2021年GBT22080-2021信息安全管理體系全套程序文件

1、 10/102021年GBT22080-2021信息安全管理體系全套程序文件 2019年GBT22080-2016信息安全管理 體系全套程序文件 信息安全風(fēng)險(xiǎn)評(píng)估管理程序 1 適用 本程序適用于本公司信息安全管理體系（ISMS）范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。 2 目的 本程序規(guī)定了本公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知本公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿足本公司信息安全管理方針的要求。 3 范圍 本程序適用于第一次完整的風(fēng)險(xiǎn)評(píng)估和定期的再評(píng)估。在辨識(shí)資產(chǎn)時(shí)

2、，本著盡量細(xì)化的原則進(jìn)行，但在評(píng)估時(shí)我司又會(huì)把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。辨識(shí)與評(píng)估的重點(diǎn)是信息資產(chǎn)，不區(qū)分物理資產(chǎn)、軟件和硬件。 4 職責(zé) 4.1 成立風(fēng)險(xiǎn)評(píng)估小組 辦公室負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。 4.2 策劃與實(shí)施 風(fēng)險(xiǎn)評(píng)估小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。 4.3 信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng) 各部門負(fù)責(zé)本部門使用或管理的信息資產(chǎn)的識(shí)別，并負(fù)責(zé)本部門所涉及的信息資產(chǎn)的具體安全控制工作。 4.3.1各部門負(fù)責(zé)人負(fù)責(zé)本部門的信息資產(chǎn)識(shí)別。 4.3.2辦公室經(jīng)理負(fù)責(zé)

3、匯總、校對(duì)全公司的信息資產(chǎn)。 4.3.3 辦公室負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。 4.3.4信息安全小組負(fù)責(zé)進(jìn)行第一次評(píng)估與定期的再評(píng)估。 5 程序 5.1 風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備 5.1.1 辦公室牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員至少應(yīng)該包含：信息安全管理體系負(fù)責(zé)部門的成員、信息安全重要責(zé)任部門的成員。 5.1.2風(fēng)險(xiǎn)評(píng)估小組制定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，下發(fā)各部門內(nèi)審員。 5.1.3必要時(shí)應(yīng)對(duì)各部門內(nèi)審員進(jìn)行風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)和表格填寫的培訓(xùn)。 5.2 信息資產(chǎn)的識(shí)別 5.2.1 本公司的資產(chǎn)范圍包括： 5.2.1.1信息資產(chǎn) 1)數(shù)據(jù)文檔資產(chǎn)：客戶和公司數(shù)據(jù)，各種介質(zhì)的信息文件包括紙 質(zhì)文件。 2)軟件資產(chǎn)：應(yīng)用軟

4、件、系統(tǒng)軟件、開發(fā)工具和適用程序。 3)硬件資產(chǎn)：計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備。 4)服務(wù)：培訓(xùn)服務(wù)、租賃服務(wù)、公用設(shè)施（能源、電力）。 5)人員：人員的資格、技能和經(jīng)驗(yàn)。 6)無(wú)形資產(chǎn)：組織的聲譽(yù)、商標(biāo)、形象。 5.3資產(chǎn)及其重要度 5.3.1識(shí)別組織的資產(chǎn) 識(shí)別在評(píng)估范圍內(nèi)的資產(chǎn)。對(duì)于在范圍內(nèi)的每一項(xiàng)資產(chǎn)都要恰 當(dāng)統(tǒng)計(jì)；不在評(píng)估范圍內(nèi)的資產(chǎn)，也要進(jìn)行記錄； 按一定的標(biāo)準(zhǔn)，將信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸悾诖嘶A(chǔ)上進(jìn)行 下一步的風(fēng)險(xiǎn)評(píng)估工作。 識(shí)別組織資產(chǎn)，參考資產(chǎn)等級(jí)分類及重要度(安全等級(jí))劃分 5.3.2評(píng)估資產(chǎn)的重要度 1.對(duì)資產(chǎn)的等級(jí)進(jìn)行定義，并表示成相對(duì)等級(jí)的形式。 識(shí)別出

5、資產(chǎn)之后，必須對(duì)資產(chǎn)的重要度進(jìn)行評(píng)估。評(píng)估的依據(jù)是資產(chǎn)的保密性、完整性和可用性在遭受損失之后的后果。 不同資產(chǎn)的安全屬性的重要程度是不一樣的，例如：對(duì)財(cái)物數(shù)據(jù)來(lái)說(shuō)保密性和可核查性是最重要的安全屬性，而對(duì)操作軟 件來(lái)說(shuō)更強(qiáng)調(diào)可用性。對(duì)資產(chǎn)評(píng)估的過程本身就是對(duì)資產(chǎn)安全 屬性損失后果的分析。 在本程序中雖然不按照安全屬性分別賦值，但是評(píng)估過程中要充分考慮本節(jié)中列出的各種安全屬性。 資產(chǎn)重要度描述如下表。 2.決定資產(chǎn)重要度時(shí)，需要考慮： 資產(chǎn)的成本價(jià)格，更重要的是考慮資產(chǎn)對(duì)于組織業(yè)務(wù)的安全 重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響來(lái)決定； 為確保資產(chǎn)重要度的一致性和準(zhǔn)確性，建立一個(gè)統(tǒng)一的尺 度，以無(wú)

6、歧義的方式對(duì)資產(chǎn)的重要度進(jìn)行賦值； 分析和評(píng)價(jià)資產(chǎn)受到侵害后的保密性、完整性和可用性損 失。 決定資產(chǎn)重要度，參考資產(chǎn)安全等級(jí)分類 5.4識(shí)別資產(chǎn)面臨的威脅 實(shí)施風(fēng)險(xiǎn)評(píng)估需要對(duì)要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅的識(shí)別。威脅可以從資產(chǎn)的所有者、使用者、計(jì)劃書、信息專家、社團(tuán)內(nèi)部及外部負(fù)責(zé)信息安全的組織等處獲得。通常，一個(gè)可能的威脅列表對(duì)完成威脅評(píng)估有所幫助。當(dāng)應(yīng)用威脅目錄（列表）或者以前的威脅評(píng)估結(jié)果時(shí)，必須意識(shí)到，威脅總是不斷變化的，尤其是在業(yè)務(wù)環(huán)境與信息發(fā)生變化時(shí)。 1.分析本公司的信息系統(tǒng)存在的威脅種類，確定威脅分類的標(biāo) 準(zhǔn)。 2.綜合威脅來(lái)源、種類和其他因素后得出威脅列表； 3.針對(duì)每一項(xiàng)需

7、要保護(hù)的信息資產(chǎn)，找出可能面臨的威脅。 在識(shí)別資產(chǎn)所面臨的威脅時(shí)，應(yīng)該考慮下面三個(gè)方面的資料和信息來(lái)源： 通過歷史的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過的威脅和 其發(fā)生頻率； 在評(píng)估對(duì)象的實(shí)際環(huán)境中，通過IDS等系統(tǒng)獲取的威脅發(fā)生 數(shù)據(jù)的統(tǒng)計(jì)和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析； 過去一年或兩年來(lái)國(guó)際公司或機(jī)構(gòu)（例如：微軟公司）、社 團(tuán)內(nèi)部負(fù)責(zé)信息安全的組織（例如：CERT應(yīng)急響應(yīng)中心）、社團(tuán) 外部負(fù)責(zé)信息安全的組織（例如：病毒防范產(chǎn)品公司）、業(yè)務(wù)關(guān) 聯(lián)公司發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)安全威脅及其發(fā)生頻率 的統(tǒng)計(jì)數(shù)據(jù)。 5.5識(shí)別威脅可以利用的脆弱性 這一步是評(píng)估容易被攻擊者(或威脅源)

8、攻破(或破壞)的薄弱點(diǎn)，包括基礎(chǔ)設(shè)施中的弱點(diǎn)、控制中的弱點(diǎn)、員工意識(shí)上的弱點(diǎn)、系統(tǒng)中的弱點(diǎn)和設(shè)計(jì)上的弱點(diǎn)等。包括針對(duì)資產(chǎn)所關(guān)聯(lián)的物理環(huán)境、組織、人員、管理、硬件、軟件、程序、代碼、通信設(shè)備等多種可能被威脅源所利用并可能導(dǎo)致危害的，由資產(chǎn)自身特性導(dǎo)致的弱點(diǎn)。系統(tǒng)脆弱性往往需要與對(duì)應(yīng)的威脅相結(jié)合時(shí)才會(huì)對(duì)系統(tǒng)的安全造成危害。 一個(gè)沒有對(duì)應(yīng)威脅的脆弱性一般不會(huì)造成實(shí)在的風(fēng)險(xiǎn)，可以不采取相應(yīng)的防護(hù)措施，但是有必要密切監(jiān)視這種潛在的風(fēng)險(xiǎn)。注意，脆弱性不僅是由于最初購(gòu)置或制造時(shí)的原因產(chǎn)生的，資產(chǎn)的應(yīng)用方法、目的的不同、防護(hù)措施的不足都可能造成脆弱性。例如：E2PROM 是一種可擦寫的存儲(chǔ)設(shè)備，可擦寫是其設(shè)計(jì)

9、時(shí)的一項(xiàng)標(biāo)準(zhǔn)，但可擦寫屬性意味著E2PROM所存儲(chǔ)的信息未經(jīng)授權(quán)的破壞成為可能，這就是一個(gè)脆弱性。 5.6評(píng)估資產(chǎn)在威脅暴露度 暴露度等級(jí)描述資產(chǎn)或資產(chǎn)安全屬性受損害的程度，以下簡(jiǎn)稱暴露度。 本評(píng)估方法將暴露度的等級(jí)定義為5級(jí)。如下表所示： 表：暴露度的等級(jí)定義 在評(píng)估時(shí)可參考下面兩個(gè)表的描述，即根據(jù)對(duì)資產(chǎn)的安全屬性（保密性、可用性、完整性）的損害及影響程度評(píng)價(jià)對(duì)應(yīng)的 表：資產(chǎn)保密性/完整性暴露度的等級(jí)定義 表：資產(chǎn)可用性暴露度的等級(jí)定義 5.7評(píng)估威脅發(fā)生的可能性 容易度描述的是威脅利用脆弱性而可能發(fā)生的容易程度。這 里所說(shuō)的發(fā)生容易度與具體的信息系統(tǒng)沒有關(guān)系。當(dāng)與控制措施結(jié)合之后才形成影響

10、的發(fā)生可能性。 對(duì)于發(fā)生容易度的等級(jí)，需要根據(jù)資產(chǎn)不同的安全屬性分別定義。本公司將發(fā)生容易度的等級(jí)定義為5級(jí)。參見下表： 表：發(fā)生容易度等級(jí)定義 5.8識(shí)別與分析控目前控制手段的有效性 控制措施可以減少風(fēng)險(xiǎn)發(fā)生可能性或者減輕發(fā)生后的影響。因此，必須識(shí)別出控制措施并對(duì)其有效性進(jìn)行評(píng)估。根據(jù)控制措施的有效性對(duì)控制措施賦值，以下簡(jiǎn)稱控制度。公司將控制度的等級(jí)劃分為1-5（5為基本無(wú)效）。每一個(gè)等級(jí)都要對(duì)應(yīng)相應(yīng)的有效性系數(shù) 表：控制措施的控制度與控制措施有效性對(duì)應(yīng)關(guān)系 5.9分析資產(chǎn)在威脅脆弱性下發(fā)生的影響度 影響是指威脅對(duì)脆弱性一次成功攻擊所產(chǎn)生的負(fù)面影響。 影響等級(jí)（以下簡(jiǎn)稱影響度）是資產(chǎn)重要度等

11、級(jí)和暴露等級(jí)的乘積。 確定影響度的定義，本公司采取以下定義和計(jì)算方式 影響度 = （資產(chǎn)重要度等級(jí) * 暴露等級(jí)）* 20% 由資產(chǎn)重要度等級(jí)值（1-5）與暴露等級(jí)（1-5）相乘，并乘以 系數(shù)20%取整后，那么影響度等級(jí)為：1-5。 5.10確定資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性 資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性以下簡(jiǎn)稱發(fā)生可能性。 發(fā)生可能性 = （發(fā)生容易度等級(jí) * 控制度）* 20% 由發(fā)生容易度等級(jí)值（1-5）與控制措施賦值（1-5）相乘，并 乘以系數(shù)20%取整后，那么影響發(fā)生可能性等級(jí)為：1-5。 5.11計(jì)算風(fēng)險(xiǎn)大小 風(fēng)險(xiǎn)大小量化后稱為風(fēng)險(xiǎn)等級(jí)，以下簡(jiǎn)稱風(fēng)險(xiǎn)度。 風(fēng)險(xiǎn)度 = 影響度 * 發(fā)生可能性 表：風(fēng)險(xiǎn)

12、計(jì)算矩陣 本公司按照風(fēng)險(xiǎn)數(shù)值排序的方法，將上面的25的矩陣等級(jí)，按照組織對(duì)風(fēng)險(xiǎn)的接受程度定義為高、中、低3個(gè)風(fēng)險(xiǎn)度的級(jí)別。 風(fēng)險(xiǎn)度為15（含）以上時(shí)表示高，5（含）15表示中，5以下表示低；這包括可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)的劃分，接受與不可接受的界限應(yīng)當(dāng)考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)（機(jī)會(huì)損失成本）的平衡； 風(fēng)險(xiǎn)級(jí) 別對(duì)應(yīng)風(fēng)險(xiǎn) 度 風(fēng)險(xiǎn)描述和必要行動(dòng) 高= 15 如果被評(píng)估為高風(fēng)險(xiǎn)，那么便強(qiáng)烈要求有糾正措施。一個(gè)現(xiàn)有系統(tǒng)可能要繼續(xù)運(yùn)行，但是必須盡快部署針對(duì)性計(jì)劃。 中=5&15 如果被評(píng)估為中風(fēng)險(xiǎn)，那么便要求有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來(lái)實(shí)施這些行動(dòng)。 低5 如果被評(píng)估為低風(fēng)險(xiǎn)，須確

13、定是否還需要采取 5.12風(fēng)險(xiǎn)處理和接受準(zhǔn)則 本公司要求對(duì)“高”風(fēng)險(xiǎn)度制定風(fēng)險(xiǎn)處理計(jì)劃，“中”風(fēng)險(xiǎn)由信息安全小組決定是否采取安全措施，“低”風(fēng)險(xiǎn)屬于可以接受的風(fēng)險(xiǎn)?？偨?jīng)理需要決定是否接受風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)并承認(rèn)風(fēng)險(xiǎn)處理計(jì)劃。 5.13不可接受風(fēng)險(xiǎn)的確定和處理 各責(zé)任部門按照信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃的要求采取有效安全控制措施后,原評(píng)估小組重新評(píng)估其計(jì)劃效果，降至殘余風(fēng)險(xiǎn)可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風(fēng)險(xiǎn)評(píng)估的輸入。殘余風(fēng)險(xiǎn)報(bào)告須經(jīng)總經(jīng)理批準(zhǔn)。 5.14 評(píng)估時(shí)機(jī) 5.14.1 每年重新評(píng)估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施，對(duì)發(fā)生以下

14、情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： a) 當(dāng)發(fā)生重大信息安全事故時(shí)； b) 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)； c) 信息安全管理小組確定有必要時(shí)。 5.14.2 各部門對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷毀的信息資產(chǎn)應(yīng)及時(shí)按照本程序在信息資產(chǎn)識(shí)別評(píng)價(jià)表、重要信息資產(chǎn)清單上予以添加或變更。 6 相關(guān)/支持性文件 ?信息安全適用性聲明 ?信息安全管理手冊(cè) ?文件和資料管理程序 ?信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告 7 記錄 記錄管理程序 1.適用 本程序適用于本公司產(chǎn)生的記錄的管理。 2.目的 為支持信息安全體系的運(yùn)作而明確記錄的管理。 3.管理方法 本公司采用四級(jí)層次文件編寫法。所有信息安全管理的記錄均以ISMS-JL作為開頭，其后

15、由2個(gè)數(shù)字構(gòu)成記錄順序編號(hào)。后兩個(gè)數(shù)字為自然序列號(hào)；以此類推。 如：ISMS-JL11記錄清單。其中“ISMS”表示信息安全類文件；“JL”表示記錄文件，即：表格；“11”代表自然序列號(hào)。 ISMSJL 記錄的順序號(hào) 信息安全管理體系 在每個(gè)記錄文件的頁(yè)眉右上角標(biāo)記出文件的編號(hào)及版本號(hào)。版本及修訂號(hào)的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。如：“ISMSJL A/0”以此類推。 第0次修定（按照數(shù)字自然順序號(hào)，依次使用1、2、3） 第A版（按照英文字母自然排序，依次使用B、C、D） 在使用每個(gè)具體記錄時(shí)，需要在每個(gè)記錄上填寫該記錄的使用序號(hào)（或稱：編號(hào)）規(guī)則為：“部門的簡(jiǎn)寫自然順序號(hào)

16、”。如：“XZ - 01”。以此類推。 自然順序號(hào) 辦公室的簡(jiǎn)稱 本公司本標(biāo)準(zhǔn)覆蓋的部門，辦公室簡(jiǎn)寫：BG ；設(shè)計(jì)部簡(jiǎn)寫：SJ；質(zhì)量部簡(jiǎn)寫：ZL ；經(jīng)營(yíng)部簡(jiǎn)寫；JY 采購(gòu)部簡(jiǎn)寫：CG 財(cái)務(wù)部簡(jiǎn)寫：CW。 3.1 保管方法 （1）記錄由各保管部門在可快速檢索的條件下，決定保管場(chǎng)所，放在箱子、柜子等適當(dāng)容器中保管。 （2）對(duì)保管場(chǎng)所的環(huán)境，本程序沒有特別指定。由各保管部門考慮記錄媒體的特性做適當(dāng)處理。 （3）以電子媒體保管的場(chǎng)合，為預(yù)防意外，需做適當(dāng)?shù)膫浞?。備份?安全要求執(zhí)行重要信息備份管理程序。 （4）記錄保管部門應(yīng)建立記錄清單，明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應(yīng)符合有關(guān)法律法

17、規(guī)的要求，保存期限參考本規(guī)格書第4條款。 （5）因工作需要，借閱其他部門的秘密記錄，應(yīng)獲得記錄保管部門負(fù)責(zé)人授權(quán)后方可借閱，并留下授權(quán)記錄和借閱記錄。借閱者在借閱期內(nèi)應(yīng)妥善保管記錄，并按期歸還；機(jī)密記錄只準(zhǔn)在現(xiàn)場(chǎng)查閱。 （6）記錄的字跡應(yīng)清晰、真實(shí)、文字表達(dá)準(zhǔn)確、簡(jiǎn)練，記錄不得隨意修改。確需修改時(shí)，必須在修改處作標(biāo)識(shí)，并由修改人簽名確認(rèn)。 3.2 廢棄 超過保管期限的記錄，由保管部門作為秘密文件處理廢棄。廢棄應(yīng)采用安全可靠的處置方法（如書面記錄采用粉碎方法、電子媒體采用格式化方法等），處置記錄應(yīng)予以保存。但若保管部門認(rèn)為必要時(shí)，仍可繼續(xù)保管超出保管期限的記錄。 4.記錄的分類和保存年限詳見記錄

18、清單 5.記錄 糾正預(yù)防措施控制程序 1 適用 本程序適用于對(duì)本公司為消除信息安全不符合/潛在不符合原因 所采取的糾正/預(yù)防措施的控制。 2 目的 為對(duì)不符合/潛在不符合進(jìn)行分析、采取措施，并予以消除，以逐步改進(jìn)和完善信息安全管理體系，特制定本程序。 3 職責(zé) 本公司辦公室為公司信息安全管理體系糾正/預(yù)防措施的歸口管理部門，負(fù)責(zé)組織相關(guān)部門進(jìn)行信息安全數(shù)據(jù)的收集及分析，確定不符合/潛在不符合原因，評(píng)價(jià)糾正/預(yù)防措施的需求，組織相關(guān)部門制定糾正/預(yù)防措施，并由辦公室負(fù)責(zé)跟蹤驗(yàn)證。 4 程序 4.1 糾正/預(yù)防措施信息來(lái)源有： a. 公司內(nèi)外安全事件記錄、事故報(bào)告、薄弱點(diǎn)報(bào)告； b. 日常管理檢查

19、及技術(shù)檢查中指出的不符合； c. 信息安全監(jiān)控記錄； d. 內(nèi)、外部審核報(bào)告及管理評(píng)審報(bào)告中的不符合項(xiàng)； e. 相關(guān)方的建議或抱怨； f. 風(fēng)險(xiǎn)評(píng)估報(bào)告； g. 其他有價(jià)值的信息等。 4.2 辦公室每半年組織相關(guān)部門利用4.1條款所規(guī)定的信息來(lái)源，分析確定不符合/潛在不符合及其原因，評(píng)價(jià)防止不符合發(fā)生的措施的需求，并形成信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。采取糾正/預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)，對(duì)于以下情況的不符合/潛在不符合應(yīng)采取糾正/預(yù)防措施： a. 可能造成信息安全事故； b. 可能影響顧客滿意程度、造成顧客抱怨與投訴； c. 可能影響本公司的企業(yè)形象與經(jīng)濟(jì)利益； d. 可能造成生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)中

20、斷。 對(duì)于各部門日常發(fā)現(xiàn)報(bào)告的重大安全隱患（安全薄弱點(diǎn)），辦公室應(yīng)組織有關(guān)部門進(jìn)行原因分析，采取糾正/預(yù)防措施。 4.3需制定糾正/預(yù)防措施時(shí)，辦公室應(yīng)將有關(guān)不符合/潛在不符合信息及原因填入糾正/預(yù)防措施申請(qǐng)單，組織有關(guān)部門制定糾正/預(yù)防措施對(duì)策，確定實(shí)施糾正/預(yù)防措施的部門，填入糾正/預(yù)防措施申請(qǐng)單，經(jīng)管理責(zé)任人批準(zhǔn)后予以實(shí)施。 4.4 當(dāng)問題原因不確定或責(zé)任重大時(shí)，由采取糾正/預(yù)防措施的部門呈報(bào)公司信息安全最高責(zé)任者，必要時(shí)，應(yīng)提交公司信息安全管理委員會(huì)進(jìn)行專題研究，商討對(duì)策。 4.5 實(shí)施糾正/預(yù)防措施的部門應(yīng)按照糾正/預(yù)防措施申請(qǐng)單要求認(rèn)真執(zhí)行，并將執(zhí)行結(jié)果記入相應(yīng)糾正/預(yù)防措施申請(qǐng)單

21、中。 4.6辦公室對(duì)糾正/預(yù)防措施實(shí)施結(jié)果進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果記錄在糾正/預(yù)防措施申請(qǐng)單上。 驗(yàn)證內(nèi)容包括： a. 糾正/預(yù)防措施是否按糾正/預(yù)防措施計(jì)劃的要求實(shí)施； b. 是否消除了不符合/潛在不符合的原因。 4.7經(jīng)驗(yàn)證效果不理想，負(fù)責(zé)制定糾正/預(yù)防措施的部門應(yīng)重新編制糾正/預(yù)防措施申請(qǐng)單，依據(jù)本程序4.3要求實(shí)施。 4.8糾正/預(yù)防措施需要涉及文件更改的，應(yīng)對(duì)文件進(jìn)行評(píng)審，按文件和資料管理程序更改文件。 4.9 辦公室應(yīng)做好糾正/預(yù)防措施相關(guān)記錄的保存。管理評(píng)審前，將各部門所采取的糾正/預(yù)防措施的有關(guān)情況匯總，提交管理評(píng)審。 5 記錄 管理評(píng)審控制程序 1 適用 本程序?qū)π畔踩芾眢w

22、系中要求進(jìn)行的管理評(píng)審的實(shí)施程序作規(guī)定。 2 目的 為確保公司信息安全管理體系持續(xù)的適宜性、充分性和有效性，評(píng)估公司信息安全管理體系改進(jìn)和變更的需要，包括信息安全方針、目標(biāo)，特制定本程序。 3 相關(guān)文件 信息安全手冊(cè) 4 實(shí)施程序 4.1 實(shí)施頻率、時(shí)期 管理評(píng)審每年至少進(jìn)行一次。 4.2 召集和參加評(píng)審者 4.2.1由總經(jīng)理指示信息安全管理體系的管理者代表（以下簡(jiǎn)稱管理者代表）召開管理評(píng)審會(huì)議。 4.2.2參加管理評(píng)審會(huì)議者包括最高管理者、管理者代表及相關(guān)的部門長(zhǎng)（或高級(jí)主管）。受召集的部門長(zhǎng)因不得已的理由而無(wú)法出席時(shí)，可讓其他管理者代其出席。 4.2.3除了每年定期召開一次管理評(píng)審會(huì)議外，

23、最高管理者還可在發(fā)生以下情況時(shí)，指示管理者代表召開管理評(píng)審會(huì)議。 a.當(dāng)本公司的產(chǎn)品、過程、系統(tǒng)、組織機(jī)構(gòu)、人員和資源等有重大變化時(shí)； b.當(dāng)連續(xù)出現(xiàn)重大信息安全事故時(shí)； c.當(dāng)相關(guān)方有重大投訴或抱怨時(shí)； d.內(nèi)部審核、顧客審核或GBT22080-2016外部審核時(shí)，發(fā)現(xiàn)了對(duì)全公司有影響，屬信息安全管理體系上的重大不符合事項(xiàng)時(shí)； e. GBT22080-2016修訂的情況下。 4.3 評(píng)審程序 4.3.1管理者代表和各部門長(zhǎng)準(zhǔn)備以下資料，在管理評(píng)審中向最高管理者說(shuō)明。 管理輸入包括： a) ISMS審核和評(píng)審的結(jié)果、方針和目標(biāo)； b) 相關(guān)方的反饋； c) 可以用于改進(jìn)ISMS業(yè)績(jī)及有效性的技

24、術(shù)、產(chǎn)品或程序； d) 糾正和預(yù)防措施的實(shí)施情況； e) 在以前風(fēng)險(xiǎn)評(píng)估沒有充分提出的薄弱點(diǎn)或威脅； f) 以往管理評(píng)審的跟蹤措施； g) 可能影響ISMS的任何更改； h) 改進(jìn)的建議。 4.3.2 最高管理者接收了上述報(bào)告后，根據(jù)需要確認(rèn)詳細(xì)內(nèi)容，對(duì)信息安全體系的有效性和運(yùn)用狀況進(jìn)行評(píng)價(jià)，對(duì)以下管理評(píng)審輸出作指示。 管理評(píng)審輸出： a) ISMS有效性的改進(jìn)； b) 修改影響信息安全的程序文件，必要時(shí)，對(duì)可能影響ISMS的內(nèi)外事件（events)發(fā)生的變更進(jìn)行對(duì)應(yīng)；這些變更包括： 1) 業(yè)務(wù)要求； 2) 安全要求； 3) 影響現(xiàn)存業(yè)務(wù)要求的業(yè)務(wù)過程； 4) 法律法規(guī)環(huán)境； 5) 風(fēng)險(xiǎn)水平和

25、/或風(fēng)險(xiǎn)接受水平。 c) 資源的需求。 4.4 跟蹤 4.4.1管理者代表編寫管理評(píng)審的會(huì)議記事錄，經(jīng)過最高管理者批準(zhǔn)后，發(fā)給各相關(guān)部門。同時(shí)，通過文件將最高管理者的指示內(nèi)容發(fā)給處置責(zé)任部門，委托推進(jìn)糾正措施； 4.4.2管理者代表確認(rèn)糾正和預(yù)防措施的實(shí)施日程和進(jìn)度狀況，并將結(jié)果書面報(bào)告給最高管理者； 4.4.3最高管理者針對(duì)上述報(bào)告，作適當(dāng)?shù)闹甘尽?4.5 管理評(píng)審的記錄 管理評(píng)審的輸入、輸出、會(huì)議記錄以及糾正和預(yù)防措施的記錄由管理者代表保管三年以上。 文件和資料管理程序 1. 目的 對(duì)信息安全管理體系所要求的文件進(jìn)行控制，確?？色@得適用文件的有效版本。 2. 適用范圍 本程序適用于公司各部門的信息安全管理體系