ISO27001信息安全管理手冊(cè)

1、信息安全管理手冊(cè)版本號(hào)：V1.0目錄TOC o 1-5 h z HYPERLINK l bookmark4 01頒布令1 HYPERLINK l bookmark6 02管理者代表授權(quán)書(shū)203企業(yè)概況3 HYPERLINK l bookmark10 04信息安全管理方針目標(biāo)3 HYPERLINK l bookmark12 05手冊(cè)的管理6 HYPERLINK l bookmark14 信息安全管理手冊(cè)7范圍7總則7應(yīng)用7規(guī)范性引用文件8術(shù)語(yǔ)和定義8本公司8信息系統(tǒng)8計(jì)算機(jī)病毒8信息安全事件8相關(guān)方8信息安全管理體系9概述9建立和管理信息安全管理體系9文件要求15管理職責(zé)18管理承諾18資源管理

2、18內(nèi)部信息安全管理體系審核19總則19內(nèi)審策劃19內(nèi)審實(shí)施19管理評(píng)審21總則21評(píng)審輸入21評(píng)審輸出21評(píng)審程序22信息安全管理體系改進(jìn)23持續(xù)改進(jìn)23糾正措施23預(yù)防措施23iso27001信息安全管理手冊(cè)iso27001信息安全管理手冊(cè) 信息安全管理方針目標(biāo)為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶(hù)的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針如下：強(qiáng)化意識(shí)規(guī)范行為數(shù)據(jù)保密信息完整本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制公司采用系統(tǒng)的方法，按照GB/T22080-2008idtISO27001:

3、2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、信息安全管理組織1公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。2公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。4與上級(jí)部門(mén)、地方政府、相關(guān)專(zhuān)業(yè)部門(mén)建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。三、人員安全1信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包

4、含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2對(duì)本公司的相關(guān)方針，要明確安全要求和安全職責(zé)。3定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。4全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識(shí)別法律、法規(guī)、合同中的安全及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿(mǎn)足安全要求。五、風(fēng)險(xiǎn)評(píng)估1根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變

5、化時(shí)，隨時(shí)評(píng)估。3應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件1公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門(mén)。2全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3接受信息安全事件報(bào)告的主管部門(mén)應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專(zhuān)項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性1公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過(guò)程受?chē)?yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。2定期對(duì)業(yè)務(wù)持續(xù)

6、性計(jì)劃進(jìn)行測(cè)試和更新。九、違反信息安全要求的懲罰對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)如下：確保每年重大信息安全事件(事故)發(fā)生次數(shù)為零。確保單個(gè)重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過(guò)1次，每次中斷時(shí)間不超過(guò)2小時(shí)。確保信息安全事件發(fā)現(xiàn)率99%、上報(bào)和處理率100%。05手冊(cè)的管理信息安全管理手冊(cè)的批準(zhǔn)信息安全管理委員會(huì)負(fù)責(zé)組織編制信息安全管理手冊(cè)，總經(jīng)理負(fù)責(zé)批準(zhǔn)。信息安全管理手冊(cè)的發(fā)放、更改、作廢與銷(xiāo)毀a）行政中心負(fù)責(zé)按文件和資料管理程序的要求，進(jìn)行信息安全管理手冊(cè)的登記、發(fā)放、回收、更改、歸檔、作廢與銷(xiāo)毀工作；b）各相關(guān)部門(mén)按照受控文件的管理要求對(duì)收到的信息安全管

7、理手冊(cè)進(jìn)行使用和保管；c）行政中心按照規(guī)定發(fā)放修改后的信息安全管理手冊(cè)，并收回失效的文件做出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性；d）行政中心保留信息安全管理手冊(cè)修改內(nèi)容的記錄。信息安全管理手冊(cè)的換版當(dāng)依據(jù)的GB/T22080-2008idtISO27001:2005標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、開(kāi)發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及信息安全管理手冊(cè)發(fā)生需修改部分超過(guò)1/3時(shí)，應(yīng)對(duì)信息安全管理手冊(cè)進(jìn)行換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編制、審批工作。信息安全管理手冊(cè)的控制a）本信息安全管理手冊(cè)標(biāo)識(shí)分受控文件和非受控文件兩種：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門(mén)的負(fù)責(zé)人、內(nèi)審員

8、；非受控文件指印制成單行本，作為投標(biāo)書(shū)的資料或?yàn)樯a(chǎn)、銷(xiāo)售目的等發(fā)給受控范圍以外的其他相關(guān)人員。b）信息安全管理手冊(cè)有書(shū)面文件和電子文件。信息安全管理手冊(cè)范圍總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱(chēng)ISMS）,確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。應(yīng)用覆蓋范圍：本信息安全管理手冊(cè)規(guī)定了DXC的信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全管理體系改進(jìn)等方面內(nèi)容。本信息安全管理手冊(cè)適用于DXC業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全

9、管理活動(dòng)，具體見(jiàn)4.2.2.1條款規(guī)定。刪減說(shuō)明本信息安全管理手冊(cè)采用了GB/T22080-2008idtISO27001:2005標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減見(jiàn)適用性聲明。規(guī)范性引用文件下列文件中的條款通過(guò)本信息安全管理手冊(cè)的引用而成為本信息安全管理手冊(cè)的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，行政中心應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊(cè)。GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求GB/T22081-2008idtISO27002:

10、2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則術(shù)語(yǔ)和定義GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則規(guī)定的術(shù)語(yǔ)和定義適用于本信息安全管理手冊(cè)。本公司指DXC，包括DXC所屬各部門(mén)。信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令

11、或者程序代碼。信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績(jī)效有利益關(guān)系的組織和個(gè)人。主要為：政府、供方、銀行、用戶(hù)、電信等。信息安全管理體系概述本公司在軟件開(kāi)發(fā)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)中，按GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、

12、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。信息安全管理體系使用的過(guò)程基于圖1所示的PDCA模型。圖1信息安全管理體系模型建立和管理信息安全管理體系建立信息安全管理體系信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：本公司涉及軟件開(kāi)發(fā)、營(yíng)銷(xiāo)、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；與所述信息系統(tǒng)有關(guān)的活動(dòng)；與所述信息系統(tǒng)有關(guān)的部門(mén)和所有員工；所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見(jiàn)本手冊(cè)附錄A(規(guī)范性附錄)信息安全管理體系組織機(jī)構(gòu)圖。物理范圍：

13、本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于市惠山經(jīng)濟(jì)開(kāi)發(fā)區(qū)前洲配套區(qū)興洲路2號(hào)，科創(chuàng)中心二樓，安全邊界詳見(jiàn)附錄B(規(guī)范性附錄)辦公場(chǎng)所平面圖。信息安全管理體系的方針為了滿(mǎn)足適用法律法規(guī)及相關(guān)方要求，維持軟件開(kāi)發(fā)和經(jīng)營(yíng)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見(jiàn)本信息安全管理手冊(cè)第0.4條款。該信息安全方針?lè)弦韵乱螅簽樾畔踩繕?biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；考慮業(yè)務(wù)及法律或法規(guī)的要求，及

14、合同的安全義務(wù)；與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)識(shí)別并滿(mǎn)足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d)采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類(lèi)信息，實(shí)現(xiàn)信息共享；對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。風(fēng)險(xiǎn)評(píng)估的方法行政

15、中心負(fù)責(zé)制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估管理程序，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)評(píng)估管理程序，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、人員、服務(wù)、文檔。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類(lèi)、保密性、完整性、可用性、法律法規(guī)符合性要求進(jìn)行了量化賦值，形成了資產(chǎn)識(shí)別清單。同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理程序，

16、識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。4.2.1.5分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按信息安全風(fēng)險(xiǎn)評(píng)估管理程序，采用人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)；根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇行政中心組織有關(guān)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，

17、該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門(mén)、負(fù)責(zé)人、目的、范圍以及處置策略。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧合麥p風(fēng)險(xiǎn)（通過(guò)適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性）；接受風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者處理的代價(jià)高于風(fēng)險(xiǎn)引起的損失，公司決定接受該風(fēng)險(xiǎn)/殘余風(fēng)險(xiǎn)）；規(guī)避風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)，從而避免風(fēng)險(xiǎn)）；轉(zhuǎn)移風(fēng)險(xiǎn)（通過(guò)購(gòu)買(mǎi)保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。選擇控制目標(biāo)與控制措施行政中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門(mén)制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門(mén)（見(jiàn)適用性聲明）：a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b）控制目標(biāo)及控制

18、措施的選擇原則來(lái)源于GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求附錄A，具體控制措施參考GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則。c）本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。最高管理者通過(guò)本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。適用性聲明行政中心負(fù)責(zé)編制適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容：a）所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b）對(duì)GB/T22080-2008idtIS

19、O27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說(shuō)明（本公司未涉及此項(xiàng)業(yè)務(wù)）。實(shí)施及運(yùn)作信息安全管理體系4.2.2.1為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展以下活動(dòng)：a）形成信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的信息安全職責(zé)；c）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d）確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；

20、f）對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g）對(duì)信息安全所需資源進(jìn)行管理；h）實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。信息安全組織機(jī)構(gòu)本公司成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)-信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司體系推進(jìn)由行政中心負(fù)責(zé)，其主要負(fù)責(zé)制訂、落實(shí)貫標(biāo)工作計(jì)劃，對(duì)單位、部門(mén)貫標(biāo)工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司由相關(guān)部門(mén)代表組成信息安全委員會(huì)，采用聯(lián)席會(huì)議

21、（協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：確保安全活動(dòng)的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準(zhǔn)信息安全的方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估、信息分類(lèi)；識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?。信息安全職?zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定了信息安全管理者代表。無(wú)論信息安全管理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；對(duì)信息安全管理體

22、系的運(yùn)行情況和必要的改善措施向信息安全委員會(huì)或最高責(zé)任者報(bào)告。各部門(mén)負(fù)責(zé)人為本部門(mén)信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全保密義務(wù)；各部門(mén)、人員有關(guān)信息安全職責(zé)分配見(jiàn)附錄C（規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表和相應(yīng)的程序文件。各部門(mén)應(yīng)按照適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。監(jiān)督與評(píng)審信息安全管理體系本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b）及時(shí)了解識(shí)別失敗的和成功的安全破壞

23、和事件、信息處理系統(tǒng)遭受的各類(lèi)攻擊；c）使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e)積累信息安全方面的經(jīng)驗(yàn)。根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見(jiàn)本手冊(cè)第7章。行政中心應(yīng)組織有關(guān)部門(mén)按照信息安全風(fēng)險(xiǎn)評(píng)估管理程序的要求，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變

24、更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過(guò)程；已識(shí)別的威脅；實(shí)施控制的有效性；外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見(jiàn)本手冊(cè)第6章。定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別信息安全管理體系過(guò)程的改進(jìn)，管理評(píng)審的具體要求，見(jiàn)本手冊(cè)第7章?？紤]監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。保持與持續(xù)改進(jìn)信息安全管理體系我公司開(kāi)展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改

25、進(jìn)的項(xiàng)目；按照內(nèi)部審核管理程序、糾正措施管理程序、預(yù)防措施管理程序的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故(事件)的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；通過(guò)適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專(zhuān)家的建議、信息安全政府行政主管部門(mén)的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。文件要求總則本公司信息安全管理體系文件包括：文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊(cè)中描述；信息安全管理手冊(cè)(本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn))；本手冊(cè)要求的信息安全風(fēng)險(xiǎn)評(píng)估管理程序、業(yè)務(wù)

26、持續(xù)性管理程序、糾正措施管理程序等支持性程序；信息安全管理體系引用的支持性程序。如：文件和資料管理程序、記錄管理程序、內(nèi)部審核管理程序等；為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序；f)信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告、信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃以及信息安全管理體系要求的記錄類(lèi)文件；g)相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h)適用性聲明(SOA)。文件控制行政中心制定并實(shí)施文件和資料管理程序，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書(shū)和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回

27、收等管理工作做出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用時(shí)，可獲得相關(guān)文件的最新版本；確保文件保持清晰、易于識(shí)別；確保文件可以為需要者所獲得，并根據(jù)適用于他們類(lèi)別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷(xiāo)毀；確保外來(lái)文件得到識(shí)別；確保文件的分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。記錄控制4.3.3.1信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。行政中心負(fù)責(zé)制定并維持易讀、易識(shí)別、可

28、方便檢索又考慮法律、法規(guī)要求的記錄管理程序，規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。4.3.3.2信息安全體系的記錄應(yīng)包括本手冊(cè)第4.2條中所列出的所有過(guò)程的結(jié)果及與ISMS相關(guān)的安全事故（事件）的記錄。4.3.3.3各部門(mén)應(yīng)根據(jù)記錄管理程序的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗洝SMS職能分配表注：主要責(zé)任次要責(zé)任主、管部門(mén)手冊(cè)條款總經(jīng)理管理者代表行政中心項(xiàng)目中客服中心4信息安全管理體系總體要求建立ISMS實(shí)施ISMS監(jiān)視和評(píng)審ISMS保持和改進(jìn)ISMS文件控制記錄控制5管理職責(zé)管理承諾資源提供培訓(xùn)意識(shí)和能力6ISMS內(nèi)部審計(jì)7ISMS管理評(píng)審8改進(jìn)持續(xù)改進(jìn)糾正措施預(yù)防措施A

29、5安全方針A6信息安全組織A7資產(chǎn)管理A8人力資源管理A9物理和環(huán)境安全A10通訊和操作管理A11訪(fǎng)問(wèn)控制A12信息系統(tǒng)的獲取，開(kāi)發(fā)和維護(hù)A13信息安全事故管理A14業(yè)務(wù)持續(xù)性管理A15符合性管理職責(zé)管理承諾我公司管理者通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：建立信息安全方針（見(jiàn)本手冊(cè)第0.4章）；確保信息安全目標(biāo)得以制定（見(jiàn)本手冊(cè)第0.4章、適用性聲明、信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄）；c）建立信息安全的角色和職責(zé)（見(jiàn)本手冊(cè)附錄E）；向組織傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；提供充分的資源，以建立、實(shí)

30、施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體系（見(jiàn)本手冊(cè)第5.2章）；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)（見(jiàn)信息安全風(fēng)險(xiǎn)評(píng)估管理程序及相關(guān)記錄）；確保內(nèi)部信息安全管理體系審核（見(jiàn)本手冊(cè)第6章）得以實(shí)施；實(shí)施信息安全管理體系管理評(píng)審（見(jiàn)本手冊(cè)第7章）。資源管理資源的提供本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；通過(guò)正確應(yīng)用所實(shí)施的所有控制來(lái)保持充分的安全；必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取

31、適當(dāng)措施；需要時(shí)，改進(jìn)信息安全管理體系的有效性。培訓(xùn)、意識(shí)和能力行政中心制定并實(shí)施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過(guò)：a）確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來(lái)滿(mǎn)足這些需求；c）評(píng)價(jià)所采取措施的有效性；d）保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。內(nèi)部信息安全管理體系審核總則行政中心負(fù)責(zé)建立并實(shí)施內(nèi)部審核管理程序，內(nèi)部審核管理程序應(yīng)包括策劃和實(shí)施審核

32、以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識(shí)別的信息安全要求；得到有效地實(shí)施和維護(hù)；按預(yù)期執(zhí)行。內(nèi)審策劃行政中心應(yīng)考慮擬審核的過(guò)程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，行政中心應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。內(nèi)審實(shí)施應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a）進(jìn)行首次會(huì)議，明確審核

33、的目的和范圍，采用的方法和程序；b）實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；c）進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開(kāi)內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審核意見(jiàn)和不符合報(bào)告；d）審核組長(zhǎng)編制審核報(bào)告。對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門(mén)應(yīng)編制糾正措施，由行政中心組織對(duì)受審部門(mén)的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證。按照記錄管理程序的要求，保存審核記錄。內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一。管理評(píng)審總則7.1.1行政中心負(fù)責(zé)每年下半年組織信息安全管理體系管理評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。7.1.2管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。7.1.3管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。評(píng)審輸入管理評(píng)審的輸入要包括以下信息：信息安全管理體系審核和評(píng)審的結(jié)果；相關(guān)方的反饋；用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱性或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；任何可能影響信息安全管理體系的變更；改進(jìn)的建議。評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與下列內(nèi)容相關(guān)