2016信息安全管理體系管理手冊(cè)及程序文件

22080-2016/r/n信息安全管理體系管理手冊(cè)及程序文件/r/n信/r/n息/r/n安全管理手冊(cè)/r/n目錄/r/n./r/n概述/r/n目的/r/n適用范圍/r/n頒布令/r/n授權(quán)書(shū)/r/n.依據(jù)文件和術(shù)語(yǔ)/r/n.1/r/n依據(jù)文件/r/n./r/n2/r/n術(shù)/r/n語(yǔ)定義/r/n./r/n裁剪說(shuō)明/r/n4,/r/n組織環(huán)境/r/n.!/r/n組織環(huán)境描述/r/n信息安全相關(guān)方的需求和期望/r/n信息安全管理體系范圍的確定/r/n體系概述/r/n./r/n領(lǐng)導(dǎo)カ/r/nI/r/n領(lǐng)導(dǎo)カ和承諾/r/n信息安全方針和目標(biāo)/r/n組織角色、職責(zé)和權(quán)限/r/n./r/n策劃/r/n風(fēng)險(xiǎn)評(píng)估和處置/r/n目標(biāo)實(shí)現(xiàn)過(guò)程/r/n./r/n支持/r/nI/r/n資源提供/r/n2/r/n信息安全能力管理/r/n3/r/n意識(shí)培訓(xùn)/r/n4/r/n信息安全溝通管理/r/n5/r/n存檔信息控制/r/n./r/n運(yùn)行/r/n體系策劃與運(yùn)行/r/n./r/n績(jī)效評(píng)價(jià)/r/n9.1/r/n能力評(píng)價(jià)/r/n9./r/n2/r/n有效性測(cè)量/r/n9.3/r/n內(nèi)部審核/r/n9./r/n4/r/n管理評(píng)審/r/n./r/n改進(jìn)/r/nn/r/n.信息安全總體控制/r/nA./r/n5/r/n信息安全策略/r/nA./r/n6/r/n信息安全組織/r/nA./r/n7/r/n人力資源安全/r/nA./r/n8/r/n資產(chǎn)管理/r/nA./r/n9/r/n訪問(wèn)控制/r/nA.10/r/n密碼控制/r/nA./r/n11/r/n物理和環(huán)境安全/r/nA./r/n12/r/n操作安全/r/nA./r/n13/r/n通信安全/r/nA./r/n14/r/n系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)/r/nA./r/n15/r/n供應(yīng)商關(guān)系/r/nA./r/n16/r/n信息安全事故/r/nA./r/n17/r/n業(yè)務(wù)連續(xù)性管理的信息安全方面/r/nA./r/n18/r/n符合性/r/n附件ー:信息安全組織架構(gòu)映射表/r/n附件二:信息安全職責(zé)分配表/r/n為提高服務(wù)質(zhì)量,規(guī)范管理活動(dòng),保障系統(tǒng)安全運(yùn)行,提升人員安全意識(shí)水平,/r/nXXX/r/n軟件有限公司（以下簡(jiǎn)稱“公司”）依據(jù)信息安全管理標(biāo)準(zhǔn)/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息/r/n技術(shù)/r/n安全技/r/n術(shù)/r/n信息安全管理體系要求》的相關(guān)要求，結(jié)合自身業(yè)務(wù)系統(tǒng)實(shí)際運(yùn)行安全需/r/n求，/r/n己建立實(shí)施了一套科學(xué)有效的信息安全管理/r/n體系，/r/n并通過(guò)體系的有效運(yùn)行，實(shí)現(xiàn)持續(xù)改進(jìn),達(dá)到動(dòng)態(tài)系統(tǒng)、全員參與、制度化的、以預(yù)防為主的信息安全管理方式。/r/n目的/r/n本總綱為公司信息安全管理體系的綱領(lǐng)性文件,描述/r/n了/r/n信息安全管理體系的方針、目標(biāo)、管理機(jī)制和要求等方面的內(nèi)容。/r/n通過(guò)建立策劃/r/n（P）/r/nつ執(zhí)行/r/n（D）/r/nラ檢查/r/n（C）/r/nつ改進(jìn)/r/n（A）/r/n的持續(xù)改進(jìn)機(jī)制，不斷提高公司的信息安全管理水平,確保日常信息安全管理活動(dòng)的安全、穩(wěn)定、高效,提升企業(yè)核心競(jìng)爭(zhēng)力。/r/n適用范圍/r/n本總綱所描述信息安全管理體系適用/r/n于/r/n公司所有部門(mén),所涉及業(yè)務(wù)范圍包括信息技術(shù)處理設(shè)施的管理運(yùn)維服務(wù)、信息技術(shù)系統(tǒng)的開(kāi)發(fā)、獲取和運(yùn)行維護(hù)、/r/n人/r/n員的信息安全、數(shù)據(jù)的安全等在內(nèi)的各項(xiàng)信息安全管理相關(guān)活動(dòng)。/r/n頒布令/r/n為提高信息安全管理水平,貫徹落實(shí)/r/n“以/r/n客戶為中心,將安全意識(shí)融/r/n入日/r/n常工作、嚴(yán)格審查各項(xiàng)控制措施、及時(shí)消除安全隱患、保障業(yè)務(wù)連續(xù)性?！钡幕痉结?保障公司的生產(chǎn)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng),防止由于信息系統(tǒng)故障、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故,公司特/r/n依/r/n據(jù)/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息/r/n技術(shù)/r/n安全/r/n技/r/n術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)要求,建立/r/n了/r/n文件化的信息安全管理體系。/r/n本體系是信息安全管理的綱領(lǐng)性文件,是指導(dǎo)公司建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則,用于貫徹信息安全管理方針,實(shí)現(xiàn)信息安全管理體系的有效運(yùn)行和持續(xù)改進(jìn)。/r/n全體員エ必須嚴(yán)格按照本總綱的要求,/r/n自/r/n覺(jué)貫徹管理方針，嚴(yán)格執(zhí)行本總綱的各項(xiàng)規(guī)定,努力實(shí)現(xiàn)公司生產(chǎn)運(yùn)行和日常辦公的安全。并傳達(dá)給外部相關(guān)方。/r/n本手冊(cè)自頒布之日起生效執(zhí)行。/r/n公司總經(jīng)理:/r/nXXX/r/n授權(quán)書(shū)/r/n為了貫徹執(zhí)行信息安全/r/n管理/r/n體系,滿足/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信/r/n息技術(shù)安全技/r/n術(shù)/r/n信/r/n息安全/r/n管理/r/n體系要求》的要求,加強(qiáng)對(duì)信息安全/r/n管理/r/n體系建設(shè)和持續(xù)運(yùn)行的領(lǐng)導(dǎo)工作,特任/r/n命ー/r/nXXX_/r/n先生為公/r/n司信/r/n息安全/r/n管理者/r/n代表。/r/n授權(quán)信息安全/r/n管理者/r/n代表有/r/n如下職/r/n責(zé)和權(quán)限:/r/n1）/r/n領(lǐng)導(dǎo)信/r/n息安全/r/n管理/r/n體系的建立、運(yùn)行和維護(hù),開(kāi)展資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估;/r/n2）/r/n協(xié)調(diào)與信/r/n息安全/r/n管理/r/n體系有關(guān)的各項(xiàng)工作;/r/n3）/r/n確保提高員エ信息安全意識(shí);/r/n4）/r/n督促信/r/n息安全/r/n管理/r/n體系內(nèi)部審核和信息安全檢查的開(kāi)展；/r/n5）/r/n協(xié)助最高/r/n管理者進(jìn)行信/r/n息安全/r/n管理/r/n體系的/r/n管理/r/n評(píng)審；/r/n6）/r/n向最高/r/n管理者/r/n報(bào)告信息安全/r/n管理/r/n體系的業(yè)績(jī)和改進(jìn)要求。/r/n本授權(quán)書(shū)自任命日起生效執(zhí)行。/r/n公司總經(jīng)理:/r/nXXX/r/n./r/n依據(jù)文件和術(shù)語(yǔ)/r/n依據(jù)文件/r/n本總綱的/r/n制定/r/n參考并依據(jù)/r/n了/r/n下列文件資料,詳見(jiàn)/r/n《符合/r/n性實(shí)施/r/n制度》。/r/n1）/r/n法律法規(guī):是指我國(guó)頒布的、所有相/r/n關(guān)/r/n且具有約束和指導(dǎo)作用的法律、法規(guī);/r/n2）/r/n監(jiān)管規(guī)/r/n定:是指/r/n證監(jiān)會(huì)/r/n及其分支機(jī)構(gòu)頒布的/r/n具有/r/n約束和指導(dǎo)作用的所有文件、規(guī)定等;/r/n3）/r/n文件:公司下發(fā)的對(duì)/r/n信/r/n息業(yè)務(wù)系統(tǒng)、信息安全/r/n管理/r/n等有約束力和指導(dǎo)作/r/n用/r/n的所有文件;/r/n4）/r/n國(guó)際慣例:是/r/n指/r/n開(kāi)展業(yè)務(wù)以及提供信息安全建設(shè)過(guò)程中必須遵循的/r/n具有/r/n約束和指導(dǎo)作用的國(guó)際通用慣例;/r/n5）/r/n標(biāo)準(zhǔn)：/r/n>/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術(shù)安全技/r/n術(shù)/r/n信息安全/r/n管理/r/n體系要求》;/r/n術(shù)語(yǔ)定義/r/n1）/r/n信/r/n息安全:對(duì)信息的機(jī)密性、/r/n完/r/n整性和可用性的保護(hù);/r/n2）/r/n機(jī)密性：確/r/n保信/r/n息僅供給/r/n那/r/n些獲得授權(quán)的人使用;/r/n3）/r/n完/r/n整性：保護(hù)信息及/r/n信/r/n息處理方法的準(zhǔn)確性和/r/n完全/r/n性;/r/n4）/r/n可用性：確保獲得授權(quán)使用該信息及/r/n信/r/n息系統(tǒng)的人/r/n能/r/n及時(shí)、可/r/n靠/r/n地使用;/r/n5）/r/n風(fēng)險(xiǎn)評(píng)估:評(píng)估信息及信息處理系統(tǒng)所存在的或可能產(chǎn)生的威脅、影/r/n響/r/n和薄弱環(huán)節(jié),是風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程;/r/n6）/r/n風(fēng)險(xiǎn)管理：指導(dǎo)和控/r/n制/r/n組織通過(guò)區(qū)分、控/r/n制、/r/n減少或去/r/n除/r/n等方法將風(fēng)險(xiǎn)/r/n控制在可承受范圍內(nèi)的活動(dòng);/r/n./r/n裁剪說(shuō)明/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技/r/n術(shù)/r/n安全技/r/n術(shù)/r/n信息安全管理體系要求》的條款與公司信息安全管理體系的適用關(guān)系,詳見(jiàn)《信息安全管理體系適用性聲明/r/n（S0A）/r/n》/r/n。/r/n./r/n組織環(huán)境/r/n組織環(huán)境描述/r/n1/r/n、/r/n外部組織關(guān)系/r/nXXX/r/n有限公司成立于/r/n2001/r/n年,是中國(guó)領(lǐng)先的呼叫中心與云計(jì)算應(yīng)用服務(wù)提供商。公司倡導(dǎo)“人性/r/n化/r/n科技幫助客戶提升業(yè)/r/n績(jī)”,/r/n致カ于幫助企業(yè)/r/n利用/r/n云計(jì)算技/r/n術(shù),以/r/n客戶為中心,協(xié)同各種經(jīng)營(yíng)資源,改善營(yíng)銷(xiāo)流和服務(wù)流,/r/n從/r/n而提/r/n高人/r/n均產(chǎn)值,重塑客戶體驗(yàn)。訊鳥(niǎo)軟件是中國(guó)云計(jì)算應(yīng)用//r/nSaaS/r/n、/r/nPaaS/r/n應(yīng)用的先驅(qū),/r/n從/r/n2005/r/n年即開(kāi)始研發(fā)云計(jì)算/r/nSaaS/r/n產(chǎn)品,擁有上/r/n百人/r/n的云計(jì)算專業(yè)研發(fā)隊(duì)伍、國(guó)內(nèi)一流的云計(jì)算業(yè)務(wù)咨詢顧問(wèn)和運(yùn)營(yíng)服務(wù)團(tuán)隊(duì),擁有/r/n50/r/n余項(xiàng)自主知識(shí)/r/n產(chǎn)權(quán)。/r/n2/r/n、法律法規(guī)環(huán)境/r/n公司應(yīng)遵循信/r/n息/r/n安全/r/n法律/r/n法規(guī)要求/r/n和義務(wù)/r/n,避/r/n免/r/n員エ違/r/n反/r/n法律、法規(guī)的/r/n要求,/r/n控制相關(guān)/r/n法律/r/n風(fēng)險(xiǎn)。具體要求見(jiàn)《符合性實(shí)施制度》。/r/n3/r/n、/r/n組織架/r/n構(gòu)/r/n及部門(mén)職責(zé)/r/n公司組織架構(gòu)圖如/r/n下,部/r/n門(mén)包括總裁/r/n辦、/r/n行政部、/r/n人力/r/n資源/r/n部、商/r/n務(wù)采購(gòu)/r/n部、/r/n財(cái)務(wù)部、產(chǎn)品部、銷(xiāo)售/r/n部、/r/n服務(wù)部、研發(fā)部、測(cè)試部。如下圖所/r/n示:/r/n研/r/n發(fā)/r/n服/r/n務(wù)/r/n體系/r/n研/r/n發(fā)/r/n服/r/n務(wù)/r/n體系/r/n1）/r/n總裁辦/r/n負(fù)責(zé)協(xié)助總裁執(zhí)行日常工作計(jì)劃和/r/n其/r/n他工作安排;執(zhí)行相關(guān)信息安全/r/n管理/r/n規(guī)章/r/n制度。/r/n2）/r/n行政部/r/n負(fù)責(zé)公司各項(xiàng)行政事務(wù)管理工作;/r/n完/r/n善公司內(nèi)部控/r/n制/r/n制度建設(shè);負(fù)責(zé)日常行政事務(wù)工作和辦公設(shè)施、辦/r/n公/r/n場(chǎng)所等/r/n管理/r/n工作；上級(jí)領(lǐng)導(dǎo)交辦的其他工作；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。/r/n3）/r/n人力/r/n資源部/r/n負(fù)責(zé)/r/n人力/r/n資源規(guī)劃的制定、實(shí)施及/r/n完/r/n善；負(fù)責(zé)組織機(jī)構(gòu)方案、人員編制、/r/n崗/r/n位評(píng)價(jià)方案的研擬與執(zhí)/r/n行；/r/n負(fù)責(zé)培訓(xùn)/r/n體系、/r/n績(jī)效考評(píng)體系的制定、實(shí)施及追蹤；負(fù)責(zé)公司/r/n人力成本/r/n的預(yù)算及調(diào)控；部門(mén)費(fèi)用預(yù)算的控制；負(fù)責(zé)企業(yè)文化的建立、宣傳及推動(dòng)；員エ職業(yè)生涯的規(guī)劃/r/n設(shè)計(jì)；/r/n負(fù)責(zé)員エ的招聘、高級(jí)/r/n人才的/r/n引進(jìn)；執(zhí)行相關(guān)信/r/n息/r/n安全/r/n管理/r/n的規(guī)章/r/n制度。/r/n4）/r/n商務(wù)采購(gòu)部/r/n負(fù)責(zé)公司/r/n第三/r/n方服務(wù)業(yè)務(wù)談判及組織實(shí)施；負(fù)責(zé)各項(xiàng)/r/n第三/r/n方服務(wù)業(yè)務(wù)合同的保管、查詢、建立合同檔案,定期檢查合同執(zhí)行情況,不斷完/r/n善/r/n合同的各項(xiàng)條款；負(fù)責(zé)各項(xiàng)/r/n第三/r/n方服務(wù)業(yè)務(wù)合同的簽訂、變更、執(zhí)行、終/r/n止；/r/n負(fù)責(zé)各種促銷(xiāo)活動(dòng)方案中商戶的協(xié)調(diào)和落實(shí)；執(zhí)行相關(guān)/r/n信/r/n息安全/r/n管理/r/n的規(guī)章制度；/r/n5）/r/n財(cái)務(wù)部/r/n圍繞公司的經(jīng)營(yíng)發(fā)展規(guī)劃和工作計(jì)劃,負(fù)責(zé)編/r/n制/r/n公司財(cái)務(wù)計(jì)劃和費(fèi)用預(yù)算，有效地籌劃和運(yùn)用公司資金；財(cái)務(wù)制度的建設(shè)和規(guī)范的制定；做好財(cái)務(wù)統(tǒng)計(jì)和會(huì)計(jì)賬目、報(bào)表及年終結(jié)算工作,并妥善保管會(huì)計(jì)憑證,/r/n賬/r/n簿、報(bào)表和其他檔案資料；財(cái)務(wù)部日常/r/n管理/r/n工作,/r/n部/r/n門(mén)人員的/r/n管理、/r/n培訓(xùn)、考/r/n核；/r/n建立健全公司內(nèi)部核算的組織、指導(dǎo)和數(shù)/r/n據(jù)/r/n管理/r/n體系,/r/n以/r/n及/r/n核/r/n算和財(cái)務(wù)/r/n管理/r/n的規(guī)章制度；做好公司各項(xiàng)資金的收取與支出管理工作；執(zhí)行相/r/n關(guān)/r/n信息安全管理的規(guī)章制度。/r/n6）/r/n產(chǎn)/r/n品部/r/n為/r/n公司提供準(zhǔn)確的行業(yè)/r/n定位,/r/n及時(shí)提供市場(chǎng)信息反饋；制定和實(shí)施年度產(chǎn)品推廣計(jì)劃和/r/n新/r/n產(chǎn)品開(kāi)發(fā)計(jì)劃/r/n（依/r/n據(jù)市場(chǎng)需求的變化，要提出合理化建議）/r/n；/r/n依據(jù)市場(chǎng)變化要隨時(shí)調(diào)整產(chǎn)品戰(zhàn)略與營(yíng)銷(xiāo)戰(zhàn)術(shù)（包括產(chǎn)品價(jià)格的調(diào)整等）,并組織相關(guān)人員接受最新產(chǎn)品知識(shí)的培訓(xùn);制定公司品牌管理與發(fā)展策略,維護(hù)公司品牌;管理、監(jiān)督和控制市場(chǎng)政策執(zhí)行情況;執(zhí)行相關(guān)信息安全管理的規(guī)章制度。/r/n7）/r/n銷(xiāo)售部/r/n負(fù)責(zé)產(chǎn)品或服務(wù)的銷(xiāo)售工作；負(fù)責(zé)代理人市場(chǎng)的推廣,特別是戰(zhàn)略客戶的市場(chǎng)推廣策略并實(shí)施；負(fù)責(zé)制定并管理銷(xiāo)售業(yè)務(wù)流程；負(fù)責(zé)對(duì)銷(xiāo)售業(yè)務(wù)流程執(zhí)行的監(jiān)督；執(zhí)行相關(guān)信息安全管理規(guī)章制度。/r/n8）/r/n服務(wù)部/r/n負(fù)責(zé)對(duì)本部門(mén)新員エ的工作技能進(jìn)行培訓(xùn),并進(jìn)行考核；負(fù)責(zé)云端產(chǎn)品部署、管理、維護(hù)、運(yùn)營(yíng)和服務(wù)運(yùn)營(yíng)質(zhì)量的管理和提升工作；負(fù)責(zé)客戶關(guān)系的維護(hù)、客戶的技術(shù)培訓(xùn)、合同的執(zhí)行,項(xiàng)目驗(yàn)收等相關(guān)工作；負(fù)責(zé)大數(shù)據(jù)的運(yùn)營(yíng)、自建呼叫中心平臺(tái)及云端產(chǎn)品的客戶業(yè)務(wù)和售后服務(wù)工作,保證客戶的滿意度；負(fù)責(zé)制定和執(zhí)行服務(wù)運(yùn)營(yíng)及環(huán)境維護(hù)管理規(guī)章制度和相關(guān)信息安全管理的規(guī)章制度。/r/n9）/r/n研發(fā)部/r/n負(fù)責(zé)提供符合客戶要求和認(rèn)可的技術(shù)支持和解決方案；承擔(dān)產(chǎn)品設(shè)計(jì)和開(kāi)發(fā)工作;負(fù)責(zé)技術(shù)方案的評(píng)審工作，保證技術(shù)方案的可行性；負(fù)責(zé)組織和協(xié)調(diào)開(kāi)發(fā)項(xiàng)目的資源,保證項(xiàng)目按計(jì)劃進(jìn)行；負(fù)責(zé)制定項(xiàng)目計(jì)劃,并根據(jù)各種變化修改項(xiàng)目計(jì)劃；制定有效的項(xiàng)目決策過(guò)程；負(fù)責(zé)實(shí)施項(xiàng)目的管理、開(kāi)發(fā)、質(zhì)量保證過(guò)程,確?？蛻舻某杀?、進(jìn)度、績(jī)效和質(zhì)量目標(biāo)；負(fù)責(zé)確保在項(xiàng)目生命周期中遵循實(shí)施公司的管理和質(zhì)量政策；負(fù)責(zé)招聘和培訓(xùn)必須的項(xiàng)目成員；負(fù)責(zé)確定項(xiàng)目的人員組織結(jié)構(gòu);進(jìn)行風(fēng)險(xiǎn)管理；負(fù)責(zé)定期舉行項(xiàng)目評(píng)估/r/n（review）/r/n會(huì)議；負(fù)責(zé)為項(xiàng)目所有成員提供足夠的設(shè)備、有效的工具和項(xiàng)目開(kāi)發(fā)過(guò)程；負(fù)責(zé)有效管理項(xiàng)目資源；負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。/r/n10）/r/n測(cè)試部/r/n負(fù)責(zé)協(xié)調(diào)業(yè)務(wù)管理體系下各部門(mén)工作；負(fù)責(zé)源代碼及軟件的完整性、可用性、功能、性能進(jìn)行系統(tǒng)性測(cè)試；負(fù)責(zé)對(duì)各業(yè)務(wù)系統(tǒng)及運(yùn)行環(huán)境進(jìn)行系統(tǒng)性測(cè)

/r/n試和安全性檢測(cè);負(fù)責(zé)對(duì)源代碼資源系統(tǒng)管理及備份;負(fù)責(zé)制定并執(zhí)行相關(guān)信息安全管理的規(guī)章制度。/r/n信息安全相關(guān)方的需求和期望/r/n公司信息安全相關(guān)方包括認(rèn)證單位、客戶、供應(yīng)商、內(nèi)部部門(mén)及員エ等。各/r/n相關(guān)方的信息安全要求和期望均應(yīng)及時(shí)識(shí)別,并在實(shí)際業(yè)務(wù)開(kāi)展時(shí)應(yīng)遵照?qǐng)?zhí)行。/r/n相關(guān)方/r/n識(shí)別原因/r/n信息安全要求和期望/r/n更新頻率/r/n識(shí)別方法/r/n認(rèn)證單/r/n位/r/nIS027001/r/n符合體系標(biāo)準(zhǔn)要求方可通過(guò)認(rèn)證/r/n相關(guān)資質(zhì)的信息/r/n安全要求/r/n認(rèn)證/r/n標(biāo)準(zhǔn)發(fā)布/r/n周期/r/n與認(rèn)證單位聯(lián)系/r/n客戶/r/n合同關(guān)系/r/n合同中要求的信/r/n息安全內(nèi)容/r/n合同要求更新周期/r/n合同/r/n供應(yīng)商/r/n合同關(guān)系/r/n合同中要求的信息安全內(nèi)容/r/n合同要求更新周期/r/n合同/r/n內(nèi)部部門(mén)及員エ/r/n信息安全/r/nエ/r/n作執(zhí)行層/r/n各部門(mén)實(shí)際工作中的信息安全要求/r/n個(gè)人隱私安全/r/n不定/r/n期/r/n安全/r/n會(huì)/r/n信息安全管理體系范圍的確定/r/n體系范圍的確/r/n定/r/n主要考慮到公司的實(shí)際業(yè)務(wù)特點(diǎn)和資源的合理利用,在公司范圍內(nèi)建立信息安全管理體系,有利于全面的提高公司信息安全管理水平,保障業(yè)務(wù)穩(wěn)定發(fā)展的需求。/r/n?/r/n業(yè)務(wù)范圍:/r/n云呼叫中心軟件平臺(tái)的開(kāi)發(fā)及運(yùn)維、呼叫中心業(yè)務(wù)及相關(guān)信息服務(wù);/r/n?/r/n物理范圍:/r/n北京市海淀區(qū)知春路/r/n113/r/n號(hào)銀網(wǎng)中心/r/nA/r/n座/r/n302-304/r/n室;/r/n?/r/n資產(chǎn)范圍:/r/n支撐業(yè)務(wù)活動(dòng)的文檔、數(shù)據(jù)、軟硬件系統(tǒng)、物理環(huán)境、人員/r/n及支持性第三方服務(wù)、無(wú)形資產(chǎn)（專利）等全部信息資產(chǎn);/r/n組織范圍:總/r/n裁辦、行政部、人力資源部、商務(wù)采購(gòu)部、財(cái)務(wù)部、產(chǎn)品部、銷(xiāo)售部、服務(wù)部、研發(fā)部、測(cè)試部。/r/n體系概述/r/n公司依據(jù)/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求,同時(shí)考慮行業(yè)的特點(diǎn),從業(yè)務(wù)需求出發(fā),遵從風(fēng)險(xiǎn)管理的理念,注重過(guò)程管理，建立和實(shí)施信息安全管理體系，確保與信息安全相關(guān)的資源、技/r/n術(shù)、/r/n管理等因素處于受控狀態(tài)，形成文件并加以實(shí)施、保持和持續(xù)改進(jìn)，有效防范各類安全事故或人為有意的破壞事件,保障公司信息的保密性、完整性和可用性，確保各項(xiàng)業(yè)務(wù)的連續(xù)性。/r/n5./r/n領(lǐng)導(dǎo)カ/r/n領(lǐng)導(dǎo)カ和承諾/r/n由公司負(fù)責(zé)人授權(quán)管理者代表全權(quán)負(fù)責(zé)信息安全管理體系的日常工作,包括批準(zhǔn)并正式發(fā)布各項(xiàng)制度、規(guī)定,建立體系推進(jìn)組織,任命相關(guān)角色,協(xié)調(diào)與信息安全管理體系有關(guān)的各項(xiàng)工作。/r/n信息安全方針和目標(biāo)/r/n信息安全方針:/r/n以/r/n客戶為中心，將安全意識(shí)融/r/n入日/r/n常工作、嚴(yán)格審查各項(xiàng)控制措施、及時(shí)消除安全隱患、保障業(yè)務(wù)連續(xù)性。/r/n信息安全目標(biāo):/r/n為落實(shí)上述方針,公司定/r/n義/r/n如下信息安全目標(biāo):/r/n1）/r/n全年不發(fā)生重大信息安全事件和二級(jí)以上運(yùn)行安全事故;/r/n2）/r/n重要保障時(shí)期不發(fā)生三級(jí)以上安全事件。/r/n組織角色、職責(zé)和權(quán)限/r/n?/r/n信息安全管理體系負(fù)責(zé)人（工作小組組長(zhǎng)）：/r/n1）/r/n負(fù)責(zé)組織建立、實(shí)施、保持和改進(jìn)信息安全/r/n管理/r/n體系,保證信息安全體系的有效運(yùn)行;/r/n2）/r/n負(fù)責(zé)公司/r/n信/r/n息安全/r/n管理/r/n手冊(cè)/r/n（一/r/n級(jí)）的審/r/n核,/r/n制度/r/n文件/r/n（二/r/n級(jí)）的/r/n審/r/n批;/r/n3）/r/n組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作;/r/n4）/r/n負(fù)責(zé)組織發(fā)起/r/n信/r/n息安全/r/n管理/r/n體系的/r/n管理/r/n評(píng)審工作；/r/n5）/r/n負(fù)責(zé)向領(lǐng)導(dǎo)小組報(bào)告/r/n信/r/n息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求。/r/n?/r/n信息安全工作小組:/r/n1）/r/n負(fù)責(zé)本部門(mén)的/r/n信/r/n息安全/r/n管理/r/n工作，負(fù)責(zé)保護(hù)本部門(mén)/r/n所管理、/r/n使用的信息資產(chǎn)的安全；/r/n2）/r/n負(fù)責(zé)指導(dǎo)和要求本部門(mén)員エ/r/n遵守信/r/n息安全政策；/r/n3）/r/n組織落實(shí)部門(mén)/r/n信/r/n息安全糾正措施（包括內(nèi)部審核整改意見(jiàn)）和/r/n預(yù)防措施。/r/n?/r/n公司全體員エ:/r/n1）/r/n嚴(yán)格遵守所有與信息安全相關(guān)的國(guó)家法律、法規(guī)和政策,遵守公司所有的信息安全政策,并簽字承諾遵守保/r/n密/r/n協(xié)議的有關(guān)規(guī)定；/r/n2）/r/n以/r/n安全負(fù)責(zé)的方式使用公司的/r/n信/r/n息資產(chǎn)；/r/n3）/r/n積極/r/n參加信/r/n息安全教育與培訓(xùn),提/r/n高信/r/n息安全意識(shí)；/r/n4）/r/n有責(zé)任將違反信息安全政策的事件與行為及時(shí)報(bào)告給本部門(mén)信息安全/r/n管理/r/n員及其/r/n他/r/n相/r/n關(guān)/r/n人員。/r/n6./r/n策劃/r/n風(fēng)險(xiǎn)評(píng)估和處置/r/n為建立和實(shí)施信息安全管理體系,公司信息安全管理采用過(guò)程方法,把與信息安全相關(guān)的資源和活動(dòng)作為過(guò)程來(lái)管理，即應(yīng)用/r/nPDCA/r/n過(guò)程方法,持續(xù)改進(jìn)信息安全管理體系。具體包括:/r/n1）/r/n識(shí)別并確定信息安全管理體系相關(guān)的策略、目標(biāo)、過(guò)程和制度，改進(jìn)信息安全以達(dá)到期望的結(jié)果;/r/n2）/r/n依據(jù)“過(guò)程模式”確定上述過(guò)程的順序和相互關(guān)系;/r/n3）/r/n將過(guò)程充分展開(kāi),明確信息安全控制點(diǎn),編制形成信息安全管理體系文件;/r/n4）/r/n配置適當(dāng)?shù)馁Y源，提供必要的支持和信息，/r/n以/r/n保證過(guò)程的有效運(yùn)作；持續(xù)測(cè)量、監(jiān)控和分析這些過(guò)程,并進(jìn)行必要的改進(jìn)。/r/n風(fēng)險(xiǎn)評(píng)估及機(jī)遇/r/n信息安全管理領(lǐng)導(dǎo)小組應(yīng)定/r/n義/r/n并應(yīng)用風(fēng)險(xiǎn)評(píng)估過(guò)程，識(shí)別影響業(yè)務(wù)的潛在風(fēng)險(xiǎn)及發(fā)展機(jī)遇/r/n以:/r/n./r/n建立和維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括:/r/n1）/r/n風(fēng)險(xiǎn)接受標(biāo)準(zhǔn);/r/n2）/r/n實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)。/r/n./r/n確保信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)一致性,產(chǎn)生有效的和可比較的結(jié)果；/r/n./r/n識(shí)別信息安全風(fēng)險(xiǎn);/r/n1）/r/n在信息安全管理體系范圍內(nèi),通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估流程,識(shí)別由于信息的機(jī)密性、完整性和可用性的喪失帶來(lái)的風(fēng)險(xiǎn)；/r/n2）/r/n識(shí)別風(fēng)險(xiǎn)責(zé)任/r/n人。/r/n./r/n分析信息安全風(fēng)險(xiǎn)；/r/n1）/r/n評(píng)估識(shí)別的風(fēng)險(xiǎn)產(chǎn)生的潛在后果；/r/n2）/r/n評(píng)估識(shí)別的風(fēng)險(xiǎn)轉(zhuǎn)化為事件的可能性；/r/n3）/r/n確定風(fēng)險(xiǎn)的等級(jí)/r/n./r/n評(píng)價(jià)信息安全風(fēng)險(xiǎn):/r/n1）/r/n將風(fēng)險(xiǎn)分析結(jié)果與所定/r/n義/r/n的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)行比較;/r/n2）/r/n根據(jù)風(fēng)險(xiǎn)等級(jí)確定風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。/r/n風(fēng)險(xiǎn)處置/r/n信息安全管理領(lǐng)導(dǎo)小組應(yīng)定/r/n義/r/n和實(shí)施信息安全風(fēng)險(xiǎn)處置過(guò)程:/r/n1）/r/n依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)論,選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置方式;/r/n2）/r/n確定信息安全風(fēng)險(xiǎn)處置所需的各項(xiàng)控制措施;/r/n3）/r/n將風(fēng)險(xiǎn)處置中所選的各項(xiàng)控制措施的和標(biāo)準(zhǔn)附錄/r/nA/r/n中的控制措施進(jìn)行比較,確保沒(méi)有遺漏必要的控制措施；/r/n4）/r/n制定具備必要控制措施的適用性聲明/r/nSOA,/r/n適用性聲明要包含必要的控制措施、對(duì)包含的控制措施的合理性說(shuō)明（無(wú)論是否實(shí)施）/r/n以/r/n及對(duì)標(biāo)準(zhǔn)附錄/r/nA/r/n控制措施刪減的合理性說(shuō)明；/r/n5）/r/n制定信息安全風(fēng)險(xiǎn)處置計(jì)/r/n劃；/r/n6）/r/n需得到風(fēng)險(xiǎn)責(zé)任/r/n人/r/n對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃和殘余風(fēng)險(xiǎn)接受的審核。有關(guān)風(fēng)險(xiǎn)評(píng)估和處置的具體操作指導(dǎo)詳見(jiàn)《風(fēng)險(xiǎn)評(píng)估管理制度》。/r/n目標(biāo)實(shí)現(xiàn)過(guò)程/r/n信息安全/r/n目/r/n標(biāo)將通過(guò)對(duì)信息安全風(fēng)險(xiǎn)的來(lái)源識(shí)別、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)跟蹤驗(yàn)證、/r/n以/r/n及信息安全管理體系各流程的落地跟蹤,舉行不定期的安全評(píng)審會(huì)議的綜合過(guò)程來(lái)實(shí)現(xiàn),同時(shí)保留相關(guān)文檔內(nèi)容。/r/n整體信息安全/r/n目/r/n標(biāo)實(shí)現(xiàn)過(guò)程內(nèi)容如/r/n下;/r/n./r/n風(fēng)險(xiǎn)來(lái)源/r/n1）/r/n日常信息安全風(fēng)險(xiǎn)管理工作:月度安全工作會(huì)議中發(fā)現(xiàn)的信息安全問(wèn)題進(jìn)行評(píng)估,并全部進(jìn)行風(fēng)險(xiǎn)處置。/r/n2）/r/n每年進(jìn)行一次集中風(fēng)險(xiǎn)評(píng)估工作,具體開(kāi)展過(guò)程為：定期的信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng):每年開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng),并根據(jù)信息安全風(fēng)險(xiǎn)接受水平對(duì)活動(dòng)中發(fā)現(xiàn)的中、高風(fēng)險(xiǎn)進(jìn)行處置。/r/n3）/r/n做好各體系流程監(jiān)控工作:做好生產(chǎn)運(yùn)營(yíng)和信息安全相關(guān)的信息資產(chǎn)管理、系統(tǒng)交付投產(chǎn)、運(yùn)行監(jiān)控、變更管理、數(shù)據(jù)提取與使用、補(bǔ)丁管理、密鑰管理、移動(dòng)介質(zhì)管理、病毒防范、應(yīng)急處理和安全運(yùn)營(yíng)獎(jiǎng)懲、故障分級(jí)評(píng)估、事故問(wèn)責(zé)等方面的制度/r/n或/r/n流程的運(yùn)行情況監(jiān)控,發(fā)現(xiàn)問(wèn)題及時(shí)糾正。每年對(duì)各流程要求進(jìn)行回顧、評(píng)估和更新。/r/n./r/n風(fēng)險(xiǎn)處置/r/n1）/r/n針對(duì)以上途徑發(fā)現(xiàn)的信息安全風(fēng)險(xiǎn),各部門(mén)負(fù)責(zé)制定相應(yīng)的整改計(jì)劃。針對(duì)信息安全管理類風(fēng)險(xiǎn)如因制度/r/n或/r/n流程的缺失、制度/r/n或/r/n流程/r/n未/r/n嚴(yán)格執(zhí)行造成的安全風(fēng)險(xiǎn),由責(zé)任部門(mén)新增安全管理制度及流程或監(jiān)督本部門(mén)員エ嚴(yán)格執(zhí)行安全制度。/r/n2）/r/n針對(duì)信息安全技/r/n術(shù)/r/n類風(fēng)險(xiǎn)如滲透測(cè)試、主機(jī)掃描發(fā)現(xiàn)的安全漏洞,由公司/r/n技術(shù)/r/n部門(mén)統(tǒng)一負(fù)責(zé)整改。對(duì)于部分需要通過(guò)新增安全設(shè)備才能完全消減的風(fēng)/r/n險(xiǎn),/r/n在公司經(jīng)濟(jì)條件許可的情況下,由責(zé)任部門(mén)負(fù)責(zé)采購(gòu)并部署。/r/n./r/n信息安全風(fēng)險(xiǎn)處置的監(jiān)督和驗(yàn)證/r/n信息安全工作組負(fù)責(zé)督促并監(jiān)督各組對(duì)信息安全風(fēng)險(xiǎn)的處置。針對(duì)信息安全管理類風(fēng)險(xiǎn)的處置情況，由信息安全工作組通過(guò)定期安全內(nèi)審的方式進(jìn)行驗(yàn)證。針對(duì)信息安全技/r/n術(shù)/r/n類風(fēng)險(xiǎn)的跟蹤,由信息安全工作組負(fù)責(zé)對(duì)安全漏洞的整改情況進(jìn)行復(fù)查驗(yàn)證。/r/n./r/n評(píng)價(jià)周期及起始時(shí)間/r/n對(duì)安全目標(biāo)實(shí)現(xiàn)的評(píng)價(jià),信息安全工作組每年組織召開(kāi)信息安全管理評(píng)審會(huì)議,并邀請(qǐng)公司領(lǐng)導(dǎo)層參會(huì),由信息安全管理/r/n體系/r/n負(fù)責(zé)人匯報(bào)信息安全管理體系運(yùn)行狀況及/r/n目/r/n標(biāo)達(dá)成情況,與參會(huì)人員共同討論、最終評(píng)價(jià)信息安全目標(biāo)的達(dá)/r/n成/r/n情況。/r/n信息安全管理目標(biāo)的實(shí)現(xiàn),/r/n不/r/n強(qiáng)制/r/n依/r/n賴于每年一次的信息安全管理評(píng)審會(huì)/r/n議,具體的信息安全管理目標(biāo)的達(dá)成情況判定,可通過(guò)每月的信息安全會(huì)議,并根據(jù)目標(biāo)達(dá)成情況,采取相應(yīng)的糾正預(yù)防措施。/r/n7./r/n支持/r/n資源提供/r/n公司領(lǐng)導(dǎo)層應(yīng)確保提供以下方面所需的資源:/r/n1）/r/n實(shí)施、保持管理體系并/r/n持/r/n續(xù)改進(jìn)其有效性所需的各種資源;/r/n2）/r/n滿足客戶要求,提高客戶滿意度所需的各種資源。/r/n編制了《人力資源管理制度》,公司根據(jù)人員的學(xué)歷、技能和經(jīng)驗(yàn),組織面向全員的信/r/n息/r/n安全意識(shí)培訓(xùn)及面向特定/r/n人/r/n員的專業(yè)/r/nIT/r/n技能培訓(xùn),確保/r/n其/r/n能勝任工作。/r/n信息安全能力管理/r/n結(jié)合當(dāng)前信息安全管理認(rèn)證范圍,對(duì)員エ信息安全能力管理主要從以下幾方面出發(fā)來(lái)/r/n實(shí)現(xiàn):/r/n1）/r/n影響信息安全執(zhí)行工作的人員崗位,在崗位設(shè)立時(shí)應(yīng)明確信息安全能力的要求,并在招聘時(shí)嚴(yán)格把關(guān)（例如學(xué)歷教育、能力測(cè)試等）/r/n；/r/n2）/r/n確/r/n保人/r/n員在適當(dāng)教育、培訓(xùn)和經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任工作;在/r/n人/r/n員調(diào)崗時(shí),應(yīng)考慮相關(guān)/r/n人/r/n員信息安全能力的確定和培養(yǎng)。/r/n3）/r/n保留培訓(xùn)記錄作為能力培養(yǎng)的證據(jù)。/r/n意識(shí)培訓(xùn)/r/n每季度對(duì)當(dāng)季入職的所有新員工進(jìn)行信息安全意識(shí)培訓(xùn)并進(jìn)行考試,對(duì)于信息安全小組成員應(yīng)進(jìn)行崗位相關(guān)的信息安全專業(yè)培訓(xùn)/r/nI,/r/n對(duì)于信息安全崗位的工作人員（如系統(tǒng)管理員）應(yīng)安排專業(yè)技能培訓(xùn)。/r/n信息安全溝通管理/r/n公司的利益相關(guān)方由三類/r/n群體/r/n構(gòu)/r/n成，/r/n分別是客戶、員エ、供應(yīng)商。針對(duì)不同的相關(guān)方群體，溝通方式分為內(nèi)部和外部?jī)深?并建立起不同的溝通機(jī)制和聯(lián)系通訊錄,以及時(shí)了解來(lái)自利益相關(guān)方的信息安全要求/r/n或/r/n將公司的信息安全要求傳達(dá)給利益相關(guān)方。/r/n溝通對(duì)象/r/n溝通機(jī)制與形式/r/n溝通內(nèi)容/r/n溝通頻率/r/n溝通責(zé)任部門(mén)/r/n

/r/n客/r/n戶/r/n客戶滿意度調(diào)/r/n杳/r/n改善服務(wù),提/r/n升/r/n客戶滿/r/n意度/r/n客戶對(duì)信息安全的要/r/n求/r/n信息安全相關(guān)情況及問(wèn)題溝通信息安全事件通報(bào)/r/n定/r/n期、/r/n發(fā)生/r/n時(shí)/r/n服務(wù)部/r/nロ/r/n貝/r/nェ/r/n信息安全意識(shí)/r/n培訓(xùn)/r/n1/r/n信息安全目標(biāo)和方針/r/n信息安全制度要求/r/n信息安全職責(zé)/r/n信息安全意識(shí)調(diào)查/r/n不定/r/n期/r/n信息安全/r/n小組/r/n供/r/n應(yīng)商/r/n供應(yīng)商評(píng)價(jià)項(xiàng)目合作郵件往來(lái)/r/n電話咨詢/r/n供應(yīng)商服務(wù)評(píng)價(jià)公司信息安全要求信息安全咨詢建議信息安全事件響應(yīng)和/r/n處理/r/n不定/r/n期/r/n商務(wù)采購(gòu)/r/n部/r/n存檔信息控制/r/n存檔信息是指支撐和維持公司信息安全管理體系運(yùn)行的相關(guān)信息,以確保存儲(chǔ)信息能夠符合信息安全管理目標(biāo),體現(xiàn)形式包括（但不限于）如下內(nèi)容:/r/n1）/r/n^GB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的管理手冊(cè);/r/n2）/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的制度文件和作業(yè)指導(dǎo)書(shū),即各項(xiàng)流程管理辦法、管理辦法、實(shí)施細(xì)則等;/r/n3）/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術(shù)安全技術(shù)信息安全管理體系要求》所要求的各項(xiàng)記錄和日志；/r/n4）/r/n信息安全管理體系運(yùn)行所需要的其他相關(guān)信息,包括但不限于文檔、數(shù)/r/n文件架構(gòu)/r/n信息安全管理體系文件包括四個(gè)層次:即信息安全管理手冊(cè)、管理辦法/制度類文件、管理辦法/實(shí)施細(xì)則/操作指南類文件、記錄/日志。如下圖所示:/r/nIt/r/n作播幻.技/r/n術(shù)/r/n手能/r/n裏/r/nWJS/r/n各層級(jí)文件所關(guān)注的內(nèi)容依次如下:/r/nー階文件:關(guān)于信息安全管理體系的策略聲明文件,即信息安全管理手冊(cè)。/r/n二階文件:關(guān)于/r/n＜GB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術(shù)安全技術(shù)信息安全管理體系要求》各個(gè)控制域的標(biāo)準(zhǔn)指南文件,體現(xiàn)信息安全管理/r/n體/r/n系在各個(gè)方面的/r/n目/r/n標(biāo)規(guī)范和基/r/n本/r/n要求。/r/n三階/r/n文件:關(guān)于具體信息安全問(wèn)題的規(guī)程文件，指導(dǎo)實(shí)現(xiàn)對(duì)特定信息安全風(fēng)險(xiǎn)點(diǎn)的控制和對(duì)具體業(yè)務(wù)工作的安全管理要求。/r/n四階文件：關(guān)于信息安全體系運(yùn)行的各類記錄和報(bào)告,/r/n體/r/n現(xiàn)各項(xiàng)工作能夠按照文件的具體要求有效開(kāi)展。/r/n具體文件見(jiàn)《信息安全管理體系文件矩陣表》。/r/n文件控制/r/n公司對(duì)信息安全管理體系的相關(guān)文件進(jìn)行全面控制,以滿足/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技/r/n術(shù)/r/n安全/r/n技/r/n術(shù)信息安全管理體系要求》標(biāo)準(zhǔn),具體要求包括：/r/n1）/r/n確保文件編制、評(píng)審、批準(zhǔn)、發(fā)放、使用、修改、作廢得到有效的控制;/r/n2）/r/n確保文件清晰可辨,版本標(biāo)示清楚,易于識(shí)別和檢索;/r/n3）/r/n確保在使用時(shí)可獲得最新、有效版本的適用文件;/r/n4）/r/n確保外來(lái)文件得到識(shí)別,對(duì)文件的分發(fā)加以控制;/r/n5）/r/n對(duì)不同媒體和不同種類的文件，采取相應(yīng)的控制；/r/n6）/r/n防止作廢文件的非授權(quán)使用,保留作廢文件時(shí),需對(duì)這些文件進(jìn)行明確的標(biāo)識(shí)。/r/n公司對(duì)信息安全管理體系文件的控制、文件分發(fā)及保管等控制做出規(guī)定,明確體系文件的最新版本應(yīng)從指定保管部門(mén)獲得,相關(guān)控制要求參見(jiàn)《文檔管理規(guī)范》。/r/n記錄控制/r/n為提供符合信息安全管理體系要求的證據(jù)且體現(xiàn)體系的有效運(yùn)行,保證管理過(guò)程的可追溯性,公司編制并實(shí)施了相關(guān)制度文件和流程管理辦法及實(shí)施細(xì)則，通過(guò)規(guī)定信息安全管理相關(guān)記錄的標(biāo)識(shí)、收集、歸檔、保管、借閱、銷(xiāo)毀和檢查等要求，確保相關(guān)記錄能夠保持完備、易于識(shí)別和檢索。/r/n建立相應(yīng)的信息記錄控制清單并明確責(zé)任部門(mén)、保存期限及存檔要求,相關(guān)控制要求參見(jiàn)《記錄控制制度》。/r/n8./r/n運(yùn)行/r/n體系策劃與運(yùn)行/r/n公司依據(jù)/r/nPDCA/r/n的持續(xù)改進(jìn)模型建立信息安全管理體系。/r/n體系的策劃/r/n1）/r/n確定體系的管理范圍、方針和目標(biāo)；/r/n2）/r/n依據(jù)/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n要求和公司管理要求，進(jìn)行/r/n差距和信息安全風(fēng)險(xiǎn)評(píng)估;/r/n3）/r/n設(shè)計(jì)符合公司業(yè)務(wù)特點(diǎn)的信息安全管理體系架構(gòu);/r/n4）/r/n建立安全管理規(guī)范,制定表單、計(jì)劃、報(bào)告模板等;/r/n5）/r/n落實(shí)崗位、角色和職責(zé)。/r/n體系的實(shí)施和運(yùn)行/r/n1）/r/n為確保信息安全管理體系的正常運(yùn)行,公司進(jìn)行如下部署以確保體系的執(zhí)行力;/r/n＞/r/n實(shí)施信息安全意識(shí)培訓(xùn)；/r/n＞/r/n嚴(yán)格按照管理體系要求,保留運(yùn)行記錄,確保工作過(guò)程可追溯、工作結(jié)果可考核。/r/n9,/r/n績(jī)效評(píng)價(jià)/r/n能力評(píng)價(jià)/r/n員エ所在部門(mén)領(lǐng)導(dǎo)通過(guò)日常工作情況,/r/n根/r/n據(jù)崗位工作成績(jī)量化指標(biāo),對(duì)員エ的崗位目標(biāo)進(jìn)行量化考核,同時(shí)對(duì)重要崗位人員的信息安全能力進(jìn)行評(píng)估。如發(fā)現(xiàn)信息安全能力不足,相關(guān)部門(mén)負(fù)責(zé)人應(yīng)及時(shí)向人力資源管理部提出。/r/n人カ/r/n資源管理部應(yīng)從以下方面保證員エ信息安全能力滿足要求。/r/n＞/r/n招聘信息安全能力合格的新員エ;/r/n＞/r/n通過(guò)培訓(xùn)提高現(xiàn)有人員的信息安全能力;/r/n＞/r/n購(gòu)買(mǎi)信息安全服務(wù),彌補(bǔ)信息安全不足可能造成的風(fēng)險(xiǎn)。/r/n有效性測(cè)量/r/n定期/r/n依/r/n據(jù)有效性測(cè)量的項(xiàng)目和目標(biāo)值對(duì)信息安全體系運(yùn)作的有效性進(jìn)行測(cè)量,對(duì)測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià),并編制相關(guān)報(bào)告。/r/n信息安全管理體系控制措施有效性測(cè)量是實(shí)現(xiàn)信息安全管理體系目標(biāo)的重/r/n要保障機(jī)制,應(yīng)按照循序漸進(jìn)、持續(xù)改進(jìn)的原則,緊密結(jié)合信息安全方針,實(shí)現(xiàn)控制措施的可監(jiān)督和可測(cè)量,逐步完善測(cè)量項(xiàng)目和目標(biāo)值。參見(jiàn)《有效性測(cè)量控制制度》。/r/n實(shí)施流程/r/n./r/n設(shè)計(jì)測(cè)量指標(biāo)/r/n信息安全工作組依據(jù)信息安全管理策略設(shè)計(jì)衡量控制措施有效性的測(cè)量指標(biāo)。測(cè)量指標(biāo)應(yīng)集中在對(duì)公司相對(duì)重要的信息安全重點(diǎn)管控領(lǐng)域,包括但不限于:人員信息安全管理、資產(chǎn)管理、物理和環(huán)境管理、通訊與操作管理、訪問(wèn)控制、信息安全事件管理等信息安全管理領(lǐng)域。/r/n信息安全工作組應(yīng)依據(jù)測(cè)量指標(biāo)制定相應(yīng)的測(cè)量方法、測(cè)量周期及目標(biāo)值。/r/n信息安全工作組應(yīng)將測(cè)量指標(biāo)、測(cè)量方法、目標(biāo)值、測(cè)量周期等信息,提交信息安全管理領(lǐng)導(dǎo)小組審核,經(jīng)審核后形成有效性測(cè)量統(tǒng)計(jì)表。/r/n./r/n實(shí)施測(cè)量/r/n信息安全工作組應(yīng)在管理評(píng)審會(huì)議召開(kāi)前，依據(jù)有效性測(cè)量統(tǒng)計(jì)表要求的測(cè)量周期,組織各小組開(kāi)展有效性測(cè)量活動(dòng)。/r/n各小組信息安全員應(yīng)依據(jù)有效性測(cè)量統(tǒng)計(jì)表定義的數(shù)據(jù)來(lái)源收集、統(tǒng)計(jì)信息安全管理體系運(yùn)行數(shù)據(jù)，并提交信息安全工作組。/r/n信息安全工作組對(duì)運(yùn)行數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，將測(cè)量指標(biāo)的實(shí)際值記錄于有效性測(cè)量統(tǒng)計(jì)表,并將實(shí)際值與目標(biāo)值進(jìn)行對(duì)比，若存在測(cè)量指標(biāo)未達(dá)標(biāo)項(xiàng)，將其提交信息安全管理領(lǐng)導(dǎo)小組確認(rèn)。/r/n信息安全工作組應(yīng)組織協(xié)調(diào)測(cè)量指標(biāo)未達(dá)標(biāo)的責(zé)任小組依據(jù)《糾正和預(yù)防控制制度》進(jìn)行改善。/r/n信息安全管理體系有效性測(cè)量活動(dòng)應(yīng)在內(nèi)審及管理評(píng)審前開(kāi)展，以保證通過(guò)內(nèi)審活動(dòng)能有效地檢驗(yàn)測(cè)量指標(biāo)的正確性，并將有效性測(cè)量的結(jié)果作為管理評(píng)審活動(dòng)的輸入項(xiàng)。/r/n./r/n持續(xù)改進(jìn)測(cè)量/r/n根據(jù)“循序漸進(jìn)、持續(xù)改進(jìn)”的原則,信息安全工作組負(fù)責(zé)對(duì)有效性測(cè)量指/r/n標(biāo)不斷進(jìn)行完善。/r/n信息安全管理領(lǐng)導(dǎo)小組應(yīng)對(duì)測(cè)量指標(biāo)定期組織評(píng)估,結(jié)合實(shí)際環(huán)境的變化對(duì)現(xiàn)有的測(cè)量指標(biāo)進(jìn)行修訂或完善。評(píng)估周期應(yīng)不超過(guò)內(nèi)審活動(dòng)的周期（每年至/r/n少/r/n一次）,因此測(cè)量指標(biāo)修訂和完善的周期不能超過(guò)一年。/r/n內(nèi)部審核/r/n通過(guò)定期組織內(nèi)審活動(dòng),檢查信息安全管理活動(dòng)及其結(jié)果是否符合有關(guān)標(biāo)準(zhǔn)或文件制度要求,對(duì)信息安全管理體系運(yùn)行情況進(jìn)行的全面的、系統(tǒng)的檢查和評(píng)價(jià)活動(dòng)，包括檢查信息安全策略、標(biāo)準(zhǔn)、規(guī)定及其他相關(guān)規(guī)章制度是否得到正確實(shí)施，信息系統(tǒng)是否符合技術(shù)服務(wù)和安全實(shí)施標(biāo)準(zhǔn)，安全控制措施是否得當(dāng),為體系的持續(xù)改進(jìn)提供/r/n依/r/n據(jù)，確保管理體系持續(xù)有效地運(yùn)行。/r/n管理評(píng)審/r/n通過(guò)定期的管理評(píng)審工作,為信息安全管理體系的適宜性、充分性和有效性的評(píng)審提供指導(dǎo)意見(jiàn),使公司信息安全管理體系滿足信息安全管理策略要求,且持續(xù)完善并有效運(yùn)行,實(shí)現(xiàn)公司信息安全管理目標(biāo)。/r/n監(jiān)控和評(píng)審/r/n建立對(duì)日常工作的監(jiān)控檢查和對(duì)信息安全管理體系的全面、系統(tǒng)化的監(jiān)控和評(píng)審機(jī)制。通過(guò)內(nèi)審、管理評(píng)審等方式獲悉信息安全管理體系的運(yùn)行情況。具體包括:/r/n1）/r/n日常工作的監(jiān)督檢查:通過(guò)設(shè)立日常檢查機(jī)制，確保員エ按照規(guī)定的要求和規(guī)范進(jìn)行作業(yè)和操作，降低操作風(fēng)險(xiǎn),提高工作效率;/r/n2）/r/n安全管理制度的落實(shí)推進(jìn)，跟蹤信息安全工作的開(kāi)展力度,監(jiān)控信息安全事件的發(fā)生情況;/r/n3）/r/n流程監(jiān)控和匯報(bào):流程經(jīng)理按照各管理流程要求，跟蹤監(jiān)督流程執(zhí)行,定期編制流程管理報(bào)告,反饋流程運(yùn)行情況，分析運(yùn)行的效果和效率；/r/n4）/r/n管理體系的內(nèi)部審/r/n核:/r/n通過(guò)組織體系的內(nèi)部審/r/n核，/r/n評(píng)價(jià)信息安全管理的執(zhí)行力、有效性,識(shí)別差距和不足。具體參見(jiàn)《內(nèi)部審核控制制度》;/r/n5）/r/n管理體系的評(píng)審:每年定期對(duì)信息安全管理體系進(jìn)行評(píng)審回顧,以評(píng)價(jià)/r/n體系的適應(yīng)性、充分性和有效性,從而明確下ー階段或下一年度的改進(jìn)方向和重點(diǎn),記錄會(huì)議紀(jì)要。具體參見(jiàn)《管理評(píng)審控制制度》。/r/n10./r/n改進(jìn)/r/n針對(duì)信息安全管理體系在監(jiān)控和評(píng)審過(guò)程中發(fā)現(xiàn)的問(wèn)題，通過(guò)/r/n不/r/n符合和糾正措施兩種方式對(duì)體系進(jìn)行改進(jìn)。/r/n組織應(yīng)保留文件/r/n化/r/n信息作為以下方面的證/r/n據(jù):/r/n包括不符合的性質(zhì)及所采取的后續(xù)措施以及糾正措施的結(jié)果。/r/n1）/r/n不符合/r/n＞/r/n通過(guò)定期的安全總結(jié)、分析發(fā)現(xiàn)與當(dāng)前信息安全管理文檔要求存在/r/n不/r/n相符合的地方,進(jìn)行相應(yīng)的體系制度要求的落地;對(duì)已明確的安全管理和技術(shù)在實(shí)施過(guò)程中存在相應(yīng)的執(zhí)行偏差,在這樣的情況/r/n下,/r/n進(jìn)行相應(yīng)的不符合處置措施。使之實(shí)現(xiàn)既定的安全目標(biāo)。/r/n2）/r/n糾正措施和持續(xù)改進(jìn)/r/n＞/r/n各流程或安全工作組分析自身存在的問(wèn)題原因，制定切實(shí)可行的改進(jìn)計(jì)劃并貫徹實(shí)施。/r/n＞/r/n檢查和驗(yàn)證改進(jìn)計(jì)劃的有效性。/r/n具體的做法參考《內(nèi)部審核控制制度》《管理評(píng)審控制制度》及《糾正和預(yù)防措施控制制度》/r/n。/r/n11./r/n信息安全總體控制/r/nA./r/n5/r/n信息安全策略/r/n./r/n通過(guò)建立信息安全管理組織,啟動(dòng)和控制公司信息安全工作的實(shí)施,批準(zhǔn)信息安全方針與策略,確定信息安全管理人員和職責(zé)分エ,協(xié)調(diào)整/r/n個(gè)/r/n信息安全管理體系的有效運(yùn)行。/r/n./r/n公司還需要建立與服務(wù)客戶、安全服務(wù)廠商、上級(jí)監(jiān)管單位、外部安全咨詢專家等外部組織的聯(lián)系，以便跟蹤行業(yè)趨勢(shì),學(xué)習(xí)各類先進(jìn)的信息安全技術(shù)/r/n和管理手段。/r/n./r/n公司將不可避免地需要與外界進(jìn)行業(yè)務(wù)往來(lái)和信息溝通,經(jīng)常需要向外部組織開(kāi)放其信息資產(chǎn)和信息處理設(shè)施。因此,需要對(duì)由于外部組織訪問(wèn)而帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,并根據(jù)風(fēng)險(xiǎn)水平,在必要時(shí)與外部組織簽訂保密協(xié)議，向其聲明公司的信息安全方針與策略，確定所需的安全控制措施。/r/nA./r/n6/r/n信息安全組織/r/n./r/n信息安全組織框架/r/n公司信息安全組織框架包括管理決策、監(jiān)督檢查、貫徹執(zhí)/r/n行三/r/n層架構(gòu)。其中,公司的管理決策職能由信息安全管理領(lǐng)導(dǎo)小組和管理者代表承/r/n擔(dān)，/r/n領(lǐng)導(dǎo)公司信息安全總體工作,領(lǐng)導(dǎo)小組成員由公司總經(jīng)理、管理者代表及部門(mén)負(fù)責(zé)人組成。監(jiān)督檢查職能由信息安全工作組承擔(dān),工作組由一名工作組組長(zhǎng)及工作組成員構(gòu)成,主要負(fù)責(zé)信息安全各項(xiàng)工作的日常監(jiān)督和持續(xù)檢查,信息安全工作組組長(zhǎng)由公司安全負(fù)責(zé)人擔(dān)任，其成員由各小組負(fù)責(zé)/r/n人、/r/n信息安全員及公司其他安全人員組成。貫徹執(zhí)行職能由公司各小組及小組員エ承擔(dān),遵循信息安全管理要求,落實(shí)各項(xiàng)信息安全工作,配合監(jiān)督和檢查;同時(shí),公司各小組設(shè)置專職的信息安全員（或兼職信息安全員）,負(fù)責(zé)本小組信息安全工作的具體協(xié)調(diào)和落實(shí)（具體內(nèi)容參見(jiàn)附件ー:信息安全組織映射表及附件/r/n二:/r/n信息安全職責(zé)分配表）。/r/n管理決策/r/n信息安全管理領(lǐng)導(dǎo)小

組/r/n管浬監(jiān)督/r/n信/r/n息安全工作小組/r/n貫沏執(zhí)行/r/n全體員エ/r/n./r/n信息安全職責(zé)/r/n1）/r/n信息安全管理領(lǐng)導(dǎo)小組/r/n信息安全管理體系的決策機(jī)構(gòu),確定信息安全管理體系的建設(shè)方向,制訂方針目標(biāo)等。/r/na）/r/n確立公司信息安全和風(fēng)險(xiǎn)管理的方針政策,并貫徹落實(shí);/r/nb）/r/n組織制定公司信息安全和風(fēng)險(xiǎn)管理的總體規(guī)劃;/r/nc）/r/n對(duì)信息安全事件提出處置策略;/r/nd）/r/n研究部署和討論決定公司信息安全和風(fēng)險(xiǎn)管理工作的重大事項(xiàng);/r/ne）/r/n授權(quán)相關(guān)部門(mén)對(duì)公司信息安全工作進(jìn)行考/r/n核,/r/n審批考核結(jié)果并做決策。/r/nf）/r/n每年在管理評(píng)審會(huì)上對(duì)信息安全方針進(jìn)行評(píng)審。/r/n2）/r/n管理者代表/r/n由公司負(fù)責(zé)人授/r/n權(quán)全權(quán)/r/n負(fù)責(zé)信息安全管理體系的日常工作,包括批準(zhǔn)并正式發(fā)布各項(xiàng)制度、規(guī)定,建立體系推進(jìn)組織,任命相關(guān)角色等。/r/na）/r/n提出信息安全目標(biāo),領(lǐng)導(dǎo)信息安全管理體系的建立、運(yùn)行和維護(hù);/r/nb）/r/n協(xié)調(diào)與信息安全管理體系有關(guān)的各項(xiàng)工作;/r/nc）/r/n確保在公司內(nèi)提高員エ的信息安全意識(shí);/r/nd）/r/n督促信息安全管理體系內(nèi)部審核和信息安全檢查的開(kāi)展;/r/ne）/r/n協(xié)助最高管理者進(jìn)行信息安全管理體系的管理評(píng)審;/r/nf）/r/n向最高管理者報(bào)告信息安全管理體系的執(zhí)行情況和改進(jìn)要求。/r/ng）/r/n定期舉行管理評(píng)審,保證信息安全管理體系的適宜性、充分性和有效性。/r/n3）/r/n信息安全工作小組/r/n負(fù)責(zé)信息安全政策的貫徹、落實(shí)和監(jiān)督檢查,并協(xié)調(diào)各信息安全執(zhí)行小組以及與外部組織間有關(guān)的信息安全工作。/r/na）/r/n組織識(shí)別信息安全需/r/n求,/r/n向信息安全管理領(lǐng)導(dǎo)小組提出改進(jìn)建議;/r/nb）/r/n維護(hù)信息安全管理體系,組織制訂和修訂信息安全管理制度；/r/nc）/r/n制定風(fēng)險(xiǎn)評(píng)估計(jì)/r/n劃，/r/n組織進(jìn)行風(fēng)險(xiǎn)評(píng)估,制定風(fēng)險(xiǎn)處理計(jì)/r/n劃；/r/nd）/r/n根據(jù)信息安全方針和風(fēng)險(xiǎn)管理總體規(guī)劃,組織制定信息安全和風(fēng)險(xiǎn)管理的規(guī)章、制度；/r/ne）/r/n監(jiān)督和考核各小組信息安全管理工作的執(zhí)行情況;/r/nf）/r/n向信息安全管理領(lǐng)導(dǎo)小組匯報(bào)信息安全工作的執(zhí)行情況。/r/ng）/r/n組織、發(fā)起信息安全相關(guān)會(huì)議，安排會(huì)議議程，提供會(huì)議材料,部署和跟蹤會(huì)議決議的執(zhí)行情況；/r/nh）/r/n跟蹤信息安全事件處理并報(bào)告；/r/ni）/r/n組織實(shí)施內(nèi)部信息安全檢查和內(nèi)部審/r/n核；/r/nj）/r/n組織對(duì)員エ進(jìn)行信息安全意識(shí)教育和基礎(chǔ)培訓(xùn),促使日常工作的安全有/r/n序開(kāi)展,同時(shí)在項(xiàng)目實(shí)施過(guò)程中滿足相關(guān)安全規(guī)范要求;/r/nk）/r/n對(duì)各小組的信息安全工作進(jìn)行監(jiān)督、指導(dǎo);/r/n1）/r/n與政府相關(guān)部門(mén)、外部信息安全組織、機(jī)構(gòu)聯(lián)系和溝通/r/n4）/r/n全體員エ/r/n根/r/n據(jù)相關(guān)信息安全要求,配合相關(guān)人員工作開(kāi)展,理解并遵守/r/n本/r/n規(guī)定定/r/n義/r/n的內(nèi)容。/r/na）/r/n遵守信息安全規(guī)章制度,遵循操作規(guī)范和流程;/r/nb）/r/n履行崗位信息安全職責(zé),執(zhí)行信息安全工作任務(wù);/r/nc）/r/n作為信息資產(chǎn)使用者,妥善使用并保護(hù)工作所涉及的信息資產(chǎn);/r/nd）/r/n及時(shí)上報(bào)信息安全事件或隱患;/r/ne）/r/n參與信息安全教育和培訓(xùn)。/r/nA./r/n7/r/n人力資源安全/r/n./r/n制定并實(shí)施對(duì)員エ的任用前、任用中、任用后各階段的規(guī)定,確保員エ行為符合要求并能夠忠于職守；制定并實(shí)施對(duì)外部人員合作前、合作中和合作結(jié)束后各階段的規(guī)定,確保外部人員在公司工作期間履行其信息安全義務(wù)。/r/n./r/n對(duì)公司員工和/r/n第三/r/n方人員進(jìn)行充分的信息安全意識(shí)培訓(xùn),明確員エ在エ作中的信息安全職責(zé)，使其掌握所處崗位的信息安全技能；明確/r/n第三/r/n方在公司エ作時(shí)所應(yīng)遵循的信息安全要求和所應(yīng)履行的信息安全責(zé)任和義務(wù)。/r/n具體管理策略請(qǐng)參見(jiàn)《人力資源管理制度》/r/n《第三/r/n方服務(wù)管理規(guī)定》/r/n。/r/nA./r/n8/r/n資產(chǎn)管理/r/n./r/n對(duì)信息資產(chǎn)進(jìn)行識(shí)別和管理；根據(jù)不同類型信息資產(chǎn)的特征,制定并實(shí)施正確使用信息資產(chǎn)的操作規(guī)程。/r/n./r/n基/r/n于/r/n信息資產(chǎn)價(jià)值和等級(jí)劃分制定不同的安全規(guī)范與策略,根據(jù)不同信息資產(chǎn)所需的保護(hù)要求,進(jìn)行相應(yīng)程度的保護(hù)。/r/n具體管理策略請(qǐng)參見(jiàn)《信息資產(chǎn)分類分級(jí)管理制度》。/r/nA.9/r/n訪問(wèn)控制/r/n./r/n加強(qiáng)對(duì)公司資產(chǎn)的訪問(wèn)控制管理,規(guī)范用戶管理、密碼管理、系統(tǒng)配置等要求,并提出訪問(wèn)控制管理的各項(xiàng)基本要求。/r/n2,/r/n通過(guò)實(shí)施用戶管理，確保相關(guān)/r/n人/r/n員獲取適合其工作職責(zé)的訪問(wèn)權(quán)限,形成用戶訪問(wèn)權(quán)限的清單并定期審核,用戶離崗或離職時(shí)及時(shí)進(jìn)行權(quán)限的調(diào)整和清除。/r/n具體管理策略請(qǐng)參見(jiàn)《訪問(wèn)控制管理制度》。/r/nA./r/n10/r/n密碼控制/r/n通過(guò)建立制度,完善密碼使用和管理,制定和實(shí)施密鑰的使用,保護(hù),使用期策略并貫穿其整/r/n個(gè)/r/n生命周期。/r/n具體管理策略請(qǐng)參見(jiàn)《密碼控制管理制度》/r/n。/r/nA./r/n11/r/n物理和環(huán)境安全/r/n./r/n明確安全區(qū)域的邊界,并采取適當(dāng)?shù)目刂拼胧?如:物理隔離、門(mén)禁系統(tǒng)、視頻監(jiān)控等。/r/n./r/n準(zhǔn)確識(shí)別并管理各類設(shè)備設(shè)施,并將其放置于適當(dāng)?shù)膮^(qū)域。/r/n具體管理策略請(qǐng)參見(jiàn)《物理和環(huán)境安全管理制度》和《設(shè)備管理規(guī)定》/r/n。/r/nA./r/n12/r/n操作安全/r/n.信息處理和通信設(shè)施的系統(tǒng)活動(dòng)須具備成文的制度規(guī)范,例如備份管理、軟件管理、設(shè)備管理、介質(zhì)處理和防病毒及惡意軟件管理等。應(yīng)當(dāng)為所有的信息處理設(shè)施建立必要的管理和操作職責(zé)及制度。/r/n./r/n確保每/r/nー/r/n個(gè)/r/n信息系統(tǒng)都能夠識(shí)別容量要求,確保在必要時(shí)能夠?qū)ο到y(tǒng)的可用性和效率進(jìn)行及時(shí)評(píng)估和改進(jìn)。對(duì)系統(tǒng)未來(lái)容量的推測(cè)應(yīng)考慮到新業(yè)務(wù)的開(kāi)展、系統(tǒng)自身發(fā)展要求以及當(dāng)前的信息處理能力和未來(lái)發(fā)展的趨勢(shì)。/r/n3,/r/n建立有效的計(jì)算機(jī)病毒預(yù)防及查殺機(jī)制，實(shí)施防止惡意軟件的偵查與防/r/n護(hù)控制,并提高員エ的防范意識(shí)。/r/n./r/n根/r/n據(jù)備份策略對(duì)數(shù)據(jù)進(jìn)行備份并定期對(duì)備份數(shù)據(jù)進(jìn)行有效性測(cè)試。/r/n./r/n在選用介質(zhì)時(shí)應(yīng)當(dāng)考慮備份的信息需要保存的周期長(zhǎng)短,保存信息的/r/n存/r/n儲(chǔ)介質(zhì)包括硬盤(pán)、磁帶、/r/nU/r/n盤(pán)、可移動(dòng)硬件驅(qū)動(dòng)器、/r/nCD/r/n、/r/nDVD/r/n和打印介質(zhì)等。儲(chǔ)/r/n存/r/n介質(zhì)的管理人員應(yīng)檢查和標(biāo)記所有的儲(chǔ)存媒介,為使存儲(chǔ)介質(zhì)中的數(shù)據(jù)和系統(tǒng)文件免遭/r/n未/r/n授權(quán)泄露、篡改和破/r/n壞,/r/n應(yīng)建立關(guān)于存儲(chǔ)介質(zhì)使用、保存、刪除和銷(xiāo)毀的操作策略和相關(guān)制度。/r/n./r/n應(yīng)制定/r/n處/r/n置、/r/n處/r/n理、存儲(chǔ)與分類一致的信息與其通信的管理制度。并按照所設(shè)置的分類級(jí)/r/n別,/r/n處置和標(biāo)記所有介質(zhì)。明確防止/r/n未/r/n授/r/n權(quán)人員/r/n訪問(wèn)的限制要/r/n求,/r/n并/r/n根/r/n據(jù)制造商的存儲(chǔ)規(guī)范來(lái)保存介質(zhì),同時(shí),清晰地標(biāo)記數(shù)據(jù)的所有拷貝,/r/n以/r/n引起/r/n數(shù)/r/n據(jù)所有者的關(guān)注。/r/n./r/n應(yīng)建立日志保護(hù)的管理制度/r/n以/r/n防止日志保存設(shè)施被/r/n未授權(quán)/r/n更改和出現(xiàn)操作問(wèn)題,重要的審計(jì)日志需要被存檔保存,審計(jì)日志包括用戶/r/nID/r/n、/r/n日/r/n期、時(shí)間和關(guān)鍵事態(tài)等細(xì)節(jié),/r/n以/r/n及系統(tǒng)配置、特殊權(quán)限、系統(tǒng)實(shí)用工具和應(yīng)用程序的使用。/r/nA./r/n13/r/n通信安全/r/n實(shí)施網(wǎng)絡(luò)安全管理,/r/n劃/r/n分網(wǎng)絡(luò)安全區(qū)域,對(duì)網(wǎng)絡(luò)/r/n設(shè)備、/r/n網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)控和管理,制定網(wǎng)絡(luò)安全策略和操作規(guī)程,對(duì)網(wǎng)絡(luò)信息及其支持設(shè)施進(jìn)行保護(hù)。具體管理策略由公司網(wǎng)絡(luò)管理員進(jìn)行部署實(shí)施，具體管理策略請(qǐng)參見(jiàn)《通信安全管理制度》。/r/nA./r/n14/r/n系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)/r/n./r/n在進(jìn)行信息系統(tǒng)開(kāi)發(fā)活動(dòng)前,應(yīng)明確在信息系統(tǒng)中包含基本的自動(dòng)控制措施,/r/n以/r/n及支持性的人工控制措施的需求。信息系統(tǒng)的安全要求與信息系統(tǒng)建設(shè)過(guò)程的安全要求應(yīng)在信息系統(tǒng)項(xiàng)目的早期階段被集成。購(gòu)買(mǎi)成熟的軟件產(chǎn)品應(yīng)遵循/r/n一/r/n個(gè)正式的測(cè)試和獲取過(guò)程。與供貨商簽的合同應(yīng)提出已確定的安全要求。/r/n2,/r/n在信息系統(tǒng)設(shè)計(jì)和開(kāi)發(fā)過(guò)程中,應(yīng)將數(shù)據(jù)的校驗(yàn)和檢查功能集成在信息系統(tǒng)數(shù)據(jù)處理的整/r/n個(gè)/r/n過(guò)程,/r/n以/r/n保證信息系統(tǒng)在處理數(shù)據(jù)的過(guò)程中,數(shù)據(jù)的完整性/r/n沒(méi)有喪失或遭到破壞。/r/n./r/n在進(jìn)行信息系統(tǒng)建設(shè)的過(guò)程中,需進(jìn)行安全風(fēng)險(xiǎn)評(píng)估/r/n以/r/n判定是否需要保證消息完整性,并確定最合適的實(shí)施方法。/r/n./r/n在制定密碼策略時(shí)，應(yīng)考慮下列內(nèi)容:組織間使用密碼控制的管理方法,包括保護(hù)業(yè)務(wù)信息的一般原則，基于風(fēng)險(xiǎn)評(píng)估,應(yīng)確定需要的保護(hù)級(jí)別,并考慮需要的加密算法的類型、強(qiáng)度和質(zhì)量;使用密碼保護(hù)通過(guò)移動(dòng)電話、可移動(dòng)介質(zhì)、設(shè)備或者通過(guò)通信線路傳輸?shù)拿舾行畔ⅰ?r/n./r/n公司對(duì)程序源/r/n代/r/n碼和相關(guān)事項(xiàng)（諸如設(shè)計(jì)、說(shuō)明書(shū)、確認(rèn)計(jì)劃和驗(yàn)證計(jì)劃）的訪問(wèn)需嚴(yán)格控制,對(duì)于程序源代碼的保存,通過(guò)代碼的中央存儲(chǔ)控制來(lái)實(shí)現(xiàn),最好是放在源程序庫(kù)中。/r/n./r/n評(píng)審應(yīng)用系統(tǒng)中控制和完整性的程序,以確保它們不因操作系統(tǒng)變更而損壞,確保年度支持計(jì)劃和預(yù)算中包括由于操作系統(tǒng)變更而引起的評(píng)審和系統(tǒng)測(cè)試,及時(shí)提供操作系統(tǒng)變更的通知,以便于在實(shí)施之前進(jìn)行合適的測(cè)試和評(píng)審,同時(shí)對(duì)業(yè)務(wù)連續(xù)性計(jì)劃進(jìn)行合適的變更。/r/n./r/n需定期評(píng)估隱藏信息的對(duì)外通信安全,掩蓋和調(diào)整系統(tǒng)的通信行為,/r/n以/r/n減少/r/n第三/r/n方從這些行為中推斷信息的可能性。公司還應(yīng)在現(xiàn)有法律或法規(guī)允許的情況/r/n下，/r/n定期監(jiān)視個(gè)/r/n人/r/n和系統(tǒng)的活動(dòng)。監(jiān)視計(jì)算機(jī)系統(tǒng)的資源使用。/r/n./r/n需及時(shí)獲得組織所使用的各類操作系統(tǒng)、應(yīng)用系統(tǒng)、軟件工具等信息系統(tǒng)的技術(shù)脆弱性信/r/n息,/r/n評(píng)估組織對(duì)此類技術(shù)脆弱點(diǎn)的保護(hù)，并采取適當(dāng)?shù)目刂拼胧?r/n具體管理策略請(qǐng)參見(jiàn)《信息系統(tǒng)獲取、開(kāi)發(fā)及維護(hù)管理制度》。/r/nA./r/n15/r/n供應(yīng)商關(guān)系/r/n./r/n第三/r/n方交付的服務(wù)應(yīng)包括商定的安全計(jì)劃、服務(wù)定義和服務(wù)管理各方面內(nèi)容。確保/r/n第三/r/n方有足夠的服務(wù)能力、擁有可用性可持續(xù)性計(jì)劃,/r/n以/r/n確保商定的服務(wù)在故障/r/n或?yàn)?zāi)/r/n難后能夠得以繼續(xù)保持。/r/n./r/n檢查協(xié)議的要求,監(jiān)管協(xié)議執(zhí)行的一致性,/r/n以/r/n確保交付的服務(wù)滿足與第/r/n三方商定的所有要求。/r/n具體管理策略請(qǐng)參見(jiàn)《第三方服務(wù)管理控制制度》。/r/nA./r/n16/r/n信息安全事故/r/n信息安全事故應(yīng)進(jìn)行集中管控、統(tǒng)計(jì)、分析,并采取相應(yīng)的措施,建立和完善信息安全事故的監(jiān)測(cè)、報(bào)告、預(yù)警、處置和整改機(jī)制。/r/n具體管理策略請(qǐng)參見(jiàn)《信息安全事件管理制度》/r/n。/r/nA./r/n17/r/n業(yè)務(wù)連續(xù)性管理的信息安全方面/r/n識(shí)別可能導(dǎo)致業(yè)務(wù)過(guò)程中斷的隱患,以及這類中斷發(fā)生的可能性和影響、中斷的信息安全后果;制定連續(xù)性計(jì)劃和實(shí)施應(yīng)急演練,以確保在關(guān)鍵業(yè)務(wù)過(guò)程中斷或失效后能夠根據(jù)要求及時(shí)恢復(fù),并確保信息的可用。/r/n具體管理策略請(qǐng)參見(jiàn)《業(yè)務(wù)連續(xù)性管理制度》。/r/nA./r/n18/r/n符合性/r/n通過(guò)建立制度完善信息安全相關(guān)法律法規(guī)收集和識(shí)別的要求，并在各項(xiàng)規(guī)章制度中體現(xiàn)相應(yīng)要求并開(kāi)展培訓(xùn),使員エ明確相關(guān)法律法規(guī)要求并遵照?qǐng)?zhí)行。/r/n具體管理策略請(qǐng)參見(jiàn)《符合性實(shí)施制度》。/r/n

/r/n附件ー:信息安全組織架構(gòu)映射表/r/n組織/r/n職務(wù)/r/n姓名/r/n職責(zé)/r/n信息安全管理領(lǐng)導(dǎo)小組/r/n組長(zhǎng)/r/n1）/r/n是信息安全管理體系的最高決策機(jī)構(gòu);/r/n2）/r/n負(fù)責(zé)公司信息安全管理手冊(cè)（級(jí)）,包括:信息安全管理范圍、方針、目標(biāo)的審批與發(fā)布;/r/n3）/r/n負(fù)責(zé)對(duì)信息安全管理體系進(jìn)行管理評(píng)審；/r/n4）/r/n確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)等級(jí)；/r/n5）/r/n支持和推動(dòng)信息安全工作在公司范圍內(nèi)的實(shí)施；/r/n6）/r/n評(píng)審重大信息安全事故的處理。/r/n成員/r/n—/r/n信息安全/r/n工作小組/r/n組長(zhǎng)/r/n1）/r/n負(fù)責(zé)組織建立、實(shí)施、保持和改進(jìn)信息安全管理體/r/n系,保證信息安全體系的有效運(yùn)行；/r/n2）/r/n負(fù)責(zé)公司信息安全管理體系二級(jí)程序文件的審批；/r/n3）/r/n組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；/r/n4）/r/n負(fù)責(zé)組織發(fā)起信息安全管理體系的管理評(píng)審工作；/r/n副組/r/n長(zhǎng)/r/n協(xié)助組長(zhǎng)處理信息安全事務(wù)。/r/n成員/r/n1）/r/n負(fù)責(zé)本部門(mén)的信息安全管理工作,負(fù)責(zé)保護(hù)本部門(mén)所管理、使用的信息資產(chǎn)的安全；/r/n2）/r/n負(fù)責(zé)指導(dǎo)和要求本部門(mén)員エ遵守信息安全政策；/r/n3）/r/n組織落實(shí)部門(mén)信息安全糾正措施（包括內(nèi)部審核整改意見(jiàn)）和預(yù)防措施。/r/n附件二:信息安全職責(zé)分配表/r/n標(biāo)準(zhǔn)要求/r/n小組/r/n信息安全管理領(lǐng)導(dǎo)小組/r/n總/r/n裁/r/n辦/r/n財(cái)務(wù)部/r/n行政/r/n部/r/n人力資源部/r/n商務(wù)采購(gòu)部/r/n銷(xiāo)售部/r/n產(chǎn)品部/r/n研發(fā)部/r/n測(cè)試部/r/n服務(wù)部/r/n對(duì)應(yīng)的文件/r/n4/r/n組織環(huán)境/r/n4./r/n1/r/n理解組織及其環(huán)境/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n4.2/r/n理解/r/n相關(guān)方的/r/n需/r/n求和期/r/n望/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n4.3/r/n確定信息安全管理體系的范圍/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n4.4/r/n信息安全管理體系/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n5/r/n領(lǐng)導(dǎo)/r/n5./r/n!/r/n領(lǐng)導(dǎo)和承諾/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n5./r/n2/r/n方針/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n5.3/r/n組織角色、職責(zé)和權(quán)限/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n6/r/n規(guī)劃/r/n6./r/n1/r/n應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n信息安全風(fēng)險(xiǎn)評(píng)估控制制度/r/n6./r/n2/r/n信/r/n息安全目標(biāo)和規(guī)/r/n劃實(shí)現(xiàn)/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n體系管理手冊(cè)/r/n7/r/n支持/r/n7.1/r/n資源/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n7./r/n2/r/n能力/r/n★/r/n▲/r/n★/r/n★/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n7./r/n3/r/n意識(shí)/r/n★/r/n▲/r/n★/r/n★/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n7./r/n4/r/n溝通/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊(cè)/r/n負(fù)責(zé)/r/n▲/r/n7./r/n5/r/n文件記錄信息/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n文檔管理流程/r/n8/r/n運(yùn)行/r/n8./r/n1/r/n運(yùn)行的規(guī)劃和控/r/n制/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n體系/r/n管理/r/n手冊(cè)文檔/r/n管理流程/r/n8./r/n2/r/n信息安全風(fēng)險(xiǎn)評(píng)估/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n信/r/n息安全風(fēng)險(xiǎn)評(píng)估控/r/n制/r/n制度/r/n8./r/n3/r/n信/r/n息安全風(fēng)險(xiǎn)處置/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n信息安全風(fēng)險(xiǎn)評(píng)估控制制度/r/n9/r/n績(jī)效評(píng)價(jià)/r/n9./r/n1/r/n監(jiān)視、測(cè)量、/r/n分析/r/n和評(píng)價(jià)/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n★/r/n內(nèi)部審核控制/r/n制/r/n度/r/n9.2/r/n內(nèi)部審核/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n內(nèi)部審核控制/r/n制/r/n度/r/n9.3/r/n管理評(píng)審/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n管理評(píng)審控/r/n制制/r/n度/r/n10/r/n改進(jìn)/r/n10./r/n1/r/n不符合和糾正措施/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n糾/r/n正和預(yù)防控/r/n制/r/n制度/r/n體系/r/n管理/r/n手/r/n冊(cè)/r/n10./r/n2/r/n持續(xù)改進(jìn)/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系/r/n管理/r/n手/r/n冊(cè)/r/n表示/r/n表示/r/n信息安全目/r/n標(biāo)/r/n./r/n目的和范圍/r/n確保信息安全管理體系的有效實(shí)施,根據(jù)本公司信息安全方針制定信息安全目標(biāo),并規(guī)定信息安全目標(biāo)的計(jì)算方法,以便于目標(biāo)達(dá)成情況的考核。/r/n適用于本公司信息安全目標(biāo)的制定、計(jì)/r/n算。/r/n./r/n職責(zé)和權(quán)限/r/n1）/r/n信息安全管理領(lǐng)導(dǎo)小組/r/n:/r/n負(fù)責(zé)建立、批準(zhǔn)與評(píng)審公司的信息安全目標(biāo)。/r/n2）/r/n體系負(fù)責(zé)人/r/n:/r/n負(fù)責(zé)向信息安全領(lǐng)導(dǎo)小組會(huì)匯報(bào)公司的信息安全目標(biāo)達(dá)成/r/n情況,并組織相關(guān)/r/n人/r/n員每年對(duì)信息安全目標(biāo)逬行評(píng)審。/r/n3）/r/n各部門(mén):負(fù)責(zé)與本部門(mén)相關(guān)的信息安全目標(biāo)的統(tǒng)計(jì)、分析,當(dāng)目標(biāo)不能/r/n達(dá)標(biāo)時(shí),進(jìn)行原因分析并逬行改逬。/r/n3,/r/n控制流程/r/n3.1/r/n.信息安全目標(biāo)/r/n1）/r/n全年不發(fā)生重大信息安全事件和"二級(jí)"以上運(yùn)行安全事故;/r/n2）/r/n重要保障時(shí)期不發(fā)生三級(jí)以上事故。/r/n對(duì)于未達(dá)成信息安全目標(biāo)的,相關(guān)部門(mén)要進(jìn)行原因分析,并提出解決辦法;對(duì)于連續(xù)未達(dá)成目標(biāo)的,信息安全工作小組要向相關(guān)部門(mén)/r/n開(kāi)/r/n出《不符合糾正預(yù)防措施通知單》逬行處理。/r/n22080-2016/r/n信息安全管理體系信息安全適用性聲明/r/nSoA/r/n更新日期:/r/n2020./r/n04./r/n07/r/n標(biāo)準(zhǔn)條款/r/n是否適/r/n用/r/n控/r/n制措施描述/r/n負(fù)責(zé)部/r/n門(mén)/r/n有關(guān)的/r/n!s/r/n文件/r/nA./r/n5/r/n信息安全策/r/n略/r/nA.5./r/n1/r/n信息安全管/r/n理指導(dǎo)/r/n目標(biāo):/r/n依據(jù)業(yè)務(wù)要求和相關(guān)法/r/n律法規(guī)提供管理指導(dǎo)并/r/n支持信息安全/r/nA.5./r/n信息安全策/r/n控制措施/r/n是/r/n以客戶為中心,將安全意識(shí)/r/n總裁辦/r/n《信息安全/r/n

/r/n1./r/n1/r/n略/r/nー組信息安全策略應(yīng)由管理者制定、批準(zhǔn)、發(fā)布并傳達(dá)給員工和外部相關(guān)方。/r/n融入日常工作、嚴(yán)格審查各項(xiàng)控制措施、/r/n及/r/n時(shí)/r/n消/r/n除/r/n安全/r/n隱/r/n患、/r/n保/r/n障/r/n業(yè)務(wù)連續(xù)性。全體員エ必須嚴(yán)格/r/n按/r/n照本總綱的/r/n要求,自/r/n覺(jué)貫徹管理方針，嚴(yán)格執(zhí)/r/n行本/r/n總綱的/r/n各/r/n項(xiàng)規(guī)/r/n定,努力/r/n實(shí)現(xiàn)公司生產(chǎn)運(yùn)行和日常/r/n辦/r/n公的/r/n安全。/r/n并傳達(dá)給外部相關(guān)方。/r/n管理手冊(cè)》/r/nA.5./r/n1.2/r/n信息安全策/r/n略的評(píng)審/r/n控制措施/r/n應(yīng)按計(jì)劃的時(shí)間間隔或/r/n當(dāng)/r/n重大變化時(shí)進(jìn)行信息安全策略的評(píng)審,以確保持續(xù)的適宜/r/n性,/r/n充分/r/n性和/r/n有效性。/r/n是/r/n通過(guò)管理評(píng)審，每年至少ー/r/n次對(duì)方針進(jìn)行評(píng)審/r/n信息安/r/n全管理領(lǐng)導(dǎo)小組/r/n《信息/r/n安全/r/n管理手冊(cè)》/r/n《管理評(píng)審制/r/n度》/r/nA.6/r/n信息安全組/r/n織/r/nA.6./r/n1/r/n內(nèi)部組織/r/n目標(biāo):/r/n建立管理框架以發(fā)起和控制組織內(nèi)信息安全的實(shí)施和運(yùn)行。/r/nA.6./r/n1.1/r/n信息安全角/r/n色和職責(zé)/r/n控制措施/r/n所有的信息安全職責(zé)應(yīng)予以定義并分配。/r/n是/r/n定義/r/n了信/r/n息安全管理領(lǐng)導(dǎo)/r/n小組、/r/n信/r/n息安全/r/n工作小組等的職/r/n責(zé)/r/n總裁辦/r/n《信息安全/r/n組織管理制度》/r/nA.6./r/n1.2/r/n職責(zé)分割/r/n控制措施/r/n互相沖突的責(zé)任及職責(zé)范圍應(yīng)加以分割、以降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資/r/n是/r/n為/r/n防止未/r/n授權(quán)的/r/n更改或誤/r/n用信息或服務(wù)的機(jī)會(huì)，/r/n按/r/n以下要/r/n求進(jìn)/r/n行職責(zé)/r/n分配:/r/na）/r/n系統(tǒng)/r/n管理/r/n職責(zé)與/r/n操作職責(zé)分/r/n離;/r/n信息/r/n安/r/n全/r/n管理領(lǐng)導(dǎo)/r/n小組/r/n《信息/r/n安全/r/n組織/r/n管理/r/n制度》/r/n

/r/n產(chǎn)的機(jī)會(huì)。/r/nb）/r/n信息安全審核具有獨(dú)立性。/r/nA.6./r/n1.3/r/n與監(jiān)管機(jī)構(gòu)/r/n的聯(lián)系/r/n控制措施/r/n應(yīng)保持與政府相關(guān)部門(mén)的適當(dāng)聯(lián)系。/r/n是/r/n利益/r/n相/r/n關(guān)/r/n的/r/n構(gòu)/r/n成/r/n為客戶/r/n、員エ、/r/n供應(yīng)商。并定/r/n義了/r/n溝通的方式、周期/r/n及/r/n接口部門(mén)等內(nèi)容。/r/n商務(wù)采/r/n購(gòu)部、行政/r/n部/r/