不修改體系文件-ISMS手冊

1、寶安區(qū)松崗祥興制品廠信息安全手冊發(fā)布令木公司按照is020000:2005信息技術服務管理一規(guī)范和is027001： 2005信息安全管理體系要求以及本公司業(yè)務特點編制信息安全管理&it 服務管理休系手冊，建立與本公司業(yè)務相一致的信息安全與it服務管理體 系，現(xiàn)予以頒布實施。本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標，貫 徹it服務管理理念方針和服務目標。為實現(xiàn)信息安全管理與it服務管理， 開展持續(xù)改進服務質量，不斷提高客戶滿意度活動，加強信息安全建設的綱 領性文件和行動準則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對社會 的承諾，通過有效的pdca活動向顧客提供滿足要

2、求的信息安全管理。本手冊符合有關信息安全法律法規(guī)要求以及is020000:2005信息技術服 務管理一規(guī)范、is027001： 2005信息安全管理體系耍求和公司實際情 況。為能更好的貫徹公司管理層在信息安全與it服務管理方面的策略和方 針，根據(jù)is020000:2005信息技術服務管理一規(guī)范和is027001： 2005信 息安全管理體系要求的要求任命趙義貴為管理者代表，作為本公司組織和 實施“信息安全管理與it服務管理體系”的負責人。直接向公司管理層報 告。全體員工必須嚴格按照信息安全管理&it服務管理體系手冊要求， 冃覺遵守本手冊齊項要求，努力實現(xiàn)公司的信息安全與it服務的方針和

3、目 標。管理者代表職責：a）建立服務管理計劃；b）向組織傳達滿足服務管理冃標和持續(xù)改進的重要性；e）確定并提供策劃、實施、監(jiān)視、評審和改進服務交付和管理所需的 資源，如招聘合適的人員，管理人員的更新；1. 確保按照ts027001:2005標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實 施和保持信息安全管理體系；按照iso/iec 20000信息技術服務管理一規(guī)范 的要求，組織相關資源，建立、實施和保持it服務管理體系，不斷改進it服務 管理體系，確保其有效性、適宜性和符合性。2. 負責與信息安全管理體系有關的協(xié)調和聯(lián)絡工作；向公司管理層報告it服務管理 體系的業(yè)績，女n：服務方針和服務目標

4、的業(yè)績、客戶滿意度狀況、各項服務活動 及改進的要求和結果等。3. 確保在整個組織內提高信息安全風險的意識；4. 審核風險評估報告、風險處理計劃；5. 批準發(fā)布程序文件；6. 主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運 行情況、內外部審核情況。7. 推動公司各部門領導，積極組織全體員工，通過工作實踐、教育培訓、業(yè)務指導等方式不斷提高員工對滿足客戶需求的重耍性的認知程度，以及為達到公司服務管 理目標所應做出的貢獻?？偨?jīng)理:fl期：信息安全方針和信息安全目標信息安全方針：信息安全人人有責本公司信息安全管理方針

5、包括內容如f：一、信息安全管理機制1. 公司采用系統(tǒng)的方法，按照tso/tec 27001:2005建立信息安全管理體系，全面 保護本公司的信息安全。二、信息安全管理組織2. 公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要 求，提供信息安全資源。3. 公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保 證信息安全管理體系的持續(xù)適宜性和有效性。4. 在公司內部建立信息安全紐織機構，信息安全管理委員會和信息安全協(xié)調機構， 保證信息安全管理體系的有效運行。5. 與上級部門、地方政府、相關專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全耍求和 發(fā)展動態(tài)，獲得對信息安全

6、管理的支持。三、人員安全6. 信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞 動合同、崗位職責中應包含對信息安全的要求。特殊崗位的人員應規(guī)定特別的安全責任。 對崗位調動或離職人員，應及時調整安全職責和權限。7. 對本公司的相關方，要明確安全要求和安全職責。8. 定期對全體員工進行信息安全相關教育，包括：技能、職責和意識。以提高安全 意識。9. 全體員工及相關方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10. 及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求，采取措施，保 證滿足安全要求。五、風險評估11. 根據(jù)本公司業(yè)務信

7、息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風 險接受準則。12. 采用先進的風險評估技術和軟件，定期進行風險評佔，以識別本公司風險的變 化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13. 應根據(jù)風險評估的結果，采取相應措施，降低風險。六、報告安全事件14. 公司建立報告信息安全事件的渠道和相應的主管部門。15. 全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安 全事件，應立即按照規(guī)定的途徑進行報告。16. 接受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的處理，并 向報告人員反饋處理結果。七、監(jiān)督檢查17. 定期對石息安全進行監(jiān)督檢查，包括：日常檢查、專項檢

8、查、技術性檢查、內 部審核等。八、業(yè)務持續(xù)性18. 公司根據(jù)風險評估的結杲，建立業(yè)務持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的 影響，防止關鍵業(yè)務過程受嚴覓的信息系統(tǒng)故障或者災難的影響，并確保能夠及時恢復。19. 定期對業(yè)務持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20. 對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。信息安全目標：1不可接受風險處理率:100% （所有不可接受風險應降低到可接受的程度）。2重大顧客因信息安全事件投訴為0次（重大顧客投訴是指直接經(jīng)濟損失金額達1 萬元以上）公司it服務策略:客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越公司it服務目標：公司通

9、過服務質暈改進稈序確定年度服務質暈日標44.1方針服務提供商應意識到總是存在改進服務交付的效率和冇效性的潛在需要。應正式發(fā)布服 務質垣和改進的策略。從爭服務管理和服務改進的所有人員都應r解服務質量方針以及他們對于實現(xiàn)方針屮 規(guī)定目標的貢獻:服務提供商從事服務管理的所有人員尤其要充分理解這對于服務管理過程的意義。住服務捉供商白己的管理結構顧客和影響服務質雖和顧客要求的其他供方之間要保持 良處的溝通。質量方針？（我公司）合理承諾，超值服務，在執(zhí)行成本領先的戰(zhàn)略z下全力提升服務質量。1信息安全管理手冊說明1. 1公司簡介11編制依據(jù)和目的本手冊在遵循is09001： 2005信息安全管理體系要求與i

10、so/iec 20000信息技 術服務管理一規(guī)范的要求編制而成，包扌占了 is027001: 2005的全部要求，對附錄a的刪 減見適用性聲明soa。手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠 達到is027001： 2005信息安全管理標準的要求；滿足木公司向客戶提供it服務所需的it 基礎設施和it技術支持服務，適用于向客戶或認證機構證實，本公司具備提供符合客戶需求的it服 務能力和服務質量。本公司的體系程序是手冊的支持性文件，是對體系運作的具體描述。12適用范圍信息安全管理&it服務管理體系手冊適用于本公司提供安全管理體系認證服務與it 服務有關的所

11、有部門和活動。1. 3術語和定義131本手冊應用iso/iec 20000中的術語及定義。1. 3. 2本手冊應用ts0/tec27001中的術語及定義。2信息安全管理&it服務管理手冊的管理2. 1手冊的編制、批準和發(fā)布2. 1. 1按照公司業(yè)務發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準，技術服務事業(yè)部組織相關人員, 結合本公司業(yè)務特點，根據(jù)iso/1ec 20000標準的要求編寫。2. 1. 2it服務管理手冊由公司管理者代表批準后發(fā)布。2. 2手冊的分發(fā)2. 2. 1技術服務事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。2. 2. 2公司各部門負責手冊的使川和保管。2. 3手冊的受控狀態(tài)

12、2. 3. 1書面形式的手冊分“有效文件”和“保留文件”兩種形式。作為公司日常運營的依據(jù)及提供 給外部認證機構的手冊均為“有效文件”形式。2. 3. 2當手冊內容變更時，“有效文件”形式的手冊應及時予以更新和發(fā)放。2. 3. 3 “有效文件”形式的文件在更新后，如需保存原來的版木，以便于追溯，則應當川“保留文 件”的標識予以區(qū)分。2. 3. 4電子形式的手冊由技術服務事業(yè)部在工作流轉系統(tǒng)中進行管理。2. 4手冊的變更2. 4. 1因公司戰(zhàn)略調整、客戶需求或改進活動等引起的手冊內容的變更，按公司總經(jīng)理指示，技術 服務爭業(yè)部組織相關部門對涉及變更的內容進行更新，并經(jīng)公司總經(jīng)理批準后發(fā)布。2. 4.

13、 2更新后的手冊，應及時地發(fā)放給公司內部原手冊持有者，并收回iu版的手冊。對電子形式的手冊，由技術服務事業(yè)部按工作流轉系統(tǒng)中的管理規(guī)則進行更新和歸檔管理。2. 5公司內部手冊持有者的責任2. 5. 1與公司或部門內部的相關人員溝通、學習手冊的要求并遵照執(zhí)行。2. 5. 2妥善保管，不得私自更改、曲解手冊的內容。不得隨意向其他與公司業(yè)務無關的第三方傳播, 如需提供公司以外的第三方參考，應經(jīng)技術服務事業(yè)部提交公司主管副總經(jīng)理審核后，報公司總經(jīng)理批 準。3公司架構和安全承諾3. 1公司行政組織架構3. 2公司信息安全管理體系組織架構圖生衣部質"啻部質量保證測試客戶服務部商,務部綜合管理部人

14、力資源注：每個虛線框內為一個信息安全小組，部門的負責人為安全組長，各崗位負責人為該 崗位的安全員。3. 3公司it服務管理職能關系架構圖可川性與 連皺性笛州！il* i 血匡窗理b. 一 一 一 一l _i 變更笛血imj/zs-mu!- i. imb哌務級別i笹理；一 l 一月艮務報古3. 4信息安全承諾公司成立安全管理委員會來領導信息安全工作，并確定相應的職責和作用。 制訂信息安全方針和信息安全h標，建立和完善公司的信息安全管理體系。提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)控、維護和改 善。；對公司信息資產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性, 防范對

15、信息的未經(jīng)授權訪問。對公司信息資產(chǎn)進行風險評估，制定風險可接受標準, 對公司不能接受的風險進行處置。建立業(yè)務持續(xù)性管理流程。進行業(yè)務持續(xù)性風險評估，編寫、測試并實施業(yè)務持 續(xù)性計劃和災難恢復計劃，以保證公司關鍵業(yè)務的連續(xù)，不受重大故障和災難的影 響。確保公司所有員工都接受信息安全的教育培訓，提高信息安全意識。保護公司、客戶、相關合作方的信息安全。建立公司信息安全組織架構，明確信息安全責任，確定報告可疑的和發(fā)生的信息 安全事故及事件的流程，對違反安全制度的人員進行懲罰。建立物理安全和網(wǎng)絡安全管理制度，以確保信息的安全性。保護公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。任何人在未經(jīng)審批的

16、情況下，禁止將信息資產(chǎn)帶離公司。公司所有員工都要嚴格遵守公司的安全方針、程序和制度。控制對內外部網(wǎng)絡服務的訪問，保護網(wǎng)絡服務的安全性與可用性。對用戶賬號、口令和權限進行嚴格管理，防止對信息系統(tǒng)的非授權訪問。對重要信息進行備份保護，以保證信息的可用性。定期對信息安全管理體系進行內審和管理評審。為了加強對信息安全管理體系運作的管理,江蘇金馬揚名信息技術有限公司公司成35信息安全管理委員會立信息安全管理委員會，其職責見下列明細表。信息安全管理職責明細表序號單位/部門信息安全職責1信息安全 管理委員會信息安全管理委員會是我公司信息安全最高組織機構，負責木單位網(wǎng) 絡與信息女全重大事項的決策和協(xié)調，并對全

17、公司信息女全工作負責。2總經(jīng)理信息安全第一責任人，制定信息安全方針，對信息安全全面負責。3管理者代表經(jīng)總經(jīng)理授權負責建立、實施、檢查、改進信息安全管理體系。4綜合管理部我公司信息安全管理體系的歸口管理部門。1. 負責管理體系的建立、實施、保持、測量和改進。2. 負責文件控制、記錄控制、內部審核的組織、管理評審的組織和 體系的改進。3. 負責本公司保密工作的管理。4. 安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。5. 負責全公司人員女全管理，包括人員聘用管理，保密協(xié)議簽署， 員工的能力、意識和培訓，員工離職管理。6. 負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)整管理。7. 對信息安全h常工

18、作實施動態(tài)考核，將信息安全管理作為金業(yè)管 理的重要工作內容。8. 參與涉密及司法介入的信息安全事件的調查。5生產(chǎn)技術部是我公司信息系統(tǒng)安全管理部門。負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能； 負責我公司信息系統(tǒng)安全口常管理。6其他部門認真執(zhí)行信息安全管理的方針、標準、安全策略和規(guī)范，做好內部培 訓。備注：以上職能劃分，適用所有信息安全管理體系文件。信息安全管理委員會組成人員:姓名職務備注3. 6服務管理職能說明3. 6. 1為保證it服務管理體系的順利實施，以及實施后得到持續(xù)的管理和維護，在現(xiàn)有的組織架 構外建立服務管理職能關系架構。it服務管理職能關系架構，并不替代現(xiàn)有的按技術類別進 行的

19、分工，現(xiàn)有的按技術類別述的分工，存將來的it服務管理體系中仍將發(fā)揮其作用。服務 部根據(jù)it服務管理程序要求對所有服務合同按照項忖進行管理與運行，由項h經(jīng)理按照服務 管理職能關系架構中的要求對項廿執(zhí)行管理。一個完整的服務項廿必須包含服務臺、事件管 理、業(yè)務關系管理、信息女全管理、供應商管理和it財務管理。對于上圖虛線框內的的問題 管理、發(fā)布管理、配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務級別管理以 及服務報告可由服務部經(jīng)理依照與用戶簽署的服務合同進行選擇裁剪。3. 6. 2角色分配說明3. 6. 2. 1針對服務部當前組織架構及人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13

20、個流程，按其必要程度分成必選流程和可裁剪流程兩人模塊。由項目經(jīng)理負責相應流程的實 施、管理和控制。對項目紐成員主要是紐織、協(xié)調、安排相應工作任務的完成，可能并不是 由口己去完成。3. 6. 2. 1. 1 項 bl 經(jīng)理職責說明：1）、負責it服務項目的立項工作，按照服務合同要求負責和應流程的實施、管理和控制。組 織、協(xié)調、安排項目組成員完成相應工作任務。2）、負責從服務臺接受事件報告開始，分配相應的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調。3）、負責各系統(tǒng)的配置管理、變更和發(fā)布控制。4）、負責系統(tǒng)的可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)

21、劃和監(jiān)控。5）、主要負責與用戶的溝通，對供應商的管理，以及項口的預/決算的管理。3. 6. 2. 1. 2能力要求:熟悉服務部的各種服務管理流程，具有較強的內部協(xié)調能力。山管理者代表授權技術服務事業(yè)部總監(jiān)，按1s0/1ec 20000的要求，負責協(xié)調和組織所有與it服 務有關的活動，通過管理和實施各項活動，使it服務業(yè)務的質量得到有效的保持和維護。技術服務爭業(yè)部組織制訂、批準和發(fā)布公司it服務策略、服務丨|標，并使其成為公司關注的焦點, 成為公司協(xié)調、統(tǒng)一、凝聚公司的所有活動和資源的準則，成為建立、實施、保持并改進it 服務管理體系的宗旨。3. 6. 3公司it服務策略：客戶至上、全員參、創(chuàng)新

22、高效、系統(tǒng)管理、追求卓越公司it服務n標：公司通過服務質量改進程序確定年度服務質量n標公司的it服務忖標按iso/iec 20000的要求，與公司的業(yè)務相結合，并通過流程績效不斷捉高和 改進。技術服務事業(yè)部負責組織相關部門，通過會議、評審、書而報告、培訓等方式，及時有效溝通工作, 達到it服務管理口標和持續(xù)改進的需求，并在公司中積極貫徹實施it服務管理的重要性。技術服務事業(yè)部負責組織相關部門按照pdca的要求，通過對所屬業(yè)務的規(guī)劃，適時優(yōu)化和提供資源 以計劃、實施、監(jiān)控、評審和改進it服務的交付和管理。管理者代表按照服務質量改進管理程序中的計劃間隔，由技術服務事業(yè)部負責組織相關部門實施it服務

23、管理體系的內部審核，確保it服務管體系的有效性與符合性。管理者代表按照服務質量改進管理程序中的計劃間隔，組織相關部門執(zhí)行it服務管理體系的管 理評審，確保it服務管理體系持續(xù)的穩(wěn)定、充分和有效。36. 4文件要求364. 1公司的文件管理體系分為a、b、c、d四層，即a層為管理手冊、b層為程序文件、c 層為工作流程或規(guī)定、d層為記錄。3. 6. 4. 2管理手冊一描述it服務管理體系的文件，是全體員工必須長期遵循的法規(guī)性文件。3. 6. 4. 3程序文件一覆蓋公司主要業(yè)務過程的流程文件，是管理手冊的支撐性文件。3. 6. 4. 4工作流程或規(guī)定一是開展具體業(yè)務工作的規(guī)范類、指導性文件，是程序文

24、件的支持性文 件。3. 6. 4. 5記錄一在開展具體業(yè)務工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結果提供各種 可追溯性證據(jù)。3. 6. 4. 6技術服務事業(yè)部負責組織制訂文件和記錄管理程序，明確文件的擬制、批準、發(fā)放、 變更、存檔等管理要求，并監(jiān)控實施。3. 6. 4. 7技術服務爭業(yè)部負責組織相關部門，根據(jù)公司的業(yè)務特點及標準的要求，制訂相關的程 序文件，經(jīng)公司管理者代表批準后實施。3. 6. 4. 8技術服務事業(yè)部負責組織擬制與木部門業(yè)務相關的各類c層文件，并按文件和記錄管 理稈序的要求對文件和記錄的有效性進行管理。4信息安全管4. 1總要求4.1.1公司根據(jù)整體業(yè)務活動（軟件開發(fā)、

25、經(jīng)營、服務和fi常管理活動）和所面臨的風 險，按is0/iec 27001:2005信息技術-安全技術-信息安全管理體系-要求規(guī)定，參 照is0/iec 27002:2005信息技術-安全技術-信息安全管理實用規(guī)則標準，建立、實 施、運作、監(jiān)控、維護并改進文件化的信息安全管理休系。4. 1. 2本手冊使用的過程基于pdca模式。適用于isms過程的pdca模式相關方管理信'息安全相關文件:信息安全方針及目標4. 2建立和管理信息安全管理體系（isms）4. 2. 1 建立 isms4. 2. 1. 1信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義了范

26、圍和邊界，本公 司信息安全管理體系的范圍包括：a）本公司涉及軟件開發(fā)、營銷、服務和日常管理的業(yè)務系統(tǒng)；b）與所述信息系統(tǒng)有關的活動；c）與所述信息系統(tǒng)有關的部門和所有員工；d）所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。本公司根據(jù)組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范圍，見本 手冊jin/qm3. 2公司信息安全管理體系組織架構。物理范木公司根據(jù)組織的業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義了信息安全管 理體系的物理范圍和信息安全邊界。木公司isms的物理范圍為本公司位于常州市常州市鵬欣麗都2幢乙單元503室的 辦公場所，安全邊界詳見附錄a （規(guī)范性附錄）辦公場所平而圖。

27、4. 2. 1. 2信息安全管理體系的方針為了滿足適用法律法規(guī)及相關方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務 可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定 義了信息安全管理體系方針，見本信息安全管理手冊第0. 3條款。該信息安全方針符合以下耍求：a）為信息安全fl標建立了框架，并為信息安全活動建立整體的方向和原則；b）考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務；c）與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d）建立了風險評價的準則；e）經(jīng)最高管理者批準。為實現(xiàn)信息安全管理體系方針，本公司承諾：a）在各層次建立完整的信息安全管理組織機

28、構，確定信息安全目標和控制措施；明 確信息安全的管理職責，見本信息安全管理手冊第3. 4條款。；b）識別并滿足適用法律、法規(guī)和相關方信息安全要求；0）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保證 體系的持續(xù)有效性；d）采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享;e）對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能 力；f）制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。4.2. 1.3風險評估的方法生技部負責制定信息安全風險管理程序，建立識別適用于信息安全管理體系和 已經(jīng)識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法

29、，建立接受風險的準則并識 別風險的可接受等級。信息安全風險評估釆用信息安全風險管理軟件（info-riskmanager）進行，以保證所選擇的風險評估方法應確保風險評估能產(chǎn)生 可比較的和可重復的結果。4. 2.1.4識別風險在已確定的信息安全管理體系范圍內，本公司按信息安全風險管理程序，采用 info-riskmanagcr風險管理軟件，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有 者。資產(chǎn)包括硬件、設施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務及人力資源。對每一項資產(chǎn) 按口身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，根據(jù) 重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。

30、同時，根據(jù)信息安全風險管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅利 用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的 影響。4. 2.1.5分析和評價風險本公司按信息安全風險管理程序，采用信息安全風險管理軟件，分析和評價風 險：a）針對覓要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后杲進行 賦值；b）針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全 失效發(fā)生的可能性，并進行賦值；c）根據(jù)信息安全風險管理程序計算風險等級；d）根據(jù)信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。 4.2. 1.6識別和評價風險處理的選

31、擇網(wǎng)絡管理部組織有關部門根據(jù)風險評估的結果，形成風險處理計劃，該計劃明 確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以卜適當?shù)拇胧篴）控制風險，采用適當?shù)膬炔靠刂拼胧?；b）接受風險（不可能將所有風險降低為零）；c）避免風險（如物理隔離）；d）轉移風險（如將風險轉移給保險者、供方、分包商）。4. 2. 1.7選擇控制tj標與控制措施網(wǎng)絡管理部根據(jù)信息安全方針、業(yè)務發(fā)展要求及風險評估的結果，紐.織有關部門制 定了信息安全目標，并將目標分解到有關部門（見信息安全適用性聲明）:小信息安全控制目標獲得了信息安全最高責任者的批準。b）控制

32、目標及控制措施的選擇原則來源于tso/tec 27001:2005信息技術-安全技 術-信息安全管理體系-要求附錄a,具體控制措施參考tso/tec 27002:2005信息技 術-安全技術-信息安全管理實用規(guī)則。c）本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。4.2. 1.8對風險處理后的剩余風險，得到了公司最高管理者的批準。4. 2. 1. 9最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權。 4.2.1.10適用性聲明生技部負責編制信息安全適用性聲明（soa） o該聲明包括以下方面的內容：小所選擇控制目標與控制措施的概要描述，以及選擇的原因；b）對1s0/1e

33、c 27001:2005附錄a中未選川的控制目標及控制措施理由的說明。4. 2. 2實施和運行isms4. 2.2.1為確保信息安全管理體系有效實遍，對已識別的風險進行有效處理，木公司開 展以下活動：小形成風險處理計劃，以確定適當?shù)墓芾泶胧?、職責及安全控制措施的?yōu)先級;b）為實現(xiàn)已確定的安全目標、實施風險處理計劃，明確各崗位的信息安全職責;c）實施所選擇的控制措施，以實現(xiàn)控制口標的要求；d）確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控 制的有效性以得出可比較的、可重復的結果；e）進行信息安全培訓，提高全員信息安全意識和能力；f）對信息安全體系的運作進行管理；g）對信息

34、安全所需資源進行管理；h）實施控制程序，對信息安全事件（或征兆）進行迅速反應。4. 2. 2. 2信息安全組織機構本公司成立了的信息安全領導機構-信息安全委員會，其職責是實現(xiàn)信息安全管理體 系方針和本公司承諾。具體職責是：研究決定貫標工作涉及到的重大事項；審定公司信 息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推進和信息安全管理體系 的有效運行提供必要的資源。本公司由相關部門代表組成信息安全管理網(wǎng)絡，采用聯(lián)席會議（協(xié)調會）的方式， 進行信息安全協(xié)調和協(xié)作，以：a）確保安全活動的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合；c）批準信息安全的方法和過程，如風險評估、信息分類；d）識別重

35、大的威脅變化，以及信息和相關的信息處理設施對威脅的暴露；e）評估信息安全控制措施實施的充分性和i辦調性；f）有效的推動組織內信息安全教育、培訓和意識；g）評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦 適當?shù)拇胧?.2. 2. 3信息安全職責和權限木公司總經(jīng)理為信息安全最高責任者?？偨?jīng)理指定了信息安全管理者代表。無論信 息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責：a）建立并實施信息安全管理體系必要的程序并維持其有效運行；b）對信息安全管理體系的運行情況和必要的改善措丿施向信息安全領導小紐或最高 責任者報告。各部門負責人為本部門信息安全管理責任者，全體

36、員工都應按保密承諾的要求自覺 履行信息安全保密義務；各部門、人員有關言息安全職責分配見本信息安全管理手冊第3.4條款信息安全 管理職責明細表和相應的程序文件。4.2.2m各部門應按照信息安全適用性聲明中規(guī)定的安全目標、控制措施（包括安全運行的各種 控制程序）的耍求實施信息安全控制措施。4.2.3監(jiān)控和評審isms4.2.3. 1本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調查處理、電 子監(jiān)控、定期技術檢查等控制措施并報告結果以實現(xiàn)：a）及時發(fā)現(xiàn)處理結果屮的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確

37、認人工或口動執(zhí)行的安全活動達到預期的結果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗；4. 2.3.2根據(jù)以上活動的結果以及來自相關方的建議和反饋，由總經(jīng)理主持，每年至少 一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、h標的符 合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相 關方的建議和反饋。管理評審的具體要求，見本手冊第7章。4. 2.3.3網(wǎng)絡管理部應組織有關部門按照信息安全風險管理程序的要求，采用信息 安全風險管理軟件，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到 可接受的水

38、平，對以下方面變更情況應及時進行風險評估：a）組織;b）技術；c）業(yè)務冃標和過程；d）已識別的威脅；e）實施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。4. 2.3.4按照計劃的時間間隔進行信息安全管理體系內部審核，內部審核的具體要求， 見本手冊第6章。4. 2. 3. 5定期對信息安全管理體系進行管理評審，以確保范i韋i的充分性，并識別信息安 全管理體系過程的改進，管理評審的具體要求，見本手冊第7章。4. 2. 3. 6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。4. 2. 3. 7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。4. 2.

39、4保持與持續(xù)改進isms我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a）實施每年管理評審、內部審核、安全檢查等活動以確定需改進的項冃；b）按照內部審核管理程序、糾正措施管理程序、預防措施管理程序的 耍求采取適當?shù)募m正和預防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗教訓, 不斷改進安全措施的有效性；c）通過適當?shù)氖侄伪３衷趦炔繉π畔踩胧┑膱?zhí)行悄況與結果進行有效的溝通。 包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信 息安全的耍求等；d）對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預期的效果。相關文件:系統(tǒng)風險評估方法適用性聲明管理評審程序內部

40、審核控制程序糾正措施控制程序預防措施控制程序4. 3文件要求4. 3. 1總則isms文件應包括：a）形成文件的isms方針和控制目標；b）isms范圍c）isms的支持性程序和控制扌苦施；d）風險評估方法的描述；e）風險評估報告；f）風險處置計劃；g）公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量控制措施有效性所需的程序文件；h）標準所更求的記錄；i）適用性聲明。所有文件應按isms方針要求在需要時可獲得。4. 3. 2文件控制isms所要求的文件應予以保護和控制，應編制形成文件的程序以規(guī)定以下方面所需的管理措施：小文件發(fā)布前得到批準以確保文件是充分的；b）必耍時對文件進行評

41、審與更新并再次批準；c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d）確保在使用處可獲得適用文件的適用版木；e）確保文件保持合法并易于識別；f）確保外來文件得到識別；g）確保文件的分發(fā)是受控的；h）防止作廢文件的非預期使用；1）若因任何原因而保留作廢文件時對這些文件進行適當?shù)臉俗R；4. 3. 3記錄控制應建立并保持記錄，以提供符合耍求和1sms有效運行的證據(jù)。記錄應得到保護并且受 控。jlsms應考慮相關法律要求，記錄應易于識別和檢索。應編制形成文件的程序，以規(guī) 定記錄的識別、貯存、保護、檢索、保存期限和處置所需的控制，確定記錄需要和程度 的管理過程。保持過程業(yè)績的記錄以及與isms有關的安全事件

42、的記錄。例如，記錄包括訪問者登記 審核記錄和訪問授權。相關文件:文件控制程序記錄控制程序5管理職責5. 1管理承諾管理層應通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進isms的承諾 提供證據(jù)。a）建立信息安全方針；b）確保信息安全目標和計劃的建立；c）為信息安全分配角色和職責；d）向公司傳達滿足信息安全h標、符合信息安全方針、法律責任和持續(xù)改進的重要 性；e）提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護和改進isms；f）決定可接受風險的標準和可接受風險的等級；g）確保isms內部審核的執(zhí)行；h）進行isms管理評審。相關文件:信息安全方針和冃標部門職責管理評審程序系統(tǒng)風險評

43、估方法5.2資源管理5. 2. 1資源提供公司應確定和提供以卜方面所需的資源a）建立建立、實施、運行、監(jiān)控、維護和改進ismsb）確保信息安全程序支持業(yè)務需求；0）識別并確定法律法規(guī)要求和合同安全責任；d）通過正確應用所有實施的控制措施的來維持足夠的安全；e）必要時進行評估，并對評估結果采取適當?shù)膶胧籪）必要時改進isms的有效性。5.2.2培訓、意識和能力公司應確保在isms屮任命職責的人員應能夠勝任要求的任務a）確定從事影響信息安全工作的人員所必需的能力；b）提供足夠的能力培訓或其它措施，必要時聘用有能力的人員滿足這些要求；c）評估所提供的培訓和采取措施的有效性；d）保持教育、培訓、

44、技能、經(jīng)驗和資質的適當記錄。公司應確保員工認識到所從事信息安全活動的相關性和重要性，以及如何為實現(xiàn)isms 目標作出貢獻。相關文件:人力資源管理控制程序6 isms內部審核公司應按計劃的時間間隔進行isms內部審核，以確定控制目標、控制措施、過程和 程序是否：a）符合標準及相關法律法規(guī)的要求；b）符合確定的信息安全要求；c）得到有效地實施和維護；d）按期望運行。內部審核程序應進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及 上次審核結果，應規(guī)定審核準則、范圍、頻次和方式，審核員的選擇和審核活動應保證 審核過程的客觀和公止，審核員不能審核自己的工作。應建立形成文件的程序，以規(guī)定策劃和實

45、施審核的職責和要求以及報告結果和保持 記錄。受審核區(qū)域的負責人應確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。改進措 施包括所采取措施的驗證并匯報驗證結果。相關文件:內部審核控制程序7 isms管理評審7. 1總則管理者應按策劃的時間間隔評審公司的isms （至少一年一次），以確保其持續(xù)的適 宜性、充分性和有效性。評審應包括評價isms改進的機會和變更的需要，包拾安全方針 和安全冃標的適宜性。評審結果應清楚地寫入文件應保持記錄。7. 2管理評審輸入管理評審的輸入應包括以下方面的信息：a）isms審核（包括內審和外審）和管理評審的結果；b）相關方（客戶、供應商、內部員工等）的反饋；c）公司用于改

46、進isms業(yè)績和有效性的技術、產(chǎn)品或程序的發(fā)展及變化；d）預防和糾正措施的實施情況；e）上次風險評佔未充分指出的弱點或威脅；f）體系有效性測量的結果；g）上次管理評審所采取措施的跟蹤驗證；h）影響isms的變更，如信息安全組織架構變化等；i）改進的建議。7. 3管理評審輸出管理評審的輸出應包括與以卜-方面有關的任何決定和措施a）isms有效性的改進b）風險評估和風險處理計劃的更新c）必要時修訂影響信息安全的程序和控制措施，以反映可能彩響isms的內外事件, 包括以下變化1業(yè)務需求；2安全需求；3影響己有業(yè)務需求的業(yè)務過程；4法律法規(guī)環(huán)境；5合同義務；6風險和/或風險接受準則。d）資源需求e）針

47、寸被測量的控制措施有效性的改進相關文件:管理評審程序8 isms的改進8. 1持續(xù)改進公司應通過應用信息安全方針、安全目標、審核結果、監(jiān)控事件的分析、糾正和預 防措施和管理評審，持續(xù)改進isms的有效性。8. 2糾正措施公司應采取措施消除isms實施和運行的不符合原因，以防止其再發(fā)生。糾正措施文 件程序應規(guī)定以下方面的耍求。a）識別isms實施和運行的不符合項；b）確定不符合的原因；c）評價確保不符合不再發(fā)生所需的措施；d）決定和實施所需的糾正措施；e）記錄所采取措施的結果；f）評審所采収的糾正措施。8. 3預防措施公司應決定措施以防范未來的不符合，防i匕發(fā)生采取的預防措施應與潛在問題的影 響

48、相匹配，預防措施文件程序應規(guī)定以下方面的要求。a）確定潛在不符合及其原因；b）評價預防不符合發(fā)生所需的措施；c）決定實施所需的預防措施；d）記錄所采取措施的結果；e）評審所采取的預防措施。公司應識別發(fā)牛變化的風險，并通過關注變化顯著的風險來識別預防措施要求。應根據(jù)風險 評估結果來確定預防措施的優(yōu)先級。相關文件:糾正措施控制程序預防措施控制程序it服務管理服務管理規(guī)劃和實施在開展it服務管理的活動中，pdca原理貫穿于it服務管理體系的全部流程，其中：p （計劃）一根據(jù)客戶要求和公司策略建立日標和流程。d （實施）一實施流程。c （檢查）根據(jù)策略、目標和要求對過程和服務進行監(jiān)控、測量，并報告結果

49、。a （改進）一采取措施以持續(xù)改進流程的性能。計劃服務管理服務部向客戶提供三大服務項目：常駐現(xiàn)場技術服務、定期巡檢技術服務、咨詢規(guī)劃設計服務。 甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術服務內容重新規(guī) 劃和設計，細化成六大服務內容：基礎設施服務、運維服務、專業(yè)技術服務、it安全服務、咨詢設計 評估服務、培訓服務。從而實現(xiàn)在堅持原有行業(yè)內的服務的基礎上向行業(yè)外擴展的計劃。服務部根據(jù)公司it服務管理職能關系架構圖中的所分配的職責并依據(jù)條款4-9中所規(guī)定的服務管 理過程向客戶提供1t服務。相關部門根據(jù)管理評審的結果及結論，結合木部門的工作實際，由技術服務事業(yè)部組織相關

50、部門對 當前與本部門相關的it服務工作的改進需求、以及公司業(yè)務發(fā)展策略、技術動態(tài)、政策法規(guī)要求、 下一年度it服務工作的安排進行規(guī)劃，制訂本部門的年度工作計劃，并按公司內控制度制訂對應的 部門年度費用預算。實施it服務技術服務事業(yè)部組織相關部門按批準后的公司年度計劃，對計劃周期內的工作任務、目標、績效要求 進行分解，組織各部門制訂各白的年度工作計劃和費用預算，并進行跟蹤、檢查。相關部門年度工作計劃、年度費用預算應與已批準的本部門年度工作計劃、預算一致，如有變更，引 起預算的變化，應上報技術服務事業(yè)部按照相關流程審批、執(zhí)行。技術服務爭業(yè)部負責組織it服務項目的立項工作，并按照項目管理規(guī)定對項目計

51、劃周期內的工作任 務、i標、績效要求進行分解，制訂項目實施計劃和費川預算，并進行跟蹤、檢查。監(jiān)視、測量和評審服務部負責收集、匯總、整理it服務項h的日常服務數(shù)據(jù)。服務部經(jīng)理負責組織it服務項【，按各項目階段性工作計劃、費川預算的內容，以及it服務管理的 要求，收集與it服務相關的信息，監(jiān)控、測量和評審與本業(yè)務相關的服務規(guī)劃要求、已有的sla符 合要求的程度。it服務項|在運行屮，應監(jiān)控、測量和評審的內容為：既定的it服務目標的達成程度?？蛻魸M意度。資源利用。服務實施的趨勢。嚴重不符合。技術服務事業(yè)部按照服務質量改進管理程序的要求，組織it服務管理體系的管理評宙活動，以 確保it服務要求得到有效

52、的實施和維護。持續(xù)改進服務部每年至少進行一次服務管理體系的有效性評估，評估通過內部審核的方式進行。在評估中發(fā)現(xiàn)的任何不符合標準的活動都應該采取糾正措施了以改進，對于發(fā)現(xiàn)的潛在問題應該予以 控制。服務部在內部審核后，應進行管理評審，管理評審的內容包括：各流程的執(zhí)行狀況報告，存在問題及 改進建議，內部審核結果，相關方的反饋以及其他可能影響體系運行的要素。服務部按管理評審的要求，確定服務改進的測量、報告和溝通流程和內容。監(jiān)控it服務運行屮出現(xiàn) 的不符合項，組織相關部門實施、驗證改進活動。任何不符合iso/iec 20000-1： 2005標準的活動都 應被糾正。對于內部審核、管理評市或其他活動中所發(fā)

53、現(xiàn)的不符合項或潛在不符合項，應按照服務質量改進管 理程序要求進行及吋糾正。新服務或變更服務的策劃與實施制訂新服務或變更服務計劃銷售部門負責與客戶溝通，服務部配合，收集客八對現(xiàn)有sla的滿意度水平。分析、整理客戶新的 或變更服務的要求，及時反饋&戶的改進需求。當出現(xiàn)新服務或變更服務吋，服務部根據(jù)服務策劃管理程序的要求，組織實施it服務策劃和實 施工作。服務部組織對新服務或變更服務策劃結果的驗證、確認，驗證通過后按服務策劃管理程序實施。 服務部應報告新服務或變更服務按計劃實施所達到的結果，服務部按發(fā)布管理程序，執(zhí)行實施發(fā) 布評審，比較實際結果與期望結杲的一致性。服務交付過程服務級別管理服務

54、部負責與相關部門溝通，制訂公司的服務目錄。服務目錄應定義所有服務，并包含服務名稱、 服務1=1標或標準、聯(lián)系接口、服務提供時間和例外、安全方血的考慮和安排。服務目錄是公司所提供的服務內容的匯總，公司與客戶簽署sla時應參考服務目錄。公司應該根據(jù)當詢的服務能力對服務目錄進行更新與維護。根據(jù)公司的戰(zhàn)略規(guī)劃、資源要求及客戶需求，服務部在與銷售部門和其他相關部門溝通、確定sla時, 應考慮：可接受持續(xù)損失服務的最大周期、可接受降級服務的最大周期，服務恢復時，可接受降級服 務級別。銷售部門代表客戶，與服務部簽訂服務級別協(xié)議。應明確：服務要求和期望服務工作量特征的協(xié) 議、服務廿標協(xié)議、服務級別實現(xiàn)、工作量

55、的測量和報告，以及服務h標不能完成的分析與說明。服務級別協(xié)議包含以下內容：服務的簡述、術語表、客戶職責、服務部門職責和義務、服務r標、 服務時間、工作量限制（最大及最小工作量），支持和相關服務、影響和優(yōu)先級描述、授權細節(jié)，及 授權人員聯(lián)系信息、有效期或sla變更控制機制（包含升級和通知流程）、服務中斷采取的糾止措施, 計劃和協(xié)調屮斷，包括通知事件及頻率、溝通的簡述，包括報告、投訴程序、在sla中規(guī)定條款的 例外情況。商務部應依據(jù)客戶簽訂的sla以及供應商管理程序的要求，組織簽署與供應商z間的支持合同 （或協(xié)議）。當出現(xiàn)重要業(yè)務變更時，銷售部門應及時與技術服務爭業(yè)部溝通，按原流程重新組織相關部門，調整、 修訂服務級別協(xié)議，并作為服務改進計劃的輸入。服務報告服務部應就向客戶提交的服務報告的內容、報告周期與客戶協(xié)商并達成一致。服務部擬制內部服務報告，對計劃間隔內的客戶服務狀況、問題趨勢、服務數(shù)據(jù)、sla目標實現(xiàn)等進 行匯總、統(tǒng)計和分析，組織右開月度服務質量分析會議，形成會議紀要后發(fā)放