IT-IT-M-0003信息安全管理體系手冊

1、xxxxx有限公公司信息安全全管理手手冊密級機密保密內(nèi)部使使用公開信信息受控狀態(tài)態(tài)受控非受控控2011-12-01頒布 封面 2011-01-01 實施 深圳市xxxx有限公司 信息中心 發(fā)布文件歷史史控制記記錄文件名稱稱信息安全全管理手手冊文件編號號IT-IIT-MM-00003對應OAA文號版次編制與修修訂概要要完成日期期狀態(tài)角色人員編寫初審會簽審核批準前言隨著xxxxx有有限公司司業(yè)務發(fā)發(fā)展日益益增長，信息交交換互連連面也隨隨之增大大，信息息業(yè)務系系統(tǒng)依賴賴性擴大大，所帶帶來的信信息安全全風險和和信息脆脆弱點也也逐漸呈呈現(xiàn)，原原有信息息安全技技術和管管理手段段很難滿足足目前和和未來信信息

2、化安全的的需求，為確保保xxxxx有限限公司信信息及信信息系統(tǒng)統(tǒng)的安全全，使之之免受各各種威脅脅和損害害，保證證各項信信息系統(tǒng)統(tǒng)業(yè)務的的連續(xù)性性，使信信息安全全風險最最小化，xxxxx有限限公司每每年開展展網(wǎng)絡與與信息系系統(tǒng)安全全風險評評估及等等級保護護測評，定期對對等級保保護測評評與風險險評估活活動過程程中的風風險漏洞洞進行全全面整改改，分析析了信息息安全管管理上的的不足與與缺陷，編制了了差距測測評報告告。通過過開展信信息安全全風險評評估和等等級保護護測評，了解xxxxxx有限公公司信息息安全現(xiàn)現(xiàn)狀和未未來需求求，為建建立xxxxx有有限公司司信息安安全管理理體系奠奠定了基基礎。20111年

3、7月開展展信息安安全管理理體系持持續(xù)改進進建設，依據(jù)信信息安全全現(xiàn)狀和和未來信信息安全全需求及及GB/T2220800-20008/ISOO/IEEC2770011:20005信信息安全全管理體體系的標標準要求求，建立立了符合合xxxxx有限限公司信信息安全全管理現(xiàn)現(xiàn)狀和管管理需求求的信息息安全管管理體系系，該體體系覆蓋蓋了GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理體系的的標準要要求122個控制制領域、39個控控制目標標和133個控控制措施施。本手冊是是xxxxx有限限公司信信息安全全管理體體系的綱綱領性文文件，由由信息中中心歸口口負

4、責解解釋。信息安全全管理手手冊頒布布令xxxxx有限公公司（以以下簡稱稱公司）依據(jù)GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理體系標標準要求求，結合合限公司司實際情情況，在在原有的的各項管管理制度度的基礎礎上編制制完成了了xxxxx有有限公司司信息安安全管理理體系手手冊第第一版，現(xiàn)予以以批準實實施。xxxxx有限限公司信信息安全全管理體體系手冊冊是公公司在信信息及信信息系統(tǒng)統(tǒng)安全方方面的規(guī)規(guī)范性文文件，手手冊闡述述了限公公司信息息安全服服務方針針，信息息安全目目標及信信息安全全管理體體系的過過程方法法和策略略，是公司信息息安全管管理體系

5、系建設實實施的綱綱領和行行動準則則，是公司開開展各項項服務活活動的基基本依據(jù)據(jù)；是對對社會各各界證實實我公司司有能力力穩(wěn)定地地提供滿滿足國際際標準信信息安全全要求以以及客戶戶和法律律法規(guī)相相關要求求的有效效證據(jù)。適合公公司信息息化目前前發(fā)展趨趨勢需求求，且內(nèi)內(nèi)容充分分、表達達準確，現(xiàn)予頒頒布。本手冊定定于20011年8月1日起實實施，屬屬強制性性文件，要求各各部門所所有人員員必須正正確理解解并嚴格格貫徹全全面執(zhí)行行。xxxxx有限公公司總經(jīng)理簽簽名：日期： 20111年01月01日公司介紹紹企業(yè)簡介介xxxxx有限公公司（以以下簡稱稱xxxxx）始始創(chuàng)于220022年4月，大大致經(jīng)過過三個發(fā)發(fā)

6、展階段段：第一一階段，20002年20004年年，為創(chuàng)創(chuàng)業(yè)期，全力開開拓市場場，實現(xiàn)現(xiàn)在競爭爭激烈的的行業(yè)中中立足；第二階階段，22004420006年年，為整整合期，整合一一切有效效資源，重力推推出新產(chǎn)產(chǎn)品，奠奠定以優(yōu)優(yōu)質(zhì)產(chǎn)品品占據(jù)市市場的方方向，梳梳理并確確立了經(jīng)經(jīng)營理念念、發(fā)展展愿景、經(jīng)營方方針，完完成了股股份制改改革；第第三階段段，20006至今，為蛻變變期，立立足電氣氣傳動、工業(yè)控控制領域域，為全全球用戶戶提供專專業(yè)化產(chǎn)產(chǎn)品和服服務，于于20110年在在深交所所A股上市市，股票票代碼：00223344，步入入不斷提提升企業(yè)業(yè)核心競競爭力，并實現(xiàn)現(xiàn)飛躍的的階段。目前xxxxx設設有國內(nèi)

7、內(nèi)辦事處處30多個個，海外外辦事處處2個，擁擁有海內(nèi)內(nèi)外經(jīng)銷銷合作伙伙伴上百百家，用用戶遍布布全球550多個個國家和和地區(qū)。xxxxx是國家家級高新新技術企企業(yè)，擁擁有深圳圳市唯一一的“變頻器器工程技技術研究究開發(fā)中中心”。在吸收國國外先進進技術的的基礎上上，結合合近十年年變頻推推廣應用用經(jīng)驗和和當今電電力電子子最新控控制技術術，研制制出高、中、低低壓通用用及各行行業(yè)專用用變頻器器、交流流伺服系系統(tǒng)、制制動單元元、能量量回饋單單元等產(chǎn)產(chǎn)品。并并在市政政、建材材、塑膠膠、油田田、機械械、化工工、冶金金、紡織織、印刷刷、機床床、礦山山等行業(yè)業(yè)廣泛應應用。xxxxx變頻器器產(chǎn)品包包括低壓壓CHAA/

8、CHHV/CCHE/CHFF/各行行業(yè)專用用系列、中壓6660VV/11140VV系列、高壓CCHH（3KVV/6KKV/110KVV）系列列等，功功率范圍圍涵蓋00.480000kWW，滿足足不同行行業(yè)不同同場合的的各種變變頻控制制應用需需求。成熟矢量量控制技技術、各各行業(yè)專專用變頻頻控制技技術的掌掌握以及及國際領領先四象象限控制制技術的的突破使使xxxxx的發(fā)發(fā)展持續(xù)續(xù)領先，成為中中國變頻頻器行業(yè)業(yè)的領導導者。高高性能交交流伺服服系統(tǒng)的的開發(fā)與與成功應應用標志志著xxxxx向向運動控控制領域域的拓展展與延伸伸。xxxxx在“眾誠德德厚、業(yè)業(yè)精志遠遠”的經(jīng)營營理念指指導下，堅持在在不斷創(chuàng)創(chuàng)新

9、、精精益求精精中與包包括員工工、股東東、供應應商、客客戶等廣廣大合作作伙伴共共同發(fā)展展，公司司的自主主創(chuàng)新及及品牌美美譽度在在行業(yè)中中已經(jīng)占占有重要要地位，并得到到社會的的廣泛認認同。企業(yè)文化化經(jīng)營理念念：眾誠誠德厚業(yè)精志志遠愿景：成成為全球球領先、受人尊尊敬的電電氣傳動動、工業(yè)業(yè)控制領領域的產(chǎn)產(chǎn)品和服服務供應應商。使命：竭竭盡全力力提供物物超所值值的產(chǎn)品品和服務務，讓客客戶更有有競爭力力。經(jīng)營方針針：創(chuàng)新新品質(zhì)標準準化共同同發(fā)展核心價值值觀：眾眾誠德厚厚拼搏搏創(chuàng)新人才理念念：人才才是企業(yè)業(yè)第一資資本尊重重人才，經(jīng)營人人才質(zhì)量方針針：提供供不斷優(yōu)優(yōu)化的產(chǎn)產(chǎn)品和服服務，提提高客戶戶滿意度度。企業(yè)

10、標識識：標識釋義義：xxxxx企業(yè)標標徽有兩兩種色彩彩：xxxxx紅紅（M1100 Y880）、xxxxx藍（C1000 M800 K400），紅紅色體現(xiàn)現(xiàn)進取和和活力，藍色象象征包容容和專注注的鉆研研精神。字體設設計簡潔潔、凝聚聚、渾厚厚、擴張張，傳達達xxxxx通過過與合作作伙伴和和員工的的合力凝凝聚堅固固產(chǎn)品品品質(zhì)，厚厚重企業(yè)業(yè)誠信、拼搏創(chuàng)創(chuàng)新、走走向國際際、再創(chuàng)創(chuàng)新高的的思想?！癐NVVT”是變頻頻器（iinveerteer），也是創(chuàng)創(chuàng)新（ HYPERLINK /search?lang=utf-8&s=innovation iinnoovattionn）和美美德（vvirttue）的結

11、合合，是xxxxxx核心價價值觀“眾誠德德厚，拼拼搏創(chuàng)新新”的標識識承載；首字母“i”色彩紅紅藍結合合，強調(diào)調(diào)xxxxx企業(yè)業(yè)個人人與團隊隊、個人人與公司司、xxxxx與與客戶、供應商商的相互互信賴，共同發(fā)發(fā)展；紅色圓點點是旭日日也是星星球，藍藍色體現(xiàn)現(xiàn)企業(yè)所所在地域域濱海海城市深深圳，體體現(xiàn)xxxxx電電氣立足足本土，致力于于成為全全球領先先、受人人尊敬的的電氣傳傳動、工工業(yè)控制制領域產(chǎn)產(chǎn)品/服務供供應商的的遠景目目標。信息安全全管理目目標根據(jù)國家家信息安安全等級級保護要要求、公公司下達達的目標標與指標標、公司司信息化化發(fā)展戰(zhàn)戰(zhàn)略目標標、信息息安全風風險評估估結果、信息用用戶的滿滿意度，結合

12、公公司實現(xiàn)現(xiàn)目標所所需的資資源，識識別公司司的信息息安全目目標與指指標。公司每年年年底制制定下一一年度的的信息安安全目標標與指標標，公司司制定完完成信息息安全目目標與指指標的工工作計劃劃，將目目標、指指標的層層層分解解，并落落實完成成。下列列是詳細細的信息息安全目目標：目標類別別目標項目標值目標換算算方法統(tǒng)計周期信息安全全目標不可接受受風險處處理率100%（不可接接受風險險數(shù)處理理數(shù)/不可受受風險總總數(shù)）1000%年機密信息息泄密事事件0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年秘密信息息泄密事事件0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年特別重大大突發(fā)事事件（級）0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年重大突發(fā)發(fā)事件（級）0次按實際

13、發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年較大突發(fā)發(fā)事件（級）0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年一般突發(fā)發(fā)事件（級）0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年內(nèi)部審核核及管理理評審實實施及時時率100%按計劃實實施年員工入職職培訓完完成率100%（入職員員工參訓訓人數(shù)/入職員員工總數(shù)數(shù)）1000%年信息安全全培訓計計劃完成成率100%（實際培培訓次數(shù)數(shù)/計劃培培訓次數(shù)數(shù)）1000%年信息安全全運行指指標大面積感感染計算算機病毒毒次數(shù)0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年由于網(wǎng)絡絡故障導導致關鍵鍵業(yè)務中中斷次數(shù)數(shù)0次按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年員工保密密協(xié)議簽簽訂率100%（實際簽簽訂人數(shù)數(shù)/入職總總?cè)藬?shù)）1000%年重要信息息備份及及時率100%（實

14、際備備份數(shù)/計劃備備份數(shù)）1000%年內(nèi)部審核核不符合合項整改改率90%（不符合合項整改改完成數(shù)數(shù)/不符合合項總數(shù)數(shù)）1000%年計算機故故障處理理完成率率100%（實際處處理數(shù)/故障總總數(shù)）1000%年容量不足足導致業(yè)業(yè)務故障障次數(shù)3按實際發(fā)發(fā)生次數(shù)數(shù)統(tǒng)計年計算機口口令強度度符合率率100%（帳號符符合數(shù)/帳號總總數(shù)）1000%年注：公司司的信息息安全目目標不限限此，可可根據(jù)各各部門的的實際業(yè)業(yè)務進行行調(diào)整或或分解。信息安全全會議信息安全全會議要要求公司應在在每年一一次的信信息化工工作會議議上，總總結匯報報本年度度的信息息安全工工作情況況。公司應在在每季度度召開的的計算機機管理會會議中，總結

15、本本季度的的信息安安全工作作情況。公司信息息中心應應在每月月召開的的信息管管理工作作例會中中，總結結本月的的信息安安全工作作情況。公司應根根據(jù)風險險變化的的需要或或在重大大活動期期間，不不定期召召開信息息安全專專題會。信息安全全會議記記錄管理理信息安全全管理文文件與數(shù)數(shù)據(jù)的管管控公司應及及時制定定相關的的信息安安全管理理文件、信息安安全數(shù)據(jù)據(jù)與記錄錄。信息安全全管理數(shù)數(shù)據(jù)與記記錄包括括：信息安全全會議紀紀要信息安全全事故調(diào)調(diào)查報告告信息安全全事件整整改報告告信息安全全檢查整整改方案案信息安全全審計記記錄技術檔案案資料培訓記錄錄信息安全全作業(yè)活活動數(shù)據(jù)據(jù)與記錄錄信息安全全事件通通報、整整改活動動

16、信息安全全檢查活活動應急演練練活動信息系統(tǒng)統(tǒng)定級備備案活動動信息安全全審計活活動信息安全全風險評評估活動動數(shù)據(jù)與記記錄要求求：真實實、完整整、齊全全、準確確、及時時。信息文件件的管理理信息安全全管理流流程與變變化管理理根據(jù)精簡簡、高效效的原則則，制定定公司信息息安全工工作和管管理流程程，包括括：信息安全全管理流流程信息安全全事件處處理流程程信息安全全應急流流程其它相關關流程每年回顧顧流程的的效率，必要時時修訂、增加或或廢除不不必要的的流程或或環(huán)節(jié)。信息安全全管理流流程和信信息安全全事件處處理流程程納入信信息安全全管理體體系中管管理信息安全全應急流流程納入入xxxxx有限公公司網(wǎng)絡絡與信息息安全

17、專專項應急急預案中管理理。根據(jù)管理理變化、技術變變化，公公司定期期修訂如如下：更新管理理手冊、程序文文件、作作業(yè)指導導書或管管理制度度、辦法法；更新培訓訓要求；更新應急急處置程程序；對涉及到到的所有有信息安安全風險險進行回回顧分析析；變化管理理需文件件化，并并保存變變化過程程的相關關記錄。信息安全全管理體體系總則為了加強強xxxxx有限限公司（以下簡簡稱“xxxxx有限限公司或或公司”）信息息安全管管理工作作，保護護信息系系統(tǒng)的安安全，促促進信息息系統(tǒng)的的應用和和發(fā)展，根據(jù)國國家有關關法律法法規(guī)，以以及變頻頻器行業(yè)業(yè)的管理理規(guī)范、行業(yè)標標準，并并遵照公公司信息息系統(tǒng)安安全的有有關規(guī)定定，特制制

18、定本手手冊。信息系統(tǒng)統(tǒng)的安全全保護范范圍包括括各信息息系統(tǒng)相相關的和和配套的的軟件、硬件、信息、網(wǎng)絡和和運行環(huán)環(huán)境的安安全。xxxxx有限公公司信息息系統(tǒng)安安全管理理應遵循循“統(tǒng)一規(guī)規(guī)劃、預預防為主主、集中中管理、分層保保護、明明確責任任”的原則則。xxxxx有限公公司運行行中的信信息系統(tǒng)統(tǒng)是支撐撐生產(chǎn)的的運行設設備，各各級安全全生產(chǎn)責責任人對對其職責責范圍內(nèi)內(nèi)的信息息系統(tǒng)安安全運行行負有安安全管理理責任。任何人不不得利用用信息系系統(tǒng)從事事危害國國家利益益、集體體利益和和其他公公民權益益的活動動，不得得從事危危害xxxxx有有限公司司信息系系統(tǒng)安全全的活動動。本手冊適適用于公公司本部部、各基基

19、層單位位的信息息系統(tǒng)的的安全保保護工作作。公司司多經(jīng)企企業(yè)參照照執(zhí)行。規(guī)范性引引用標準準信息安安全等級級保護管管理辦法法（公公通字20007443 號號）信息安安全技術術信息系系統(tǒng)安全全等級保保護基本本要求（GBB/T 222239-20008）信息安安全技術術信息系系統(tǒng)安全全等級保保護定級級指南（GBB/T 222240-20008）信息安安全技術術信息安安全管理理實用規(guī)規(guī)則（GB/T 2220881-220088）信息安安全技術術信息安安全風險險評估規(guī)規(guī)范（GB/T 2209884-220077）國家相關關法律、法規(guī)及及合同的的要求。術語與定定義資產(chǎn) aasseet任何對組組織有價價值的東

20、東西?？捎眯?avaailaabillityy根據(jù)授權權實體的的要求可可訪問和和利用的的特性。保密性cconffideentiialiity信息不能能被未授授權的個個人、實實體或者者過程利利用或知知悉的特特性。信息安全全infformmatiion seccuriity保證信息息的保密密性、完完整性、可用性性；另外外也可包包括諸如如真實性性，可核核查性，不可否否認性和和可靠性性等特性性。信息安全全事態(tài) infformmatiion seccuriity eveent信息安全全事態(tài)是是指系統(tǒng)統(tǒng)、服務務或網(wǎng)絡絡的一種種可識別別的狀態(tài)態(tài)的發(fā)生生，它可可能是對對信息安安全策略略的違反反或防護護措施的的

21、失效，或是和和安全關關聯(lián)的一一個先前前未知的的狀態(tài)。信息安全全事件 infformmatiion seccuriity inccideent一個信息息安全事事件由單單個的或或一系列列的有害害或意外外信息安安全事態(tài)態(tài)組成，它們具具有損害害業(yè)務運運作和威威脅信息息安全的的極大的的可能性性。信息安全全管理體體系 iinfoormaatioon ssecuuritty mmanaagemmentt syysteem是整個管管理體系系的一部部分。它它是基于于業(yè)務風風險方法法，來建建立、實實施、運運行、監(jiān)監(jiān)視、評評審、保保持和改改進信息息安全的的。注：管理理體系包包括組織織結構、方針策策略、規(guī)規(guī)劃活動動、

22、職責責、實踐踐、程序序、過程程和資源源。完整性iinteegriity保護資產(chǎn)產(chǎn)的準確確和完整整的特性性。殘余風險險 reesidduall riisk經(jīng)過風險險處理后后遺留的的風險。風險接受受rissk aacceeptaancee接受風險險的決定定。風險分析析rissk aanallysiis系統(tǒng)地使使用信息息來識別別風險來來源和估估計風險險。風險評估估rissk aasseessmmentt風險分析析和風險險評價的的整個過過程。風險評價價rissk eevalluattionn將估計的的風險與與給定的的風險準準則加以以比較以以確定風風險嚴重重性的過過程。風險管理理rissk mmanaa

23、gemmentt指導和控控制一個個組織相相關風險險的協(xié)調(diào)調(diào)活動。風險處理理rissk ttreaatmeent選擇并且且執(zhí)行措措施來更更改風險險的過程程。注：在本本標準中中，術語語“控制措措施”被用作作“措施”的同義義詞。適用性聲聲明sttateemennt oof aappllicaabillityy描述與組組織的信信息安全全管理體體系相關關的和適適用的控控制目標標和控制制措施的的文檔。信息系統(tǒng)統(tǒng)是指由計計算機及及其相關關配套的的設備、設施（含網(wǎng)絡絡）構成成的，按按照一定定的應用用目標和和規(guī)則對對信息進進行采集集、加工工、存儲儲、傳輸輸、檢索索等處理理的人機機系統(tǒng)，包括管管理信息息系統(tǒng)和和生

24、產(chǎn)控控制系統(tǒng)統(tǒng)。信息安全全保持信息息的保密密性、完完整性和和可用性性，另外外也可包包括諸如如真實性性，可核核查性，不可否否認性和和可靠性性等。信息系統(tǒng)統(tǒng)運行單單位是指信息息系統(tǒng)資資產(chǎn)歸屬屬單位，對于托托管的信信息系統(tǒng)統(tǒng)有另行行約定的的除外。信息安全全工作人人員是指包括括信息安安全管理理人員、信息安安全技術術人員（包括防防火墻、入侵檢檢測系統(tǒng)統(tǒng)、漏洞洞掃描系系統(tǒng)、防防病毒系系統(tǒng)等信信息安全全相關設設備的管管理員）和信息息安全審審計員。信息工作作人員是指與關關鍵信息息系統(tǒng)（涉及公公司生產(chǎn)產(chǎn)、建設設與經(jīng)營營、管理理等核心心業(yè)務且且有保密密要求的的信息系系統(tǒng)）直直接相關關的系統(tǒng)統(tǒng)管理人人員、網(wǎng)網(wǎng)絡管理

25、理人員、關鍵業(yè)業(yè)務信息息系統(tǒng)開開發(fā)人員員、系統(tǒng)統(tǒng)維護人人員、關關鍵業(yè)務務信息系系統(tǒng)操作作人員等等。第三方是指軟件件開發(fā)商商、硬件件供應商商、系統(tǒng)統(tǒng)集成商商、設備備維護商商、服務務提供商商以及其其它外協(xié)協(xié)單位。第三方人人員是指包括括軟件開開發(fā)商出出、硬件件供應商商、系統(tǒng)統(tǒng)集成商商、設備備維護商商、服務務提供商商及其它它外協(xié)服服務單位位的工作作人員，以及實實習學生生和其他他臨時工工作人員員。信息資產(chǎn)產(chǎn)是指公司司在生產(chǎn)產(chǎn)、經(jīng)營營和管理理過程中中，所需需要的以以及所產(chǎn)產(chǎn)生的，用以支支持（或或指導、或影響響）公司司生產(chǎn)、經(jīng)營和和管理的的一切有有用的數(shù)數(shù)據(jù)和資資料等非非財務的的無形資資產(chǎn)，其其范圍包包括現(xiàn)

26、在在的和歷歷史的。信息系統(tǒng)統(tǒng)運行維維護單位位是指與信信息系統(tǒng)統(tǒng)運行單單位簽訂訂維護合合同的專專業(yè)服務務提供商商。信息安全全等級保保護是指根據(jù)據(jù)國家信信息安全全等級保保護相關關管理文文件，確確定信息息系統(tǒng)的的安全保保護等級級，并開開展相應應的信息息系統(tǒng)安安全等級級保護工工作。信息安全全評估是指，按按照管管理辦法法和有有關技術術標準，開展信信息系統(tǒng)統(tǒng)安全等等級保護護的自查查自糾、差距評評測、安安全整改改等續(xù)工工作。安全風險險管理是指采用用風險管管理的理理念與方方法來識識別、評評估信息息系統(tǒng)面面臨的風風險，制制定風險險控制措措施，并并將風險險降低到到可接受受的程度度，安全全風險管管理包括括風險評評估

27、和風風險控制制。注：基于于風險評評估和風風險處理理過程的的結果和和結論、法律法法規(guī)的要要求、合合同義務務以及組組織對于于信息安安全的業(yè)業(yè)務要求求，制定定控制目目標和控控制措施施。標準縮寫寫ISMSS：信息息安全管管理體系系（Innforrmattionn Seecurrityy Maanaggemeent Sysstemms）；SoA：適用性性聲明（Staatemmentt off Apppliicabbiliity）；PDCAA：建立立、實施施和運行行、監(jiān)視視和評審審、保持持和改進進（Pllan、Do、Cheeck、Actt）。信息安全全管理體體系總要求根據(jù)GBB/T2220880-2200

28、88/ISSO/IIEC2270001:220055信息安安全管理理體系要要求標準準在整體體業(yè)務活活動和所所面臨風風險的環(huán)環(huán)境下建建立、實實施、運運行、監(jiān)監(jiān)視、評評審、保保持和改改進文件件化的信信息安全全管理體體系。IISMSS所涉及及的過程程基于以以下PDDCA模模式：建立ISMS保持和改進ISMS實施和運作ISMS監(jiān)控&評審 ISMS相關方已被管理的信息安全相關方信息安全要求&期望、法律法規(guī)策劃（D）措施實施檢查 圖 4-1 PPDCAA模型規(guī)劃（建建立ISSMS）建立與管管理風險險和改進進信息安安全有關關的ISSMS方方針、目目標、過程程和程序序，以提提供與組組織總方針和和總目標相相一致

29、的的結果。實施（實實施和運運行ISSMS）實施和運運行ISSMS方方針、控控制措施施、過程程和程序序。檢查（監(jiān)監(jiān)視和評評審ISSMS）對照ISSMS方方針、目目標和實實踐經(jīng)驗驗，評估估并在適適當時，測量過過程的執(zhí)執(zhí)行情況況，并將將結果報報告管理理者以供供評審。處置（保保持和改改進ISSMS）基于ISSMS內(nèi)內(nèi)部審核核和管理理評審的的結果或或者其他他相關信信息，采采取糾正正和預防防措施，以持續(xù)續(xù)改進IISMSS。本手冊中中提出的的用于信信息安全全管理的的過程方方法鼓勵勵其用戶戶強調(diào)以以下方面面的重要要性：理解xxxxx有有限公司司的信息息安全要要求和建建立信息息安全方方針與目目標的需需要；從組織

30、整整體業(yè)務務風險的的角度，實施和和運行控控制措施施，以管管理xxxxx有有限公司司的信息息安全風風險；監(jiān)視和評評審ISSMS的的執(zhí)行情情況和有有效性；基于客觀觀測量的的持續(xù)改改進。本標準采采用了“規(guī)劃（Plaan）-實施（Do）-檢查（Cheeck）-處置（Actt）”（PDCCA）模型，該模型型可應用用于所有有的ISSMS過過程。圖圖1說明了了ISMMS如何何把相關關方的信信息安全全要求和和期望作作為輸入入，并通通過必要要的行動動和過程程，產(chǎn)生生滿足這這些要求求和期望望的信息息安全結結果。圖圖4-11描述了了4、5、6、7和8章所提提出的過過程間的的聯(lián)系。采用PDDCA模模型還反反映了治治理

31、信息息系統(tǒng)和和網(wǎng)絡安安全的OOECDD指南（20002版）中所設設置的原原則。本本標準為為實施OOECDD指南中中規(guī)定的的風險評評估、安安全設計計和實施施、安全全管理和和再評估估的原則則提供了了一個強強健的模模型。ISMSS的建立立、實施施和運作作、監(jiān)督督和評審審、保持持和改進進建立ISSMSxxxxx有限公公司ISSMS的的范圍和和邊界根據(jù)業(yè)務務、組織織、資產(chǎn)產(chǎn)、位置置等方面面的特性性，確定定ISMMS的范范圍和邊邊界。xxxxxx有限公公司信息息安全管管理體系系的范圍圍和邊界界包括：業(yè)務邊界界：xxxxx有限公公司為開開展供電電業(yè)務，在管理理信息大大區(qū)范圍圍內(nèi)實施施的信息息安全管管理。組織

32、邊界界：xxxxx有有限公司司信息中中心；資產(chǎn)邊界界：xxxxx有有限公司司負責管管理的信信息資產(chǎn)產(chǎn)；物理邊界界：廣東東省廣州州市天河河區(qū)天南南二路2239號號和梅花花路機房房確定xxxxx有有限公司司ISMMS方針針應滿足足以下要要求確保為IISMSS方針建建立一個個框架并并為信息息安全實實施和運運作、監(jiān)監(jiān)督和評評審、保保持和改改進的活活動建立立系統(tǒng)的的方向與與原則；確定業(yè)務務發(fā)展、法律法法規(guī)要求求及其它它相關方方合同涉涉及的信信息安全全要求；在組織的的戰(zhàn)略和和風險管管理下，建立和和保持IISMSS；建立風險險評價的的準則和和機團隊隊；獲得信息息安全領領導小組組批準。風險評估估的系統(tǒng)統(tǒng)方法x

33、xxxx有限公公司信息息中心負負責建立立信息安安全風險險評估控控制程序序并組織織實施。風險評評估控制制程序包包括可接接受風險險準則和和可接受受水平，所選擇擇的評估估方法應應確保風風險評估估能產(chǎn)生生可比較較的和可可重復的的結果。具體的的風險評評估過程程控制執(zhí)執(zhí)行信信息安全全風險評評估程序序，以以下是風風險評估估流程圖圖；確定ISMS范圍資產(chǎn)識別與重要信息資產(chǎn)確定威脅識別與評價已有控制措施確認薄弱點識別與評價風險評估（測量）是否接受保持已有的控制措施施 施選擇安全目標及控制措施實 施殘余風險評審YESNO風險評估估流程圖圖風險識別別在已確定定的ISSMS范范圍內(nèi)，對所有有的信息息資產(chǎn)進進行列表表識

34、別。信息資資產(chǎn)包括括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設施、服務、人力資資源。對對每一項項信息資資產(chǎn)，根根據(jù)重要要信息資資產(chǎn)判斷斷依據(jù)確確定是否否為重要要信息資資產(chǎn)，形形成重重要信息息資產(chǎn)清清單。評估風險險針對每一一項重要要信息資資產(chǎn)，參參考信信息安全全威脅列列表及及以往的的安全事事故（事事件）記記錄、信信息資產(chǎn)產(chǎn)所處的的環(huán)境等等因素，識別出出所有重重要信息息資產(chǎn)所所面臨的的威脅；針對每一一項威脅脅，考慮慮現(xiàn)有的的控制措措施，參參考信信息安全全薄弱點點列表識別出出可能被被該威脅脅利用的的薄弱點點；綜合考慮慮以上22點，按按照威威脅發(fā)生生可能性性等級表表中的的判定準準則對每每一個威威脅發(fā)生生的可能能

35、性進行行賦值；根據(jù)威威脅影響響程度判判斷準則則，判判斷一個個威脅發(fā)發(fā)生后對對信息資資產(chǎn)在保保密性(C)、完整性性(I)和可用用性(AA)方面面的損害害及對公公司業(yè)務務的威脅脅影響程程度，對對其威脅脅影響程程度進行行賦值；進行風險險大小計計算時，考慮威威脅產(chǎn)生生安全故故障的可可能性及及其所造造成影響響程度兩兩者的結結合，根根據(jù)風險險計算公公式來計計算風險險等級；對于信息息安全風風險，在在考慮控控制措施施與費用用平衡的的原則下下制定風風險接受受準則，按照該該準則確確定何種種等級的的風險為為不可接接受風險險。風險處理理方法的的識別與與評價xxxxx有限公公司信息息中心組組織有關關部門根根據(jù)風險險評估

36、的的結果，形成風險處處理計劃劃，該該計劃應應明確風風險處理理責任部部門、方方法及時時間。對對于信息息安全風風險，應應考慮控控制措施施與費用用的平衡衡原則，選用以以下適當當?shù)拇胧┦翰捎眠m當當?shù)膬?nèi)部部控制措措施；接受某些些風險（不可能能將所有有風險降降低為零零）；規(guī)避某些些風險（如物理理隔離）；轉(zhuǎn)移某些些風險（如將風風險轉(zhuǎn)移移給保險險公司、供應方方）。選擇控制制目標與與控制措措施信息中心心根據(jù)信信息安全全方針、業(yè)務發(fā)發(fā)展要求求及風險險評估的的結果，組織有有關部門門制定信信息安全全目標，并將目目標分解解到有關關部門。信息安安全目標標應獲得得信息安安全領導導小組的的批準?？刂颇繕藰思翱刂浦拼胧┑牡倪x

37、擇原原則來源源于GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理體系要要求標準準附錄AA，具體體控制措措施可以以參考GGB/TT220081-20008/IISO/IECC270002:20005信信息技術術安全技技術信息安安全管理理實施細細則。xxxxx有限限公司根根據(jù)信息息安全管管理的需需要，可可以選擇擇標準之之外的其其他控制制措施。適用性聲聲明信息中心心負責信息安安全管理理體系適適用性聲聲明（SoAA）編制制，由信信息中心心歸口管管理。該該聲明包包括以下下方面的的內(nèi)容：所選擇控控制目標標與控制制措施的的概要描描述；當前已經(jīng)經(jīng)實施的的控

38、制；對GB/T2220800-20008/ISOO/IEEC2770011:20005信信息安全全管理體體系要求求附錄AA中未選選用的控控制目標標及控制制措施的的說明。注：該聲聲明的詳詳細內(nèi)容容見信信息安全全管理體體系適用用性聲明明。ISMSS實施及及運行ISMSS崗位職職責和權權限信息安全全領導小小組組長長為公司司信息安安全最高高管理者者。領導導小組主主要職責責：國家有關關信息安安全的政政策、法法律和法法規(guī)，以以及南方方電網(wǎng)公公司和公公司的統(tǒng)統(tǒng)一部署署要求，審查、批準xxxxxx有限公公司信息息安全策策略、管管理規(guī)范范和技術術標準；部署信息息安全總總體工作作，審定定信息安安全投資資策略，建立

39、工工作考評評機制；指導信息息安全保保障體系系建設和和應急管管理。信息安全全工作小小組主要要職責：根據(jù)信息息安全領領導小組組的工作作部署，對信息息安全工工作進行行具體安安排、落落實；貫徹執(zhí)行行信息安安全領導導小組的的決議，協(xié)調(diào)、督促各各部門、各單位位的信息息安全工工作；制訂信息息安全策策略和投投資策略略，組織織對信息息安全工工作制度度和技術術操作策策略的審審查，并并監(jiān)督執(zhí)執(zhí)行；接受各單單位的緊緊急信息息安全事事件報告告，組織織信息安安全應急急處置工工作，并并開展事事件調(diào)查查、分析析原因、涉及范范圍和評評估安全全事件的的嚴重程程度，提提出信息息安全事事件防范范措施；及時向信信息安全全領導小小組和上

40、上級有關關部門、單位報報告信息息安全事事件；跟進先進進的信息息安全技技術，組組織信息息安全知知識的培培訓和宣宣傳工作作。信息安全全管理體體系的管管理者代代表對公公司信息息安全負負有以下下職責：建立并實實施信息息安全管管理體系系必要的的程序并并維持其其有效運運行；對信息安安全管理理體系的的運行情情況和必必要的改改善措施施向信息息安全領領導小組組報告。各部門負負責人為為本部門門信息安安全管理理者，全全體員工工都應按按保密承承諾的要要求自覺覺履行信信息安全全保密義義務；各部門應應按照信息安安全管理理體系適適用性聲聲明中中選擇的的控制目目標與目目標的控控制措施施，確保保ISMMS有效效實施與與運行，并

41、開展展以下活活動：確保信息息安全風風險的有有效管理理，制定定風險險處理計計劃，以便明明確管理理措施、所需資資源、工工作職責責及識別別活動的的優(yōu)先順順序；保保證已識識別的控控制目標標實施風險處處理計劃劃；確保處理理風險所所選擇的的控制措措施，以以滿足控控制目標標；確保所選選控制措措施有效效測量；制定信信息安全全培訓計計劃并并加以實實施，提提高全員員信息安安全意識識和能力力；管理ISSMS的的運行；管理ISSMS的的資源；制定信息息安全事事件或事事故的程程序控制制措施，以便迅迅速的檢檢測安全全事件與與安全事事故的響響應。ISMSS的監(jiān)督督檢查與與評審通過實施施不定期期安全檢檢查、內(nèi)內(nèi)部審核核、事故

42、故報告調(diào)調(diào)查處理理、電子子監(jiān)控、定期技技術檢查查（如日日志審核核）等控控制措施施并報告告結果以以實現(xiàn)：及時發(fā)現(xiàn)現(xiàn)信息安安全體系系的事故故和隱患患；及時了解解信息處處理系統(tǒng)統(tǒng)遭受的的各類攻攻擊；使管理者者掌握信信息安全全活動是是否有效效，并根根據(jù)優(yōu)先先級別確確定所要要采取的的措施；積累信息息安全方方面的經(jīng)經(jīng)驗。根據(jù)以上上活動的的結果以以及來自自相關方方的建議議和反饋饋，由信信息安全全工作小小組組長長主持，定期（每年至至少一次次）對IISMSS的有效效性進行行評審，其中包包括信息息安全范范圍、方方針、目目標及控控制措施施有效性性的評審審。管理理評審的的具體要要求，見見本手冊冊第7章。信息中心心應組

43、織織有關部部門按照照信息息安全風風險管理理程序的要求求對風險險處理后后的殘余余風險進進行定期期評審，以驗證證殘余風風險是否否達到可可接受的的水平，對以下下方面變變更情況況應及時時進行風風險評估估：組織機構構發(fā)生重重大變更更時；信息處理理技術發(fā)發(fā)生重大大變更時時；xxxxx有限公公司業(yè)務務目標及及流程發(fā)發(fā)生重大大變更時時；發(fā)現(xiàn)信息息資產(chǎn)面面臨重大大威脅時時；外部環(huán)境境，如法法律法規(guī)規(guī)或信息息安全標標準發(fā)生生重大變變更時。保持上述述活動和和措施的的記錄。ISMSS保持與與改進xxxxx有限公公司開展展以下活活動，以以確保IISMSS的持續(xù)續(xù)改進：實施每年年安全檢檢查、內(nèi)內(nèi)部審核核、管理理評審等等活

44、動以以確定需需改進的的項目；按照內(nèi)內(nèi)部審核核管理程程序、糾正正與預防防措施控控制程序序的要要求采取取適當?shù)牡募m正和和預防措措施；吸吸取其他他組織及及xxxxx有限限公司安安全事故故的經(jīng)驗驗教訓，不斷改改進現(xiàn)有有安全措措施。對信息安安全目標標及分解解進行適適當?shù)墓芄芾?，確確保改進進達到預預期的效效果。為了確保保信息安安全管理理體系的的持續(xù)有有效，各各級管理理者應通通過適當當?shù)氖侄味螌π畔⑾踩氪胧┑膱?zhí)執(zhí)行情況況與結果果進行有有效的交交流與溝溝通。與與外部信信息安全全專家、信息安安全機構構、政府府行政主主管部門門、電信信運營商商等組織織保持聯(lián)聯(lián)系。與與外部專專家、服服務商等等外部機機構的聯(lián)聯(lián)系方

45、式式見對對外聯(lián)系系表。文件要求求總則根據(jù)GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理體系標標準要求求并結合合xxxxx有限限公司實實際情況況建立xxxxxx有限公公司信息息安全管管理體系系文件結結構，體體系文件件分為四四級，分分別為一一級文件件、二級級文件、三級文文件及四四級記錄錄性文件件。一級文件件為信息息安全管管理體系系手冊（包含信信息安全全方針、目標）和適用用性聲明明等；二級文件件為信息息安全管管理體系系建立實實施的相相關程序序文件；三級文件件為信息息安全管管理體系系建立實實施的相相關制度度、辦法法和規(guī)程程等；四級文件件為信息息安

46、全管管理體系系實施運運行過程程中的記記錄類文文件。文件控制制為確保文文件的修修訂得到到控制，使用現(xiàn)現(xiàn)場得到到有效版版本的文文件，防防止作廢廢文件的的非預期期使用，在文文件控制制程序中明確確規(guī)定了了文件的的編制、評審、批準、發(fā)放、使用、更改、再次批批準、標標識、回回收、作作廢和保保存期限限等管理理。注：以上上程序詳詳細內(nèi)容容見文文件控制制程序。記錄控制制為提供有有效的信信息安全全管理體體系運行行的符合合性證據(jù)據(jù)，并具具有追溯溯、證實實和依據(jù)據(jù)記錄采采取糾正正和預防防措施的的作用，在記記錄控制制程序中明確確規(guī)定了了記錄的的填寫要要求、標標識、收收集、儲儲存、檢檢索、防防護、保保存期限限和處理理所需

47、的的控制。注：以上上程序詳詳細內(nèi)容容見記記錄控制制程序。管理職責責管理承諾諾信息安全全領導小小組承諾諾按GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理體系標標準要求求建立、實施、運行、監(jiān)視和和評審，并通過過持續(xù)保保持和改改進，使使體系不不斷發(fā)展展和完善善。通過過以下活活動，確確保上述述承諾得得以實現(xiàn)現(xiàn)：制定ISSMS方方針：制定ISSMS目目標和實實施計劃劃；建立信息息安全組組織機構構并明確確職責；通過適當當?shù)臏贤ㄍǚ绞剑枚喽喾N方式式向全體體員工傳傳達并使使他們認認識到滿滿足信息息安全目目標、符符合信息息安全方方針以及及法律、法規(guī)要要

48、求，持持續(xù)改進進信息安安全的重重要性；提供適當當?shù)馁Y源源以滿足足信息安安全管理理體系建建立、實實施、運運行、監(jiān)監(jiān)視、評評審、保保持和改改進的需需要；對可接受受風險的的等級進進行判斷斷；組織實施施ISMMS內(nèi)部部審核；組織實施施ISMMS管理理評審。資源管理理資源提供供確保并提提供實施施、保持持信息安安全管理理體系所所需資源源，并采采取適當當措施，以保證證：建立、實實施、運運作、監(jiān)監(jiān)視、評評審、保保持和改改進ISSMS；確保信息息安全管管理程序序符合業(yè)業(yè)務支持持流程要要求；識別和滿滿足法規(guī)規(guī)要求以以及合同同中的安安全義務務；通過正確確實施所所有的控控制措施施保持適適當?shù)男判畔踩槐匾獣r，應對

49、資資源提供供進行評評審，并并按評審審結果執(zhí)執(zhí)行；在需要時時，改進進ISMMS資源源的有效效性。能力、意意識和培培訓為提高全全員信息息安全的的意識，確保相相關人員員履行信信息安全全職責所所需的能能力，應應采取并并實施以以下的管管理活動動：確保與IISMSS有關工工作人員員具備必必要的信信息安全全能力；實施信息息安全意意識和能能力的教教育及培培訓并評評價其培培訓的有有效性；通過宣傳傳和其他他活動使使員工普普遍認識識到信息息安全職職責的重重要性，為實現(xiàn)現(xiàn)信息安安全目標標做出各各自的貢貢獻；保持教育育、培訓訓、技能能、經(jīng)歷歷和資格格或其他他活動的的記錄；注：以上上程序詳詳細內(nèi)容容見教教育培訓訓控制程程

50、序安全職責責信息安全全管理組組織機構構和人員員職責xxxxx有限公公司信息息安全管管理機構構有xxxxx有有限公司司信息安安全領導導小組和和xxxxx有限限公司信信息安全全工作小小組，并并配置相相應的信信息安全全工作人人員，包包括信息息安全管管理人員員、信息息安全技技術人員員、信息息安全審審計員。xxxxx有限公公司信息息安全領領導小組組xxxxx有限公公司成立立信息安安全領導導小組。xxxxx有限限公司信信息安全全領導小小組是公公司信息息安全的的最高決決策機構構。xxxxx有限公公司信息息安全領領導小組組組長由由分管生生產(chǎn)安全全的公司司領導擔擔任。信息安全全領導小小組主要要職責如如下：對公司

51、信信息安全全領導小小組負責責。根據(jù)國家家和行業(yè)業(yè)有關信信息安全全的政策策、法律律和法規(guī)規(guī)，批準準公司信信息安全全總體策策略規(guī)劃劃、管理理規(guī)范和和技術標標準。確定公司司信息安安全各有有關部門門工作職職責，指指導、監(jiān)監(jiān)督信息息安全工工作。信息安全全領導小小組下設設兩個信信息安全全工作小小組（包包括管理理信息系系統(tǒng)信息息安全工工作小組和和生產(chǎn)控控制系統(tǒng)統(tǒng)信息安安全工作作小組）和應急急處理工工作小組組，并負負責指導導兩個工工作組的的工作。xxxxx有限公公司信息息安全工工作小組組xxxxx有限公公司信息息安全工工作組隸隸屬xxxxx有有限公司司信息安安全領導導小組，是領導導小組決決策的執(zhí)執(zhí)行機構構，工

52、作作組的日日常工作作由xxxxx有有限公司司信息中中心承擔擔。xxxxx有限公公司信息息安全工工作組組組長由xxxxxx有限公公司信息息中心領領導擔任任。xxxxx有限公公司信息息安全工工作組主主要職責責如下：貫徹執(zhí)行行公司信信息安全全領導小小組的決決議，協(xié)協(xié)調(diào)和規(guī)規(guī)范公司司信息安安全工作作；根據(jù)信息息安全領領導小組組的工作作部署，對信息息安全工工作進行行具體安安排、落落實；組織對重重大的信信息安全全工作制制度和技技術操作作策略進進行審查查，擬訂訂信息安安全總體體策略規(guī)規(guī)劃，并并監(jiān)督執(zhí)執(zhí)行；負責協(xié)調(diào)調(diào)、督促促各職能能部門和和有關單單位的信信息安全全工作，參與信信息系統(tǒng)統(tǒng)工程建建設中的的安全規(guī)規(guī)

53、劃，監(jiān)監(jiān)督安全全措施的的執(zhí)行；組織信息息安全工工作檢查查，分析析信息安安全總體體狀況，提出分分析報告告和安全全風險的的防范對對策；負責接受受各單位位的緊急急信息安安全事件件報告，組織進進行事件件調(diào)查，分析原原因、涉涉及范圍圍，并評評估安全全事件的的嚴重程程度，提提出信息息安全事事件防范范措施；及時向信信息安全全工作領領導小組組和上級級有關部部門、單單位報告告信息安安全事件件。跟蹤先進進的信息息安全技技術，組組織信息息安全知知識的培培訓和宣宣傳工作作。xxxxx有限公公司應急急處理工工作小組組xxxxx有限公公司應急急處理工工作小組組組長由由xxxxx有限限公司信信息中心心領導擔擔任。xxxxx

54、有限公公司應急急處理工工作小組組主要職職責如下下：審定公司司信息系系統(tǒng)的安安全應急急策略及及應急預預案。決定相應應應急預預案的啟啟動，負負責現(xiàn)場場指揮，并組織織相關人人員排除除故障，恢復系系統(tǒng)。每年組織織對信息息安全應應急策略略和應急急預案進進行測試試和演練練。應對公司司內(nèi)發(fā)生生的大規(guī)規(guī)模信息息安全事事件，協(xié)協(xié)調(diào)指揮揮事故處處理以及及事故后后系統(tǒng)恢恢復工作作。xxxxx有限公公司信息息中心xxxxx有限公公司信息息中心是是xxxxx有限限公司信信息安全全小組領領導下的的信息系系統(tǒng)安全全的職能能和技術術歸口管管理部門門，并直直接負責責管理信信息系統(tǒng)統(tǒng)的安全全管理和和技術監(jiān)監(jiān)督工作作，其職職責主要

55、要包括：組織制定定xxxxx有限限公司信信息安全全保護工工作的總總體目標標和總體體策略。并且根根據(jù)信息息系統(tǒng)管管理要求求、運行行環(huán)境的的變化，以及系系統(tǒng)本身身的變化化，及時時更新信信息安全全保護工工作的總總體目標標、策略略、規(guī)劃劃、技術術標準和和管理制制度。不不斷提高高信息安安全管理理的技術術水平和和管理手手段。組織開展展xxxxx有限限公司的的信息安安全等級級保護工工作，并并進行xxxxxx有限公公司信息息安全評評估和風風險管理理工作，組織編編寫信息息安全保保護工作作的總體體技術規(guī)規(guī)范、管管理制度度、技術術方案和和實施計計劃，并并負責組組織實施施。負責接受受各單位位的緊急急信息安安全事件件報

56、告，組織進進行事件件調(diào)查，分析原原因、涉涉及范圍圍，并評評估安全全事件的的嚴重程程度，提提出信息息安全事事件防范范措施；跟蹤先進進的信息息安全技技術，組組織信息息安全知知識的培培訓和宣宣傳工作作。監(jiān)督指導導各管理理信息系系統(tǒng)的開開發(fā)建設設人員、運行人人員、維維護人員員、業(yè)務務使用人人員執(zhí)行行信息系系統(tǒng)安全全保護的的技術標標準和管管理制度度。組織對信信息安全全事故的的調(diào)查取取證工作作，對其其中涉及及違紀違違法、嚴嚴重違規(guī)規(guī)的事故故配合人人力資源源部進行行調(diào)查，并提出出處理意意見。負責監(jiān)督督管理數(shù)數(shù)據(jù)中心心及公司司本部網(wǎng)網(wǎng)絡、設設備、運運行環(huán)境境，以及及集中管管理的信信息系統(tǒng)統(tǒng)的安全全保護工工作。

57、完成其他他上級信信息安全全管理機機構交辦辦的信息息管理系系統(tǒng)安全全防護工工作。各級安全全責任人人各級安全全生產(chǎn)責責任人是是其職責責范圍內(nèi)內(nèi)的信息息系統(tǒng)安安全運行行管理的的責任人人。各級級安全生生產(chǎn)責任任人職責責：負責監(jiān)督督執(zhí)行xxxxxx有限公公司制定定的信息息安全策策略、管管理制度度和技術術標準。負責監(jiān)督督管理其其職責范范圍內(nèi)信信息系統(tǒng)統(tǒng)及其附附屬網(wǎng)絡絡、設備備、軟件件、信息息、運行行環(huán)境的的安全保保護工作作。負責監(jiān)督督執(zhí)行xxxxxx有限公公司信息息安全保保護的其其他工作作?；鶎訂挝晃挥嬎銠C機及網(wǎng)絡絡專責基層單位位計算機機及網(wǎng)絡絡專責是是本單位位范圍內(nèi)內(nèi)管理信信息系統(tǒng)統(tǒng)安全運運行工作作的責

58、任任人兼信信息安全全員?；鶎訂挝晃蛔詣踊瘜Ｘ熓鞘潜締挝晃环秶鷥?nèi)內(nèi)生產(chǎn)控控制系統(tǒng)統(tǒng)信息安安全運行行工作的的責任人人兼信息息安全員員。其安安全職責責：負責執(zhí)行行公司制定定的信息息安全策策略、管管理制度度和技術術標準。負責執(zhí)行行責任范范圍內(nèi)信信息系統(tǒng)統(tǒng)及其附附屬網(wǎng)絡絡、設備備、軟件件、信息息、運行行環(huán)境的的安全保保護工作作。定期向技技術監(jiān)督督部門報報告本單單位的信信息安全全情況，對安全全缺陷和和事故應應及時匯匯報。管管理信息息系統(tǒng)類類安全情情況向信信息中心心匯報，生產(chǎn)控控制系統(tǒng)統(tǒng)類安全情況向向調(diào)度中中心匯報報。組織織本單位位員工進進行信息息安全知知識的培培訓和宣宣傳工作作。在職能管管理部門門指導

59、下下，完成成xxxxx有限限公司信信息安全全等級保保護、安安全評估估、風險險管理及及其他工工作。信息安全全工作人人員信息安全全工作人人員基本本要求信息安全全工作人人員應由由政治可可靠、業(yè)業(yè)務素質(zhì)質(zhì)高、遵遵紀守法法、恪盡盡職守的的人員擔擔任。信息安全全工作人人員應有有計算機機專業(yè)工工作三年年以上經(jīng)經(jīng)歷，及及具備本本科以上上學歷。兼職信息息安全人人員應有有電力生生產(chǎn)業(yè)務務工作五五年以上上或?qū)Ｂ毬氂嬎銠C機管理工工作三年年及以上上經(jīng)歷，具備專專科以上上學歷。違反國家家法律、法規(guī)和和行業(yè)規(guī)規(guī)章受到到處罰的的人員，不得從從事信息息安全相相關工作作。信息安全全工作人人員在行行使職責責時，確確因工作作需要，經(jīng)

60、批準準，可了了解涉及及電力生生產(chǎn)、經(jīng)經(jīng)營與管管理有關關的信息息系統(tǒng)的的機密信信息。信息安全全工作人人員基本本職責：信息安全全工作人人員發(fā)現(xiàn)現(xiàn)本單位位重大信信息安全全隱患，有權向向公司信信息中心心報告。信息安全全工作人人員發(fā)現(xiàn)現(xiàn)信息工工作人員員使用不不當，應應及時建建議有關關單位、部門進進行調(diào)整整。信息安全全工作人人員必須須嚴格遵遵守國家家有關法法律、法法規(guī)和公公司有關關規(guī)章制制度，嚴嚴守公司司商業(yè)秘秘密。信息安全全工作人人員包括括信息安安全管理理人員、信息安安全技術術人員、信息安安全審計計員，其其相應的的職責分分別如下下：負責信息息安全管管理的日日常工作作。組織開展展信息安安全檢查查，對信信息