信息安全管理手冊

15/15信息安全管理手冊深圳市甲易科技有限公司信息安全管理手冊

文件編號：JY-ISMS-2016狀態(tài)：受控

編寫：黃建明2016年01月20日審核：李鵬堯2015年01月20日批準：楊煜2015年01月20日發(fā)布版次：A/0版2015年01月20日生效日期：2016/01/202015年01月20日分發(fā)：各部門接受部門：各部門

01頒布令

為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動的正常進行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》國際標準工作，建立、實施和持續(xù)改進文件化的信息安全管理體系，制定了深圳市甲易科技有限公司有限公司《信息安全管理手冊》。

《信息安全管理手冊》是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實施信息安全管理體系的綱領(lǐng)和行動準則，用于貫徹企業(yè)的信息安全管理方針、目標，實現(xiàn)信息安全管理體系有效運行、持續(xù)改進，體現(xiàn)企業(yè)對社會的承諾。

《信息安全管理手冊》符合有關(guān)信息安全法律ISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》標準和企業(yè)實際情況，現(xiàn)正式批準發(fā)布，自2016年01月20日起實施。企業(yè)全體員工必須遵照執(zhí)行。

全體員工必須嚴格按照《信息安全管理手冊》的要求，自覺遵循信息安全管理方針，貫徹實施本手冊的各項要求，努力實現(xiàn)公司信息安全管理方針和目標。

深圳市甲易科技有限公司

總經(jīng)理：楊煜

2016年01月20日

02管理者代表授權(quán)書

為貫徹執(zhí)行信息安全管理體系，滿足ISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》標準的要求，加強領(lǐng)導(dǎo)，特任命李鵬堯為我公司信息安全管理者代表。

授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：

1．確保按照標準的要求，進行資產(chǎn)識別和風(fēng)險評估，全面建立、實施和保持信息安全管理體系；

2．負責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；

3．確保在整個組織內(nèi)提高信息安全風(fēng)險的意識；

4．審核風(fēng)險評估報告、風(fēng)險處理計劃；

5．批準發(fā)布程序文件；

6．主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；

7．向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。

本授權(quán)書自任命日起生效執(zhí)行。

深圳市甲易科技有限公司

總經(jīng)理：楊煜

2016年01月20日

03企業(yè)概況

深圳市甲易科技有限公司于2013年,研發(fā)與銷售網(wǎng)上行為審計系統(tǒng)、公共信息安全采集系統(tǒng)的知名企業(yè);專注于公安部監(jiān)管的網(wǎng)絡(luò)安全系統(tǒng)服務(wù)商。

公司以為行業(yè)提供專業(yè)網(wǎng)上行為審計系統(tǒng)、公共信息安全采集系統(tǒng)作為公司的發(fā)展方向,投入大量人力、物力、財力從網(wǎng)絡(luò)公共安全等領(lǐng)域的研究開發(fā)工作,并取得了一定成績.公司目前在為客戶提供專業(yè)音系統(tǒng)集成服務(wù)領(lǐng)域已經(jīng)和行業(yè)一流企業(yè)并駕齊驅(qū).同時在多網(wǎng)絡(luò)審計、安全研究領(lǐng)域也一直默默耕耘,在系統(tǒng)集成領(lǐng)域,司則專注于公檢法、安保等行業(yè)市場,發(fā)揮自己在系統(tǒng)集成方面技術(shù)優(yōu)勢和服務(wù)經(jīng)驗,同時,也參與各行業(yè)客戶的數(shù)據(jù)網(wǎng)絡(luò)、圖像傳輸、音視頻處理、網(wǎng)絡(luò)安全、數(shù)據(jù)存儲等的信息化建設(shè),并提供專業(yè)的信息技術(shù)服務(wù).立志做到同行的佼佼者,為用戶提供最優(yōu)的解決方案.在售后服務(wù)領(lǐng)域,公司有一套專業(yè)服務(wù)機制和流程,員工先后取得相關(guān)部門頒發(fā)的服務(wù)證書.

公司專業(yè)技術(shù)人員占70％,市場和銷售人員20％,全公司95％的員工具有大學(xué)本科學(xué)歷.企業(yè)成功公司一貫秉承“尊重知識,重視人才,公平競爭”的人才策略,為員工創(chuàng)造良好的學(xué)習(xí)成長機會的學(xué)習(xí),成長機會和環(huán)境以及事業(yè)發(fā)展空間.

公司實行人才動態(tài)管理,推行“公平、平等、競爭、擇優(yōu)”的用人機制,通過競爭上崗和雙向選擇,實現(xiàn)人盡其才、人事相宜、優(yōu)勝劣汰;公司構(gòu)建和采用以技能和業(yè)績?yōu)橹饕笜说男匠昙翱己梭w系,并配有完善的福利政策,解決員工的后顧之憂;同時公司積極組織豐富的業(yè)余活動,提高員工的生活品質(zhì),營造愉悅的企業(yè)文化氛圍,增強企業(yè)的凝聚力,使每一位員工都能體會到與公司共同成長的樂趣.

04信息安全管理方針目標

為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。

信息安全管理方針如下：

強化意識規(guī)范行為

數(shù)據(jù)保密信息完整

本公司信息安全管理方針包括內(nèi)容如下：

一、信息安全管理機制

公司采用系統(tǒng)的方法，按照對ISO27001:2013建立信息安全管理體系，全面保護本公司的信息安全。

二、信息安全管理組織

1．公司總經(jīng)理對信息安全工作全面負責(zé)，負責(zé)批準信息安全方針，確定信息安全要求，提供信息安全資源。

2．公司總經(jīng)理任命管理者代表負責(zé)建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。

3．在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保證信息安全管理體系的有效運行。

4．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。

三、人員安全

1．信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責(zé)和權(quán)限。

2．對本公司的相關(guān)方針，要明確安全要求和安全職責(zé)。

3．定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安全意識。

4．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。

四、識別法律、法規(guī)、合同中的安全

及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。

五、風(fēng)險評估

1．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準則。

2．采用先進的風(fēng)險評估技術(shù)，定期進行風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。

3．應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。

六、報告安全事件

1．公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。

2．全體員工有報告信息安全隱患、威脅、薄弱點、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進行報告。

3．接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果。

七、監(jiān)督檢查

定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。

八、違反信息安全要求的懲罰

對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進行處理。

信息安全目標如下：

1）確保每年重大信息安全事件（事故）發(fā)生次數(shù)為零。

2）確保單個重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過1次，每次中斷時間不超過2小時。

3）確保信息安全事件發(fā)現(xiàn)率99%、上報和處理率100%。

05手冊的管理

1信息安全管理手冊的批準

技術(shù)部負責(zé)組織編制《信息安全管理手冊》，總經(jīng)理負責(zé)批準。

2信息安全管理手冊的發(fā)放、更改、作廢與銷毀

a）技術(shù)部負責(zé)按《文件和資料管理程序》的要求，進行《信息安全管理手冊》的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；

b）各相關(guān)部門按照受控文件的管理要求對收到的《信息安全管理手冊》進行使用和保管；

c）技術(shù)部按照規(guī)定發(fā)放修改后的《信息安全管理手冊》，并收回失效的文件做出標識統(tǒng)一處理，確保有效文件的唯一性；

d）技術(shù)部保留《信息安全管理手冊》修改內(nèi)容的記錄。

3信息安全管理手冊的換版

當依據(jù)的ISO27001:2013標準有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險等發(fā)生重大改變及《信息安全管理手冊》發(fā)生需修改部分超過1/3時，應(yīng)對《信息安全管理手冊》進行換版。換版應(yīng)在管理評審時形成決議，重新實施編制、審批工作。

4信息安全管理手冊的控制

a）本《信息安全管理手冊》標識分受控文件和非受控文件兩種：

——受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負責(zé)人、內(nèi)審員；

——非受控文件指印制成單行本，作為投標書的資料或為生產(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。

b）《信息安全管理手冊》有書面文件和電子文件。

信息安全管理手冊

范圍

總則

為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡稱ISMS），確定信息安全方針和目標，對信息安全風(fēng)險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。

應(yīng)用

覆蓋范圍：

本信息安全管理手冊規(guī)定了深圳市甲易科技有限公司的信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評審和信息安全管理體系改進等方面內(nèi)容。

本信息安全管理手冊適用于深圳市甲易科技有限公司業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動。

刪減說明

本信息安全管理手冊采用了ISO27001:2013標準正文的全部內(nèi)容，對附錄A的刪減見《適用性聲明》。

規(guī)范性引用文件

下列文件中的條款通過本《信息安全管理手冊》的引用而成為本《信息安全管理手冊》的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準，然而，技術(shù)部應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊。

ISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》

ISO27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》

術(shù)語和定義

ISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、

ISO27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》規(guī)定的術(shù)語和定義適用于本《信息安全管理手冊》。

本公司

指深圳市甲易科技有限公司。

信息系統(tǒng)

指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

計算機病毒

指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

信息安全事件

指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密事件。

相關(guān)方

關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個人。主要為：政府、供方、銀行、用戶、電信等。

4.組織環(huán)境

4.1理解組織及其環(huán)境

本公司應(yīng)確定與目標相關(guān)并影響其實現(xiàn)的信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題

4.2理解相關(guān)方要求

本公司應(yīng)確定：

4.2.1與本公司信息安全有關(guān)的相關(guān)方

4.2.2這些相關(guān)方對信息安全方面的要求

4.3確定信息安全的范圍：

本公司應(yīng)確定信息安全管理體系的邊界和適用性，以建立其范圍。

組織范圍：

本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊附錄F（規(guī)范性附錄）《信息安全管理體系組織機構(gòu)圖》。

物理范圍：

本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。

本公司信息安全管理體系的物理范圍為本公司位于位于廣州市越秀區(qū)東風(fēng)中路268號廣州交易廣場25層2508-09室，安全邊界詳見附錄B（規(guī)范性附錄）《辦公場所平面圖》。

4.4信息安全管理體系

4.4.1本公司在產(chǎn)品開發(fā)、生產(chǎn)、服務(wù)和日常管理活動中，按ISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照ISO27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》標準，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。

4.4.2信息安全管理體系使用的過程基于圖1所示的PDCA模型。

圖1信息安全管理體系模型

5領(lǐng)導(dǎo)：5.1領(lǐng)導(dǎo)和承諾

我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)：

a)建立信息安全方針和信息安全目標，并確保其與公司戰(zhàn)略保持一致b)確保將信息安全體系要求整合到組織的業(yè)務(wù)活動中；c)確保提信息安全體系所需資源可用

d）向組織傳達滿足信息安全體系有效實施、符合信息安全體系村求的重要性。e)確保信息安全體系實現(xiàn)其預(yù)期結(jié)果

f)指揮并支持信息安全管理人員為信息安全管理體系的有效實施作出貢獻。g)促進持續(xù)改進

h)支持其它管理角色在其職責(zé)范圍內(nèi)展示其領(lǐng)導(dǎo)力。

建立

ISMS

實施和運行

ISMS保持和改進

ISMS

監(jiān)視和評審

ISMS

相關(guān)方

信息安全要求和期望

相關(guān)方

信息安全

管理

策劃

實施

檢查

處置

5.2方針

本公司總經(jīng)理負責(zé)制定信息安全方針，以

a)適用于甲易科技的目標

b)包含信息安全目標或設(shè)置信息安全目標提供框架；

c)包含適用的信息安全相關(guān)要求的承諾

d）包含信息安全體系持續(xù)改善的承諾。

e)并形成文件化的信息安全方針。

f)在公司內(nèi)部進行傳達。

g)適用時，相關(guān)方適用

5.3組織角色、職責(zé)和權(quán)限

本公司總經(jīng)理為信息安全最高責(zé)任者。總經(jīng)理應(yīng)分配并確保信息安全相關(guān)角色的職責(zé)和權(quán)限：

a)確保信息安全符合本標準要求；

b)對信息安全管理體系的運行的績效向信息安全委員會或最高責(zé)任者報告。

6規(guī)劃

6.1技術(shù)部負責(zé)制定《信息安全風(fēng)險評估管理程序》，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準則并識別風(fēng)險的可接受等級。信息安全風(fēng)險評估執(zhí)行《信息安全風(fēng)險評估管理程序》，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。

6.2識別風(fēng)險

在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險評估管理程序》，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、人員、服務(wù)、文檔。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、可用性、法律法規(guī)符合性要求進行了量化賦值，形成了《資產(chǎn)識別清單》。

同時，根據(jù)《信息安全風(fēng)險評估管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。

6.3分析和評價風(fēng)險

本公司按《信息安全風(fēng)險評估管理程序》，采用人工分析法，分析和評價風(fēng)險：

a)針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦值；

b)針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；

c)根據(jù)《信息安全風(fēng)險評估管理程序》計算風(fēng)險等級；

d)根據(jù)《信息安全風(fēng)險評估管理程序》及風(fēng)險接受準則，判斷風(fēng)險為可接受或需要處理。

6.4識別和評價風(fēng)險處理的選擇

技術(shù)部組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成《信息安全不可接受風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、目的、范圍以及處置策略。

對于信息安全風(fēng)險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧?/p>

a)消減風(fēng)險（通過適當?shù)目刂拼胧┙档惋L(fēng)險發(fā)生的可能性）；

b)接受風(fēng)險（風(fēng)險值不高或者處理的代價高于風(fēng)險引起的損失，公司決定接受該風(fēng)險/殘余風(fēng)險）；

c)規(guī)避風(fēng)險（決定不進行引起風(fēng)險的活動，從而避免風(fēng)險）；

d)轉(zhuǎn)移風(fēng)險（通過購買保險、外包等方法把風(fēng)險轉(zhuǎn)移到外部機構(gòu)）。

6.5選擇控制目標與控制措施

技術(shù)部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標，并將目標分解到有關(guān)部門（見《適用性聲明》）：

a)信息安全控制目標獲得了信息安全最高責(zé)任者的批準。

b)控制目標及控制措施的選擇原則來源于GISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A，具體控制措施參考ISO27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》。

c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。

7支持

7.1資源：

本公司確定并提供實施、保持信息安全管理體系所需資源；

7.2能力

行政部制定并實施《人力資源管理程序》文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：

a)確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；

b)提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；

c)評價所采取措施的有效性；來自http://./doc/6bbc79bffbb069dc5022aaea998fcc22bdd14346.html，

d)保留教育、培訓(xùn)、技能、經(jīng)驗和資歷的記錄。

7.3意識

人員在組織的控制下從事工作時應(yīng)意識到：

a)信息安全方針

b)本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)信息安全管理體系目標做出貢獻

c)不符合信息安全管理體系要求可能的影響

7.4溝通

本公司應(yīng)確定信息安全管理體系在公司內(nèi)外和外部進行溝通的需求，包括：

a)什么需要溝通

b)什么時侯溝通

c)跟誰溝通

d)由誰負責(zé)溝通

e)影響溝通的過程

7.5文件記錄信息

文件要求

總則

7.5.1本公司信息安全管理體系文件包括：

a)文件化的信息安全方針、控制目標，在《信息安全管理手冊》中描述；

b)《信息安全管理手冊》（本手冊，包括信息安全適用范圍及引用的標準）；

c)本手冊要求的《信息安全風(fēng)險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《糾正預(yù)防措施控制程序》等支持性程序；

d)信息安全管理體系引用的支持性程序。如：《文件和資料管理程序》、《記錄管理程序》、《內(nèi)部審核管理程序》等；

e)為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；

f)《信息安全風(fēng)險評估報告》、《信息安全不可接受風(fēng)險處理計劃》以及信息安全管理體系要求的記錄類文件；

g)相關(guān)的法律、法規(guī)和信息安全標準；

h)適用性聲明（SOA）。

7.5.2創(chuàng)建和更新

技術(shù)部制定并實施《文件和資料管理程序》，對信息安全管理體系所要求的文件進行管理。對《信息安全管理手冊》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使用場所能夠及時獲得適用文件的有效版本。

文件控制應(yīng)保證：

a)文件發(fā)布前得到批準，以確保文件是充分的；

b)必要時對文件進行評審、更新并再次批準；

c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；

d)確保在使用時，可獲得相關(guān)文件的最新版本；來自http://./doc/6bbc79bffbb069dc5022aaea998fcc22bdd14346.html，

e)確保文件保持清晰、易于識別；

f)確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲和最終的銷毀；

g)確保外來文件得到識別；

h)確保文件的分發(fā)得到控制；

i)防止作廢文件的非預(yù)期使用；

j)若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。

7.5.3文件記錄信息的控制

信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的證據(jù)。技術(shù)部負責(zé)制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的《記錄管理程序》，規(guī)定記錄的標識、儲存、保護、檢索、保管、廢棄等事項。

信息安全體系的記錄應(yīng)包括本手冊第4.2條中所列出的所有過程的結(jié)果及與ISMS相關(guān)的安全事故（事件）的記錄。

各部門應(yīng)根據(jù)《記錄管理程序》的要求采取適當?shù)姆绞酵咨票９苄畔踩涗洝?/p>

8.運行

8.1運行的規(guī)劃和控制

為確保信息安全管理體系有效實施，對已識別的風(fēng)險進行有效處理，本公司開展以下活動：

a)形成《信息安全不可接受風(fēng)險處理計劃》，以確定適當?shù)墓芾泶胧⒙氊?zé)及安全控制措施的優(yōu)先級；

b)為實現(xiàn)已確定的安全目標、實施《信息安全不可接受風(fēng)險處理計劃》，明確各崗位的信息安全職責(zé)；來自http://./doc/6bbc79bffbb069dc5022aaea998fcc22bdd14346.html，

c)實施所選擇的控制措施，以實現(xiàn)控制目標的要求；

d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；

e)進行信息安全培訓(xùn)，提高全員信息安全意識和能力；

f)對信息安全體系的運作進行管理；

g)對信息安全所需資源進行管理；

h)實施控制程序，對信息安全事件（或征兆）進行迅速反應(yīng)。

8.2信息安全風(fēng)險評評估

本公司按《信息安全風(fēng)險評估管理程序》，采用人工分析法，分析和評價風(fēng)險：

a)針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦值；

b)針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；

c)根據(jù)《信息安全風(fēng)險評估管理程序》計算風(fēng)險等級；

d)根據(jù)《信息安全風(fēng)險評估管理程序》及風(fēng)險接受準則，判斷風(fēng)險為可接受或需要處理。

8.3信息安全風(fēng)險處置

技術(shù)部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標，并將目標分解到有關(guān)部門（見《適用性聲明》）：

a)信息安全控制目標獲得了信息安全最高責(zé)任者的批準。

b)控制目標及控制措施的選擇原則來源于GISO27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A，具體控制措施參考ISO27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》。

c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。

9.績效評價

9.1監(jiān)視、測量、分析和評價

本公司管理者代表負責(zé)對信息安全管理體系的績效和有效性進行評價

管理者代表應(yīng)編制《信息安全管理體系管理方案》，并明確以下事項：

1）什么需要監(jiān)視和測量，包括信息安全過程和控制措施。

2）測視、測量、分析和評價的方法

3）什么時侯進行監(jiān)視和測量

4）誰應(yīng)執(zhí)行監(jiān)視和測量

5）什么時侯應(yīng)對監(jiān)視和測量的結(jié)果進行分析和評價

6）誰應(yīng)分析和評價這些結(jié)果，并記錄分析和評價的結(jié)果

9.2內(nèi)部審核

9.2.1總則

技術(shù)部負責(zé)建立并實施《內(nèi)部審核管理程序》，《內(nèi)部審核管理程序》應(yīng)包括策劃和實施審核以及報告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時間間隔進行內(nèi)部審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否：

a)符合本標準的要求和相關(guān)法律法規(guī)的要求；

b)符合已識別的信息安全要求；

c)得到有效地實施和維護；

d)按預(yù)期執(zhí)行。

9.2.2內(nèi)審策劃

技術(shù)部應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對審核方案進行策劃。應(yīng)編制內(nèi)審年度計劃，確定審核的準則、范圍、頻次和方法。

每次審核前，技術(shù)部應(yīng)編制內(nèi)審計劃，確定審核的準則、范圍、日程和審核組。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。

9.2.3內(nèi)審實施

應(yīng)按審核計劃的要求實施審核，包括：

a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；

b）實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流；

c）進行對檢查內(nèi)容進行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見和不符合報告；

d）審核組長編制審核報告。

對審核中提出的不符合項報告，責(zé)任部門應(yīng)編制糾正措施，由技術(shù)部組織對受審部門的糾正措施的實施情況進行跟蹤、驗證。

按照《記錄管理程序》的要求，保存審核記錄。

內(nèi)部審核報告，應(yīng)作為管理評審的輸入之一。

9.3管理評審

管理評審

總則

9.3.1技術(shù)部負責(zé)每年下半年組織信息安全管理體系管理評審，以確保其持續(xù)的適宜性、充分性和有效性。

9.3.2管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。

9.3.3管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。

評審輸入

管理評審的輸入要包括以下信息：

a)信息安全管理體系審核和評審的結(jié)果；

b)相關(guān)方的反饋；

c)用于改進信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；

d)預(yù)防和糾正措施的狀況；

e)以往風(fēng)險評估沒有充分強調(diào)的脆弱性或威脅；

f)有效性測量的結(jié)果；

g)以往管理評審的跟蹤措施；

h)任何可能影響信息安全管理體系的變更；

i)改進的建議。

評審輸出

管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：

a)信息安全管理體系有效性的改進；

b)更新風(fēng)險評估和風(fēng)險處理計劃；

c)必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：

1)業(yè)務(wù)要求；

2)安全要求；

3)影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；

4)法律法規(guī)要求；

5)合同責(zé)任；

6)風(fēng)險等級和（或）風(fēng)險接受準則。

d)資源需求；

e)改進測量控制措施有效性的方式。

9.3.4評審程序

技術(shù)部根據(jù)信息安全管理體系運行情況和內(nèi)、外審的結(jié)果，針對評審輸入信息要求，制定《管理評審計劃》，送交總經(jīng)理批準后，通知相關(guān)職能部門準備及提供評審資料。

相關(guān)部門按《管理評審計劃》，準備相關(guān)的信息、資料，對信息安全管理體系文件的適宜性、充分性及有效性做出評價，提出改進措施。

最高管理者主持召開管理評審會議，并根據(jù)評審結(jié)果，做出管理評審結(jié)論性評價，對信息安全管理體系中存在主要問題確定糾正和預(yù)防措施責(zé)成有關(guān)部門落實整改。

管理評審應(yīng)形成《管理評審報告》，《管理評審報告》由管理者代表審核，最高管理者批準。

根據(jù)“管理評審報告”提出的要求，管理者代表組織各相關(guān)部門制定糾正、預(yù)防措施，并對實施情況進行協(xié)調(diào)、監(jiān)督、檢查。

10.改進

10.1不符合糾正措施

10.1.1技術(shù)部負責(zé)建立并實施《糾正預(yù)防措施控制程序》，采取糾正措施并糾正與信息安全管理體系要求不符合的原因，以防止再發(fā)生。

10.1.2《糾正預(yù)防措施控制程序》應(yīng)規(guī)定以下方面的要求：

a)識別存在的不符合；

b)評審和確定不符合的原因；

c)評價確保不符合不再發(fā)生的措施要求；

d)確定和實施所需的糾正措施；

e)記錄所采取措施的結(jié)果；

f)評審所采取的糾正措施。

g)必要進對信息安全體系時行變更

h不符合的性質(zhì)和需要采取的后續(xù)措施。

i所有措施的結(jié)果

10.2持續(xù)改進

本公司制定和實施《糾正預(yù)防措施控制程序》《內(nèi)部審核管理程序》等文件，通過下列途徑持續(xù)改進信息安全管理體系的有效性：

a)通過信息安全管理體系方針的建立與實施，對持續(xù)改進做出正式的承諾；

b)通過建立信息安全管理體系目標明確改進的方向；

c)通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進的機會并予實施，詳見《內(nèi)部審核管理程序》；

d)通過數(shù)據(jù)分析不斷尋求改進的機會，并做出適當?shù)母倪M活動安排，詳見《糾正預(yù)防措施控制程序》；

e)通過實施糾正和預(yù)防措施實現(xiàn)改進，詳見《糾正預(yù)防措施控制程序》；

f)通過管理評審輸出的有關(guān)改進措施的實施實現(xiàn)改進。

附錄A

（規(guī)范性附錄）

信息安全管理組織結(jié)構(gòu)圖

信息安全委員會

（最高管理者）

信息安全內(nèi)審小組管理者代表

信息安全執(zhí)行代

表（各部門）

附錄B

（規(guī)范性附錄）

辦公室平面圖

附錄C

（規(guī)范性附錄）

信息安全管理職責(zé)明細表

部門/職位職責(zé)

信息安全管理委員會建立信息安全管理體系的策略。

負責(zé)信息安全方針和目標的建立。

負責(zé)分配信息安全的角色和相關(guān)職責(zé)。

負責(zé)公司信息安全組織結(jié)構(gòu)的批準。

負責(zé)信息安全管理體系管理者代表的任命。

確保信息安全管理體系內(nèi)部審核的實施。

定期對信息安全管理體系進行管理評審。

確保公司信息安全教育的落實。

決定接受風(fēng)險準則和風(fēng)險的可接受的等級。

為信息安全管理體系的建立、實施、運作、監(jiān)視保持和改進配備必要的資源。

管理者代表監(jiān)督信息安全管理體系的實施，監(jiān)控公司的信息安全情況，并定期向最高管理者

匯報。

向公司傳達實現(xiàn)信息安全目標、符合信息安全策略、法律責(zé)任的重要性以及持續(xù)

改進的需要。

負責(zé)信息安全管理體系內(nèi)審員的批準。

負責(zé)程序文件的審批，包括修改的審批。

確認信息管理手冊內(nèi)容，并負責(zé)后期工作的監(jiān)督。

審核批準內(nèi)部審核計劃，主持、監(jiān)督信息安全內(nèi)部審核，批復(fù)內(nèi)審報告。