信息安全管理手冊(cè)

1、江蘇XXX湘技有限公司版本A/0密級(jí)內(nèi)部限制受控是信息安全轡E1手冊(cè)生效日期核準(zhǔn)審查制訂2016.3.1修改記錄廳P修改原因修改內(nèi)容修改人/時(shí)間批準(zhǔn)人/時(shí)間備注目錄0.1、信息安全管理手冊(cè)發(fā)布令0.2、管理者代表任命書0.3、公司簡(jiǎn)介0.4、信息安全方針0.5、信息安全目標(biāo)1、范圍2、引用標(biāo)準(zhǔn)3、術(shù)語和定義4、信息安全管理體系4.1 組織環(huán)境4.2 理解相關(guān)方的需求和期望4.3 明確信息安全管理體系的范圍4.4 信息安全管理體系5、領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾5.2 方針5.3 組織角色、職責(zé)和權(quán)力6、計(jì)劃6.1 處置風(fēng)險(xiǎn)和機(jī)遇6.2 信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)7、支持7.1 資源7.2 能力7.3

2、意識(shí)7.4 溝通7.5 文檔要求8、實(shí)施8.1 運(yùn)行計(jì)劃和控制8.2 信息安全風(fēng)險(xiǎn)評(píng)估8.3 信息安全風(fēng)險(xiǎn)處置9、績(jī)效評(píng)價(jià)9.1 監(jiān)視、測(cè)量、分析和評(píng)價(jià)9.2 內(nèi)部審核9.3 管理評(píng)審10、改進(jìn)10.1 不符合項(xiàng)和糾正措施10.2 持續(xù)改進(jìn)附件：附件一：信息安全職能分配表附件二：信息安全職責(zé)附件三：信息安全管理體系程序文件清單附件四：信息安全管理體系作業(yè)指導(dǎo)書文件清單0.1信息安全管理手冊(cè)發(fā)布令為提高江蘇XXX湘技有限公司的信息安全管理水平，保障企業(yè)經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故，公司開展貫徹ISO/IEC27001:20

3、13信息技術(shù)-安全技術(shù)-信息安全管理體系要求標(biāo)準(zhǔn)的工作，建立文件化的信息安全管理體系，制定了江蘇XXX涮技有限公司信息安全管理手冊(cè)（以下簡(jiǎn)稱手冊(cè)）。本手冊(cè)是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、管理目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，是江蘇XXXX4*技有限公司信息安全管理工作長(zhǎng)期遵循的準(zhǔn)則。全體職工必須嚴(yán)格按照手冊(cè)的要求，自覺執(zhí)行管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)規(guī)定，努力實(shí)現(xiàn)江蘇XXXXM技有限公司的管理目標(biāo)和管理承諾。本手冊(cè)自頒布之日起生效執(zhí)行。江蘇XXXX4*技有限公司總經(jīng)理:二0一六年三月一日茲委任擔(dān)任7工蘇XX

4、XXM技有FM公司ISO27001信息安全管理體系管理者代表。他將履行以下職責(zé)及權(quán)限：1、負(fù)責(zé)公司ISO27001的推行認(rèn)證工作，負(fù)責(zé)組織信息安全管理體系建立、實(shí)施和維持，確保公司的信息安全管理體系運(yùn)作符合信息安全管理體系標(biāo)準(zhǔn)；2、信息安全管理體系內(nèi)部審核的策劃、組織及實(shí)施；3、批準(zhǔn)信息安全管理體系程序文件；4、代表公司就信息安全的有關(guān)事項(xiàng)和外部進(jìn)行聯(lián)絡(luò)?？偨?jīng)理：日期：二0一六年三月一日0.3、公司簡(jiǎn)介公司組織架構(gòu)如下圖所示:0.4信息安全方針實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。信息安全方針含義：a.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。定

5、期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。b.在日常企業(yè)生產(chǎn)和管理中，對(duì)信息安全予以重視，全面識(shí)別和分析全部信息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點(diǎn)、可能存在的威脅，考慮成本、利益、風(fēng)險(xiǎn)的綜合平衡，對(duì)資產(chǎn)進(jìn)行分類保護(hù)，以適宜的成本達(dá)到系統(tǒng)保護(hù)的要求。c.建立健全信息安全監(jiān)督和保證體系，明確各級(jí)、各崗位的信息安全責(zé)任，以人為本，堅(jiān)持全員、全方位、全過程信息安全管理。通過測(cè)量和監(jiān)控，持續(xù)改進(jìn)，保證信息安全管理體系的有效運(yùn)行，做到制度執(zhí)行有記錄、記錄記載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營(yíng)、管理和服務(wù)的持續(xù)和安全，實(shí)現(xiàn)企業(yè)發(fā)展目

6、標(biāo)。0.5、信息安全目標(biāo)：本公司信息安全目標(biāo)：1）安全事件發(fā)生次數(shù)：重大安全事件目標(biāo)值：0次/年；較大安全事件目標(biāo)值：不大于4次/年；一般安全事件目標(biāo)值：不大于8次/年。2）信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、光盤等）不被泄密，確保秘密、機(jī)密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年各部門信息安全目標(biāo):部門部門信息安全目標(biāo)統(tǒng)計(jì)方式監(jiān)測(cè)頻率綜合部1、人員招聘手續(xù)辦理完成率100%2、人員教育或培訓(xùn)實(shí)施率100%3、人員離職手續(xù)辦理完成率100%4、辦公環(huán)境消防設(shè)施配置率100%5、辦公環(huán)境消防設(shè)施點(diǎn)檢率100%6、每年至少組織實(shí)施完成1次信息安全內(nèi)審，且資料齊全；7、每

7、年至少組織實(shí)施完成1次信息安全管理評(píng)審，且資料齊全；8、每年至少進(jìn)行1次信息安全體系文件評(píng)審及更新；9、每年至少組織實(shí)施完成1次風(fēng)險(xiǎn)評(píng)估。1、查看全部員工入職手續(xù)辦理情況；2、查看培訓(xùn)計(jì)劃及培訓(xùn)實(shí)施情況；3、查看實(shí)際人員離職及手續(xù)辦理情況；4、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材配備情況；5、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材的檢修情況；7、按照信息安全內(nèi)審計(jì)劃執(zhí)行內(nèi)審及改進(jìn)，及時(shí)整理信息安全內(nèi)審資料；8、按照信息安全管理評(píng)審計(jì)劃執(zhí)行評(píng)審及改進(jìn)，及時(shí)整理信息安全管理評(píng)審資料；9、每年集中對(duì)信息安全管理體系文件進(jìn)行評(píng)審，必要時(shí)進(jìn)行更新；10、每年組織各相關(guān)部門進(jìn)行風(fēng)險(xiǎn)評(píng)估回顧、對(duì)新增或發(fā)生變化的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

8、每年研發(fā)部1、網(wǎng)絡(luò)非正常中斷每月<1次。2、主機(jī)系統(tǒng)非正常中斷每月<1次。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機(jī)系統(tǒng)中斷事件為依據(jù)每半年其他部門重要文檔及數(shù)據(jù)被正確保管及使用，機(jī)密信息泄露次數(shù)為0次每半年檢查一次日常工作文件及數(shù)據(jù)是否被正確保管及使用，以及機(jī)密信息泄露相關(guān)事件。每年1.1 總、則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱ISMS）,確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。1.2 應(yīng)用1.2.1 覆蓋范圍本信息安全管理手冊(cè)

9、規(guī)定了江蘇XXX湘技有限公司信息安全管理體系的建立和管理、管理職責(zé)、內(nèi)部審核、管理評(píng)審和體系持續(xù)改進(jìn)等方面內(nèi)容。1.2.2 刪減說明本信息安全管理手冊(cè)采用了ISO/IEC27001:2013標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減見適用性聲明SoA。2、規(guī)范性引用文件ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則3、術(shù)語和定義3.3.1 ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求、ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則規(guī)定的術(shù)語和定

10、義適用于本信息安全管理手冊(cè)。3.3.2 本組織、本公司、我司：指江蘇XXX湘技有限公司。4、信息安全管理體系4.1 組織環(huán)境組織外部環(huán)境包括如下幾個(gè)方面，但并不局限于此： 文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境以及競(jìng)爭(zhēng)環(huán)境，無論是國(guó)際、國(guó)內(nèi)、區(qū)域或地方； 影響組織目標(biāo)的主要驅(qū)動(dòng)因素和發(fā)展趨勢(shì)； 外部利益相關(guān)者的觀點(diǎn)和價(jià)值觀。組織內(nèi)部環(huán)境包括如下幾個(gè)方面，但并不局限于此： 資源與知識(shí)的理解能力（如：資本、時(shí)間、人力、流程、系統(tǒng)和技術(shù)）； 信息系統(tǒng)、信息流動(dòng)以及決策過程（包括正式和非正式的）； 內(nèi)部利益相關(guān)者； 政策，為實(shí)現(xiàn)的目標(biāo)及戰(zhàn)略； 觀念、價(jià)值觀、文化； 組織通過的標(biāo)準(zhǔn)以及參考模

11、型；以上相關(guān)因素將影響公司實(shí)現(xiàn)信息安全管理體系的預(yù)期成果。4.2 理解相關(guān)方的需求和期望a）與本公司信息安全管理體系有關(guān)的相關(guān)方有：供方、合同方、顧客及其他第三方訪問者。b）各相關(guān)方對(duì)我司的信息安全需求，包括了信息安全相關(guān)法律法規(guī)要求和合同規(guī)定的義務(wù)。4.3 本公司信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a）業(yè)務(wù)范圍：。的設(shè)計(jì)開發(fā)和服務(wù)的信息安全管理活動(dòng)；b）信息系統(tǒng)范圍：所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；c）組織范圍：與所述業(yè)務(wù)有關(guān)的部門和所有員工；d）地理范圍：。4.4 信息安全管理體系本

12、公司按照ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照ISO/IEC27002:2013信息術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。5領(lǐng)導(dǎo)5.1 領(lǐng)導(dǎo)和承諾本公司通過以下行動(dòng)證明公司實(shí)施了與信息安全管理體系有關(guān)的領(lǐng)導(dǎo)工作與承諾：a）確保建立與組織戰(zhàn)略目標(biāo)一致的信息安全方針和信息安全目標(biāo)；b）確保信息安全管理體系要求集成到組織的管理流程；c）確保提供信息安全管理體系需要的各項(xiàng)資源；d）傳達(dá)信息安全管理的重要性及信息安全管理體系要求；e）確保信息安全管理體系實(shí)現(xiàn)其預(yù)期目標(biāo)；f）指導(dǎo)和支持信息安全團(tuán)

13、隊(duì)；g）促使持續(xù)改進(jìn)；h）支持其他相關(guān)的管理者在其職責(zé)范圍內(nèi)履行管理職責(zé)。5.2 方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持公司經(jīng)營(yíng)和管理的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了ISMS方針，見本信息安全管理手冊(cè)第0.4條款。該信息安全方針符合以下要求:1）為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；2）考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；3）與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持ISM&4）建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；5）經(jīng)最高管理者批準(zhǔn)。5.3 組織角色、職責(zé)和權(quán)力5.3.1 信息安全組織機(jī)

14、構(gòu)本公司成立了由最高管理者、管理者代表及各部門負(fù)責(zé)人組成的信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾，負(fù)責(zé)制訂、落實(shí)信息安全管理工作計(jì)劃，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門代表組成的運(yùn)行分析會(huì)議的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動(dòng)的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合；c）批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；5.3.2 信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高管理者，對(duì)信息安全全面負(fù)責(zé)，主要包括：a）組織制定信息安全方針及目標(biāo)，任命管理者代表，明確管理者代表的職責(zé)和權(quán)限。b）確保在內(nèi)部傳達(dá)滿足客戶、

15、法律法規(guī)和公司信息安全管理要求的重要性。c）為信息安全管理體系配備必要的資源。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門有關(guān)信息安全職責(zé)分配見信息安全管理職能分配表。各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。6.1 處置風(fēng)險(xiǎn)和機(jī)遇6.1.1 總則為實(shí)現(xiàn)公司信息安全管理體系方針和目標(biāo)，我司參考組織環(huán)境中的問題和相關(guān)方的需求和，來決定需要被處置的風(fēng)險(xiǎn)和機(jī)遇：a）確保信息安全管理體系可以實(shí)現(xiàn)其預(yù)期目標(biāo)；b）避免或減少不良影響；c）實(shí)現(xiàn)持續(xù)改進(jìn)。公司對(duì)以下方面進(jìn)行規(guī)劃：a）

16、處置風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)；b）如何1）將實(shí)施行動(dòng)整合到信息安全管理體系流程中；2）評(píng)價(jià)行動(dòng)的有效性。6.1.2信息安全風(fēng)險(xiǎn)評(píng)估公司制定信息安全風(fēng)險(xiǎn)評(píng)估控制程序，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。信息安全風(fēng)險(xiǎn)評(píng)估的流程見“12屈反?估流程圖。碣定紇MS范圍談產(chǎn)識(shí)別與南要黃產(chǎn)瓊定I：J.III件發(fā)生的可磁事件發(fā)生的勒響I'I確定鳳蛙等吸1實(shí)腌I公司實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估流程，從而：a）建立和維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括：1）風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)；2）

17、實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)；b）確保信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果；c）識(shí)別信息安全風(fēng)險(xiǎn)：1）在信息安全管理體系范圍內(nèi)，通過信息安全風(fēng)險(xiǎn)評(píng)估流程，識(shí)別由于信息的機(jī)密性、完整性和可用性的喪失帶來的風(fēng)險(xiǎn)；2）識(shí)別風(fēng)險(xiǎn)的屬主；d）分析信息安全風(fēng)險(xiǎn)：1）評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)產(chǎn)生的潛在后果；2）評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)轉(zhuǎn)化為事件的可能性；3）確定風(fēng)險(xiǎn)的等級(jí)；e）評(píng)價(jià)信息安全風(fēng)險(xiǎn)：1）將風(fēng)險(xiǎn)分析結(jié)果與在信息安全風(fēng)險(xiǎn)評(píng)估中所定義的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較；2）根據(jù)風(fēng)險(xiǎn)等級(jí)確定風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。f）組織保留有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估的過程文檔。6.1.3信息安全風(fēng)險(xiǎn)處置公司

18、根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴）采用適當(dāng)?shù)膬?nèi)部控制措施；b）接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c）避免風(fēng)險(xiǎn)（如物理隔離）；d）轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）?？刂颇繕?biāo)及控制措施的選擇原則來源于ISO/IEC27001:2013附錄A,具體控制措施參考ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則組織保留信息安全風(fēng)險(xiǎn)處置的過程文檔。6.2信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)本公司建立不同職能及層級(jí)的信息安全目標(biāo)。詳見本

19、手冊(cè)0.5章內(nèi)容。此信息安全目標(biāo)應(yīng)：a）與信息安全方針一致；b）可度量（如果可操作）；c）考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；d）得到溝通；e）及時(shí)更新。信息安全目標(biāo)以文檔化形式保留。在規(guī)劃如何實(shí)現(xiàn)信息安全目標(biāo)時(shí)，公司明確：a）要做什么；b）需要什么資源；c）誰來負(fù)責(zé)；d）什么時(shí)候完成；e）如何評(píng)價(jià)結(jié)果。7.1 資源本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；d）通

20、過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；e）必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；f）需要時(shí)，改進(jìn)信息安全管理體系的有效性。7.2 能力公司制定并實(shí)施人力資源安全管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a）確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c）評(píng)價(jià)所采取措施的有效性；d）保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。7.3 意識(shí)公司員工應(yīng)

21、理解：a）信息安全方針；b）個(gè)人對(duì)于實(shí)現(xiàn)信息安全管理的重要性，提高組織信息安全績(jī)效的收益；c）不符合信息安全管理體系要求所造成的影響。7.4 溝通公司制定信息溝通協(xié)調(diào)管理規(guī)范，以明確與信息安全管理體系相關(guān)的內(nèi)、外部溝通需求，包括：a）溝通什么；b）何時(shí)溝通；c）和誰溝通；d）誰應(yīng)該溝通；e）哪種溝通過程有效。7.5 文檔要求7.5.1 綜述組織的信息安全管理體系包括：a）符合ISO/IEC27001:2013標(biāo)準(zhǔn)的文件包括：信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件；b）組織所明確的，表明信息安全管理體系有效性的必要的記錄文檔。7

22、.5.2 創(chuàng)建和更新公司制定并實(shí)施文件控制程序，對(duì)信息安全管理體系所要求的文件進(jìn)行管理，以確定：a）識(shí)別和描述（例如：標(biāo)題、日期、作者和版本號(hào)）；b）格式（例如：語言、軟件版本和圖形）與介質(zhì)（例如：紙質(zhì)、電子）；c）適宜性和充分性經(jīng)過評(píng)審。7.5.3 文檔控制公司制定并實(shí)施文件控制程序，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。以確保：a）在需要的時(shí)間和場(chǎng)合可用；b）文檔得到充分保護(hù)（例如：防止泄密、不當(dāng)使用或喪失完整性）。文檔控制應(yīng)保證：a）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；b）必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d）確保在使用時(shí)，可獲得相關(guān)文

23、件的最新版本；e）確保文件保持清晰、易于識(shí)別；f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀；g）確保外來文件得到識(shí)別；h）確保文件的分發(fā)得到控制；i）防止作廢文件的非預(yù)期使用；j）若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。8實(shí)施8.1運(yùn)行計(jì)劃和控制為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a）形成風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé);c）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d）確定如何測(cè)量所選擇的控制措

24、施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f）對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g）對(duì)信息安全所需資源進(jìn)行管理；h）實(shí)施控制程序，對(duì)信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。公司保留以上必要的過程文檔信息，以表明相關(guān)過程已按照計(jì)劃執(zhí)行?？刂朴?jì)劃更改，并審核計(jì)劃變更的影響，如有必要采取措施減少不利影響。確保外包過程受控。8.2 信息安全風(fēng)險(xiǎn)評(píng)估8.2.1 識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，按照計(jì)劃，或者在重大改變提出或發(fā)生時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，本公司執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估控制程序，對(duì)所有的資產(chǎn)進(jìn)行列表識(shí)別，

25、并識(shí)別這些資產(chǎn)的所有者。資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，形成資產(chǎn)清單。同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估控制程序，識(shí)別對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。8.2.2 分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按信息安全風(fēng)險(xiǎn)評(píng)估控制程序，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a）針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b）針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c）根

26、據(jù)信息安全風(fēng)險(xiǎn)評(píng)估控制程序計(jì)算風(fēng)險(xiǎn)等級(jí)；d）根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估控制程序中的風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。8.3 信息安全風(fēng)險(xiǎn)處置公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成了風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。公司根據(jù)計(jì)劃進(jìn)行了處置，并保持處置的記錄。對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了管理者的批準(zhǔn)。9績(jī)效評(píng)價(jià)9.1 監(jiān)視、測(cè)量、分析和評(píng)價(jià)本公司通過實(shí)施監(jiān)視、測(cè)量、分析和評(píng)價(jià)控制程序以監(jiān)視、測(cè)量、分析和評(píng)價(jià)公司信息安全管理狀況結(jié)果，以實(shí)現(xiàn)：a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故和隱患；b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各

27、類攻擊；c）使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗(yàn)；9.2 內(nèi)部審核公司建立內(nèi)部審核控制程序。內(nèi)部審核控制程序包括策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔（兩次內(nèi)部審核的間隔不得超過12個(gè)月）進(jìn)行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a）符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b）符合已識(shí)別的信息安全要求；c）得到有效地實(shí)施和維護(hù)；d）按預(yù)期執(zhí)行。內(nèi)部審核的過程文檔應(yīng)清晰地形成記錄，并加以保持。9.3 管理評(píng)審公司

28、建立并實(shí)施管理評(píng)審控制程序，公司管理者應(yīng)按管理評(píng)審控制程序規(guī)定的時(shí)間間隔（兩次管理評(píng)審的間隔不得超過12個(gè)月）評(píng)審信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。10改進(jìn)10.1 不符合和糾正措施公司建立并實(shí)施糾正與預(yù)防控制程序，當(dāng)出現(xiàn)不符合情況時(shí)：a）對(duì)不符合情況采取措施，如：1）采取措施，以控制和改正它；2）處置影響；b）明確必要的控制措施，以消除不符合情況產(chǎn)生的原因，確保它不會(huì)再發(fā)生或在其他地方發(fā)生，通過：1）評(píng)審不符合項(xiàng)；2）明確不符合項(xiàng)產(chǎn)生的原因；

29、3）明確是否存在或可能發(fā)生類似的不符合項(xiàng)；c）采取必要的措施；d）評(píng)審已采取的改正措施的有效性；e）必要時(shí)改進(jìn)信息安全管理體系。糾正措施應(yīng)與所發(fā)生的不符合的影響程度相適應(yīng)。組織應(yīng)保留以下文檔信息作為證據(jù)：f）不符合情況的性質(zhì)和所采取的后續(xù)行動(dòng)；g）糾正措施的結(jié)果。10.2 持續(xù)改進(jìn)本公司通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評(píng)審，不斷完善信息安全管理體系的適宜性、充分性和有效性。附件一：信息安全職能分配表（注：負(fù)責(zé)部門；相關(guān)部門）：管理單位體系要求信息安全委員會(huì)總經(jīng)理管理者代表綜合部研發(fā)部技術(shù)部財(cái)務(wù)部銷售部4.組織環(huán)境4.1理解組織及其環(huán)境A4.2

30、理解相關(guān)方的需求和期望AAAA4.3明確信息安全管理體系的范圍AAAAA4.4信息安全管理體系A(chǔ)AAAA5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾AAAAA5.2方針AAAAA5.3組織角色、職責(zé)和權(quán)力AAAAAAA6計(jì)劃6.1處置風(fēng)險(xiǎn)和機(jī)遇AAAAA6.2信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)AAAAA7支持7.1資源AAAAAA7.2能力AAAAA7.3意識(shí)AAAAAA7.4溝通AAAA7.5文檔要求AAAA8實(shí)施8.1運(yùn)行計(jì)劃和控制AAAAA8.2信息安全風(fēng)險(xiǎn)評(píng)估AAAAA8.3信息安全風(fēng)險(xiǎn)處置AAAAAA9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)AAAAAA9.2內(nèi)部審核AAAAA9.3管理評(píng)審AAAAA10改進(jìn)10.1不

31、符合項(xiàng)和糾正措施AAAAAA10.2持續(xù)改進(jìn)AAAAAAAA.5信息安全方針A.5.1信息安全管理指引AAAAAA.6信息安全組織A.6.1內(nèi)部組織AAAAAA.6.2移動(dòng)設(shè)備和遠(yuǎn)程辦公AAAAA.7人力資源安全A.7.1任用前AAAAA.7.2任用中AAAAAA.7.3任用終止和變更AAAAAA.8資產(chǎn)管理A.8.1資產(chǎn)的責(zé)任AAAA.8.2信息分類AAA.8.3介質(zhì)處理AAAAAA.9訪問控制A.9.1訪問控制的業(yè)務(wù)需求AAAAAAA.9.2用戶訪問管理AAAAAAAA.9.3用戶責(zé)任AAAAAAAA.9.4系統(tǒng)和應(yīng)用訪問控制AAAAAAAA.10加密技術(shù)A.10.1加密控制AAAAAAA

32、.11物理和環(huán)境安全A.11.1安全區(qū)域AAAAAA.11.2設(shè)備安全AAAAAAA.12操作安全A.12.1操作程序及職責(zé)AAAAAA.12.2防范惡意軟件AAAAAA.12.3備份AAAAAAAA.12.4日志記錄和監(jiān)控AAAAAAAA.12.5操作軟件的控制AAAAAAAA.12.6技術(shù)脆弱性管理AAAAAAAA.12.7信息系統(tǒng)審計(jì)的考慮因素AAAAAAAA.13通信安全A.13.1網(wǎng)絡(luò)安全管理AAAAAAAA.13.2信息傳輸AAAAAAA.14系統(tǒng)的獲取、開發(fā)及維護(hù)A.14.1信息系統(tǒng)安全需求AAAAAA.14.2開發(fā)和支持過程的安全AAAAAAA.14.3測(cè)試數(shù)據(jù)AAAAAAAA

33、.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系的信息安全AAAAAAA.15.2供應(yīng)商服務(wù)交付管理AAAAAAA.16信息安全事件管理A.16.1信息安全事件的管理和改進(jìn)AAAAAAA.16.1.1職責(zé)和程序AAAAAAA.16.1.2報(bào)告信息安全事態(tài)AAAA.16.1.3報(bào)告信息安全弱點(diǎn)AAAA.16.1.4評(píng)估和決策信息安全事件AAAA.16.1.5響應(yīng)信息安全事故AAAA.16.1.6從信息安全事故中學(xué)習(xí)AAAAAAA.16.1.7收集證據(jù)AAAAAAA.17業(yè)務(wù)連續(xù)性管理中的信息安全A.17.1信息安全的連續(xù)性AAAAAAA.17.2冗余AAAAAAA.18符合性A.18.1法律和合同規(guī)定的符

34、合性AAAAAAA.18.2信息安全評(píng)審AAAAAA附件二：信息安全職責(zé)廳P架構(gòu)/部門成員及職能1信息安全委員會(huì)最高管理者總經(jīng)理：張建廠管理者代表XXX成員XX（銷售部）、XX（技術(shù)部）、XX（研發(fā)部）、XXX（綜合部）、XX（財(cái)務(wù)部）系我司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)公司整體信息安全管理工作，推動(dòng)信息安全工作的實(shí)施；制定信息安全方針、信息安全管理目標(biāo)；負(fù)責(zé)審核信息安全小組提交的信息安全管理體系、規(guī)范及管理辦法；負(fù)責(zé)決策與信息安全管理相關(guān)的重大事項(xiàng)，包括信息安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等；評(píng)審與監(jiān)督重大信息安全事故的處理與改進(jìn)；定

35、期組織信息安全管理體系（ISMSS評(píng)審等。2最高管理者1）組織并制定信息安全方針策略。2）任命管理者代表，明確管理者代表的職責(zé)和權(quán)限。3）確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理要求的重要性。4）為信息安全管理體系配備必要的資源。5）主持管理評(píng)審。6）對(duì)缶息女全全面負(fù)責(zé)。3管理者代表1）協(xié)助最高管理者建立、實(shí)施、檢查、改進(jìn)信息安全管理體系。2）負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體系的有效運(yùn)行。3）組織公司信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。4）組織開展信息安全內(nèi)部審核、安全檢查工作。5）負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求。6）負(fù)責(zé)就信息安全管理體系有

36、關(guān)事宜的對(duì)外聯(lián)絡(luò)。7）監(jiān)控信息安全事件和確保安全控制措施得到執(zhí)行。4各部門負(fù)責(zé)人1）負(fù)責(zé)公司信息安全方針、目標(biāo)、政策在部門內(nèi)部的有效執(zhí)行、監(jiān)督、檢查。2）參與公司信息安全工作的討論和決策。3）對(duì)信息安全管理體系內(nèi)部審核、管理評(píng)審及其他安全檢查時(shí)發(fā)現(xiàn)的問題及采取的糾止預(yù)防措施進(jìn)行審核和確認(rèn)。4）負(fù)責(zé)管理和維護(hù)部門發(fā)布的信息安全管理體系相關(guān)文件。5）負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。6）做好本崗位信息安全相關(guān)的保密工作5綜合部1）負(fù)責(zé)監(jiān)控信息安全管理體系的日常運(yùn)行。2）負(fù)責(zé)信息安全管理體系文件的控制。3）負(fù)責(zé)本公司信息安全管理體系的推行落實(shí)。4）負(fù)責(zé)公司員工招聘、聘用及離職全過程的安全管理。5）負(fù)

37、責(zé)公司內(nèi)部人事檔案等重要文件資料的安全管控。6）負(fù)責(zé)公司日常行政安全的管理。7）負(fù)責(zé)公司辦公環(huán)境的物理安全，包括人員及物品出入控制、門禁管理等。8）負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷售管理。9）負(fù)責(zé)本部門的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、項(xiàng)目合同、投標(biāo)文件等重要文件的安全管控。10）負(fù)責(zé)公司及部門重要文件資料的安全管控。11）信息安全事件的報(bào)告及協(xié)助處理。6研發(fā)部1）負(fù)責(zé)公司信息系統(tǒng)的安全規(guī)劃設(shè)計(jì)及實(shí)施。2）負(fù)責(zé)公司機(jī)房及軟硬件系統(tǒng)的安全運(yùn)行維護(hù)。3）負(fù)責(zé)本部門重要信息的安全管控，包括項(xiàng)目方案、設(shè)計(jì)文檔等重要文件的安全官控。4）負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。7技術(shù)部1）負(fù)責(zé)對(duì)公司客戶請(qǐng)求

38、的積極響應(yīng)，妥善處理顧客的投訴等。2）負(fù)責(zé)本部門重要信息的安全保密管控，包括客戶信息等重要數(shù)據(jù)的安全管控。3）信息安全事件的報(bào)告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作8銷售部1）負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷售工作。2）負(fù)責(zé)本人接觸到的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、項(xiàng)目合同、投標(biāo)文件等重要文件的安全管控。3）信息安全事件的報(bào)告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作9財(cái)務(wù)部1）負(fù)責(zé)公司的財(cái)務(wù)管理工作。2）負(fù)責(zé)本部門的重要信息的安全保密管控，包括財(cái)務(wù)憑證、財(cái)務(wù)報(bào)表、工資單等重要文件的安全管控。3）信息安全事件的報(bào)告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作10IT

39、維護(hù)工程師/網(wǎng)絡(luò)管理員1）負(fù)責(zé)公司信息系統(tǒng)建設(shè)及運(yùn)行維護(hù)。2）負(fù)責(zé)公司機(jī)房安全管理。3）負(fù)責(zé)公司各部門辦公電腦的維護(hù)及安全管理。4）按時(shí)記錄網(wǎng)絡(luò)機(jī)房運(yùn)行日志5）信息安全事件的報(bào)告、響應(yīng)及協(xié)調(diào)處理。6）做好本崗位信息安全相關(guān)的保密工作11會(huì)計(jì)及出納1）負(fù)責(zé)公司財(cái)務(wù)記帳、報(bào)帳、應(yīng)收及應(yīng)付、資產(chǎn)盤點(diǎn)等日常工作。2）負(fù)責(zé)本崗位的重要信息的安全保密管控，包括財(cái)務(wù)報(bào)表、各類憑證等重要文件的安全管控。3）信息安全事件的報(bào)告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作12項(xiàng)目經(jīng)理及項(xiàng)目專員1）負(fù)責(zé)服務(wù)項(xiàng)目的具體實(shí)施及管理。2）負(fù)責(zé)本崗位的重要信息的安全保密管控，包括各類基礎(chǔ)數(shù)據(jù)、原始數(shù)據(jù)、撥打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。3）信息安全事件的報(bào)告及協(xié)助處理。4）做好本崗位信息安全相關(guān)的保密工作13所有員工1）嚴(yán)格遵守國(guó)家及行業(yè)的法律法規(guī)和政策。2）嚴(yán)格遵守公司的各項(xiàng)信息安全政策。3）正確、安全的使用及保管公司及客戶的各類信息資產(chǎn)。4）積極參加信息安全教育與培訓(xùn)，提高信息安全意識(shí)。5）信息安全事件的報(bào)告及協(xié)助處理。6）做好本崗位信息安全相關(guān)的保密工作廳P文件名稱文件編號(hào)版本號(hào)制定/修訂日期制定部門備注1文件控制程序XX-QP-01A/02016.3.1綜合部受控文件:2記錄控制程