ISMSA01信息安全管理手冊

1、xxx信息服務(wù)有限公司信息安全管理手冊文件編號ISMS-A-01文件名稱信息安全管理手冊文件版本1.0文件密級內(nèi)部文件發(fā)布部門信息安全工作小組批準(zhǔn)人生效日期2018年3月1日分發(fā)范圍xxx信息服務(wù)有限公司本公司對本文件資料享受著作權(quán)及其它專屬權(quán)利，未經(jīng)書面許可，不得將該等文件資料（其全部或任何部分）披露予任何第三方，或進(jìn)行修改后使用。修訂歷史版本日期修訂情況修訂人1.02018年3月1日建立1.0版本目錄1 目的32 適用范圍33 公司信息安全方針33 信息安全目標(biāo)44 公司組織架構(gòu)45 信息安全體系組織架構(gòu)46 信息安全管理職責(zé)57 信息安全管理體系67.1 總要求67.2 建立和管理信息安

2、全管理體系77.3 文件要求138 管理職責(zé)148.1 管理承諾148.2 資源管理149 內(nèi)部信息安全管理體系審核159.1 總則159.2 內(nèi)審策劃169.3 內(nèi)審員169.4 內(nèi)審實(shí)施1610 管理評審1710.1 總則1710.2 評審輸入1710.3 評審輸出1711 信息安全管理體系改進(jìn)1811.1 持續(xù)改進(jìn)1811.2 糾正措施1811.3 預(yù)防措施191 目的本手冊描述xxxx（以下簡稱公司）的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達(dá)到網(wǎng)絡(luò)安全法、國家標(biāo)準(zhǔn)信息安全等級保護(hù)基本要求、國際標(biāo)準(zhǔn)ISO27001的要求。通過信息安全管理體系的實(shí)施，提高公司全體員工的

3、信息安全意識，保證公司在商業(yè)運(yùn)作過程中的安全性、可持續(xù)性，確保公司進(jìn)行所有商務(wù)活動中獲得的顧客、隱私、企業(yè)專有技術(shù)等的信息的安全且可用，提升客戶的滿意度，提高公司的核心競爭力和抵御安全風(fēng)險(xiǎn)的能力。2 適用范圍本文件適xxxxx信息服務(wù)有限公司所有部門、所有員工。整個安全管理體系（ISMS）的覆蓋范圍包括：信息安全管理體系（ISMS）適用于所有與xxxx服務(wù)有限公司業(yè)務(wù)有關(guān)的運(yùn)維管理、技術(shù)支持服務(wù)以及其他支持系統(tǒng)相關(guān)的業(yè)務(wù)活動。信息安全管理體系的建立，旨在保護(hù)本公司所有的信息資產(chǎn)，包括但不限于知識產(chǎn)權(quán)、技術(shù)資料、操文件、研發(fā)成果、產(chǎn)品信息、投資信息、客戶數(shù)據(jù)、市場信息、人事信息、財(cái)務(wù)信息、商業(yè)合

4、同、各類軟件硬件設(shè)施以及通信和供電等基礎(chǔ)設(shè)施等。3 公司信息安全方針為加強(qiáng)公司全部職員的信息安全意識，貫徹落實(shí)信息安全方針及各項(xiàng)控制措施，保護(hù)客戶及公司自有的信息資產(chǎn)，積極預(yù)防安全事件的發(fā)生，使安全事件的影響最小化，以此確保全公司業(yè)務(wù)的持續(xù)性，并且贏得客戶的信任，提高公司的競爭力。本公司制定了以下信息安全方針：l 確保信息和信息系統(tǒng)的保密性、完整性和可用性；l 做好信息系統(tǒng)的開發(fā)安全工作；l 做好信息系統(tǒng)的安全運(yùn)維工作；l 做好信息安全事件預(yù)防和應(yīng)急響應(yīng)工作；l 做好核心業(yè)務(wù)系統(tǒng)服務(wù)中斷的應(yīng)急預(yù)案；l 做好人員招聘、篩選、管理和安全意識培訓(xùn)工作；l 做好第三方對公司信息系統(tǒng)的訪問，識別相關(guān)風(fēng)險(xiǎn)

5、；l 做好信息安全的監(jiān)督與審計(jì)工作；l 遵守法律法規(guī)，保障公司利益；3 信息安全目標(biāo)信息安全事件處理率：100；信息安全培訓(xùn)計(jì)劃達(dá)成率：100%；重大信息安全事故為：0；信息安全體系制度修訂有效性：100%；核心業(yè)務(wù)系統(tǒng)可用性：99.99%以上；軟件正版化覆蓋率：95%以上；終端防病毒覆蓋率：95%以上；重要信息（IT）設(shè)備丟失：每年不超過1起；客戶針對信息安全事件的投訴：每年不超過2次；機(jī)密和絕密信息泄漏事件：每年不超過1次；大面積內(nèi)網(wǎng)中斷時(shí)間：每年累計(jì)不超過240分鐘；大規(guī)模內(nèi)網(wǎng)病毒爆發(fā)：每年不超過2次；各應(yīng)急預(yù)案演練：每年至少演練1次（在條件具備和許可的前提下）。4 公司組織架構(gòu)5 信息

6、安全體系組織架構(gòu)信息安全委員會組長：總經(jīng)理成員：公司管理層及各中心負(fù)責(zé)人信息安全部信息安全主管（專職）信息安全工作小組組長： 信息安全主管（專職）核心成員：IT各部門經(jīng)理及骨干成員其它成員：各業(yè)務(wù)部門經(jīng)理或關(guān)鍵用戶公司各業(yè)務(wù)部門6 信息安全管理職責(zé)為了加強(qiáng)對信息安全管理體系運(yùn)作的管理，公司成立信息安全委員會，并明確最高管理者、管理者代表及各部門的職責(zé)，具體如下：6.1 信息安全最高領(lǐng)導(dǎo)：總經(jīng)理，負(fù)責(zé)以下工作：1) 負(fù)責(zé)信息安全規(guī)劃的審議和決策；2) 審議信息安全總體方針策略；3) 負(fù)責(zé)重大信息安全事件的審議和決策；4) 總體指導(dǎo)信息安全工作；5) 為信息安全管理提供資源保障。6) 保障信息安全

7、所需資源；7) 審批信息安全重要工作計(jì)劃和預(yù)算；8) 審批信息安全管理制度；6.2 信息安全委員會成員：各部門總監(jiān)，成員均為兼職，負(fù)責(zé)以下工作：1) 參與評議信息安全相關(guān)的管理制度和各項(xiàng)控制措施；2) 提出信息安全需求；3) 落實(shí)本部門信息安全控制措施的執(zhí)行工作；4) 落實(shí)本部門信息安全宣導(dǎo)工作；5) 協(xié)同處理信息安全事件。6) 審議信息安全工作報(bào)告；7) 審議信息安全風(fēng)險(xiǎn)報(bào)告和處理計(jì)劃；6.3 信息安全工作小組組長：由“信息安全主管”專人擔(dān)任，負(fù)責(zé)以下工作：1) 協(xié)調(diào)信息安全部門與各部門之間的工作；1) 起草和修訂信息安全管理制度、明確公司各部門信息安全職責(zé)； 2) 起草信息安全規(guī)劃、預(yù)算和

8、重要工作計(jì)劃；3) 起草信息安全風(fēng)險(xiǎn)報(bào)告；4) 報(bào)告信息安全工作進(jìn)展；5) 各部門信息安全工作的落實(shí)；6) 組織解決重大信息安全事件；7) 提出信息安全需求；8) 推廣信息安全技術(shù)控制措施、管理控制措施的落地。9) 組織信息安全意識培訓(xùn)；6.4 信息安全工作小組成員：各部門經(jīng)理、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、DBA等兼任，負(fù)責(zé)以下工作：1) 在整個組織內(nèi)提高信息安全意識；2) 落實(shí)信息安全責(zé)任；3) 落實(shí)信息安全控制措施的執(zhí)行工作。4) 落實(shí)本部門信息安全宣導(dǎo)工作；5) 參與評議信息安全相關(guān)的管理制度和各項(xiàng)控制措施；6) 負(fù)責(zé)部門統(tǒng)計(jì)本部門重要資產(chǎn)，并對本部門重要資產(chǎn)進(jìn)行安全管理和風(fēng)險(xiǎn)監(jiān)控。6.5

9、系統(tǒng)管理員安全職責(zé)：負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件；對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。6.6 網(wǎng)絡(luò)管理員安全職責(zé)：負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行；監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向信息安全人員報(bào)告安全事件；對操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。6.7 系統(tǒng)維護(hù)人員安全職責(zé)：負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；不得擅自改變系統(tǒng)功能；不得安裝與系統(tǒng)無關(guān)的其他計(jì)算

10、機(jī)程序；維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告信息安全人員。6.7 數(shù)據(jù)庫管理員安全職責(zé)：（1）負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安裝、備份與維護(hù)，保證系統(tǒng)安全、正常運(yùn)行；（2）負(fù)責(zé)定期檢查系統(tǒng)運(yùn)行情況，檢測并優(yōu)化系統(tǒng)性能；（3）負(fù)責(zé)檢查數(shù)據(jù)庫系統(tǒng)的用戶權(quán)限，防止非法用戶的入侵和越權(quán)訪問；（4）負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時(shí)排除，做好系統(tǒng)恢復(fù)。 6.8 數(shù)據(jù)安全員職責(zé)：（1）負(fù)責(zé)信息網(wǎng)絡(luò)數(shù)據(jù)的安全，保障信息的保密性、完整性和可用性；（2）負(fù)責(zé)對信息網(wǎng)絡(luò)數(shù)據(jù)備份與災(zāi)難恢復(fù)系統(tǒng)的維護(hù)與管理，實(shí)時(shí)對重要數(shù)據(jù)進(jìn)行安全備份；（3）負(fù)責(zé)對信息采集、傳輸及存儲的技術(shù)手段和工作環(huán)境以及介質(zhì)管理各環(huán)節(jié)的

11、監(jiān)督檢查，發(fā)現(xiàn)問題及漏洞及時(shí)解決；（4）負(fù)責(zé)定期對重要數(shù)據(jù)存儲備份介質(zhì)的檢查，防止數(shù)據(jù)的丟失或被破壞。 6.9 防病毒管理員安全職責(zé)：防病毒安全員負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)病毒的防護(hù)工作。其主要職責(zé)是： （1）負(fù)責(zé)計(jì)算機(jī)防病毒軟件的購置、保管、發(fā)放、升級和安裝；（2）負(fù)責(zé)信息網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)病毒的防護(hù)，在病毒發(fā)作日前及時(shí)發(fā)布公告，并采取必要的預(yù)防措施；（3）負(fù)責(zé)定期對信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行病毒檢測，發(fā)現(xiàn)系統(tǒng)被計(jì)算機(jī)病毒感染，及時(shí)組織清毒、消毒；（4）負(fù)責(zé)計(jì)算機(jī)病毒防護(hù)知識的宣傳教育工作。 6.10 機(jī)房管理員安全職責(zé)：機(jī)房安全員負(fù)責(zé)計(jì)算機(jī)機(jī)房的安全與管理。其主要職責(zé)是：（1）負(fù)責(zé)計(jì)算機(jī)機(jī)房的防火、防水

12、、防靜電、防雷擊和防輻射等安全設(shè)施的管理；（2）負(fù)責(zé)對計(jì)算機(jī)機(jī)房的內(nèi)部裝修，落實(shí)電磁波防護(hù)等技術(shù)規(guī)范與技術(shù)要求；（3）負(fù)責(zé)計(jì)算機(jī)機(jī)房配電系統(tǒng)、空調(diào)系統(tǒng)的維護(hù)與管理；（4）負(fù)責(zé)計(jì)算機(jī)機(jī)房的進(jìn)出口的控制機(jī)監(jiān)控系統(tǒng)和門禁系統(tǒng)的維護(hù)與管理；（5）負(fù)責(zé)對本單位計(jì)算機(jī)機(jī)房及所屬各部門計(jì)算機(jī)機(jī)房安全性的檢查，發(fā)現(xiàn)問題或隱患及時(shí)提出整改意見和書面報(bào)告。6.9 開發(fā)人員安全職責(zé)：嚴(yán)格按照公司的標(biāo)準(zhǔn)開發(fā)流程進(jìn)行開發(fā)、測試、代碼的管理工作。及時(shí)向安全人員報(bào)告系統(tǒng)各種安全事件。6.10 業(yè)務(wù)操作人員安全職責(zé)：嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度；不得向他人提供自己的操作密碼；及時(shí)向系統(tǒng)管理員報(bào)告系統(tǒng)各種異常事件。6

13、.11 信息安全人員職責(zé)：負(fù)責(zé)信息安全管理的日常工作；開展信息安全檢查工作，對要害崗位人員安全工作進(jìn)行指導(dǎo)和監(jiān)督；負(fù)責(zé)維護(hù)和審查有關(guān)安全審計(jì)記錄，及時(shí)發(fā)現(xiàn)存在問題，提出安全風(fēng)險(xiǎn)防范對策；開展信息安全知識的培訓(xùn)和宣傳工作；監(jiān)控信息安全總體狀況，提出信息安全分析報(bào)告。7 信息安全管理體系7.1 總要求公司根據(jù)整體業(yè)務(wù)活動和風(fēng)險(xiǎn)，開發(fā)、實(shí)施、保持并持續(xù)改進(jìn)文件化的信息安全管理體系。本手冊應(yīng)用了PDCA模式。 建立ISMS 實(shí)施和運(yùn)行ISMS 保持和改進(jìn)ISMS 監(jiān)視和評審ISMS 相關(guān)方 信息安全 要求和期望 相關(guān)方 受控的 信息安全 規(guī)劃Plan 檢查Check 處置Act 實(shí)施Do 圖1 信息安

14、全管理體系PDCA模型7.2 建立和管理信息安全管理體系信息安全管理體系的建立遵照PDCA的過程，包括建立、實(shí)施、監(jiān)督和改進(jìn)等過程。1) 建立ISMS2) 實(shí)施和運(yùn)行ISMS 3) 監(jiān)督和評審ISMS 4) 維持和改進(jìn)ISMS 7.2.1 建立信息安全管理體系7.2.1.2 信息安全管理體系的方針7.2.1.2.1 方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針。7.2.1.2.2 要求本公司信息安全管理體系方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安

15、全活動建立整體的方向和原則；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則；e) 經(jīng)總經(jīng)理批準(zhǔn)，并定期評審其適用性、充分性，必要時(shí)予以修訂。7.2.1.2.3 承諾為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d) 采用先進(jìn)有效的設(shè)施和技術(shù)，處

16、理、傳遞、儲存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。7.2.1.3 風(fēng)險(xiǎn)評估的方法信息安全工作小組制定信息安全風(fēng)險(xiǎn)管理程序，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識別風(fēng)險(xiǎn)的可接受等級。按信息安全風(fēng)險(xiǎn)評估執(zhí)行信息安全風(fēng)險(xiǎn)管理程序進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。7.2.1.4 識別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)管理程序?qū)λ械馁Y產(chǎn)和資產(chǎn)

17、所有者進(jìn)行了識別；對每一項(xiàng)資產(chǎn)按重置成本級別、保密性、完整性、可用性和資產(chǎn)價(jià)值及重要性級別進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷準(zhǔn)則確定是否為重要資產(chǎn)，形成重要資產(chǎn)清單。同時(shí)根據(jù)信息安全風(fēng)險(xiǎn)管理程序識別對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的控制措施及現(xiàn)有控制措施的有效性，并通過對這些項(xiàng)目的賦值計(jì)算出在喪失保密性、完整性和可用性可能對重要資產(chǎn)造成的影響。7.2.1.5 分析和評價(jià)風(fēng)險(xiǎn)本公司按信息安全風(fēng)險(xiǎn)管理程序分析和評價(jià)風(fēng)險(xiǎn)：a) 針對重要資產(chǎn)的價(jià)值和脆弱性嚴(yán)重程度，計(jì)算出風(fēng)險(xiǎn)發(fā)生的影響值；b) 針對每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值，然后計(jì)算得出風(fēng)險(xiǎn)發(fā)生的可能性；c)

18、根據(jù)信息安全風(fēng)險(xiǎn)管理程序計(jì)算風(fēng)險(xiǎn)等級，從而得出風(fēng)險(xiǎn)等級；d) 根據(jù)信息安全風(fēng)險(xiǎn)管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。7.2.1.6 識別和評價(jià)風(fēng)險(xiǎn)處理的選擇信息安全工作小組和相關(guān)部門根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，形成信息安全風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受風(fēng)險(xiǎn)；c) 避免風(fēng)險(xiǎn)；d) 轉(zhuǎn)移風(fēng)險(xiǎn)。7.2.1.7 選擇控制目標(biāo)與控制措施信息安全工作小組根據(jù)相關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評估的結(jié)果，組織有關(guān)部門選擇

19、和制定了信息安全目標(biāo)。a) 信息安全控制目標(biāo)獲得總經(jīng)理的批準(zhǔn)。b) 控制目標(biāo)及控制措施的選擇原則來源于信息安全等級保護(hù)基本要求、ISO/IEC 27001；c) 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。7.2.1.8 剩余風(fēng)險(xiǎn)對風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)應(yīng)形成信息安全剩余風(fēng)險(xiǎn)評估報(bào)告并得到公司管理者的批準(zhǔn)。7.2.1.9 授權(quán)公司最高管理層對實(shí)施和運(yùn)行信息安全管理體系進(jìn)行授權(quán)。7.2.2 實(shí)施及運(yùn)行信息安全管理體系7.2.2.1 活動為確保信息安全管理體系有效實(shí)施，對已識別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動：a) 形成信息安全風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控

20、制措施的優(yōu)先級；b) 為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施信息安全風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d) 確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e) 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；f) 對信息安全體系的運(yùn)行進(jìn)行管理；g) 對信息安全所需資源進(jìn)行管理；h) 實(shí)施控制程序，對信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。7.2.2.2 信息安全組織機(jī)構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)信息安全工作小組的職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及

21、到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司的信息安全職能由信息安全工作小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計(jì)劃，對單位、部門信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評估、信息分類；d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e) 評估信息安全控

22、制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g) 評價(jià)根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當(dāng)?shù)拇胧?.2.2.3 信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者，對信息安全負(fù)有以下職責(zé)：a) 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b) 對信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全工作小組或最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。7.2.3 監(jiān)督與評審信息安全管理體系7.2.3.1 活動本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)

23、告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a) 及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全管理體系的事故和隱患；b) 及時(shí)了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果；d) 使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e) 積累信息安全方面的經(jīng)驗(yàn)。7.2.3.2 管理評審根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全管理體系的范圍、方針、目標(biāo)的符合性及控制措施有效性的評審，考慮信息安全審核、事件、有效性測量的結(jié)果

24、，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。7.2.3.3 檢查和測量在管理標(biāo)準(zhǔn)中，對安全措施的實(shí)施規(guī)定了檢查和測量的要求。同時(shí)，信息安全工作小組應(yīng)定期的進(jìn)行信息安全檢查和信息安全技術(shù)監(jiān)督，通過對安全措施的實(shí)施檢查和信息安全技術(shù)監(jiān)督，保證安全措施得到滿足。7.2.3.4 風(fēng)險(xiǎn)再評估信息安全工作小組組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)管理程序的要求，對風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：a) 組織；b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實(shí)施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的

25、變化、合同責(zé)任的變化以及社會環(huán)境的變化。7.2.3.5 內(nèi)部審核按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。7.2.3.6 更新計(jì)劃考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新信息安全計(jì)劃。7.2.3.7 記錄記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。7.2.4 保持與持續(xù)改進(jìn)信息安全管理體系我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進(jìn)：a) 實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項(xiàng)目；b) 按照本手冊第6章和第8章的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；c) 通過適當(dāng)

26、的手段保持在內(nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；d) 對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。7.3 文件要求7.3.1 文件控制信息安全工作小組按文件控制程序的要求，對信息安全管理體系所要求的文件進(jìn)行管理。對信息安全管理體系手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場所能夠及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：a) 文件發(fā)布前得到

27、批準(zhǔn)，以確保文件是充分的；b) 必要時(shí)對文件進(jìn)行評審、更新并再次批準(zhǔn)；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d) 確保在使用時(shí)，可獲得相關(guān)文件的最新版本；e) 確保文件保持清晰、易于識別；f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最終的銷毀；g) 確保外來文件得到識別；h) 確保文件的分發(fā)得到控制；i) 防止作廢文件的非預(yù)期使用；j) 若因任何目的需保留作廢文件時(shí)，應(yīng)對其進(jìn)行適當(dāng)?shù)臉?biāo)識。7.3.2.3 外來文件管理外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：a) 信息安全適用的法律法規(guī)按照信息安全法律法規(guī)管理程序規(guī)定執(zhí)行；b)

28、 外來的文件按照文件控制程序和其他相關(guān)規(guī)定執(zhí)行；c) 外來標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理的相關(guān)規(guī)定進(jìn)行。7.3.3 記錄控制信息安全管理體系所要求的記錄是信息安全管理體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。信息安全工作小組按記錄控制程序的要求，對記錄的標(biāo)識、儲存、保護(hù)、檢索、保管、廢棄等進(jìn)行管理，詳細(xì)內(nèi)容參見記錄控制程序。信息安全管理記錄可以是表、單、卡、臺帳、記錄本、報(bào)告、紀(jì)要、證、圖等多種適用的形式，可以是書面的或電子媒體的。需要?dú)w檔的記錄，按記錄控制程序執(zhí)行，屬于電子數(shù)據(jù)的記錄，按重要信息備份管理程序執(zhí)行。8 管理職責(zé)8.1 管理承諾我公司管理者通過以下活動，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)

29、信息安全管理體系的承諾提供證據(jù)：l 建立信息安全方針； l 確保信息安全目標(biāo)和計(jì)劃的建立； l 明確公司各部門信息安全職責(zé)； l 向公司傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針的法律責(zé)任和持續(xù)改進(jìn)的重要性； l 提供足夠的資源以建立、實(shí)施、運(yùn)行、維持和改進(jìn)ISMS； l 決定可接受準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級； l 定期進(jìn)行ISMS的內(nèi)部審核和管理評審。8.2 資源管理8.2.1 資源的提供本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工是有能力勝任的，以保證：a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系；b) 確保信息安全程序支持業(yè)

30、務(wù)要求；c) 識別并指出法律法規(guī)要求和合同安全責(zé)任；d) 通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；e) 必要時(shí)，進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；f) 需要時(shí)，改進(jìn)信息安全管理體系的有效性。8.2.2 培訓(xùn)、意識和能力信息安全工作小組制定并實(shí)施員工培訓(xùn)管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a) 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c) 評價(jià)所采取措施的有效性；d) 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄。本公司還確保所有相關(guān)人員意識到其所從事

31、的信息安全活動的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。9 內(nèi)部信息安全管理體系審核9.1 總則9.1.1 要求本公司信息安全工作小組按內(nèi)部審核管理程序的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報(bào)告結(jié)果和保持記錄。9.1.2 活動本公司每年進(jìn)行壹次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a) 符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b) 符合已識別的信息安全要求；c) 得到有效地實(shí)施和維護(hù)；d) 按預(yù)期執(zhí)行。9.2 內(nèi)審策劃信息安全工作小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對審核工作進(jìn)行策劃。應(yīng)編制年度內(nèi)審

32、計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，信息安全工作小組應(yīng)編制內(nèi)部審核計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。內(nèi)部審核計(jì)劃，經(jīng)信息安全委員會批準(zhǔn)，提前3天通知被審核部門，被審核部門到時(shí)應(yīng)選派有關(guān)人員配合審核。9.3 內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責(zé)任，以保持工作的獨(dú)立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫內(nèi)部審核員評定表，經(jīng)信息安全委員會批準(zhǔn)，方取得內(nèi)

33、部審核員資格。9.4 內(nèi)審實(shí)施9.4.1 活動應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a) 進(jìn)行首次會議，明確審核的目的和范圍，采用的方法和程序；b) 實(shí)施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；c) 對檢查內(nèi)容進(jìn)行分析，對審核發(fā)現(xiàn)的問題在不符合項(xiàng)報(bào)告及糾正報(bào)告單中開出不符合項(xiàng)；d) 審核組長編制內(nèi)部審核報(bào)告。9.4.2 不符合處理對審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，由信息安全工作小組對糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入不符合項(xiàng)報(bào)告及糾正報(bào)告單。9.4.3 記錄內(nèi)部審核記錄由信息安全工作小組保存，并作為管理評審的輸入之一。10 管理評審10.1 總則總經(jīng)理應(yīng)每年進(jìn)行一次管理評審，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理