2016信息安全管理體系管理手冊及程序文件

22080-2016/r/n信息安全管理體系管理手冊及程序文件/r/n信/r/n息/r/n安全管理手冊/r/n目錄/r/n./r/n概述/r/n目的/r/n適用范圍/r/n頒布令/r/n授權書/r/n.依據文件和術語/r/n.1/r/n依據文件/r/n./r/n2/r/n術/r/n語定義/r/n./r/n裁剪說明/r/n4,/r/n組織環(huán)境/r/n.!/r/n組織環(huán)境描述/r/n信息安全相關方的需求和期望/r/n信息安全管理體系范圍的確定/r/n體系概述/r/n./r/n領導カ/r/nI/r/n領導カ和承諾/r/n信息安全方針和目標/r/n組織角色、職責和權限/r/n./r/n策劃/r/n風險評估和處置/r/n目標實現(xiàn)過程/r/n./r/n支持/r/nI/r/n資源提供/r/n2/r/n信息安全能力管理/r/n3/r/n意識培訓/r/n4/r/n信息安全溝通管理/r/n5/r/n存檔信息控制/r/n./r/n運行/r/n體系策劃與運行/r/n./r/n績效評價/r/n9.1/r/n能力評價/r/n9./r/n2/r/n有效性測量/r/n9.3/r/n內部審核/r/n9./r/n4/r/n管理評審/r/n./r/n改進/r/nn/r/n.信息安全總體控制/r/nA./r/n5/r/n信息安全策略/r/nA./r/n6/r/n信息安全組織/r/nA./r/n7/r/n人力資源安全/r/nA./r/n8/r/n資產管理/r/nA./r/n9/r/n訪問控制/r/nA.10/r/n密碼控制/r/nA./r/n11/r/n物理和環(huán)境安全/r/nA./r/n12/r/n操作安全/r/nA./r/n13/r/n通信安全/r/nA./r/n14/r/n系統(tǒng)獲取、開發(fā)和維護/r/nA./r/n15/r/n供應商關系/r/nA./r/n16/r/n信息安全事故/r/nA./r/n17/r/n業(yè)務連續(xù)性管理的信息安全方面/r/nA./r/n18/r/n符合性/r/n附件ー:信息安全組織架構映射表/r/n附件二:信息安全職責分配表/r/n為提高服務質量,規(guī)范管理活動,保障系統(tǒng)安全運行,提升人員安全意識水平,/r/nXXX/r/n軟件有限公司（以下簡稱“公司”）依據信息安全管理標準/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息/r/n技術/r/n安全技/r/n術/r/n信息安全管理體系要求》的相關要求，結合自身業(yè)務系統(tǒng)實際運行安全需/r/n求，/r/n己建立實施了一套科學有效的信息安全管理/r/n體系，/r/n并通過體系的有效運行，實現(xiàn)持續(xù)改進,達到動態(tài)系統(tǒng)、全員參與、制度化的、以預防為主的信息安全管理方式。/r/n目的/r/n本總綱為公司信息安全管理體系的綱領性文件,描述/r/n了/r/n信息安全管理體系的方針、目標、管理機制和要求等方面的內容。/r/n通過建立策劃/r/n（P）/r/nつ執(zhí)行/r/n（D）/r/nラ檢查/r/n（C）/r/nつ改進/r/n（A）/r/n的持續(xù)改進機制，不斷提高公司的信息安全管理水平,確保日常信息安全管理活動的安全、穩(wěn)定、高效,提升企業(yè)核心競爭力。/r/n適用范圍/r/n本總綱所描述信息安全管理體系適用/r/n于/r/n公司所有部門,所涉及業(yè)務范圍包括信息技術處理設施的管理運維服務、信息技術系統(tǒng)的開發(fā)、獲取和運行維護、/r/n人/r/n員的信息安全、數(shù)據的安全等在內的各項信息安全管理相關活動。/r/n頒布令/r/n為提高信息安全管理水平,貫徹落實/r/n“以/r/n客戶為中心,將安全意識融/r/n入日/r/n常工作、嚴格審查各項控制措施、及時消除安全隱患、保障業(yè)務連續(xù)性?！钡幕痉结?保障公司的生產、經營、服務和日常管理活動,防止由于信息系統(tǒng)故障、數(shù)據的丟失、敏感信息的泄密所導致的業(yè)務中斷或安全事故,公司特/r/n依/r/n據/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息/r/n技術/r/n安全/r/n技/r/n術信息安全管理體系要求》標準要求,建立/r/n了/r/n文件化的信息安全管理體系。/r/n本體系是信息安全管理的綱領性文件,是指導公司建立并實施信息安全管理體系的綱領和行動準則,用于貫徹信息安全管理方針,實現(xiàn)信息安全管理體系的有效運行和持續(xù)改進。/r/n全體員エ必須嚴格按照本總綱的要求,/r/n自/r/n覺貫徹管理方針，嚴格執(zhí)行本總綱的各項規(guī)定,努力實現(xiàn)公司生產運行和日常辦公的安全。并傳達給外部相關方。/r/n本手冊自頒布之日起生效執(zhí)行。/r/n公司總經理:/r/nXXX/r/n授權書/r/n為了貫徹執(zhí)行信息安全/r/n管理/r/n體系,滿足/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信/r/n息技術安全技/r/n術/r/n信/r/n息安全/r/n管理/r/n體系要求》的要求,加強對信息安全/r/n管理/r/n體系建設和持續(xù)運行的領導工作,特任/r/n命ー/r/nXXX_/r/n先生為公/r/n司信/r/n息安全/r/n管理者/r/n代表。/r/n授權信息安全/r/n管理者/r/n代表有/r/n如下職/r/n責和權限:/r/n1）/r/n領導信/r/n息安全/r/n管理/r/n體系的建立、運行和維護,開展資產識別和風險評估;/r/n2）/r/n協(xié)調與信/r/n息安全/r/n管理/r/n體系有關的各項工作;/r/n3）/r/n確保提高員エ信息安全意識;/r/n4）/r/n督促信/r/n息安全/r/n管理/r/n體系內部審核和信息安全檢查的開展；/r/n5）/r/n協(xié)助最高/r/n管理者進行信/r/n息安全/r/n管理/r/n體系的/r/n管理/r/n評審；/r/n6）/r/n向最高/r/n管理者/r/n報告信息安全/r/n管理/r/n體系的業(yè)績和改進要求。/r/n本授權書自任命日起生效執(zhí)行。/r/n公司總經理:/r/nXXX/r/n./r/n依據文件和術語/r/n依據文件/r/n本總綱的/r/n制定/r/n參考并依據/r/n了/r/n下列文件資料,詳見/r/n《符合/r/n性實施/r/n制度》。/r/n1）/r/n法律法規(guī):是指我國頒布的、所有相/r/n關/r/n且具有約束和指導作用的法律、法規(guī);/r/n2）/r/n監(jiān)管規(guī)/r/n定:是指/r/n證監(jiān)會/r/n及其分支機構頒布的/r/n具有/r/n約束和指導作用的所有文件、規(guī)定等;/r/n3）/r/n文件:公司下發(fā)的對/r/n信/r/n息業(yè)務系統(tǒng)、信息安全/r/n管理/r/n等有約束力和指導作/r/n用/r/n的所有文件;/r/n4）/r/n國際慣例:是/r/n指/r/n開展業(yè)務以及提供信息安全建設過程中必須遵循的/r/n具有/r/n約束和指導作用的國際通用慣例;/r/n5）/r/n標準：/r/n>/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術安全技/r/n術/r/n信息安全/r/n管理/r/n體系要求》;/r/n術語定義/r/n1）/r/n信/r/n息安全:對信息的機密性、/r/n完/r/n整性和可用性的保護;/r/n2）/r/n機密性：確/r/n保信/r/n息僅供給/r/n那/r/n些獲得授權的人使用;/r/n3）/r/n完/r/n整性：保護信息及/r/n信/r/n息處理方法的準確性和/r/n完全/r/n性;/r/n4）/r/n可用性：確保獲得授權使用該信息及/r/n信/r/n息系統(tǒng)的人/r/n能/r/n及時、可/r/n靠/r/n地使用;/r/n5）/r/n風險評估:評估信息及信息處理系統(tǒng)所存在的或可能產生的威脅、影/r/n響/r/n和薄弱環(huán)節(jié),是風險分析和風險評價的全過程;/r/n6）/r/n風險管理：指導和控/r/n制/r/n組織通過區(qū)分、控/r/n制、/r/n減少或去/r/n除/r/n等方法將風險/r/n控制在可承受范圍內的活動;/r/n./r/n裁剪說明/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技/r/n術/r/n安全技/r/n術/r/n信息安全管理體系要求》的條款與公司信息安全管理體系的適用關系,詳見《信息安全管理體系適用性聲明/r/n（S0A）/r/n》/r/n。/r/n./r/n組織環(huán)境/r/n組織環(huán)境描述/r/n1/r/n、/r/n外部組織關系/r/nXXX/r/n有限公司成立于/r/n2001/r/n年,是中國領先的呼叫中心與云計算應用服務提供商。公司倡導“人性/r/n化/r/n科技幫助客戶提升業(yè)/r/n績”,/r/n致カ于幫助企業(yè)/r/n利用/r/n云計算技/r/n術,以/r/n客戶為中心,協(xié)同各種經營資源,改善營銷流和服務流,/r/n從/r/n而提/r/n高人/r/n均產值,重塑客戶體驗。訊鳥軟件是中國云計算應用//r/nSaaS/r/n、/r/nPaaS/r/n應用的先驅,/r/n從/r/n2005/r/n年即開始研發(fā)云計算/r/nSaaS/r/n產品,擁有上/r/n百人/r/n的云計算專業(yè)研發(fā)隊伍、國內一流的云計算業(yè)務咨詢顧問和運營服務團隊,擁有/r/n50/r/n余項自主知識/r/n產權。/r/n2/r/n、法律法規(guī)環(huán)境/r/n公司應遵循信/r/n息/r/n安全/r/n法律/r/n法規(guī)要求/r/n和義務/r/n,避/r/n免/r/n員エ違/r/n反/r/n法律、法規(guī)的/r/n要求,/r/n控制相關/r/n法律/r/n風險。具體要求見《符合性實施制度》。/r/n3/r/n、/r/n組織架/r/n構/r/n及部門職責/r/n公司組織架構圖如/r/n下,部/r/n門包括總裁/r/n辦、/r/n行政部、/r/n人力/r/n資源/r/n部、商/r/n務采購/r/n部、/r/n財務部、產品部、銷售/r/n部、/r/n服務部、研發(fā)部、測試部。如下圖所/r/n示:/r/n研/r/n發(fā)/r/n服/r/n務/r/n體系/r/n研/r/n發(fā)/r/n服/r/n務/r/n體系/r/n1）/r/n總裁辦/r/n負責協(xié)助總裁執(zhí)行日常工作計劃和/r/n其/r/n他工作安排;執(zhí)行相關信息安全/r/n管理/r/n規(guī)章/r/n制度。/r/n2）/r/n行政部/r/n負責公司各項行政事務管理工作;/r/n完/r/n善公司內部控/r/n制/r/n制度建設;負責日常行政事務工作和辦公設施、辦/r/n公/r/n場所等/r/n管理/r/n工作；上級領導交辦的其他工作；負責制定并執(zhí)行相關信息安全管理的規(guī)章制度。/r/n3）/r/n人力/r/n資源部/r/n負責/r/n人力/r/n資源規(guī)劃的制定、實施及/r/n完/r/n善；負責組織機構方案、人員編制、/r/n崗/r/n位評價方案的研擬與執(zhí)/r/n行；/r/n負責培訓/r/n體系、/r/n績效考評體系的制定、實施及追蹤；負責公司/r/n人力成本/r/n的預算及調控；部門費用預算的控制；負責企業(yè)文化的建立、宣傳及推動；員エ職業(yè)生涯的規(guī)劃/r/n設計；/r/n負責員エ的招聘、高級/r/n人才的/r/n引進；執(zhí)行相關信/r/n息/r/n安全/r/n管理/r/n的規(guī)章/r/n制度。/r/n4）/r/n商務采購部/r/n負責公司/r/n第三/r/n方服務業(yè)務談判及組織實施；負責各項/r/n第三/r/n方服務業(yè)務合同的保管、查詢、建立合同檔案,定期檢查合同執(zhí)行情況,不斷完/r/n善/r/n合同的各項條款；負責各項/r/n第三/r/n方服務業(yè)務合同的簽訂、變更、執(zhí)行、終/r/n止；/r/n負責各種促銷活動方案中商戶的協(xié)調和落實；執(zhí)行相關/r/n信/r/n息安全/r/n管理/r/n的規(guī)章制度；/r/n5）/r/n財務部/r/n圍繞公司的經營發(fā)展規(guī)劃和工作計劃,負責編/r/n制/r/n公司財務計劃和費用預算，有效地籌劃和運用公司資金；財務制度的建設和規(guī)范的制定；做好財務統(tǒng)計和會計賬目、報表及年終結算工作,并妥善保管會計憑證,/r/n賬/r/n簿、報表和其他檔案資料；財務部日常/r/n管理/r/n工作,/r/n部/r/n門人員的/r/n管理、/r/n培訓、考/r/n核；/r/n建立健全公司內部核算的組織、指導和數(shù)/r/n據/r/n管理/r/n體系,/r/n以/r/n及/r/n核/r/n算和財務/r/n管理/r/n的規(guī)章制度；做好公司各項資金的收取與支出管理工作；執(zhí)行相/r/n關/r/n信息安全管理的規(guī)章制度。/r/n6）/r/n產/r/n品部/r/n為/r/n公司提供準確的行業(yè)/r/n定位,/r/n及時提供市場信息反饋；制定和實施年度產品推廣計劃和/r/n新/r/n產品開發(fā)計劃/r/n（依/r/n據市場需求的變化，要提出合理化建議）/r/n；/r/n依據市場變化要隨時調整產品戰(zhàn)略與營銷戰(zhàn)術（包括產品價格的調整等）,并組織相關人員接受最新產品知識的培訓;制定公司品牌管理與發(fā)展策略,維護公司品牌;管理、監(jiān)督和控制市場政策執(zhí)行情況;執(zhí)行相關信息安全管理的規(guī)章制度。/r/n7）/r/n銷售部/r/n負責產品或服務的銷售工作；負責代理人市場的推廣,特別是戰(zhàn)略客戶的市場推廣策略并實施；負責制定并管理銷售業(yè)務流程；負責對銷售業(yè)務流程執(zhí)行的監(jiān)督；執(zhí)行相關信息安全管理規(guī)章制度。/r/n8）/r/n服務部/r/n負責對本部門新員エ的工作技能進行培訓,并進行考核；負責云端產品部署、管理、維護、運營和服務運營質量的管理和提升工作；負責客戶關系的維護、客戶的技術培訓、合同的執(zhí)行,項目驗收等相關工作；負責大數(shù)據的運營、自建呼叫中心平臺及云端產品的客戶業(yè)務和售后服務工作,保證客戶的滿意度；負責制定和執(zhí)行服務運營及環(huán)境維護管理規(guī)章制度和相關信息安全管理的規(guī)章制度。/r/n9）/r/n研發(fā)部/r/n負責提供符合客戶要求和認可的技術支持和解決方案；承擔產品設計和開發(fā)工作;負責技術方案的評審工作，保證技術方案的可行性；負責組織和協(xié)調開發(fā)項目的資源,保證項目按計劃進行；負責制定項目計劃,并根據各種變化修改項目計劃；制定有效的項目決策過程；負責實施項目的管理、開發(fā)、質量保證過程,確?？蛻舻某杀尽⑦M度、績效和質量目標；負責確保在項目生命周期中遵循實施公司的管理和質量政策；負責招聘和培訓必須的項目成員；負責確定項目的人員組織結構;進行風險管理；負責定期舉行項目評估/r/n（review）/r/n會議；負責為項目所有成員提供足夠的設備、有效的工具和項目開發(fā)過程；負責有效管理項目資源；負責制定并執(zhí)行相關信息安全管理的規(guī)章制度。/r/n10）/r/n測試部/r/n負責協(xié)調業(yè)務管理體系下各部門工作；負責源代碼及軟件的完整性、可用性、功能、性能進行系統(tǒng)性測試；負責對各業(yè)務系統(tǒng)及運行環(huán)境進行系統(tǒng)性測

/r/n試和安全性檢測;負責對源代碼資源系統(tǒng)管理及備份;負責制定并執(zhí)行相關信息安全管理的規(guī)章制度。/r/n信息安全相關方的需求和期望/r/n公司信息安全相關方包括認證單位、客戶、供應商、內部部門及員エ等。各/r/n相關方的信息安全要求和期望均應及時識別,并在實際業(yè)務開展時應遵照執(zhí)行。/r/n相關方/r/n識別原因/r/n信息安全要求和期望/r/n更新頻率/r/n識別方法/r/n認證單/r/n位/r/nIS027001/r/n符合體系標準要求方可通過認證/r/n相關資質的信息/r/n安全要求/r/n認證/r/n標準發(fā)布/r/n周期/r/n與認證單位聯(lián)系/r/n客戶/r/n合同關系/r/n合同中要求的信/r/n息安全內容/r/n合同要求更新周期/r/n合同/r/n供應商/r/n合同關系/r/n合同中要求的信息安全內容/r/n合同要求更新周期/r/n合同/r/n內部部門及員エ/r/n信息安全/r/nエ/r/n作執(zhí)行層/r/n各部門實際工作中的信息安全要求/r/n個人隱私安全/r/n不定/r/n期/r/n安全/r/n會/r/n信息安全管理體系范圍的確定/r/n體系范圍的確/r/n定/r/n主要考慮到公司的實際業(yè)務特點和資源的合理利用,在公司范圍內建立信息安全管理體系,有利于全面的提高公司信息安全管理水平,保障業(yè)務穩(wěn)定發(fā)展的需求。/r/n?/r/n業(yè)務范圍:/r/n云呼叫中心軟件平臺的開發(fā)及運維、呼叫中心業(yè)務及相關信息服務;/r/n?/r/n物理范圍:/r/n北京市海淀區(qū)知春路/r/n113/r/n號銀網中心/r/nA/r/n座/r/n302-304/r/n室;/r/n?/r/n資產范圍:/r/n支撐業(yè)務活動的文檔、數(shù)據、軟硬件系統(tǒng)、物理環(huán)境、人員/r/n及支持性第三方服務、無形資產（專利）等全部信息資產;/r/n組織范圍:總/r/n裁辦、行政部、人力資源部、商務采購部、財務部、產品部、銷售部、服務部、研發(fā)部、測試部。/r/n體系概述/r/n公司依據/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術安全技術信息安全管理體系要求》的要求,同時考慮行業(yè)的特點,從業(yè)務需求出發(fā),遵從風險管理的理念,注重過程管理，建立和實施信息安全管理體系，確保與信息安全相關的資源、技/r/n術、/r/n管理等因素處于受控狀態(tài)，形成文件并加以實施、保持和持續(xù)改進，有效防范各類安全事故或人為有意的破壞事件,保障公司信息的保密性、完整性和可用性，確保各項業(yè)務的連續(xù)性。/r/n5./r/n領導カ/r/n領導カ和承諾/r/n由公司負責人授權管理者代表全權負責信息安全管理體系的日常工作,包括批準并正式發(fā)布各項制度、規(guī)定,建立體系推進組織,任命相關角色,協(xié)調與信息安全管理體系有關的各項工作。/r/n信息安全方針和目標/r/n信息安全方針:/r/n以/r/n客戶為中心，將安全意識融/r/n入日/r/n常工作、嚴格審查各項控制措施、及時消除安全隱患、保障業(yè)務連續(xù)性。/r/n信息安全目標:/r/n為落實上述方針,公司定/r/n義/r/n如下信息安全目標:/r/n1）/r/n全年不發(fā)生重大信息安全事件和二級以上運行安全事故;/r/n2）/r/n重要保障時期不發(fā)生三級以上安全事件。/r/n組織角色、職責和權限/r/n?/r/n信息安全管理體系負責人（工作小組組長）：/r/n1）/r/n負責組織建立、實施、保持和改進信息安全/r/n管理/r/n體系,保證信息安全體系的有效運行;/r/n2）/r/n負責公司/r/n信/r/n息安全/r/n管理/r/n手冊/r/n（一/r/n級）的審/r/n核,/r/n制度/r/n文件/r/n（二/r/n級）的/r/n審/r/n批;/r/n3）/r/n組織并領導公司內部審核工作;/r/n4）/r/n負責組織發(fā)起/r/n信/r/n息安全/r/n管理/r/n體系的/r/n管理/r/n評審工作；/r/n5）/r/n負責向領導小組報告/r/n信/r/n息安全體系運行的業(yè)績和任何改進的需求。/r/n?/r/n信息安全工作小組:/r/n1）/r/n負責本部門的/r/n信/r/n息安全/r/n管理/r/n工作，負責保護本部門/r/n所管理、/r/n使用的信息資產的安全；/r/n2）/r/n負責指導和要求本部門員エ/r/n遵守信/r/n息安全政策；/r/n3）/r/n組織落實部門/r/n信/r/n息安全糾正措施（包括內部審核整改意見）和/r/n預防措施。/r/n?/r/n公司全體員エ:/r/n1）/r/n嚴格遵守所有與信息安全相關的國家法律、法規(guī)和政策,遵守公司所有的信息安全政策,并簽字承諾遵守保/r/n密/r/n協(xié)議的有關規(guī)定；/r/n2）/r/n以/r/n安全負責的方式使用公司的/r/n信/r/n息資產；/r/n3）/r/n積極/r/n參加信/r/n息安全教育與培訓,提/r/n高信/r/n息安全意識；/r/n4）/r/n有責任將違反信息安全政策的事件與行為及時報告給本部門信息安全/r/n管理/r/n員及其/r/n他/r/n相/r/n關/r/n人員。/r/n6./r/n策劃/r/n風險評估和處置/r/n為建立和實施信息安全管理體系,公司信息安全管理采用過程方法,把與信息安全相關的資源和活動作為過程來管理，即應用/r/nPDCA/r/n過程方法,持續(xù)改進信息安全管理體系。具體包括:/r/n1）/r/n識別并確定信息安全管理體系相關的策略、目標、過程和制度，改進信息安全以達到期望的結果;/r/n2）/r/n依據“過程模式”確定上述過程的順序和相互關系;/r/n3）/r/n將過程充分展開,明確信息安全控制點,編制形成信息安全管理體系文件;/r/n4）/r/n配置適當?shù)馁Y源，提供必要的支持和信息，/r/n以/r/n保證過程的有效運作；持續(xù)測量、監(jiān)控和分析這些過程,并進行必要的改進。/r/n風險評估及機遇/r/n信息安全管理領導小組應定/r/n義/r/n并應用風險評估過程，識別影響業(yè)務的潛在風險及發(fā)展機遇/r/n以:/r/n./r/n建立和維護信息安全風險標準，包括:/r/n1）/r/n風險接受標準;/r/n2）/r/n實施信息安全風險評估的標準。/r/n./r/n確保信息安全風險評估活動一致性,產生有效的和可比較的結果；/r/n./r/n識別信息安全風險;/r/n1）/r/n在信息安全管理體系范圍內,通過信息安全風險評估流程,識別由于信息的機密性、完整性和可用性的喪失帶來的風險；/r/n2）/r/n識別風險責任/r/n人。/r/n./r/n分析信息安全風險；/r/n1）/r/n評估識別的風險產生的潛在后果；/r/n2）/r/n評估識別的風險轉化為事件的可能性；/r/n3）/r/n確定風險的等級/r/n./r/n評價信息安全風險:/r/n1）/r/n將風險分析結果與所定/r/n義/r/n的風險標準進行比較;/r/n2）/r/n根據風險等級確定風險處置的優(yōu)先級。/r/n風險處置/r/n信息安全管理領導小組應定/r/n義/r/n和實施信息安全風險處置過程:/r/n1）/r/n依據風險評估的結論,選擇適當?shù)男畔踩L險處置方式;/r/n2）/r/n確定信息安全風險處置所需的各項控制措施;/r/n3）/r/n將風險處置中所選的各項控制措施的和標準附錄/r/nA/r/n中的控制措施進行比較,確保沒有遺漏必要的控制措施；/r/n4）/r/n制定具備必要控制措施的適用性聲明/r/nSOA,/r/n適用性聲明要包含必要的控制措施、對包含的控制措施的合理性說明（無論是否實施）/r/n以/r/n及對標準附錄/r/nA/r/n控制措施刪減的合理性說明；/r/n5）/r/n制定信息安全風險處置計/r/n劃；/r/n6）/r/n需得到風險責任/r/n人/r/n對信息安全風險處置計劃和殘余風險接受的審核。有關風險評估和處置的具體操作指導詳見《風險評估管理制度》。/r/n目標實現(xiàn)過程/r/n信息安全/r/n目/r/n標將通過對信息安全風險的來源識別、風險處置、風險跟蹤驗證、/r/n以/r/n及信息安全管理體系各流程的落地跟蹤,舉行不定期的安全評審會議的綜合過程來實現(xiàn),同時保留相關文檔內容。/r/n整體信息安全/r/n目/r/n標實現(xiàn)過程內容如/r/n下;/r/n./r/n風險來源/r/n1）/r/n日常信息安全風險管理工作:月度安全工作會議中發(fā)現(xiàn)的信息安全問題進行評估,并全部進行風險處置。/r/n2）/r/n每年進行一次集中風險評估工作,具體開展過程為：定期的信息安全風險評估活動:每年開展信息安全風險評估活動,并根據信息安全風險接受水平對活動中發(fā)現(xiàn)的中、高風險進行處置。/r/n3）/r/n做好各體系流程監(jiān)控工作:做好生產運營和信息安全相關的信息資產管理、系統(tǒng)交付投產、運行監(jiān)控、變更管理、數(shù)據提取與使用、補丁管理、密鑰管理、移動介質管理、病毒防范、應急處理和安全運營獎懲、故障分級評估、事故問責等方面的制度/r/n或/r/n流程的運行情況監(jiān)控,發(fā)現(xiàn)問題及時糾正。每年對各流程要求進行回顧、評估和更新。/r/n./r/n風險處置/r/n1）/r/n針對以上途徑發(fā)現(xiàn)的信息安全風險,各部門負責制定相應的整改計劃。針對信息安全管理類風險如因制度/r/n或/r/n流程的缺失、制度/r/n或/r/n流程/r/n未/r/n嚴格執(zhí)行造成的安全風險,由責任部門新增安全管理制度及流程或監(jiān)督本部門員エ嚴格執(zhí)行安全制度。/r/n2）/r/n針對信息安全技/r/n術/r/n類風險如滲透測試、主機掃描發(fā)現(xiàn)的安全漏洞,由公司/r/n技術/r/n部門統(tǒng)一負責整改。對于部分需要通過新增安全設備才能完全消減的風/r/n險,/r/n在公司經濟條件許可的情況下,由責任部門負責采購并部署。/r/n./r/n信息安全風險處置的監(jiān)督和驗證/r/n信息安全工作組負責督促并監(jiān)督各組對信息安全風險的處置。針對信息安全管理類風險的處置情況，由信息安全工作組通過定期安全內審的方式進行驗證。針對信息安全技/r/n術/r/n類風險的跟蹤,由信息安全工作組負責對安全漏洞的整改情況進行復查驗證。/r/n./r/n評價周期及起始時間/r/n對安全目標實現(xiàn)的評價,信息安全工作組每年組織召開信息安全管理評審會議,并邀請公司領導層參會,由信息安全管理/r/n體系/r/n負責人匯報信息安全管理體系運行狀況及/r/n目/r/n標達成情況,與參會人員共同討論、最終評價信息安全目標的達/r/n成/r/n情況。/r/n信息安全管理目標的實現(xiàn),/r/n不/r/n強制/r/n依/r/n賴于每年一次的信息安全管理評審會/r/n議,具體的信息安全管理目標的達成情況判定,可通過每月的信息安全會議,并根據目標達成情況,采取相應的糾正預防措施。/r/n7./r/n支持/r/n資源提供/r/n公司領導層應確保提供以下方面所需的資源:/r/n1）/r/n實施、保持管理體系并/r/n持/r/n續(xù)改進其有效性所需的各種資源;/r/n2）/r/n滿足客戶要求,提高客戶滿意度所需的各種資源。/r/n編制了《人力資源管理制度》,公司根據人員的學歷、技能和經驗,組織面向全員的信/r/n息/r/n安全意識培訓及面向特定/r/n人/r/n員的專業(yè)/r/nIT/r/n技能培訓,確保/r/n其/r/n能勝任工作。/r/n信息安全能力管理/r/n結合當前信息安全管理認證范圍,對員エ信息安全能力管理主要從以下幾方面出發(fā)來/r/n實現(xiàn):/r/n1）/r/n影響信息安全執(zhí)行工作的人員崗位,在崗位設立時應明確信息安全能力的要求,并在招聘時嚴格把關（例如學歷教育、能力測試等）/r/n；/r/n2）/r/n確/r/n保人/r/n員在適當教育、培訓和經驗的基礎上能夠勝任工作;在/r/n人/r/n員調崗時,應考慮相關/r/n人/r/n員信息安全能力的確定和培養(yǎng)。/r/n3）/r/n保留培訓記錄作為能力培養(yǎng)的證據。/r/n意識培訓/r/n每季度對當季入職的所有新員工進行信息安全意識培訓并進行考試,對于信息安全小組成員應進行崗位相關的信息安全專業(yè)培訓/r/nI,/r/n對于信息安全崗位的工作人員（如系統(tǒng)管理員）應安排專業(yè)技能培訓。/r/n信息安全溝通管理/r/n公司的利益相關方由三類/r/n群體/r/n構/r/n成，/r/n分別是客戶、員エ、供應商。針對不同的相關方群體，溝通方式分為內部和外部兩類,并建立起不同的溝通機制和聯(lián)系通訊錄,以及時了解來自利益相關方的信息安全要求/r/n或/r/n將公司的信息安全要求傳達給利益相關方。/r/n溝通對象/r/n溝通機制與形式/r/n溝通內容/r/n溝通頻率/r/n溝通責任部門/r/n

/r/n客/r/n戶/r/n客戶滿意度調/r/n杳/r/n改善服務,提/r/n升/r/n客戶滿/r/n意度/r/n客戶對信息安全的要/r/n求/r/n信息安全相關情況及問題溝通信息安全事件通報/r/n定/r/n期、/r/n發(fā)生/r/n時/r/n服務部/r/nロ/r/n貝/r/nェ/r/n信息安全意識/r/n培訓/r/n1/r/n信息安全目標和方針/r/n信息安全制度要求/r/n信息安全職責/r/n信息安全意識調查/r/n不定/r/n期/r/n信息安全/r/n小組/r/n供/r/n應商/r/n供應商評價項目合作郵件往來/r/n電話咨詢/r/n供應商服務評價公司信息安全要求信息安全咨詢建議信息安全事件響應和/r/n處理/r/n不定/r/n期/r/n商務采購/r/n部/r/n存檔信息控制/r/n存檔信息是指支撐和維持公司信息安全管理體系運行的相關信息,以確保存儲信息能夠符合信息安全管理目標,體現(xiàn)形式包括（但不限于）如下內容:/r/n1）/r/n^GB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術安全技術信息安全管理體系要求》所要求的管理手冊;/r/n2）/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術安全技術信息安全管理體系要求》所要求的制度文件和作業(yè)指導書,即各項流程管理辦法、管理辦法、實施細則等;/r/n3）/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術安全技術信息安全管理體系要求》所要求的各項記錄和日志；/r/n4）/r/n信息安全管理體系運行所需要的其他相關信息,包括但不限于文檔、數(shù)/r/n文件架構/r/n信息安全管理體系文件包括四個層次:即信息安全管理手冊、管理辦法/制度類文件、管理辦法/實施細則/操作指南類文件、記錄/日志。如下圖所示:/r/nIt/r/n作播幻.技/r/n術/r/n手能/r/n裏/r/nWJS/r/n各層級文件所關注的內容依次如下:/r/nー階文件:關于信息安全管理體系的策略聲明文件,即信息安全管理手冊。/r/n二階文件:關于/r/n＜GB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技術安全技術信息安全管理體系要求》各個控制域的標準指南文件,體現(xiàn)信息安全管理/r/n體/r/n系在各個方面的/r/n目/r/n標規(guī)范和基/r/n本/r/n要求。/r/n三階/r/n文件:關于具體信息安全問題的規(guī)程文件，指導實現(xiàn)對特定信息安全風險點的控制和對具體業(yè)務工作的安全管理要求。/r/n四階文件：關于信息安全體系運行的各類記錄和報告,/r/n體/r/n現(xiàn)各項工作能夠按照文件的具體要求有效開展。/r/n具體文件見《信息安全管理體系文件矩陣表》。/r/n文件控制/r/n公司對信息安全管理體系的相關文件進行全面控制,以滿足/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技/r/n術/r/n安全/r/n技/r/n術信息安全管理體系要求》標準,具體要求包括：/r/n1）/r/n確保文件編制、評審、批準、發(fā)放、使用、修改、作廢得到有效的控制;/r/n2）/r/n確保文件清晰可辨,版本標示清楚,易于識別和檢索;/r/n3）/r/n確保在使用時可獲得最新、有效版本的適用文件;/r/n4）/r/n確保外來文件得到識別,對文件的分發(fā)加以控制;/r/n5）/r/n對不同媒體和不同種類的文件，采取相應的控制；/r/n6）/r/n防止作廢文件的非授權使用,保留作廢文件時,需對這些文件進行明確的標識。/r/n公司對信息安全管理體系文件的控制、文件分發(fā)及保管等控制做出規(guī)定,明確體系文件的最新版本應從指定保管部門獲得,相關控制要求參見《文檔管理規(guī)范》。/r/n記錄控制/r/n為提供符合信息安全管理體系要求的證據且體現(xiàn)體系的有效運行,保證管理過程的可追溯性,公司編制并實施了相關制度文件和流程管理辦法及實施細則，通過規(guī)定信息安全管理相關記錄的標識、收集、歸檔、保管、借閱、銷毀和檢查等要求，確保相關記錄能夠保持完備、易于識別和檢索。/r/n建立相應的信息記錄控制清單并明確責任部門、保存期限及存檔要求,相關控制要求參見《記錄控制制度》。/r/n8./r/n運行/r/n體系策劃與運行/r/n公司依據/r/nPDCA/r/n的持續(xù)改進模型建立信息安全管理體系。/r/n體系的策劃/r/n1）/r/n確定體系的管理范圍、方針和目標；/r/n2）/r/n依據/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n要求和公司管理要求，進行/r/n差距和信息安全風險評估;/r/n3）/r/n設計符合公司業(yè)務特點的信息安全管理體系架構;/r/n4）/r/n建立安全管理規(guī)范,制定表單、計劃、報告模板等;/r/n5）/r/n落實崗位、角色和職責。/r/n體系的實施和運行/r/n1）/r/n為確保信息安全管理體系的正常運行,公司進行如下部署以確保體系的執(zhí)行力;/r/n＞/r/n實施信息安全意識培訓；/r/n＞/r/n嚴格按照管理體系要求,保留運行記錄,確保工作過程可追溯、工作結果可考核。/r/n9,/r/n績效評價/r/n能力評價/r/n員エ所在部門領導通過日常工作情況,/r/n根/r/n據崗位工作成績量化指標,對員エ的崗位目標進行量化考核,同時對重要崗位人員的信息安全能力進行評估。如發(fā)現(xiàn)信息安全能力不足,相關部門負責人應及時向人力資源管理部提出。/r/n人カ/r/n資源管理部應從以下方面保證員エ信息安全能力滿足要求。/r/n＞/r/n招聘信息安全能力合格的新員エ;/r/n＞/r/n通過培訓提高現(xiàn)有人員的信息安全能力;/r/n＞/r/n購買信息安全服務,彌補信息安全不足可能造成的風險。/r/n有效性測量/r/n定期/r/n依/r/n據有效性測量的項目和目標值對信息安全體系運作的有效性進行測量,對測量的結果進行分析和評價,并編制相關報告。/r/n信息安全管理體系控制措施有效性測量是實現(xiàn)信息安全管理體系目標的重/r/n要保障機制,應按照循序漸進、持續(xù)改進的原則,緊密結合信息安全方針,實現(xiàn)控制措施的可監(jiān)督和可測量,逐步完善測量項目和目標值。參見《有效性測量控制制度》。/r/n實施流程/r/n./r/n設計測量指標/r/n信息安全工作組依據信息安全管理策略設計衡量控制措施有效性的測量指標。測量指標應集中在對公司相對重要的信息安全重點管控領域,包括但不限于:人員信息安全管理、資產管理、物理和環(huán)境管理、通訊與操作管理、訪問控制、信息安全事件管理等信息安全管理領域。/r/n信息安全工作組應依據測量指標制定相應的測量方法、測量周期及目標值。/r/n信息安全工作組應將測量指標、測量方法、目標值、測量周期等信息,提交信息安全管理領導小組審核,經審核后形成有效性測量統(tǒng)計表。/r/n./r/n實施測量/r/n信息安全工作組應在管理評審會議召開前，依據有效性測量統(tǒng)計表要求的測量周期,組織各小組開展有效性測量活動。/r/n各小組信息安全員應依據有效性測量統(tǒng)計表定義的數(shù)據來源收集、統(tǒng)計信息安全管理體系運行數(shù)據，并提交信息安全工作組。/r/n信息安全工作組對運行數(shù)據進行統(tǒng)計分析，將測量指標的實際值記錄于有效性測量統(tǒng)計表,并將實際值與目標值進行對比，若存在測量指標未達標項，將其提交信息安全管理領導小組確認。/r/n信息安全工作組應組織協(xié)調測量指標未達標的責任小組依據《糾正和預防控制制度》進行改善。/r/n信息安全管理體系有效性測量活動應在內審及管理評審前開展，以保證通過內審活動能有效地檢驗測量指標的正確性，并將有效性測量的結果作為管理評審活動的輸入項。/r/n./r/n持續(xù)改進測量/r/n根據“循序漸進、持續(xù)改進”的原則,信息安全工作組負責對有效性測量指/r/n標不斷進行完善。/r/n信息安全管理領導小組應對測量指標定期組織評估,結合實際環(huán)境的變化對現(xiàn)有的測量指標進行修訂或完善。評估周期應不超過內審活動的周期（每年至/r/n少/r/n一次）,因此測量指標修訂和完善的周期不能超過一年。/r/n內部審核/r/n通過定期組織內審活動,檢查信息安全管理活動及其結果是否符合有關標準或文件制度要求,對信息安全管理體系運行情況進行的全面的、系統(tǒng)的檢查和評價活動，包括檢查信息安全策略、標準、規(guī)定及其他相關規(guī)章制度是否得到正確實施，信息系統(tǒng)是否符合技術服務和安全實施標準，安全控制措施是否得當,為體系的持續(xù)改進提供/r/n依/r/n據，確保管理體系持續(xù)有效地運行。/r/n管理評審/r/n通過定期的管理評審工作,為信息安全管理體系的適宜性、充分性和有效性的評審提供指導意見,使公司信息安全管理體系滿足信息安全管理策略要求,且持續(xù)完善并有效運行,實現(xiàn)公司信息安全管理目標。/r/n監(jiān)控和評審/r/n建立對日常工作的監(jiān)控檢查和對信息安全管理體系的全面、系統(tǒng)化的監(jiān)控和評審機制。通過內審、管理評審等方式獲悉信息安全管理體系的運行情況。具體包括:/r/n1）/r/n日常工作的監(jiān)督檢查:通過設立日常檢查機制，確保員エ按照規(guī)定的要求和規(guī)范進行作業(yè)和操作，降低操作風險,提高工作效率;/r/n2）/r/n安全管理制度的落實推進，跟蹤信息安全工作的開展力度,監(jiān)控信息安全事件的發(fā)生情況;/r/n3）/r/n流程監(jiān)控和匯報:流程經理按照各管理流程要求，跟蹤監(jiān)督流程執(zhí)行,定期編制流程管理報告,反饋流程運行情況，分析運行的效果和效率；/r/n4）/r/n管理體系的內部審/r/n核:/r/n通過組織體系的內部審/r/n核，/r/n評價信息安全管理的執(zhí)行力、有效性,識別差距和不足。具體參見《內部審核控制制度》;/r/n5）/r/n管理體系的評審:每年定期對信息安全管理體系進行評審回顧,以評價/r/n體系的適應性、充分性和有效性,從而明確下ー階段或下一年度的改進方向和重點,記錄會議紀要。具體參見《管理評審控制制度》。/r/n10./r/n改進/r/n針對信息安全管理體系在監(jiān)控和評審過程中發(fā)現(xiàn)的問題，通過/r/n不/r/n符合和糾正措施兩種方式對體系進行改進。/r/n組織應保留文件/r/n化/r/n信息作為以下方面的證/r/n據:/r/n包括不符合的性質及所采取的后續(xù)措施以及糾正措施的結果。/r/n1）/r/n不符合/r/n＞/r/n通過定期的安全總結、分析發(fā)現(xiàn)與當前信息安全管理文檔要求存在/r/n不/r/n相符合的地方,進行相應的體系制度要求的落地;對已明確的安全管理和技術在實施過程中存在相應的執(zhí)行偏差,在這樣的情況/r/n下,/r/n進行相應的不符合處置措施。使之實現(xiàn)既定的安全目標。/r/n2）/r/n糾正措施和持續(xù)改進/r/n＞/r/n各流程或安全工作組分析自身存在的問題原因，制定切實可行的改進計劃并貫徹實施。/r/n＞/r/n檢查和驗證改進計劃的有效性。/r/n具體的做法參考《內部審核控制制度》《管理評審控制制度》及《糾正和預防措施控制制度》/r/n。/r/n11./r/n信息安全總體控制/r/nA./r/n5/r/n信息安全策略/r/n./r/n通過建立信息安全管理組織,啟動和控制公司信息安全工作的實施,批準信息安全方針與策略,確定信息安全管理人員和職責分エ,協(xié)調整/r/n個/r/n信息安全管理體系的有效運行。/r/n./r/n公司還需要建立與服務客戶、安全服務廠商、上級監(jiān)管單位、外部安全咨詢專家等外部組織的聯(lián)系，以便跟蹤行業(yè)趨勢,學習各類先進的信息安全技術/r/n和管理手段。/r/n./r/n公司將不可避免地需要與外界進行業(yè)務往來和信息溝通,經常需要向外部組織開放其信息資產和信息處理設施。因此,需要對由于外部組織訪問而帶來的安全風險進行評估,并根據風險水平,在必要時與外部組織簽訂保密協(xié)議，向其聲明公司的信息安全方針與策略，確定所需的安全控制措施。/r/nA./r/n6/r/n信息安全組織/r/n./r/n信息安全組織框架/r/n公司信息安全組織框架包括管理決策、監(jiān)督檢查、貫徹執(zhí)/r/n行三/r/n層架構。其中,公司的管理決策職能由信息安全管理領導小組和管理者代表承/r/n擔，/r/n領導公司信息安全總體工作,領導小組成員由公司總經理、管理者代表及部門負責人組成。監(jiān)督檢查職能由信息安全工作組承擔,工作組由一名工作組組長及工作組成員構成,主要負責信息安全各項工作的日常監(jiān)督和持續(xù)檢查,信息安全工作組組長由公司安全負責人擔任，其成員由各小組負責/r/n人、/r/n信息安全員及公司其他安全人員組成。貫徹執(zhí)行職能由公司各小組及小組員エ承擔,遵循信息安全管理要求,落實各項信息安全工作,配合監(jiān)督和檢查;同時,公司各小組設置專職的信息安全員（或兼職信息安全員）,負責本小組信息安全工作的具體協(xié)調和落實（具體內容參見附件ー:信息安全組織映射表及附件/r/n二:/r/n信息安全職責分配表）。/r/n管理決策/r/n信息安全管理領導小

組/r/n管浬監(jiān)督/r/n信/r/n息安全工作小組/r/n貫沏執(zhí)行/r/n全體員エ/r/n./r/n信息安全職責/r/n1）/r/n信息安全管理領導小組/r/n信息安全管理體系的決策機構,確定信息安全管理體系的建設方向,制訂方針目標等。/r/na）/r/n確立公司信息安全和風險管理的方針政策,并貫徹落實;/r/nb）/r/n組織制定公司信息安全和風險管理的總體規(guī)劃;/r/nc）/r/n對信息安全事件提出處置策略;/r/nd）/r/n研究部署和討論決定公司信息安全和風險管理工作的重大事項;/r/ne）/r/n授權相關部門對公司信息安全工作進行考/r/n核,/r/n審批考核結果并做決策。/r/nf）/r/n每年在管理評審會上對信息安全方針進行評審。/r/n2）/r/n管理者代表/r/n由公司負責人授/r/n權全權/r/n負責信息安全管理體系的日常工作,包括批準并正式發(fā)布各項制度、規(guī)定,建立體系推進組織,任命相關角色等。/r/na）/r/n提出信息安全目標,領導信息安全管理體系的建立、運行和維護;/r/nb）/r/n協(xié)調與信息安全管理體系有關的各項工作;/r/nc）/r/n確保在公司內提高員エ的信息安全意識;/r/nd）/r/n督促信息安全管理體系內部審核和信息安全檢查的開展;/r/ne）/r/n協(xié)助最高管理者進行信息安全管理體系的管理評審;/r/nf）/r/n向最高管理者報告信息安全管理體系的執(zhí)行情況和改進要求。/r/ng）/r/n定期舉行管理評審,保證信息安全管理體系的適宜性、充分性和有效性。/r/n3）/r/n信息安全工作小組/r/n負責信息安全政策的貫徹、落實和監(jiān)督檢查,并協(xié)調各信息安全執(zhí)行小組以及與外部組織間有關的信息安全工作。/r/na）/r/n組織識別信息安全需/r/n求,/r/n向信息安全管理領導小組提出改進建議;/r/nb）/r/n維護信息安全管理體系,組織制訂和修訂信息安全管理制度；/r/nc）/r/n制定風險評估計/r/n劃，/r/n組織進行風險評估,制定風險處理計/r/n劃；/r/nd）/r/n根據信息安全方針和風險管理總體規(guī)劃,組織制定信息安全和風險管理的規(guī)章、制度；/r/ne）/r/n監(jiān)督和考核各小組信息安全管理工作的執(zhí)行情況;/r/nf）/r/n向信息安全管理領導小組匯報信息安全工作的執(zhí)行情況。/r/ng）/r/n組織、發(fā)起信息安全相關會議，安排會議議程，提供會議材料,部署和跟蹤會議決議的執(zhí)行情況；/r/nh）/r/n跟蹤信息安全事件處理并報告；/r/ni）/r/n組織實施內部信息安全檢查和內部審/r/n核；/r/nj）/r/n組織對員エ進行信息安全意識教育和基礎培訓,促使日常工作的安全有/r/n序開展,同時在項目實施過程中滿足相關安全規(guī)范要求;/r/nk）/r/n對各小組的信息安全工作進行監(jiān)督、指導;/r/n1）/r/n與政府相關部門、外部信息安全組織、機構聯(lián)系和溝通/r/n4）/r/n全體員エ/r/n根/r/n據相關信息安全要求,配合相關人員工作開展,理解并遵守/r/n本/r/n規(guī)定定/r/n義/r/n的內容。/r/na）/r/n遵守信息安全規(guī)章制度,遵循操作規(guī)范和流程;/r/nb）/r/n履行崗位信息安全職責,執(zhí)行信息安全工作任務;/r/nc）/r/n作為信息資產使用者,妥善使用并保護工作所涉及的信息資產;/r/nd）/r/n及時上報信息安全事件或隱患;/r/ne）/r/n參與信息安全教育和培訓。/r/nA./r/n7/r/n人力資源安全/r/n./r/n制定并實施對員エ的任用前、任用中、任用后各階段的規(guī)定,確保員エ行為符合要求并能夠忠于職守；制定并實施對外部人員合作前、合作中和合作結束后各階段的規(guī)定,確保外部人員在公司工作期間履行其信息安全義務。/r/n./r/n對公司員工和/r/n第三/r/n方人員進行充分的信息安全意識培訓,明確員エ在エ作中的信息安全職責，使其掌握所處崗位的信息安全技能；明確/r/n第三/r/n方在公司エ作時所應遵循的信息安全要求和所應履行的信息安全責任和義務。/r/n具體管理策略請參見《人力資源管理制度》/r/n《第三/r/n方服務管理規(guī)定》/r/n。/r/nA./r/n8/r/n資產管理/r/n./r/n對信息資產進行識別和管理；根據不同類型信息資產的特征,制定并實施正確使用信息資產的操作規(guī)程。/r/n./r/n基/r/n于/r/n信息資產價值和等級劃分制定不同的安全規(guī)范與策略,根據不同信息資產所需的保護要求,進行相應程度的保護。/r/n具體管理策略請參見《信息資產分類分級管理制度》。/r/nA.9/r/n訪問控制/r/n./r/n加強對公司資產的訪問控制管理,規(guī)范用戶管理、密碼管理、系統(tǒng)配置等要求,并提出訪問控制管理的各項基本要求。/r/n2,/r/n通過實施用戶管理，確保相關/r/n人/r/n員獲取適合其工作職責的訪問權限,形成用戶訪問權限的清單并定期審核,用戶離崗或離職時及時進行權限的調整和清除。/r/n具體管理策略請參見《訪問控制管理制度》。/r/nA./r/n10/r/n密碼控制/r/n通過建立制度,完善密碼使用和管理,制定和實施密鑰的使用,保護,使用期策略并貫穿其整/r/n個/r/n生命周期。/r/n具體管理策略請參見《密碼控制管理制度》/r/n。/r/nA./r/n11/r/n物理和環(huán)境安全/r/n./r/n明確安全區(qū)域的邊界,并采取適當?shù)目刂拼胧?如:物理隔離、門禁系統(tǒng)、視頻監(jiān)控等。/r/n./r/n準確識別并管理各類設備設施,并將其放置于適當?shù)膮^(qū)域。/r/n具體管理策略請參見《物理和環(huán)境安全管理制度》和《設備管理規(guī)定》/r/n。/r/nA./r/n12/r/n操作安全/r/n.信息處理和通信設施的系統(tǒng)活動須具備成文的制度規(guī)范,例如備份管理、軟件管理、設備管理、介質處理和防病毒及惡意軟件管理等。應當為所有的信息處理設施建立必要的管理和操作職責及制度。/r/n./r/n確保每/r/nー/r/n個/r/n信息系統(tǒng)都能夠識別容量要求,確保在必要時能夠對系統(tǒng)的可用性和效率進行及時評估和改進。對系統(tǒng)未來容量的推測應考慮到新業(yè)務的開展、系統(tǒng)自身發(fā)展要求以及當前的信息處理能力和未來發(fā)展的趨勢。/r/n3,/r/n建立有效的計算機病毒預防及查殺機制，實施防止惡意軟件的偵查與防/r/n護控制,并提高員エ的防范意識。/r/n./r/n根/r/n據備份策略對數(shù)據進行備份并定期對備份數(shù)據進行有效性測試。/r/n./r/n在選用介質時應當考慮備份的信息需要保存的周期長短,保存信息的/r/n存/r/n儲介質包括硬盤、磁帶、/r/nU/r/n盤、可移動硬件驅動器、/r/nCD/r/n、/r/nDVD/r/n和打印介質等。儲/r/n存/r/n介質的管理人員應檢查和標記所有的儲存媒介,為使存儲介質中的數(shù)據和系統(tǒng)文件免遭/r/n未/r/n授權泄露、篡改和破/r/n壞,/r/n應建立關于存儲介質使用、保存、刪除和銷毀的操作策略和相關制度。/r/n./r/n應制定/r/n處/r/n置、/r/n處/r/n理、存儲與分類一致的信息與其通信的管理制度。并按照所設置的分類級/r/n別,/r/n處置和標記所有介質。明確防止/r/n未/r/n授/r/n權人員/r/n訪問的限制要/r/n求,/r/n并/r/n根/r/n據制造商的存儲規(guī)范來保存介質,同時,清晰地標記數(shù)據的所有拷貝,/r/n以/r/n引起/r/n數(shù)/r/n據所有者的關注。/r/n./r/n應建立日志保護的管理制度/r/n以/r/n防止日志保存設施被/r/n未授權/r/n更改和出現(xiàn)操作問題,重要的審計日志需要被存檔保存,審計日志包括用戶/r/nID/r/n、/r/n日/r/n期、時間和關鍵事態(tài)等細節(jié),/r/n以/r/n及系統(tǒng)配置、特殊權限、系統(tǒng)實用工具和應用程序的使用。/r/nA./r/n13/r/n通信安全/r/n實施網絡安全管理,/r/n劃/r/n分網絡安全區(qū)域,對網絡/r/n設備、/r/n網絡活動進行監(jiān)控和管理,制定網絡安全策略和操作規(guī)程,對網絡信息及其支持設施進行保護。具體管理策略由公司網絡管理員進行部署實施，具體管理策略請參見《通信安全管理制度》。/r/nA./r/n14/r/n系統(tǒng)獲取、開發(fā)和維護/r/n./r/n在進行信息系統(tǒng)開發(fā)活動前,應明確在信息系統(tǒng)中包含基本的自動控制措施,/r/n以/r/n及支持性的人工控制措施的需求。信息系統(tǒng)的安全要求與信息系統(tǒng)建設過程的安全要求應在信息系統(tǒng)項目的早期階段被集成。購買成熟的軟件產品應遵循/r/n一/r/n個正式的測試和獲取過程。與供貨商簽的合同應提出已確定的安全要求。/r/n2,/r/n在信息系統(tǒng)設計和開發(fā)過程中,應將數(shù)據的校驗和檢查功能集成在信息系統(tǒng)數(shù)據處理的整/r/n個/r/n過程,/r/n以/r/n保證信息系統(tǒng)在處理數(shù)據的過程中,數(shù)據的完整性/r/n沒有喪失或遭到破壞。/r/n./r/n在進行信息系統(tǒng)建設的過程中,需進行安全風險評估/r/n以/r/n判定是否需要保證消息完整性,并確定最合適的實施方法。/r/n./r/n在制定密碼策略時，應考慮下列內容:組織間使用密碼控制的管理方法,包括保護業(yè)務信息的一般原則，基于風險評估,應確定需要的保護級別,并考慮需要的加密算法的類型、強度和質量;使用密碼保護通過移動電話、可移動介質、設備或者通過通信線路傳輸?shù)拿舾行畔ⅰ?r/n./r/n公司對程序源/r/n代/r/n碼和相關事項（諸如設計、說明書、確認計劃和驗證計劃）的訪問需嚴格控制,對于程序源代碼的保存,通過代碼的中央存儲控制來實現(xiàn),最好是放在源程序庫中。/r/n./r/n評審應用系統(tǒng)中控制和完整性的程序,以確保它們不因操作系統(tǒng)變更而損壞,確保年度支持計劃和預算中包括由于操作系統(tǒng)變更而引起的評審和系統(tǒng)測試,及時提供操作系統(tǒng)變更的通知,以便于在實施之前進行合適的測試和評審,同時對業(yè)務連續(xù)性計劃進行合適的變更。/r/n./r/n需定期評估隱藏信息的對外通信安全,掩蓋和調整系統(tǒng)的通信行為,/r/n以/r/n減少/r/n第三/r/n方從這些行為中推斷信息的可能性。公司還應在現(xiàn)有法律或法規(guī)允許的情況/r/n下，/r/n定期監(jiān)視個/r/n人/r/n和系統(tǒng)的活動。監(jiān)視計算機系統(tǒng)的資源使用。/r/n./r/n需及時獲得組織所使用的各類操作系統(tǒng)、應用系統(tǒng)、軟件工具等信息系統(tǒng)的技術脆弱性信/r/n息,/r/n評估組織對此類技術脆弱點的保護，并采取適當?shù)目刂拼胧?r/n具體管理策略請參見《信息系統(tǒng)獲取、開發(fā)及維護管理制度》。/r/nA./r/n15/r/n供應商關系/r/n./r/n第三/r/n方交付的服務應包括商定的安全計劃、服務定義和服務管理各方面內容。確保/r/n第三/r/n方有足夠的服務能力、擁有可用性可持續(xù)性計劃,/r/n以/r/n確保商定的服務在故障/r/n或災/r/n難后能夠得以繼續(xù)保持。/r/n./r/n檢查協(xié)議的要求,監(jiān)管協(xié)議執(zhí)行的一致性,/r/n以/r/n確保交付的服務滿足與第/r/n三方商定的所有要求。/r/n具體管理策略請參見《第三方服務管理控制制度》。/r/nA./r/n16/r/n信息安全事故/r/n信息安全事故應進行集中管控、統(tǒng)計、分析,并采取相應的措施,建立和完善信息安全事故的監(jiān)測、報告、預警、處置和整改機制。/r/n具體管理策略請參見《信息安全事件管理制度》/r/n。/r/nA./r/n17/r/n業(yè)務連續(xù)性管理的信息安全方面/r/n識別可能導致業(yè)務過程中斷的隱患,以及這類中斷發(fā)生的可能性和影響、中斷的信息安全后果;制定連續(xù)性計劃和實施應急演練,以確保在關鍵業(yè)務過程中斷或失效后能夠根據要求及時恢復,并確保信息的可用。/r/n具體管理策略請參見《業(yè)務連續(xù)性管理制度》。/r/nA./r/n18/r/n符合性/r/n通過建立制度完善信息安全相關法律法規(guī)收集和識別的要求，并在各項規(guī)章制度中體現(xiàn)相應要求并開展培訓,使員エ明確相關法律法規(guī)要求并遵照執(zhí)行。/r/n具體管理策略請參見《符合性實施制度》。/r/n

/r/n附件ー:信息安全組織架構映射表/r/n組織/r/n職務/r/n姓名/r/n職責/r/n信息安全管理領導小組/r/n組長/r/n1）/r/n是信息安全管理體系的最高決策機構;/r/n2）/r/n負責公司信息安全管理手冊（級）,包括:信息安全管理范圍、方針、目標的審批與發(fā)布;/r/n3）/r/n負責對信息安全管理體系進行管理評審；/r/n4）/r/n確認可接受的風險和風險等級；/r/n5）/r/n支持和推動信息安全工作在公司范圍內的實施；/r/n6）/r/n評審重大信息安全事故的處理。/r/n成員/r/n—/r/n信息安全/r/n工作小組/r/n組長/r/n1）/r/n負責組織建立、實施、保持和改進信息安全管理體/r/n系,保證信息安全體系的有效運行；/r/n2）/r/n負責公司信息安全管理體系二級程序文件的審批；/r/n3）/r/n組織并領導公司內部審核工作；/r/n4）/r/n負責組織發(fā)起信息安全管理體系的管理評審工作；/r/n副組/r/n長/r/n協(xié)助組長處理信息安全事務。/r/n成員/r/n1）/r/n負責本部門的信息安全管理工作,負責保護本部門所管理、使用的信息資產的安全；/r/n2）/r/n負責指導和要求本部門員エ遵守信息安全政策；/r/n3）/r/n組織落實部門信息安全糾正措施（包括內部審核整改意見）和預防措施。/r/n附件二:信息安全職責分配表/r/n標準要求/r/n小組/r/n信息安全管理領導小組/r/n總/r/n裁/r/n辦/r/n財務部/r/n行政/r/n部/r/n人力資源部/r/n商務采購部/r/n銷售部/r/n產品部/r/n研發(fā)部/r/n測試部/r/n服務部/r/n對應的文件/r/n4/r/n組織環(huán)境/r/n4./r/n1/r/n理解組織及其環(huán)境/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n4.2/r/n理解/r/n相關方的/r/n需/r/n求和期/r/n望/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n4.3/r/n確定信息安全管理體系的范圍/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n4.4/r/n信息安全管理體系/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n5/r/n領導/r/n5./r/n!/r/n領導和承諾/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n5./r/n2/r/n方針/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n5.3/r/n組織角色、職責和權限/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n6/r/n規(guī)劃/r/n6./r/n1/r/n應對風險和機會的措施/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n信息安全風險評估控制制度/r/n6./r/n2/r/n信/r/n息安全目標和規(guī)/r/n劃實現(xiàn)/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n體系管理手冊/r/n7/r/n支持/r/n7.1/r/n資源/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n7./r/n2/r/n能力/r/n★/r/n▲/r/n★/r/n★/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n7./r/n3/r/n意識/r/n★/r/n▲/r/n★/r/n★/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n7./r/n4/r/n溝通/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系管理手冊/r/n負責/r/n▲/r/n7./r/n5/r/n文件記錄信息/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n文檔管理流程/r/n8/r/n運行/r/n8./r/n1/r/n運行的規(guī)劃和控/r/n制/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n體系/r/n管理/r/n手冊文檔/r/n管理流程/r/n8./r/n2/r/n信息安全風險評估/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n信/r/n息安全風險評估控/r/n制/r/n制度/r/n8./r/n3/r/n信/r/n息安全風險處置/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n信息安全風險評估控制制度/r/n9/r/n績效評價/r/n9./r/n1/r/n監(jiān)視、測量、/r/n分析/r/n和評價/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n★/r/n內部審核控制/r/n制/r/n度/r/n9.2/r/n內部審核/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n內部審核控制/r/n制/r/n度/r/n9.3/r/n管理評審/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n管理評審控/r/n制制/r/n度/r/n10/r/n改進/r/n10./r/n1/r/n不符合和糾正措施/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n糾/r/n正和預防控/r/n制/r/n制度/r/n體系/r/n管理/r/n手/r/n冊/r/n10./r/n2/r/n持續(xù)改進/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n體系/r/n管理/r/n手/r/n冊/r/n表示/r/n表示/r/n信息安全目/r/n標/r/n./r/n目的和范圍/r/n確保信息安全管理體系的有效實施,根據本公司信息安全方針制定信息安全目標,并規(guī)定信息安全目標的計算方法,以便于目標達成情況的考核。/r/n適用于本公司信息安全目標的制定、計/r/n算。/r/n./r/n職責和權限/r/n1）/r/n信息安全管理領導小組/r/n:/r/n負責建立、批準與評審公司的信息安全目標。/r/n2）/r/n體系負責人/r/n:/r/n負責向信息安全領導小組會匯報公司的信息安全目標達成/r/n情況,并組織相關/r/n人/r/n員每年對信息安全目標逬行評審。/r/n3）/r/n各部門:負責與本部門相關的信息安全目標的統(tǒng)計、分析,當目標不能/r/n達標時,進行原因分析并逬行改逬。/r/n3,/r/n控制流程/r/n3.1/r/n.信息安全目標/r/n1）/r/n全年不發(fā)生重大信息安全事件和"二級"以上運行安全事故;/r/n2）/r/n重要保障時期不發(fā)生三級以上事故。/r/n對于未達成信息安全目標的,相關部門要進行原因分析,并提出解決辦法;對于連續(xù)未達成目標的,信息安全工作小組要向相關部門/r/n開/r/n出《不符合糾正預防措施通知單》逬行處理。/r/n22080-2016/r/n信息安全管理體系信息安全適用性聲明/r/nSoA/r/n更新日期:/r/n2020./r/n04./r/n07/r/n標準條款/r/n是否適/r/n用/r/n控/r/n制措施描述/r/n負責部/r/n門/r/n有關的/r/n!s/r/n文件/r/nA./r/n5/r/n信息安全策/r/n略/r/nA.5./r/n1/r/n信息安全管/r/n理指導/r/n目標:/r/n依據業(yè)務要求和相關法/r/n律法規(guī)提供管理指導并/r/n支持信息安全/r/nA.5./r/n信息安全策/r/n控制措施/r/n是/r/n以客戶為中心,將安全意識/r/n總裁辦/r/n《信息安全/r/n

/r/n1./r/n1/r/n略/r/nー組信息安全策略應由管理者制定、批準、發(fā)布并傳達給員工和外部相關方。/r/n融入日常工作、嚴格審查各項控制措施、/r/n及/r/n時/r/n消/r/n除/r/n安全/r/n隱/r/n患、/r/n保/r/n障/r/n業(yè)務連續(xù)性。全體員エ必須嚴格/r/n按/r/n照本總綱的/r/n要求,自/r/n覺貫徹管理方針，嚴格執(zhí)/r/n行本/r/n總綱的/r/n各/r/n項規(guī)/r/n定,努力/r/n實現(xiàn)公司生產運行和日常/r/n辦/r/n公的/r/n安全。/r/n并傳達給外部相關方。/r/n管理手冊》/r/nA.5./r/n1.2/r/n信息安全策/r/n略的評審/r/n控制措施/r/n應按計劃的時間間隔或/r/n當/r/n重大變化時進行信息安全策略的評審,以確保持續(xù)的適宜/r/n性,/r/n充分/r/n性和/r/n有效性。/r/n是/r/n通過管理評審，每年至少ー/r/n次對方針進行評審/r/n信息安/r/n全管理領導小組/r/n《信息/r/n安全/r/n管理手冊》/r/n《管理評審制/r/n度》/r/nA.6/r/n信息安全組/r/n織/r/nA.6./r/n1/r/n內部組織/r/n目標:/r/n建立管理框架以發(fā)起和控制組織內信息安全的實施和運行。/r/nA.6./r/n1.1/r/n信息安全角/r/n色和職責/r/n控制措施/r/n所有的信息安全職責應予以定義并分配。/r/n是/r/n定義/r/n了信/r/n息安全管理領導/r/n小組、/r/n信/r/n息安全/r/n工作小組等的職/r/n責/r/n總裁辦/r/n《信息安全/r/n組織管理制度》/r/nA.6./r/n1.2/r/n職責分割/r/n控制措施/r/n互相沖突的責任及職責范圍應加以分割、以降低未授權或無意識的修改或者不當使用組織資/r/n是/r/n為/r/n防止未/r/n授權的/r/n更改或誤/r/n用信息或服務的機會，/r/n按/r/n以下要/r/n求進/r/n行職責/r/n分配:/r/na）/r/n系統(tǒng)/r/n管理/r/n職責與/r/n操作職責分/r/n離;/r/n信息/r/n安/r/n全/r/n管理領導/r/n小組/r/n《信息/r/n安全/r/n組織/r/n管理/r/n制度》/r/n

/r/n產的機會。/r/nb）/r/n信息安全審核具有獨立性。/r/nA.6./r/n1.3/r/n與監(jiān)管機構/r/n的聯(lián)系/r/n控制措施/r/n應保持與政府相關部門的適當聯(lián)系。/r/n是/r/n利益/r/n相/r/n關/r/n的/r/n構/r/n成/r/n為客戶/r/n、員エ、/r/n供應商。并定/r/n義了/r/n溝通的方式、周期/r/n及/r/n接口部門等內容。/r/n商務采/r/n購部、行政/r/n部/r/