信息安全管理手冊(cè) ISO27001

1、 信息安全管理體系 管理手冊(cè) ISMS-M-yyyy 版本號(hào)：A/1 受控狀態(tài)： 受 控 非受控 日期： 20xx年1月8日 實(shí)施日期： 20xx年1月8日 修改履歷 00 目錄 01 頒布令 為提高*公司*的信息安全管理水平，保障我公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求國際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了*公司* 信息安全管理手冊(cè)。 信息安全管理手冊(cè)是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行

2、動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對(duì)社會(huì)的承諾。 信息安全管理手冊(cè)符合有關(guān)信息安全法律、法規(guī)要求及ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自20xx年1月8日 起實(shí)施。企業(yè)全體員工必須遵照?qǐng)?zhí)行。 全體員工必須嚴(yán)格按照信息安全管理手冊(cè)的要求，自覺遵循信息安全管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)。 *公司* 1 / 24 總 經(jīng) 理：總經(jīng)理 20xx年1月8日 02 管理者代表授權(quán)書 為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC27

3、001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 審核人B 為我公司信息安全管理者代表。 授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限： 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系； 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作； 確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)； 審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃； 批準(zhǔn)發(fā)布程序文件； 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告； 向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。 本授權(quán)書自任命日起生效執(zhí)行。 *公司* 總

4、 經(jīng) 理：總經(jīng)理 20xx年1月15日 03 企業(yè)概況 這里是公司情況介紹哦 2 / 24 這里是公司情況介紹哦 這里是公司情況介紹哦 這里是公司情況介紹哦 這里是公司情況介紹哦 單位地址：單位地址 電 話：單位電話 傳 真：單位電話 郵 編：郵編 總經(jīng)理 ： 總經(jīng)理 管 代： 審核人A 04 信息安全管理方針目標(biāo) 為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。 信息安全管理方針： 數(shù)據(jù)保密、信息完整、控制風(fēng)險(xiǎn)、持續(xù)改進(jìn)、遵守法律。 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機(jī)制

5、1公司采用系統(tǒng)的方法，按照ISO/IEC27001:2013建立信息安全管理體系，全面保護(hù)本公司的信息安全。 二、信息安全管理組織 3 / 24 2公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。 3公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。 4在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。 5與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。 三、人員安全 6信息安全需要

6、全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。 7對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)。 8定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。 9全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。 四、識(shí)別法律、法規(guī)、合同中的安全 0及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿足安全要求。 五、風(fēng)險(xiǎn)評(píng)估 1根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)

7、則。 2采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。 4 / 24 3應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。 六、報(bào)告安全事件 4公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。 5全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。 6接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。 七、監(jiān)督檢查 7定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 8公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)

8、持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。 9定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。 九、違反信息安全要求的懲罰 0對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。 信息安全目標(biāo)如下： 重大信息安全事件（損失達(dá)1萬以上的）為零。 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2小時(shí)每年。 05 手冊(cè)的管理 1 信息安全管理手冊(cè)的批準(zhǔn) 辦公室負(fù)責(zé)組織編制信息安全管理手冊(cè)，總經(jīng)理負(fù)責(zé)批準(zhǔn)。 5 / 24 2 信息安全管理手冊(cè)的發(fā)放、更改、作廢與銷毀 a）辦公室負(fù)責(zé)按文件管理程序的要求，進(jìn)行信息安全管理手冊(cè)的登記、發(fā)放、回收、更改、歸檔、作

9、廢與銷毀工作； b）各相關(guān)部門按照受控文件的管理要求對(duì)收到的信息安全管理手冊(cè)進(jìn)行使用和保管； c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊(cè)，并收回失效的文件作出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性； d）辦公室保留信息安全管理手冊(cè)修改內(nèi)容的記錄。 3 信息安全管理手冊(cè)的換版 當(dāng)依據(jù)的ISO/IEC27001:2013或ISO/IEC27002:2013標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及信息安全管理手冊(cè)發(fā)生需修改部分超過1/3時(shí)，應(yīng)對(duì)信息安全管理手冊(cè)進(jìn)行換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編、審、批工作。 4 信息安全管理手冊(cè)的控制 a）本信息安

10、全管理手冊(cè)標(biāo)識(shí)分受控文件和非受控文件兩種： 受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員； 非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。 b）信息安全管理手冊(cè)有書面文件和電子文件，電子版本文件的有效格式為.doc文檔。 06 信息安全管理手冊(cè) 范圍 總則 6 / 24 為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡稱ISMS），確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。 應(yīng)用 覆蓋范圍 本信息安全管理手冊(cè)

11、規(guī)定了*公司*信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全管理體系改進(jìn)等方面內(nèi)容。 本信息安全管理手冊(cè)適用于*公司*電磁屏蔽機(jī)房的設(shè)計(jì)業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動(dòng)。 刪減說明 本信息安全管理手冊(cè)采用了ISO/IEC27001:2013標(biāo)準(zhǔn)正文的全部內(nèi)容，對(duì)適用性聲明SOA的刪減如下: A.14.2.7外包開發(fā) 刪減理由：公司無此業(yè)務(wù) 規(guī)范性引用文件 下列文件中的條款通過本信息安全管理手冊(cè)的引用而成為本信息安全管理手冊(cè)的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，辦公室應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用

12、文件、其最新版本適用于本信息安全管理手冊(cè)。 ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求 ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則 術(shù)語和定義 7 / 24 ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則規(guī)定的術(shù)語和定義適用于本信息安全管理手冊(cè)。 本公司 指*公司*包括*公司*所屬各部門。 信息系統(tǒng) 指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理

13、的人機(jī)系統(tǒng)。 計(jì)算機(jī)病毒 指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 信息安全事件 指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。 相關(guān)方 關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個(gè)人。主要為：政府、上級(jí)部門、供方、銀行、用戶等。 組織環(huán)境 組織及其環(huán)境 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括： 8 / 24 a) 本公司涉及軟件產(chǎn)品的

14、技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次認(rèn)證范圍：與信息管理軟件設(shè)計(jì)開發(fā)相關(guān)的信息安全管理活動(dòng)）； b) 與所述信息系統(tǒng)有關(guān)的活動(dòng)； c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工； d) 所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。 e) 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄A（規(guī)范性附錄）組織機(jī)構(gòu)圖。 f) 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。 相關(guān)方的需求和期望 重大信息安全事件（損失達(dá)1萬以上的）為零。 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2

15、小時(shí)每年。 確定信息安全管理體系的范圍 體系范圍：與信息管理軟件設(shè)計(jì)開發(fā)、計(jì)算機(jī)系統(tǒng)集成相關(guān)的信息安全管理活動(dòng) 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次認(rèn)證范圍：與電磁屏蔽機(jī)房的設(shè)計(jì)相關(guān)的信息安全管理活動(dòng)） 組織范圍： 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄A（規(guī)范性附錄）組織機(jī)構(gòu)圖。 物理范圍： 9 / 24 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 本公司信息安全管理體系的物理范圍為本公司位于單位地址。 信息安全管理體系 本公司在軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理活動(dòng)中，按ISO

16、/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。 信息安全管理體系使用的過程基于圖1所示的PDCA模型。 圖1 信息安全管理體系模型 領(lǐng)導(dǎo)力 領(lǐng)導(dǎo)和承諾 我公司管理者通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)： a) 建立信息安全方針(見本手冊(cè)第0.4章)； b) 確保信息安全目標(biāo)得以制定（見本手冊(cè)第0.4章、適用性聲明SoA、風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄）； c) 建立信息安全的

17、角色和職責(zé)； d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性； e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體系(見本手冊(cè)第5.2章)； f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)(見信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)及相關(guān)記錄)； 10 / 24 g) 確保內(nèi)部信息安全管理體系審核（見本手冊(cè)第9.2章）得以實(shí)施； h) 實(shí)施信息安全管理體系管理評(píng)審（見本手冊(cè)第9.3章）。 方針 為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。 信息安全管理

18、方針： 滿足客戶要求，遵守法律法規(guī)，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。 信息安全目標(biāo)下： 重大信息安全事件（損失達(dá)1萬以上的）為零。 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2小時(shí)每年。 組織角色、職責(zé)和權(quán)限 詳見附錄B 規(guī)劃 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施 總則 為了滿足適用法律法規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊(cè)第0.4條款。 該信息安全方針符合以下要求： 11 / 24 a) 為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則； b) 考慮業(yè)務(wù)及法

19、律或法規(guī)的要求，及合同的安全義務(wù)； c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系； d) 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則； e) 經(jīng)最高管理者批準(zhǔn)。 為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾： a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)，詳見附錄B（規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表； b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性； d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享； e) 對(duì)全體員工進(jìn)

20、行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力； f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。 信息安全風(fēng)險(xiǎn)評(píng)估 6.1.2.1 風(fēng)險(xiǎn)評(píng)估的方法 辦公室負(fù)責(zé)制定信息安全風(fēng)險(xiǎn)管理程序，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。 12 / 24 6.1.2.2識(shí)別風(fēng)險(xiǎn) 在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)管理程序，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、

21、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。 同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)管理程序，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。 6.1.2.3分析和評(píng)價(jià)風(fēng)險(xiǎn) 本公司按信息安全風(fēng)險(xiǎn)管理程序，采用FMEA分析方法，分析和評(píng)價(jià)風(fēng)險(xiǎn)： a) 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值； b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值； c) 根據(jù)信息安全風(fēng)險(xiǎn)管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)； d) 根據(jù)信息

22、安全風(fēng)險(xiǎn)管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。 6.1.2.4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇 辦公室組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。 對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?a) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施； 13 / 24 b) 接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）； c) 避免風(fēng)險(xiǎn)（如物理隔離）； d) 轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。 信息安全風(fēng)險(xiǎn)處置 辦公室根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)

23、分解到有關(guān)部門（見信息安全適用性聲明）： 信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施 控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求附錄A，具體控制措施參考ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則。 制定風(fēng)險(xiǎn)處置計(jì)劃。 對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn) 信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn) 6.2.1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)： a)及時(shí)發(fā)

24、現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患； b)及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果； d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效； e)積累信息安全方面的經(jīng)驗(yàn); 14 / 24 6.2.2根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7章。 6.2.3

25、辦公室應(yīng)組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)管理程序的要求，采用FMEA分析方法，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： a) 組織； b) 技術(shù)； c) 業(yè)務(wù)目標(biāo)和過程； d) 已識(shí)別的威脅； e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。 6.2.4按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核。 6.2.5定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7章。 6.2.6考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更

26、新安全計(jì)劃。 6.2.7記錄可能對(duì)信息安全管理體系有效性或業(yè)績有影響的活動(dòng)和事情。 支持 資源 本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證： 15 / 24 a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系； b) 確保信息安全程序支持業(yè)務(wù)要求； c) 識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任； d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全； e) 必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施； f) 需要時(shí)，改進(jìn)信息安全管理體系的有效性。 能力 組織應(yīng)： a) 確定員工為完成其本職工作所所需的安全技能

27、； b) 確保員工具備完成工作所需的教育、培訓(xùn)和經(jīng)驗(yàn)； c) 采取合適的措施確保員工具備相應(yīng)的技能并對(duì)技能進(jìn)行考核； d) 保留適當(dāng)?shù)奈臋n信息作為證據(jù)。 注：適當(dāng)?shù)拇胧┛赡馨?，例如：提供培?xùn)、指導(dǎo)或重新分派現(xiàn)有員工，或雇用具備相關(guān)技能的人士。 意識(shí) 組織的員工應(yīng)了解： a) 信息安全方針； b) 個(gè)人對(duì)于實(shí)現(xiàn)信息安全管理的重要性，提高組織信息安全績效的收益； c) 不符合信息安全管理體系要求所造成的影響。 溝通 16 / 24 辦公室制定并實(shí)施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^： a)確定承擔(dān)信息安全管理體系各工作崗位的

28、職工所必要的能力； b)提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求； c)評(píng)價(jià)所采取措施的有效性； d)保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。 本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。 文件化信息 總則 本公司信息安全管理體系文件包括： a) 文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊(cè)中描述； b) 信息安全管理手冊(cè)（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）； c) 本手冊(cè)要求的信息安全風(fēng)險(xiǎn)管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正措施管理程序等支持性程序； d) 信息安全管理體系引用的支持性程序。如：

29、文件管理程序、記錄管理程序、內(nèi)部審核管理程序等； e) 為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序； f)風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃以及信息安全管理體系要求的記錄類文件； g) 相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)； h) 適用性聲明（SoA）。 17 / 24 創(chuàng)建和更新 文件化信息的控制 辦公室制定并實(shí)施文件管理程序，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場所能夠及時(shí)獲得適用文件的有效

30、版本。 文件控制應(yīng)保證： a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的； b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)； c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別； d) 確保在使用時(shí)，可獲得相關(guān)文件的最新版本； e) 確保文件保持清晰、易于識(shí)別； f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀； g) 確保外來文件得到識(shí)別； h) 確保文件的分發(fā)得到控制； i) 防止作廢文件的非預(yù)期使用； j) 若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。 運(yùn)行 運(yùn)行的規(guī)劃和控制 按照PDCA對(duì)體系進(jìn)行運(yùn)行。在公司實(shí)際推動(dòng)信息安全體系運(yùn)行。 18 / 24 信

31、息安全風(fēng)險(xiǎn)評(píng)估 識(shí)別風(fēng)險(xiǎn) 在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)管理程序，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。 同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)管理程序，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。 分析和評(píng)價(jià)風(fēng)險(xiǎn) 本公司按信息安全風(fēng)險(xiǎn)管理程序，采用FMEA分析方法，分析和評(píng)價(jià)風(fēng)險(xiǎn)： a) 針對(duì)重要資

32、產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值； b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值； c) 根據(jù)信息安全風(fēng)險(xiǎn)管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)； d) 根據(jù)信息安全風(fēng)險(xiǎn)管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。 信息安全風(fēng)險(xiǎn)處置 辦公室組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。 對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?19 / 24 a) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施； b) 接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)

33、降低為零）； c) 避免風(fēng)險(xiǎn)（如物理隔離）； d) 轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。 績效評(píng)價(jià) 監(jiān)視、測(cè)量、分析和評(píng)價(jià) 9.1.1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)： a)及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患； b)及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果； d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效； e)積累信息安全方面的經(jīng)驗(yàn); 9.1.2根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)

34、方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7章。 9.1.3 辦公室應(yīng)組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)管理程序的要求，采用FMEA分析方法，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： a) 組織； 20 / 24 b) 技術(shù)； c) 業(yè)務(wù)目標(biāo)和過程； d) 已識(shí)別的威脅； e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化

35、、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。 9.1.4按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊(cè)第6章。 9.1.5定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7章。 9.1.6考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。 9.1.7記錄可能對(duì)信息安全管理體系有效性或業(yè)績有影響的活動(dòng)和事情。 內(nèi)部審核 9.2.1辦公室應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。 9.2.2每次審核前，辦公室應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。 9.2.3 應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括： a）進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序； b）實(shí)施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流； 21 / 24 c）進(jìn)行對(duì)檢查內(nèi)容進(jìn)行