某計算機(jī)網(wǎng)絡(luò)有限公司信息安全管理手冊

1、<佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司>信息安全管理手冊SW-ISMS-A-01Ver 1.1 發(fā)布日期2014年10月1日發(fā)布部門信息安全管理小組實(shí)施日期2014年10月1日佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司文件編號SW-ISMS-A-01信息安全管理體系手冊文件版本1.1密級秘密版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期1.0初次發(fā)布藍(lán)金桃/2014.10.1/2014.10.1王楚標(biāo)/2014.10.1目錄頒布令iii授權(quán)書iv0 前言11 范圍11.1 總則11.2 應(yīng)用12 規(guī)范性引用文件13 術(shù)語和定義23.1 術(shù)語23.2 縮寫24 信息安全管理體系24.1 總要

2、求24.2 建立和管理信息安全管理體系34.3 文件要求95 管理職責(zé)115.1 管理承諾115.2 資源管理116 內(nèi)部信息安全管理體系審核126.1 總則126.2 內(nèi)審策劃126.3 內(nèi)審員136.4 內(nèi)審實(shí)施137 管理評審147.1 總則147.2 評審輸入147.3 評審輸出148 信息安全管理體系改進(jìn)158.1 持續(xù)改進(jìn)158.2 糾正措施158.3 預(yù)防措施15附錄1-組織概況16附錄2-組織機(jī)構(gòu)圖17附錄3-職能分配表17附錄4-信息安全小組成員21附錄5-方針文件清單21附錄6-程序文件清單22附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖23頒布令為提高我公司的信息安全管理水平，

3、保障公司業(yè)務(wù)活動的正常進(jìn)行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失，我公司開展貫徹GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求國際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司信息安全管理手冊。指導(dǎo)管理體系運(yùn)行的公司信息安全管理體系手冊經(jīng)評審后，現(xiàn)予以批準(zhǔn)發(fā)布。信息安全管理體系手冊的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司信息安全管理體系手冊所描述的規(guī)定，不斷增強(qiáng)持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全

4、意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的應(yīng)用軟件的開發(fā)和維護(hù)服務(wù)，以確立公司在社會上的良好信譽(yù)。信息安全管理體系手冊是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客提供服務(wù)過程必須遵循的行動準(zhǔn)則。信息安全管理體系手冊一經(jīng)發(fā)布，就是強(qiáng)制性文件，全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。本手冊自2014年10月15日正式實(shí)施。佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司總經(jīng)理：王楚標(biāo)2014年 08月 19日授權(quán)書為貫徹執(zhí)行ISO/IEC 27001:2005信息安全管理體系，加強(qiáng)對信息管理體系運(yùn)行的領(lǐng)導(dǎo)，特授權(quán) 藍(lán)金桃 女士為公司管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1） 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險

5、評估，全面建立、實(shí)施和保持信息安全管理體系；2） 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3） 確保在整個組織內(nèi)提高信息安全風(fēng)險的意識；4） 審核風(fēng)險評估報告、風(fēng)險處理計劃；5） 批準(zhǔn)發(fā)布程序文件；6） 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報告；7） 向最高管理者報告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行。佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司2014年 10 月 1日iv佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司文件編號SW-ISMS-A-01信息安全管理體系手冊文件版次1.0密級機(jī)密0 前言<佛山市三維計算機(jī)網(wǎng)絡(luò)有限

6、公司>信息安全管理體系手冊（以下簡稱本手冊）依據(jù)ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求，參照ISO/IEC 27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則，結(jié)合本行業(yè)信息安全的特點(diǎn)編寫。本手冊對本公司信息安全管理體系作出了概括性描述，為建立、實(shí)施和保持信息安全管理體系提供框架。1 范圍1.1 總則為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系，確定信息安全方針和目標(biāo)，對信息安全風(fēng)險進(jìn)行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊。1.2 應(yīng)用1.2.1 覆

7、蓋范圍應(yīng)用范圍：本信息安全管理體系手冊規(guī)定了<佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司>信息安全管理體系涉及的開發(fā)和維護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評審和信息安全管理體系持續(xù)改進(jìn)等方面內(nèi)容。具體見4.2.2.1條款規(guī)定。地址范圍：深圳市福田區(qū)景田商報路奧林匹克大廈26樓B、C、D號1.2.2 刪減說明本信息安全管理體系手冊采用了ISO/IEC27001:2005標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄A的刪減及理由詳見信息安全適用性聲明SoA。2 規(guī)范性引用文件下列文件中的條款通過本信息安全管理體系手冊的引用而成為本信息安全管理體系手冊的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤

8、的內(nèi)容）或修改版均不適用于本信息安全管理體系手冊，然而，信息安全管理小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理體系手冊。ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求ISO/IEC 27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則3 術(shù)語和定義3.1 術(shù)語ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、ISO/IEC 27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則規(guī)定的術(shù)語和定義以及下述定義適用于本信息安全管理體系手冊。本組織、本公司、我公司：指<

9、佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司>。3.2 縮寫ISMS：Information Security Management Systems 信息安全管理體系；SoA:：Statement of Applicability 適用性聲明；PDCA:：Plan Do Check Action 計劃、實(shí)施、檢查、改進(jìn)。4 信息安全管理體系4.1 總要求4.1.1 要求本公司在軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動中按ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照ISO/IEC 27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)建立、實(shí)施、運(yùn)行、監(jiān)視、

10、評審、保持和改進(jìn)文件化的信息安全管理體系。4.1.2 PDCA模型信息安全管理體系使用的過程基于圖1所示的PDCA模型。 建立ISMS 實(shí)施和運(yùn)行ISMS 保持和改進(jìn)ISMS 監(jiān)視和評審ISMS 相關(guān)方 信息安全 要求和期望 相關(guān)方 受控的 信息安全 規(guī)劃Plan 檢查Check 處置Act 實(shí)施Do 圖1 信息安全管理體系PDCA模型4.2 建立和管理信息安全管理體系4.2.1 建立信息安全管理體系4.2.1.1 信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)

11、務(wù)系統(tǒng)；b) 與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。業(yè)務(wù)范圍：桌面軟、硬件運(yùn)維服務(wù)；服務(wù)器硬件運(yùn)維服務(wù)；網(wǎng)絡(luò)設(shè)備運(yùn)維服務(wù)的信息安全管理。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為：佛山市禪城區(qū)江灣路三路28號廣東（佛山）軟件產(chǎn)業(yè)園A區(qū)10號樓首層103-105室安全邊界詳見附錄B（規(guī)范性附錄）辦公場所平面圖。ISMS的范圍是：a) 計算機(jī)應(yīng)用軟件開發(fā)和維護(hù)、系統(tǒng)集成和后期維護(hù)；信息安全，IT資產(chǎn)服務(wù)外包，IT

12、運(yùn)維服務(wù)b) 本信息安全管理體系手冊采用了ISO/IEC 27001:2005標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄A的刪減及理由詳見信息安全適用性聲明；c) ISMS的邊界 地理位置圖 （詳見附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖）4.2.1.2 信息安全管理體系的方針和目標(biāo)4.2.1.2.1 方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：信息安全，人人有責(zé)。4.2.1.2.1 信息安全目標(biāo)1. 客戶針對信息安全事件的投訴每年不超過1次2. 重要信息設(shè)備丟失每年不超過1起3.

13、 機(jī)密和絕密信息泄漏事件每年不超過1次4. 大規(guī)模病毒爆發(fā)每年不超過1次4.2.1.2.2 要求本公司信息安全管理體系方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安全活動建立整體的方向和原則；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險評價的準(zhǔn)則；e) 經(jīng)總經(jīng)理批準(zhǔn)，并定期評審其適用性、充分性，必要時予以修訂。4.2.1.2.3 承諾為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；b

14、) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d) 采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實(shí)現(xiàn)可持續(xù)發(fā)展。4.2.1.3 風(fēng)險評估的方法信息安全管理小組制定信息安全風(fēng)險管理程序，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級。按信息安全風(fēng)險評估執(zhí)行信息安全風(fēng)險管理程序進(jìn)

15、行，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4 識別風(fēng)險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險管理程序?qū)λ械馁Y產(chǎn)和資產(chǎn)所有者進(jìn)行了識別；對每一項(xiàng)資產(chǎn)按重置成本級別、保密性、完整性、可用性和資產(chǎn)價值及重要性級別進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷準(zhǔn)則確定是否為重要資產(chǎn)，形成重要資產(chǎn)清單。同時根據(jù)信息安全風(fēng)險管理程序識別對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的控制措施及現(xiàn)有控制措施的有效性，并通過對這些項(xiàng)目的賦值計算出在喪失保密性、完整性和可用性可能對重要資產(chǎn)造成的影響。4.2.1.5 分析和評價風(fēng)險本公司按信息安全風(fēng)險管理程序，采用

16、人工分析法，分析和評價風(fēng)險：a) 針對重要資產(chǎn)的自身價值、保密性、完整性和可用性、合規(guī)性和脆弱性嚴(yán)重程度，計算出風(fēng)險發(fā)生的影響值；b) 針對每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值，然后計算得出風(fēng)險發(fā)生的可能性；c) 根據(jù)信息安全風(fēng)險管理程序計算風(fēng)險等級，從而得出風(fēng)險等級；d) 根據(jù)信息安全風(fēng)險管理程序及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。4.2.1.6 識別和評價風(fēng)險處理的選擇信息安全管理小組和相關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成信息安全風(fēng)險處理計劃，該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。對于信息安全風(fēng)險，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)

17、的措施：a) 控制風(fēng)險（采用適當(dāng)?shù)膬?nèi)部控制措施降低風(fēng)險發(fā)生的可能性）；b) 接受風(fēng)險（風(fēng)險值不高或者處理的代價高于風(fēng)險引起的損失，公司決定接受該風(fēng)險/殘余風(fēng)險）；c) 避免風(fēng)險（決定不進(jìn)行引起風(fēng)險的活動，從而避免風(fēng)險）；d) 轉(zhuǎn)移風(fēng)險（通過購買保險、外包等方法把風(fēng)險轉(zhuǎn)移到外部機(jī)構(gòu)）。4.2.1.7 選擇控制目標(biāo)與控制措施信息安全管理小組根據(jù)相關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門選擇和制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見信息安全適用性聲明）：a) 信息安全控制目標(biāo)獲得總經(jīng)理的批準(zhǔn)。b) 控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC 27001:2

18、005附錄A，具體控制措施參考ISO/IEC 27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則。c) 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.8 剩余風(fēng)險對風(fēng)險處理后的剩余風(fēng)險應(yīng)形成信息安全剩余風(fēng)險評估報告并得到公司管理者的批準(zhǔn)。4.2.1.9 授權(quán)管理者對實(shí)施和運(yùn)行信息安全管理體系進(jìn)行授權(quán)。4.2.1.10 適用性聲明信息安全管理小組編制信息安全適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b) 對ISO/IEC 27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。4.2.

19、2 實(shí)施及運(yùn)行信息安全管理體系4.2.2.1 活動為確保信息安全管理體系有效實(shí)施，對已識別的風(fēng)險進(jìn)行有效處理，本公司開展以下活動：a) 形成信息安全風(fēng)險處理計劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級；b) 為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施信息安全風(fēng)險處理計劃，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d) 確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；f) 對信息安全體系的運(yùn)行進(jìn)行管理；g) 對信息安全所需資源進(jìn)行管理；h) 實(shí)施控制程序

20、，對信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2 信息安全組織機(jī)構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)信息安全管理小組，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計劃，對單位、部門信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安

21、全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過程，如風(fēng)險評估、信息分類；d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e) 評估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當(dāng)?shù)拇胧?.2.2.3 信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者。總經(jīng)理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責(zé)如何，對信息安全負(fù)有以下職責(zé)：a) 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b) 對信息安

22、全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理小組或最高責(zé)任者報告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。各部門、人員有關(guān)信息安全職責(zé)分配見附錄3（規(guī)范性附錄）職責(zé)權(quán)限和相應(yīng)的程序文件（管理標(biāo)準(zhǔn)）、規(guī)定及崗位說明書。4.2.2.4 控制措施各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括信息安全運(yùn)行的各種管理標(biāo)準(zhǔn)、規(guī)章制度）的要求實(shí)施信息安全控制措施。4.2.3 監(jiān)督與評審信息安全管理體系4.2.3.1 活動本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實(shí)現(xiàn)：a)

23、及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全管理體系的事故和隱患；b) 及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果；d) 使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e) 積累信息安全方面的經(jīng)驗(yàn)。4.2.3.2 管理評審根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全管理體系的范圍、方針、目標(biāo)的符合性及控制措施有效性的評審，考慮信息安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。4

24、.2.3.3 檢查和測量在管理標(biāo)準(zhǔn)中，對安全措施的實(shí)施規(guī)定了檢查和測量的要求。同時，信息安全管理小組應(yīng)定期的進(jìn)行信息安全檢查和信息安全技術(shù)監(jiān)督，通過對安全措施的實(shí)施檢查和信息安全技術(shù)監(jiān)督，保證安全措施得到滿足。4.2.3.4 風(fēng)險再評估信息安全管理小組組織有關(guān)部門按照信息安全風(fēng)險管理程序的要求，對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估：a) 組織；b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實(shí)施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。4.2.3.5 內(nèi)部審核按照

25、計劃的時間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。4.2.3.6 更新計劃考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新信息安全計劃。4.2.3.7 記錄記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。4.2.4 保持與持續(xù)改進(jìn)信息安全管理體系我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進(jìn)：a) 實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項(xiàng)目；b) 按照本手冊第6章和第8章的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲

26、取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；d) 對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾恚_保改進(jìn)達(dá)到預(yù)期的效果。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：a) 文件化的信息安全方針，在信息安全管理體系手冊中描述,選擇的控制目標(biāo)在信息安全適用性聲明SoA中描述；b) 信息安全管理體系手冊（本手冊，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；c) ISO/IEC 27001:2005標(biāo)準(zhǔn)中規(guī)定需文件化的程序；d) 本手冊涉及的相關(guān)支持性程序性文件，例如信息安全風(fēng)險管理程序；e) 為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；f)

27、 風(fēng)險處理計劃以及信息安全管理體系要求的記錄類；g) 相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h) 信息安全適用性聲明SoA。4.3.2 文件控制4.3.2.1 要求信息安全管理小組按文件控制程序的要求，對信息安全管理體系所要求的文件進(jìn)行管理。對信息安全管理體系手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場所能夠及時獲得適用文件的有效版本。4.3.2.2 文件控制信息安全管理小組制定并實(shí)施文件和資料管理程序，人事行政部對信息安全管理體系所要求的文件進(jìn)行管理。對信息安全管理

28、手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使用場所能夠及時獲得適用文件的有效版本。文件控制應(yīng)保證：a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；b) 必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d) 確保在使用時，可獲得相關(guān)文件的最新版本；e) 確保文件保持清晰、易于識別；f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最終的銷毀；g) 確保外來文件得到識別；h) 確保文件的分發(fā)得到控制；i) 防

29、止作廢文件的非預(yù)期使用；j) 若因任何目的需保留作廢文件時，應(yīng)對其進(jìn)行適當(dāng)?shù)臉?biāo)識。4.3.2.3 外來文件管理外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：a) 信息安全適用的法律法規(guī)按照信息安全法律法規(guī)管理程序規(guī)定執(zhí)行；b) 外來的文件按照文件控制程序和其他相關(guān)規(guī)定執(zhí)行；c) 外來標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理的相關(guān)規(guī)定進(jìn)行。4.3.3 記錄控制4.3.3.1 要求信息安全管理體系所要求的記錄是信息安全管理體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。4.3.3.2 職責(zé)信息安全管理小組按記錄控制程序的要求，對記錄的標(biāo)識、儲存、保護(hù)、檢索、保管、廢棄等進(jìn)行管理。4.3.3.3 記錄信息

30、安全管理的記錄應(yīng)包括本手冊第4.2條中所列出的所有過程的結(jié)果及與信息安全管理體系相關(guān)的安全事故的記錄。4.3.3.4 分類信息安全管理體系的記錄按出處可分為以下四類：a) 程序文件所要求的記錄；b) 工作標(biāo)準(zhǔn)和作業(yè)文件所要求的記錄；c) 規(guī)章制度、規(guī)定所要求的記錄；d) 其他證實(shí)信息安全管理體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的記錄。4.3.3.5 形式信息安全管理記錄可以是表、單、卡、臺帳、記錄本、報告、紀(jì)要、證、圖等多種適用的形式，可以是書面的或電子媒體的。4.3.3.6 歸檔需要?dú)w檔的記錄，按記錄控制程序執(zhí)行，屬于電子數(shù)據(jù)的記錄，按重要信息備份管理程序執(zhí)行。5 管理職責(zé)5.1 管理承諾我公司管理者

31、通過以下活動，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a) 建立信息安全方針；b) 確保信息安全目標(biāo)和計劃得以制定（見信息安全適用性聲明SoA、風(fēng)險處理計劃及相關(guān)記錄）；c) 建立信息安全的角色和職責(zé)(見本手冊附錄3（規(guī)范性附錄）職責(zé)權(quán)限和相應(yīng)的管理程序；d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)信息安全管理體系(見本手冊第5.2.1章)；f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受等級(見信息安全風(fēng)險管理程序及相關(guān)記錄)；g) 確保內(nèi)部信息安全管理體系審核（見

32、本手冊第6章）得以實(shí)施；h) 實(shí)施信息安全管理體系管理評審（見本手冊第7章）。5.2 資源管理5.2.1 資源的提供本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工是有能力勝任的，以保證：a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系；b) 確保信息安全程序支持業(yè)務(wù)要求；c) 識別并指出法律法規(guī)要求和合同安全責(zé)任；d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；e) 必要時，進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；f) 需要時，改進(jìn)信息安全管理體系的有效性。5.2.2 培訓(xùn)、意識和能力信息安全管理小組制定并實(shí)施員工培訓(xùn)管理程序

33、文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過：a) 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c) 評價所采取措施的有效性；d) 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。6 內(nèi)部信息安全管理體系審核6.1 總則6.1.1 要求本公司信息安全管理小組按內(nèi)部審核管理程序的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報告結(jié)果和保持記錄。6.1.2 活動本公司每年進(jìn)行一次

34、信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a) 符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b) 符合已識別的信息安全要求；c) 得到有效地實(shí)施和維護(hù)；d) 按預(yù)期執(zhí)行。6.2 內(nèi)審策劃信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對審核工作進(jìn)行策劃。應(yīng)編制年度內(nèi)審計劃，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，信息安全管理小組應(yīng)編制內(nèi)部審核計劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。內(nèi)部審核計劃，經(jīng)信息安全管理者代表批準(zhǔn)，提前3天通知被審核部門，

35、被審核部門到時應(yīng)選派有關(guān)人員配合審核。6.3 內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責(zé)任，以保持工作的獨(dú)立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫內(nèi)部審核員評定表，經(jīng)信息安全管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。6.4 內(nèi)審實(shí)施6.4.1 活動應(yīng)按審核計劃的要求實(shí)施審核，包括：a) 進(jìn)行首次會議，明確審核的目的和范圍，采用的方法和程序；b) 實(shí)施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；c) 對檢查內(nèi)容進(jìn)行分析，對審核發(fā)現(xiàn)的問題

36、在不符合項(xiàng)報告及糾正報告單中開出不符合項(xiàng)；d) 審核組長編制內(nèi)部審核報告。6.4.2 不符合處理對審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理小組對糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入不符合項(xiàng)報告及糾正報告單。6.4.3 記錄內(nèi)部審核記錄由信息安全管理小組保存，并作為管理評審的輸入之一。7 管理評審7.1 總則總經(jīng)理應(yīng)每年進(jìn)行一次管理評審，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評審按管理評審程序進(jìn)行。管理評審應(yīng)包括評價信息安全管理體系改進(jìn)的機(jī)會和變更的需要，包括信息安全方針和信息安全目標(biāo)。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。7.2 評審輸入

37、管理評審的輸入要包括以下信息：a) 信息安全管理體系審核和評審的結(jié)果；b) 相關(guān)方的反饋；c) 用于改進(jìn)信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d) 預(yù)防和糾正措施的狀況；e) 以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱性或威脅；f) 有效性測量的結(jié)果；g) 以往管理評審的跟蹤措施；h) 任何可能影響信息安全管理體系的變更；i) 改進(jìn)的建議。7.3 評審輸出管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b) 更新風(fēng)險評估和風(fēng)險處理計劃；c) 必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：1) 業(yè)務(wù)要

38、求；2) 安全要求；3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4) 法律法規(guī)要求；5) 合同責(zé)任；6) 風(fēng)險等級和（或）風(fēng)險接受準(zhǔn)則。d) 資源需求；e) 改進(jìn)測量控制措施有效性的方式。8 信息安全管理體系改進(jìn)8.1 持續(xù)改進(jìn)本公司依據(jù)糾正措施控制程序和預(yù)防措施控制程序的要求,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審（見本手冊第7章），持續(xù)改進(jìn)信息安全管理體系的有效性。8.2 糾正措施本公司信息安全管理小組處理糾正措施，不符合事項(xiàng)的責(zé)任部門負(fù)責(zé)采取糾正措施，以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實(shí)施按糾正措施控制程序進(jìn)行。糾正

39、措施的制定和實(shí)施程序如下：a) 識別信息安全事件及不符合；b) 確定信息安全事件及不符合的原因；c) 評價確保不符合不再發(fā)生的措施要求；d) 確定和實(shí)施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評審所采取的糾正措施。8.3 預(yù)防措施本公司信息安全管理小組處理預(yù)防措施，潛在不符合事項(xiàng)的相關(guān)部門采取預(yù)防措施，以消除潛在與信息安全管理體系要求不符合或不期望事項(xiàng)發(fā)生的原因，防止其發(fā)生。所采取的預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的實(shí)施按預(yù)防措施控制程序進(jìn)行。預(yù)防措施的制定與實(shí)施程序要求如下：a) 識別潛在的不符合及其原因；b) 評價預(yù)防不符合發(fā)生的措施要求；c) 確定并實(shí)施所需的預(yù)防

40、措施；d) 記錄所采取措施的結(jié)果；e) 評審所采取的預(yù)防措施。我公司信息安全管理小組定期組織進(jìn)行風(fēng)險評估，以識別變化的風(fēng)險，并通過關(guān)注變化顯著的風(fēng)險來識別預(yù)防措施要求。預(yù)防措施的優(yōu)先級應(yīng)基于風(fēng)險評估結(jié)果來確定。附錄1-組織概況佛山市三維計算機(jī)網(wǎng)絡(luò)有限公司，為四川依米康環(huán)境科技股份有限公司（股票代碼：300249）控股的企業(yè)，是一家集動力環(huán)境監(jiān)控、數(shù)據(jù)部基礎(chǔ)設(shè)施管理、物流監(jiān)控、醫(yī)療自動化等信息系統(tǒng)的研究、咨詢、設(shè)計、開發(fā)、應(yīng)用、服務(wù)為一體的國家高新技術(shù)企業(yè)，在機(jī)房監(jiān)控、數(shù)據(jù)部智能化管理、物流監(jiān)管信息平臺、智能化卡口監(jiān)控、智能化手術(shù)室、節(jié)能等領(lǐng)域擁有多項(xiàng)軟硬件創(chuàng)新技術(shù)和系列自主知識產(chǎn)權(quán)產(chǎn)品。佛山三

41、維以核心技術(shù)產(chǎn)品為基礎(chǔ)，為客戶提供優(yōu)異的技術(shù)解決方案及優(yōu)質(zhì)的監(jiān)控和運(yùn)維服務(wù)。 佛山三維項(xiàng)目實(shí)施能力已通過ISO9001認(rèn)證。從2003年成立至今，已擁有5000余個成功案例，廣泛應(yīng)用于金融、保險、通信、電力、醫(yī)院、學(xué)院、財稅、交通、廣電、機(jī)關(guān)事業(yè)單位等各個領(lǐng)域，具備幾百個項(xiàng)目同時實(shí)施的能力，贏得了客戶的普遍認(rèn)可和高度贊譽(yù)。附錄2-組織機(jī)構(gòu)圖一. 公司組織架構(gòu): 公司實(shí)行董事會領(lǐng)導(dǎo)下的總經(jīng)理(管理者代表)負(fù)責(zé)制,下設(shè)業(yè)務(wù)部、技術(shù)部、工程部、財務(wù)部、商務(wù)（培訓(xùn)部）等五大部門.二.組織架構(gòu)圖: 公司部門職責(zé):1.商務(wù)部:l 制定并完善公司管理制度，并監(jiān)督落實(shí)。l 制定公司人力資源管理制度，負(fù)責(zé)公司的

42、人力資源的規(guī)劃和管理。l 人員的招聘、考核與轉(zhuǎn)正。l 公司員工的培訓(xùn)。l 員工的薪酬、考勤與紀(jì)律。l 員工的檔案管理；負(fù)責(zé)建立和維護(hù)公司員工信息庫。l 員工福利、保險的管理及辦理。l 負(fù)責(zé)公司文件資料的管理、歸檔、印刷、發(fā)放工作。l 負(fù)責(zé)公司后勤保障工作。l 負(fù)責(zé)管理公司合同。l 體系的管理評審，推動內(nèi)部審核活動。l 負(fù)責(zé)組織公司年度,月度工作會議，或不定期的部門協(xié)調(diào)溝通會，并對會議做出的決定進(jìn)行落實(shí)。l 對組織層的服務(wù)可用性、持續(xù)性、服務(wù)能力提供支持和資源保障。l 負(fù)責(zé)服務(wù)資源的統(tǒng)一規(guī)劃和配置。l 提供管理方面的信息和建議以改進(jìn)服務(wù)績效。l 服務(wù)回訪人員負(fù)責(zé)對所服務(wù)客戶進(jìn)行回訪，并對回訪的情

43、況錄入到CRM管理系統(tǒng)。l 公司其它的行政管理及后勤保障工作，以及協(xié)調(diào)溝通公共關(guān)系等工作。2.財務(wù)部:l 負(fù)責(zé)公司的所有現(xiàn)金、銀行和財務(wù)帳目的管理.l 負(fù)責(zé)各部門成本項(xiàng)目、核算各部門預(yù)算完成情況;l 向上級財務(wù)主管部門、稅務(wù)部門、統(tǒng)計主管部門等提供財務(wù)報告、報表和統(tǒng)計報告，保持聯(lián)系并協(xié)調(diào)關(guān)系；l 負(fù)責(zé)公司記帳、算帳和報帳，出具內(nèi)部財務(wù)報告，進(jìn)行財務(wù)分析，提出財務(wù)建議;l 負(fù)責(zé)各部門預(yù)算與核算管理流程；l 根據(jù)公司中、長期管理經(jīng)營計劃，組織編制年度綜合財務(wù)計劃和控制標(biāo)準(zhǔn)，建立、健全財務(wù)管理體系;l 財務(wù)報表及財務(wù)預(yù)決算的編制工作，為公司決策提供及時有效的財務(wù)分析，保證財務(wù)信息對外披露的正常進(jìn)行，

44、有效地監(jiān)督檢查財務(wù)制度、預(yù)算的執(zhí)行情況以及適當(dāng)及時的調(diào)整;l 對公司稅收進(jìn)行整體籌劃與管理，按時完成稅務(wù)申報以及年度審計工作;l 比較精確地監(jiān)控和預(yù)測現(xiàn)金流量，確定和監(jiān)控公司負(fù)債和資本的合理結(jié)構(gòu)，統(tǒng)籌管理和運(yùn)作公司資金并對其進(jìn)行有效的風(fēng)險控制;l 對公司重大的投資、融資、并購等經(jīng)營活動提供建議和決策支持，參與風(fēng)險評估、指導(dǎo)、跟蹤和控制;l 與財政、稅務(wù)、銀行、證券等相關(guān)政府部門及會計師事務(wù)所等相關(guān)中介機(jī)構(gòu)建立并保持良好的關(guān)系。 l3.業(yè)務(wù)部:l 負(fù)責(zé)公司產(chǎn)品的銷售工作；l 重點(diǎn)負(fù)責(zé)企業(yè)客戶的開發(fā)及項(xiàng)目的跟蹤落實(shí);l 參與公司營銷策略的制訂；l 負(fù)責(zé)公司所有銷售產(chǎn)品的安裝調(diào)試及售后服務(wù);l 負(fù)責(zé)

45、公司工程項(xiàng)目實(shí)施及售后服務(wù);l 負(fù)責(zé)跟蹤監(jiān)督售后服務(wù)情況,及時反饋客戶意見。4.工程部:l 負(fù)責(zé)公司產(chǎn)品的詢價和采購工作；l 負(fù)責(zé)公司商品的倉庫管理,做到進(jìn)出庫商品準(zhǔn)確無誤.l 與財務(wù)部一同進(jìn)行月度的庫存盤點(diǎn).l 參與公司營銷策略的制訂；l 負(fù)責(zé)跟蹤項(xiàng)目所采購商品的到貨情況；l 負(fù)責(zé)公司采購商品款的申請支付；l 負(fù)責(zé)合同評審管理； l 負(fù)責(zé)與上游供應(yīng)商的聯(lián)系溝通.5.技術(shù)部l 負(fù)責(zé)公司產(chǎn)品的設(shè)計、開發(fā)；l 負(fù)責(zé)公司開展業(yè)務(wù)的技術(shù)支持；l 參與公司技術(shù)發(fā)展規(guī)劃的制定l 負(fù)責(zé)解決產(chǎn)品的測試l 記錄并跟蹤客戶定制化開發(fā),及時通知客戶其請求的當(dāng)前狀況和最新進(jìn)展,并對客戶請求從提出直至驗(yàn)證和終止的整個過程進(jìn)行管理。附錄3-職能分配表部門要素高層管理/管理者代表信息安全小組商務(wù)部技術(shù)部 工程部業(yè)務(wù)部財務(wù)部4.1總要求4.2.1建立 ISMS 4.2.2實(shí)施和運(yùn)行 ISMS 4.2.3監(jiān)視和評審 ISMS 4.2.4保持和改進(jìn) ISMS4.3.1文件要求 總則4.3.2文件控制4.3.3記錄控制 5.1 管理職責(zé) 管理承諾5.2.1資源管理 資源提