信息安全管理手冊-ISO27001;

1、信息安全管理手冊 信息安全管理體系管理手冊isms-m-yyyy版本號：a/1受控狀態(tài)： 受 控 非受控 編 制審 核批 準(zhǔn)編寫組審核人a總經(jīng)理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd日期： 2016年1月8日 實(shí)施日期： 2016年1月8日 修改履歷版本制訂者修改時間更改內(nèi)容審核人審核意見變更申請單號a/0編寫組2016-1-08定版審核人a同意a/1編寫組2017-1-15定版審核人b同意00 目錄00 目錄301 頒布令502 管理者代表授權(quán)書603 企業(yè)概況704 信息安全管理方針目標(biāo)905 手冊的管理1106 信息安全管理手冊121 范圍121.1 總則121.2

2、 應(yīng)用122 規(guī)范性引用文件123 術(shù)語和定義123.1 本公司133.2 信息系統(tǒng)133.3 計(jì)算機(jī)病毒133.4 信息安全事件133.5 相關(guān)方134 組織環(huán)境134.1 組織及其環(huán)境134.2 相關(guān)方的需求和期望134.3 確定信息安全管理體系的范圍144.4 信息安全管理體系145 領(lǐng)導(dǎo)力145.1 領(lǐng)導(dǎo)和承諾145.2 方針155.3 組織角色、職責(zé)和權(quán)限156 規(guī)劃156.1 應(yīng)對風(fēng)險和機(jī)會的措施156.2 信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)187 支持187.1 資源187.2 能力197.3 意識197.4 溝通197.5 文件化信息198 運(yùn)行208.1 運(yùn)行的規(guī)劃和控制208.2 信息

3、安全風(fēng)險評估218.3 信息安全風(fēng)險處置219 績效評價219.1 監(jiān)視、測量、分析和評價219.2 內(nèi)部審核229.3 管理評審2310 改進(jìn)2310.1 不符合和糾正措施2310.2 持續(xù)改進(jìn)24附錄a 信息安全管理組織結(jié)構(gòu)圖25附錄b 信息安全管理職責(zé)明細(xì)表26附錄c 信息安全管理程序文件清單2801 頒布令 為提高*公司*的信息安全管理水平，保障我公司業(yè)務(wù)活動的正常進(jìn)行，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求國際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理

4、體系，制定了*公司* 信息安全管理手冊。信息安全管理手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對社會的承諾。信息安全管理手冊符合有關(guān)信息安全法律、法規(guī)要求及iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2016年1月8日 起實(shí)施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴(yán)格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫徹實(shí)施本手冊的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)。*公司* 總 經(jīng) 理：

5、總經(jīng)理 2016年1月8日 02 管理者代表授權(quán)書為貫徹執(zhí)行信息安全管理體系，滿足iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 審核人b 為我公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險評估，全面建立、實(shí)施和保持信息安全管理體系；2 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3 確保在整個組織內(nèi)提高信息安全風(fēng)險的意識；4 審核風(fēng)險評估報(bào)告、風(fēng)險處理計(jì)劃；5 批準(zhǔn)發(fā)布程序文件；6 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；7 向最高管理者報(bào)告信息安全管理

6、體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行。*公司* 總 經(jīng) 理：總經(jīng)理2017年1月15日 03 企業(yè)概況這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址：單位地址電 話：單位電話傳 真：單位電話郵 編：郵編總經(jīng)理 ： 總經(jīng)理 管 代： 審核人a 04 信息安全管理方針目標(biāo)為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針：數(shù)據(jù)保密、信息完整、控制風(fēng)險、持續(xù)改進(jìn)、遵守法

7、律。本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制1公司采用系統(tǒng)的方法，按照iso/iec27001:2013建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、信息安全管理組織2公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。3公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。5與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的

8、支持。三、人員安全6信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責(zé)和權(quán)限。7對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。 8定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安全意識。9全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風(fēng)險評估11根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險

9、評估程序，確定風(fēng)險接受準(zhǔn)則。12采用先進(jìn)的風(fēng)險評估技術(shù)，定期進(jìn)行風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。六、報(bào)告安全事件14公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。15全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。16接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查17定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18公司根據(jù)風(fēng)險評估的結(jié)果，建立

10、業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。19定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試和更新。九、違反信息安全要求的懲罰20對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)如下：1. 重大信息安全事件（損失達(dá)1萬以上的）為零。2. 公司發(fā)生網(wǎng)絡(luò)中斷時間小于2小時每年。05 手冊的管理1 信息安全管理手冊的批準(zhǔn)辦公室負(fù)責(zé)組織編制信息安全管理手冊，總經(jīng)理負(fù)責(zé)批準(zhǔn)。2 信息安全管理手冊的發(fā)放、更改、作廢與銷毀a）辦公室負(fù)責(zé)按文件管理程序的要求，進(jìn)行信息安全管理手冊的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b

11、）各相關(guān)部門按照受控文件的管理要求對收到的信息安全管理手冊進(jìn)行使用和保管；c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊，并收回失效的文件作出標(biāo)識統(tǒng)一處理，確保有效文件的唯一性；d）辦公室保留信息安全管理手冊修改內(nèi)容的記錄。3 信息安全管理手冊的換版當(dāng)依據(jù)的iso/iec27001:2013或iso/iec27002:2013標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息安全風(fēng)險等發(fā)生重大改變及信息安全管理手冊發(fā)生需修改部分超過1/3時，應(yīng)對信息安全管理手冊進(jìn)行換版。換版應(yīng)在管理評審時形成決議，重新實(shí)施編、審、批工作。4 信息安全管理手冊的控制a）本信息安全管理手冊標(biāo)識分受控文件和非受

12、控文件兩種：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。b）信息安全管理手冊有書面文件和電子文件，電子版本文件的有效格式為.doc文檔。06 信息安全管理手冊1 范圍1.1 總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系（簡稱isms），確定信息安全方針和目標(biāo)，對信息安全風(fēng)險進(jìn)行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊。1.2 應(yīng)用1.2.1 覆蓋范圍本信息安全管理手冊規(guī)定了*公司*信息安全管理體系要

13、求、管理職責(zé)、內(nèi)部審核、管理評審和信息安全管理體系改進(jìn)等方面內(nèi)容。本信息安全管理手冊適用于*公司*電磁屏蔽機(jī)房的設(shè)計(jì)業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動。1.2.2 刪減說明本信息安全管理手冊采用了iso/iec27001:2013標(biāo)準(zhǔn)正文的全部內(nèi)容，對適用性聲明soa的刪減如下:a.14.2.7外包開發(fā) 刪減理由：公司無此業(yè)務(wù)2 規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，辦公室應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息

14、安全管理手冊。iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求iso/iec27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則3 術(shù)語和定義iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、iso/iec27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則規(guī)定的術(shù)語和定義適用于本信息安全管理手冊。3.1 本公司指*公司*包括*公司*所屬各部門。3.2 信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。3.3 計(jì)算機(jī)病毒指編制或

15、者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。3.4 信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密事件。3.5 相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個人。主要為：政府、上級部門、供方、銀行、用戶等。4 組織環(huán)境4.1 組織及其環(huán)境本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次

16、認(rèn)證范圍：與信息管理軟件設(shè)計(jì)開發(fā)相關(guān)的信息安全管理活動）；b) 與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。e) 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄a（規(guī)范性附錄）組織機(jī)構(gòu)圖。f) 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.2 相關(guān)方的需求和期望重大信息安全事件（損失達(dá)1萬以上的）為零。公司發(fā)生網(wǎng)絡(luò)中斷時間小于2小時每年。4.3 確定信息安全管理體系的范圍體

17、系范圍：與信息管理軟件設(shè)計(jì)開發(fā)、計(jì)算機(jī)系統(tǒng)集成相關(guān)的信息安全管理活動本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次認(rèn)證范圍：與電磁屏蔽機(jī)房的設(shè)計(jì)相關(guān)的信息安全管理活動）組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄a（規(guī)范性附錄）組織機(jī)構(gòu)圖。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.4 信息安全管理體系本公司在軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理活動中，按iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系

18、-要求規(guī)定，參照iso/iec27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系。信息安全管理體系使用的過程基于圖1所示的pdca模型。圖1 信息安全管理體系模型建立isms實(shí)施和運(yùn)行isms保持和改進(jìn)isms監(jiān)視和評審isms相關(guān)方信息安全要求和期望相關(guān)方信息安全管理策劃實(shí)施檢查處置5 領(lǐng)導(dǎo)力5.1 領(lǐng)導(dǎo)和承諾我公司管理者通過以下活動，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a) 建立信息安全方針(見本手冊第0.4章)；b) 確保信息安全目標(biāo)得以制定（見本手冊第0.4章、適用性聲

19、明soa、風(fēng)險處理計(jì)劃及相關(guān)記錄）；c) 建立信息安全的角色和職責(zé)；d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)信息安全管理體系(見本手冊第5.2章)；f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受等級(見信息安全風(fēng)險管理標(biāo)準(zhǔn)及相關(guān)記錄)；g) 確保內(nèi)部信息安全管理體系審核（見本手冊第9.2章）得以實(shí)施； h) 實(shí)施信息安全管理體系管理評審（見本手冊第9.3章）。5.2 方針為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針

20、，確定了信息安全目標(biāo)。信息安全管理方針：滿足客戶要求，遵守法律法規(guī)，實(shí)施風(fēng)險管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。信息安全目標(biāo)下：1. 重大信息安全事件（損失達(dá)1萬以上的）為零。2. 公司發(fā)生網(wǎng)絡(luò)中斷時間小于2小時每年。5.3 組織角色、職責(zé)和權(quán)限詳見附錄b6 規(guī)劃6.1 應(yīng)對風(fēng)險和機(jī)會的措施6.1.1 總則為了滿足適用法律法規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第0.4條款。該信息安全方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安全活動建立

21、整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險評價的準(zhǔn)則；e) 經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)，詳見附錄b（規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共享

22、；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。6.1.2 信息安全風(fēng)險評估6.1.2.1 風(fēng)險評估的方法辦公室負(fù)責(zé)制定信息安全風(fēng)險管理程序，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級。6.1.2.2識別風(fēng)險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險管理程序，對所有的資產(chǎn)進(jìn)行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對每一項(xiàng)資產(chǎn)按自身價值、信息分類、保密性、完整

23、性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。同時，根據(jù)信息安全風(fēng)險管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。6.1.2.3分析和評價風(fēng)險本公司按信息安全風(fēng)險管理程序，采用fmea分析方法，分析和評價風(fēng)險：a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對每一項(xiàng)威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)信息安全風(fēng)險管理程序計(jì)算風(fēng)險等級；d) 根據(jù)信息安全風(fēng)險管

24、理程序及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。6.1.2.4識別和評價風(fēng)險處理的選擇辦公室組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成風(fēng)險處理計(jì)劃，該計(jì)劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。對于信息安全風(fēng)險，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受風(fēng)險（不可能將所有風(fēng)險降低為零）；c) 避免風(fēng)險（如物理隔離）；d) 轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）。6.1.3 信息安全風(fēng)險處置辦公室根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見信息安全適用性

25、聲明）：a) 信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b) 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施c) 控制目標(biāo)及控制措施的選擇原則來源于iso/iec27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求附錄a，具體控制措施參考iso/iec27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則。d) 適用性聲明：辦公室負(fù)責(zé)編制信息安全適用性聲明（soa），所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；對iso/iec27001:2013附錄a中未選用的控制目標(biāo)及控制措施理由的說明。e) 制定風(fēng)險處置計(jì)劃。f) 對風(fēng)險處理后的剩余風(fēng)險，得到了

26、公司最高管理者的批準(zhǔn)6.2 信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)6.2.1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b)及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗(yàn);6.2.2根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全范圍

27、、方針、目標(biāo)的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。6.2.3 辦公室應(yīng)組織有關(guān)部門按照信息安全風(fēng)險管理程序的要求，采用fmea分析方法，對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估：a) 組織； b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。6.2.4按照計(jì)劃的時間間隔進(jìn)行信息安全管理體系內(nèi)部審核。6.2.5定期對信息安全管理體

28、系進(jìn)行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第7章。6.2.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計(jì)劃。6.2.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。7 支持7.1 資源本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系；b) 確保信息安全程序支持業(yè)務(wù)要求；c) 識別并指出法律法規(guī)要求和合同安全責(zé)任；d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；e) 必要時進(jìn)行評審，并對評審的結(jié)果采

29、取適當(dāng)措施；f) 需要時，改進(jìn)信息安全管理體系的有效性。7.2 能力組織應(yīng)： a) 確定員工為完成其本職工作所所需的安全技能； b) 確保員工具備完成工作所需的教育、培訓(xùn)和經(jīng)驗(yàn)；c) 采取合適的措施確保員工具備相應(yīng)的技能并對技能進(jìn)行考核； d) 保留適當(dāng)?shù)奈臋n信息作為證據(jù)。 注：適當(dāng)?shù)拇胧┛赡馨ǎ纾禾峁┡嘤?xùn)、指導(dǎo)或重新分派現(xiàn)有員工，或雇用具備相關(guān)技能的人士。7.3 意識組織的員工應(yīng)了解： a) 信息安全方針； b) 個人對于實(shí)現(xiàn)信息安全管理的重要性，提高組織信息安全績效的收益； c) 不符合信息安全管理體系要求所造成的影響。7.4 溝通辦公室制定并實(shí)施人力資源管理程序文件，確保被分配信息

30、安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a)確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b)提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c)評價所采取措施的有效性；d)保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。7.5 文件化信息7.5.1 總則本公司信息安全管理體系文件包括：a) 文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊中描述；b) 信息安全管理手冊（本手冊，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；c) 本手冊要求的信息安

31、全風(fēng)險管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正措施管理程序等支持性程序；d) 信息安全管理體系引用的支持性程序。如：文件管理程序、記錄管理程序、內(nèi)部審核管理程序等；e) 為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；f)風(fēng)險評估報(bào)告、風(fēng)險處理計(jì)劃以及信息安全管理體系要求的記錄類文件；g) 相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h) 適用性聲明（soa）。7.5.2 創(chuàng)建和更新7.5.3 文件化信息的控制辦公室制定并實(shí)施文件管理程序，對信息安全管理體系所要求的文件進(jìn)行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評審

32、、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場所能夠及時獲得適用文件的有效版本。文件控制應(yīng)保證：a)文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；b)必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)；c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d)確保在使用時，可獲得相關(guān)文件的最新版本；e)確保文件保持清晰、易于識別；f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最終的銷毀；g)確保外來文件得到識別；h)確保文件的分發(fā)得到控制；i)防止作廢文件的非預(yù)期使用；j)若因任何目的需保留作廢文件時，應(yīng)對其進(jìn)行適當(dāng)?shù)臉?biāo)識。8 運(yùn)行8.1 運(yùn)行的規(guī)劃和控制按照pdc

33、a對體系進(jìn)行運(yùn)行。在公司實(shí)際推動信息安全體系運(yùn)行。8.2 信息安全風(fēng)險評估8.2.1 識別風(fēng)險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險管理程序，對所有的資產(chǎn)進(jìn)行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對每一項(xiàng)資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。同時，根據(jù)信息安全風(fēng)險管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。8.2.2 分析和評價風(fēng)險本公司按信息

34、安全風(fēng)險管理程序，采用fmea分析方法，分析和評價風(fēng)險：a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對每一項(xiàng)威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)信息安全風(fēng)險管理程序計(jì)算風(fēng)險等級；d) 根據(jù)信息安全風(fēng)險管理程序及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。8.3 信息安全風(fēng)險處置辦公室組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成風(fēng)險處理計(jì)劃，該計(jì)劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。對于信息安全風(fēng)險，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險，采用適當(dāng)

35、的內(nèi)部控制措施；b) 接受風(fēng)險（不可能將所有風(fēng)險降低為零）；c) 避免風(fēng)險（如物理隔離）；d) 轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）。9 績效評價9.1 監(jiān)視、測量、分析和評價9.1.1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b)及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗(yàn);9

36、.1.2根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。9.1.3 辦公室應(yīng)組織有關(guān)部門按照信息安全風(fēng)險管理程序的要求，采用fmea分析方法，對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估：a) 組織； b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)

37、章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。9.1.4按照計(jì)劃的時間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。9.1.5定期對信息安全管理體系進(jìn)行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第7章。9.1.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計(jì)劃。9.1.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。9.2 內(nèi)部審核9.2.1辦公室應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。9.2.2每次審核前，辦公室應(yīng)編制內(nèi)審計(jì)

38、劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。9.2.3 應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a）進(jìn)行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實(shí)施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；c）進(jìn)行對檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見和不符合報(bào)告；d）審核組長編制審核報(bào)告。9.2.4對審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由辦公室組織對受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證；9.2.5按照記錄管理程序的要求，保存審核記錄。9.2.6內(nèi)部審核報(bào)告，應(yīng)作為

39、管理評審的輸入之一。9.3 管理評審管理評審的輸入要包括以下信息：a) 信息安全管理體系審核和評審的結(jié)果；b) 相關(guān)方的反饋；c) 用于改進(jìn)信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d) 預(yù)防和糾正措施的狀況；e) 風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱性或威脅；f) 有效性測量的結(jié)果；g) 管理評審的跟蹤措施；h) 任何可能影響信息安全管理體系的變更；i) 改進(jìn)的建議。管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b) 更新風(fēng)險評估和風(fēng)險處理計(jì)劃；c) 必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：

40、1) 業(yè)務(wù)要求；2) 安全要求；3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4) 法律法規(guī)要求；5) 合同責(zé)任； 6) 風(fēng)險等級和（或）風(fēng)險接受準(zhǔn)則。d) 資源需求；e) 改進(jìn)測量控制措施有效性的方式。10 改進(jìn)10.1 不符合和糾正措施10.1.1 辦公室負(fù)責(zé)建立并實(shí)施糾正和預(yù)防控制程序，采取以下措施，消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。10.1.2 糾正和預(yù)防控制程序應(yīng)規(guī)定以下方面的要求：a) 識別存在的不符合；b) 確定不符合的原因；c) 評價確保不符合不再發(fā)生的措施要求；d) 確定并實(shí)施所需的糾正和預(yù)防措施；e) 記錄所采取措施的結(jié)果；f) 評審所采取的糾正和預(yù)防措施。10.1

41、.3公司網(wǎng)絡(luò)管理部應(yīng)定期進(jìn)行風(fēng)險評估，以識別變化的風(fēng)險，并通過關(guān)注變化顯著的風(fēng)險來識別預(yù)防措施要求。預(yù)防措施的優(yōu)先級應(yīng)基于風(fēng)險評估結(jié)果來確定。10.2 持續(xù)改進(jìn)本公司制定和實(shí)施糾正和措施管理程序內(nèi)部審核管理程序等文件，通過下列途徑持續(xù)改進(jìn)信息安全管理體系的有效性：a) 通過信息安安全管理體系方針的建立與實(shí)施，對持續(xù)改進(jìn)做出正式的承諾；b) 通過建立信息安全管理體系目標(biāo)明確改進(jìn)的方向；c) 通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進(jìn)的機(jī)會并予實(shí)施，詳見內(nèi)部審核管理程序；e) 通過實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)，詳見糾正和措施管理程序；f) 通過管理評審輸出的有關(guān)改進(jìn)措施的實(shí)施實(shí)現(xiàn)改進(jìn)。附錄a 信息安全管

42、理組織結(jié)構(gòu)圖（規(guī)范性附錄）總經(jīng)理 管理者代表商務(wù)部技術(shù)部銷售部附錄b 信息安全管理職責(zé)明細(xì)表（規(guī)范性附錄）序號單位/部門信息安全職責(zé)1信息安全管理委員會信息安全管理委員會是我公司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項(xiàng)的決策和協(xié)調(diào)，并對全公司信息安全工作負(fù)責(zé)。2總經(jīng)理信息安全第一責(zé)任人，制定信息安全方針，對信息安全全面負(fù)責(zé)。1. 組織制定并批準(zhǔn)信息安全管理方針、信息安全目標(biāo)和計(jì)劃。2. 為發(fā)展、貫徹、運(yùn)行和保持isms提供充足的資源為員工提供所需的資源、 培訓(xùn)，并賦予其職責(zé)范圍內(nèi)的自主權(quán)。3. 負(fù)責(zé)任命管理者代表，并定期進(jìn)行管理評審。4. 決定風(fēng)險的可接受水平。5. 負(fù)責(zé)批準(zhǔn)公司

43、信息安全管理手冊和管理評審計(jì)劃。3管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系（具體見管理者代表授權(quán)書）。4商務(wù)部我公司信息安全管理體系的歸口管理部門。1. 負(fù)責(zé)管理體系的建立、實(shí)施、保持、測量和改進(jìn)。2. 負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進(jìn)。3. 負(fù)責(zé)本公司保密工作的管理。4. 負(fù)責(zé)安全區(qū)域的管理。5. 負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。6. 對信息安全日常工作實(shí)施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。7. 參與涉密及司法介入的信息安全事件的調(diào)查。8. 負(fù)責(zé)公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓(xùn)，員工離職管理。9. 負(fù)責(zé)公司財(cái)務(wù)相關(guān)的信息安全管理，包括出納、人員工資發(fā)放,以及代理 記帳公司的管理。10. 負(fù)責(zé)公司客戶反饋信息的搜集，定期對客戶回訪跟蹤。認(rèn)真執(zhí)行信息安全方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好本部門職責(zé)范圍內(nèi)的信息安全管理體系運(yùn)行工作。5技術(shù)部1. 負(fù)責(zé)收集與本部門相關(guān)的信息安全方面的法規(guī)及其他要求，并及時上報(bào)信息安全委員會，同時負(fù)責(zé)在本部門內(nèi)傳達(dá)，貫徹和實(shí)施與部門相關(guān)的法規(guī)及其他要求。2. 協(xié)助在本部門內(nèi)宣傳公司的信息安全管理體系文件的要求，提高本部門員工的信息安全意識。3. 按照信息安