信息安全的管理手冊ISO27001.doc

1、信息安全管理手冊信息安全管理體系管理手冊ISMS-M-yyyy版本號： A/1受控狀態(tài)：受控非受控編 制審 核批 準編寫組審核人 A總經(jīng)理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd日期： 2016 年1月8日實施日期：2016 年1月8日信息安全管理手冊修改履歷版本制訂者修改時間更改內(nèi)容審核人審核意見變更申請單號A/0編寫組2016-1-08定版審核人同意AA/1編寫組2017-1-15定版審核人同意B第2頁共36頁信息安全管理手冊0 目錄00 目錄 .301 頒布令.502 管理者代表授權書 .603 企業(yè)概況 .704 信息安全管理方針目標 .805 手冊的管理 .100

2、6 信息安全管理手冊 .111范圍 .111.1總則 .111.2應用 .112規(guī)范性引用文件 .113術語和定義 .113.1本公司 .123.2信息系統(tǒng) .123.3計算機病毒 .123.4信息安全事件 .123.5相關方 .124組織環(huán)境 .124.1組織及其環(huán)境 .124.2相關方的需求和期望 .124.3確定信息安全管理體系的范圍.134.4信息安全管理體系 .135領導力 .145.1領導和承諾 .145.2方針 .145.3組織角色、職責和權限 .146規(guī)劃 .146.1應對風險和機會的措施 .156.2信息安全目標和規(guī)劃實現(xiàn) .177支持 .187.1資源 .187.2能力 .

3、187.3意識 .187.4溝通 .187.5文件化信息 .198運行 .208.1運行的規(guī)劃和控制 .208.2信息安全風險評估 .208.3信息安全風險處置 .209績效評價 .219.1監(jiān)視、測量、分析和評價 .219.2內(nèi)部審核 .229.3管理評審 .22第3頁共36頁信息安全管理手冊10 改進2310.1 不符合和糾正措施2310.2 持續(xù)改進23附錄 A 信息安全管理組織結構圖25附錄 B 信息安全管理職責明細表26附錄 C 信息安全管理程序文件清單28第4頁共36頁信息安全管理手冊1 頒布令為提高 * 公司 * 的信息安全管理水平， 保障我公司業(yè)務活動的正常進行，防止由于信息系

4、統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2013 信息技術 - 安全技術 - 信息安全管理體系要求國際標準工作，建立、實施和持續(xù)改進文件化的信息安全管理體系，制定了* 公司 *信息安全管理手冊。信息安全管理手冊 是企業(yè)的法規(guī)性文件，是指導企業(yè)建立并實施信息安全管理體系的綱領和行動準則，用于貫徹企業(yè)的信息安全管理方針、目標，實現(xiàn)信息安全管理體系有效運行、持續(xù)改進，體現(xiàn)企業(yè)對社會的承諾。信息安全管理手冊符合有關信息安全法律、法規(guī)要求及ISO/IEC27001:2013 信息技術 - 安全技術 - 信息安全管理體系 - 要求標準和企業(yè)實際

5、情況，現(xiàn)正式批準發(fā)布，自2016年 1 月 8 日 起實施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫徹實施本手冊的各項要求，努力實現(xiàn)公司信息安全管理方針和目標。* 公司 *總 經(jīng) 理：總經(jīng)理2016年1月8日第5頁共36頁信息安全管理手冊2 管理者代表授權書為貫徹執(zhí)行信息安全管理體系，滿足 ISO/IEC27001:2013 信息技術 - 安全技術 - 信息安全管理體系 - 要求標準的要求，加強領導，特任命 審核人 B 為我公司信息安全管理者代表。授權信息安全管理者代表有如下職責和權限：1確保按照標準的要求， 進行資產(chǎn)識別和風險評估，

6、全面建立、實施和保持信息安全管理體系；2負責與信息安全管理體系有關的協(xié)調和聯(lián)絡工作；3確保在整個組織內(nèi)提高信息安全風險的意識；4審核風險評估報告、風險處理計劃；5批準發(fā)布程序文件；6主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；7 向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。本授權書自任命日起生效執(zhí)行。* 公司 *總 經(jīng) 理：總經(jīng)理2017年 1月 15日第6頁共36頁信息安全管理手冊3 企業(yè)概況這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址：單位地址電話：單位電話

7、傳真：單位電話郵編：郵編總經(jīng)理： 總經(jīng)理管代： 審核人 A第7頁共36頁信息安全管理手冊4 信息安全管理方針目標為防止由于信息系統(tǒng)的中斷、 數(shù)據(jù)的丟失、敏感信息的泄密所導致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：數(shù)據(jù)保密、信息完整、控制風險、持續(xù)改進、遵守法律。本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機制1公司采用系統(tǒng)的方法，按照ISO/IEC27001:2013 建立信息安全管理體系，全面保護本公司的信息安全。二、信息安全管理組織2公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息

8、安全資源。3公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4在公司內(nèi)部建立信息安全組織機構，信息安全管理委員會和信息安全協(xié)調機構，保證信息安全管理體系的有效運行。5與上級部門、地方政府、相關專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。三、人員安全6信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應包含對信息安全的要求。特殊崗位的人員應規(guī)定特別的安全責任。對崗位調動或離職人員，應及時調整安全職責和權限。7對本公司的相關方，要明確安全要求和安全職責。8定期對全

9、體員工進行信息安全相關教育，包括：技能、職責和意識。以提高安全意識。9全體員工及相關方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全第8頁共36頁信息安全管理手冊10及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風險評估11根據(jù)本公司業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。12采用先進的風險評估技術，定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13應根據(jù)風險評估的結果，采取相應措施，降低風險。六、報告安全事件14公司建立報告信息安全事件的渠道和相應的

10、主管部門。15全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件，應立即按照規(guī)定的途徑進行報告。16接受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的處理，并向報告人員反饋處理結果。七、監(jiān)督檢查17定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術性檢查、內(nèi)部審核等。八、業(yè)務持續(xù)性18公司根據(jù)風險評估的結果， 建立業(yè)務持續(xù)性計劃， 抵消信息系統(tǒng)的中斷造成的影響，防止關鍵業(yè)務過程受嚴重的信息系統(tǒng)故障或者災難的影響，并確保能夠及時恢復。19定期對業(yè)務持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進

11、行處理。信息安全目標如下：1. 重大信息安全事件（損失達 1 萬以上的）為零。2. 公司發(fā)生網(wǎng)絡中斷時間小于 2 小時每年。第9頁共36頁信息安全管理手冊5 手冊的管理1 信息安全管理手冊的批準辦公室負責組織編制信息安全管理手冊，總經(jīng)理負責批準。2 信息安全管理手冊的發(fā)放、更改、作廢與銷毀a）辦公室負責按文件管理程序的要求，進行信息安全管理手冊的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b）各相關部門按照受控文件的管理要求對收到的信息安全管理手冊進行使用和保管；c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊，并收回失效的文件作出標識統(tǒng)一處理，確保有效文件的唯一性；d）辦公室保留信息安全管理

12、手冊修改內(nèi)容的記錄。3 信息安全管理手冊的換版當依據(jù)的 ISO/IEC27001:2013 或 ISO/IEC27002:2013 標準有重大變化、 組織的結構、 內(nèi)外部環(huán)境、生產(chǎn)技術、信息安全風險等發(fā)生重大改變及信息安全管理手冊發(fā)生需修改部分超過 1/3 時，應對信息安全管理手冊進行換版。換版應在管理評審時形成決議，重新實施編、審、批工作。4 信息安全管理手冊的控制a）本信息安全管理手冊標識分受控文件和非受控文件兩種：受控文件發(fā)放范圍為公司領導、各相關部門的負責人、內(nèi)審員；非受控文件指印制成單行本，作為投標書的資料或為生產(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關人員。b）信息安全管理手冊有書面

13、文件和電子文件，電子版本文件的有效格式為.doc 文檔。第10頁共36頁信息安全管理手冊6 信息安全管理手冊1 范圍1.1 總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系 （簡稱 ISMS），確定信息安全方針和目標， 對信息安全風險進行有效管理， 確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。1.2 應用1.2.1 覆蓋范圍本信息安全管理手冊規(guī)定了* 公司 * 信息安全管理體系要求、管理職責、內(nèi)部審核、管理評審和信息安全管理體系改進等方面內(nèi)容。本信息安全管理手冊適用于* 公司 * 電磁屏蔽機房的設計業(yè)務活動所涉及的信息

14、系統(tǒng)、資產(chǎn)及相關信息安全管理活動。1.2.2 刪減說明本信息安全管理手冊采用了ISO/IEC27001:2013 標準正文的全部內(nèi)容，對適用性聲明SOA的刪減如下 :A.14.2.7外包開發(fā)刪減理由：公司無此業(yè)務2 規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準，然而，辦公室應研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、 其最新版本適用于本信息安全管理手冊。ISO/IEC27001:2013 信息技術 - 安全技術 - 信息安全管理體系 - 要求ISO/IEC27002:2

15、013 信息技術 - 安全技術 - 信息安全管理實用規(guī)則3 術語和定義ISO/IEC27001:2013信息技術 - 安全技術 - 信息安全管理體系 - 要求、ISO/IEC27002:2013信息技術 - 安全技術 - 信息安全管理實用規(guī)則 規(guī)定的術語和定義適用于本 信息安全管理手冊。第11頁共36頁信息安全管理手冊3.1 本公司指* 公司 * 包括 * 公司 * 所屬各部門。3.2 信息系統(tǒng)指由計算機及其相關的和配套的設備、設施（含網(wǎng)絡）構成的，且按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。3.3 計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或

16、者毀壞數(shù)據(jù)， 影響計算機使用， 并能自我復制的一組計算機指令或者程序代碼。3.4 信息安全事件指導致信息系統(tǒng)不能提供正常服務或服務質量下降的技術故障事件、 利用信息系統(tǒng)從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡所從事的對信息系統(tǒng)的破壞竊密事件。3.5 相關方關注本公司信息安全或與本公司信息安全績效有利益關系的組織和個人。 主要為：政府、上級部門、供方、銀行、用戶等。4 組織環(huán)境4.1 組織及其環(huán)境本公司根據(jù)業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件產(chǎn)品的技術開發(fā)，設計的管理的業(yè)務系統(tǒng)（本次認證范圍：與信息管理軟件設計開

17、發(fā)相關的信息安全管理活動）；b) 與所述信息系統(tǒng)有關的活動；c) 與所述信息系統(tǒng)有關的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。e) 本公司根據(jù)組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范圍，見附錄 A（規(guī)范性附錄）組織機構圖。f) 本公司根據(jù)組織的業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義了信息安全管理體系的物理范圍和信息安全邊界。g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.2 相關方的需求和期望重大信息安全事件（損失達1 萬以上的）為零。第12頁共36頁信息安全管理手冊公司發(fā)生網(wǎng)絡中斷時間小于2 小時每年。4.3 確定信息安全管理體系

18、的范圍體系范圍：與信息管理軟件設計開發(fā)、計算機系統(tǒng)集成相關的信息安全管理活動本公司涉及軟件產(chǎn)品的技術開發(fā)，設計的管理的業(yè)務系統(tǒng)（本次認證范圍：與電磁屏蔽機房的設計相關的信息安全管理活動）組織范圍：本公司根據(jù)組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范圍，見附錄 A （規(guī)范性附錄）組織機構圖。物理范圍：本公司根據(jù)組織的業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義了信息安全管理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.4 信息安全管理體系本公司在軟件產(chǎn)品的技術開發(fā)， 設計的管理活動中， 按 ISO/IEC27001:2013信息技術 - 安全

19、技術 - 信息安全管理體系 - 要求規(guī)定，參照 ISO/IEC27002:2013 信息技術 - 安全技術 - 信息安全管理實用規(guī)則標準，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。信息安全管理體系使用的過程基于圖1 所示的 PDCA模型。圖 1 信息安全管理體系模型策劃相關方建立相關方ISMS實施和運行保持和改進實施處置ISMSISMS信息安全信息安全要求監(jiān)視和評審管理和期望ISMS檢查第13頁共36頁信息安全管理手冊5 領導力5.1 領導和承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)：a) 建立信息安全方針 (

20、 見本手冊第 0.4 章 ) ；b) 確保信息安全目標得以制定（見本手冊第 0.4 章、適用性聲明 SoA、風險處理計劃及相關記錄）；c) 建立信息安全的角色和職責；d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；e) 提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系( 見本手冊第 5.2 章) ；f) 決定接受風險的準則和風險的可接受等級 ( 見信息安全風險管理標準及相關記錄 ) ；g) 確保內(nèi)部信息安全管理體系審核（見本手冊第 9.2 章）得以實施；h) 實施信息安全管理體系管理評審（見本手冊第 9.3 章）。5.2 方針為防止

21、由于信息系統(tǒng)的中斷、 數(shù)據(jù)的丟失、敏感信息的泄密所導致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：滿足客戶要求，遵守法律法規(guī)，實施風險管理，確保信息安全，實現(xiàn)持續(xù)改進。信息安全目標下：1. 重大信息安全事件（損失達 1 萬以上的）為零。2. 公司發(fā)生網(wǎng)絡中斷時間小于 2 小時每年。5.3 組織角色、職責和權限詳見附錄B6 規(guī)劃第14頁共36頁信息安全管理手冊6.1 應對風險和機會的措施6.1.1 總則為了滿足適用法律法規(guī)及相關方要求，維持電力整流器開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務特征、組織結構、

22、地理位置、資產(chǎn)和技術定義了信息安全管理體系方針，見本信息安全管理手冊第0.4 條款。該信息安全方針符合以下要求：a) 為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b) 考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務；c) 與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風險評價的準則；e) 經(jīng)最高管理者批準。為實現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制措施；明確信息安全的管理職責，詳見附錄 B（規(guī)范性附錄）信息安全管理職責明細表；b) 識別并滿足適用法律、法規(guī)和相關方信息安全要求；c)

23、 定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保證體系的持續(xù)有效性；d）采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；e) 對全體員工進行持續(xù)的信息安全教育和培訓， 不斷增強員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。6.1.2 信息安全風險評估6.1.2.1風險評估的方法辦公室負責制定信息安全風險管理程序，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。6.1.2.2識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風險管

24、理程序，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)第15頁共36頁信息安全管理手冊符合性要求進行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。同時，根據(jù)信息安全風險管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。6.1.2.3分析和評價風險本公司按信息安全風險管理程序，采用FMEA分析方法，分析和評價風險：a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損

25、失導致的后果進行賦值；b) 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c) 根據(jù)信息安全風險管理程序計算風險等級；d) 根據(jù)信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。6.1.2.4識別和評價風險處理的選擇辦公室組織有關部門根據(jù)風險評估的結果，形成風險處理計劃，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴) 控制風險，采用適當?shù)膬?nèi)部控制措施；b) 接受風險（不可能將所有風險降低為零）；c) 避免風險（如物理隔離）；d) 轉移風

26、險（如將風險轉移給保險者、供方、分包商）。6.1.3 信息安全風險處置辦公室根據(jù)信息安全方針、 業(yè)務發(fā)展要求及風險評估的結果，組織有關部門制定了信息安全目標，并將目標分解到有關部門（見信息安全適用性聲明）：a) 信息安全控制目標獲得了信息安全最高責任者的批準。b) 本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施c) 控制目標及控制措施的選擇原則來源于 ISO/IEC27001:2013 信息技術 - 安全技術 - 信息安全管理體系 - 要求附錄 A，具體控制措施參考 ISO/IEC27002:2013信息技術 - 安全技術 - 信息安全管理實用規(guī)則。第16頁共36頁信息安全管理手

27、冊d)適用性聲明：辦公室負責編制信息安全適用性聲明（SoA），所選擇控制目標與控制措施的概要描述， 以及選擇的原因； 對 ISO/IEC27001:2013 附錄 A 中未選用的控制目標及控制措施理由的說明。e) 制定風險處置計劃。f) 對風險處理后的剩余風險，得到了公司最高管理者的批準6.2 信息安全目標和規(guī)劃實現(xiàn)6.2.1 本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調查處理、電子監(jiān)控、定期技術檢查等控制措施并報告結果以實現(xiàn)：a) 及時發(fā)現(xiàn)處理結果中的錯誤、信息安全體系的事故（事件）和隱患；b) 及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理

28、者確認人工或自動執(zhí)行的安全活動達到預期的結果；d) 使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e) 積累信息安全方面的經(jīng)驗 ;6.2.2 根據(jù)以上活動的結果以及來自相關方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。管理評審的具體要求，見本手冊第7 章。6.2.3辦公室應組織有關部門按照信息安全風險管理程序的要求，采用FMEA分析方法，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變

29、更情況應及時進行風險評估：a) 組織；b) 技術；c) 業(yè)務目標和過程；d) 已識別的威脅；e) 實施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。6.2.4 按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核。6.2.5 定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7 章。第17頁共36頁信息安全管理手冊6.2.6 考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。6.2.7 記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。7 支持7.1 資源本公司確定并提供實施、保持信息安全

30、管理體系所需資源；采取適當措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a) 建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b) 確保信息安全程序支持業(yè)務要求；c) 識別并指出法律法規(guī)要求和合同安全責任；d) 通過正確應用所實施的所有控制來保持充分的安全；e) 必要時進行評審，并對評審的結果采取適當措施；f) 需要時，改進信息安全管理體系的有效性。7.2 能力組織應：a) 確定員工為完成其本職工作所所需的安全技能；b) 確保員工具備完成工作所需的教育、培訓和經(jīng)驗；c) 采取合適的措施確保員工具備相應的技能并對技能進行考核；d) 保留適當?shù)奈臋n信息作為證據(jù)。注：適當?shù)拇胧┛赡馨ǎ纾禾峁┡嘤?、指導或重新分派現(xiàn)有員工，或雇用具備相關技能的人士。7.3 意識組織的員工應了解：a) 信息安全方針；b) 個人對于實現(xiàn)信息安全管理的重要性，提高組織信息安全績效的收益；c) 不符合信息安全管理體系要求所造成的影響。7.4 溝通辦公室制定并實施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務?？梢酝ㄟ^：a) 確定承擔信息安全管理體系各工作崗位的職工所必要的能