信息安全管理手冊ISO27001

1、信息安全管理體系管理手冊ISMS-M-yyyy版本號：A/1受控狀態(tài):控非受控日期：2016年1月8日實施日期：2016年1月8日修改履歷版本制訂者修改時間更改內容審核人審核意見變更申請單號A/0編寫組2016-1-08定版審核人A同意A/1編寫組2017-1-15定版審核人B同意00目錄301頒布令502管理者代表授權書603企業(yè)概況704信息安全管理方針目標805手冊的管理1006信息安全管理手冊111范圍111.1總則111.2應用112規(guī)范性引用文件113術語和定義113.1本公司123.2信息系統123.3計算機病毒123.4信息安全事件123.5相關方124組織環(huán)境124.1組織及

2、其環(huán)境124.2相關方的需求和期望124.3確定信息安全管理體系的范圍134.4信息安全管理體系135領導力145.1領導和承諾145.2方針145.3組織角色、職責和權限146規(guī)劃146.1應對風險和機會的措施156.2信息安全目標和規(guī)劃實現177支持187.1資源187.2能力187.3意識187.4溝通187.5文件化信息198運行208.1運行的規(guī)劃和控制208.2信息安全風險評估208.3信息安全風險處置209績效評價219.1監(jiān)視、測量、分析和評價219.2內部審核229.3管理評審2210改進2310.1不符合和糾正措施2310.2持續(xù)改進23附錄A信息安全管理組織結構圖25附錄

3、B信息安全管理職責明細表26附錄C信息安全管理程序文件清單28為提高*公司*的信息安全管理水平，保障我公司業(yè)務活動的正常進行，防止由丁信息系統的中斷、數據的丟失、敏感信息的泄密所導致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系要求國際標準工作，建立、實施和持續(xù)改進文件化的信息安全管理體系，制定了*公司*信息安全管理手冊。信息安全管理手冊是企業(yè)的法規(guī)性文件，是指導企業(yè)建立并實施信息安全管理體系的綱領和行動準則，用丁貫徹企業(yè)的信息安全管理方針、目標，實現信息安全管理體系有效運行、持續(xù)改進，體現企業(yè)對社會的承諾。信息安全管理手冊符合有關信息

4、安全法律、法規(guī)要求及ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求標準和企業(yè)實際情況，現正式批準發(fā)布，自2016年1月8日起實施。企業(yè)全體員工必須遵照執(zhí)行。全體員工必須嚴格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫徹實施本手冊的各項要求，努力實現公司信息安全管理方針和目標。公司*總經理：總經理為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求標準的要求，加強領導，特任命審核人B為我公司信息安全管理者代表。授權信息安全管理者代表有如下職責和權限：1.確保按照標準的要求，進行資產識別和風險評估，全

5、面建立、實施和保持信息安全管理體系；2. 負責與信息安全管理體系有關的協調和聯絡工作；3. 確保在整個組織內提高信息安全風險的意識；4. 審核風險評估報告、風險處理計劃；5. 批準發(fā)布程序文件；6. 主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內外部審核情況。本授權書自任命日起生效執(zhí)行公司*總經理：總經理這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址:電話:傳真:郵編:總經理：管代：單位地址單位電話單位電話郵編總經理審核人A04信息安全

6、管理方針目標為防止由丁信息系統的中斷、數據的丟失、敏感信息的泄密所導致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：數據保密、信息完整、控制風險、持續(xù)改進、遵守法律。本公司信息安全管理方針包括內容如下：一、信息安全管理機制1.公司采用系統的方法，按照ISO/IEC27001:2013建立信息安全管理體系，全面保護本公司的信息安全。二、信息安全管理組織2. 公司總經理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。3. 公司總經理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管

7、理體系的持續(xù)適宜性和有效性。4. 在公司內部建立信息安全組織機構，信息安全管理委員會和信息安全協調機構，保證信息安全管理體系的有效運行。5. 與上級部門、地方政府、相關專業(yè)部門建立定期經常性的聯系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。三、人員安全6. 信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應包含對信息安全的要求。特殊崗位的人員應規(guī)定特別的安全責任。對崗位調動或離職人員，應及時調整安全職責和權限。7. 對本公司的相關方，要明確安全要求和安全職責。8. 定期對全體員工進行信息安全相關教育，包括：技能、職責和意識。以提高安全意識。9.

8、全體員工及相關方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10. 及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風險評估11. 根據本公司業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。12. 采用先進的風險評估技術，定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13. 應根據風險評估的結果，采取相應措施，降低風險。六、報告安全事件14. 公司建立報告信息安全事件的渠道和相應的主管部門。15. 全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現

9、信息安全事件，應立即按照規(guī)定的途徑進行報告。16. 接受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的處理，并向報告人員反饋處理結果。七、監(jiān)督檢查17. 定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術性檢查、內部審核等。八、業(yè)務持續(xù)性18. 公司根據風險評估的結果，建立業(yè)務持續(xù)性計劃，抵消信息系統的中斷造成的影響,防止關鍵業(yè)務過程受嚴重的信息系統故障或者災難的影響，并確保能夠及時恢復。19. 定期對業(yè)務持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20. 對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。信息安全目標如下：1. 重大信息安全事件（損失達1萬

10、以上的）為零。2. 公司發(fā)生網絡中斷時間小于2小時每年。1信息安全管理手冊的批準辦公室負責組織編制信息安全管理手冊，總經理負責批準。2信息安全管理手冊的發(fā)放、更改、作廢與銷毀a）辦公室負責按文件管理程序的要求，進行信息安全管理手冊的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b）各相關部門按照受控文件的管理要求對收到的信息安全管理手冊進行使用和保管；c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊，并收回失效的文件作出標識統一處理，確保有效文件的唯一性；d）辦公室保留信息安全管理手冊修改內容的記錄。3信息安全管理手冊的換版當依據的ISO/IEC27001:2013或ISO/IEC27002:2

11、013標準有重大變化、組織的結構、內外部環(huán)境、生產技術、信息安全風險等發(fā)生重大改變及信息安全管理手冊發(fā)生需修改部分超過1/3時，應對信息安全管理手冊進行換版。換版應在管理評審時形成決議，重新實施編、審、批工作。4信息安全管理手冊的控制a）本信息安全管理手冊標識分受控文件和非受控文件兩種：受控文件發(fā)放范圍為公司領導、各相關部門的負責人、內審員；非受控文件指印制成單行本，作為投標書的資料或為生產、銷售目的等發(fā)給受控范圍以外的其他相關人員。b）信息安全管理手冊有書面文件和電子文件，電子版本文件的有效格式為.doc文檔。06信息安全管理手冊1范圍1.1總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文

12、件化的信息安全管理體系（簡稱ISM0,確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。1.2應用1.2.1覆蓋范圍本信息安全管理手冊規(guī)定了*公司*信息安全管理體系要求、管理職責、內部審核、管理評審和信息安全管理體系改進等方面內容。本信息安全管理手冊適用丁*公司*電磁屏蔽機房的設計業(yè)務活動所涉及的信息系統、資產及相關信息安全管理活動。1.2.2刪減說明本信息安全管理手冊采用了ISO/IEC27001:2013標準正文的全部內容，對適用性聲明SO應的刪減如下:A.14.2.7外包開發(fā)刪減理由：公司無

13、此業(yè)務2規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用丁本標準，然而，辦公室應研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用丁本信息安全管理手冊。ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求ISO/IEC27002:2013信息技術-安全技術-信息安全管理實用規(guī)則3術語和定義ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求、ISO/IEC27002:2013信息技術-安全技術-信息安全管理實用規(guī)則規(guī)定的術語和定

14、義適用丁本信息安全管理手冊。3.1本公司指*公司*包括*公司*所屆各部門。3.2信息系統指由計算機及其相關的和配套的設備、設施（含網絡）構成的，且按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。3.3計算機病蠹指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼03.4信息安全事件指導致信息系統不能提供正常服務或服務質量下降的技術故障事件、利用信息系統從事的反動有害信息和涉密信息的傳播事件、利用網絡所從事的對信息系統的破壞竊密事件。3.5相關方關注本公司信息安全或與本公司信息安全績效有利益關系的組織和

15、個人。主要為：政府、上級部門、供方、銀行、用戶等。4組織環(huán)境4.1組織及其環(huán)境本公司根據業(yè)務特征、組織結構、地理位置、資產和技術定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a）本公司涉及軟件產品的技術開發(fā)，設計的管理的業(yè)務系統（本次認證范圍：與信息管理軟件設計開發(fā)相關的信息安全管理活動）；b）與所述信息系統有關的活動；c）與所述信息系統有關的部門和所有員工；d）所述活動、系統及支持性系統包含的全部信息資產。e）本公司根據組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范圍，見附錄A（規(guī)范性附錄）組織機構圖。f）本公司根據組織的業(yè)務特征、組織結構、地理位置、資產和技術定義了信息安全管

16、理體系的物理范圍和信息安全邊界。g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.2相關方的需求和期望重大信息安全事件（損失達1萬以上的）為零。公司發(fā)生網絡中斷時間小丁2小時每年。4.3確定信息安全管理體系的范圍體系范圍：與信息管理軟件設計開發(fā)、計算機系統集成相關的信息安全管理活動本公司涉及軟件產品的技術開發(fā)，設計的管理的業(yè)務系統（本次認證范圍：與電磁屏蔽機房的設計相關的信息安全管理活動）組織范圍：本公司根據組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范圍,見附錄（規(guī)范性附錄）組織機構圖。物理范圍：本公司根據組織的業(yè)務特征、組織結構、地理位置、資產和技術定義了信息安全管理體

17、系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位丁單位地址。4.4信息安全管理體系本公司在軟件產品的技術開發(fā)，設計的管理活動中，按ISO/IEC27001:2013«信息技術安全技術-信息安全管理體系-要求規(guī)定，參照ISO/IEC27002:2013信息技術-安全技術信息安全管理實用規(guī)則標準，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。信息安全管理體系使用的過程基丁圖1所示的PDCA莫型。圖1信息安全管理體系模型5領導力5.1領導和承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據：a）建

18、立信息安全方針（見本手冊第0.4章）；b）確保信息安全目標得以制定（見本手冊第0.4章、適用性聲明SoA、風險處理計劃及相關記錄）；c）建立信息安全的角色和職責；d）向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重耍性；e）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系（見本手冊第5.2章）;f）決定接受風險的準則和風險的可接受等級（見信息安全風險管理標準及相關記錄）；g）確保內部信息安全管理體系審核（見本手冊第9.2章）得以實施；h）實施信息安全管理體系管理評審（見本手冊第9.3章）。5.2方針為防止由于信息系統的中斷、數據的丟失、敏感信息

19、的泄密所導致的企業(yè)和客戶的損失,本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：滿足客戶要求，遵守法律法規(guī)，實施風險管理，確保信息安全，實現持續(xù)改進。信息安全目標下：1. 重大信息安全事件（損失達1萬以上的）為零。2. 公司發(fā)生網絡中斷時間小于2小時每年。5.3組織角色、職責和權限6.1.1 詳見附錄B6規(guī)劃6.1應對風險和機會的措施總WJ為了滿足適用法律法規(guī)及相關方要求，維持電力整流器開發(fā)和經營的正常進行，實現業(yè)務可持續(xù)發(fā)展的目的。本公司根據組織的業(yè)務特征、組織結構、地理位置、資產和技術定義了信息安全管理體系方針，見本信息安全管理手冊第0.4條款。該信

20、息安全方針符合以下要求：a）為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b）考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務；c）與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d）建立了風險評價的準則；e）經最高管理者批準。為實現信息安全管理體系方針，本公司承諾：a）在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制措施；明確信息安全的管理職責，詳見附錄B（規(guī)范性附錄）信息安全管理職責明細表；b）識別并滿足適用法律、法規(guī)和相關方信息安全要求；c）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保證體系的持續(xù)有效性；d）采用先進有效

21、的設施和技術，處理、傳遞、儲存和保護各類信息，實現信息共享；e）對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；f）制定并保持完善的業(yè)務連續(xù)性計劃，實現可持續(xù)發(fā)展。6.1.2.1 6.1.2信息安全風險評估風險評估的方法辦公室負責制定信息安全風險管理程序，建立識別適用于信息安全管理體系和已經識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。6.1.2.2識別風險在已確定的信息安全管理體系范圍內，本公司按信息安全風險管理程序，對所有的資產進行了識別，并識別了這些資產的所有者。資產包括硬件、設施、軟件與系統、數據、文檔、服務及人力

22、資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，根據重要資產判斷依據確定是否為重要資產，形成了重要資產活單。同時，根據信息安全風險管理程序，識別了對這些資產的威脅、可能被威脅利用的脆弱性、識別資產價值、保密性、完整性和可用性、合規(guī)性損失可能對資產造成的影響。6.1.2.3分析和評價風險本公司按信息安全風險管理程序，采用FME心析方法，分析和評價風險：a）針對重要資產自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后果進行賦值；b）針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c）根據信息安全風險管

23、理程序計算風險等級；d）根據信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。6.1.2.4識別和評價風險處理的選擇辦公室組織有關部門根據風險評估的結果，形成風險處理計劃，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：a）控制風險，采用適當的內部控制措施；b）接受風險（不可能將所有風險降低為零）;c）避免風險（如物理隔離）；d）轉移風險（如將風險轉移給保險者、供方、分包商）。6.1.3信息安全風險處置辦公室根據信息安全方針、業(yè)務發(fā)展要求及風險評估的結果，組織有關部門制定了信息安全目標，并將目標

24、分解到有關部門（見信息安全適用性聲明）：a）信息安全控制目標獲得了信息安全最高責任者的批準。b）本公司根據信息安全管理的需要，可以選擇標準之外的其他控制措施c）控制目標及控制措施的選擇原則來源于ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求附錄A,具體控制措施參考ISO/IEC27002:2013信息技術-安全技術-信息安全管理實用規(guī)則。d）適用性聲明：辦公室負責編制信息安全適用性聲明（Sof,所選擇控制目標與控制措施的概要描述，以及選擇的原因；對ISO/IEC27001:2013附錄A中未選用的控制目標及控制措施理由的說明。e）制定風險處置計劃。f）對風險處理后

25、的剩余風險，得到了公司最高管理者的批準6.2信息安全目標和規(guī)劃實現6.2.1本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調查處理、電子監(jiān)控、定期技術檢查等控制措施并報告結果以實現：a）及時發(fā)現處理結果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經驗；6.2.2根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持，每年至少一次對信息安全管理體系的有效性進行評審，其中

26、包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。管理評審的具體要求，見本手冊第7章。6.2.3辦公室應組織有關部門按照信息安全風險管理程序的要求，采用FME階析方法，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：a）組織；b）技術；c）業(yè)務目標和過程；d）已識別的威脅；e）實施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。6.2.4按照計劃的時間間隔進行信息安全管理體系內部審核。6.2.5定期對信息安全管理體系進

27、行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7章。6.2.6考慮監(jiān)視和評審活動的發(fā)現，更新安全計劃。6.2.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。7支持7.1資源本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b）確保信息安全程序支持業(yè)務要求；c）識別并指出法律法規(guī)要求和合同安全責任；d）通過正確應用所實施的所有控制來保持充分的安全；e）必要時進行評審，并對評審的結果采取適當措施；f）需

28、要時，改進信息安全管理體系的有效性。7.2能力組織應：a）確定員工為完成其本職工作所所需的安全技能；b）確保員工具備完成工作所需的教育、培訓和經驗；c）采取合適的措施確保員工具備相應的技能并對技能進行考核；d）保留適當的文檔信息作為證據。注：適當的措施可能包括，例如：提供培訓、指導或重新分派現有員工，或雇用具備相關技能的人士。7.3意識組織的員工應了解：a）信息安全方針；b）個人對于實現信息安全管理的重要性，提高組織信息安全績效的收益；c）不符合信息安全管理體系要求所造成的影響。7.4溝通辦公室制定并實施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求

29、的任務?？梢酝ㄟ^：a）確定承擔信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術教育和技能培訓或采取其他的措施來滿足這些需求;c）評價所采取措施的有效性；d）保留教育、培訓、技能、經驗和資歷的記錄。本公司還確保所有相關人員意識到其所從事的信息安全活動的相關性和重要性，以及如何為實現信息安全管理體系目標做出貢獻。7.5.1 7.5文件化信息總WJ本公司信息安全管理體系文件包括：a）文件化的信息安全方針、控制目標，在信息安全管理手冊中描述；b）信息安全管理手冊（本手冊，包括信息安全適用范圍及引用的標準）；c）本手冊要求的信息安全風險管理程序、業(yè)務持續(xù)性管理程序、糾正措施管理程序等支持性

30、程序；d）信息安全管理體系引用的支持性程序。如：文件管理程序、記錄管理程序、內部審核管理程序等；e）為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f）風險評估報告、風險處理計劃以及信息安全管理體系要求的記錄類文件；g）相關的法律、法規(guī)和信息安全標準；h）適用性聲明（SoA）。7.5.2創(chuàng)建和更新7.5.3文件化信息的控制辦公室制定并實施文件管理程序，對信息安全管理體系所要求的文件進行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使

31、用場所能夠及時獲得適用文件的有效版本。文件控制應保證：a）文件發(fā)布前得到批準，以確保文件是充分的；b）必要時對文件進行評審、更新并再次批準；c）確保文件的更改和現行修訂狀態(tài)得到識別；d）確保在使用時，可獲得相關文件的最新版本；e）確保文件保持活晰、易于識別；f）確保文件可以為需要者所獲得，并根據適用于他們類別的程序進行轉移、存儲和最終的銷毀；g）確保外來文件得到識別；h）確保文件的分發(fā)得到控制；i）防止作廢文件的非預期使用；j）若因任何目的需保留作廢文件時，應對其進行適當的標識。8運行8.1運行的規(guī)劃和控制按照PDC/M體系進行運行。在公司實際推動信息安全體系運行。8.2信息安全風險評估8.2

32、.1識別風險在已確定的信息安全管理體系范圍內，本公司按信息安全風險管理程序，對所有的資產進行了識別，并識別了這些資產的所有者。資產包括硬件、設施、軟件與系統、數據、文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，根據重要資產判斷依據確定是否為重要資產，形成了重要資產活單。同時，根據信息安全風險管理程序，識別了對這些資產的威脅、可能被威脅利用的脆弱性、識別資產價值、保密性、完整性和可用性、合規(guī)性損失可能對資產造成的影響。8.2.2分析和評價風險本公司按信息安全風險管理程序，采用FME心析方法，分析和評價風險：a）針對重要資產自身價值、保密

33、性、完整性和可用性、合規(guī)性損失導致的后果進行賦值；b）針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c）根據信息安全風險管理程序計算風險等級；d）根據信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。8.3信息安全風險處置辦公室組織有關部門根據風險評估的結果，形成風險處理計劃，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：a）控制風險，采用適當的內部控制措施；b）接受風險（不可能將所有風險降低為零）;c）避免風險（如物理隔離）；d）轉移風險

34、（如將風險轉移給保險者、供方、分包商）。9績效評價9.1監(jiān)視、測量、分析和評價9.1.1本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調查處理、電子監(jiān)控、定期技術檢查等控制措施并報告結果以實現：a）及時發(fā)現處理結果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經驗；9.1.2根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持，每年至少一次對信息安全管理體系的有效性進

35、行評審，其中包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。管理評審的具體要求，見本手冊第7章。9.1.3辦公室應組織有關部門按照信息安全風險管理程序的要求，采用FME心析方法，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：a）組織；b）技術；c）業(yè)務目標和過程；d）已識別的威脅；e）實施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。9.1.4按照計劃的時間間隔進行信息安全管理體系內部審核，內部審核的具體要求，見

36、本手冊第6章。9.1.5定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第9.1.6考慮監(jiān)視和評審活動的發(fā)現，更新安全計劃。9.1.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。9.2內部審核9.2.1辦公室應考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結果，對審核方案進行策劃。應編制內審年度計劃，確定審核的準則、范圍、頻次和方法。9.2.2每次審核前，辦公室應編制內審計劃，確定審核的準則、范圍、日程和審核組。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。審核員不應審核自己的工作。9.2.3應按

37、審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現場審核，檢查相關文件、記錄和憑證，與相關人員進行交流；c）進行對檢查內容進行分析，召開內審小組首次會議、末次會議，宣布審核意見和不符合報告；d）審核組長編制審核報告。9.2.4對審核中提出的不符合項報告，責任部門應編制糾正措施，由辦公室組織對受審部門的糾正措施的實施情況進行跟蹤、驗證；9.2.5按照記錄管理程序的要求，保存審核記錄。9.2.6內部審核報告，應作為管理評審的輸入之一。9.3管理評審管理評審的輸入要包括以下信息：a）信息安全管理體系審核和評審的結果；b）相關方的反饋；c）用于改進信息安

38、全管理體系業(yè)績和有效性的技術、產品或程序；d）預防和糾正措施的狀況；e）風險評估沒有充分強調的脆弱性或威脅；f）有效性測量的結果；g）管理評審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改進的建議。管理評審的輸出應包括與下歹0內容相關的任何決定和措施：a）信息安全管理體系有效性的改進；b）更新風險評估和風險處理計劃；c）必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內外事件，包括以下方面的變化：1）業(yè)務要求；2）安全要求；3）影響現有業(yè)務要求的業(yè)務過程；4）法律法規(guī)要求；5）合同責任；6）風險等級和（或）風險接受準則。d）資源需求；e）改進測量控制措施有

39、效性的方式。10改進10.1不符合和糾正措施10.1.1辦公室負責建立并實施糾正和預防控制程序，采取以下措施，消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。10.1.2糾正和預防控制程序應規(guī)定以下方面的要求：a）識別存在的不符合；b）確定不符合的原因；c）評價確保不符合不再發(fā)生的措施要求；d）確定并實施所需的糾正和預防措施；e）記錄所采取措施的結果；f）評審所采取的糾正和預防措施。10.1.3公司網絡管理部應定期進行風險評估，以識別變化的風險，并通過關注變化顯著的風險來識別預防措施要求。預防措施的優(yōu)先級應基于風險評估結果來確定。10.2持續(xù)改進本公司制定和實施糾正和措施管理程序內部審核

40、管理程序等文件，通過下列途徑持續(xù)改進信息安全管理體系的有效性：a）通過信息安安全管理體系方針的建立與實施，對持續(xù)改進做出正式的承諾;b）通過建立信息安全管理體系目標明確改進的方向；c）通過內部審核不斷發(fā)現問題，尋找體系改進的機會并予實施，詳見內部審核管理程序；e）通過實施糾正和預防措施實現改進，詳見糾正和措施管理程序；f）通過管理評審輸出的有關改進措施的實施實現改進。（規(guī)范性附錄）（規(guī)范性附錄）序號單位/部門信息安全職貝1信息安全管理委員會信息安全菅理委貝會是我公司信息安全取局組織機構，負貝本單位網絡與信息安全重大事項的決策和協調，并對全公司信息安全工作負責。2總經理信息安全第一責任人，制定信

41、息安全方針，對信息安全全面負責。1. 組織制定并批準信息安全管理方針、信息安全目標和計劃。2. 為發(fā)展、貫徹、運行和保持ISMS提供充足的資源為員工提供所需的資源、培訓，并賦予其職責范圍內的自主權。3. 負責任命管理者代表，并定期進行管理評審。4. 決定風險的可接受水平。5. 負責批準公司信息安全管理手冊和管理評審計劃。3管理者代表負責建立、實施、檢查、改進信息安全管理體系（具體見管理者代表授權書）。4商務部我公司信息安全管理體系的歸口管理部門。1. 負責管理體系的建立、實施、保持、測量和改進。2. 負責文件控制、記錄控制、內部審核的組織、管理評審的組織和體系的改進。3. 負責本公司保密工作的

42、管理。4. 負責安全區(qū)域的管理。5. 負責涉密信息上網、涉密計算機運行、檢修、報廢的監(jiān)督管理。6. 對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內容。7. 參與涉密及司法介入的信息安全事件的調查。8. 負責公司人員安全管理，包括人員聘用管理，保密協議簽署，員工的能力、意識和培訓，員工離職管理。9. 負責公司財務相關的信息安全管理，包括出納、人員工資發(fā)放，以及代理記帳公司的管理。10. 負責公司客戶反饋信息的搜集，定期對客戶回訪跟蹤。認真執(zhí)行信息安全方針、標準、安全策略和規(guī)范，做好本部門職責范圍內的信息安全管理體系運行工作。5技術部1. 負責收集與本部門相關的信息安全方面的法規(guī)及其他要求，并及時上報信息安全委員會，問時負責在本部門內傳達，貫徹和實施與部門相關的法規(guī)及其他要求。2. 協助在本部門內宣傳公司的信息安全管理體系文件的要求，提高本部門員工的信息安全意識。3. 按照信息安全體系文件的要求，在本部門遵照執(zhí)行。4. 發(fā)生信息安全事故后負責配合信息安