiǎn)處置計(jì)劃；b) 實(shí)施風(fēng)險(xiǎn)處置計(jì)劃以達(dá)到確定的控制目標(biāo)；c) 評(píng)估控制措施的有效性；d) 對(duì)全體員工進(jìn)行培訓(xùn)。2. 試運(yùn)行期滿，公司正式實(shí)施ISMS，工作的重點(diǎn)是應(yīng)用PDCA模式，保持信息安全管理體系的持續(xù)有效。這一階段的主要工作是：a) 管理ISMS的運(yùn)作；b) 管理ISMS資源；c) 實(shí)施程序及其他控制以及時(shí)檢測(cè)、響應(yīng)安全事故。4.2.3 監(jiān)視和評(píng)審ISMS公司為驗(yàn)證所有安全程序和正確實(shí)施，并檢查信息系統(tǒng)是否符合安全實(shí)施標(biāo)準(zhǔn)，將1. 執(zhí)行監(jiān)視程序和其它控制； a) 及時(shí)檢測(cè)過(guò)程、結(jié)果中的錯(cuò)誤； b) 及時(shí)識(shí)別失敗的或成功的安全違規(guī)和事故； c) 使管理層能確定是否將安全活動(dòng)授權(quán)給人，或由信息技術(shù)實(shí)施的的安全活動(dòng)是否按期望的實(shí)施；d) 決定反映業(yè)務(wù)優(yōu)先級(jí)的安全違規(guī)的解決措施。 2. 定期評(píng)審ISMS的有效性，包括達(dá)到安全方針和目標(biāo)和評(píng)審安全控制考慮安全審核事故以及相關(guān)方建議和反饋的結(jié)果； 3. 評(píng)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)考慮以下方面的變化：a) 公司 b) 技術(shù) c) 業(yè)務(wù)目標(biāo)和過(guò)程 d) 已識(shí)別的威脅 e) 外部事件如法律法規(guī)環(huán)境的變化社會(huì)風(fēng)氣的變化4. 按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核； 5. 定期進(jìn)行ISMS管理評(píng)審，至少一年一次，確保仍然充分識(shí)別了ISMS過(guò)程的改進(jìn)； 6. 記錄可能影響ISMS有效性或業(yè)績(jī)的措施和事件。 4.2.4 保持和改進(jìn)ISMS建立、實(shí)施和保持ISMS的目的是不斷改進(jìn)公司的信息安全管理績(jī)效，降低安全風(fēng)險(xiǎn)，保護(hù)組織關(guān)鍵的信息資產(chǎn)，保持公司商務(wù)可持續(xù)性發(fā)展，因此，公司將：1. 實(shí)施ISMS已識(shí)別的改進(jìn)； 2. 按照要求采取適當(dāng)?shù)募m正和預(yù)防措施，總結(jié)從其它公司或公司自身的安全經(jīng)驗(yàn)得到的教訓(xùn)；3. 溝通結(jié)果和措施并與所有相關(guān)方達(dá)成一致； 4. 確保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。 4.3 文件要求4.3.1 本公司的信息安全管理體系文件包括以下內(nèi)容：l ISMS策略和控制目標(biāo)的陳述；l ISMS范圍；l ISMS的支持程序和控制；l 風(fēng)險(xiǎn)評(píng)估方法的描述；l 風(fēng)險(xiǎn)評(píng)估報(bào)告；l 風(fēng)險(xiǎn)處置計(jì)劃；l 其他的程序文件；l 本標(biāo)準(zhǔn)所要求的記錄；l 適用性聲明。手冊(cè)程序文件管理文件、資料、標(biāo)準(zhǔn)等表單、模板 4.3.2 文件控制4.3.2.1 總則為保證信息安全管理體系文件的適用性、系統(tǒng)性和完整性，確保對(duì)信息安全管理體系有效運(yùn)行起重要作用的各個(gè)活動(dòng)場(chǎng)所都能得到相應(yīng)文件的有效版本，防止誤用失效文件，公司建立并保持文件控制程序。文件控制由XX公司負(fù)責(zé)。4.3.2.2 本公司的信息安全管理體系文件包含在4.3.1節(jié)中。4.3.2.3 文件的審批、發(fā)布a) 各類文件按程序文件的職責(zé)權(quán)限進(jìn)行審批，確保文件的充分性、適宜性；b) 公司文件以書(shū)面形式予以發(fā)布,并在公司內(nèi)部網(wǎng)站上公布。4.3.2.4 文件的管理a) 所有文件的發(fā)放均由XX公司統(tǒng)一負(fù)責(zé)，按授權(quán)批準(zhǔn)的發(fā)放范圍登記發(fā)放，保證發(fā)放到有效的使用場(chǎng)所；b) 各類文件的原稿由XX公司負(fù)責(zé)保管，建立歸檔手續(xù)；c) 各部門(mén)指定專人負(fù)責(zé)文件的保管，建立文件清單，保證文件便于檢索；d) 按程序規(guī)定對(duì)文件的編號(hào)，受控狀態(tài)、作廢和保留狀態(tài)進(jìn)行標(biāo)識(shí)，確保使用有效文件；e) 外來(lái)文件由管理者代表閱批，保證使用文件的最新有效版本，并保證分發(fā)到相應(yīng)的使用場(chǎng)所, 外來(lái)文件由XX公司管理；f) 所有文件均應(yīng)做到防潮、防火、防蟲(chóng)蛀、防丟失，禁止亂放、亂畫(huà)、有臟污出現(xiàn)。電子版文件應(yīng)做到版本一致性、存儲(chǔ)安全、訪問(wèn)控制安全。4.3.2.5 文件的評(píng)審、修改每次管理評(píng)審應(yīng)對(duì)文件的有效性進(jìn)行評(píng)審，當(dāng)發(fā)生文件控制程序中規(guī)定的有關(guān)情況時(shí)，文件主管部門(mén)應(yīng)及時(shí)組織對(duì)文件的適宜性進(jìn)行評(píng)審并做好記錄。當(dāng)決定修改時(shí)，按程序規(guī)定實(shí)施修改，并按授權(quán)進(jìn)行審批；4.3.3 記錄控制 4.3.3.1 總則為保持信息管理體系有效運(yùn)行，并為信息安全管理體系改進(jìn)活動(dòng)提供依據(jù)，本公司建立并保持記錄控制程序，對(duì)記錄進(jìn)行管理。4.3.3.2 記錄范圍和編制要求a) 記錄范圍包括：執(zhí)行過(guò)程中的有關(guān)記錄，信息安全管理體系運(yùn)行記錄，以及與ISMS有關(guān)的重大安全事件的記錄等； b) 記錄采用書(shū)面、磁盤(pán)等形式；c) 記錄盡量以表格形式編制，以編號(hào)作為標(biāo)識(shí)；d) 記錄必須真實(shí)完整，數(shù)據(jù)可靠、字跡清晰，簽字齊全。4.3.3.3 記錄的收集、整理、歸檔a) 各部門(mén)編制本部門(mén)的記錄清單，明確保存期限，經(jīng)各部門(mén)經(jīng)理審批后留存，并報(bào)XX公司一份備案，XX公司提供記錄總清單；b) 各部門(mén)指定專人負(fù)責(zé)本部門(mén)記錄的收集、整理，同一類的記錄按項(xiàng)目或序號(hào)裝訂成冊(cè)，編制歸檔目錄，妥善保存，以便存取和檢查。4.3.3.4 記錄的存貯、保管a) 記錄應(yīng)存放在適宜的環(huán)境，做到防潮、防火、防蟲(chóng)蛀、防盜；b) 記錄的保存期限一般不少于一年，其中信息安全管理體系運(yùn)行記錄不少于三年。4.3.3.5 記錄的查閱、借閱a) 記錄借閱須由部門(mén)經(jīng)理或授權(quán)責(zé)任人批準(zhǔn)后并填寫(xiě)記錄借閱記錄表，因工作原因需借閱其他部門(mén)的記錄時(shí)，應(yīng)同時(shí)經(jīng)本部門(mén)經(jīng)理及對(duì)方部門(mén)經(jīng)理批準(zhǔn)；b) 一般不準(zhǔn)許外部人員查閱，特殊情況下，須經(jīng)管理者代表批準(zhǔn)，并做好借閱記錄；c) 借閱人不得在記錄案卷中有涂改、勾劃、拆散、抽換等現(xiàn)象，違反者將追究個(gè)人責(zé)任。歸還時(shí)部門(mén)記錄保管人要認(rèn)真核對(duì)，以保證案卷的齊全、完整。4.3.3.6 記錄的處理對(duì)已超過(guò)保存期限的記錄，需經(jīng)部門(mén)經(jīng)理審批后處理，并做好銷毀記錄。信息安全管理體系運(yùn)行記錄須經(jīng)管理者代表批準(zhǔn)后處理。5 管理職責(zé)5.1 管理層的承諾本公司總經(jīng)理在建立信息安全管理體系，保持和改進(jìn)信息安全管理體系有效性的過(guò)程中，應(yīng)確保開(kāi)展以下活動(dòng)：a) 公司成立信息安全管理小組，由其領(lǐng)導(dǎo)信息安全工作。b) 制訂信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。c) 提供充分的資源以保證信息安全管理體系的制定、實(shí)施、運(yùn)作、維護(hù)和不斷改善。d) 對(duì)公司信息資產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性，維持信息的完整性和可用性，防范對(duì)信息的未經(jīng)授權(quán)訪問(wèn)。對(duì)公司信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)，對(duì)公司不能接受的風(fēng)險(xiǎn)進(jìn)行處置。e) 建立業(yè)務(wù)連續(xù)性管理體系。進(jìn)行業(yè)務(wù)影響分析，編寫(xiě)、實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃。以保證公司主要業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。f) 公司所有員工必須接受信息安全的教育培訓(xùn)，提高信息安全意識(shí)。g) 保護(hù)公司、客戶、相關(guān)政府部門(mén)和合作伙伴的信息安全。h) 建立公司信息安全組織架構(gòu)，明確信息安全責(zé)任，確定報(bào)告可疑的和發(fā)生的信息安全事故的流程，對(duì)違反安全制度的人員進(jìn)行懲罰。i) 建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息的安全性。j) 保護(hù)公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。k) 任何人在未經(jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。l) 公司所有員工都要嚴(yán)格遵守公司的安全方針、程序和制度。m) 控制對(duì)內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)，保護(hù)網(wǎng)絡(luò)化服務(wù)的安全性與可用性n) 對(duì)用戶賬號(hào)、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)。o) 對(duì)重要信息進(jìn)行備份保護(hù)，以保證信息的可用性。p) 定期對(duì)信息安全管理體系進(jìn)行內(nèi)審和管理評(píng)審。5.2 資源管理5.2.1 資源提供1. 本公司通過(guò)信息安全管理體系的全面策劃，為建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS提供必要的資源，包括：a) 人力資源：確保從事信息安全工作的人員都能夠勝任，全體員工都具有安全保密意識(shí)；b) 基礎(chǔ)設(shè)施：提供為保證信息安全要求所必需的基礎(chǔ)設(shè)施，如生產(chǎn)設(shè)備、生產(chǎn)場(chǎng)所、辦公場(chǎng)所、辦公設(shè)備等；c) 工作環(huán)境：確保滿足信息安全的工作環(huán)境和工作秩序。2. 確保信息安全程序支持業(yè)務(wù)要求； 3. 識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任； 4. 通過(guò)正確應(yīng)用所實(shí)施的所有控制的來(lái)保持足夠的安全； 5. 必要時(shí)進(jìn)行評(píng)審對(duì)評(píng)審結(jié)果采取適當(dāng)?shù)膶?duì)應(yīng)措施； 6. 需要時(shí)改進(jìn)ISMS的有效性。 5.2.2 能力、意識(shí)和培訓(xùn)5.2.2.1 人力資源部組織各職能部門(mén)對(duì)與信息安全有關(guān)的、所有崗位的人員所必需的能力。5.2.2.2 滿足需求的措施a) 外聘：在聘用人員時(shí)，招聘符合任職資格的人員；b) 本公司對(duì)不夠條件的人員經(jīng)過(guò)培訓(xùn)，使其達(dá)到任職要求；c) 通過(guò)教育使員工認(rèn)識(shí)到自己崗位的重要性，發(fā)揮主觀能動(dòng)性，為實(shí)現(xiàn)信息安全做出貢獻(xiàn)；d) 評(píng)估所提供培訓(xùn)和所采取措施的有效性。5.2.2.3 培訓(xùn)包括：a) 入職培訓(xùn)b) 再提高培訓(xùn)5.2.2.4 培訓(xùn)計(jì)劃每年XX公司根據(jù)信息安全建設(shè)的需求，結(jié)合公司實(shí)際需要，制定培訓(xùn)計(jì)劃，規(guī)定對(duì)各類人員的基本培訓(xùn)要求和培訓(xùn)內(nèi)容，并對(duì)公司培訓(xùn)計(jì)劃的執(zhí)行情況進(jìn)行監(jiān)督檢查，確保計(jì)劃完成。5.2.2.5 培訓(xùn)記錄人力資源部負(fù)責(zé)建立員工的教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的記錄。6 ISMS內(nèi)部審計(jì)6.1 總則通過(guò)內(nèi)部審核及時(shí)發(fā)現(xiàn)信息安全管理體系運(yùn)行中的問(wèn)題并及時(shí)采取糾正措施，以確保信息安全管理體系運(yùn)行的符合性、有效性，實(shí)現(xiàn)信息安全管理體系的持續(xù)改進(jìn)，本公司建立并保持內(nèi)部審核控制程序。6.2 每年年初由XX公司負(fù)責(zé)編制年度內(nèi)部審核計(jì)劃，確定年度內(nèi)審的時(shí)機(jī)和范圍，報(bào)管理者代表審核、總經(jīng)理審批后實(shí)施。若發(fā)生特殊情況，應(yīng)及時(shí)增加內(nèi)審。6.3 管理者代表任命內(nèi)審組長(zhǎng)，組成內(nèi)審小組。內(nèi)審組長(zhǎng)編制內(nèi)部審核實(shí)施計(jì)劃，組織內(nèi)審員學(xué)習(xí)信息安全管理體系手冊(cè)、程序文件和有關(guān)的作業(yè)指導(dǎo)書(shū)，為內(nèi)審的實(shí)施做好準(zhǔn)備。6.4 內(nèi)審實(shí)施由內(nèi)審員采用交談、提問(wèn)、抽樣、查閱記錄、現(xiàn)場(chǎng)查等方式，發(fā)現(xiàn)不合格時(shí)，擴(kuò)大抽樣、增加調(diào)研深度，獲取更全面、更準(zhǔn)確的客觀事實(shí)，并要求受審部門(mén)確認(rèn)不合格事實(shí)。6.5 內(nèi)審組長(zhǎng)組織匯總審核結(jié)果，對(duì)體系運(yùn)行情況做出綜合分析。由內(nèi)審組長(zhǎng)編制內(nèi)部審核報(bào)告，經(jīng)管理者代表批準(zhǔn)后，下發(fā)有關(guān)部門(mén)和有關(guān)領(lǐng)導(dǎo)。 6.6 糾正措施的實(shí)施和驗(yàn)證a) 受審部門(mén)負(fù)責(zé)人組織調(diào)查分析產(chǎn)生不合格原因，針對(duì)原因制定糾正措施，并明確完成期限，經(jīng)審核組認(rèn)可，管理者代表批準(zhǔn)后，由部門(mén)負(fù)責(zé)人組織實(shí)施；b) XX公司驗(yàn)證受審部門(mén)糾正措施實(shí)施的有效性。6.7 年度審核報(bào)告a) 為對(duì)本公司整個(gè)信息安全管理體系運(yùn)行狀況做出總體評(píng)價(jià)，在完成年度審核計(jì)劃后，由管理者代表組織年度審核結(jié)果的匯總分析，包括糾正措施完成情況，對(duì)完不成或拖后的原因進(jìn)行分析，并編寫(xiě)年度審核報(bào)告。b) 年度審核報(bào)告由管理者代表提交管理評(píng)審，作為改進(jìn)的依據(jù)。7 ISMS管理評(píng)審 7.1 總則為確保信息安全管理體系，包括信息安全方針、質(zhì)量目標(biāo)持續(xù)的適宜性、充分性和有效性，本公司建立并保持管理評(píng)審控制程序，評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要。7.1.1 公司每年至少開(kāi)展一次管理評(píng)審，兩次間隔不得超過(guò)十二個(gè)月。一般情況下，采取會(huì)議的形式，安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況時(shí)，應(yīng)及時(shí)進(jìn)行管理評(píng)審：a) 公司信息安全管理體系發(fā)生重大變化；b) 國(guó)家法律、法規(guī)、信息安全標(biāo)準(zhǔn)發(fā)生重大變化；c) 外審之前；d) 其他認(rèn)為需要評(píng)審時(shí)。7.1.2 XX公司組織有關(guān)部門(mén)實(shí)施管理評(píng)審，并對(duì)實(shí)施效果進(jìn)行跟蹤驗(yàn)證。7.1.3 管理評(píng)審由總經(jīng)理主持，管理評(píng)審的有關(guān)計(jì)劃、報(bào)告、記錄由XX公司保管，保存期為三年。7.2 評(píng)審輸入7.2.1 管理者代表組織XX公司編制管理評(píng)審計(jì)劃，安排評(píng)審的目的、內(nèi)容、時(shí)間、參加人員及有關(guān)要求等。7.2.2 XX公司組織有關(guān)部門(mén)按計(jì)劃的要求收集整理有關(guān)文件和數(shù)據(jù)資料提交管理評(píng)審，包括：a) ISMS審核（包括內(nèi)審和外審）和管理評(píng)審的結(jié)果； b) 相關(guān)方（客戶、政府部門(mén)、供應(yīng)商、內(nèi)部員工等）的反饋； c) 公司用于改進(jìn)ISMS業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化； d) 糾正和預(yù)防措施的實(shí)施情況； e) 上次風(fēng)險(xiǎn)評(píng)估未充分指出的脆弱性或威脅； f) 上次管理評(píng)審所采取措施的跟蹤驗(yàn)證； g) 影響信息安全管理體系的變更，如標(biāo)準(zhǔn)改版和信息安全組織架構(gòu)變化等； h) 質(zhì)量/信息安全管理體系文件的適用性,包括修改要求等；i) 改進(jìn)的建議。7.3 評(píng)審輸出按照信息安全方針、目標(biāo)對(duì)上述信息進(jìn)行全面的討論、評(píng)價(jià)、分析，決定所要采取的改進(jìn)措施，包括：a) ISMS有效性的改進(jìn)；b) 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃；c) 必要時(shí)修訂影響信息安全的程序，以反映影響ISMS的內(nèi)外事件包括以下變化：1 業(yè)務(wù)需求； 2 安全需求； 3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程； 4 法律法規(guī)環(huán)境； 5 合同責(zé)任；6 風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受等級(jí)。 d) 資源需求；e) 改進(jìn)測(cè)量控制措施有效性的方式。8 ISMS改進(jìn)8.1 持續(xù)改進(jìn)為保證信息安全管理體系有效性的持續(xù)改進(jìn)，提高信息安全管理體系過(guò)程的有效性，本公司將開(kāi)展如下活動(dòng)：a) 公司通過(guò)信息安全方針的建立與實(shí)施，營(yíng)造一個(gè)激勵(lì)改進(jìn)的氛圍；b) 確立信息安全目標(biāo)，明確改進(jìn)方向；c) 通過(guò)內(nèi)審、風(fēng)險(xiǎn)分析，不斷尋求改進(jìn)機(jī)會(huì)，并作出適當(dāng)改進(jìn)活動(dòng)安排；d) 實(shí)施糾正和預(yù)防措施，實(shí)現(xiàn)改進(jìn)；e) 在管理評(píng)審中評(píng)價(jià)改進(jìn)效果，確定新的改進(jìn)目標(biāo)。8.2 糾正措施 8.2.1 總則為消除與ISMS要求不符合的原因，防止不符合情形再次發(fā)生，對(duì)糾正措施的實(shí)施進(jìn)行有效控制，本公司建立并保持糾正措施控制程序。8.2.2 糾正措施的信息來(lái)源a) 風(fēng)險(xiǎn)評(píng)估；b) 員工及客戶的信息反饋（包括意見(jiàn)、建議和投訴）；c) 內(nèi)、外部審核提出的不合格項(xiàng)；d) 管理評(píng)審提出的改進(jìn)決策。8.2.3 糾正措施的制定a) XX公司組織有關(guān)人員對(duì)發(fā)現(xiàn)的不符合和各方反饋意見(jiàn)進(jìn)行匯總，分析不合格原因；b) 評(píng)價(jià)確保不符合不再發(fā)生所需的措施；c) 制定糾正措施，填寫(xiě)糾正措施實(shí)施跟蹤表，下發(fā)各相關(guān)部門(mén)執(zhí)行。8.2.4 糾正措施的實(shí)施各相關(guān)部門(mén)應(yīng)嚴(yán)格按糾正措施的內(nèi)容組織實(shí)施，做好實(shí)施記錄，實(shí)施完畢后提交XX公司進(jìn)行驗(yàn)證。8.2.5 糾正措施的驗(yàn)證XX公司負(fù)責(zé)糾正措施實(shí)施效果的跟蹤評(píng)審，并做好記錄，驗(yàn)證內(nèi)容包括：a) 措施是否按期完成；b) 是否按糾正措施內(nèi)