信息安全管理手冊(cè)

1、文件名稱版本號(hào)文件編號(hào)機(jī)密等級(jí)發(fā)布日期生效日期擬制日期審核日期批準(zhǔn)日期XXXX信息安全管理手冊(cè)創(chuàng)建/變更人變化狀態(tài)變更摘要(章節(jié)/內(nèi)容)版本創(chuàng)建/變更時(shí)間批準(zhǔn)人變化狀態(tài)：新建，增加，修改,刪除文件修訂履歷目錄1信息安全管理手冊(cè)頒布令42信息安全手冊(cè)說(shuō)明和管理52.1說(shuō)明52.2管理52.2.1編寫52.2.2批準(zhǔn)、發(fā)布52.2.3發(fā)放和回收52.2.4修改52.2.5保存63目的64適用范圍65引用標(biāo)準(zhǔn)66術(shù)語(yǔ)和定義67信息安全管理體系67.1總要求67.2建立和管理ISMS77.2.1建立ISMS77.2.2實(shí)施和運(yùn)行ISMS97.2.3監(jiān)視和評(píng)審ISMS107.2.4保持和改進(jìn) 

2、ISMS117.3文件要求117.3.1總則117.3.2文件控制117.3.3記錄控制128管理職責(zé)128.1管理承諾128.2資源管理128.2.1提供資源128.2.2能力、意識(shí)和培訓(xùn)139內(nèi)部ISMS審核139.1內(nèi)部審核的要求139.2內(nèi)部審核記錄1410ISMS管理評(píng)審1410.1總則1410.2評(píng)審輸入1410.3評(píng)審輸出1511ISMS 改進(jìn)1511.1持續(xù)改進(jìn)1511.2糾正措施1511.3預(yù)防措施1612附則16XXXX信息安全管理手冊(cè)1信息安全管理手冊(cè)頒布令為防范一切來(lái)自內(nèi)部或外部、蓄意或意外的信息安全風(fēng)險(xiǎn)，保護(hù)XXXX的信息資產(chǎn)，依據(jù) ISO2700

3、1:2005信息安全管理體系要求，XXXX編制了信息安全管理手冊(cè)，經(jīng)評(píng)審定稿，現(xiàn)予以發(fā)布實(shí)施。XXXX依據(jù) ISO27001:2005信息安全管理體系要求建立了信息安全管理體系，以保證XXXX的信息安全目標(biāo)和方針的實(shí)現(xiàn)。本手冊(cè)是XXXX信息安全管理體系的核心文件，是實(shí)施信息安全管理的綱領(lǐng)和行動(dòng)準(zhǔn)則，XXXX的各個(gè)部門要組織全體員工認(rèn)真學(xué)習(xí)，全面貫徹執(zhí)行，確保信息安全管理體系的有效運(yùn)行。本手冊(cè)可用于對(duì)外提供信息安全保證。信息安全管理手冊(cè)自年月日起生效，XXXX原有與信息安全管理手冊(cè)相違背的文件同時(shí)廢止。XXXX年月日2信息安全手冊(cè)說(shuō)明和管理2.1說(shuō)明信息安全管理手冊(cè)依據(jù) IS

4、O27001:2005信息安全管理體系要求并結(jié)合XXXX具體情況編寫而成。在信息安全管理手冊(cè)中闡明了XXXX的信息安全方針和目標(biāo)，對(duì)信息安全管理體系做了概括性敘述，是XXXX對(duì)外實(shí)施信息安全保證、對(duì)內(nèi)進(jìn)行信息安全管理的綱領(lǐng)性文件。信息安全管理手冊(cè)所采用的條款與 ISO27001:2005信息安全管理體系要求中的條款編寫一致，并結(jié)合XXXX特點(diǎn)編寫了程序文件、制度規(guī)定和相關(guān)記錄文件，形成XXXX的信息安全管理標(biāo)準(zhǔn)，使信息安全管理體系有章可循、有法可依。信息安全管理手冊(cè)適用于XXXX所有的信息資產(chǎn)。2.2管理通過(guò)控制信息安全管理手冊(cè)的編制、審核、發(fā)放、更改、保管和回收等，確保各部門、各崗

5、位使用信息安全管理手冊(cè)的現(xiàn)行有效版本。2.2.1編寫由XXXX信息安全工作小組進(jìn)行手冊(cè)的編寫工作。2.2.2批準(zhǔn)、發(fā)布由XXXX信息安全管理委員會(huì)批準(zhǔn)、簽署發(fā)布和規(guī)定實(shí)施日期。2.2.3發(fā)放和回收由行政部負(fù)責(zé)手冊(cè)的發(fā)放和回收。信息安全管理手冊(cè)的持有者若調(diào)離單位或不再?gòu)氖孪嚓P(guān)工作時(shí)，行政部應(yīng)及時(shí)收回手冊(cè)，辦理回收登記和注銷手續(xù)。受控的信息安全管理體系文件發(fā)放須列發(fā)放清單，由信息安全工作主管領(lǐng)導(dǎo)批準(zhǔn)。經(jīng)批準(zhǔn)的文件持有者或部門，不得擅自對(duì)外交流、發(fā)放和外送。非受控文件，可發(fā)給對(duì)外交流單位和個(gè)人，但須由使用部門申請(qǐng)，行政部批準(zhǔn)和登記在冊(cè)，方可發(fā)放。2.2.4修改信息安全管理手冊(cè)應(yīng)在以下情況發(fā)生時(shí)進(jìn)行更

6、改，程序和方法需按照文件控制程序執(zhí)行。1、單位組織結(jié)構(gòu)有較大變動(dòng)時(shí)；2、單位業(yè)務(wù)系統(tǒng)有較大變動(dòng)時(shí)；3、外部環(huán)境發(fā)生重大變化時(shí)；4、國(guó)家法律、法規(guī)有重大變化時(shí)；5、單位信息安全方針和目標(biāo)有重大變化時(shí)。2.2.5保存持有者應(yīng)愛(ài)護(hù)并妥善保管好本手冊(cè)，保證其完整、清晰，不得遺失、損壞。3目的為了建立、健全本單位信息安全管理體系（簡(jiǎn)稱 ISMS），逐步提升單位的信息安全保障能力，確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件，持續(xù)改進(jìn) ISMS 的有效性，特制定本手冊(cè)。4適用范圍本手冊(cè)適用于7.2.1.1條款確定范圍內(nèi)的信

7、息安全管理活動(dòng)。5引用標(biāo)準(zhǔn)本單位選擇 ISO27001:2005 標(biāo)準(zhǔn)，并結(jié)合各部門業(yè)務(wù)特點(diǎn)和信息安全管理需要建立了信息安全管理體系。信息安全管理手冊(cè)引用的標(biāo)準(zhǔn)有：ØISO27001:2005，信息安全管理體系要求ØISO17799:2005，信息安全管理實(shí)施細(xì)則6術(shù)語(yǔ)和定義本手冊(cè)采用 ISO27001:2005信息安全管理體系要求及 ISO17799:2005信息安全管理實(shí)施細(xì)則中的術(shù)語(yǔ)和定義。7信息安全管理體系7.1總要求按照ISO27001:2005信息安全技術(shù)-信息安全管理體系要求，采用PDCA模式建立信息安全管理體系，同時(shí)考

8、慮該體系的實(shí)施、維持和持續(xù)改善，確保體系的有效性。7.2建立和管理ISMS7.2.1建立ISMS7.2.1.1ISMS范圍信息安全管理體系（ISMS）適用于位于XXXXX的信息安全管理活動(dòng)。具體范圍包括：1、單位的所有部門和所有人員。2、單位的所有業(yè)務(wù)系統(tǒng)及其他 IT 系統(tǒng)（xxx系統(tǒng)、XXX系統(tǒng)）。3、單位的所有基礎(chǔ)設(shè)施、硬件設(shè)備、軟件及信息資產(chǎn)。7.2.1.2ISMS 目標(biāo)提高全員的信息安全意識(shí)，積極做好預(yù)防工作，保護(hù)單位的信息資產(chǎn)免受非授權(quán)的訪問(wèn)、修改、泄密和破壞，防止安全事故的發(fā)生，最小化安全事故的影響，保障信息系統(tǒng)安全、持續(xù)的運(yùn)行。7.2.1.3ISMS

9、 方針為制定符合實(shí)際情況的 ISMS 方針，依據(jù)以下方面的要求：1、作為制定 ISMS 目標(biāo)的框架及為采取信息安全措施建立總的方向與原則。2、考慮單位業(yè)務(wù)發(fā)展、法律法規(guī)要求及其他相關(guān)方信息安全的要求。3、為 ISMS 的建立和維持提供一個(gè)組織化的戰(zhàn)略和風(fēng)險(xiǎn)管理的基本環(huán)境。4、確定風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則和結(jié)構(gòu)。為了滿足適用法律法規(guī)及相關(guān)方要求，維持業(yè)務(wù)的正常進(jìn)行，依據(jù)ISO27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，以保證單位業(yè)務(wù)信息的保密性、完整性和可用性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。單位的ISMS方針如下：XXXXXXXXXXX

10、XXXXXX為了滿足以上信息安全方針，維持生產(chǎn)和經(jīng)營(yíng)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本單位承諾：1、成立信息安全管理委員會(huì)來(lái)領(lǐng)導(dǎo)信息安全工作，信息安全管理委員會(huì)定期召開(kāi)會(huì)議，對(duì)有關(guān)的信息安全重大問(wèn)題做出決策。2、 清晰識(shí)別所有的資產(chǎn)，實(shí)施等級(jí)標(biāo)記，對(duì)資產(chǎn)進(jìn)行分級(jí)、分類管理，并編制和維護(hù)所有重要資產(chǎn)的清單。3、 綜合使用訪問(wèn)控制、監(jiān)測(cè)、審計(jì)和身份鑒別等方法來(lái)保證數(shù)據(jù)、網(wǎng)絡(luò)、信息資源的安全，并加強(qiáng)對(duì)外單位人員訪問(wèn)信息系統(tǒng)的控制和制約，降低系統(tǒng)被入侵的風(fēng)險(xiǎn)。4、 啟動(dòng)所有操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的日志功能，定期進(jìn)行審計(jì)并作相應(yīng)的記錄。5、明確全體員工

11、的信息安全責(zé)任，所有員工都必須接受信息安全的教育培訓(xùn)，提高信息安全意識(shí)，針對(duì)不同崗位，制定不同等級(jí)的培訓(xùn)計(jì)劃，并定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。6、建立安全事件報(bào)告、事故應(yīng)答和分類機(jī)制，確定報(bào)告可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關(guān)方都能理解和執(zhí)行事故處理流程，同時(shí)妥善保存安全事件的相關(guān)記錄與證據(jù)。7、對(duì)用戶權(quán)限和口令進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的非法訪問(wèn)。8、控制對(duì)內(nèi)部、外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)，保護(hù)網(wǎng)絡(luò)化服務(wù)的安全性與可用性。9、實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃，保證XXXX的核心業(yè)務(wù)不受重大故障和災(zāi)難的影響，業(yè)務(wù)連續(xù)性計(jì)劃的制定應(yīng)基于風(fēng)險(xiǎn)評(píng)估的結(jié)果。10、制定完善的數(shù)據(jù)備份

12、策略，對(duì)重要數(shù)據(jù)進(jìn)行備份，數(shù)據(jù)備份定期進(jìn)行還原測(cè)試，備份介質(zhì)與原信息所在場(chǎng)所應(yīng)保持安全距離。11、與外單位的外包（服務(wù)）合同應(yīng)明確規(guī)定合同參與方的安全要求、安全責(zé)任和安全規(guī)定等安全相關(guān)內(nèi)容，并采取相應(yīng)措施嚴(yán)格保證對(duì)協(xié)議安全內(nèi)容的執(zhí)行。12、在開(kāi)發(fā)新業(yè)務(wù)系統(tǒng)時(shí)，應(yīng)充分考慮相關(guān)的安全需求，并嚴(yán)格控制對(duì)項(xiàng)目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問(wèn)。13、應(yīng)定期對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果采取相應(yīng)措施進(jìn)行風(fēng)險(xiǎn)控制。14、應(yīng)識(shí)別并滿足適用的法律、法規(guī)和相關(guān)方的信息安全要求，形成正式的文件并定期加以審查。7.2.1.4ISMS策略為了支持ISMS方針的有效執(zhí)行，需在ISMS方針的框架內(nèi)進(jìn)一步細(xì)化和

13、明確安全控制措施的要素、要求和結(jié)果，依據(jù)ISO17799:2005標(biāo)準(zhǔn)，單位制定了信息安全策略，用以指導(dǎo)安全控制措施的執(zhí)行，以及評(píng)價(jià)安全控制措施的有效性、充分性和適用性。詳細(xì)內(nèi)容參見(jiàn)信息安全策略。7.2.1.5風(fēng)險(xiǎn)評(píng)估方法信息安全工作小組負(fù)責(zé)建立信息安全風(fēng)險(xiǎn)評(píng)估管理程序并組織實(shí)施。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容見(jiàn)風(fēng)險(xiǎn)評(píng)估程序。7.2.1.6風(fēng)險(xiǎn)處理方法對(duì)于信息安全風(fēng)險(xiǎn)，需考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)娘L(fēng)險(xiǎn)處理措施：1、降低風(fēng)險(xiǎn)（采用適當(dāng)?shù)膬?nèi)部控制措施）。2、接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）。3、避免風(fēng)險(xiǎn)（如物理隔離）。4、轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)

14、移給產(chǎn)品或服務(wù)供應(yīng)商、保險(xiǎn)單位等）。7.2.1.7選擇控制目標(biāo)和措施1、 由信息安全管理委員會(huì)根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織各部門制定信息安全目標(biāo)，并將目標(biāo)分解到各部門。信息安全目標(biāo)已獲得XXXX信息安全管理委員會(huì)的批準(zhǔn)。2、控制目標(biāo)及控制措施的選擇來(lái)源于 ISO27001:2005附錄A，具體控制措施可以參考ISO17799:2005信息安全管理實(shí)施細(xì)則。單位根據(jù)實(shí)際信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其它控制措施。7.2.2實(shí)施和運(yùn)行ISMS7.2.2.1信息安全組織機(jī)構(gòu)單位管理層決定信息安全組織機(jī)構(gòu)和各部門的信息安全職責(zé)，并形成文件：1、由單位

15、管理層和各部門負(fù)責(zé)人組成信息安全管理委員會(huì)，作為單位的信息安全管理最高機(jī)構(gòu)。信息安全管理委員會(huì)主席由總經(jīng)理?yè)?dān)任，為信息安全最高責(zé)任者；常務(wù)副主席由單位總經(jīng)理任命，為信息安全管理者代表，無(wú)論該成員在其它方面的職責(zé)如何，對(duì)本單位的信息安全負(fù)有以下職責(zé)：Ø建立并實(shí)施信息安全管理體系的必要程序并維持其有效運(yùn)行；Ø對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理委員會(huì)或最高責(zé)任者報(bào)告。2、單位各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都須按保密承諾的要求自覺(jué)履行信息安全保密義務(wù)。信息安全組織機(jī)構(gòu)和各部門信息安全職責(zé)的詳細(xì)內(nèi)容見(jiàn)信息安全組織建設(shè)規(guī)定。7.2.2.2體系實(shí)

16、施和運(yùn)行為確保信息安全有效實(shí)施，對(duì)已識(shí)別的信息安全風(fēng)險(xiǎn)進(jìn)行有效處理，單位開(kāi)展以下活動(dòng)：1、按照信息安全管理體系文件，確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)。2、為實(shí)現(xiàn)已確定的安全目標(biāo)，按照信息安全管理體系中的制度、流程和記錄文件內(nèi)容進(jìn)行實(shí)施。3、實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)和方針的要求。4、進(jìn)行信息安全培訓(xùn)，提高全體員工的信息安全意識(shí)和能力。5、對(duì)體系的運(yùn)作進(jìn)行管理。6、對(duì)信息安全所需資源進(jìn)行管理。7、實(shí)施控制程序，對(duì)信息安全事故進(jìn)行迅速反應(yīng)。7.2.3監(jiān)視和評(píng)審ISMS1、單位通過(guò)實(shí)施不定期技術(shù)檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控等控制措施并報(bào)告結(jié)果；Ø及時(shí)發(fā)

17、現(xiàn)信息安全事故和隱患；Ø及時(shí)了解信息系統(tǒng)遭受的各類攻擊；Ø使單位各級(jí)管理者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采取的措施；Ø積累信息安全方面的經(jīng)驗(yàn)。2、根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由信息安全管理者代表主持，定期（每半年一次）對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全管理范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。3、信息安全工作小組需組織各部門對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：Ø組織機(jī)構(gòu)發(fā)生重大變更；Ø信息處理技術(shù)發(fā)生重大變更；

18、16;業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更；Ø發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅；Ø外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。4、保持上述活動(dòng)和措施的記錄。7.2.4保持和改進(jìn) ISMS單位開(kāi)展以下活動(dòng)，以確保 ISMS 的持續(xù)改進(jìn)：1、實(shí)施管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；2、吸取其他組織及本單位安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；3、與信息安全目標(biāo)及方針進(jìn)行對(duì)比，確保改進(jìn)達(dá)到預(yù)期的效果；4、包括外部信息安全專家、上級(jí)主管部門等。如：管理評(píng)審會(huì)議、內(nèi)部審核報(bào)告、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)清單等。7.3文件要求7.3.1總則本

19、單位信息安全管理體系文件包括：1、信息安全管理手冊(cè)。2、本手冊(cè)要求的業(yè)務(wù)連續(xù)性管理程序、安全事故管理程序等支持性程序。3、為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的流程文檔。4、ISMS 要求的記錄文件。5、相關(guān)的法律法規(guī)和信息安全標(biāo)準(zhǔn)列表。7.3.2文件控制制定信息安全管理體系文件的管理程序，保證信息安全管理體系文件得到以下所需的控制：1、文件的編寫、發(fā)放、更改、作廢等事項(xiàng)得到相應(yīng)授權(quán)的查閱、批準(zhǔn)，確保文件是合適的、可行的；2、文件的標(biāo)識(shí)和修訂狀態(tài)清晰、易于識(shí)別，確保使用的文件是當(dāng)前有效版本；3、為了文件的有效性，要定期確認(rèn)其內(nèi)容是否過(guò)時(shí)，根據(jù)需要決定保持或修改并再次得到相應(yīng)的

20、批準(zhǔn)；4、確保信息安全的外部標(biāo)準(zhǔn)和相應(yīng)法律法規(guī)得到明確的標(biāo)識(shí)和管理。7.3.3記錄控制信息安全管理體系所要求的記錄文件是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)，記錄要易讀、易識(shí)別和方便檢索，記錄文件的管理規(guī)定包括以下內(nèi)容：1、明確規(guī)定記錄文件的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)；2、信息安全管理體系的記錄文件包括 8.2 中所列出的所有過(guò)程的結(jié)果及與ISMS相關(guān)的安全事故；3、各部門需采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗浳募?管理職責(zé)8.1管理承諾為確保建立、維持并持續(xù)改進(jìn)信息安全管理體系，信息安全管理委員會(huì)特做出以下承諾：1、建立信息安全目標(biāo)、方針和策略。2、建立信息安全

21、組織并明確職責(zé)。3、通過(guò)適當(dāng)?shù)臏贤ǚ绞?，向全體員工傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針以及法律法規(guī)要求和持續(xù)改進(jìn)的重要性。4、提供適當(dāng)?shù)馁Y源以滿足信息安全管理體系的需要。5、對(duì)可接受風(fēng)險(xiǎn)的級(jí)別進(jìn)行決策。6、實(shí)施 ISMS 管理評(píng)審。8.2資源管理8.2.1提供資源單位確保提供適當(dāng)?shù)馁Y源，以滿足以下需求：1、建立、實(shí)施和維持 ISMS。2、確保信息安全管理程序支持業(yè)務(wù)流程的要求。3、識(shí)別并致力于滿足法律法規(guī)要求及合同規(guī)定的安全義務(wù)。4、切實(shí)實(shí)施已有的控制措施，保持信息安全的充分性。5、必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審結(jié)果做出適當(dāng)?shù)姆磻?yīng)。6、需要時(shí)，改進(jìn)信息安全管理體系的有

22、效性。8.2.2能力、意識(shí)和培訓(xùn)為提高全員的信息安全意識(shí)、確保相關(guān)人員履行信息安全職責(zé)所需的能力，制定并實(shí)施以下的管理活動(dòng)：1、明確各崗位的信息安全職責(zé)和對(duì)能力的要求。2、實(shí)施信息安全意識(shí)和能力的教育、培訓(xùn)，并評(píng)價(jià)培訓(xùn)的有效性。3、通過(guò)宣傳和其它活動(dòng)使全體員工認(rèn)識(shí)到信息安全職責(zé)的重要性及如何為實(shí)現(xiàn)信息安全目標(biāo)做出各自的貢獻(xiàn)。4、保持以上活動(dòng)的記錄。各部門的職責(zé)見(jiàn)信息安全組織建設(shè)規(guī)定。9內(nèi)部ISMS審核單位每半年組織一次內(nèi)部審核，以處理 ISMS 規(guī)定的安全目標(biāo)、控制措施和程序是否：1、符合信息安全標(biāo)準(zhǔn)和有關(guān)法律法規(guī)要求。2、符合已識(shí)別的信息安全要求。；3、得到有效實(shí)施和保持

23、。4、完成預(yù)期的目標(biāo)。9.1內(nèi)部審核的要求1、審核計(jì)劃需覆蓋整個(gè) ISMS 體系，并得到信息安全管理委員會(huì)的批準(zhǔn)。2、內(nèi)部審核以本手冊(cè)、相應(yīng)的規(guī)章、制度、流程為基準(zhǔn)，選定的信息安全員須是了解單位業(yè)務(wù)流程、熟悉安全體系標(biāo)準(zhǔn)并經(jīng)過(guò)培訓(xùn)的員工。3、信息安全審計(jì)員資格需獲得信息安全管理委員會(huì)的批準(zhǔn)。4、進(jìn)行內(nèi)審時(shí)，需有計(jì)劃的進(jìn)行以下的事項(xiàng)：Ø審核員的選定、教育與培訓(xùn)；Ø編寫審核計(jì)劃，指定審核員（審核員應(yīng)與被審核對(duì)象無(wú)直接責(zé)任關(guān)系）；Ø準(zhǔn)備必要的相關(guān)文件。5、審核中發(fā)現(xiàn)的不符合事項(xiàng)，要向責(zé)任部門報(bào)告，由責(zé)任部門明確糾正預(yù)防措施的實(shí)施計(jì)劃。6、要對(duì)該糾正預(yù)

24、防措施的實(shí)施計(jì)劃的執(zhí)行情況進(jìn)行跟蹤，確認(rèn)是否有效實(shí)施。7、以上的工作完成后，須經(jīng)信息安全管理委員會(huì)確認(rèn)后，審核才算結(jié)束。8、如果發(fā)現(xiàn)信息安全重大不符合時(shí)，或者信息安全管理委員會(huì)判斷必要時(shí)，可調(diào)整審核計(jì)劃。9、對(duì)審核的結(jié)果進(jìn)行適當(dāng)?shù)膮R總整理，作為管理評(píng)審的輸入資料。9.2內(nèi)部審核記錄內(nèi)部審核記錄應(yīng)包括以下內(nèi)容：1、被審核對(duì)象范圍、審核日期、審核員、被審核方。2、依據(jù)的文件、具體審核事項(xiàng)及其審查結(jié)果、不符合內(nèi)容和程度(嚴(yán)重或輕微及觀察事項(xiàng))、不符合事項(xiàng)的糾正預(yù)防措施和實(shí)施期限。3、糾正預(yù)防措施的實(shí)施狀況及其效果、其它必要事項(xiàng)和審核結(jié)束的確鑿證據(jù)。10ISMS管理評(píng)審10.1總則信息安全管理委員會(huì)為

25、確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每半年對(duì)信息安全管理體系進(jìn)行一次管理評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息安全管理體系是否需改進(jìn)或變更的評(píng)價(jià)，以及對(duì)安全方針、安全目標(biāo)的評(píng)價(jià)。管理評(píng)審的結(jié)果需形成書(shū)面記錄，該記錄按7.3.3條款的要求進(jìn)行保存。10.2評(píng)審輸入在管理評(píng)審時(shí)，信息安全管理委員會(huì)需組織各部門提供以下資料：1、ISMS 體系內(nèi)、外部審核的結(jié)果；2、相關(guān)方的反饋（投訴、抱怨、建議等）；3、可以用來(lái)改進(jìn) ISMS 有效性的新技術(shù)、產(chǎn)品或程序；4、信息安全目標(biāo)達(dá)成情況，糾正預(yù)防措施的實(shí)施情況；5、信息安全事故或事件，以往風(fēng)險(xiǎn)評(píng)估時(shí)未充分考慮到的薄弱點(diǎn)或威脅；6、上次管理評(píng)審時(shí)決定事項(xiàng)的實(shí)施情況；7、可能影響信息安全管理體系變更的事項(xiàng)（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求等）；8、對(duì)信息安全管理體系改善的建議。10.3評(píng)審輸出信息安全管理委員會(huì)對(duì)以下事項(xiàng)做出必要的指示：1、信息安全