某計算機網(wǎng)絡(luò)有限公司信息安全管理手冊

1、Evaluation Warning: The document was created with Spire.Doc for .NET.信息安全管管理手冊冊SW-IISMSS-A-01Ver 11.1 發(fā)布日期2014年年10月月1日發(fā)布部門信息安全管管理小組組實施日期2014年年10月月1日佛山市三維計算機網(wǎng)絡(luò)有限公司文件編號SW-ISMS-A-01信息安全管理體系手冊文件版本1.1密級秘密 viii版本變更履歷變更人/變變更日期期審核人/審審核日期期批準(zhǔn)人/批批準(zhǔn)日期期1.0初次發(fā)布藍(lán)金桃/220144.100.1/20144.100.1王楚標(biāo)/220144.100.1目錄TOC o 1

2、-2 h z u HYPERLINK l _Toc256581137 頒布令 PAGEREF _Toc256581137 h iiii HYPERLINK l _Toc256581138 授權(quán)書 PAGEREF _Toc256581138 h iiv HYPERLINK l _Toc256581139 0 前言 PAGEREF _Toc256581139 h 1 HYPERLINK l _Toc256581140 1 范圍 PAGEREF _Toc256581140 h 1 HYPERLINK l _Toc256581141 1.1 總總則 PAGEREF _Toc256581141 h 1

3、HYPERLINK l _Toc256581142 1.2 應(yīng)應(yīng)用 PAGEREF _Toc256581142 h 1 HYPERLINK l _Tooc255658811443 2 規(guī)范范性引用用文件 PAGEREF _Toc256581143 h 1 HYPERLINK l _Toc256581144 3 術(shù)語和和定義 PAGEREF _Toc256581144 h 2 HYPERLINK l _Toc256581145 3.1 術(shù)術(shù)語 PAGEREF _Toc256581145 h 2 HYPERLINK l _Toc256581146 3.2 縮縮寫 PAGEREF _Toc25658

4、1146 h 2 HYPERLINK l _Toc256581147 4 信息安安全管理理體系 PAGEREF _Toc256581147 h 2 HYPERLINK l _Toc256581148 4.1 總總要求 PAGEREF _Toc256581148 h 2 HYPERLINK l _Toc256581149 4.2 建建立和管管理信息息安全管管理體系系 PAGEREF _Toc256581149 h 3 HYPERLINK l _Toc256581150 4.3 文文件要求求 PAGEREF _Toc256581150 h 9 HYPERLINK l _Toc256581151 5

5、 管理職職責(zé) PAGEREF _Toc256581151 h 11 HYPERLINK l _Toc256581152 5.1 管管理承諾諾 PAGEREF _Toc256581152 h 11 HYPERLINK l _Toc256581153 5.2 資資源管理理 PAGEREF _Toc256581153 h 11 HYPERLINK l _Toc256581154 6 內(nèi)部信信息安全全管理體體系審核核 PAGEREF _Toc256581154 h 12 HYPERLINK l _Toc256581155 6.1 總總則 PAGEREF _Toc256581155 h 12 HYPER

6、LINK l _Toc256581156 6.2 內(nèi)內(nèi)審策劃劃 PAGEREF _Toc256581156 h 12 HYPERLINK l _Toc256581157 6.3 內(nèi)內(nèi)審員 PAGEREF _Toc256581157 h 13 HYPERLINK l _Toc256581158 6.4 內(nèi)內(nèi)審實施施 PAGEREF _Toc256581158 h 13 HYPERLINK l _Toc256581159 7 管理評評審 PAGEREF _Toc256581159 h 14 HYPERLINK l _Toc256581160 7.1 總總則 PAGEREF _Toc25658116

7、0 h 14 HYPERLINK l _Toc256581161 7.2 評評審輸入入 PAGEREF _Toc256581161 h 14 HYPERLINK l _Toc256581162 7.3 評評審輸出出 PAGEREF _Toc256581162 h 14 HYPERLINK l _Toc256581163 8 信息安安全管理理體系改改進(jìn) PAGEREF _Toc256581163 h 15 HYPERLINK l _Toc256581164 8.1 持持續(xù)改進(jìn)進(jìn) PAGEREF _Toc256581164 h 15 HYPERLINK l _Toc256581165 8.2 糾糾

8、正措施施 PAGEREF _Toc256581165 h 15 HYPERLINK l _Toc256581166 8.3 預(yù)預(yù)防措施施 PAGEREF _Toc256581166 h 15 HYPERLINK l _Toc256581167 附錄1-組組織概況況 PAGEREF _Toc256581167 h 16 HYPERLINK l _Toc256581168 附錄2-組組織機構(gòu)構(gòu)圖 PAGEREF _Toc256581168 h 17 HYPERLINK l _Toc256581169 附錄3-職職能分配配表 PAGEREF _Toc256581169 h 17 HYPERLINK

9、l _Toc256581170 附錄4-信信息安全全小組成成員 PAGEREF _Toc256581170 h 21 HYPERLINK l _Toc256581171 附錄5-方方針文件件清單 PAGEREF _Toc256581171 h 21 HYPERLINK l _Toc256581172 附錄6-程程序文件件清單 PAGEREF _Toc256581172 h 22 HYPERLINK l _Toc256581173 附錄7-公公司外部部環(huán)境、內(nèi)內(nèi)部環(huán)境境及網(wǎng)絡(luò)絡(luò)圖 PAGEREF _Toc256581173 h 23頒布令為提高我公公司的信信息安全全管理水水平，保保障公司司業(yè)務(wù)活

10、活動的正正常進(jìn)行行，防止止由于信信息安全全事件（信信息系統(tǒng)統(tǒng)的中斷斷、數(shù)據(jù)據(jù)的丟失失、敏感感信息的的泄密）導(dǎo)導(dǎo)致的公公司和客客戶的損損失，我我公司開開展貫徹徹GB/T2220800-20008iidtIISO2270001:220055信息息技術(shù)-安全技技術(shù)-信信息安全全管理體體系要求求國際際標(biāo)準(zhǔn)工工作，建建立、實實施和持持續(xù)改進(jìn)進(jìn)文件化化的信息息安全管管理體系系，制定定了佛山山市三維維計算機機網(wǎng)絡(luò)有有限公司司信息息安全管管理手冊冊。指導(dǎo)管理體體系運行行的公司司信息息安全管管理體系系手冊經(jīng)經(jīng)評審后后，現(xiàn)予予以批準(zhǔn)準(zhǔn)發(fā)布。信息安全全管理體系系手冊的的發(fā)布，標(biāo)標(biāo)志著我我公司從從現(xiàn)在起起，必須須按照

11、信信息安全全管理體體系標(biāo)準(zhǔn)準(zhǔn)的要求求和公司司信息息安全管管理體系系手冊所所描述的的規(guī)定，不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的應(yīng)用軟件的開發(fā)和維護(hù)服務(wù)，以確立公司在社會上的良好信譽。信息安全全管理體系系手冊是是公司規(guī)規(guī)范內(nèi)部部管理的的指導(dǎo)性性文件，也也是全體體員工在在向顧客客提供服服務(wù)過程程必須遵遵循的行行動準(zhǔn)則則。信息安安全管理理體系手冊冊一經(jīng)經(jīng)發(fā)布，就就是強制制性文件件，全體體員工必必須認(rèn)真真學(xué)習(xí)、切切實執(zhí)行行。本手冊自220144年100月155日正式式實施。佛山市三維維計算機機網(wǎng)絡(luò)有有限公司司總經(jīng)理：王王楚標(biāo)2014年年 008

12、月 199日授權(quán)書為貫徹執(zhí)行行ISOO/IEEC 270001:20005信信息安全全管理體體系，加加強對信信息管理理體系運運行的領(lǐng)領(lǐng)導(dǎo)，特特授權(quán) 藍(lán)金金桃 女士為公公司管理理者代表表。授權(quán)信息安安全管理理者代表表有如下下職責(zé)和和權(quán)限：確保按照標(biāo)標(biāo)準(zhǔn)的要要求，進(jìn)進(jìn)行資產(chǎn)產(chǎn)識別和和風(fēng)險評評估，全全面建立立、實施施和保持持信息安安全管理理體系；負(fù)責(zé)與信息息安全管管理體系系有關(guān)的的協(xié)調(diào)和和聯(lián)絡(luò)工工作；確保在整個個組織內(nèi)內(nèi)提高信信息安全全風(fēng)險的的意識；審核風(fēng)險評評估報告告、風(fēng)險險處理計計劃；批準(zhǔn)發(fā)布程程序文件件；主持信息安安全管理理體系內(nèi)內(nèi)部審核核，任命命審核組組長，批批準(zhǔn)內(nèi)審審工作報報告；向最高管理

13、理者報告告信息安安全管理理體系的的業(yè)績和和改進(jìn)要要求，包包括信息息安全管管理體系系運行情情況、內(nèi)內(nèi)外部審審核情況況。本授權(quán)書自自任命日日起生效效執(zhí)行。佛山市三維維計算機機網(wǎng)絡(luò)有有限公司司2014年年 100 月 1日佛山市三維計算機網(wǎng)絡(luò)有限公司文件編號SW-ISMS-A-01信息安全管理體系手冊文件版次1.0密級機密第40頁0 前言信信息安全全管理體體系手冊冊（以以下簡稱稱本手冊冊）依據(jù)據(jù)ISOO/IEEC 2270001:220055信息息技術(shù)-安全技技術(shù)-信信息安全全管理體體系-要要求，參參照ISSO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實用規(guī)規(guī)則，

14、結(jié)結(jié)合本行行業(yè)信息息安全的的特點編編寫。本本手冊對對本公司司信息安安全管理理體系作作出了概概括性描描述，為為建立、實實施和保保持信息息安全管管理體系系提供框框架。1 范圍1.1 總總則為建立、實實施、運運行、監(jiān)監(jiān)視、評評審、保保持和改改進(jìn)文件件化的信信息安全全管理體體系，確確定信息息安全方方針和目目標(biāo)，對對信息安安全風(fēng)險險進(jìn)行有有效管理理，確保保全體員員工理解解并遵照照執(zhí)行信信息安全全管理體體系文件件、持續(xù)續(xù)改進(jìn)信信息安全全管理體體系的有有效性，特特制定本本手冊。1.2 應(yīng)應(yīng)用1.2.11 覆蓋范范圍應(yīng)用范圍：本信息安安全管理理體系手手冊規(guī)規(guī)定了信息安安全管理理體系涉涉及的開開發(fā)和維維護(hù)信息息

15、安全管管理、職職責(zé)管理理、內(nèi)部部審核、管管理評審審和信息息安全管管理體系系持續(xù)改改進(jìn)等方方面內(nèi)容容。具體體見條條款規(guī)定定。地址范圍：深圳市福田田區(qū)景田田商報路路奧林匹匹克大廈廈26樓樓B、CC、D號號1.2.22 刪減說說明本信息安安全管理理體系手手冊采采用了IISO/IECC270001:20005標(biāo)準(zhǔn)準(zhǔn)正文的的全部內(nèi)內(nèi)容，對對附錄AA的刪減減及理由由詳見信信息安全全適用性性聲明SSoA。2 規(guī)范性性引用文文件下列文件中中的條款款通過本本信息息安全管管理體系系手冊的的引用而而成為本本信息息安全管管理體系系手冊的的條款。凡凡是標(biāo)注注日期的的引用文文件，其其隨后所所有的修修改單（

16、不不包括勘勘誤的內(nèi)內(nèi)容）或或修改版版均不適適用于本本信息息安全管管理體系系手冊，然然而，信信息安全全管理小小組應(yīng)研研究是否否可使用用這些文文件的最最新版本本。凡是是不注日日期的引引用文件件、其最最新版本本適用于于本信信息安全全管理體體系手冊冊。ISO/IIEC 270001:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求ISO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實用規(guī)規(guī)則3 術(shù)語和和定義3.1 術(shù)術(shù)語ISO/IIEC 270001:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求、ISO/IEC 27002:2005信息技

17、術(shù)-安全技術(shù)-信息安全管理實用規(guī)則規(guī)定的術(shù)語和定義以及下述定義適用于本信息安全管理體系手冊。本組織、本本公司、我我公司：指。3.2 縮縮寫ISMS：Infformmatiion Seccuriity Mannageemennt SSysttemss 信息息安全管管理體系系；SoA:：Staatemmentt off Apppliicabbiliity 適用性性聲明；PDCA:：Plaan DDo CChecck AActiion 計劃、實實施、檢檢查、改改進(jìn)。4 信息安安全管理理體系4.1 總總要求4.1.11 要求求本公司在軟軟件開發(fā)發(fā)、經(jīng)營營、服務(wù)務(wù)和日常常管理活活動中按按ISOO/IEE

18、C 2270001:220055信息息技術(shù)-安全技技術(shù)-信信息安全全管理體體系-要要求規(guī)規(guī)定，參參照ISSO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實用規(guī)規(guī)則標(biāo)標(biāo)準(zhǔn)建立立、實施施、運行行、監(jiān)視視、評審審、保持持和改進(jìn)進(jìn)文件化化的信息息安全管管理體系系。4.1.22 PDDCA模模型信息安全管管理體系系使用的的過程基基于圖11所示的的PDCCA模型型。 建立ISMS 實施和運行ISMS 保持和改進(jìn)ISMS 監(jiān)視和評審ISMS 相關(guān)方 信息安全 要求和期望 相關(guān)方 受控的 信息安全 規(guī)劃Plan 檢查Check 處置Act 實施Do 圖1 信息息安全管管理體系

19、系PDCCA模型型4.2 建建立和管管理信息息安全管管理體系系4.2.11 建立立信息安安全管理理體系 信息安安全管理理體系的的范圍和和邊界本公司根據(jù)據(jù)業(yè)務(wù)特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)確定定了范圍圍和邊界界：本公司信息息安全管管理體系系的范圍圍包括：a) 本公公司涉及及軟件開開發(fā)、營營銷、服服務(wù)和日日常管理理的業(yè)務(wù)務(wù)系統(tǒng)；b) 與所所述信息息系統(tǒng)有有關(guān)的活活動；c) 與所所述信息息系統(tǒng)有有關(guān)的部部門和所所有員工工；d) 所述述活動、系系統(tǒng)及支支持性系系統(tǒng)包含含的全部部信息資資產(chǎn)。業(yè)務(wù)范圍：桌面軟、硬硬件運維維服務(wù)；服務(wù)器器硬件運運維服務(wù)務(wù)；網(wǎng)絡(luò)絡(luò)設(shè)備運運維服

20、務(wù)務(wù)的信息息安全管管理。物理范圍：本公司根據(jù)據(jù)組織的的業(yè)務(wù)特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了信息息安全管管理體系系的物理理范圍和和信息安安全邊界界。本公司信息息安全管管理體系系的物理理范圍為為：佛山市禪城城區(qū)江灣灣路三路路28號號廣東（佛佛山）軟軟件產(chǎn)業(yè)業(yè)園A區(qū)區(qū)10號號樓首層層1033-1005室安全邊界詳詳見附錄錄B（規(guī)規(guī)范性附附錄）辦辦公場所所平面圖圖。ISMS的的范圍是是：計算機應(yīng)用用軟件開開發(fā)和維維護(hù)、系系統(tǒng)集成成和后期期維護(hù)；信息安安全，IIT資產(chǎn)產(chǎn)服務(wù)外外包，IIT運維維服務(wù)本信息安安全管理理體系手手冊采采用了IISO/IECC 270001:20005標(biāo)準(zhǔn)

21、準(zhǔn)正文的的全部內(nèi)內(nèi)容，對對附錄AA的刪減減及理由由詳見信信息安全全適用性性聲明；ISMS的的邊界 地理位位置圖 （詳見見附錄錄7-公公司外部部環(huán)境、內(nèi)內(nèi)部環(huán)境境及網(wǎng)絡(luò)絡(luò)圖） 信息安安全管理理體系的的方針和和目標(biāo).1 方方針為了滿足適適用法律律法規(guī)及及相關(guān)方方要求，維維持ISSMS范范圍內(nèi)的的業(yè)務(wù)正正常進(jìn)行行，實現(xiàn)現(xiàn)業(yè)務(wù)可可持續(xù)發(fā)發(fā)展，本本公司根根據(jù)組織織的業(yè)務(wù)務(wù)特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)確定定了信息息安全管管理體系系方針：信息安全，人人人有責(zé)責(zé)。.1 信信息安全全目標(biāo)客戶針對信信息安全全事件的的投訴每每年不超超過1次次重要信息

22、設(shè)設(shè)備丟失失每年不不超過11起機密和絕密密信息泄泄漏事件件每年不不超過11次大規(guī)模病毒毒爆發(fā)每每年不超超過1次次.2 要要求本公司信息息安全管管理體系系方針符符合以下下要求：為信息安全全目標(biāo)建建立了框框架，并并為信息息安全活活動建立立整體的的方向和和原則；識別并滿足足適用法法律、法法規(guī)和相相關(guān)方信信息安全全要求；與組織戰(zhàn)略略和風(fēng)險險管理相相一致的的環(huán)境下下，建立立和保持持信息安安全管理理體系；建立了風(fēng)險險評價的的準(zhǔn)則；經(jīng)總經(jīng)理批批準(zhǔn)，并并定期評評審其適適用性、充充分性，必必要時予予以修訂訂。.3 承承諾為實現(xiàn)信息息安全管管理體系系方針，本本公司承承諾：在公司內(nèi)各

23、各層次建建立完整整的信息息安全管管理組織織機構(gòu)，確確定信息息安全方方針、安安全目標(biāo)標(biāo)和控制制措施，明明確信息息安全的的管理職職責(zé)；識別并滿足足適用法法律、法法規(guī)和相相關(guān)方信信息安全全要求；定期進(jìn)行信信息安全全風(fēng)險評評估，信信息安全全管理體體系評審審，采取取糾正預(yù)預(yù)防措施施，保證證體系的的持續(xù)有有效性；采用先進(jìn)有有效的設(shè)設(shè)施和技技術(shù)，處處理、傳傳遞、儲儲存和保保護(hù)各類類信息，實實現(xiàn)信息息共享；對全體員工工進(jìn)行持持續(xù)的信信息安全全教育和和培訓(xùn)，不不斷增強強員工的的信息安安全意識識和能力力；制定并保持持完善的的業(yè)務(wù)連連續(xù)性計計劃，實實現(xiàn)可持持續(xù)發(fā)展展。 風(fēng)險評評估的方方法信息安全管管

24、理小組組制定信信息安全全風(fēng)險管管理程序序，建建立識別別適用于于信息安安全管理理體系和和已經(jīng)識識別的業(yè)業(yè)務(wù)信息息安全、法法律和法法規(guī)要求求的風(fēng)險險評估方方法，建建立接受受風(fēng)險的的準(zhǔn)則并并識別風(fēng)風(fēng)險的可可接受等等級。按按信息安安全風(fēng)險險評估執(zhí)執(zhí)行信信息安全全風(fēng)險管管理程序序進(jìn)行行，以保保證所選選擇的風(fēng)風(fēng)險評估估方法應(yīng)應(yīng)確保風(fēng)風(fēng)險評估估能產(chǎn)生生可比較較的和可可重復(fù)的的結(jié)果。 識別風(fēng)風(fēng)險在已確定的的信息安安全管理理體系范范圍內(nèi)，本本公司按按信息息安全風(fēng)風(fēng)險管理理程序?qū)λ械牡馁Y產(chǎn)和和資產(chǎn)所所有者進(jìn)進(jìn)行了識識別；對對每一項項資產(chǎn)按按重置成成本級別別、保密密性、完完整性、可可用性和和資產(chǎn)

25、價價值及重重要性級級別進(jìn)行行了量化化賦值，根根據(jù)重要要資產(chǎn)判判斷準(zhǔn)則則確定是是否為重重要資產(chǎn)產(chǎn)，形成成重要要資產(chǎn)清清單。同同時根據(jù)據(jù)信息息安全風(fēng)風(fēng)險管理理程序識識別對這這些資產(chǎn)產(chǎn)的威脅脅、可能能被威脅脅利用的的脆弱性性、現(xiàn)有有的控制制措施及及現(xiàn)有控控制措施施的有效效性，并并通過對對這些項項目的賦賦值計算算出在喪喪失保密密性、完完整性和和可用性性可能對對重要資資產(chǎn)造成成的影響響。 分析和和評價風(fēng)風(fēng)險本公司按信信息安全全風(fēng)險管管理程序序，采采用人工工分析法法，分析析和評價價風(fēng)險：針對重要資資產(chǎn)的自自身價值值、保密密性、完完整性和和可用性性、合規(guī)規(guī)性和脆脆弱性嚴(yán)嚴(yán)重程度度，計算算出風(fēng)

26、險險發(fā)生的的影響值值；針對每一項項威脅發(fā)發(fā)生頻率率、脆弱弱性被威威脅利用用的容易易程度進(jìn)進(jìn)行賦值值，然后后計算得得出風(fēng)險險發(fā)生的的可能性性；根據(jù)信息息安全風(fēng)風(fēng)險管理理程序計計算風(fēng)險險等級，從從而得出出風(fēng)險等等級；根據(jù)信息息安全風(fēng)風(fēng)險管理理程序及及風(fēng)險接接受準(zhǔn)則則，判斷斷風(fēng)險為為可接受受或需要要處理。 識別和和評價風(fēng)風(fēng)險處理理的選擇擇信息安全管管理小組組和相關(guān)關(guān)部門根根據(jù)風(fēng)險險評估的的結(jié)果，形形成信信息安全全風(fēng)險處處理計劃劃，該該計劃明明確了風(fēng)風(fēng)險處理理責(zé)任部部門、負(fù)負(fù)責(zé)人、處處理方法法及起始始、完成成時間。對于信息安安全風(fēng)險險，應(yīng)考考慮控制制措施與與費用的的平衡原原則，選選用以

27、下下適當(dāng)?shù)牡拇胧嚎刂骑L(fēng)險（采采用適當(dāng)當(dāng)?shù)膬?nèi)部部控制措措施降低低風(fēng)險發(fā)發(fā)生的可可能性）；接受風(fēng)險（風(fēng)風(fēng)險值不不高或者者處理的的代價高高于風(fēng)險險引起的的損失，公公司決定定接受該該風(fēng)險/殘余風(fēng)風(fēng)險）；避免風(fēng)險（決決定不進(jìn)進(jìn)行引起起風(fēng)險的的活動，從從而避免免風(fēng)險）；轉(zhuǎn)移風(fēng)險（通通過購買買保險、外外包等方方法把風(fēng)風(fēng)險轉(zhuǎn)移移到外部部機構(gòu)）。 選擇控控制目標(biāo)標(biāo)與控制制措施信息安全管管理小組組根據(jù)相相關(guān)法律律法規(guī)要要求、信信息安全全方針、業(yè)業(yè)務(wù)發(fā)展展要求及及風(fēng)險評評估的結(jié)結(jié)果，組組織有關(guān)關(guān)部門選選擇和制定了了信息安安全目標(biāo)標(biāo)，并將將目標(biāo)分分解到有有關(guān)部門門（見信信息安全全適用性性聲明）：信息

28、安全控控制目標(biāo)標(biāo)獲得總總經(jīng)理的的批準(zhǔn)?？刂颇繕?biāo)及及控制措措施的選選擇原則則來源于于ISOO/IEEC 2270001:220055附錄A，具體體控制措措施參考考ISOO/IEEC 2270002:220055信息息技術(shù)-安全技技術(shù)-信信息安全全管理實實用規(guī)則則。本公司根據(jù)據(jù)信息安安全管理理的需要要，可以以選擇標(biāo)標(biāo)準(zhǔn)之外外的其他他控制措措施。 剩余風(fēng)風(fēng)險對風(fēng)險處理理后的剩剩余風(fēng)險險應(yīng)形成成信息息安全剩剩余風(fēng)險險評估報報告并并得到公公司管理理者的批批準(zhǔn)。 授權(quán)管理者對實實施和運運行信息息安全管管理體系系進(jìn)行授授權(quán)。00 適用用性聲明明信息安全管管理小

29、組組編制信信息安全全適用性性聲明（SoA）。該聲明包括以下方面的內(nèi)容：所選擇控制制目標(biāo)與與控制措措施的概概要描述述，以及及選擇的的原因；對ISO/IECC 2770011:20005附附錄A中未選選用的控控制目標(biāo)標(biāo)及控制制措施理理由的說說明。4.2.22 實施施及運行行信息安安全管理理體系 活動為確保信息息安全管管理體系系有效實實施，對對已識別別的風(fēng)險險進(jìn)行有有效處理理，本公公司開展展以下活活動：形成信息息安全風(fēng)風(fēng)險處理理計劃，以以確定適適當(dāng)?shù)墓芄芾泶胧┦?、職?zé)責(zé)及安全全控制措措施的優(yōu)優(yōu)先級；為實現(xiàn)已確確定的安安全目標(biāo)標(biāo)、實施施信息息安全風(fēng)風(fēng)險處理理計劃，明明確各崗崗位的信信息

30、安全全職責(zé)；實施所選擇擇的控制制措施，以以實現(xiàn)控控制目標(biāo)標(biāo)的要求求；確定如何測測量所選選擇的控控制措施施的有效效性，并并規(guī)定這這些測量量措施如如何用于于評估控控制的有有效性以以得出可可比較的的、可重重復(fù)的結(jié)結(jié)果；進(jìn)行信息安安全培訓(xùn)訓(xùn)，提高高全員信信息安全全意識和和能力；對信息安全全體系的的運行進(jìn)進(jìn)行管理理；對信息安全全所需資資源進(jìn)行行管理；實施控制程程序，對對信息安安全事故故（或征征兆）進(jìn)進(jìn)行迅速速反應(yīng)。 信息安安全組織織機構(gòu)本公司成立立信息安安全領(lǐng)導(dǎo)導(dǎo)機構(gòu)信息息安全管管理小組組，其職職責(zé)是實實現(xiàn)信息息安全管管理體系系方針和和本公司司承諾。具具體職責(zé)責(zé)是：研研究決定定信息安安全

31、工作作涉及到到的重大大事項；審定公公司信息息安全方方針、目目標(biāo)、工工作計劃劃和重要要文件；為信息息安全工工作的有有序推進(jìn)進(jìn)和信息息安全管管理體系系的有效效運行提提供必要要的資源源。本公司的信信息安全全職能由由信息安安全管理理小組承承擔(dān)，其其主要職職責(zé)是：負(fù)責(zé)制制訂、落落實信息息安全工工作計劃劃，對單單位、部部門信息息安全工工作進(jìn)行行檢查、指指導(dǎo)和協(xié)協(xié)調(diào)，建建立健全全企業(yè)的的信息安安全管理理體系，保保持其有有效、持持續(xù)運行行。本公司采取取相關(guān)部部門代表表組成的的協(xié)調(diào)會會的方式式，進(jìn)行行信息安安全協(xié)調(diào)調(diào)和協(xié)作作，以：確保安全活活動的執(zhí)執(zhí)行符合合信息安安全方針針；確定怎樣處處理不符符合；批準(zhǔn)信息安安

32、全的方方法和過過程，如如風(fēng)險評評估、信信息分類類；識別重大的的威脅變變化，以以及信息息和相關(guān)關(guān)的信息息處理設(shè)設(shè)施對威威脅的暴暴露；評估信息安安全控制制措施實實施的充充分性和和協(xié)調(diào)性性；有效的推動動組織內(nèi)內(nèi)信息安安全教育育、培訓(xùn)訓(xùn)和意識識；評價根據(jù)信信息安全全事件監(jiān)監(jiān)控和評評審得出出的信息息，并根根據(jù)識別別的信息息安全事事件推薦薦適當(dāng)?shù)牡拇胧?信息安安全職責(zé)責(zé)和權(quán)限限本公司總經(jīng)經(jīng)理為信信息安全全最高責(zé)責(zé)任者。總總經(jīng)理指指定信息息安全管管理者代代表,無無論信息息安全管管理者代代表其他他方面的的職責(zé)如如何，對對信息安安全負(fù)有有以下職職責(zé)：建立并實施施信息安安全管理理體系必必要的程程

33、序并維維持其有有效運行行；對信息安全全管理體體系的運運行情況況和必要要的改善善措施向向信息安安全管理理小組或或最高責(zé)責(zé)任者報報告。各部門負(fù)責(zé)責(zé)人為本本部門信信息安全全管理責(zé)責(zé)任者，全全體員工工都應(yīng)按按保密承承諾的要要求自覺覺履行信信息安全全保密義義務(wù)。各部門、人人員有關(guān)關(guān)信息安安全職責(zé)責(zé)分配見見附錄33（規(guī)范范性附錄錄）職職責(zé)權(quán)限限和相相應(yīng)的程程序文件件（管理理標(biāo)準(zhǔn)）、規(guī)規(guī)定及崗崗位說明明書。 控制措措施各部門應(yīng)按按照信信息安全全適用性性聲明中中規(guī)定的的安全目目標(biāo)、控控制措施施（包括括信息安安全運行行的各種種管理標(biāo)標(biāo)準(zhǔn)、規(guī)規(guī)章制度度）的要要求實施施信息安安全控制制措施。4.2.

34、33 監(jiān)督督與評審審信息安安全管理理體系 活動本公司通過過實施不不定期安安全檢查查、內(nèi)部部審核、事事故報告告調(diào)查處處理、電電子監(jiān)控控、定期期技術(shù)檢檢查等控控制措施施并報告告結(jié)果以以實現(xiàn)：及時發(fā)現(xiàn)處處理結(jié)果果中的錯錯誤、信信息安全全管理體體系的事事故和隱隱患；及時了解識識別失敗敗的和成成功的安安全破壞壞和事件件、信息息處理系系統(tǒng)遭受受的各類類攻擊；使管理者確確認(rèn)人工工或自動動執(zhí)行的的安全活活動達(dá)到到預(yù)期的的結(jié)果；使管理者掌掌握信息息安全活活動和解解決安全全破壞所所采取的的措施是是否有效效；積累信息安安全方面面的經(jīng)驗驗。 管理評評審根據(jù)以上活活動的結(jié)結(jié)果以及及來自相

35、相關(guān)方的的建議和和反饋，由由總經(jīng)理理主持，每每年至少少一次對對信息安安全管理理體系的的有效性性進(jìn)行評評審，其其中包括括信息安安全管理理體系的的范圍、方方針、目目標(biāo)的符符合性及及控制措措施有效效性的評評審，考考慮信息息安全審審核、事事件、有有效性測測量的結(jié)結(jié)果，以以及所有有相關(guān)方方的建議議和反饋饋。管理理評審的的具體要要求，見見本手冊冊第7章。 檢查和和測量在管理標(biāo)準(zhǔn)準(zhǔn)中，對對安全措措施的實實施規(guī)定定了檢查查和測量量的要求求。同時時，信息息安全管管理小組組應(yīng)定期期的進(jìn)行行信息安安全檢查查和信息息安全技技術(shù)監(jiān)督督，通過過對安全全措施的的實施檢檢查和信信息安全全技術(shù)監(jiān)監(jiān)督，保保證安全

36、全措施得得到滿足足。 風(fēng)險再再評估信息安全管管理小組組組織有有關(guān)部門門按照信信息安全全風(fēng)險管管理程序序的要要求，對對風(fēng)險處處理后的的殘余風(fēng)風(fēng)險進(jìn)行行定期評評審，以以驗證殘殘余風(fēng)險險是否達(dá)達(dá)到可接接受的水水平，對對以下方方面變更更情況應(yīng)應(yīng)及時進(jìn)進(jìn)行風(fēng)險險評估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和和過程；已識別的威威脅；實施控制的的有效性性；外部事件，例例如法律律或規(guī)章章環(huán)境的的變化、合合同責(zé)任任的變化化以及社社會環(huán)境境的變化化。 內(nèi)部審審核按照計劃的的時間間間隔進(jìn)行行信息安安全管理理體系內(nèi)內(nèi)部審核核，內(nèi)部部審核的的具體要要求，見見本手冊冊第6章。 更新計計劃考慮

37、監(jiān)視和和評審活活動的發(fā)發(fā)現(xiàn)，更更新信息息安全計計劃。 記錄記錄可能對對信息安安全管理理體系有有效性或或業(yè)績有有影響的的活動和和事情。4.2.44 保持持與持續(xù)續(xù)改進(jìn)信信息安全全管理體體系我公司開展展以下活活動，以以確保信信息安全全管理體體系的持持續(xù)改進(jìn)進(jìn)：實施每年管管理評審審、內(nèi)部部審核、安安全檢查查等活動動以確定定需改進(jìn)進(jìn)的項目目；按照本手冊冊第6章和第第8章的要要求采取取適當(dāng)?shù)牡募m正和和預(yù)防措措施；吸吸取其他他組織及及本公司司安全事事故的經(jīng)經(jīng)驗教訓(xùn)訓(xùn)，不斷斷改進(jìn)安安全措施施的有效效性；通過適當(dāng)?shù)牡氖侄伪１３衷趦?nèi)內(nèi)部對信信息安全全措施的的執(zhí)行情情況與結(jié)結(jié)果進(jìn)行行有效的的溝通。

38、包包括獲取取外部信信息安全全專家的的建議、信信息安全全政府行行政主管管部門的的聯(lián)系及及識別顧顧客對信信息安全全的要求求等；對信息安全全目標(biāo)及及分解進(jìn)進(jìn)行適當(dāng)當(dāng)?shù)墓芾砝?，確保保改進(jìn)達(dá)達(dá)到預(yù)期期的效果果。4.3 文文件要求求4.3.11 總則本公司信息息安全管管理體系系文件包包括：文件化的信信息安全全方針，在在信息息安全管管理體系系手冊中中描述,選擇的的控制目目標(biāo)在信信息安全全適用性性聲明SSoA中中描述；信息安全全管理體體系手冊冊（本本手冊，包包括信息息安全適適用范圍圍及引用用的標(biāo)準(zhǔn)準(zhǔn)）；ISO/IIEC 270001:20005標(biāo)準(zhǔn)準(zhǔn)中規(guī)定定需文件件化的程程序；本手冊涉及及的相關(guān)關(guān)支持性性程序

39、性性文件，例例如信信息安全全風(fēng)險管管理程序序；為確保有效效策劃、運運作和控控制信息息安全過過程所制制定的文文件化操操作程序序；風(fēng)險處理理計劃以以及信息息安全管管理體系系要求的的記錄類類；相關(guān)的法律律、法規(guī)規(guī)和信息息安全標(biāo)標(biāo)準(zhǔn)；信息安全全適用性性聲明SSoA。4.3.22 文件件控制 要求信息安全管管理小組組按文文件控制制程序的的要求，對對信息安安全管理理體系所所要求的的文件進(jìn)進(jìn)行管理理。對信信息安全全管理體體系手冊冊、程程序文件件、管理理規(guī)定、作作業(yè)指導(dǎo)導(dǎo)書和為為保證信信息安全全管理體體系有效效策劃、運運行和控控制所需需的受控控文件的的編制、評評審、批批準(zhǔn)、標(biāo)標(biāo)識、發(fā)發(fā)放、使使

40、用、修修訂、作作廢、回回收等工工作實施施控制，以以確保在在使用場場所能夠夠及時獲獲得適用用文件的的有效版版本。 文件控控制信息安全管管理小組組制定并并實施文文件和資資料管理理程序，人人事行政政部對信信息安全全管理體體系所要要求的文文件進(jìn)行行管理。對對信息息安全管管理手冊冊、程程序文件件、管理理規(guī)定、作作業(yè)指導(dǎo)導(dǎo)書和為為保證信信息安全全管理體體系有效效策劃、運運行和控控制所需需的受控控文件的的編制、評評審、批批準(zhǔn)、標(biāo)標(biāo)識、發(fā)發(fā)放、使使用、修修訂、作作廢、回回收等管管理工作作做出規(guī)規(guī)定，以以確保在在使用場場所能夠夠及時獲獲得適用用文件的的有效版版本。文件控制應(yīng)應(yīng)保證：文件發(fā)布前前得

41、到批批準(zhǔn)，以以確保文文件是充充分的；必要時對文文件進(jìn)行行評審、更更新并再再次批準(zhǔn)準(zhǔn)；確保文件的的更改和和現(xiàn)行修修訂狀態(tài)態(tài)得到識識別；確保在使用用時，可可獲得相相關(guān)文件件的最新新版本；確保文件保保持清晰晰、易于于識別；確保文件可可以為需需要者所所獲得，并并根據(jù)適適用于他他們類別別的程序序進(jìn)行轉(zhuǎn)轉(zhuǎn)移、存存儲和最最終的銷銷毀；確保外來文文件得到到識別；確保文件的的分發(fā)得得到控制制；防止作廢文文件的非非預(yù)期使使用；若因任何目目的需保保留作廢廢文件時時，應(yīng)對對其進(jìn)行行適當(dāng)?shù)牡臉?biāo)識。 外來文文件管理理外來文件包包括信息息安全法法律、行行政法規(guī)規(guī)、部門門規(guī)章、地地方法規(guī)規(guī)，按以以下規(guī)定定執(zhí)行

42、：信息安全適適用的法法律法規(guī)規(guī)按照信信息安全全法律法法規(guī)管理理程序規(guī)規(guī)定執(zhí)行行；外來的文件件按照文文件控制制程序和和其他相相關(guān)規(guī)定定執(zhí)行；外來標(biāo)準(zhǔn)按按本公司司標(biāo)準(zhǔn)化化管理的的相關(guān)規(guī)規(guī)定進(jìn)行行。4.3.33 記錄控控制 要求信息安全管管理體系系所要求求的記錄錄是信息息安全管管理體系系符合標(biāo)標(biāo)準(zhǔn)要求求和有效效運行的的證據(jù)。 職責(zé)信息安全管管理小組組按記記錄控制制程序的的要求，對對記錄的的標(biāo)識、儲儲存、保保護(hù)、檢檢索、保保管、廢廢棄等進(jìn)進(jìn)行管理理。 記錄信息安全管管理的記記錄應(yīng)包包括本手手冊第44.2條條中所列列出的所所有過程程的結(jié)果果及與信信息安全全

43、管理體體系相關(guān)關(guān)的安全全事故的的記錄。 分類信息安全管管理體系系的記錄錄按出處處可分為為以下四四類：程序文件所所要求的的記錄；工作標(biāo)準(zhǔn)和和作業(yè)文文件所要要求的記記錄；規(guī)章制度、規(guī)規(guī)定所要要求的記記錄；其他證實信信息安全全管理體體系符合合標(biāo)準(zhǔn)要要求和有有效運行行的記錄錄。 形式信息安全管管理記錄錄可以是是表、單單、卡、臺臺帳、記記錄本、報報告、紀(jì)紀(jì)要、證證、圖等等多種適適用的形形式，可可以是書書面的或或電子媒媒體的。 歸檔需要歸檔的的記錄，按按記錄錄控制程程序執(zhí)執(zhí)行，屬屬于電子子數(shù)據(jù)的的記錄，按按重要要信息備備份管理理程序執(zhí)執(zhí)行。5 管理職職責(zé)5.

44、1 管管理承諾諾我公司管理理者通過過以下活活動，對對建立、實實施、運運作、監(jiān)監(jiān)視、評評審、保保持和改改進(jìn)信息息安全管管理體系系的承諾諾提供證證據(jù)：建立信息安安全方針針；確保信息安安全目標(biāo)標(biāo)和計劃劃得以制制定（見見信息息安全適適用性聲聲明SooA、風(fēng)風(fēng)險處理理計劃及及相關(guān)記記錄）；建立信息安安全的角角色和職職責(zé)(見本手手冊附錄錄3（規(guī)范范性附錄錄）職職責(zé)權(quán)限限和相相應(yīng)的管管理程序序；向組織傳達(dá)達(dá)滿足信信息安全全目標(biāo)、符符合信息息安全方方針、履履行法律律責(zé)任和和持續(xù)改改進(jìn)的重重要性；提供充分的的資源，以以建立、實實施、運運作、監(jiān)監(jiān)視、評評審、保保持并改改進(jìn)信息息安全管管理體系系(見本手手冊第55.

45、2.1章)；決定接受風(fēng)風(fēng)險的準(zhǔn)準(zhǔn)則和風(fēng)風(fēng)險的可可接受等等級(見信信息安全全風(fēng)險管管理程序序及相相關(guān)記錄錄)；確保內(nèi)部信信息安全全管理體體系審核核（見本本手冊第第6章）得得以實施施；實施信息安安全管理理體系管管理評審審（見本本手冊第第7章）。5.2 資資源管理理5.2.11 資源源的提供供本公司確定定并提供供實施、保保持信息息安全管管理體系系所需資資源；采采取適當(dāng)當(dāng)措施，使使影響信信息安全全管理體體系工作作的員工工是有能能力勝任任的，以以保證：建立、實施施、運作作、監(jiān)視視、評審審、保持持和改進(jìn)進(jìn)信息安安全管理理體系；確保信息安安全程序序支持業(yè)業(yè)務(wù)要求求；識別并指出出法律法法規(guī)要求求和合同同安全責(zé)

46、責(zé)任；通過正確應(yīng)應(yīng)用所實實施的所所有控制制來保持持充分的的安全；必要時，進(jìn)進(jìn)行評審審，并對對評審的的結(jié)果采采取適當(dāng)當(dāng)措施；需要時，改改進(jìn)信息息安全管管理體系系的有效效性。5.2.22 培訓(xùn)訓(xùn)、意識識和能力力信息安全管管理小組組制定并并實施員員工培訓(xùn)訓(xùn)管理程程序文文件，確確保被分分配信息息安全管管理體系系規(guī)定職職責(zé)的所所有人員員，都必必須有能能力執(zhí)行行所要求求的任務(wù)務(wù)?？梢砸酝ㄟ^：確定承擔(dān)信信息安全全管理體體系各工工作崗位位的職工工所必要要的能力力；提供職業(yè)技技術(shù)教育育和技能能培訓(xùn)或或采取其其他的措措施來滿滿足這些些需求；評價所采取取措施的的有效性性；保留教育、培培訓(xùn)、技技能、經(jīng)經(jīng)驗和資資格的記

47、記錄。本公司還確確保所有有相關(guān)人人員意識識到其所所從事的的信息安安全活動動的相關(guān)關(guān)性和重重要性，以以及如何何為實現(xiàn)現(xiàn)信息安安全管理理體系目目標(biāo)做出出貢獻(xiàn)。6 內(nèi)部信信息安全全管理體體系審核核6.1 總總則6.1.11 要求求本公司信息息安全管管理小組組按內(nèi)內(nèi)部審核核管理程程序的的要求策策劃和實實施信息息安全管管理體系系內(nèi)部審審核以及及報告結(jié)結(jié)果和保保持記錄錄。6.1.22 活動動本公司每年年進(jìn)行一一次信息息安全管管理體系系內(nèi)部審審核，以以確定其其信息安安全管理理體系的的控制目目標(biāo)、控控制措施施、過程程和程序序是否：符合本標(biāo)準(zhǔn)準(zhǔn)的要求求和相關(guān)關(guān)法律法法規(guī)的要要求；符合已識別別的信息息安全要要求；

48、得到有效地地實施和和維護(hù)；按預(yù)期執(zhí)行行。6.2 內(nèi)內(nèi)審策劃劃信息安全管管理小組組策劃審審核的過過程、區(qū)區(qū)域的狀狀況、重重要性以以及以往往審核的的結(jié)果，對對審核工工作進(jìn)行行策劃。應(yīng)應(yīng)編制年年度內(nèi)審審計劃，確確定審核核的準(zhǔn)則則、范圍圍、頻次次和方法法。每次審核前前，信息息安全管管理小組組應(yīng)編制制內(nèi)部部審核計計劃，確確定審核核的準(zhǔn)則則、范圍圍、日程程和審核核組。審審核員的的選擇和和審核的的實施應(yīng)應(yīng)確保審審核過程程的客觀觀性和公公正性。審審核員不不應(yīng)審核核自己的的工作。內(nèi)部審核核計劃，經(jīng)經(jīng)信息安安全管理理者代表表批準(zhǔn)，提提前3天通知知被審核核部門，被被審核部部門到時時應(yīng)選派派有關(guān)人人員配合合審核。6.

49、3 內(nèi)內(nèi)審員內(nèi)部審核員員必須是是熟悉本本公司信信息安全全管理情情況，參參加內(nèi)部部審核員員培訓(xùn)并并考核合合格的人人員。內(nèi)部審核員員應(yīng)來自自于不同同的部門門，審核核人員應(yīng)應(yīng)與被審審活動無無直接責(zé)責(zé)任，以以保持工工作的獨獨立性。各部門選擇擇符合內(nèi)內(nèi)部審核核員條件件的候選選人，參參加內(nèi)部部審核員員培訓(xùn)并并考試合合格，填填寫內(nèi)內(nèi)部審核核員評定定表，經(jīng)經(jīng)信息安安全管理理者代表表批準(zhǔn)，方方取得內(nèi)內(nèi)部審核核員資格格。6.4 內(nèi)內(nèi)審實施施6.4.11 活動動應(yīng)按審核計計劃的要要求實施施審核，包包括：進(jìn)行首次會會議，明明確審核核的目的的和范圍圍，采用用的方法法和程序序；實施現(xiàn)場審審核，檢檢查相關(guān)關(guān)文件、記記錄和憑

50、憑證，與與相關(guān)人人員進(jìn)行行交流，填填寫審核核發(fā)現(xiàn)；對檢查內(nèi)容容進(jìn)行分分析，對對審核發(fā)發(fā)現(xiàn)的問問題在不不符合項項報告及及糾正報報告單中中開出不不符合項項；審核組長編編制內(nèi)內(nèi)部審核核報告。6.4.22 不符符合處理理對審核中提提出的不不符合項項，責(zé)任任部門應(yīng)應(yīng)制定糾糾正措施施，由信信息安全全管理小小組對糾糾正措施施的實施施情況進(jìn)進(jìn)行跟蹤蹤、驗證證，將結(jié)結(jié)果記入入不符符合項報報告及糾糾正報告告單。6.4.33 記錄錄內(nèi)部審核記記錄由信信息安全全管理小小組保存存，并作作為管理理評審的的輸入之之一。7 管理評評審7.1 總總則總經(jīng)理應(yīng)每每年進(jìn)行行一次管管理評審審，以確確保信息息安全管管理體系系持續(xù)的的適

51、宜性性、充分分性和有有效性，管管理評審審按管管理評審審程序進(jìn)進(jìn)行。管理評審應(yīng)應(yīng)包括評評價信息息安全管管理體系系改進(jìn)的的機會和和變更的的需要，包包括信息息安全方方針和信信息安全全目標(biāo)。管理評審的的結(jié)果應(yīng)應(yīng)清晰地地形成文文件，記記錄應(yīng)加加以保持持。7.2 評評審輸入入管理評審的的輸入要要包括以以下信息息：信息安全管管理體系系審核和和評審的的結(jié)果；相關(guān)方的反反饋；用于改進(jìn)信信息安全全管理體體系業(yè)績績和有效效性的技技術(shù)、產(chǎn)產(chǎn)品或程程序；預(yù)防和糾正正措施的的狀況；以往風(fēng)險評評估沒有有充分強強調(diào)的脆脆弱性或或威脅；有效性測量量的結(jié)果果；以往管理評評審的跟跟蹤措施施；任何可能影影響信息息安全管管理體系系的變

52、更更；改進(jìn)的建議議。7.3 評評審輸出出管理評審的的輸出應(yīng)應(yīng)包括與與下列內(nèi)內(nèi)容相關(guān)關(guān)的任何何決定和和措施：信息安全管管理體系系有效性性的改進(jìn)進(jìn)；更新風(fēng)險評評估和風(fēng)風(fēng)險處理理計劃；必要時，修修訂影響響信息安安全的程程序和控控制措施施，以反反映可能能影響信信息安全全管理體體系的內(nèi)內(nèi)外事件件，包括括以下方方面的變變化：業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)業(yè)務(wù)要求求的業(yè)務(wù)務(wù)過程；法律法規(guī)要要求；合同責(zé)任；風(fēng)險等級和和（或）風(fēng)風(fēng)險接受受準(zhǔn)則。資源需求；改進(jìn)測量控控制措施施有效性性的方式式。8 信息安安全管理理體系改改進(jìn)8.1 持持續(xù)改進(jìn)進(jìn)本公司依據(jù)據(jù)糾正正措施控控制程序序和預(yù)預(yù)防措施施控制程程序的的要求,通過

53、使使用信息息安全方方針、信信息安全全目標(biāo)、審審核結(jié)果果、監(jiān)控控事件的的分析、糾糾正和預(yù)預(yù)防措施施以及管管理評審審（見本本手冊第第7章），持持續(xù)改進(jìn)進(jìn)信息安安全管理理體系的的有效性性。8.2 糾糾正措施施本公司信息息安全管管理小組組處理糾糾正措施施，不符符合事項項的責(zé)任任部門負(fù)負(fù)責(zé)采取取糾正措措施，以以消除與與信息安安全管理理體系要要求不符符合的原原因，以以防止再再發(fā)生。糾正措施的的實施按按糾正正措施控控制程序序進(jìn)行行。糾正措施的的制定和和實施程程序如下下：識別信息安安全事件件及不符符合；確定信息安安全事件件及不符符合的原原因；評價確保不不符合不不再發(fā)生生的措施施要求；確定和實施施所需的的糾正措

54、措施；記錄所采取取措施的的結(jié)果；評審所采取取的糾正正措施。8.3 預(yù)預(yù)防措施施本公司信息息安全管管理小組組處理預(yù)預(yù)防措施施，潛在在不符合合事項的的相關(guān)部部門采取取預(yù)防措措施，以以消除潛潛在與信信息安全全管理體體系要求求不符合合或不期期望事項項發(fā)生的的原因，防防止其發(fā)發(fā)生。所采取的預(yù)預(yù)防措施施應(yīng)與潛潛在問題題的影響響程度相相適應(yīng)。預(yù)防措施的的實施按按預(yù)防防措施控控制程序序進(jìn)行行。預(yù)防措施的的制定與與實施程程序要求求如下：識別潛在的的不符合合及其原原因；評價預(yù)防不不符合發(fā)發(fā)生的措措施要求求；確定并實施施所需的的預(yù)防措措施；記錄所采取取措施的的結(jié)果；評審所采取取的預(yù)防防措施。我公司信息息安全管管理小

55、組組定期組組織進(jìn)行行風(fēng)險評評估，以以識別變變化的風(fēng)風(fēng)險，并并通過關(guān)關(guān)注變化化顯著的的風(fēng)險來來識別預(yù)預(yù)防措施施要求。預(yù)預(yù)防措施施的優(yōu)先先級應(yīng)基基于風(fēng)險險評估結(jié)結(jié)果來確確定。附錄1-組組織概況況佛山市三維維計算機機網(wǎng)絡(luò)有有限公司司，為四四川依米米康環(huán)境境科技股股份有限限公司（股股票代碼碼：30002449）控控股的企企業(yè)，是是一家集集動力環(huán)環(huán)境監(jiān)控控、數(shù)據(jù)據(jù)部基礎(chǔ)設(shè)設(shè)施管理理、物流流監(jiān)控、醫(yī)醫(yī)療自動動化等信信息系統(tǒng)統(tǒng)的研究究、咨詢詢、設(shè)計計、開發(fā)發(fā)、應(yīng)用用、服務(wù)務(wù)為一體體的國家家高新技技術(shù)企業(yè)業(yè)，在機機房監(jiān)控控、數(shù)據(jù)據(jù)部智能化化管理、物物流監(jiān)管管信息平平臺、智智能化卡卡口監(jiān)控控、智能能化手術(shù)術(shù)室、

56、節(jié)節(jié)能等領(lǐng)領(lǐng)域擁有有多項軟軟硬件創(chuàng)創(chuàng)新技術(shù)術(shù)和系列列自主知知識產(chǎn)權(quán)權(quán)產(chǎn)品。佛山三維以核心技術(shù)產(chǎn)品為基礎(chǔ)，為客戶提供優(yōu)異的技術(shù)解決方案及優(yōu)質(zhì)的監(jiān)控和運維服務(wù)。 佛山三維項目實施能力已通過ISO9001認(rèn)證。從2003年成立至今，已擁有5000余個成功案例，廣泛應(yīng)用于金融、保險、通信、電力、醫(yī)院、學(xué)院、財稅、交通、廣電、機關(guān)事業(yè)單位等各個領(lǐng)域，具備幾百個項目同時實施的能力，贏得了客戶的普遍認(rèn)可和高度贊譽。附錄2-組組織機構(gòu)構(gòu)圖 公司司組織架架構(gòu): 公司司實行董董事會領(lǐng)領(lǐng)導(dǎo)下的的總經(jīng)理理(管理理者代表表)負(fù)責(zé)責(zé)制,下下設(shè)業(yè)務(wù)務(wù)部、技技術(shù)部、工程部部、財務(wù)務(wù)部、商務(wù)（培培訓(xùn)部）等五大部門.二.組織架架

57、構(gòu)圖: 公司部門職職責(zé):1.商務(wù)部部:制定并完善善公司管管理制度度，并監(jiān)監(jiān)督落實實。制定公司 HYPERLINK 人人力資源源管理制制度，負(fù)負(fù)責(zé)公司司的人力力資源的的規(guī)劃和和管理。人員的招聘聘、考核核與轉(zhuǎn)正正。公司員工的的培訓(xùn)。員工的薪酬酬、考勤勤與紀(jì)律律。員工的檔案案管理；負(fù)責(zé)建建立和維維護(hù)公司司員工信信息庫。員工福利、保保險的管管理及辦辦理。負(fù)責(zé)公司文文件資料料的管理理、歸檔檔、印刷刷、發(fā)放放工作。負(fù)責(zé)公司后后勤保障障工作。負(fù)責(zé)管理公公司合同同。體系的管理理評審，推推動內(nèi)部部審核活活動。負(fù)責(zé)組織公公司年度度,月度度工作會會議，或或不定期期的部門門協(xié)調(diào)溝溝通會，并并對會議議做出的的決定進(jìn)進(jìn)行

58、落實實。對組織層的的服務(wù)可可用性、持持續(xù)性、服服務(wù)能力力提供支支持和資資源保障障。負(fù)責(zé)服務(wù)資資源的統(tǒng)統(tǒng)一規(guī)劃劃和配置置。提供管理方方面的信信息和建建議以改改進(jìn)服務(wù)務(wù)績效。服務(wù)回訪人人員負(fù)責(zé)責(zé)對所服服務(wù)客戶戶進(jìn)行回回訪，并并對回訪訪的情況況錄入到到CRMM管理系系統(tǒng)。公司其它的的行政管管理及后后勤保障障工作，以以及協(xié)調(diào)調(diào)溝通公公共關(guān)系系等工作作。2.財務(wù)部部:負(fù)責(zé)公司的的所有現(xiàn)現(xiàn)金、銀銀行和財財務(wù)帳目目的管理理.負(fù)責(zé)各部門門成本項項目、核核算各部部門預(yù)算算完成情情況;向上級財務(wù)務(wù)主管部部門、稅稅務(wù)部門門、統(tǒng)計計主管部部門等提提供財務(wù)務(wù)報告、報報表和統(tǒng)統(tǒng)計報告告，保持持聯(lián)系并并協(xié)調(diào)關(guān)關(guān)系；負(fù)責(zé)公司

59、記記帳、算算帳和報報帳，出出具內(nèi)部部財務(wù)報報告，進(jìn)進(jìn)行財務(wù)務(wù)分析，提提出財務(wù)務(wù)建議;負(fù)責(zé)各部門門預(yù)算與與核算管管理流程程；根據(jù)公司中中、長期期管理經(jīng)經(jīng)營計劃劃，組織織編制年年度綜合合財務(wù)計計劃和控控制標(biāo)準(zhǔn)準(zhǔn)，建立立、健全全財務(wù)管管理體系系;財務(wù)報表及及財務(wù)預(yù)預(yù)決算的的編制工工作，為為公司決決策提供供及時有有效的財財務(wù)分析析，保證證財務(wù)信信息對外外披露的的正常進(jìn)進(jìn)行，有有效地監(jiān)監(jiān)督檢查查財務(wù)制制度、預(yù)預(yù)算的執(zhí)執(zhí)行情況況以及適適當(dāng)及時時的調(diào)整整;對公司稅收收進(jìn)行整整體籌劃劃與管理理，按時時完成稅稅務(wù)申報報以及年年度審計計工作;比較精確地地監(jiān)控和和預(yù)測現(xiàn)現(xiàn)金流量量，確定定和監(jiān)控控公司負(fù)負(fù)債和資資本的

60、合合理結(jié)構(gòu)構(gòu)，統(tǒng)籌籌管理和和運作公公司資金金并對其其進(jìn)行有有效的風(fēng)風(fēng)險控制制;對公司重大大的投資資、融資資、并購購等經(jīng)營營活動提提供建議議和決策策支持，參參與風(fēng)險險評估、指指導(dǎo)、跟跟蹤和控控制;與財政、稅稅務(wù)、銀銀行、證證券等相相關(guān)政府府部門及及會計師師事務(wù)所所等相關(guān)關(guān)中介機機構(gòu)建立立并保持持良好的的關(guān)系。 3.業(yè)務(wù)部部:負(fù)責(zé)公司產(chǎn)產(chǎn)品的銷銷售工作作；重點負(fù)責(zé)企企業(yè)客戶戶的開發(fā)發(fā)及項目目的跟蹤蹤落實;參與公司營營銷策略略的制訂訂；負(fù)責(zé)公司所所有銷售售產(chǎn)品的的安裝調(diào)調(diào)試及售售后服務(wù)務(wù);負(fù)責(zé)公司工工程項目目實施及及售后服服務(wù);負(fù)責(zé)跟蹤監(jiān)監(jiān)督售后后服務(wù)情情況,及及時反饋饋客戶意意見。4.工程部部:負(fù)