信息安全管理體系手冊

1、xxxx有限公司信息安全管理手冊密級口機密口保密內部使用口公開信息受控狀態(tài)受控口非受控2011-12-01頒布文件歷史控制網(wǎng)2011-01-01實力也文件名稱信息安全管理手冊文件編號IT-IT-M-0003對應OA文號版次編制與修訂概要完成日期狀態(tài)角色人員編寫初審會簽審核批準第一章前言隨著xxxx有限公司業(yè)務發(fā)展日益增長，信息交換互連面也隨之增大，信息業(yè)務系統(tǒng)依賴性擴大，所帶來的信息安全風險和信息脆弱點也逐漸呈現(xiàn)，原有信息安全技術和管理手段很難滿足目前和未來信息化安全的需求，為確保xxxx有限公司信息及信息系統(tǒng)的安全，使之免受各種威脅和損害，保證各項信息系統(tǒng)業(yè)務的連續(xù)性，使信息安全風險最小化，

2、xxxx有限公司每年開展網(wǎng)絡與信息系統(tǒng)安全風險評估及等級保護測評，定期對等級保護測評與風險評估活動過程中的風險漏洞進行全面整改，分析了信息安全管理上的不足與缺陷，編制了差距測評報告。通過開展信息安全風險評估和等級保護測評，了解xxxx有限公司信息安全現(xiàn)狀和未來需求，為建立xxxx有限公司信息安全管理體系奠定了基礎。2011年7月開展信息安全管理體系持續(xù)改進建設，依據(jù)信息安全現(xiàn)狀和未來信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系的標準要求，建立了符合xxxx有限公司信息安全管理現(xiàn)狀和管理需求的信息安全管理體系，該體系覆蓋了GB/T22080-20

3、08/ISO/IEC27001:2005信息安全管理體系的標準要求12個控制領域、39個控制目標和133個控制措施。本手冊是xxxx有限公司信息安全管理體系的綱領性文件，由信息中心歸口負責解釋。第二章信息安全管理手冊頒布令xxxx有限公司（以下簡稱公司）依據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系標準要求，結合限公司實際情況，在原有的各項管理制度的基礎上編制完成了xxxx有限公司信息安全管理體系手冊第一版，現(xiàn)予以批準實施。«xxxx有限公司信息安全管理體系手冊是公司在信息及信息系統(tǒng)安全方面的規(guī)范性文件，手冊闡述了限公司信息安全服務方針，信息安全

4、目標及信息安全管理體系的過程方法和策略，是公司信息安全管理體系建設實施的綱領和行動準則，是公司開展各項服務活動的基本依據(jù)；是對社會各界證實我公司有能力穩(wěn)定地提供滿足國際標準信息安全要求以及客戶和法律法規(guī)相關要求的有效證據(jù)。適合公司信息化目前發(fā)展趨勢需求，且內容充分、表達準確，現(xiàn)予頒布。本手冊定于2011年8月1日起實施，屬強制性文件，要求各部門所有人員必須正確理解并嚴格貫徹全面執(zhí)行。xxxx有限公司總經(jīng)理簽名：日期：2011年01月01日第三章公司介紹1,企業(yè)簡介xxxx有限公司(以下簡稱xxxx)始創(chuàng)于2002年4月，大致經(jīng)過三個發(fā)展階段：第一階段，2002年2004年，為創(chuàng)業(yè)期，全力開拓市

5、場，實現(xiàn)在競爭激烈的行業(yè)中立足；第二階段，20042006年，為整合期，整合一切有效資源，重力推出新產(chǎn)品，奠定以優(yōu)質產(chǎn)品占據(jù)市場的方向，梳理并確立了經(jīng)營理念、發(fā)展愿景、經(jīng)營方針，完成了股份制改革；第三階段，2006至今，為蛻變期，立足電氣傳動、工業(yè)控制領域，為全球用戶提供專業(yè)化產(chǎn)品和服務，于2010年在深交所A股上市，股票代碼：002334,步入不斷提升企業(yè)核心競爭力，并實現(xiàn)飛躍的階段。目前xxxx設有國內辦事處30多個，海外辦事處2個，擁有海內外經(jīng)銷合作伙伴上百家，用戶遍布全球50多個國家和地區(qū)。xxxx是國家級高新技術企業(yè)，擁有深圳市唯一的“變頻器工程技術研究開發(fā)中心”。在吸收國外先進技術

6、的基礎上，結合近十年變頻推廣應用經(jīng)驗和當今電力電子最新控制技術，研制出高、中、低壓通用及各行業(yè)專用變頻器、交流伺服系統(tǒng)、制動單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機械、化工、冶金、紡織、印刷、機床、礦山等行業(yè)廣泛應用。xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓660V/1140V系列、高壓CHH(3KV/6KV/10KV)系列等，功率范圍涵蓋8000kW,滿足不同行業(yè)不同場合的各種變頻控制應用需求。成熟矢量控制技術、各行業(yè)專用變頻控制技術的掌握以及國際領先四象限控制技術的突破使xxxx的發(fā)展持續(xù)領先，成為中國變頻器行業(yè)的領導者。高性能交流伺服

7、系統(tǒng)的開發(fā)與成功應用標志著xxxx向運動控制領域的拓展與延伸xxxx在“眾誠德厚、業(yè)精志遠”的經(jīng)營理念指導下，堅持在不斷創(chuàng)新、精益求精中與包括員工、股東、供應商、客戶等廣大合作伙伴共同發(fā)展，公司的自主創(chuàng)新及品牌美譽度在行業(yè)中已經(jīng)占有重要地位，并得到社會的廣泛認同。2 .企業(yè)文化經(jīng)營理念：眾誠德厚業(yè)精志遠愿景：成為全球領先、受人尊敬的電氣傳動、工業(yè)控制領域的產(chǎn)品和服務供應商。使命：竭盡全力提供物超所值的產(chǎn)品和服務，讓客戶更有競爭力。經(jīng)營方針：創(chuàng)新品質標準化共同發(fā)展核心價值觀：眾誠德厚拼搏創(chuàng)新人才理念：人才是企業(yè)第一資本尊重人才，經(jīng)營人才質量方針：提供不斷優(yōu)化的產(chǎn)品和服務，提高客戶滿意度。3 .企

8、業(yè)標識：標識釋義：xxxx企業(yè)標徽有兩種色彩：xxxx紅（M100Y80）、xxxx藍（C100M80K40）,紅色體現(xiàn)進取和活力，藍色象征包容和專注的鉆研精神。字體設計簡潔、凝聚、渾厚、擴張，傳達xxxx通過與合作伙伴和員工的合力凝聚堅固產(chǎn)品品質，厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思想?！癐NVT”是變頻器（inverter）,也是創(chuàng)新（）和美德（virtue）的結合，是xxxx核心價值觀“眾誠德厚，拼搏創(chuàng)新”的標識承載；首字母“i”色彩紅藍結合，強調xxxx企業(yè)一一個人與團隊、個人與公司、xxxx與客戶、供應商的相互信賴，共同發(fā)展；紅色圓點是旭日也是星球，藍色體現(xiàn)企業(yè)所在地域一一

9、濱海城市深圳，體現(xiàn)xxxx電氣立足本土，致力于成為全球領先、受人尊敬的電氣傳動、工業(yè)控制領域產(chǎn)品/服務供應商的遠景目標。根據(jù)國家信息安全等級保護要求、公司下達的目標與指標、公司信息化發(fā)展戰(zhàn)略目標、信息安全風險評估結果、信息用戶的滿意度，結合公司實現(xiàn)目標所需的資源，識別公司的信息安全目標與指標。公司每年年底制定下一年度的信息安全目標與指標，公司制定完成信息安全目標與指標的工作計劃，將目標、指標的層層分解，并落實完成。下列是詳細的信息安全目標：目標類別目標項目標值目標換算方法統(tǒng)計周期信息安全目標不可接受風險處理率100%（不可接受風險數(shù)處埋數(shù)/不可受風險總數(shù)）X100%年機密信息泄密事件0次按實際

10、發(fā)生次數(shù)統(tǒng)計年秘密信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計年特別重大突發(fā)事件（I級）0次按實際發(fā)生次數(shù)統(tǒng)計年重大突發(fā)事件（n級）0次按實際發(fā)生次數(shù)統(tǒng)計年較大突發(fā)事件（田級）0次按實際發(fā)生次數(shù)統(tǒng)計年一般突發(fā)事件（IV級）0次按實際發(fā)生次數(shù)統(tǒng)計年內部審核及管理評審實施及時率100%按計劃實施年員工入職培訓完成率100%（入職員工參訓人數(shù)/入職員工總數(shù)）X100%年信息安全培訓計劃完成率100%（實際培訓次數(shù)/計劃培訓次數(shù)）X100%年目標類別目標項目標值目標換算方法統(tǒng)計周期信息安全運行指標大面積感染計算機病毒次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計年由于網(wǎng)絡故障導致關鍵業(yè)務中斷次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計年員工保密協(xié)議

11、簽訂率100%（實際簽訂人數(shù)/入職總人數(shù)）X100%年重要信息備份及時率100%（實際備份數(shù)/計劃備份數(shù)）X100%年內部審核不符合項整改率>90%（不符合項整改完成數(shù)/不符合項總數(shù)）X100%年計算機故障處理完成率100%（實際處理數(shù)/故障總數(shù)）X100%年容量不足導致業(yè)務故障次數(shù)<3按實際發(fā)生次數(shù)統(tǒng)計年計算機口令強度符合率100%（帳號符合數(shù)/帳號總數(shù)）X100%年注：公司的信息安全目標不限此，可根據(jù)各部門的實際業(yè)務進行調整或分解。第五章信息安全會議1 .信息安全會議要求1.1. 公司應在每年一次的信息化工作會議上，總結匯報本年度的信息安全工作情況。1.2. 公司應在每季度召開

12、的計算機管理會議中，總結本季度的信息安全工作情況。1.3. 公司信息中心應在每月召開的信息管理工作例會中，總結本月的信息安全工作情況。1.4. 公司應根據(jù)風險變化的需要或在重大活動期間，不定期召開信息安全專題會。2 .信息安全會議記錄管理2.1. 公司應及時制定相關的信息安全管理文件、信息安全數(shù)據(jù)與記錄。2.2. 信息安全管理數(shù)據(jù)與記錄包括：1）信息安全會議紀要2）信息安全事故調查報告3）信息安全事件整改報告4） 信息安全檢查整改方案5）信息安全審計記錄6）技術檔案資料7） 培訓記錄8）信息安全作業(yè)活動數(shù)據(jù)與記錄9）信息安全事件通報、整改活動10）信息安全檢查活動11）應急演練活動12）信息系

13、統(tǒng)定級備案活動13）信息安全審計活動14）信息安全風險評估活動15）數(shù)據(jù)與記錄要求：真實、完整、齊全、準確、及時。3.信息文件的管理3.1. 根據(jù)精簡、高效的原則，制定公司信息安全工作和管理流程，包括：1）信息安全管理流程2）信息安全事件處理流程3）信息安全應急流程4）其它相關流程3.2. 每年回顧流程的效率，必要時修訂、增加或廢除不必要的流程或環(huán)節(jié)。3.3. 信息安全管理流程和信息安全事件處理流程納入信息安全管理體系中管理3.4. 信息安全應急流程納入xxxx有限公司網(wǎng)絡與信息安全專項應急預案中管理。3.5. 根據(jù)管理變化、技術變化，公司定期修訂如下：1）更新管理手冊、程序文件、作業(yè)指導書或

14、管理制度、辦法；2）更新培訓要求；3）更新應急處置程序；3.6. 對涉及到的所有信息安全風險進行回顧分析；3.7. 變化管理需文件化，并保存變化過程的相關記錄第六章信息安全管理體系1總則1.1. 為了加強xxxx有限公司（以下簡稱“xxxx有限公司或公司”）信息安全管理工作，保護信息系統(tǒng)的安全，促進信息系統(tǒng)的應用和發(fā)展，根據(jù)國家有關法律法規(guī)，以及變頻器行業(yè)的管理規(guī)范、行業(yè)標準，并遵照公司信息系統(tǒng)安全的有關規(guī)定，特制定本手冊。1.2. 信息系統(tǒng)的安全保護范圍包括各信息系統(tǒng)相關的和配套的軟件、硬件、信息、網(wǎng)絡和運行環(huán)境的安全。1.3. xxxx有限公司信息系統(tǒng)安全管理應遵循“統(tǒng)一規(guī)劃、預防為主、集

15、中管理、分層保護、明確責任”的原則。1.4. xxxx有限公司運行中的信息系統(tǒng)是支撐生產(chǎn)的運行設備，各級安全生產(chǎn)責任人對其職責范圍內的信息系統(tǒng)安全運行負有安全管理責任。1.5. 任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其他公民權益的活動，不得從事危害xxxx有限公司信息系統(tǒng)安全的活動。1.6. 本手冊適用于公司本部、各基層單位的信息系統(tǒng)的安全保護工作。公司多經(jīng)企業(yè)參照執(zhí)行。2 .規(guī)范性引用標準2.1. 信息安全等級保護管理辦法（公通字200743號）2.2. 信息安全技術信息系統(tǒng)安全等級保護基本要求（GB/T22239-2008）2.3. 信息安全技術信息系統(tǒng)安全等級保護定級指南(G

16、B/T22240-2008)2.4. 信息安全技術信息安全管理實用規(guī)則(GB/T22081-2008)2.5. 信息安全技術信息安全風險評估規(guī)范(GB/T20984-2007)2.6. 國家相關法律、法規(guī)及合同的要求。3 .術語與定義3.1. 資產(chǎn)asset任何對組織有價值的東西。3.2. 可用性availability根據(jù)授權實體的要求可訪問和利用的特性。3.3. 保密性confidentiality信息不能被未授權的個人、實體或者過程利用或知悉的特性。3.4. 信息安全informationsecurity保證信息的保密性、完整性、可用性；另外也可包括諸如真實性，可核查性,不可否認性和可靠

17、性等特性。3.5. 信息安全事態(tài)informationsecurityevent信息安全事態(tài)是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀03.6. 信息安全事件informationsecurityincident一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成，它們具有損害業(yè)務運作和威脅信息安全的極大的可能性。3.7. 信息安全管理體系informationsecuritymanagementsystem是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的

18、。注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。3.8. 完整性integrity保護資產(chǎn)的準確和完整的特性。3.9. 殘余風險residualrisk經(jīng)過風險處理后遺留的風險。3.10. 風險接受riskacceptance接受風險的決定。3.11. 風險分析riskanalysis系統(tǒng)地使用信息來識別風險來源和估計風險。3.12. 風險評估riskassessment風險分析和風險評價的整個過程。3.13. 風險評價riskevaluation將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程。3.14. 風險管理riskmanagement指導和控制

19、一個組織相關風險的協(xié)調活動。3.15. 風險處理risktreatment選擇并且執(zhí)行措施來更改風險的過程。注：在本標準中，術語“控制措施”被用作“措施”的同義詞。3.16. 適用性聲明statementofapplicability描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔。3.17. 信息系統(tǒng)是指由計算機及其相關配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)，包括管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng)。3.18. 信息安全保持信息的保密性、完整性和可用性，另外也可包括諸如真實性，可核查性,不可否認性和可靠性等。3

20、.19. 信息系統(tǒng)運行單位是指信息系統(tǒng)資產(chǎn)歸屬單位，對于托管的信息系統(tǒng)有另行約定的除外。3.20. 信息安全工作人員是指包括信息安全管理人員、信息安全技術人員（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關設備的管理員）和信息安全審計員。3.21. 信息工作人員是指與關鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設與經(jīng)營、管理等核心業(yè)務且有保密要求的信息系統(tǒng)）直接相關的系統(tǒng)管理人員、網(wǎng)絡管理人員、關鍵業(yè)務信息系統(tǒng)開發(fā)人員、系統(tǒng)維護人員、關鍵業(yè)務信息系統(tǒng)操作人員等。3.22. 第三方是指軟件開發(fā)商、硬件供應商、系統(tǒng)集成商、設備維護商、服務提供商以及其它外協(xié)單位。3.23. 第三方人員是指包括軟

21、件開發(fā)商出、硬件供應商、系統(tǒng)集成商、設備維護商、服務提供商及其它外協(xié)服務單位的工作人員，以及實習學生和其他臨時工作人員。3.24. 信息資產(chǎn)是指公司在生產(chǎn)、經(jīng)營和管理過程中，所需要的以及所產(chǎn)生的，用以支持（或指導、或影響）公司生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財務的無形資產(chǎn)，具范圍包括現(xiàn)在的和歷史的。3.25. 信息系統(tǒng)運行維護單位是指與信息系統(tǒng)運行單位簽訂維護合同的專業(yè)服務提供商。3.26. 信息安全等級保護是指根據(jù)國家信息安全等級保護相關管理文件，確定信息系統(tǒng)的安全保護等級，并開展相應的信息系統(tǒng)安全等級保護工作。3.27. 信息安全評估是指，按照管理辦法和有關技術標準，開展信息系統(tǒng)

22、安全等級保護的自查自糾、差距評測、安全整改等續(xù)工作。3.28. 安全風險管理是指采用風險管理的理念與方法來識別、評估信息系統(tǒng)面臨的風險，制定風險控制措施，并將風險降低到可接受的程度，安全風險管理包括風險評估和風險控制。注：基于風險評估和風險處理過程的結果和結論、法律法規(guī)的要求、合同義務以及組織對于信息安全的業(yè)務要求，制定控制目標和控制措施。3.29. 標準縮寫ISMS:信息安全管理體系(InformationSecurityManagementSystems);SoA:適用性聲明(StatementofApplicability);PDCA:建立、實施和運行、監(jiān)視和評審、保持和改進(Plan、

23、Do、Check、Act)。4 .信息安全管理體系4.1. 總要求根據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系要求標準在整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。ISMS所涉及的過程基于以下PDCA模式:相關方信息ISMS立與管理風險和改進信息安全有關的ISM（實施科逑甑實施和運作ISMS）旺田檢查（監(jiān)視和評審法規(guī),MS處置（，減持和改進ISMS）相關方T過程和程序，以據(jù)供與組織總方針和總目標刃一致的結果。的信息安實施和運行ISMS州寺硼翩t施、藉貓和程1對口ISMSt目標和實踐經(jīng)驗，評估并在適當時

24、,測量過程的執(zhí)彳M況，并將將果報告管理者以供怦審?；ㄞ進解雨部審杉管理評審的結果或者其他相關信息，采取糾正和預防措施，以持續(xù)改進ISMS。本手冊中提出的用于信息安全管理植程方法鼓勵其用戶強調以下方面的重要性:a）理解xxxx有限公司的信息安全要求和建立信息安全方針與目標的需要；b）從組織整體業(yè)務風險的角度，實施和運行控制措施，以管理xxxx有限公司的信息安全風險；c）監(jiān)視和評審ISMS的執(zhí)行情況和有效性；d）基于客觀測量的持續(xù)改進。本標準采用了“規(guī)劃（Plan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA）模型，該模型可應用于所有的ISMS過程。圖1說明了ISMS如何把相關

25、方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結果。圖4-1描述了4、5、6、7和8章所提出的過程間的聯(lián)系。采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡安全的OECD指南(2002版)中所設置的原則。本標準為實施OECD指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強健的模型。4.2. ISMS的建立、實施和運作、監(jiān)督和評審、保持和改進4.2.1. 建立ISMS4.3. 1.1.xxxx有限公司ISMS的范圍和邊界根據(jù)業(yè)務、組織、資產(chǎn)、位置等方面的特性，確定ISMS的范圍和邊界。xxxx有限公司信息安全管理體系的范圍和邊界包括：(

26、1)業(yè)務邊界：xxxx有限公司為開展供電業(yè)務，在管理信息大區(qū)范圍內實施的信息安全管理。(2)組織邊界：xxxx有限公司信息中心；(3)資產(chǎn)邊界：xxxx有限公司負責管理的信息資產(chǎn)；(4)物理邊界：廣東省廣州市天河區(qū)天南二路239號和梅花路機房4.4. 1.2.確定xxxx有限公司ISMS方針應滿足以下要求(1)確保為ISMS方針建立一個框架并為信息安全實施和運作、監(jiān)督和評審、保持和改進的活動建立系統(tǒng)的方向與原則；(2)確定業(yè)務發(fā)展、法律法規(guī)要求及其它相關方合同涉及的信息安全要求；(3)在組織的戰(zhàn)略和風險管理下，建立和保持ISMS;(4)建立風險評價的準則和機團隊；(5)獲得信息安全領導小組批準

27、。4.2.1.3,風險評估的系統(tǒng)方法xxxx有限公司信息中心負責建立信息安全風險評估控制程序并組織實施。風險評估控制程序包括可接受風險準則和可接受水平，所選擇的評估方法應確保風險評估能產(chǎn)生可比較的和可重復的結果。具體的風險評估過程控制執(zhí)行信息安全風險評估程序，以下是風險評估流程圖；I威脅識別與評價'已有捽制I措施確認風險評儕（測量）風險評估流程圖4.2.1.4.風險識別信息資產(chǎn)包括在已確定的ISMS范圍內，對所有的信息資產(chǎn)進行列表識別軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設施、服務、人力資源。對每一項信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成重要信息資產(chǎn)清單4.2.1.5,

28、評估風險(1)針對每一項重要信息資產(chǎn)，參考信息安全威脅列表及以往的安全事故(事件)記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有重要信息資產(chǎn)所面臨的威脅；(2)針對每一項威脅，考慮現(xiàn)有的控制措施，參考信息安全薄弱點列表識別出可能被該威脅利用的薄弱點；(3)綜合考慮以上2點，按照威脅發(fā)生可能性等級表中的判定準則對每一個威脅發(fā)生的可能性進行賦值；(4)根據(jù)威脅影響程度判斷準則，判斷一個威脅發(fā)生后對信息資產(chǎn)在保密性(C)、完整性(I)和可用性(A)方面的損害及對公司業(yè)務的威脅影響程度，對其威脅影響程度進行賦值；(5)進行風險大小計算時，考慮威脅產(chǎn)生安全故障的可能性及其所造成影響程度兩者的結合，根據(jù)風險計

29、算公式來計算風險等級；(6)對于信息安全風險，在考慮控制措施與費用平衡的原則下制定風險接受準則，按照該準則確定何種等級的風險為不可接受風險。1.1.1.6. 風險處理方法的識別與評價xxxx有限公司信息中心組織有關部門根據(jù)風險評估的結果，形成風險處理計劃，該計劃應明確風險處理責任部門、方法及時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧?1)采用適當?shù)膬炔靠刂拼胧?(2)接受某些風險(不可能將所有風險降低為零)；(3)規(guī)避某些風險(如物理隔離)；(4)轉移某些風險(如將風險轉移給保險公司、供應方)。1.1.1.7. 選擇控制目標與控制措施(1)信息中心根據(jù)信息安全

30、方針、業(yè)務發(fā)展要求及風險評估的結果，組織有關部門制定信息安全目標，并將目標分解到有關部門。信息安全目標應獲得信息安全領導小組的批準。(2)控制目標及控制措施的選擇原則來源于GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系要求標準附錄A,具體控制措施可以參考GB/T22081-2008/ISO/IEC27002:2005信息技術一安全技術一信息安全管理實施細則。xxxx有限公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。1.1.1.8. 適用性聲明信息中心負責信息安全管理體系適用性聲明(SoA)編制，由信息中心歸口管理。該聲明包括以下方面的內容：(1)

31、所選擇控制目標與控制措施的概要描述；(2)當前已經(jīng)實施的控制；(3)對GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系要求附錄A中未選用的控制目標及控制措施的說明。注：該聲明的詳細內容見信息安全管理體系適用性聲明4.2.2. ISMS實施及運行4.2.2.1. ISMS崗位職責和權限(1)信息安全領導小組組長為公司信息安全最高管理者。領導小組主要職責:a)國家有關信息安全的政策、法律和法規(guī)，以及南方電網(wǎng)公司和公司的統(tǒng)一部署要求，審查、批準xxxx有限公司信息安全策略、管理規(guī)范和技術標準；b)部署信息安全總體工作，審定信息安全投資策略，建立工作考評機制;c)指導信

32、息安全保障體系建設和應急管理。(2)信息安全工作小組主要職責：a)根據(jù)信息安全領導小組的工作部署，對信息安全工作進行具體安排、落實；b)貫徹執(zhí)行信息安全領導小組的決議，協(xié)調、督促各部門、各單位的信息安全工作；c)制訂信息安全策略和投資策略，組織對信息安全工作制度和技術操作策略的審查，并監(jiān)督執(zhí)行；d)接受各單位的緊急信息安全事件報告，組織信息安全應急處置工作，并開展事件調查、分析原因、涉及范圍和評估安全事件的嚴重程度，提出信息安全事件防范措施；e)及時向信息安全領導小組和上級有關部門、單位報告信息安全事件；f)跟進先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。(3)信息安全管理體系的管理

33、者代表對公司信息安全負有以下職責:a)建立并實施信息安全管理體系必要的程序并維持其有效運行；b)對信息安全管理體系的運行情況和必要的改善措施向信息安全領導小組報告。(4)各部門負責人為本部門信息安全管理者，全體員工都應按保密承諾的要求自覺履行信息安全保密義務；4.2.2.2. 各部門應按照信息安全管理體系適用性聲明中選擇的控制目標與目標的控制措施，確保ISMS有效實施與運行，并開展以下活動：(1)確保信息安全風險的有效管理，制定風險處理計劃，以便明確管理措施、所需資源、工作職責及識別活動的優(yōu)先順序；保證已識別的控制目標實施風險處理計劃；(2)確保處理風險所選擇的控制措施，以滿足控制目標；(3)

34、確保所選控制措施有效測量；(4)制定信息安全培訓計劃并加以實施，提高全員信息安全意識和能力;(5)管理ISMS的運行；(6)管理ISMS的資源；(7)制定信息安全事件或事故的程序控制措施，以便迅速的檢測安全事件與安全事故的響應。4.2.2.3. ISMS的監(jiān)督檢查與評審通過實施不定期安全檢查、內部審核、事故報告調查處理、電子監(jiān)控、定期技術檢查(如日志審核)等控制措施并報告結果以實現(xiàn)：及時發(fā)現(xiàn)信息安全體系的事故和隱患;(2)及時了解信息處理系統(tǒng)遭受的各類攻擊；(3)使管理者掌握信息安全活動是否有效，并根據(jù)優(yōu)先級別確定所要采取的措施；(4)積累信息安全方面的經(jīng)驗。4.2.2.4. 根據(jù)以上活動的結

35、果以及來自相關方的建議和反饋，由信息安全工作小組組長主持，定期(每年至少一次)對ISMS的有效性進行評審，其中包括信息安全范圍、方針、目標及控制措施有效性的評審。管理評審的具體要求，見本手冊第7章。4.2.2.5. 信息中心應組織有關部門按照信息安全風險管理程序的要求對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：(1)組織機構發(fā)生重大變更時；(2)信息處理技術發(fā)生重大變更時；(3) xxxx有限公司業(yè)務目標及流程發(fā)生重大變更時；(4)發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅時；(5)外部環(huán)境，如法律法規(guī)或信息安全標準發(fā)生重大變更時。4.2.2.6

36、. 保持上述活動和措施的記錄。4.2.3. ISMS保持與改進xxxx有限公司開展以下活動，以確保ISMS的持續(xù)改進：4.2.3.1. 實施每年安全檢查、內部審核、管理評審等活動以確定需改進的項目；4.2.3.2. 按照內部審核管理程序、糾正與預防措施控制程序的要求采取適當?shù)募m正和預防措施；吸取其他組織及xxxx有限公司安全事故的經(jīng)驗教訓，不斷改進現(xiàn)有安全措施。4.2.3.3. 對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預期的效果。4.2.3.4. 為了確保信息安全管理體系的持續(xù)有效，各級管理者應通過適當?shù)氖侄螌π畔踩胧┑膱?zhí)行情況與結果進行有效的交流與溝通。與外部信息安全專家、信息安

37、全機構、政府行政主管部門、電信運營商等組織保持聯(lián)系。與外部專家、服務商等外部機構的聯(lián)系方式見對外聯(lián)系表。4.3.文件要求4.3.1. 總則根據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系標準要求并結合xxxx有限公司實際情況建立xxxx有限公司信息安全管理體系文件結構，體系文件分為四級，分別為一級文件、二級文件、三級文件及四級記錄性文件。(1)一級文件為信息安全管理體系手冊(包含信息安全方針、目標)和適用性聲明等；(2)二級文件為信息安全管理體系建立實施的相關程序文件；(3)三級文件為信息安全管理體系建立實施的相關制度、辦法和規(guī)程等；(4)四級文件為信息安全

38、管理體系實施運行過程中的記錄類文件。4.3.2. 文件控制為確保文件的修訂得到控制，使用現(xiàn)場得到有效版本的文件，防止作廢文件的非預期使用，在文件控制程序中明確規(guī)定了文件的編制、評審、批準、發(fā)放、使用、更改、再次批準、標識、回收、作廢和保存期限等管理。注：以上程序詳細內容見文件控制程序。4.3.3. 記錄控制為提供有效的信息安全管理體系運行的符合性證據(jù)，并具有追溯、證實和依據(jù)記錄采取糾正和預防措施的作用，在記錄控制程序中明確規(guī)定了記錄的填寫要求、標識、收集、儲存、檢索、防護、保存期限和處理所需的控制。注：以上程序詳細內容見記錄控制程序。5 .管理職責5.1. 管理承諾信息安全領導小組承諾按GB/

39、T22080-2008/ISO/IEC27001:2005信息安全管理體系標準要求建立、實施、運行、監(jiān)視和評審，并通過持續(xù)保持和改進，使體系不斷發(fā)展和完善。通過以下活動，確保上述承諾得以實現(xiàn)：制定ISMS方針：(1)制定ISMS目標和實施計劃；(2)建立信息安全組織機構并明確職責；(3)通過適當?shù)臏贤ǚ绞?，利用多種方式向全體員工傳達并使他們認識到滿足信息安全目標、符合信息安全方針以及法律、法規(guī)要求，持續(xù)改進信息安全的重要性；(4)提供適當?shù)馁Y源以滿足信息安全管理體系建立、實施、運行、監(jiān)視、評審、保持和改進的需要；(5)對可接受風險的等級進行判斷;(6)組織實施ISMS內部審核；(7)組織實施I

40、SMS管理評審。5.2. 資源管理5.2.1, 資源提供確保并提供實施、保持信息安全管理體系所需資源，并采取適當措施，以保證：(1)建立、實施、運作、監(jiān)視、評審、保持和改進ISMS;(2)確保信息安全管理程序符合業(yè)務支持流程要求；(3)識別和滿足法規(guī)要求以及合同中的安全義務；(4)通過正確實施所有的控制措施保持適當?shù)男畔踩?5)必要時，應對資源提供進行評審，并按評審結果執(zhí)行；(6)在需要時，改進ISMS資源的有效性。5.2.2, 能力、意識和培訓為提高全員信息安全的意識，確保相關人員履行信息安全職責所需的能力，應采取并實施以下的管理活動：(1)確保與ISMS有關工作人員具備必要的信息安全能

41、力；(2)實施信息安全意識和能力的教育及培訓并評價其培訓的有效性；(3)通過宣傳和其他活動使員工普遍認識到信息安全職責的重要性，為實現(xiàn)信息安全目標做出各自的貢獻；(4)保持教育、培訓、技能、經(jīng)歷和資格或其他活動的記錄;注：以上程序詳細內容見教育培訓控制程序5.3. 安全職責5.3.1, 信息安全管理組織機構和人員職責xxxx有限公司信息安全管理機構有xxxx有限公司信息安全領導小組和xxxx有限公司信息安全工作小組，并配置相應的信息安全工作人員，包括信息安全管理人員、信息安全技術人員、信息安全審計員。5.3.2, xxxx有限公司信息安全領導小組5.3.2.1. xxxx有限公司成立信息安全領

42、導小組。xxxx有限公司信息安全領導小組是公司信息安全的最高決策機構。5.3.2.2. xxxx有限公司信息安全領導小組組長由分管生產(chǎn)安全的公司領導擔任。5.3.2.3. 信息安全領導小組主要職責如下：a）對公司信息安全領導小組負責。b）根據(jù)國家和行業(yè)有關信息安全的政策、法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術標準。c）確定公司信息安全各有關部門工作職責，指導、監(jiān)督信息安全工作。d）信息安全領導小組下設兩個信息安全工作小組（包括管理信息系統(tǒng)信息安全工e）作小組和生產(chǎn)控制系統(tǒng)信息安全工作小組）和應急處理工作小組，并負責指導兩個工作組的工作。5.3.3, xxxx有限公司信息安全工

43、作小組5.3.3.1. xxxx有限公司信息安全工作組隸屬xxxx有限公司信息安全領導小組,是領導小組決策的執(zhí)行機構，工作組的日常工作由xxxx有限公司信息中心承擔。5.3.3.2. xxxx有限公司信息安全工作組組長由xxxx有限公司信息中心領導擔任。5.3.3.3. xxxx有限公司信息安全工作組主要職責如下：a）貫徹執(zhí)行公司信息安全領導小組的決議，協(xié)調和規(guī)范公司信息安全工作；b）根據(jù)信息安全領導小組的工作部署，對信息安全工作進行具體安排、落實；c）組織對重大的信息安全工作制度和技術操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；d）負責協(xié)調、督促各職能部門和有關單位的信息安全工作

44、，參與信息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；f）負責接受各單位的緊急信息安全事件報告，組織進行事件調查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；g）及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件oh）跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。5.3.4, xxxx有限公司應急處理工作小組5.3.4.1. xxxx有限公司應急處理工作小組組長由xxxx有限公司信息中心領導擔任。5.3.4.2. xxxx有限公司應急處理工作小組主要職責如下：

45、a）審定公司信息系統(tǒng)的安全應急策略及應急預案。b）決定相應應急預案的啟動，負責現(xiàn)場指揮，并組織相關人員排除故障，恢復系統(tǒng)。c）每年組織對信息安全應急策略和應急預案進行測試和演練。d）應對公司內發(fā)生的大規(guī)模信息安全事件，協(xié)調指揮事故處理以及事故后系統(tǒng)恢復工作。5.3.5, xxxx有限公司信息中心xxxx有限公司信息中心是xxxx有限公司信息安全小組領導下的信息系統(tǒng)安全的職能和技術歸口管理部門，并直接負責管理信息系統(tǒng)的安全管理和技術監(jiān)督工作，其職責主要包括：5.3.5.1. 組織制定xxxx有限公司信息安全保護工作的總體目標和總體策略。并且根據(jù)信息系統(tǒng)管理要求、運行環(huán)境的變化，以及系統(tǒng)本身的變化

46、，及時更新信息安全保護工作的總體目標、策略、規(guī)劃、技術標準和管理制度。不斷提高信息安全管理的技術水平和管理手段。5.3.5.2. 組織開展xxxx有限公司的信息安全等級保護工作，并進行xxxx有限公司信息安全評估和風險管理工作，組織編寫信息安全保護工作的總體技術規(guī)范、管理制度、技術方案和實施計劃，并負責組織實施。5.3.5.3. 負責接受各單位的緊急信息安全事件報告，組織進行事件調查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；5.3.5.4. 跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。5.3.5.5. 監(jiān)督指導各管理信息系統(tǒng)的開發(fā)建設人員、運行人員

47、、維護人員、業(yè)務使用人員執(zhí)行信息系統(tǒng)安全保護的技術標準和管理制度。5.3.5.6. 組織對信息安全事故的調查取證工作，對其中涉及違紀違法、嚴重違規(guī)的事故配合人力資源部進行調查，并提出處理意見。5.3.5.7. 負責監(jiān)督管理數(shù)據(jù)中心及公司本部網(wǎng)絡、設備、運行環(huán)境，以及集中管理的信息系統(tǒng)的安全保護工作。5.3.5.8. 完成其他上級信息安全管理機構交辦的信息管理系統(tǒng)安全防護工作。5.3.6, 各級安全責任人各級安全生產(chǎn)責任人是其職責范圍內的信息系統(tǒng)安全運行管理的責任人。各級安全生產(chǎn)責任人職責：5.3.6.1. 負責監(jiān)督執(zhí)行xxxx有限公司制定的信息安全策略、管理制度和技術標準。5.3.6.2. 負

48、責監(jiān)督管理其職責范圍內信息系統(tǒng)及其附屬網(wǎng)絡、設備、軟件、信息、運行環(huán)境的安全保護工作。5.3.6.3. 負責監(jiān)督執(zhí)行xxxx有限公司信息安全保護的其他工作。5.3.7, 基層單位計算機及網(wǎng)絡專責基層單位計算機及網(wǎng)絡專責是本單位范圍內管理信息系統(tǒng)安全運行工作的責任人兼信息安全員?；鶎訂挝蛔詣踊瘜Ｘ熓潜締挝环秶鷥壬a(chǎn)控制系統(tǒng)信息安全運行工作的責任人兼信息安全員。具安全職責：5.3.7.1. 負責執(zhí)行公司制定的信息安全策略、管理制度和技術標準。5.3.7.2. 負責執(zhí)行責任范圍內信息系統(tǒng)及其附屬網(wǎng)絡、設備、軟件、信息、運行環(huán)境的安全保護工作。5.3.7.3. 定期向技術監(jiān)督部門報告本單位的信息安全情

49、況，對安全缺陷和事故應及時匯報。管理信息系統(tǒng)類安全情況向信息中心匯報，生產(chǎn)控制系統(tǒng)類安5.3.7.4. 全情況向調度中心匯報。組織本單位員工進行信息安全知識的培訓和宣傳工作。5.3.7.5. 在職能管理部門指導下，完成xxxx有限公司信息安全等級保護、安全評估、風險管理及其他工作。5.3.8, 信息安全工作人員5.3.8.1. 信息安全工作人員基本要求5.3.8.2. 信息安全工作人員應由政治可靠、業(yè)務素質高、遵紀守法、恪盡職守的人員擔任。5.3.8.3. 信息安全工作人員應有計算機專業(yè)工作三年以上經(jīng)歷，及具備本科以上學歷。5.3.8.4. 兼職信息安全人員應有電力生產(chǎn)業(yè)務工作五年以上或專職計

50、算機管理工作三年及以上經(jīng)歷，具備?？埔陨蠈W歷。5.3.8.5. 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全相關工作。5.3.8.6. 信息安全工作人員在行使職責時，確因工作需要，經(jīng)批準，可了解涉及電力生產(chǎn)、經(jīng)營與管理有關的信息系統(tǒng)的機密信息。5.3.8.7. 信息安全工作人員基本職責：a）信息安全工作人員發(fā)現(xiàn)本單位重大信息安全隱患，有權向公司信息中心報告。b）信息安全工作人員發(fā)現(xiàn)信息工作人員使用不當，應及時建議有關單位、部門進行調整。c）信息安全工作人員必須嚴格遵守國家有關法律、法規(guī)和公司有關規(guī)章制度，嚴守公司商業(yè)秘密。5.3.8.8. 信息安全工作人員包括信息安全管理人員、

51、信息安全技術人員、信息安全審計員，其相應的職責分別如下：a）負責信息安全管理的日常工作。b）組織開展信息安全檢查，對信息工作人員安全工作進行指導和監(jiān)督。c）組織開展信息安全知識的培訓和宣傳工作。d）監(jiān)控信息安全總體狀況，提出信息安全分析報告。e）及時向信息安全領導小組和有關部門、單位報告信息安全事件。5.3.9, 信息安全技術人員職責a）負責信息安全相關設備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等）的日常運行維護管理。b）負責防火墻系統(tǒng)策略的安全配置。c）負責定期查看入侵檢測系統(tǒng)日志，對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進行跟蹤處理。d）負責漏洞掃描軟件（包括漏洞庫）的管理、更新和公

52、布。e）負責對網(wǎng)絡系統(tǒng)所有服務器和專用網(wǎng)絡設備的首次、周期性和緊急的漏洞掃描。f）負責設備、系統(tǒng)等補丁升級、安全加固。g）負責定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行查殺病毒任務。h）負責定期升級垃圾郵件網(wǎng)關特征庫、定期維護垃圾郵件網(wǎng)關黑白名單和規(guī)則庫設置i）負責密切注意最新網(wǎng)絡攻擊行為的發(fā)生、發(fā)展情況，關注和追蹤業(yè)界公布的攻擊事件。j）負責密切注意最新漏洞的發(fā)生、發(fā)展情況，關注和追蹤業(yè)界公布的漏洞疫情；k）負責密切關注權威機構最近公布的病毒分析報告、最新惡性病毒的防范報警以及應急處理辦法。5.3.10, 信息安全審計員職責a）負責監(jiān)督檢查單位內部信息安全審計制度及其實施情況。b）定期檢查信息

53、系統(tǒng)的用戶權限設置及安全配置是否與信息系統(tǒng)安全策規(guī)定相符合，監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全管理工作。c）監(jiān)督信息系統(tǒng)的運行情況，定期查看日志記錄，對信息系統(tǒng)資源的各種非法訪問事件進行分析、提出安全風險防范對策。5.3.11, 信息工作人員信息工作人員包括系統(tǒng)管理員、系統(tǒng)維護員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)管理員、應用系統(tǒng)管理員、網(wǎng)絡管理員、業(yè)務操作員，其相應的安全責任如下。5.3.12, 系統(tǒng)管理員安全責任a）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則。b）嚴格用戶權限管理，維護系統(tǒng)安全正常運行。c）負責對所管轄的服務器操作系統(tǒng)進行安全配置，并定期對所管轄的服務器操作系統(tǒng)進行安全檢查。d）認真記錄系統(tǒng)安全事

54、項，及時向信息安全人員報告安全事件。e）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。5.3.13, 系統(tǒng)維護員安全責任a）負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行。b）不得擅自改變系統(tǒng)配置和功能。c）不得安裝與系統(tǒng)無關的計算機程序。d）維護過程中，發(fā)現(xiàn)安全漏洞應及時報告信息安全工作人員5.3.14, 系統(tǒng)開發(fā)員安全責任系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)。a）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料。b）不得對系統(tǒng)設置“后門”或添加“惡意代碼”。c）對系統(tǒng)核心技術保密。5.3.15, 數(shù)據(jù)庫系統(tǒng)管理員安全責任a）負責數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護，保

55、證系統(tǒng)的安全、正常運行b）負責對所管轄的數(shù)據(jù)庫系統(tǒng)進行安全配置，并定期對所管轄的數(shù)據(jù)庫系統(tǒng)進行安全檢查。c）負責定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時排除，做好系統(tǒng)恢復。5.3.16, 應用系統(tǒng)管理員安全責任a）應根據(jù)應用系統(tǒng)的安全策略，負責應用系統(tǒng)的用戶權限設置以及系統(tǒng)安全配置b）密切注意應用系統(tǒng)運行中發(fā)生的系統(tǒng)故障、安全事件，關注應用系統(tǒng)存在的隱患，收集業(yè)務用戶的問題反映，及時報告信息管理部門和業(yè)務主管部門。c）應根據(jù)應用系統(tǒng)運行的實際情況，制定應急處理預案，提交信息管理部門審定。5.3.17, 網(wǎng)絡管理員安全責任a）負責網(wǎng)絡的運行管理，實施網(wǎng)絡安全策略和安全運行細則。b）負責安全配置網(wǎng)絡參數(shù)，嚴格控制網(wǎng)絡用戶訪問權限，維護網(wǎng)絡安全正常運行。c）負責監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及時向信息安全工作人員報告安全事件。d）負責對操作網(wǎng)絡管理功能的其他人員進行安全監(jiān)督。5.3.18, 業(yè)務操作員安全