1信息安全管理手冊

1、江蘇 XXXX科技有限公司編號XX-ISMS-01版本A/0密級內(nèi)部限制受控是生效日期核準審查制訂2016.3.1修改記錄序號修改原因修改內(nèi)容修改人/ 時間批準人/ 時間備注目錄0.1 、信息安全管理手冊發(fā)布令0.2 、管理者代表任命書0.3 、公司簡介0.4 、信息安全方針0.5 、信息安全目標1、范圍2、引用標準3、術(shù)語和定義4、信息安全管理體系4.1 組織環(huán)境4.2 理解相關(guān)方的需求和期望4.3 明確信息安全管理體系的范圍4.4 信息安全管理體系5、領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾5.2 方針5.3 組織角色、職責(zé)和權(quán)力6、計劃6.1 處置風(fēng)險和機遇6.2 信息安全目標的計劃和實現(xiàn)7、支持7.1

2、資源7.2能力7.3意識7.4溝通7.5文檔要求8、實施8.1運行計劃和控制8.2信息安全風(fēng)險評估8.3信息安全風(fēng)險處置9、績效評價9.1監(jiān)視、測量、分析和評價9.2內(nèi)部審核9.3管理評審10、改進10.1 不符合項和糾正措施10.2 持續(xù)改進附件：附件一：信息安全職能分配表 附件二：信息安全職責(zé) 附件三：信息安全管理體系程序文件清單附件四：信息安全管理體系作業(yè)指導(dǎo)書文件清單0.1 信息安全管理手冊發(fā)布令為提高江蘇 XXXX科技有限公司的信息安全管理水平， 保障企業(yè)經(jīng)營、 服務(wù)和日常管 理活動，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或 安全事故，公司開展貫徹 ISO

3、/IEC 27001:2013信息技術(shù) -安全技術(shù) -信息安全管理體系 要求標準的工作，建立文件化的信息安全管理體系， 制定了江蘇 XXXX科技有限公司 信 息安全管理手冊（以下簡稱手冊）。本手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實施信息安全管理體系的綱領(lǐng)和行 動準則，用于貫徹企業(yè)的信息安全管理方針、管理目標，實現(xiàn)信息安全管理體系有效運 行、持續(xù)改進，是江蘇 XXXX科技有限公司信息安全管理工作長期遵循的準則。全體職工必須嚴格按照手冊的要求，自覺執(zhí)行管理方針，貫徹實施本手冊的各項規(guī) 定，努力實現(xiàn)江蘇 XXXX科技有限公司的管理目標和管理承諾。本手冊自頒布之日起生效執(zhí)行。江蘇 XXXX科技有限

4、公司總經(jīng)理：二一六年三月一日0.2 管理者代表任命書茲委任擔任江蘇 XXXX科技有限公司 ISO27001 信息安全管理體系管理者代表。他將履行以下職責(zé)及權(quán)限：1、負責(zé)公司 ISO27001的推行認證工作，負責(zé)組織信息安全管理體系建立、實施和維持，確保公司的信息安全管理體系運作符合信息安全管理體系標準；2、信息安全管理體系內(nèi)部審核的策劃、組織及實施；3、批準信息安全管理體系程序文件；4、代表公司就信息安全的有關(guān)事項和外部進行聯(lián)絡(luò)?？偨?jīng)理： 日 期：二一六年三月一日0.3 、公司簡介公司組織架構(gòu)如下圖所示：0.4 信息安全方針實施風(fēng)險管理，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。信息安全方針含義 :a

5、. 根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng) 險接受準則。定期進行風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā) 生重大變化時， 隨時評估。應(yīng)根據(jù)風(fēng)險評估的結(jié)果， 采取相應(yīng)措施， 降低風(fēng)險。b. 在日常企業(yè)生產(chǎn)和管理中，對信息安全予以重視，全面識別和分析全部信息資 產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點、可能存在的威脅，考慮成本、利益、風(fēng)險 的綜合平衡，對資產(chǎn)進行分類保護，以適宜的成本達到系統(tǒng)保護的要求。c. 建立健全信息安全監(jiān)督和保證體系，明確各級、各崗位的信息安全責(zé)任，以人 為本，堅持全員、全方位、全過程信息安全管理。通過測量和監(jiān)控，持續(xù)改進， 保證信息安全管理體系的

6、有效運行，做到制度執(zhí)行有記錄、記錄記載可追溯， 最終保障企業(yè)生產(chǎn)、經(jīng)營、管理和服務(wù)的持續(xù)和安全，實現(xiàn)企業(yè)發(fā)展目標。0.5 、信息安全目標：本公司信息安全目標：1) 安全事件發(fā)生次數(shù)：重大安全事件目標值： 0次/ 年 ；較大安全事件目標值：不大于 4 次/ 年；一 般安全事件目標值：不大于 8次/ 年。2) 信息泄密次數(shù)： 保證各種需要保密的資料(包括電子文檔、光盤等)不被泄密，確保秘密、 機密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標值： 0 次 / 年各部門信息安全目標：部門部門信息安全目標統(tǒng)計方式監(jiān)測 頻率綜合部1、人員招聘手續(xù)辦理完 成率 100%； 2、人員教育或培訓(xùn)實施 率 100%；

7、 3、人員離職手續(xù)辦理完 成率 100%； 4、辦公環(huán)境消防設(shè)施配 置率 100%； 5、辦公環(huán)境消防設(shè)施點 檢率 100%； 6、每年至少組織實施完 成 1 次信息安全內(nèi)審，且 資料齊全； 7、每年至少組織實施完 成 1 次信息安全管理評 審，且資料齊全； 8、每年至少進行 1 次信 息安全體系文件評審及 更新； 9、每年至少組織實施完 成 1 次風(fēng)險評估。1、查看全部員工入職手續(xù)辦理情況； 2、查看培訓(xùn)計劃及培訓(xùn)實施情況； 3、查看實際人員離職及手續(xù)辦理情況； 4、現(xiàn)場檢查辦公環(huán)境消防器材配備情 況； 5、現(xiàn)場檢查辦公環(huán)境消防器材的檢修情 況； 7、按照信息安全內(nèi)審計劃執(zhí)行內(nèi)審及改 進，及

8、時整理信息安全內(nèi)審資料； 8、按照信息安全管理評審計劃執(zhí)行評審 及改進，及時整理信息安全管理評審資 料； 9、每年集中對信息安全管理體系文件進 行評審，必要時進行更新； 10、每年組織各相關(guān)部門進行風(fēng)險評估 回顧、對新增或發(fā)生變化的信息資產(chǎn)進 行風(fēng)險評估。每年研發(fā)部1、網(wǎng)絡(luò)非正常中斷每月 1 次。2、主機系統(tǒng)非正常中斷 每月 1 次。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機系統(tǒng)中斷事件為依據(jù)每半 年其他部 門重要文檔及數(shù)據(jù)被正確 保管及使用，機密信息泄 露次數(shù)為 0 次每半年檢查一次日常工作文件及數(shù)據(jù)是 否被正確保管及使用，以及機密信息泄 露相關(guān)事件。每年1、范圍1.1 總則為了建立、實

9、施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡 稱 ISMS），確定信息安全方針和目標， 對信息安全風(fēng)險進行有效管理，確保全體員工理 解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定 本手冊。1.2 應(yīng)用1.2.1 覆蓋范圍本信息安全管理手冊規(guī)定了江蘇 XXXX科技有限公司信息安全管理體系的建立和管 理、管理職責(zé)、內(nèi)部審核、管理評審和體系持續(xù)改進等方面內(nèi)容。1.2.2 刪減說明本信息安全管理手冊采用了 ISO/IEC27001:2013 標準正文的全部內(nèi)容，對附錄 A 的刪減見適用性聲明 SoA。2、規(guī)范性引用文件ISO/IEC 27001:2013 信

10、息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC 27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實施細則文檔3、術(shù)語和定義3.3.1 ISO/IEC 27001:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理體系要求 ISO/IEC 27002:2013 信息技術(shù) -安全技術(shù) -信息安全管理實施細則規(guī)定的術(shù)語和 定義適用于本信息安全管理手冊 。3.3.2 本組織、本公司、我司：指江蘇 XXXX科技有限公司。4、信息安全管理體系4.1 組織環(huán)境 組織外部環(huán)境包括如下幾個方面，但并不局限于此： 文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟、自然環(huán)境以及競爭環(huán)境，無 論是國際、國內(nèi)、區(qū)域

11、或地方；影響組織目標的主要驅(qū)動因素和發(fā)展趨勢； 外部利益相關(guān)者的觀點和價值觀。 組織內(nèi)部環(huán)境包括如下幾個方面，但并不局限于此： 資源與知識的理解能力（如：資本、時間、人力、流程、系統(tǒng)和技術(shù)） ； 信息系統(tǒng)、信息流動以及決策過程（包括正式和非正式的） ； 內(nèi)部利益相關(guān)者；政策，為實現(xiàn)的目標及戰(zhàn)略； 觀念、價值觀、文化；組織通過的標準以及參考模型； 以上相關(guān)因素將影響公司實現(xiàn)信息安全管理體系的預(yù)期成果。4.2 理解相關(guān)方的需求和期望a）與本公司信息安全管理體系有關(guān)的相關(guān)方有：供方、合同方、顧客及其他第三 方訪問者。b）各相關(guān)方對我司的信息安全需求， 包括了信息安全相關(guān)法律法規(guī)要求和合同規(guī) 定的義務(wù)

12、。4.3 本公司信息安全管理體系的范圍和邊界 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本 公司信息安全管理體系的范圍包括：a) 業(yè) 務(wù)范圍：。的設(shè)計開發(fā)和服務(wù)的信息安全管理活動；b) 信息系統(tǒng)范圍：所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；c) 組織范圍：與所述業(yè)務(wù)有關(guān)的部門和所有員工；d) 地 理范圍：。4.4 信息安全管理體系本公司按照 ISO/IEC 27001:2013 信息技術(shù)-安全技術(shù)-信息安全管理體系 -要求 規(guī)定，參照 ISO/IEC 27002:2013信息技術(shù) -安全技術(shù) -信息安全管理實用規(guī)則 ，建立、 實施、運行、監(jiān)視、評審、保持和改進文

13、件化的信息安全管理體系。5 領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾 本公司通過以下行動證明公司實施了與信息安全管理體系有關(guān)的領(lǐng)導(dǎo)工作與承諾：a) 確保建立與組織戰(zhàn)略目標一致的信息安全方針和信息安全目標；b) 確保信息安全管理體系要求集成到組織的管理流程；c) 確保提供信息安全管理體系需要的各項資源；d) 傳達信息安全管理的重要性及信息安全管理體系要求；e) 確保信息安全管理體系實現(xiàn)其預(yù)期目標；f) 指導(dǎo)和支持信息安全團隊；g) 促使持續(xù)改進；h) 支持其他相關(guān)的管理者在其職責(zé)范圍內(nèi)履行管理職責(zé)。5.2 方針 為了滿足適用法律法規(guī)及相關(guān)方要求，維持公司經(jīng)營和管理的正常進行，實現(xiàn)業(yè)務(wù) 可持續(xù)發(fā)展的目的。本公司根據(jù)

14、組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定 義了 ISMS方針，見本信息安全管理手冊第 0.4 條款。該信息安全方針符合以下要求：1) 為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；2) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；3) 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持 ISMS；4) 建立了風(fēng)險評價的準則；5) 經(jīng) 最高管理者批準。5.3 組織角色、職責(zé)和權(quán)力5.3.1 信息安全組織機構(gòu)本公司成立了由最高管理者、管理者代表及各部門負責(zé)人組成的信息安全委員會， 其職責(zé)是實現(xiàn)信息安全管理體系方針和本公司承諾，負責(zé)制訂、落實信息安全管理工作 計劃，建立健全企

15、業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關(guān)部門代表組成的運行分析會議的方式，進行信息安全協(xié)調(diào)和協(xié)作， 以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準信息安全的方法和過程，如風(fēng)險評估、信息分類；5.3.2 信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高管理者，對信息安全全面負責(zé)，主要包括：a) 組織制定信息安全方針及目標，任命管理者代表，明確管理者代表的職責(zé)和權(quán) 限。b) 確保在內(nèi)部傳達滿足客戶、法律法規(guī)和公司信息安全管理要求的重要性。c) 為信息安全管理體系配備必要的資源。各部門負責(zé)人為本部門信息安全管理責(zé)任者， 全體員工都應(yīng)按保密承諾的要求自

16、覺 履行信息安全保密義務(wù)；各部門有關(guān)信息安全職責(zé)分配見信息安全管理職能分配表 。各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標、控制措施(包括安全運行的各種控制程序)的要求實施信息安全控制措施。6.1 處置風(fēng)險和機遇6.1.1 總則為實現(xiàn)公司信息安全管理體系方針和目標， 我司參考組織環(huán)境中的問題和相關(guān)方的 需求和，來決定需要被處置的風(fēng)險和機遇：a) 確保信息安全管理體系可以實現(xiàn)其預(yù)期目標；b) 避免或減少不良影響；c) 實現(xiàn)持續(xù)改進。公司對以下方面進行規(guī)劃：a) 處置風(fēng)險和機遇的行動；b) 如何1) 將實施行動整合到信息安全管理體系流程中；2) 評價行動的有效性。6.1.2 信息安全風(fēng)險評估公

17、司制定信息安全風(fēng)險評估控制程序 ，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準則并識別 風(fēng)險的可接受等級。 所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的 結(jié)果信息安全風(fēng)險評估的流程見 圖 2. 風(fēng)險評估流程圖文檔公司實施信息安全風(fēng)險評估流程，從而：a) 建立和維護信息安全風(fēng)險標準，包括：1) 風(fēng)險接受標準；2) 實施信息安全風(fēng)險評估的標準；b) 確保信息安全風(fēng)險評估活動產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果；c) 識別信息安全風(fēng)險：1) 在信息安全管理體系范圍內(nèi)，通過信息安全風(fēng)險評估流程，識別由于信息的 機密性、完整性和可用

18、性的喪失帶來的風(fēng)險；2) 識別風(fēng)險的屬主；d) 分析信息安全風(fēng)險：1) 評估在信息安全風(fēng)險評估中識別的風(fēng)險產(chǎn)生的潛在后果；2) 評估在信息安全風(fēng)險評估中識別的風(fēng)險轉(zhuǎn)化為事件的可能性；3) 確定風(fēng)險的等級；e) 評價信息安全風(fēng)險：1) 將風(fēng)險分析結(jié)果與在信息安全風(fēng)險評估中所定義的風(fēng)險標準進行比較；2) 根據(jù)風(fēng)險等級確定風(fēng)險處置的優(yōu)先級。f) 組織保留有關(guān)信息安全風(fēng)險評估的過程文檔。6.1.3 信息安全風(fēng)險處置公司根據(jù)風(fēng)險評估的結(jié)果， 形成風(fēng)險處理計劃，該計劃明確了風(fēng)險處理責(zé)任部門、 負責(zé)人、處理方法及起始、完成時間。對于信息安全風(fēng)險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴) 采用

19、適當?shù)膬?nèi)部控制措施；b) 接受風(fēng)險(不可能將所有風(fēng)險降低為零) ；c) 避免風(fēng)險(如物理隔離) ；d) 轉(zhuǎn)移風(fēng)險(如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商) 。 控制目標及控制措施的選擇原則來源于 ISO/IEC 27001:2013 附錄 A，具體控制措施參考ISO/IEC 27002:2013 信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則 組織保留信息安全風(fēng)險處置的過程文檔。6.2 信息安全目標的計劃和實現(xiàn) 本公司建立不同職能及層級的信息安全目標。詳見本手冊 0.5 章內(nèi)容。此信息安全 目標應(yīng)：a) 與信息安全方針一致；b) 可度量(如果可操作) ；c) 考慮適用的信息安全要求 , 以及風(fēng)險評估和風(fēng)

20、險處置結(jié)果；d) 得到溝通；e) 及時更新。 信息安全目標以文檔化形式保留。在規(guī)劃如何實現(xiàn)信息安全目標時，公司明確：a) 要做什么；b) 需要什么資源；c) 誰來負責(zé)；d) 什么時候完成；e) 如何評價結(jié)果。7.1 資源 本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響 信息安全管理體系工作的員工的能力是勝任的，以保證：a) 建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b) 確保信息安全程序支持業(yè)務(wù)要求；c) 識別并指出法律法規(guī)要求和合同安全責(zé)任；d) 通過正確應(yīng)用所實施的所有控制來保持充分的安全；e) 必要時進行評審，并對評審的結(jié)果采取適當措施；f) 需

21、要時，改進信息安全管理體系的有效性。7.2 能力 公司制定并實施人力資源安全管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a) 確定承擔信息安全管理體系各工作崗位的職工所必要的能力；b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c) 評價所采取措施的有效性；d) 保留教育、培訓(xùn)、技能、經(jīng)驗和資歷的記錄。 本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以 及如何為實現(xiàn)信息安全管理體系目標做出貢獻。7.3 意識 公司員工應(yīng)理解：a) 信息安全方針；b) 個人對于實現(xiàn)信息安全管理的重要性，提高組織信息安全

22、績效的收益；c) 不符合信息安全管理體系要求所造成的影響。7.4 溝通公司制定信息溝通協(xié)調(diào)管理規(guī)范 ，以明確與信息安全管理體系相關(guān)的內(nèi)、外部溝 通需求，包括：a）溝通什么；b）何時溝通；c）和誰溝通；d）誰應(yīng)該溝通；e）哪種溝通過程有效。7.5 文檔要求7.5.1 綜述組織的信息安全管理體系包括：a）符合 ISO/IEC27001:2013 標準的文件包括：信息安全管理手冊、程序文件、管理 規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件；b）組織所明確的，表明信息安全管理體系有效性的必要的記錄文檔。7.5.2 創(chuàng)建和更新 公司制定并實施文件控制程序 ，對信息安全管理

23、體系所要求的文件進行管理，以 確定：a）識別和描述（例如：標題、日期、作者和版本號） ；b）格式（例如：語言、軟件版本和圖形）與介質(zhì)（例如：紙質(zhì)、電子） ；c）適宜性和充分性經(jīng)過評審。7.5.3 文檔控制公司制定并實施文件控制程序 ，對信息安全管理體系所要求的文件進行管理。以 確保：a）在需要的時間和場合可用；b）文檔得到充分保護（例如：防止泄密、不當使用或喪失完整性） 。文檔控制應(yīng)保證：a) 文件發(fā)布前得到批準，以確保文件是充分的；b) 必要時對文件進行評審、更新并再次批準；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d) 確保在使用時，可獲得相關(guān)文件的最新版本；e) 確保文件保持清晰、易于

24、識別；f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲和 最終的銷毀；g) 確保外來文件得到識別；h) 確保文件的分發(fā)得到控制；i) 防止作廢文件的非預(yù)期使用；j) 若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。8 實施8.1 運行計劃和控制為確保信息安全管理體系有效實施，對已識別的風(fēng)險進行有效處理，本公司開展以 下活動：a) 形成風(fēng)險處理計劃 ，以確定適當?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級；b) 為實現(xiàn)已確定的安全目標、實施風(fēng)險處理計劃 ，明確各崗位的信息安全職責(zé)；c) 實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d) 確定如何測量所選擇的控制措施的有效性

25、，并規(guī)定這些測量措施如何用于評估控 制的有效性以得出可比較的、可重復(fù)的結(jié)果；e) 進行信息安全培訓(xùn)，提高全員信息安全意識和能力；f) 對信息安全體系的運作進行管理；g) 對信息安全所需資源進行管理；h）實施控制程序，對信息安全事故（或征兆）進行迅速反應(yīng)。公司保留以上必要的過程文檔信息，以表明相關(guān)過程已按照計劃執(zhí)行。控制計劃更 改，并審核計劃變更的影響，如有必要采取措施減少不利影響。確保外包過程受控。8.2 信息安全風(fēng)險評估8.2.1 識別風(fēng)險在已確定的信息安全管理體系范圍內(nèi)，按照計劃，或者在重大改變提出或發(fā)生時進 行信息安全風(fēng)險評估，本公司執(zhí)行信息安全風(fēng)險評估控制程序 ，對所有的資產(chǎn)進行列 表

26、識別，并識別這些資產(chǎn)的所有者。資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、 服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符 合性要求進行了量化賦值，形成資產(chǎn)清單 。同時，根據(jù)信息安全風(fēng)險評估控制程序 ，識別對這些資產(chǎn)的威脅、可能被威脅利 用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的 影響。8.2.2 分析和評價風(fēng)險本公司按信息安全風(fēng)險評估控制程序 ，分析和評價風(fēng)險： a）針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行 賦值；b） 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全 失效發(fā)生

27、的可能性，并進行賦值；c）根據(jù)信息安全風(fēng)險評估控制程序計算風(fēng)險等級；d）根據(jù)信息安全風(fēng)險評估控制程序中的風(fēng)險接受準則 ，判斷風(fēng)險為可接受或 需要處理。8.3 信息安全風(fēng)險處置公司根據(jù)風(fēng)險評估的結(jié)果，形成了風(fēng)險處理計劃 ，該計劃明確了風(fēng)險處理責(zé)任部 門、負責(zé)人、處理方法及起始、完成時間。公司根據(jù)計劃進行了處置，并保持處置的記 錄。對風(fēng)險處理后的剩余風(fēng)險，得到了管理者的批準。9 績效評價9.1 監(jiān)視、測量、分析和評價 本公司通過實施監(jiān)視、測量、分析和評價控制程序以監(jiān)視、測量、分析和評價 公司信息安全管理狀況結(jié)果，以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故和隱患； b）及時了解識別失敗

28、的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗；9.2 內(nèi)部審核公司建立內(nèi)部審核控制程序 。內(nèi)部審核控制程序包括策劃和實施審核以及報 告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時間間隔（兩次內(nèi)部審核的間隔不得超 過 12 個月）進行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標、 控制措施、過程和程序是否：a） 符合本標準的要求和相關(guān)法律法規(guī)的要求；b） 符合已識別的信息安全要求；c）得到有效地實施和維護；d）按預(yù)期執(zhí)行。內(nèi)部審

29、核的過程文檔應(yīng)清晰地形成記錄，并加以保持。9.3 管理評審公司建立并實施管理評審控制程序 ，公司管理者應(yīng)按管理評審控制程序規(guī)定 的時間間隔(兩次管理評審的間隔不得超過 12 個月)評審信息安全管理體系，以確保其 持續(xù)的適宜性、充分性和有效性。管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和 安全目標。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。10 改進10.1 不符合和糾正措施公司建立并實施糾正與預(yù)防控制程序 ，當出現(xiàn)不符合情況時：a) 對不符合情況采取措施，如：1) 采取措施，以控制和改正它；2) 處置影響；b) 明確必要的控制措施，以消除不符合情況產(chǎn)生的原因，

30、確保它不會再發(fā)生或在其 他地方 發(fā)生，通過：1) 評審不符合項；2) 明確不符合項產(chǎn)生的原因；3) 明確是否存在或可能發(fā)生類似的不符合項；c) 采取必要的措施；d) 評審已采取的改正措施的有效性；e) 必要時改進信息安全管理體系。糾正措施應(yīng)與所發(fā)生的不符合的影響程度相適應(yīng)。 組織應(yīng)保留以下文檔信息作為證 據(jù)：f) 不符合情況的性質(zhì)和所采取的后續(xù)行動；g) 糾正措施的結(jié)果。10.2 持續(xù)改進 本公司通過使用信息安全方針、信息安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正 和預(yù)防措施以及管理評審，不斷完善信息安全管理體系的適宜性、充分性和有效性。附件一：信息安全職能分配表（注： 負責(zé)部門； 相關(guān)部門）：

31、管理單位體系要求信息安全 委員會總經(jīng)理管理者代表綜合部研發(fā)部技術(shù)部財務(wù)部銷售部4. 組織環(huán)境4.1 理解組織及其環(huán)境4.2 理解相關(guān)方的需求和期望4.3 明確信息安全管理體系的范 圍4.4 信息安全管理體系5 領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾5.2 方針5.3 組織角色、職責(zé)和權(quán)力6 計劃6.1 處置風(fēng)險和機遇6.2 信息安全目標的計劃和實現(xiàn)7 支持7.1 資源7.2 能力7.3 意識7.4 溝通7.5 文檔要求8 實施8.1 運行計劃和控制8.2 信息安全風(fēng)險評估8.3 信息安全風(fēng)險處置9 績效評價9.1 監(jiān)視、測量、分析和評價9.2 內(nèi)部審核9.3 管理評審10 改進10.1 不符合項和糾正措施10

32、.2 持續(xù)改進A.5 信息安全方針A.5.1 信息安全管理指引A.6 信息安全組織A.6.1 內(nèi)部組織A.6.2 移動設(shè)備和遠程辦公A.7 人力資源安全A.7.1 任用前A.7.2 任用中A.7.3 任用終止和變更A.8 資產(chǎn)管理A.8.1 資產(chǎn)的責(zé)任A.8.2 信息分類A.8.3 介質(zhì)處理A.9 訪問控制A.9.1 訪問控制的業(yè)務(wù)需求A.9.2 用戶訪問管理A.9.3 用戶責(zé)任A.9.4 系統(tǒng)和應(yīng)用訪問控制A.10 加密技術(shù)A.10.1 加密控制A.11 物理和環(huán)境安全A.11.1 安全區(qū)域A.11.2 設(shè)備安全A.12 操作安全A.12.1 操作程序及職責(zé)A.12.2 防范惡意軟件A.12

33、.3 備份A.12.4 日志記錄和監(jiān)控A.12.5 操作軟件的控制A.12.6 技術(shù)脆弱性管理A.12.7 信息系統(tǒng)審計的考慮因素A.13 通信安全A.13.1 網(wǎng)絡(luò)安全管理A.13.2 信息傳輸A.14 系統(tǒng)的獲取、開發(fā)及維護A.14.1 信息系統(tǒng)安全需求A.14.2 開發(fā)和支持過程的安全A.14.3 測試數(shù)據(jù)A.15 供應(yīng)商關(guān)系A(chǔ).15.1 供應(yīng)商關(guān)系的信息安全A.15.2 供應(yīng)商服務(wù)交付管理A.16 信息安全事件管理A.16.1 信息安全事件的管理和改 進A.16.1.1 職責(zé)和程序A.16.1.2 報告信息安全事態(tài)A.16.1.3 報告信息安全弱點A.16.1.4 評估和決策信息安全事

34、 件A.16.1.5 響應(yīng)信息安全事故A.16.1.6 從信息安全事故中學(xué)習(xí)A.16.1.7 收集證據(jù)A.17 業(yè)務(wù)連續(xù)性管理中的信息安 全A.17.1 信息安全的連續(xù)性A.17.2 冗余A.18 符合性A.18.1 法律和合同規(guī)定的符合性A.18.2 信息安全評審附件二：信息安全職責(zé)序號架構(gòu)/ 部門成員及職能1信息安全 委員會最高管理者總經(jīng)理：張建廠管理者代表XXX成員XX(銷售部)、XX(技術(shù)部)、XX(研發(fā)部)、XXX(綜合部)、XX(財務(wù)部)系我司信息安全最高組織機構(gòu)，負責(zé)公司整體信息安全管理工作，推動信息安全 工作的實施；制定信息安全方針、信息安全管理目標；負責(zé)審核信息安全小組提 交

35、的信息安全管理體系、規(guī)范及管理辦法；負責(zé)決策與信息安全管理相關(guān)的重大 事項，包括信息安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動以及信息安全管理重 大策略變更、確認可接受的風(fēng)險和風(fēng)險水平等；評審與監(jiān)督重大信息安全事故的 處理與改進；定期組織信息安全管理體系( ISMS)評審等。2最高管理者1) 組織并制定信息安全方針策略。2) 任命管理者代表，明確管理者代表的職責(zé)和權(quán)限。3) 確保在內(nèi)部傳達滿足客戶、法律法規(guī)和公司信息安全管理要求的重要性。4) 為信息安全管理體系配備必要的資源。5) 主持管理評審。6) 對信息安全全面負責(zé)。3管理者代表1) 協(xié)助最高管理者建立、實施、檢查、改進信息安全管理體系。2)

36、 負責(zé)建立、實施、保持和改進信息安全管理體系，保證信息安全體系的有效 運行。3) 組織公司信息安全風(fēng)險評估和風(fēng)險管理。4) 組織開展信息安全內(nèi)部審核、安全檢查工作。5) 負責(zé)向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求。6) 負責(zé)就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)。7) 監(jiān)控信息安全事件和確保安全控制措施得到執(zhí)行。4各部門負責(zé) 人1) 負責(zé)公司信息安全方針、目標、政策在部門內(nèi)部的有效執(zhí)行、監(jiān)督、檢查。2) 參與公司信息安全工作的討論和決策。3) 對信息安全管理體系內(nèi)部審核、管理評審及其他安全檢查時發(fā)現(xiàn)的問題及采 取的糾正預(yù)防措施進行審核和確認。4) 負責(zé)管理和維護部門發(fā)布的信息安全管理

37、體系相關(guān)文件。5) 負責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。6) 做好本崗位信息安全相關(guān)的保密工作5綜合部1) 負責(zé)監(jiān)控信息安全管理體系的日常運行。2) 負責(zé)信息安全管理體系文件的控制。3) 負責(zé)本公司信息安全管理體系的推行落實。4) 負責(zé)公司員工招聘、聘用及離職全過程的安全管理。5) 負責(zé)公司內(nèi)部人事檔案等重要文件資料的安全管控。6) 負責(zé)公司日常行政安全的管理。7) 負責(zé)公司辦公環(huán)境的物理安全，包括人員及物品出入控制、門禁管理等。8) 負責(zé)公司業(yè)務(wù)相關(guān)的銷售管理。9) 負責(zé)本部門的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、項目合 同、投標文件等重要文件的安全管控。10) 負責(zé)公司及部門重要

38、文件資料的安全管控。11) 信息安全事件的報告及協(xié)助處理。6研發(fā)部1) 負責(zé)公司信息系統(tǒng)的安全規(guī)劃設(shè)計及實施。2) 負責(zé)公司機房及軟硬件系統(tǒng)的安全運行維護。3) 負責(zé)本部門重要信息的安全管控，包括項目方案、設(shè)計文檔等重要文件的安 全管控。4) 負責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。7技術(shù)部1) 負責(zé)對公司客戶請求的積極響應(yīng)，妥善處理顧客的投訴等。2) 負責(zé)本部門重要信息的安全保密管控， 包括客戶信息等重要數(shù)據(jù)的安全管控。3) 信息安全事件的報告及協(xié)助處理。4) 做好本崗位信息安全相關(guān)的保密工作8銷售部1) 負責(zé)公司業(yè)務(wù)相關(guān)的銷售工作。2) 負責(zé)本人接觸到的重要信息的安全保密管控，包括客戶信息、商務(wù)

39、文檔、項 目合同、投標文件等重要文件的安全管控。3) 信息安全事件的報告及協(xié)助處理。4) 做好本崗位信息安全相關(guān)的保密工作9財務(wù)部1) 負責(zé)公司的財務(wù)管理工作。2) 負責(zé)本部門的重要信息的安全保密管控，包括財務(wù)憑證、財務(wù)報表、工資單 等重要文件的安全管控。3) 信息安全事件的報告及協(xié)助處理。4) 做好本崗位信息安全相關(guān)的保密工作10IT 維護工程 師/ 網(wǎng)絡(luò)管 理員1) 負責(zé)公司信息系統(tǒng)建設(shè)及運行維護。2) 負責(zé)公司機房安全管理。3) 負責(zé)公司各部門辦公電腦的維護及安全管理。4) 按時記錄網(wǎng)絡(luò)機房運行日志5) 信息安全事件的報告、響應(yīng)及協(xié)調(diào)處理。6) 做好本崗位信息安全相關(guān)的保密工作11會計及

40、出納1) 負責(zé)公司財務(wù)記帳、報帳、應(yīng)收及應(yīng)付、資產(chǎn)盤點等日常工作。2) 負責(zé)本崗位的重要信息的安全保密管控，包括財務(wù)報表、各類憑證等重要文 件的安全管控。3) 信息安全事件的報告及協(xié)助處理。4) 做好本崗位信息安全相關(guān)的保密工作12項目經(jīng)理及 項目專員1) 負責(zé)服務(wù)項目的具體實施及管理。2) 負責(zé)本崗位的重要信息的安全保密管控，包括各類基礎(chǔ)數(shù)據(jù)、原始數(shù)據(jù)、撥 打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。3) 信息安全事件的報告及協(xié)助處理。4) 做好本崗位信息安全相關(guān)的保密工作13所有員工1) 嚴格遵守國家及行業(yè)的法律法規(guī)和政策。2) 嚴格遵守公司的各項信息安全政策。3) 正確、安全的使用及保管公司及客戶的各類信息資產(chǎn)。4) 積極參加信息安全教育與培訓(xùn)，提高信息安全意識。5) 信息安全事件的報告及協(xié)助處理。6) 做好本崗位信息安全相關(guān)的保密工作附件三：信息安全管理體系程序文件清單序號文件名稱文件編號版本號制定/ 修訂 日期制定部門備注1文件