公司信息安全管理手冊

1、信息安全管理手01頒布令 302管理者代表授權(quán)書 403企業(yè)概況 504信息安全管理方針目標(biāo) 605手冊的管理 8信息安全管理手冊 91 范圍 91.1 總則 91.2應(yīng)用 92 規(guī)范性引用文件 103 術(shù)語和定義 103.1 本公司 103.2信息系統(tǒng) 103.3計(jì)算機(jī)病毒 103.4信息安全事件 103.5相關(guān)方 104 信息安全管理體系 114.1 概述 114.2建立和管理信息安全管理體系 114.3文件要求 175 管理職責(zé) 195.1 管理承諾 195.2資源管理 196 內(nèi)部信息安全管理體系審核 206.1 總則 206.2 內(nèi)審策劃 206.3 內(nèi)審實(shí)施 207 管理評審 22

2、7.1 總則 227.2 評審輸入 227.3 評審輸出 227.4 評審程序 238 信息安全管理體系改進(jìn) 248.1 持續(xù)改進(jìn) 248.2 糾正措施 248.3 預(yù)防措施 24附錄A （規(guī)范性附錄）信息安全管理組織結(jié)構(gòu)圖 26附錄B （規(guī)范性附錄）辦公大樓平面圖 27附錄C （規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表 27附錄D （資料性附錄）信息安全管理程序文件清單 30附錄E （規(guī)范性附錄）信息安全角色和職責(zé) 30附錄F （規(guī)范性附錄）組織機(jī)構(gòu)圖 35附錄G （規(guī)范性附錄）ISMS職能分配表 3601頒布令為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動的正常進(jìn)行，防止由于信息安全事件（信息

3、系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失， 我公司開展貫徹 GB/T22080-2008idtlS027001:2005信息技術(shù)-安全技術(shù)-信息安全管 理體系要求國際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定 了無錫*安全技術(shù)研究有限公司信息安全管理手冊。信息安全管理手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理 體系的綱領(lǐng)和行動準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對社會的承諾。信息安全管理手冊符合有關(guān)信息安全法律、GB/T22080-2008idtIS027001:2005 信息技術(shù)-安

4、全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā) 布，自2009年12月23日起實(shí)施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴(yán)格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針， 貫徹實(shí)施本手冊的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)。無錫*安全技術(shù)研究有限公司02管理者代表授權(quán)書為貫徹執(zhí)行信息安全管理體系，滿足 GB/T22080-2008idtlS027001:2005信息技 術(shù)-安全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 劉亞利 為我公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險(xiǎn)評估，全

5、面建立、實(shí)施和保持信息 安全管理體系；2負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識；4審核風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5. 批準(zhǔn)發(fā)布程序文件；6. 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；7. 向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體 系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行無錫*安全技術(shù)研究有限公司總經(jīng)理：2009年 12 月 23 日03企業(yè)概況我公司是專業(yè)從事計(jì)算機(jī)軟件技術(shù)應(yīng)用的研發(fā)公司，公司堅(jiān)持自主創(chuàng)新、 政產(chǎn)學(xué)研相結(jié)合的發(fā)展道路，以一流的科研成果創(chuàng)造一流的產(chǎn)業(yè)應(yīng)用為目標(biāo), 圍繞計(jì)

6、算機(jī)技術(shù)在信息安全、生產(chǎn)安全相關(guān)領(lǐng)域的應(yīng)用，開拓進(jìn)取，取得了 多項(xiàng)重大科研成果，并通 過了 CMMI3級認(rèn)證和雙軟 企業(yè)認(rèn)定，研發(fā)項(xiàng)目得到 相關(guān)政府行業(yè)客戶的認(rèn)可，在相關(guān)應(yīng)用領(lǐng)域多次推動技術(shù)變革，創(chuàng)造了重大 的社會與經(jīng)濟(jì)效益。研究方向：信息安全 Information Security涉及計(jì)算機(jī)信息數(shù)據(jù)安全保護(hù)、計(jì)算機(jī)行為風(fēng)險(xiǎn)控制與跟蹤、計(jì)算機(jī)電 子信息對抗與取證、手機(jī)應(yīng)用安全。智能識另廿 Intelligent Identification行業(yè)專用RFID（電子標(biāo)簽）設(shè)計(jì)、封裝、應(yīng)用中間件研發(fā)、讀寫設(shè)備開發(fā) 特種設(shè)備安全 Special Equipment Safety特種設(shè)備監(jiān)察、檢驗(yàn)（檢

7、測）、維保、許可、執(zhí)法、巡查、追溯系統(tǒng)的研 發(fā)。嵌入 &移動 商務(wù) Embedded & Mobile Business嵌入式應(yīng)用、無線傳感網(wǎng)、移動商務(wù)應(yīng)用研發(fā)。企業(yè)名稱： 無錫*安全技術(shù)研究有限公司 企業(yè)法人：通訊地址：郵政編碼：聯(lián)系電話：04 信息安全管理方針目標(biāo)為防止由于信息系統(tǒng)的中斷、 數(shù)據(jù)的丟失、 敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的 損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針如下：強(qiáng)化意識 規(guī)范行為數(shù)據(jù)保密 信息完整本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制公司采用系統(tǒng)的方法，按照 GB/T22080-2008idtIS

8、O27001:2005 建立信息安全管理 體系，全面保護(hù)本公司的信息安全。二、信息安全管理組織1公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全 要求，提供信息安全資源。2公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系， 保證信息安全管理體系的持續(xù)適宜性和有效性。3在公司內(nèi)部建立信息安全組織機(jī)構(gòu)， 信息安全管理委員會和信息安全協(xié)調(diào)機(jī)構(gòu)， 保證信息安全管理體系的有效運(yùn)行。4與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求 和發(fā)展動態(tài)，獲得對信息安全管理的支持。三、人員安全1信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)

9、，在 勞動合同、 崗位職責(zé)中應(yīng)包含對信息安全的要求。 特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé) 任。對崗位調(diào)動或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2對本公司的相關(guān)方針，要明確安全要求和安全職責(zé)。3定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安 全意識。4全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全及時(shí)識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿 足安全要求。五、風(fēng)險(xiǎn)評估1根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評估程序，確定風(fēng) 險(xiǎn)接受準(zhǔn)則。2采用先進(jìn)的風(fēng)險(xiǎn)評估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評估，以識

10、別本公司風(fēng)險(xiǎn)的變化。本 公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評估。3應(yīng)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件1公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。2全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安 全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并 向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審 核等。八、業(yè)務(wù)持續(xù)性 1公司根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的 影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故

11、障或者災(zāi)難的影響， 并確保能夠及時(shí)恢復(fù)。2定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試和更新。九、違反信息安全要求的懲罰 對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。 信息安全目標(biāo)如下：1）確保每年重大信息安全事件（事故）發(fā)生次數(shù)為零。2）確保單個(gè)重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過 1 次，每次中斷時(shí)間不超過 2 小時(shí)3）確保信息安全事件發(fā)現(xiàn)率 99%、上報(bào)和處理率 100%。05手冊的管理1信息安全管理手冊的批準(zhǔn)信息安全管理委員會負(fù)責(zé)組織編制信息安全管理手冊，總經(jīng)理負(fù)責(zé)批準(zhǔn)。2信息安全管理手冊的發(fā)放、更改、作廢與銷毀a）行政中心負(fù)責(zé)按文件和資料管理程序的要求，進(jìn)行信息安全管理手冊 的登記、發(fā)放、

12、回收、更改、歸檔、作廢與銷毀工作；b）各相關(guān)部門按照受控文件的管理要求對收到的信息安全管理手冊進(jìn)行使用 和保管；c）行政中心按照規(guī)定發(fā)放修改后的 信息安全管理手冊，并收回失效的文件做出 標(biāo)識統(tǒng)一處理，確保有效文件的唯一性；d）行政中心保留信息安全管理手冊修改內(nèi)容的記錄。3信息安全管理手冊的換版當(dāng)依據(jù)的GB/T22080-2008idtlS027001:2005標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外 部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及信息安全管理手冊發(fā)生需修改 部分超過1/3時(shí)，應(yīng)對信息安全管理手冊進(jìn)行換版。換版應(yīng)在管理評審時(shí)形成決議， 重新實(shí)施編制、審批工作。4信息安全管理手冊的控制a）

13、本信息安全管理手冊標(biāo)識分受控文件和非受控文件兩種：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受 控范圍以外的其他相關(guān)人員。b）信息安全管理手冊有書面文件和電子文件信息安全管理手冊1 范圍1.1 總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系（簡 稱ISMS,確定信息安全方針和目標(biāo)，對信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理 解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊。1.2 應(yīng)用1.2.1 覆蓋范圍：本信息安全管理手冊規(guī)定了無錫*安全技術(shù)研究有限公司的

14、信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評審和信息安全管理體系改進(jìn)等方面內(nèi)容。本信息安全管理手冊適用于無錫*安全技術(shù)研究有限公司業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動，具體見4.221條款規(guī)定。1.2.2 刪減說明本信息安全管理手冊采用了 GB/T22080-2008idtlS027001:2005標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄A的刪減見適用性聲明02 規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手 冊的條款。凡是注日期的引用文件， 其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)， 然而，行政中心應(yīng)研究是否可使用這些文件的最新版本。 凡是不注日期的

15、引用文件、 其 最新版本適用于本信息安全管理手冊。GB/T22080-2008idtlS027001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求GB/T22081-2008idtISO27002:2005 信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則3 術(shù)語和定義GB/T22080-2008idtlS027001:2005 信息技術(shù) -安全技術(shù) -信息安全管理體系 -要 求、GB/T22081-2008idtlS027002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則 規(guī)定的術(shù)語和定義適用于本信息安全管理手冊 。3.1 本公司指無錫* 安全技術(shù)研究有限公司， 包括無錫* 安全技術(shù)研究

16、有限公司 所屬各部門。3.2 信息系統(tǒng) 指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。3.3 計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使 用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。3.4 信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、 利用信息系統(tǒng) 從事的反動有害信息和涉密信息的傳播事件、 利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密 事件。3.5 相關(guān)方 關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個(gè)人。主要為：政府、供方、銀行

17、、用戶、電信等。4 信息安全管理體系4.1 概述4.1.1本公司在軟 件開發(fā)、經(jīng)營、服務(wù)和 日常管理活動 中，按GB/T22080-2008idtlS027001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照GB/T22081-2008idtlS027002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)， 建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系。4.1.2信息安全管理體系使用的過程基于圖1所示的PDCA模型。圖1信息安全管理體系模型4.2 建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.1.1信息安全管理體系的范圍和邊界本公司根

18、據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公 司信息安全管理體系的范圍包括：a）本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b）與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍： 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍， 見本 手冊附錄A (規(guī)范性附錄)信息安全管理體系組織機(jī)構(gòu)圖。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、 組織結(jié)構(gòu)、 地理位置、 資產(chǎn)和技術(shù)定義了信息安全管 理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于無錫市惠山經(jīng)濟(jì)開

19、發(fā)區(qū)前洲配套區(qū)興洲路2號，科創(chuàng)中心二樓，安全邊界詳見附錄 B (規(guī)范性附錄)辦公場所平面 圖。4.2.1.2 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求， 維持軟件開發(fā)和經(jīng)營的正常進(jìn)行， 實(shí)現(xiàn)業(yè)務(wù) 可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定 義了信息安全管理體系方針，見本信息安全管理手冊第 0.4 條款。該信息安全方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安全活動建立整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則；

20、e) 經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施； 明確信息安全的管理職責(zé)b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，信息安全管理體系評審，采取糾正預(yù)防措施，保 證體系的持續(xù)有效性；d) 采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共 享；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和 能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。4.2.1.3 風(fēng)險(xiǎn)評估的方法行政中心負(fù)責(zé)制定 信息安全風(fēng)險(xiǎn)評估管理程序

21、，建立識別適用于信息安全管理 體系和已經(jīng)識別的業(yè)務(wù)信息安全、 法律和法規(guī)要求的風(fēng)險(xiǎn)評估方法， 建立接受風(fēng)險(xiǎn)的準(zhǔn) 則并識別風(fēng)險(xiǎn)的可接受等級。信息安全風(fēng)險(xiǎn)評估執(zhí)行信息安全風(fēng)險(xiǎn)評估管理程序， 以保證所選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4 識別風(fēng)險(xiǎn) 在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)評估管理程序，對所有的資產(chǎn)進(jìn)行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、 人員、服務(wù)、文檔。對每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、可用性、 法律法規(guī)符合性要求進(jìn)行了量化賦值，形成了資產(chǎn)識別清單。同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)評估管理程序，識別

22、了對這些資產(chǎn)的威脅、可能被威 脅利用的脆弱性、識別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造 成的影響。4.2.1.5 分析和評價(jià)風(fēng)險(xiǎn) 本公司按信息安全風(fēng)險(xiǎn)評估管理程序，采用人工分析法，分析和評價(jià)風(fēng)險(xiǎn)：a) 針對重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對每一項(xiàng)威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安 全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)信息安全風(fēng)險(xiǎn)評估管理程序計(jì)算風(fēng)險(xiǎn)等級；d) 根據(jù)信息安全風(fēng)險(xiǎn)評估管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需 要處理。4.2.1.6 識別和評價(jià)風(fēng)險(xiǎn)處理的選擇 行政中心組織有關(guān)部門根據(jù)

23、風(fēng)險(xiǎn)評估的結(jié)果， 形成信息安全不可接受風(fēng)險(xiǎn)處理計(jì) 劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處置策略。對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴）消減風(fēng)險(xiǎn)（通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性）；b）接受風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者處理的代價(jià)高于風(fēng)險(xiǎn)引起的損失，公司決定接受該 風(fēng)險(xiǎn)/ 殘余風(fēng)險(xiǎn)）；c）規(guī)避風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動，從而避免風(fēng)險(xiǎn)）；d）轉(zhuǎn)移風(fēng)險(xiǎn)（通過購買保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。4.2.1.7 選擇控制目標(biāo)與控制措施行政中心根據(jù)信息安全方針、 業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評估的結(jié)果， 組織有關(guān)部門制定 了信息安全目標(biāo)，并將目標(biāo)分解到

24、有關(guān)部門（見適用性聲明）：a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b）控制目標(biāo)及控制措施的選擇原則來源于 GB/T22080-2008idtISO27001:2005 信 息技術(shù)-安全技術(shù)-信息安全管理體系-要求附錄A,具體控制措施參考 GB/T22081-2008idtlS027002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則。c）本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.8 對風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。4.2.1.9 最高管理者通過本手冊對實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。4.2.1.10 適用性聲明行政中心負(fù)

25、責(zé)編制適用性聲明（SoA。該聲明包括以下方面的內(nèi)容：a）所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b）對GB/T22080-2008idtIS027001:2005附錄A中未選用的控制目標(biāo)及控制措施理 由的說明（本公司未涉及此項(xiàng)業(yè)務(wù)）。4.2.2 實(shí)施及運(yùn)作信息安全管理體系4.2.2.1 為確保信息安全管理體系有效實(shí)施，對已識別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開 展以下活動：a）形成信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全 控制措施的優(yōu)先級；b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，明確各崗 位的信息安全職責(zé)；c）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目

26、標(biāo)的要求；d) 確定如何測量所選擇的控制措施的有效性， 并規(guī)定這些測量措施如何用于評估控 制的有效性以得出可比較的、可重復(fù)的結(jié)果；e) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；f) 對信息安全體系的運(yùn)作進(jìn)行管理；g) 對信息安全所需資源進(jìn)行管理；h) 實(shí)施控制程序，對信息安全事件(或征兆)進(jìn)行迅速反應(yīng)。4.2.2.2 信息安全組織機(jī)構(gòu)本公司成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu) - 信息安全委員會，其職責(zé)是實(shí)現(xiàn)信息安全管理體 系方針和本公司承諾。 具體職責(zé)是： 研究決定貫標(biāo)工作涉及到的重大事項(xiàng)； 審定公司信 息安全方針、 目標(biāo)、工作計(jì)劃和重要文件； 為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系 的有效運(yùn)行提供

27、必要的資源。本公司體系推進(jìn)由行政中心負(fù)責(zé)，其主要負(fù)責(zé)制訂、落實(shí)貫標(biāo)工作計(jì)劃，對單位、 部門貫標(biāo)工作進(jìn)行檢查、 指導(dǎo)和協(xié)調(diào)， 建立健全企業(yè)的信息安全管理體系， 保持其有效、 持續(xù)運(yùn)行。本公司由相關(guān)部門代表組成信息安全委員會，采用聯(lián)席會議(協(xié)調(diào)會)的方式，進(jìn) 行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評估、信息分類；d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e) 評估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g) 評價(jià)根據(jù)信息安全事件監(jiān)控和

28、評審得出的信息，并根據(jù)識別的信息安全事件推 薦適當(dāng)?shù)拇胧?.2.2.3 信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者。 總經(jīng)理指定了信息安全管理者代表。 無論信 息安全管理者代表在其他方面的職責(zé)如何，對信息安全負(fù)有以下職責(zé)：a) 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b) 對信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全委員會或最高責(zé) 任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者， 全體員工都應(yīng)按保密承諾的要求自覺 履行信息安全保密義務(wù)；各部門、人員有關(guān)信息安全職責(zé)分配見附錄 C (規(guī)范性附錄)信息安全管理職責(zé) 明細(xì)表和相應(yīng)的程序文件。4.2.2.4 各部門應(yīng)

29、按照適用性聲明中規(guī)定的安全目標(biāo)、控制措施(包括安全運(yùn)行的 各種控制程序)的要求實(shí)施信息安全控制措施。4.2.3 監(jiān)督與評審信息安全管理體系4.2.3.1 本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故(事件)報(bào)告調(diào)查處理、電 子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a) 及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故(事件)和隱患；b) 及時(shí)了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果；d) 使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e) 積累信息安全方面的經(jīng)驗(yàn)。4.2.3.2 根據(jù)以上活動的結(jié)

30、果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審， 其中包括信息安全范圍、 方針、目標(biāo)的符 合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相 關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7 章。4.2.3.3 行政中心應(yīng)組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)評估管理程序的要求，對風(fēng)險(xiǎn) 處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評審， 以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平， 對以下方面 變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：a) 組織；b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實(shí)施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任

31、的變化以及社會環(huán)境的變化。4.2.3.4 按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求， 見本手冊第 6 章。4.2.3.5 定期對信息安全管理體系進(jìn)行管理評審，以確保范圍的充分性，并識別信息安 全管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第 7 章。4.2.3.6 考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計(jì)劃。4.2.3.7 記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。4.2.4 保持與持續(xù)改進(jìn)信息安全管理體系我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進(jìn)：a) 實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項(xiàng)目；b) 按照內(nèi)部審核管理程序

32、、糾正措施管理程序、預(yù)防措施管理程序 的要求采取適當(dāng)?shù)募m正和預(yù)防措施； 吸取其他組織及本公司安全事故 (事件) 的經(jīng)驗(yàn)教 訓(xùn)，不斷改進(jìn)安全措施的有效性；c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝 通。包括獲取外部信息安全專家的建議、 信息安全政府行政主管部門的聯(lián)系及識別顧客 對信息安全的要求等；d) 對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：a) 文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊中描述；b) 信息安全管理手冊(本手冊，包括信息安全適用范圍及引用的標(biāo)準(zhǔn))；c) 本手冊

33、要求的 信息安全風(fēng)險(xiǎn)評估管理程序 、業(yè)務(wù)持續(xù)性管理程序 、糾 正措施管理程序等支持性程序；d) 信息安全管理體系引用的支持性程序。如：文件和資料管理程序、記錄 管理程序、內(nèi)部審核管理程序等；e) 為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；f) 信息安全風(fēng)險(xiǎn)評估報(bào)告、信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃以及信息安全 管理體系要求的記錄類文件；g) 相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h) 適用性聲明( SOA)。4.3.2 文件控制行政中心制定并實(shí)施 文件和資料管理程序 ，對信息安全管理體系所要求的文件 進(jìn)行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息 安全管理體

34、系有效策劃、 運(yùn)行和控制所需的受控文件的編制、 評審、批準(zhǔn)、標(biāo)識、發(fā)放、 使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使用場所能夠及時(shí)獲得適用文 件的有效版本。文件控制應(yīng)保證：a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；b) 必要時(shí)對文件進(jìn)行評審、更新并再次批準(zhǔn)；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d) 確保在使用時(shí)，可獲得相關(guān)文件的最新版本；e) 確保文件保持清晰、易于識別；f) 確保文件可以為需要者所獲得， 并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、 存儲 和最終的銷毀；g) 確保外來文件得到識別；h) 確保文件的分發(fā)得到控制；i) 防止作廢文件的非預(yù)期使用；j) 若因任何目的需

35、保留作廢文件時(shí)，應(yīng)對其進(jìn)行適當(dāng)?shù)臉?biāo)識。4.3.3 記錄控制4.3.3.1 信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。 行政 中心負(fù)責(zé)制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的記錄管理程 序，規(guī)定記錄的標(biāo)識、儲存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。4.3.3.2 信息安全體系的記錄應(yīng)包括本手冊第 4.2 條中所列出的所有過程的結(jié)果及與 ISMS相關(guān)的安全事故(事件)的記錄。4.3.3.3 各部門應(yīng)根據(jù)記錄管理程序 的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗洝? 管理職責(zé)5.1 管理承諾我公司管理者通過以下活動，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息 安全管理

36、體系的承諾提供證據(jù)：a) 建立信息安全方針 (見本手冊第 0.4 章) ；b) 確保信息安全目標(biāo)得以制定(見本手冊第 0.4 章、適用性聲明、信息安 全不可接受風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄)；c) 建立信息安全的角色和職責(zé)(見本手冊附錄 E)；d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn) 的重要性；e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)信息安全管 理體系( 見本手冊第 5.2 章)；f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級 ( 見信息安全風(fēng)險(xiǎn)評估管理程序及 相關(guān)記錄 ) ；g) 確保內(nèi)部信息安全管理體系審核(見本手冊第 6 章)得以實(shí)施；h)

37、 實(shí)施信息安全管理體系管理評審(見本手冊第 7 章)。5.2 資源管理5.2.1 資源的提供本公司確定并提供實(shí)施、 保持信息安全管理體系所需資源； 采取適當(dāng)措施， 使影響 信息安全管理體系工作的員工的能力是勝任的，以保證：a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系；b) 確保信息安全程序支持業(yè)務(wù)要求；c) 識別并指出法律法規(guī)要求和合同安全責(zé)任；d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；e) 必要時(shí)進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；f) 需要時(shí)，改進(jìn)信息安全管理體系的有效性。5.2.2 培訓(xùn)、意識和能力行政中心制定并實(shí)施 人力資源管理程序 文件，確保被分配信息安

38、全管理體系規(guī) 定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a) 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c) 評價(jià)所采取措施的有效性；d) 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性， 以 及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。6 內(nèi)部信息安全管理體系審核6.1 總則行政中心負(fù)責(zé)建立并實(shí)施內(nèi)部審核管理程序，內(nèi)部審核管理程序應(yīng)包括策 劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。 并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部 審核，以確定其信息安全管

39、理體系的控制目標(biāo)、控制措施、過程和程序是否：a) 符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b) 符合已識別的信息安全要求；c) 得到有效地實(shí)施和維護(hù)；d) 按預(yù)期執(zhí)行。6.2 內(nèi)審策劃6.2.1 行政中心應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果， 對審 核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。6.2.2 每次審核前， 行政中心應(yīng)編制內(nèi)審計(jì)劃， 確定審核的準(zhǔn)則、 范圍、日程和審核組。 審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。 審核員不應(yīng)審核自己的 工作。6.3 內(nèi)審實(shí)施6.3.1 應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a) 進(jìn)行首次會議，明

40、確審核的目的和范圍，采用的方法和程序；b) 實(shí)施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；c）進(jìn)行對檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見 和不符合報(bào)告；d）審核組長編制審核報(bào)告。6.3.2 對審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由行政中心組織對受 審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證。6.3.3 按照記錄管理程序的要求，保存審核記錄。6.3.4 內(nèi)部審核報(bào)告，應(yīng)作為管理評審的輸入之一。7 管理評審7.1 總則7.1.1 行政中心負(fù)責(zé)每年下半年組織信息安全管理體系管理評審， 以確保其持續(xù)的適宜 性、充分性和有效性。7.1.2 管理評審應(yīng)包

41、括評價(jià)信息安全管理體系改進(jìn)的機(jī)會和變更的需要， 包括安全方針 和安全目標(biāo)。7.1.3 管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。7.2 評審輸入 管理評審的輸入要包括以下信息：a) 信息安全管理體系審核和評審的結(jié)果；b) 相關(guān)方的反饋；c) 用于改進(jìn)信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d) 預(yù)防和糾正措施的狀況；e) 以往風(fēng)險(xiǎn)評估沒有充分強(qiáng)調(diào)的脆弱性或威脅；f) 有效性測量的結(jié)果；g) 以往管理評審的跟蹤措施；h) 任何可能影響信息安全管理體系的變更；i) 改進(jìn)的建議。7.3 評審輸出 管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b

42、) 更新風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃；c) 必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理 體系的內(nèi)外事件，包括以下方面的變化：1) 業(yè)務(wù)要求；2) 安全要求；3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4) 法律法規(guī)要求；5) 合同責(zé)任；6) 風(fēng)險(xiǎn)等級和(或)風(fēng)險(xiǎn)接受準(zhǔn)則d) 資源需求；e) 改進(jìn)測量控制措施有效性的方式。7.4 評審程序7.4.1 行政中心根據(jù)信息安全管理體系運(yùn)行情況和內(nèi)、外審的結(jié)果，針對評審輸入信息 要求，制定管理評審計(jì)劃，送交總經(jīng)理批準(zhǔn)后，通知相關(guān)職能部門準(zhǔn)備及提供評審 資料。7.4.2 相關(guān)部門按管理評審計(jì)劃，準(zhǔn)備相關(guān)的信息、資料，對信息安全管理體系文 件的適宜

43、性、充分性及有效性做出評價(jià)，提出改進(jìn)措施。7.4.3 最高管理者主持召開管理評審會議， 并根據(jù)評審結(jié)果， 做出管理評審結(jié)論性評價(jià)， 對信息安全管理體系中存在主要問題確定糾正和預(yù)防措施責(zé)成有關(guān)部門落實(shí)整改。7.4.4 管理評審應(yīng)形成管理評審報(bào)告，管理評審報(bào)告由管理者代表審核，最高 管理者批準(zhǔn)。7.4.5 根據(jù)“管理評審報(bào)告”提出的要求，管理者代表組織各相關(guān)部門制定糾正、預(yù)防 措施，并對實(shí)施情況進(jìn)行協(xié)調(diào)、監(jiān)督、檢查。8 信息安全管理體系改進(jìn)8.1 持續(xù)改進(jìn)本公司制定和實(shí)施糾正措施管理程序 、預(yù)防措施管理程序 內(nèi)部審核管理程 序等文件，通過下列途徑持續(xù)改進(jìn)信息安全管理體系的有效性：a) 通過信息安全

44、管理體系方針的建立與實(shí)施，對持續(xù)改進(jìn)做出正式的承諾；b) 通過建立信息安全管理體系目標(biāo)明確改進(jìn)的方向；c) 通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進(jìn)的機(jī)會并予實(shí)施，詳見內(nèi)部審核 管理程序；d) 通過數(shù)據(jù)分析不斷尋求改進(jìn)的機(jī)會，并做出適當(dāng)?shù)母倪M(jìn)活動安排，詳見糾正 措施管理程序；e) 通過實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)，詳見糾正措施管理程序和預(yù)防措施 管理程序；f) 通過管理評審輸出的有關(guān)改進(jìn)措施的實(shí)施實(shí)現(xiàn)改進(jìn)，詳見本手冊第 7 章。8.2 糾正措施8.2.1 行政中心負(fù)責(zé)建立并實(shí)施糾正措施管理程序，采取糾正措施，消除與信息安 全管理體系要求不符合的原因，以防止再發(fā)生。8.2.2 糾正措施管理程序應(yīng)規(guī)定

45、以下方面的要求：a) 識別存在的不符合；b) 確定不符合的原因；c) 評價(jià)確保不符合不再發(fā)生的措施要求；d) 確定和實(shí)施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評審所采取的糾正措施。8.3 預(yù)防措施8.3.1 行政中心建立并實(shí)施預(yù)防措施管理程序，規(guī)定采取以下措施，以消除潛在與 信息安全管理體系要求不符合的原因，防止其發(fā)生。8.3.2 所采取的預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)8.3.3 預(yù)防措施管理程序應(yīng)規(guī)定以下方面的要求：a) 識別潛在的不符合及其原因；b) 評價(jià)預(yù)防不符合發(fā)生的措施要求；c) 確定并實(shí)施所需的預(yù)防措施；d) 記錄所采取措施的結(jié)果；e) 評審所采取的預(yù)防措施。8.

46、3.4 公司風(fēng)險(xiǎn)評估小組應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評估，以識別變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯 著的風(fēng)險(xiǎn)來識別預(yù)防措施要求。預(yù)防措施的優(yōu)先級應(yīng)基于風(fēng)險(xiǎn)評估結(jié)果來確定。附錄A（規(guī)范性附錄）信息安全管理組織結(jié)構(gòu)圖附錄B（規(guī)范性附錄）辦公大樓平面圖域。201室：總經(jīng)理室202室：行政中心204室：機(jī)房205室：客服中心203206室：項(xiàng)目中心室：會議室其中201室、203室、204室為公司重要安全區(qū)域,202室、205室、206室為公司普通安全區(qū)205室h 42D&X、配電宣W :儲物間譴男ii女！8鮮間/ /儲 物 閭過道走麻JLJ”走廊/如4宣|如3宣20 2宣% 空白附錄C（規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表

47、部門/職位職責(zé)信息安全管理委員會?建立信息安全管理體系的策略。?負(fù)責(zé)信息安全方針和目標(biāo)的建立。?負(fù)責(zé)分配信息安全的角色和相關(guān)職責(zé)。?負(fù)責(zé)公司信息安全組織結(jié)構(gòu)的批準(zhǔn)。?負(fù)責(zé)信息安全管理體系管理者代表的任命。?確保信息安全管理體系內(nèi)部審核的實(shí)施。?定期對信息安全管理體系進(jìn)行管理評審。?確保公司信息安全教育的落實(shí)。?決定接受風(fēng)險(xiǎn)準(zhǔn)則和風(fēng)險(xiǎn)的可接受的等級。?為信用卡中心信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視保持和改進(jìn)配備必要 的資源。管理者代表?監(jiān)督信息安全管理體系的實(shí)施，監(jiān)控公司的信息安全情況，并定期向最高管理者 匯報(bào)。?向公司傳達(dá)實(shí)現(xiàn)信息安全目標(biāo)、符合信息安全策略、法律責(zé)任的重要性以及持續(xù) 改進(jìn)

48、的需要。?負(fù)責(zé)信息安全管理體系內(nèi)審員的批準(zhǔn)。?負(fù)責(zé)程序文件的審批，包括修改的審批。?確認(rèn)信息管理手冊內(nèi)容，并負(fù)責(zé)后期工作的監(jiān)督。?審核批準(zhǔn)內(nèi)部審核計(jì)劃，主持、監(jiān)督信息安全內(nèi)部審核，批復(fù)內(nèi)審報(bào)告。?負(fù)責(zé)審核管理評審計(jì)劃和管理評審報(bào)告，監(jiān)督管理評審措施的落實(shí)。?負(fù)責(zé)組織和確認(rèn)公司信息安全教育。信息安全執(zhí)行代表?在信息安全管理組確定的實(shí)施范圍內(nèi)，具體推廣并落實(shí)各項(xiàng)策略要求和控制措施。?負(fù)責(zé)本部門信息安全的日常工作，負(fù)責(zé)本部門人員的信息安全意識提升。?對本部門信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，根據(jù)公司的實(shí)情，討論風(fēng)險(xiǎn)的可接受標(biāo)準(zhǔn)，對 不能接受的風(fēng)險(xiǎn)進(jìn)行處置。?負(fù)責(zé)本部門信息安全事件的應(yīng)急處理。信息安全內(nèi)審小組?負(fù)

49、責(zé)對各部門信息安全管理體系的實(shí)施運(yùn)行情況進(jìn)行監(jiān)督和檢查。?負(fù)責(zé)內(nèi)部審核和外部審核的具體安排。?負(fù)責(zé)組織對信息安全管理體系文件的評審，并提岀文件評審意見。?負(fù)責(zé)有效性測量工作的計(jì)劃和實(shí)施。各部門?負(fù)責(zé)收集與本部門相關(guān)的信息安全方面的法規(guī)及其他要求，并及時(shí)上報(bào)信息安全 委員會，同時(shí)負(fù)責(zé)在本部門內(nèi)傳達(dá)，貫徹和實(shí)施與部門相關(guān)的法規(guī)及其他要求。?協(xié)助在本部門內(nèi)宣傳公司的信息安全管理體系文件的要求，提高本部門員工的信息安全意識。?按照信息安全體系文件的要求，在本部門遵照執(zhí)行。?發(fā)生信息安全事故后負(fù)責(zé)配合信息安全委員會工作，并協(xié)助制定、實(shí)施處置措施。?協(xié)助信息安全審計(jì)小組進(jìn)行體系的內(nèi)部審查與外部評審。?對信

50、息資產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問。?負(fù)責(zé)本部門信息安全管理體系文件和記錄的接收、編寫、修改與保存。?處理本部門與信息安全相關(guān)的事宜，向信息安全委員會反饋本部門在信息安全方面的要求和建議。?在第三方或?qū)ν饴?lián)絡(luò)中積極宣傳本公司的信息安全目標(biāo)和方針。?在與第三方或外界進(jìn)行信息交流、接觸時(shí)，保證信息的安全。附錄D（資料性附錄）信息安全管理體系程序文件清單序號文件名稱文件編號1文件和資料管理程序ISMS-20012記錄管理程序ISMS-20023密級控制程序ISMS-20034信息安全風(fēng)險(xiǎn)評估管理程序ISMS-20045業(yè)務(wù)持續(xù)性管理程序ISMS-

51、20056信息安全合規(guī)性管理程序ISMS-20067人力資源管理程序ISMS-20078相關(guān)方信息安全管理程序ISMS-20089信息安全溝通管理程序ISMS-200910安全區(qū)域管理程序ISMS-201011網(wǎng)絡(luò)安全管理程序ISMS-201112用戶訪問管理程序ISMS-201213信息交換管理程序ISMS-201314系統(tǒng)開發(fā)與維護(hù)控制程序ISMS-201415更改控制程序ISMS-201516事故、事件、薄弱點(diǎn)與故障管理程序ISMS-201617軟件管理程序ISMS-201718介質(zhì)管理程序ISMS-201819信息處理設(shè)備管理程序ISMS-201920惡意軟件控制程序ISMS-2020

52、21重要信息備份管理程序ISMS-202122信息系統(tǒng)監(jiān)控管理程序ISMS-202223適用性聲明ISMS-202324內(nèi)部審核管理程序ISMS-202425管理評審控制程序ISMS-202526糾正措施管理程序ISMS-202627預(yù)防措施管理程序ISMS-2027附錄E（規(guī)范性附錄）信息安全角色和職責(zé)總經(jīng)理a）根據(jù)董事會或公司提出的戰(zhàn)略目標(biāo)， 制定公司戰(zhàn)略，提出公司的業(yè)務(wù)規(guī)劃、 經(jīng)營方針和經(jīng)營形式，經(jīng)公司或董事會確定后組織實(shí)施。b）擬訂公司內(nèi)部管理機(jī)構(gòu)設(shè)置方案和基本管理制度；c）審定公司具體規(guī)章、獎(jiǎng)罰條例，審定公司工資獎(jiǎng)金分配方案，審定經(jīng)濟(jì)責(zé) 任掛鉤辦法并組織實(shí)施；d）審核簽發(fā)以公司名義發(fā)

53、出的文件；e）召集、主持總經(jīng)理辦公會議，檢查、督促和協(xié)調(diào)各部門的工作進(jìn)展，主持 召開行政例會、專題會等會議，總結(jié)工作、聽取匯報(bào)；f）主持公司的全面經(jīng)營管理工作，組織實(shí)施董事會決議；g）向董事會或公司提出企業(yè)的更新改造發(fā)展規(guī)劃方案、預(yù)算外開支計(jì)劃；h）處理公司重大突發(fā)事件；i）推進(jìn)公司企業(yè)文化的建設(shè)工作。副總經(jīng)理a）協(xié)助總經(jīng)理制定公司發(fā)展戰(zhàn)略規(guī)劃、經(jīng)營計(jì)劃、業(yè)務(wù)發(fā)展計(jì)劃；b）將公司內(nèi)部管理制度化、規(guī)范化；c）制定公司組織結(jié)構(gòu)和管理體系、相關(guān)的管理、業(yè)務(wù)規(guī)范和制度；d）組織、監(jiān)督公司各項(xiàng)規(guī)劃和計(jì)劃的實(shí)施；e）開展企業(yè)形象宣傳活動；f）按時(shí)提交公司發(fā)展現(xiàn)狀報(bào)告、發(fā)展計(jì)劃報(bào)告；g）指導(dǎo)公司人才隊(duì)伍的建

54、設(shè)工作；h）協(xié)助總經(jīng)理對公司運(yùn)作與各職能部門進(jìn)行管理，協(xié)助監(jiān)督各項(xiàng)管理制 度的制定及推行；i）協(xié)助總經(jīng)理推進(jìn)公司企業(yè)文化的建設(shè)工作；完成總經(jīng)理臨時(shí)下達(dá)的任務(wù)。行政中心1）出納a）負(fù)責(zé)現(xiàn)金支票的收入保管、簽發(fā)支付工作；b）嚴(yán)格按照公司的財(cái)務(wù)制度報(bào)銷結(jié)算公司各項(xiàng)費(fèi)用并編制相關(guān)憑證；c) 及時(shí)準(zhǔn)確編制記賬憑證并逐筆登記總賬及明細(xì)賬，定期上繳各種完整 的原始憑證；d) 及時(shí)與銀行定期對賬；e) 根據(jù)公司領(lǐng)導(dǎo)的需要，編制各種資金流動報(bào)表；f) 配合會計(jì)人員做好每月的報(bào)稅和工資的發(fā)放工作；g) 管理銀行賬戶、轉(zhuǎn)賬支票與發(fā)票；h) 完成其他由上級主管指派及自行發(fā)展的工作。2) 部門經(jīng)理a) 組織制定行政中心工作