信息安全管理手冊-ISO27001

1、WORD格式信息平安管理手冊信息平安管理體系管理手冊ISMS-M-yyyy版本號： A/1受控狀態(tài)：受控非受控編 制審 核批 準(zhǔn)編寫組審核人 A總經(jīng)理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd專業(yè)資料整理WORD格式日期：2021年1月8日實施日期：2021年1月8日專業(yè)資料整理WORD格式信息平安管理手冊修改履歷版本制訂者修改時間更改內(nèi)容審核人審核意見變更申請單號A/0編寫組2021-1-08定版審核人同意AA/1編寫組2021-1-15定版審核人同意B專業(yè)資料整理WORD格式第2頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊0 目錄00 目錄 .301 公布令.502

2、 管理者代表授權(quán)書 .603 企業(yè)概況 .704 信息平安管理方針目標(biāo) .805 手冊的管理 .1006 信息平安管理手冊 .111X圍 .111.1總那么 .111.2應(yīng)用 .112標(biāo)準(zhǔn)性引用文件 .113術(shù)語和定義 .113.1本公司 .123.2信息系統(tǒng) .123.3計算機(jī)病毒 .123.4信息平安事件 .123.5相關(guān)方 .124組織環(huán)境 .124.1組織及其環(huán)境 .124.2相關(guān)方的需求和期望 .124.3確定信息平安管理體系的X圍.134.4信息平安管理體系 .135領(lǐng)導(dǎo)力 .145.1領(lǐng)導(dǎo)和承諾 .145.2方針 .145.3組織角色、職責(zé)和權(quán)限 .146規(guī)劃 .146.1應(yīng)對風(fēng)

3、險和時機(jī)的措施 .156.2信息平安目標(biāo)和規(guī)劃實現(xiàn) .177支持 .187.1資源 .187.2能力 .187.3意識 .187.4溝通 .187.5文件化信息 .198運(yùn)行 .208.1運(yùn)行的規(guī)劃和控制 .208.2信息平安風(fēng)險評估 .208.3信息平安風(fēng)險處置 .209績效評價 .219.1監(jiān)視、測量、分析和評價 .219.2內(nèi)部審核 .229.3管理評審 .22專業(yè)資料整理WORD格式第3頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊10 改進(jìn)2310.1 不符合和糾正措施2310.2 持續(xù)改進(jìn)23附錄 A 信息平安管理組織構(gòu)造圖25附錄 B 信息平安管理職責(zé)明細(xì)表26附錄 C 信息

4、平安管理程序文件清單28專業(yè)資料整理WORD格式第4頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊1 公布令為提高 * 公司 * 的信息平安管理水平， 保障我公司業(yè)務(wù)活動的正常進(jìn)展，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系要求"國際標(biāo)準(zhǔn)工作，建立、實施和持續(xù)改進(jìn)文件化的信息平安管理體系，制定了* 公司 *"信息平安管理手冊"。"信息平安管理手冊" 是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實施信息平安管理體系

5、的綱領(lǐng)和行動準(zhǔn)那么，用于貫徹企業(yè)的信息平安管理方針、目標(biāo)，實現(xiàn)信息平安管理體系有效運(yùn)行、持續(xù)改進(jìn)，表達(dá)企業(yè)對社會的承諾。"信息平安管理手冊"符合有關(guān)信息平安法律、法規(guī)要求及ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"標(biāo)準(zhǔn)和企業(yè)實際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2021年 1 月 8 日 起實施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴(yán)格按照"信息平安管理手冊"的要求，自覺遵循信息平安管理方針，貫徹實施本手冊的各項要求，努力實現(xiàn)公司信息平安管理方針和目標(biāo)。* 公司 *總 經(jīng) 理：總經(jīng)理2021年

6、1月8日專業(yè)資料整理WORD格式第5頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊2 管理者代表授權(quán)書為貫徹執(zhí)行信息平安管理體系，滿足 ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 審核人 B 為我公司信息平安管理者代表。授權(quán)信息平安管理者代表有如下職責(zé)和權(quán)限：1確保按照標(biāo)準(zhǔn)的要求，進(jìn)展資產(chǎn)識別和風(fēng)險評估， 全面建立、實施和保持信息平安管理體系；2負(fù)責(zé)與信息平安管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3確保在整個組織內(nèi)提高信息平安風(fēng)險的意識；4審核風(fēng)險評估報告、風(fēng)險處理方案；5批準(zhǔn)發(fā)布程序文件；6主持信息

7、平安管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報告；7向最高管理者報告信息平安管理體系的業(yè)績和改進(jìn)要求，包括信息平安管理體系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行。* 公司 *總 經(jīng) 理：總經(jīng)理2021年 1月 15日專業(yè)資料整理WORD格式第6頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊3 企業(yè)概況這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址：單位地址：單位：單位：總經(jīng)理： 總經(jīng)理管代： 審核人 A專業(yè)資料整理WORD格式第7頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊4 信息平安管理方針目標(biāo)為防止由

8、于信息系統(tǒng)的中斷、 數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息平安管理體系，制訂了信息平安方針，確定了信息平安目標(biāo)。信息平安管理方針：數(shù)據(jù)*、信息完整、控制風(fēng)險、持續(xù)改進(jìn)、遵守法律。本公司信息平安管理方針包括內(nèi)容如下：一、信息平安管理機(jī)制1公司采用系統(tǒng)的方法，按照ISO/IEC27001:2021建立信息平安管理體系，全面保護(hù)本公司的信息平安。二、信息平安管理組織2公司總經(jīng)理對信息平安工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息平安方針，確定信息平安要求，提供信息平安資源。3公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實施、檢查、改進(jìn)信息平安管理體系，保證信息平安管理體系的持續(xù)適宜性和有效性。4

9、在公司內(nèi)部建立信息平安組織機(jī)構(gòu)，信息平安管理委員會和信息平安協(xié)調(diào)機(jī)構(gòu)，保證信息平安管理體系的有效運(yùn)行。5與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解平安要求和發(fā)展動態(tài)，獲得對信息平安管理的支持。三、人員平安6信息平安需要全體員工的參與和支持，全體員工都有保護(hù)信息平安的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息平安的要求。特殊崗位的人員應(yīng)規(guī)定特別的平安責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整平安職責(zé)和權(quán)限。7對本公司的相關(guān)方，要明確平安要求和平安職責(zé)。8定期對全體員工進(jìn)展信息平安相關(guān)教育，包括：技能、職責(zé)和意識。以提高平安意識。9全體員工及相關(guān)方人員必須履行平安職責(zé)，執(zhí)行平安方針、程

10、序和平安措施。四、識別法律、法規(guī)、合同中的平安專業(yè)資料整理WORD格式第8頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊10及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息平安的要求，采取措施，保證滿足平安要求。五、風(fēng)險評估11根據(jù)本公司業(yè)務(wù)信息平安的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準(zhǔn)那么。12采用先進(jìn)的風(fēng)險評估技術(shù)，定期進(jìn)展風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。六、報告平安事件14公司建立報告信息平安事件的渠道和相應(yīng)的主管部門。15全體員工有報告信息平安隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)

11、現(xiàn)信息平安事件，應(yīng)立即按照規(guī)定的途徑進(jìn)展報告。16承受信息平安事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反響處理結(jié)果。七、監(jiān)視檢查17定期對信息平安進(jìn)展監(jiān)視檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18公司根據(jù)風(fēng)險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性方案， 抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。19定期對業(yè)務(wù)持續(xù)性方案進(jìn)展測試和更新。九、違反信息平安要求的懲罰20對違反信息平安方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)展處理。信息平安目標(biāo)如下：1. 重大信息平安事件損失達(dá) 1 萬以上的為零。2

12、. 公司發(fā)生網(wǎng)絡(luò)中斷時間小于 2 小時每年。專業(yè)資料整理WORD格式第9頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊5 手冊的管理1 信息平安管理手冊的批準(zhǔn)辦公室負(fù)責(zé)組織編制"信息平安管理手冊"，總經(jīng)理負(fù)責(zé)批準(zhǔn)。2 信息平安管理手冊的發(fā)放、更改、作廢與銷毀a辦公室負(fù)責(zé)按"文件管理程序"的要求，進(jìn)展"信息平安管理手冊"的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b各相關(guān)部門按照受控文件的管理要求對收到的"信息平安管理手冊"進(jìn)展使用和保管；c辦公室按照規(guī)定發(fā)放修改后的"信息平安管理手冊"，

13、并收回失效的文件作出標(biāo)識統(tǒng)一處理，確保有效文件的唯一性；d辦公室保存"信息平安管理手冊"修改內(nèi)容的記錄。3 信息平安管理手冊的換版當(dāng)依據(jù)的 ISO/IEC27001:2021或 ISO/IEC27002:2021標(biāo)準(zhǔn)有重大變化、 組織的構(gòu)造、 內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息平安風(fēng)險等發(fā)生重大改變及"信息平安管理手冊"發(fā)生需修改部分超過 1/3 時，應(yīng)對"信息平安管理手冊"進(jìn)展換版。換版應(yīng)在管理評審時形成決議，重新實施編、審、批工作。4 信息平安管理手冊的控制a本"信息平安管理手冊"標(biāo)識分受控文件和非受控文件兩種：受控文

14、件發(fā)放X圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；非受控文件指印制成單行本，作為投標(biāo)書的資料或為生產(chǎn)、銷售目的等發(fā)給受控X圍以外的其他相關(guān)人員。b"信息平安管理手冊"有書面文件和電子文件，電子版本文件的有效格式為.doc 文檔。專業(yè)資料整理WORD格式第10頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊6 信息平安管理手冊1 X圍1.1 總那么為了建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息平安管理體系 簡稱 ISMS，確定信息平安方針和目標(biāo)， 對信息平安風(fēng)險進(jìn)展有效管理， 確保全體員工理解并遵照執(zhí)行信息平安管理體系文件、持續(xù)改進(jìn)信息平安管理體系的有效性，特制定

15、本手冊。1.2 應(yīng)用1.2.1 覆蓋X圍本信息平安管理手冊規(guī)定了* 公司 * 信息平安管理體系要求、管理職責(zé)、內(nèi)部審核、管理評審和信息平安管理體系改進(jìn)等方面內(nèi)容。本信息平安管理手冊適用于* 公司 * 電磁屏蔽機(jī)房的設(shè)計業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息平安管理活動。1.2.2 刪減說明本信息平安管理手冊采用了ISO/IEC27001:2021標(biāo)準(zhǔn)正文的全部內(nèi)容，對"適用性聲明SOA"的刪減如下 :A.14.2.7外包開發(fā)刪減理由：公司無此業(yè)務(wù)2 標(biāo)準(zhǔn)性引用文件以下文件中的條款通過本"信息平安管理手冊"的引用而成為本"信息平安管理手冊&qu

16、ot;的條款。但凡注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，辦公室應(yīng)研究是否可使用這些文件的最新版本。但凡不注日期的引用文件、 其最新版本適用于本信息平安管理手冊。ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"ISO/IEC27002:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理實用規(guī)那么"3 術(shù)語和定義ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"、ISO/IEC27002:2021"信息技術(shù) - 平

17、安技術(shù) - 信息平安管理實用規(guī)那么" 規(guī)定的術(shù)語和定義適用于本 "信息平安管理手冊"。專業(yè)資料整理WORD格式第11頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊3.1 本公司指* 公司 * 包括 * 公司 * 所屬各部門。3.2 信息系統(tǒng)指由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施含網(wǎng)絡(luò)構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)那么對信息進(jìn)展采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。3.3 計算機(jī)病毒指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)， 影響計算機(jī)使用， 并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。3.4 信息平安事件指導(dǎo)致信息系統(tǒng)不能提供正常效勞或

18、效勞質(zhì)量下降的技術(shù)故障事件、 利用信息系統(tǒng)從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密事件。3.5 相關(guān)方關(guān)注本公司信息平安或與本公司信息平安績效有利益關(guān)系的組織和個人。 主要為：政府、上級部門、供方、銀行、用戶等。4 組織環(huán)境4.1 組織及其環(huán)境本公司根據(jù)業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了X圍和邊界，本公司信息平安管理體系的X圍包括：a) 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計的管理的業(yè)務(wù)系統(tǒng)本次認(rèn)證X圍：與信息管理軟件設(shè)計開發(fā)相關(guān)的信息平安管理活動；b) 與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性

19、系統(tǒng)包含的全部信息資產(chǎn)。e) 本公司根據(jù)組織的業(yè)務(wù)特征和組織構(gòu)造定義了信息平安管理體系的組織X圍，見附錄 A標(biāo)準(zhǔn)性附錄"組織機(jī)構(gòu)圖"。f) 本公司根據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了信息平安管理體系的物理X圍和信息平安邊界。g本公司信息平安管理體系的物理X圍為本公司位于單位地址。4.2 相關(guān)方的需求和期望重大信息平安事件損失達(dá)1 萬以上的為零。專業(yè)資料整理WORD格式第12頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊公司發(fā)生網(wǎng)絡(luò)中斷時間小于2 小時每年。4.3 確定信息平安管理體系的X圍體系X圍：與信息管理軟件設(shè)計開發(fā)、計算機(jī)系統(tǒng)集成相關(guān)的信息平安

20、管理活動本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計的管理的業(yè)務(wù)系統(tǒng)本次認(rèn)證X圍：與電磁屏蔽機(jī)房的設(shè)計相關(guān)的信息平安管理活動組織X圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織構(gòu)造定義了信息平安管理體系的組織X圍，見附錄 A 標(biāo)準(zhǔn)性附錄"組織機(jī)構(gòu)圖"。物理X圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了信息平安管理體系的物理X圍和信息平安邊界。本公司信息平安管理體系的物理X圍為本公司位于單位地址。4.4 信息平安管理體系本公司在軟件產(chǎn)品的技術(shù)開發(fā)， 設(shè)計的管理活動中， 按 ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求&q

21、uot;規(guī)定，參照 ISO/IEC27002:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理實用規(guī)那么"標(biāo)準(zhǔn)，建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息平安管理體系。信息平安管理體系使用的過程基于圖1 所示的 PDCA模型。圖 1 信息平安管理體系模型籌劃相關(guān)方建立相關(guān)方ISMS實施和運(yùn)行保持和改進(jìn)實施處置ISMSISMS信息平安信息平安要求監(jiān)視和評審管理和期望ISMS檢查專業(yè)資料整理WORD格式第13頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊5 領(lǐng)導(dǎo)力5.1 領(lǐng)導(dǎo)和承諾我公司管理者通過以下活動，對建立、實施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息平安管理體

22、系的承諾提供證據(jù)：a) 建立信息平安方針 ( 見本手冊第 0.4 章 ) ；b) 確保信息平安目標(biāo)得以制定見本手冊第 0.4 章、"適用性聲明 SoA"、"風(fēng)險處理方案"及相關(guān)記錄；c) 建立信息平安的角色和職責(zé)；d) 向組織傳達(dá)滿足信息平安目標(biāo)、符合信息平安方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e) 提供充分的資源，以建立、實施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)信息平安管理體系 ( 見本手冊第 5.2 章) ；f) 決定承受風(fēng)險的準(zhǔn)那么和風(fēng)險的可承受等級 ( 見"信息平安風(fēng)險管理標(biāo)準(zhǔn)"及相關(guān)記錄 ) ；g) 確保內(nèi)部信息平安管理體系審核

23、見本手冊第 9.2 章得以實施；h) 實施信息平安管理體系管理評審見本手冊第 9.3 章。5.2 方針為防止由于信息系統(tǒng)的中斷、 數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息平安管理體系，制訂了信息平安方針，確定了信息平安目標(biāo)。信息平安管理方針：滿足客戶要求，遵守法律法規(guī)，實施風(fēng)險管理，確保信息平安，實現(xiàn)持續(xù)改進(jìn)。信息平安目標(biāo)下：1. 重大信息平安事件損失達(dá) 1 萬以上的為零。2. 公司發(fā)生網(wǎng)絡(luò)中斷時間小于 2 小時每年。5.3 組織角色、職責(zé)和權(quán)限詳見附錄B6 規(guī)劃專業(yè)資料整理WORD格式第14頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊6.1 應(yīng)對風(fēng)險和時機(jī)的

24、措施6.1.1 總那么為了滿足適用法律法規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營的正常進(jìn)展，實現(xiàn)業(yè)務(wù)可持續(xù)開展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了信息平安管理體系方針，見本信息平安管理手冊第0.4 條款。該信息平安方針符合以下要求：a) 為信息平安目標(biāo)建立了框架，并為信息平安活動建立整體的方向和原那么；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的平安義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息平安管理體系；d) 建立了風(fēng)險評價的準(zhǔn)那么；e) 經(jīng)最高管理者批準(zhǔn)。為實現(xiàn)信息平安管理體系方針，本公司承諾：a) 在各層次建立完整的信息平安管理組織機(jī)構(gòu)，

25、確定信息平安目標(biāo)和控制措施；明確信息平安的管理職責(zé)，詳見附錄 B標(biāo)準(zhǔn)性附錄"信息平安管理職責(zé)明細(xì)表"；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息平安要求；c) 定期進(jìn)展信息平安風(fēng)險評估，信息平安管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護(hù)各類信息，實現(xiàn)信息共享；e) 對全體員工進(jìn)展持續(xù)的信息平安教育和培訓(xùn)， 不斷增強(qiáng)員工的信息平安意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性方案，實現(xiàn)可持續(xù)開展。6.1.2 信息平安風(fēng)險評估6.1.2.1風(fēng)險評估的方法辦公室負(fù)責(zé)制定"信息平安風(fēng)險管理程序"，建立識

26、別適用于信息平安管理體系和已經(jīng)識別的業(yè)務(wù)信息平安、法律和法規(guī)要求的風(fēng)險評估方法，建立承受風(fēng)險的準(zhǔn)那么并識別風(fēng)險的可承受等級。6.1.2.2識別風(fēng)險在已確定的信息平安管理體系X圍內(nèi)，本公司按"信息平安風(fēng)險管理程序"，對所有的資產(chǎn)進(jìn)展了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、效勞及人力資源。對每一項資產(chǎn)按自身價值、信息分類、*性、完整性、法律法規(guī)專業(yè)資料整理WORD格式第15頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊符合性要求進(jìn)展了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了"重要資產(chǎn)清單"。同時，根據(jù)

27、"信息平安風(fēng)險管理程序"，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、*性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。6.1.2.3分析和評價風(fēng)險本公司按"信息平安風(fēng)險管理程序"，采用FMEA分析方法，分析和評價風(fēng)險：a) 針對重要資產(chǎn)自身價值、*性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)展賦值；b) 針對每一項威脅、薄弱點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定平安失效發(fā)生的可能性，并進(jìn)展賦值；c) 根據(jù)"信息平安風(fēng)險管理程序"計算風(fēng)險等級；d) 根據(jù)"信息平安風(fēng)險管理程序"及風(fēng)險承受

28、準(zhǔn)那么，判斷風(fēng)險為可承受或需要處理。6.1.2.4識別和評價風(fēng)險處理的選擇辦公室組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成"風(fēng)險處理方案"，該方案明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。對于信息平安風(fēng)險，應(yīng)考慮控制措施與費(fèi)用的平衡原那么，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 承受風(fēng)險不可能將所有風(fēng)險降低為零；c) 防止風(fēng)險如物理隔離；d) 轉(zhuǎn)移風(fēng)險如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商。6.1.3 信息平安風(fēng)險處置辦公室根據(jù)信息平安方針、 業(yè)務(wù)開展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定了信息平安目標(biāo)，并將目標(biāo)分解到有關(guān)部門見"信

29、息平安閑用性聲明"：a) 信息平安控制目標(biāo)獲得了信息平安最高責(zé)任者的批準(zhǔn)。b) 本公司根據(jù)信息平安管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施c) 控制目標(biāo)及控制措施的選擇原那么來源于 ISO/IEC27001:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理體系 - 要求"附錄 A，具體控制措施參考 ISO/IEC27002:2021"信息技術(shù) - 平安技術(shù) - 信息平安管理實用規(guī)那么"。專業(yè)資料整理WORD格式第16頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊d)適用性聲明：辦公室負(fù)責(zé)編制"信息平安閑用性聲明"So

30、A，所選擇控制目標(biāo)與控制措施的概要描述， 以及選擇的原因； 對 ISO/IEC27001:2021附錄 A 中未選用的控制目標(biāo)及控制措施理由的說明。e) 制定風(fēng)險處置方案。f) 對風(fēng)險處理后的剩余風(fēng)險，得到了公司最高管理者的批準(zhǔn)6.2 信息平安目標(biāo)和規(guī)劃實現(xiàn)6.2.1 本公司通過實施不定期平安檢查、內(nèi)部審核、事故事件報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a) 及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息平安體系的事故事件和隱患；b) 及時了解識別失敗的和成功的平安破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認(rèn)人工或自動執(zhí)行的平安活動到達(dá)預(yù)期的結(jié)果；d) 使管理者掌握信息

31、平安活動和解決平安破壞所采取的措施是否有效；e) 積累信息平安方面的經(jīng)歷 ;6.2.2 根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反響，由總經(jīng)理主持，每年至少一次對信息平安管理體系的有效性進(jìn)展評審，其中包括信息平安X圍、方針、目標(biāo)的符合性及控制措施有效性的評審，考慮平安審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7 章。6.2.3辦公室應(yīng)組織有關(guān)部門按照"信息平安風(fēng)險管理程序"的要求，采用FMEA分析方法，對風(fēng)險處理后的剩余風(fēng)險進(jìn)展定期評審，以驗證剩余風(fēng)險是否到達(dá)可承受的水平，對以下方面變更情況應(yīng)及時進(jìn)展風(fēng)險評估：a) 組織；b)

32、技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。6.2.4 按照方案的時間間隔進(jìn)展信息平安管理體系內(nèi)部審核。6.2.5 定期對信息平安管理體系進(jìn)展管理評審，以確保X圍的充分性，并識別信息平安管理體系過程的改進(jìn)，管理評審的具體要求，見本手冊第7 章。專業(yè)資料整理WORD格式第17頁共29頁專業(yè)資料整理WORD格式信息平安管理手冊6.2.6 考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新平安方案。6.2.7 記錄可能對信息平安管理體系有效性或業(yè)績有影響的活動和事情。7 支持7.1 資源本公司確定并提供實施、保持信息平安管理體系所需資源；采取適當(dāng)措施，使影響信息平安管理體系工作的員工的能力是勝任的，以保證：a) 建立、實施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息平安管理體系；b) 確保信息平安程序支持業(yè)務(wù)要求；c) 識別并指出法律法規(guī)要求和合同平安責(zé)任；d) 通過正確應(yīng)用所實施的所有控制來保持充分的平安；e) 必要時進(jìn)展評審，并對評審的結(jié)果采取適當(dāng)措施；f) 需要時，改進(jìn)信息平安管理體系的有效性。7.2 能力組織應(yīng)