ISO27001信息安全管理手冊(cè)(10章高階版)

1、信息安全管理手冊(cè)（依據(jù) GB/T 22080-2016 idt ISO/IEC27001:2013 標(biāo)準(zhǔn)編制）編 號(hào)：ISMS-A-01版本號(hào)：VI. 0編制：日期：2021-8-3審核：日期：2021-8-3批準(zhǔn)：日期：2021-8-3受控文件受控狀態(tài)修訂記錄版本編寫人審核人批準(zhǔn)人修訂日期修訂說明VI. 02021-8-3創(chuàng)建 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 概述51. 1頒布令51. 2任命書61.3手冊(cè)說明71. 3. 1 總則71. 3. 2信息安全管理手冊(cè)的批準(zhǔn)71. 3. 3信息安全管理手冊(cè)的發(fā)放、作廢與

2、銷毀71. 3. 4信息安全管理手冊(cè)的修改71. 3. 5信息安全管理手冊(cè)的換版81. 3. 6信息安全管理手冊(cè)的控制8 HYPERLINK l bookmark8 o Current Document 規(guī)范性引用文件9 HYPERLINK l bookmark10 o Current Document 術(shù)語和定義9 HYPERLINK l bookmark12 o Current Document 組織環(huán)境9 HYPERLINK l bookmark14 o Current Document 1理解組織及其環(huán)境9 HYPERLINK l bookmark16 o Current Docume

3、nt 2理解相關(guān)方的需求和期望9 HYPERLINK l bookmark18 o Current Document 3確定ISMS的范圍9 HYPERLINK l bookmark20 o Current Document 4信息安全管理體系104. 4. 1 總則104.2 ISMS體系過程方法10 HYPERLINK l bookmark22 o Current Document 領(lǐng)導(dǎo)作用11 HYPERLINK l bookmark24 o Current Document 5.1領(lǐng)導(dǎo)作用和承諾11 HYPERLINK l bookmark26 o Current Document 5

4、.2 ISMS管理方針11 HYPERLINK l bookmark32 o Current Document 3組織架構(gòu)、職責(zé)和權(quán)限113. 1 ISMS管理體系組織架構(gòu)圖113.2 ISMS管理職能分配113. 3 職責(zé)和權(quán)卩艮11 HYPERLINK l bookmark34 o Current Document 規(guī)劃12 HYPERLINK l bookmark36 o Current Document 1風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施12 HYPERLINK l bookmark40 o Current Document 支持127.1資源121. 1 總則131.2基礎(chǔ)設(shè)施131.3 ii程

5、環(huán)境131.4監(jiān)視和測(cè)量設(shè)備137. 1. 5 知識(shí)14 HYPERLINK l bookmark42 o Current Document 2能力14 HYPERLINK l bookmark44 o Current Document 7. 3意識(shí)14 HYPERLINK l bookmark46 o Current Document 7. 4溝通14 HYPERLINK l bookmark48 o Current Document 7. 5文件記錄信息157. 5. 1文件體系結(jié)構(gòu)157. 5. 2文件控制167. 5. 3記錄控制17 HYPERLINK l bookmark50 o

6、Current Document 運(yùn)行17 HYPERLINK l bookmark52 o Current Document 1運(yùn)行的策劃和控制171. 1 ISMS運(yùn)行總要求182信息安全風(fēng)險(xiǎn)評(píng)估18& 2. 1風(fēng)險(xiǎn)評(píng)估的方法18& 2. 2識(shí)別風(fēng)險(xiǎn)188.2.3分析和評(píng)價(jià)風(fēng)險(xiǎn)18& 2. 4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇18 HYPERLINK l bookmark54 o Current Document 3信息安全風(fēng)險(xiǎn)處置19 HYPERLINK l bookmark56 o Current Document & 3. 1相關(guān)文件19 HYPERLINK l bookmark58 o Cu

7、rrent Document 績效評(píng)價(jià)19 HYPERLINK l bookmark60 o Current Document 9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)199.2內(nèi)部審核19 HYPERLINK l bookmark62 o Current Document 3管理評(píng)審203. 1總則203. 2評(píng)審輸入203. 3評(píng)審輸岀2110改進(jìn)21 HYPERLINK l bookmark64 o Current Document 1不符合和糾正措施21 HYPERLINK l bookmark66 o Current Document 10.2持續(xù)改進(jìn)22 HYPERLINK l bookmar

8、k68 o Current Document 10.3糾正措施23 HYPERLINK l bookmark70 o Current Document 4預(yù)防措施23 HYPERLINK l bookmark72 o Current Document 附錄1-組織簡介24附錄2-組織架構(gòu)圖25 HYPERLINK l bookmark74 o Current Document 附錄4-信息安全小組成員29附錄5-服務(wù)器拓?fù)鋱D29 HYPERLINK l bookmark78 o Current Document 附錄6-信息安全職責(zé)說明301概述1.1頒布令為提高我公司的信息安全管理水平，保障

9、公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息 安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失, 我公司開展貫徹GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系 要求 標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制訂了深圳市XXX科 技有限公司信息安全管理手冊(cè)。信息安全管理手冊(cè)經(jīng)評(píng)審后，現(xiàn)予以批準(zhǔn)發(fā)布。信息安全管理手冊(cè)的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體 系標(biāo)準(zhǔn)的要求和公司信息安全管理手冊(cè)所描述的規(guī)定，不斷增強(qiáng)持續(xù)滿足顧客要求、 相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的自助

10、服 務(wù)終端軟硬件的研發(fā)及運(yùn)行維護(hù)服務(wù)，以確立公司在社會(huì)上的良好信譽(yù)。信息安全管理手冊(cè)是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客 提供服務(wù)過程必須遵循的行動(dòng)準(zhǔn)則。信息安全管理手冊(cè)一經(jīng)發(fā)布，就是強(qiáng)制性文件, 全體員工必須認(rèn)真學(xué)習(xí)、切實(shí)執(zhí)行。深圳市XXX科技有限公司總經(jīng)理：2021-8-31. 2任命書任命書為貫徹執(zhí)行GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系 要求， 加強(qiáng)對(duì)信息管理體系運(yùn)行的領(lǐng)導(dǎo)，特任命*為公司管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1）確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管

11、理體系；2）負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3）確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；4）審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5）批準(zhǔn)發(fā)布程序文件；6）主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；7）向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理 體系運(yùn)行情況、內(nèi)外部審核情況。本任命書自任命日起生效執(zhí)行。深圳市XXX科技有限公司總經(jīng)理：2021-8-31.3手冊(cè)說明3. 1總則信息安全管理手冊(cè)的編制，是用以證明已建立并實(shí)施了一個(gè)完整的文件 化的信息安全管理體系。通過對(duì)各項(xiàng)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別出公司的關(guān)鍵資產(chǎn)， 并根據(jù)資產(chǎn)的不同級(jí)別風(fēng)險(xiǎn)采取與之相

12、對(duì)應(yīng)的處理措施。信息安全管理手冊(cè)為審核信息安全管理體系提供了文件依據(jù)。信息安全管理手冊(cè)證明公司已經(jīng)按照GB/T 22080-2016 idt IS0/IEC 27001:2013標(biāo)準(zhǔn)的要求建立并實(shí)際運(yùn)行一套信息安全管理體系。信息安全管理 手冊(cè)的編制及頒布可以對(duì)公司信息安全管理各項(xiàng)活動(dòng)進(jìn)行控制，指導(dǎo)公司開展 各項(xiàng)業(yè)務(wù)活動(dòng)，并通過不斷的持續(xù)改進(jìn)來完善信息安全管理體系。1. 3. 2信息安全管理手冊(cè)的批準(zhǔn)管理者代表負(fù)責(zé)組織信息安全小組編制信息安全管理手冊(cè)及其相關(guān)規(guī)章 制度，總經(jīng)理負(fù)責(zé)批準(zhǔn)。1.3.3信息安全管理手冊(cè)的發(fā)放、作廢與銷毀（1）綜合管理部負(fù)責(zé)按文件控制程序的要求，進(jìn)行信息安全管理手 冊(cè)的登

13、記、發(fā)放、回收、歸檔、作廢與銷毀工作。（2）各相關(guān)部門按照受控文件的管理要求對(duì)收到的信息安全管理手冊(cè) 進(jìn)行使用和保管。（3）綜合管理部按照規(guī)定發(fā)放修改后的信息安全管理手冊(cè)，并收回失 效的文件做出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性。（4）綜合管理部保留信息安全管理手冊(cè)修改內(nèi)容的記錄。1. 3. 4信息安全管理手冊(cè)的修改信息安全管理手冊(cè)如根據(jù)實(shí)際情況發(fā)生變化時(shí)，應(yīng)用信息安全體系相關(guān) 部門提出申請(qǐng)，經(jīng)綜合管理部討論、商議，信息安全代表審核、總經(jīng)理批準(zhǔn)后方 可進(jìn)行修改。為保證修改后的手冊(cè)能夠及時(shí)發(fā)放給相關(guān)人員，綜合管理部對(duì)手冊(cè) 實(shí)施修改后，應(yīng)及時(shí)發(fā)布修改信息，通知相關(guān)人員。信息安全管理手冊(cè)的修改分為兩

14、種：一是少量的文字性修改。此種修改不改變手冊(cè)的版本號(hào)，只需在本手冊(cè)的“文 檔修改記錄”如實(shí)記錄即可，不需保存手冊(cè)修改前的文檔原件。二是大范圍的信息安全管理體系版本升級(jí)，即改版。在本手冊(cè)經(jīng)過多次修改、 信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況 下，需要對(duì)本手冊(cè)進(jìn)行改版。本手冊(cè)的改版應(yīng)該對(duì)改版前的信息安全管理手冊(cè) 原件進(jìn)行保存。在出現(xiàn)下列情況時(shí)，信息安全管理手冊(cè)可以進(jìn)行修改：信息安全管理體系運(yùn)行過程中發(fā)現(xiàn)問題或信息安全管理體系需進(jìn)一步改 進(jìn)內(nèi)部信息安全提出新的需求組織機(jī)構(gòu)和職能發(fā)生變化經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整發(fā)現(xiàn)本手冊(cè)中存在差錯(cuò)或不明確之處引用的法規(guī)或體系標(biāo)準(zhǔn)有修改體

15、系審核或管理評(píng)審提出改進(jìn)要求本手冊(cè)的更改控制按文件管理程序執(zhí)行1.3.5信息安全管理手冊(cè)的換版信息安全管理手冊(cè)進(jìn)行換版，換版應(yīng)在管理評(píng)審時(shí)形成決議，重新編制、 審批工作。 當(dāng)依據(jù)的GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系有 重大變化時(shí)，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改 變的。相應(yīng)的法律法規(guī)發(fā)生重大變化時(shí)，如國家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生 改變的。信息安全管理手冊(cè)發(fā)生需修改部分超過1/3時(shí)。信息安全管理手冊(cè)執(zhí)行已滿三年時(shí)。1.3.6信息安全管理手冊(cè)的控制（1）信息安全管理手冊(cè)標(biāo)識(shí)分受控文件和非受控文件：受控文件發(fā)放范圍

16、為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計(jì)部或者內(nèi)審員。 非受控文件印制成單行本，作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。（2）信息安全管理手冊(cè)分為書面文件和電子文件兩種。2規(guī)范性引用文件GB/T 22080-2016信息技術(shù) 安全技術(shù)信息安全管理體系要求；GB/T 22081-2016信息安全管理實(shí)用規(guī)則；與公司運(yùn)營相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。3術(shù)語和定義本手冊(cè)采用GB/T 22080-2016 idt IS0/IEC 27001:2013標(biāo)準(zhǔn)的術(shù)語和定義，并根 據(jù)需要在相應(yīng)章節(jié)所描述的要求中，增補(bǔ)了所涉及的術(shù)語和定義；本手冊(cè)出現(xiàn)的術(shù)語“產(chǎn)品”指的是公司提供的產(chǎn)品和服務(wù)； ISM

17、S-Integrated Management System的縮寫，代表信息安全管理體系；4組織環(huán)境4.1理解組織及其環(huán)境公司定期識(shí)別和信息安全管理目標(biāo)相關(guān)，并影響實(shí)現(xiàn)信息安全管理預(yù)期結(jié)果的內(nèi)外 部問題。2理解相關(guān)方的需求和期望本公司確定：a）與ISMS有關(guān)的相關(guān)方；b）這些相關(guān)方與信息安全有關(guān)的要求。3確定ISMS的范圍應(yīng)用范圍：本信息安全管理手冊(cè)規(guī)定了深圳市XXX科技有限公司信息安全管理體系 涉及的開發(fā)和維護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評(píng)審和信息安全管理 體系持續(xù)改進(jìn)等方面內(nèi)容。產(chǎn)品和服務(wù)范圍：與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)相關(guān)的信息安全管理 活動(dòng)區(qū)域范圍：廣東省深圳市八

18、卦嶺八卦路31號(hào)眾鑫科技大廈1310室 組織機(jī)構(gòu)范圍：管理層、技術(shù)部、銷售部、綜合管理部4信息安全管理體系4. 1總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、持續(xù)改進(jìn)信息管理管理體系，提高全 員的信息安全意識(shí)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，使全公司貫徹落實(shí)安全方針 和各項(xiàng)安全措施，保護(hù)用戶信息和資料，保證的信息資產(chǎn)免遭破壞，降低可能影 響到信息安全的各種風(fēng)險(xiǎn)，防止安全事故的發(fā)生。同時(shí)確保全體員工理解并遵守 執(zhí)行信息安全管理體系文件，持續(xù)改進(jìn)信息安全管理體系的有效性，樹立公司良 好的服務(wù)形象，增強(qiáng)用戶對(duì)公司的技術(shù)和管理水平的信心，保證公司業(yè)務(wù)可持續(xù) 開展，特制定本信息安全管理手冊(cè)。4. 2 ISMS體系

19、過程方法計(jì)劃并建立相關(guān)方/第三方相關(guān)方/第三方監(jiān)控并評(píng)審實(shí)施并運(yùn)行信息安全管理5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾總經(jīng)理領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職責(zé)和作用。制定信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。向公司傳達(dá)滿足信息安全目標(biāo)以及信息安全方針，以及法律責(zé)任和持續(xù)改進(jìn)的重 要性。提供足夠的資源建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、為何和改進(jìn)ISMS；決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí)；確保按照標(biāo)準(zhǔn)嚴(yán)格執(zhí)行ISMS內(nèi)部審核并進(jìn)行管理評(píng)審。5.2 ISMS管理方針一、信息安全管理方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行， 實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)

20、組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn) 和技術(shù)確定了信息安全管理體系方針：滿足客戶要求，保障信息安全，遵守法律法規(guī)，持續(xù)改進(jìn)管理。二、信息安全管理目標(biāo)針對(duì)客戶信息安全事件的投訴每年不超過1次重要信息設(shè)備丟失每年不超過1起機(jī)密和絕密信息泄漏事件每年不超過1次三、信息安全管理適用范圍本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三 方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。3組織架構(gòu)、職責(zé)和權(quán)限3. 1 ISMS管理體系組織架構(gòu)圖附錄2-組織架構(gòu)圖3.2 ISMS管理職能分配見附錄3-職能分配表3. 3職責(zé)和權(quán)限見附錄8-信息安全職責(zé)說明6規(guī)劃1風(fēng)險(xiǎn)和機(jī)遇的應(yīng)對(duì)措施信息安全

21、小組組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該 計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)和給予，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適 當(dāng)?shù)拇胧嚎刂骑L(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施。接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；避免風(fēng)險(xiǎn)（如物理隔離）；轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。2信息安全目標(biāo)及其實(shí)現(xiàn)規(guī)劃2. 1公司在相關(guān)職能、層次和信息安全管理體系所需的過程建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a）與信息安全方針保持一致b）可測(cè)量；c）考慮適用的要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果；d）得到溝通；e）適時(shí)更新。組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化

22、信息。2.2在策劃信息安全目標(biāo)的實(shí)現(xiàn)時(shí)，公司確定：a）采取的措施；b）所需的資源（見7.1）；c）責(zé)任人；d）完成的時(shí)間表；e）如何評(píng)價(jià)結(jié)果。7支持7.1資源1. 1總則總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實(shí)施、保持和改進(jìn)ISMS管理體系所需的 資源，應(yīng)考慮現(xiàn)有的資源、能力、局限；1.2基礎(chǔ)設(shè)施組織應(yīng)識(shí)別、提供并保持實(shí)現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施，這些設(shè)施包括：工作場(chǎng)所相應(yīng)的設(shè)施（辦公電腦、服務(wù)器、軟硬件、機(jī)房等）；服務(wù)過程設(shè)備，如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)（軟 件）等；維修保養(yǎng)和保障設(shè)施（各種輔助設(shè)施、安全防護(hù)設(shè)施等）；支持性服務(wù)，如運(yùn)輸、通訊信息系統(tǒng)等。1.

23、3過程環(huán)境公司各部門應(yīng)識(shí)別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素，并對(duì)其加以有效的控 制，保證提供產(chǎn)品/服務(wù)過程中的人員、財(cái)產(chǎn)安全。過程環(huán)境可包括物理的、社會(huì)的、心理的和環(huán)境的因素。1. 4監(jiān)視和測(cè)量設(shè)備對(duì)照國際或國家的測(cè)量標(biāo)準(zhǔn)，在規(guī)定的時(shí)間間隔或在使用前進(jìn)行校準(zhǔn)和檢定，如果 沒有上述標(biāo)準(zhǔn)的，應(yīng)記錄校準(zhǔn)或檢定（驗(yàn)證）的依據(jù)，以確保下列設(shè)備處于正常狀態(tài)：開發(fā)用途的電腦設(shè)備；測(cè)試用途的電腦設(shè)備；開發(fā)用途的軟件；測(cè)試用途的軟件；集成項(xiàng)目使用的設(shè)備。處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征：設(shè)備的型號(hào)能夠符合預(yù)期的使用目的；無論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài)，設(shè)備均是正常的；設(shè)備得到周期性的養(yǎng)護(hù)和校正，并標(biāo)識(shí)

24、其校準(zhǔn)狀態(tài)；必要時(shí)，各部門使用設(shè)備進(jìn)行測(cè)量前，應(yīng)再次校準(zhǔn)設(shè)備；測(cè)試軟件應(yīng)確認(rèn)其具有滿足預(yù)期用途的能力，初次使用前應(yīng)進(jìn)行確認(rèn)，必要時(shí) 可以進(jìn)行重新確認(rèn)。當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時(shí)，應(yīng)對(duì)以往的測(cè)量結(jié)果進(jìn)行有效性評(píng)價(jià)和記錄，并 對(duì)受影響的產(chǎn)品采取適當(dāng)?shù)拇胧?。校?zhǔn)和檢定結(jié)果的記錄應(yīng)予保存。7. 1. 5知識(shí)公司應(yīng)確保ISMS管理體系運(yùn)行過程中，提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的 知識(shí)。這些知識(shí)應(yīng)得到保持、保護(hù)、需要時(shí)便于獲取。在應(yīng)對(duì)變化的需求和趨勢(shì)時(shí)，組織應(yīng)考慮現(xiàn)有的知識(shí)基礎(chǔ)，確定如何獲取必需的更 多知識(shí)。7. 2能力公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗(yàn)要求，安排人員，以確保影響產(chǎn)品 /服

25、務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要，能勝任其工作。對(duì)于人員的配置，公司人事行政部應(yīng)定崗定編并制定完善的崗位說明文件。公司在員工培訓(xùn)管理程序中對(duì)在職培訓(xùn)、人員的意識(shí)的灌輸和工作能力的增長 作了要求，以便：確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員（包含營銷、服務(wù)提供、質(zhì)量檢 查、IT開發(fā)、顧客溝通、顧客信息反饋等）所必須的工作能力及培訓(xùn)需求；提供培訓(xùn)或采取其他措施，以滿足所確定的需求并確保達(dá)成必須的能力；對(duì)培訓(xùn)的有效性進(jìn)行評(píng)價(jià)；確保員工能意識(shí)到他們工作的相關(guān)性和重要性，以及他們?nèi)绾螢檫_(dá)到ISMS目標(biāo) 做出努力；保存有關(guān)教育、經(jīng)驗(yàn)、培訓(xùn)、資格的適當(dāng)?shù)挠涗洝?. 3意識(shí)公司應(yīng)確保工作的人員意識(shí)

26、到： ISMS管理方針；相關(guān)的信息安全目標(biāo)；他們對(duì)信息安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)績效的益處；偏離信息安全管理體系要求的后果。7. 4溝通管理者代表為信息安全溝通交流主管部門，負(fù)責(zé)內(nèi)、外部信息的交流與管理，及時(shí) 將信息進(jìn)行處理傳遞給有關(guān)部門。各部門負(fù)責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝 通交流工作，收集與外部相關(guān)方的信息資料，并保存回復(fù)的證據(jù)。7. 4. 1內(nèi)部信息信息安全方針、目標(biāo)及實(shí)施方案資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估職責(zé)與權(quán)限的傳達(dá)與落實(shí)培訓(xùn)教育的實(shí)施與效果監(jiān)控與測(cè)量結(jié)果的反饋及法律、法規(guī)的符合情況不符合的糾正和預(yù)防措施的執(zhí)行情況緊急狀態(tài)下的信息等7. 4. 2外部信息信息安全方針通報(bào)相關(guān)方

27、，對(duì)外宣傳；法律、法規(guī)的獲取與監(jiān)測(cè)及執(zhí)法部門的聯(lián)絡(luò)；監(jiān)控、檢測(cè)結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù)；認(rèn)證與監(jiān)督審核；7. 4.3管理者代表應(yīng)與相關(guān)方就影響他們的信息安全的變更進(jìn)行協(xié)商。公司制定信 息安全溝通協(xié)調(diào)管理程序規(guī)范信息安全溝通過程，必要時(shí)，保留信息交流相關(guān)證據(jù)。7. 5文件記錄信息7. 5. 1文件體系結(jié)構(gòu)信息安全管理體系的文件由上而下分為四個(gè)層次，如下圖所示：表單記錄信息安全管理體系文件包括：（1）管理手冊(cè)（信息安全手冊(cè)、信息安全策略）：規(guī)定信息安全管理體系的文件, 是公司內(nèi)部的信息安全法規(guī)，闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu) 和職責(zé)權(quán)限，同時(shí)描述了信息安全管理體系的主體文件（

28、程序文件），是信息安全管理 體系的綱領(lǐng)性文件。（2）程序文件：是信息安全手冊(cè)的支持性文件，規(guī)定了實(shí)施與信息安全管理體系 有關(guān)的各項(xiàng)活動(dòng)的途徑和方法，是各項(xiàng)活動(dòng)得以有效實(shí)施的保障。與信息安全管理體系 有關(guān)的各項(xiàng)活動(dòng)必須按照程序文件規(guī)定實(shí)施，并定期對(duì)其進(jìn)行評(píng)審，保持其有效性。（3）作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計(jì)劃等：是現(xiàn)場(chǎng)或崗位使用的詳細(xì)工作文件，是 程序文件的支撐和補(bǔ)充性文件，是信息安全管理體系過程得以有效策劃、運(yùn)行、控制所 需要的文件，也是信息安全活動(dòng)的基礎(chǔ)文件。（4）表單記錄：通過表單模板，對(duì)信息安全管理體系實(shí)施的一系列活動(dòng)進(jìn)行規(guī)范, 形成記錄文件，用于作為管理評(píng)審、內(nèi)部審核、外部審核、持續(xù)改進(jìn)

29、的客觀證據(jù)。信息安全手冊(cè)、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、表單記錄等四層文件由信息 安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。支持文件：文件控制程序7. 5. 2文件控制綜合管理部組織編制文件控制程序，確保信息安全管理體系的文件在以下幾個(gè) 方面得到控制：（1）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分與適宜的。（2）管理體系文件應(yīng)定期進(jìn)行評(píng)審、修訂完善，并再次批準(zhǔn)以保持文件要求與實(shí) 際運(yùn)作的一致性，充分保障文件的有效性、充分性和適宜性。（3）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別。（4）確保在使用處可獲得適用文件的有關(guān)版本。（5）確保文件保持清晰、易于識(shí)別。（6）確保綜合管理部確定的體系所需的外來文件

30、得到識(shí)別，并控制其分發(fā)。（7）防止作廢文件的非預(yù)期使用，若因任何原因而保留作廢文件時(shí)，對(duì)這些文件 進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。（8）具體執(zhí)行按文件控制程序的規(guī)定，對(duì)文件的審核、批準(zhǔn)、發(fā)布、變更、 修改、廢止等環(huán)節(jié)進(jìn)行控制。支持文件：文件控制程序7. 5. 3記錄控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的依據(jù)，對(duì)記錄的 標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)進(jìn)行了規(guī)定，各部門應(yīng)根據(jù)記錄控制程 序的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?，具體記錄如下：（1）建立并保持記錄，以提供符合要求和信息安全管理體系有效運(yùn)行的證據(jù)。（2）保護(hù)并控制記錄。信息安全管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任

31、。記 錄應(yīng)保持合法，易于識(shí)別和檢索。（3）編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和 處置所需的控制。（4）記錄的要求和管理：真實(shí)、完整、字跡清晰，可識(shí)別是何種產(chǎn)品或項(xiàng)目的何種活動(dòng)。填寫及時(shí)、禁止未經(jīng)許可的更改。各部門應(yīng)對(duì)本部門的記錄自行歸檔保存，保存環(huán)境應(yīng)適宜，以防止記錄損壞、 變質(zhì)和丟失，保管方式便于存取和檢索。記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點(diǎn)、法規(guī)要求及合同要求來決定，見“記錄清 單”。超過保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進(jìn)行處置。支持文件：記錄控制程序8運(yùn)行& 1運(yùn)行的策劃和控制公司規(guī)定了實(shí)現(xiàn)與計(jì)算機(jī)應(yīng)用軟件的設(shè)計(jì)、開發(fā)及售后服務(wù)所需的過程，這些過程 與公司ISM

32、S管理體系中的其他要求相一致并對(duì)其順序和相互作用予以確定。公司識(shí)別 每一過程對(duì)滿足客戶服務(wù)要求的能力的影響，并確保營運(yùn)活動(dòng)中每個(gè)質(zhì)量特性都受到有 效控制。1. 1 ISMS運(yùn)行總要求實(shí)現(xiàn)過程的策劃中應(yīng)明確：質(zhì)量目標(biāo)和要求；明確各崗位的信息安全職責(zé)；服務(wù)標(biāo)準(zhǔn)明確過程控制的準(zhǔn)則和方法，制定必要的作業(yè)指導(dǎo)文件，為產(chǎn)品和服務(wù)實(shí)現(xiàn)提供 資源和設(shè)施，保證其所需的工作環(huán)境；保留服務(wù)過程提供及過程測(cè)量和檢查結(jié)果的記錄。經(jīng)識(shí)別公司沒有外包過程。對(duì)于公司的服務(wù)商，綜合管理部按照第三方服務(wù)管理程 序進(jìn)行管理。& 2信息安全風(fēng)險(xiǎn)評(píng)估2. 1風(fēng)險(xiǎn)評(píng)估的方法信息安全小組負(fù)責(zé)組織編制信息安全風(fēng)險(xiǎn)管理程序，建立識(shí)別適用于信息

33、安全 管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，在決定風(fēng)險(xiǎn)的可 接受范圍內(nèi)，采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施。2. 2識(shí)別風(fēng)險(xiǎn)在信息安全管理體系范圍內(nèi)，對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別評(píng)價(jià)，識(shí)別資產(chǎn)面臨的威脅 以及脆弱性、識(shí)別保密性完整性和可用性對(duì)資產(chǎn)造成的影響程度、識(shí)別資產(chǎn)面臨的風(fēng)險(xiǎn), 并通過這些項(xiàng)目的風(fēng)險(xiǎn)標(biāo)識(shí)推算出對(duì)重要資產(chǎn)造成的影響。2. 3分析和評(píng)價(jià)風(fēng)險(xiǎn)針對(duì)每一項(xiàng)信息資產(chǎn)，識(shí)別出其面臨的所有威脅，并考慮現(xiàn)有的控制措施，識(shí)別出 被該威脅可能利用的薄弱點(diǎn)。針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判斷安全失 效發(fā)生的可能性。根據(jù)信息安全風(fēng)險(xiǎn)管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)以及風(fēng)險(xiǎn)接

34、受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接 受或需要處理。8. 2. 4識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇項(xiàng)目風(fēng)險(xiǎn)的識(shí)別貫穿整個(gè)業(yè)務(wù)活動(dòng)過程，明確哪些風(fēng)險(xiǎn)可能影響項(xiàng)目造成影響、記 錄這些風(fēng)險(xiǎn)的各方面特征。在記錄風(fēng)險(xiǎn)的基礎(chǔ)上對(duì)項(xiàng)目進(jìn)行初步分析，依據(jù)影響對(duì)項(xiàng)目風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。綜合管理部根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成信息安全風(fēng)險(xiǎn)評(píng)估表(含風(fēng)險(xiǎn)處理計(jì)劃)，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處理策略，具體 措施如下：適時(shí)適當(dāng)?shù)目刂拼胧?2)規(guī)避風(fēng)險(xiǎn),采取有效的控制措施避免風(fēng)險(xiǎn)的發(fā)生。(3)接受風(fēng)險(xiǎn),在一定程度上有意識(shí)、有目的地接受風(fēng)險(xiǎn)。(4)風(fēng)險(xiǎn)轉(zhuǎn)移,轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面。(5)消減風(fēng)險(xiǎn),通過適當(dāng)?shù)目刂拼胧┙?/p>

35、低風(fēng)險(xiǎn)發(fā)生的可能性。& 3信息安全風(fēng)險(xiǎn)處置組織應(yīng)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。詳見信息安全風(fēng)險(xiǎn)管理程序& 3. 1相關(guān)文件信息安全風(fēng)險(xiǎn)管理程序9績效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)為了保證服務(wù)的符合性及實(shí)施必要的改進(jìn)，應(yīng)規(guī)定、策劃和實(shí)施所需的測(cè)量和監(jiān)視 活動(dòng)。在策劃時(shí)，應(yīng)確定統(tǒng)計(jì)技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視和測(cè)量的 過程和措施包括：客戶滿意度測(cè)量、過程的監(jiān)視和測(cè)量、產(chǎn)品的監(jiān)視和測(cè)量。綜合管理部應(yīng)組織相關(guān)部門，對(duì)質(zhì)量服務(wù)信息安全措施的績效和體系的有效性進(jìn)行 評(píng)價(jià)。綜合管理部應(yīng)與各部門協(xié)調(diào)，根據(jù)公司管理的實(shí)際需要，建立恰當(dāng)?shù)亩攘矿w系，以 度量員工、

36、項(xiàng)目組的工作業(yè)績。由綜合管理部組織實(shí)施監(jiān)視和測(cè)量，每年至少一次對(duì)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析 和評(píng)價(jià)，由總經(jīng)理以及各部門經(jīng)理分析和評(píng)價(jià)這些結(jié)果，保留相關(guān)的監(jiān)視和測(cè)量證據(jù)。 9.2內(nèi)部審核公司應(yīng)按計(jì)劃的時(shí)間要求進(jìn)行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過程 和程序是否:符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求；符合確定的信息安全要求；得到有效地實(shí)施和維護(hù)；按期望運(yùn)行。內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃，并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次 審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動(dòng)應(yīng)保證審核 過程的客觀和公正，審核員不能審核自己的工作。3管理評(píng)審3. 1總則為確保信息安全管理體系

37、持續(xù)運(yùn)行，具體如下：（1）管理者代表組織并編制管理評(píng)審程序，指導(dǎo)管理評(píng)審工作的執(zhí)行。（2）管理評(píng)審由最高管理者或其授權(quán)人員組織，每年至少一次。一般情況下，采 取會(huì)議的形式，安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時(shí)，應(yīng)及時(shí)進(jìn)行管理評(píng)審：公司管理體系發(fā)生重大變化。國家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。外審之前。其他認(rèn)為需要評(píng)審時(shí)。（3）各部門負(fù)責(zé)均需參加管理評(píng)審活動(dòng)，需要時(shí)，由總經(jīng)理或其授權(quán)人員決定具 體的參加人員。（4）管理評(píng)審會(huì)議的決議事項(xiàng)以會(huì)議紀(jì)要形式體現(xiàn)，由各相關(guān)部門負(fù)責(zé)配合執(zhí)行, 并對(duì)執(zhí)行狀況予以跟蹤評(píng)估。3. 2評(píng)審輸入在管理評(píng)審時(shí)，管理者代表應(yīng)組織各相關(guān)部門提供以下資料，以供評(píng)審：a）

38、以往管理評(píng)審的措施的狀態(tài)；b）與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；c）信息安全績效的反饋，包括下列方面的趨勢(shì)：1）不符合和糾正措施；2）監(jiān)視和測(cè)量結(jié)果；3）審核結(jié)果；4）信息安全目標(biāo)的實(shí)現(xiàn)；d）相關(guān)方的反饋；e）風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f）持續(xù)改進(jìn)的機(jī)會(huì)。3. 3評(píng)審輸出按照信息安全管理與安全方針和目標(biāo)對(duì)上述信息進(jìn)行全面的討論、評(píng)價(jià)、分析，管 理評(píng)審輸出包括以下方面有關(guān)的任何決定和措施：（1）信息安全管理體系有效性的改進(jìn)，應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè) 務(wù)需求的業(yè)務(wù)過程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)接受等級(jí)等。（2）信息安全管理方針和目標(biāo)的修訂。（3）與

39、相關(guān)方/第三方有關(guān)的改進(jìn)措施等。（4）風(fēng)險(xiǎn)的等級(jí)或可接受風(fēng)險(xiǎn)的水平，更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估表等。（5）業(yè)務(wù)需求的變更。（6）安全需求的變更。（7）資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程；（8）法律法規(guī)的環(huán)境。（9）改進(jìn)測(cè)量控制措施有效性的方式。（10）對(duì)現(xiàn)有信息安全管理體系的評(píng)價(jià)結(jié)論以及對(duì)現(xiàn)有服務(wù)是否符合要求的評(píng)價(jià)。 以上內(nèi)容的詳細(xì)規(guī)定見管理評(píng)審程序。公司應(yīng)保留文件記錄作為管理評(píng)審結(jié)果的證據(jù)。10.1不符合和糾正措施當(dāng)發(fā)生不符合時(shí)，應(yīng)：對(duì)不符合作出反應(yīng)，采取措施控制并糾正不符合；處理不符合造成的后果；評(píng)價(jià)消除不符合原因的措施的需求，通過采取以下措施防止不符合再次發(fā)生或在其他區(qū)域發(fā)生：評(píng)審不符合

40、;確定不符合的原因；確定類似不符合是否存在，或可能潛在發(fā)生實(shí)施所需的措施；評(píng)審所采取糾正措施的有效性； 必要時(shí)，對(duì)體系實(shí)施變更。應(yīng)將以下信息形成文件：不符合的性質(zhì)及隨后采取的措施 糾正措施的結(jié)果上述要求參見糾正措施控制程序。2持續(xù)改進(jìn)通過制定和改進(jìn)管理方針和管理目標(biāo)、進(jìn)行管理評(píng)審、進(jìn)行內(nèi)部/外部審核、落實(shí) 糾正與預(yù)防措施工作、對(duì)信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全 管理體系的改進(jìn)工作，必要時(shí)征求所有相關(guān)方對(duì)管理體系的意見，從而保證管理體系的 持續(xù)有效性和運(yùn)行效率。關(guān)注客戶的投訴、抱怨、記錄、評(píng)估服務(wù)改進(jìn)建議，制定服務(wù)改進(jìn)計(jì)劃，評(píng)估服務(wù) 改進(jìn)情況，確保各項(xiàng)服務(wù)改進(jìn)措施均已落實(shí)執(zhí)

41、行，并實(shí)現(xiàn)預(yù)期的目標(biāo)，從而改進(jìn)完善服 務(wù)過程，提升服務(wù)質(zhì)量，提高客戶的滿意度。規(guī)定各部門在持續(xù)改進(jìn)活動(dòng)中的角色和職責(zé)，并從服務(wù)過程的所有方面考慮服務(wù)改 進(jìn)要求。計(jì)劃通過以下途徑持續(xù)改進(jìn)信息安全管理的有效性：（1）通過信息安全管理體系方針的建立與實(shí)施，對(duì)持續(xù)改進(jìn)做出正式的承諾。（2）通過信息安全管理體系目標(biāo)的建立與實(shí)施，對(duì)持續(xù)改進(jìn)進(jìn)行評(píng)價(jià)。（3）通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進(jìn)的機(jī)會(huì)并予以實(shí)施。（4）通過數(shù)據(jù)分析不斷尋求改進(jìn)的機(jī)會(huì)，并做出適當(dāng)?shù)母倪M(jìn)活動(dòng)安排。（5）通過實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)的活動(dòng)。（6）監(jiān)控安全事件并對(duì)事件進(jìn)行分析。（7）確定糾正措施和預(yù)防措施的有效性。（8）根據(jù)管理評(píng)

42、審的結(jié)果尋求改進(jìn)體系的機(jī)會(huì)。（9）根據(jù)客戶滿意度調(diào)查尋求改進(jìn)體系的機(jī)會(huì)。支持文件:糾正措施控制程序預(yù)防措施控制程序內(nèi)部審核管理程序3糾正措施對(duì)于發(fā)現(xiàn)的不合格項(xiàng)，不僅要求責(zé)任人要糾正不合格行為，而且為了消除不合格項(xiàng)、 與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因，人事行政部要求責(zé)任人應(yīng)該制定糾正措 施，以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求：（1）識(shí)別實(shí)施和運(yùn)行信息安全管理體系的不合格事件。（2）分析并確定不合格的原因。（3）評(píng)價(jià)確保不合格不再發(fā)生的相關(guān)因素。（4）確定和實(shí)施所需的糾正措施。（5）檢查、驗(yàn)證糾正措施的結(jié)果。（6）評(píng)審所采取的糾正措施的有效性。支持文件：糾正措施控制程序

43、預(yù)防措施控制程序內(nèi)部審核管理程序4預(yù)防措施在信息安全管理體系運(yùn)行的過程中，通過日常的過程控制、結(jié)果驗(yàn)證、體系審核等 方式發(fā)現(xiàn)的一些可能影響體系運(yùn)行的、不受控制將會(huì)導(dǎo)致不合格產(chǎn)生的安全事件，應(yīng)該 及時(shí)采取預(yù)防措施控制事態(tài)的進(jìn)一步擴(kuò)大。預(yù)防措施應(yīng)該滿足如下幾方面的要求：（1）識(shí)別潛在的信息安全事件及其原因，并確定。（2）評(píng)價(jià)預(yù)防不合格發(fā)生的措施的需求。（3）確定和實(shí)施所需的預(yù)防措施。（4）評(píng)價(jià)預(yù)防措施的有效性，并對(duì)所采取措施的結(jié)果進(jìn)行記錄。（5）識(shí)別并控制重大的已變更的防線。支持文件：糾正措施控制程序預(yù)防措施控制程序附錄1-組織簡介深圳市X X X科技有限公司是一家總部位于中國深圳的全方位IT及解

44、決方案服務(wù) 提供商。主要致力于航空領(lǐng)域，提供航空IT產(chǎn)品、IT服務(wù)及解決方案、航空教育的一 體化專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系，不斷吸取各方 先進(jìn)技術(shù)與管理經(jīng)驗(yàn)，打造了一支經(jīng)驗(yàn)豐富的管理團(tuán)隊(duì)。在堅(jiān)持高品質(zhì)的產(chǎn)品質(zhì)量、雄 厚的技術(shù)力量的支持下，研發(fā)了多項(xiàng)擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品，同時(shí)具備了向市場(chǎng)提供 綜合化服務(wù)的實(shí)力。我們的服務(wù)：公司一直堅(jiān)持“滿足客戶的需求就是我們的追求的服務(wù)”宗旨，我們 將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位的IT服務(wù)，提升客戶的企業(yè)價(jià)值，提高客戶的市 場(chǎng)競爭力。技術(shù)實(shí)力：公司擁有蓬勃向上，充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心，海外留學(xué)背景, 多年IT研發(fā)、管理經(jīng)濟(jì)的

45、高層管理團(tuán)隊(duì)；經(jīng)驗(yàn)豐富的研發(fā)團(tuán)隊(duì)一為客戶提供專業(yè)的IT 只是支持。發(fā)展戰(zhàn)略：提供自主研發(fā)的一流軟件和服務(wù)，持續(xù)為客戶創(chuàng)造最大價(jià)值核心價(jià)值觀 公司理念：幫助客戶創(chuàng)造價(jià)值，幫助員工實(shí)現(xiàn)夢(mèng)想誠信：最重要的無形資產(chǎn)，是我們贏得客戶信任的基礎(chǔ)專注：建立核心競爭力的關(guān)鍵創(chuàng)新：企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)附錄2-組織架構(gòu)圖附錄3-職能分配表管理單位體系要求信息安全小組總經(jīng)理管理者代表綜合管理部技術(shù)部銷售部4.組織環(huán)境4. 1理解組織及其環(huán)境4.2理解相關(guān)方的需求和期望4.3明確信息安全管理體系的范圍4. 4信息安全管理體系5領(lǐng)導(dǎo)5. 1領(lǐng)導(dǎo)和承諾5. 2方針5.3組織角色、職責(zé)和權(quán)力6計(jì)

46、劃6. 1處置風(fēng)險(xiǎn)和機(jī)遇6.2信息安全目標(biāo)的計(jì)劃和實(shí)現(xiàn)7支持7.1資源7.2能力7. 3意識(shí)7. 4溝通7. 5文檔要求8實(shí)施8. 1運(yùn)行計(jì)劃和控制& 2信息安全風(fēng)險(xiǎn)評(píng)估& 3信息安全風(fēng)險(xiǎn)處置9績效評(píng)價(jià)9. 1監(jiān)視、測(cè)量、分析和評(píng)價(jià)9.2內(nèi)部審核9.3管理評(píng)審10改進(jìn)10. 1不符合項(xiàng)和糾正措施10.2持續(xù)改進(jìn)A. 5信息安全策略A. 5. 1信息安全管理指導(dǎo)A.6信息安全組織A. 6.1內(nèi)部組織A. 6. 2移動(dòng)設(shè)備和遠(yuǎn)程辦公A. 7人力資源安全A. 7. 1任用前A. 7. 2任用中A. 7.3任用終止和變更A. 8資產(chǎn)管理A. 8. 1資產(chǎn)的責(zé)任A. 8. 2信息分類A. 8. 3介質(zhì)處

47、理A. 9訪問控制A. 9. 1訪問控制的業(yè)務(wù)需求A. 9.2用戶訪問管理A. 9. 3用戶責(zé)任A. 9. 4系統(tǒng)和應(yīng)用訪問控制A. 10加密技術(shù)A. 10. 1加密控制A. 11物理和環(huán)境安全A. 11. 1安全區(qū)域A. 11.2設(shè)備安全A. 12操作安全A. 12. 1操作程序及職責(zé)A. 12. 2防范惡意軟件A. 12. 3備份A. 12.4日志記錄和監(jiān)控A. 12. 5操作軟件的控制A. 12. 6技術(shù)脆弱性管理A. 12. 7信息系統(tǒng)審計(jì)的考慮因素A. 13通信安全A. 13. 1網(wǎng)絡(luò)安全管理A. 13. 2信息傳輸A. 14系統(tǒng)的獲取、開發(fā)及維護(hù)A. 14. 1信息系統(tǒng)安全需求A.

48、 14. 2開發(fā)和支持過程的安全A. 14. 3測(cè)試數(shù)據(jù)A. 15供應(yīng)商關(guān)系A(chǔ). 15. 1供應(yīng)商關(guān)系的信息安全A. 15. 2供應(yīng)商服務(wù)交付管理A. 16信息安全事件管理A. 16. 1信息安全事件的管理和改進(jìn)A. 16. 1. 1職責(zé)和程序A. 16. 1. 2報(bào)告信息安全事態(tài)A. 16. 1. 3報(bào)告信息安全弱點(diǎn)A. 16. 1. 4評(píng)估和決策信息安全事件A. 16. 1. 5響應(yīng)信息安全事故A. 16. 1.6從信息安全事故中學(xué)習(xí)A. 16. 1. 7收集證據(jù)A. 17業(yè)務(wù)連續(xù)性管理中的信息安全A. 17. 1信息安全的連續(xù)性A. 17.2冗余A. 18符合性A. 18. 1法律和合同規(guī)定的符合性A. 1& 2信息安全評(píng)審*注：負(fù)責(zé)部門以“”表示；相關(guān)部門以“”表示。附錄4-信息安全小組成員為確保本公司信息安全管理體系的有效運(yùn)行，認(rèn)真貫徹信息安全管理方針，特授權(quán) 以下人員組成信息安全管理小組。成員名單如下：組長：* （總經(jīng)理）執(zhí)行組長：*成 員：綜合管理部：*、銷售部：*、技術(shù)部：*。附錄5-服務(wù)器拓?fù)鋱D服務(wù)器拓?fù)鋱D附錄6-信息安全職責(zé)說明一、總經(jīng)理1、負(fù)責(zé)主持制定本公司的信息安全體系方針和目標(biāo)，確保員工貫徹執(zhí)行；2、制定公司戰(zhàn)略，進(jìn)行經(jīng)營、營銷、項(xiàng)目管理規(guī)劃，承擔(dān)公司的全面經(jīng)營管理工作， 包括人事、行政、財(cái)務(wù)、采購、管理等。3、確保實(shí)現(xiàn)方針和目標(biāo)的