ISO27001信息安全管理體系整套資料匯編

信息安全體條文件匯編1份管理手冊（10章）+35份程序文件（依照依據(jù)0B/'［22080―2016id11,0/1E（27001:2013標(biāo)準(zhǔn)編制）文件清單序號 文件名1 信息安全管理手冊2 信息安全-風(fēng)險管理程序3 信息安全-文件控制程序4 信息安全-記錄控制程序5 信息安全-糾正措施控制程序6 信息安全-預(yù)防措施控制程序7 信息安全-內(nèi)部審核管理程序8 信息安全-管理評審程序9 信息安全-信息分類管理程序10 信息安全-商業(yè)秘密管理程序11 信息安全-法律法規(guī)管理程序12 信息安全-知識產(chǎn)權(quán)管理程序13 信息安全-重要信息備份管理程序

14 信息安全-業(yè)務(wù)持續(xù)性管理程序15 信息安全-溝通協(xié)調(diào)管理程序16 信息安全-事件管理程序17 信息安全-獎懲管理程序18 信息安全-員工聘用管理程序19 信息安全-員工培訓(xùn)管理程序20 信息安全-員工離職管理程序21 信息安全-相關(guān)方管理程序22 信息安全-第三方服務(wù)管理程序

23 信息安全-安全區(qū)域管理程序24 信息安全-門禁系統(tǒng)管理程序25 信息安全-網(wǎng)絡(luò)設(shè)備安全配置管理程序

26 信息安全-計算機管理程序27 信息安全-電子郵件管理程序28 信息安全-惡意軟件管理程序29 信息安全-可移動介質(zhì)管理程序

30 信息安全-用戶訪問管理程序31 信息安全-信息處理設(shè)施安裝使用管理程序

32 信息安全-信息系統(tǒng)驗收管理程序33 信息安全-信息處理設(shè)施維護管理程序34 信息安全-變更管理程序35 信息安全-信息系統(tǒng)訪問與使用監(jiān)控管理程序

36 信息安全-軟件開發(fā)管理程序

深圳市XXXXX科技有限公司 文件編號 18M8~A~01文件版本 文件版本 V1，0密級 秘密信息安全管理手冊（依據(jù)68/122080~20161（1t180/16627001：2013標(biāo)準(zhǔn)編制）編 號：18M8~A~01版本號：V1，0編制： 日期：2021~8~3審核： 日期：2021~8~3批準(zhǔn)： 日期：2021~8~3受控狀態(tài)第1頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密修訂記錄版本編寫人審核人批準(zhǔn)人修訂日期 修訂說明V1.0 2021-8-3 創(chuàng)建第2頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密目錄1概述................................................................................................................................................................51.1頒布令.......................................................................................................................................................51.2任命書.......................................................................................................................................................61.3手冊說明...................................................................................................................................................71.3.1總則........................................................................................................................................................71.3.信息安全管理手冊的批準(zhǔn)...............................................................................................................71.3.3信息安全管理手冊的發(fā)放、作廢與銷毀............................................................................................71.3.4信息安全管理手冊的修改....................................................................................................................71.3.5信息安全管理手冊的換版....................................................................................................................81.3.6信息安全管理手冊的控制....................................................................................................................82規(guī)范性引用文件............................................................................................................................................93術(shù)語和定義....................................................................................................................................................94組織環(huán)境........................................................................................................................................................94.1理解組織及其環(huán)境....................................................................................................................................94.2理解相關(guān)方的需求和期望........................................................................................................................94.3確定ISMS的范圍......................................................................................................................................94.4信息安全管理體系.................................................................................................................................104.4.1總則.....................................................................................................................................................104.4.2ISMS體系過程方法...........................................................................................................................105領(lǐng)導(dǎo)作用.....................................................................................................................................................115.1領(lǐng)導(dǎo)作用和承諾.....................................................................................................................................115.2ISMS管理方針.......................................................................................................................................115.3組織架構(gòu)、職責(zé)和權(quán)限.........................................................................................................................115.3.1ISMS管理體系組織架構(gòu)圖...............................................................................................................115.3.2ISMS管理職能分配...........................................................................................................................115.3.3職責(zé)和權(quán)限........................................................................................................................................126規(guī)劃.............................................................................................................................................................126.1風(fēng)險和機遇的應(yīng)對措施.........................................................................................................................127支持.............................................................................................................................................................137.1資源.........................................................................................................................................................137.1.1總則.....................................................................................................................................................137.1.2基礎(chǔ)設(shè)施.............................................................................................................................................137.1.3過程環(huán)境.............................................................................................................................................137.1.4監(jiān)視和測量設(shè)備.................................................................................................................................137.1.5知識.....................................................................................................................................................147.2能力.........................................................................................................................................................147.3意識.........................................................................................................................................................157.4溝通.........................................................................................................................................................157.5文件記錄信息.........................................................................................................................................15第3頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密7.5.1文件體系結(jié)構(gòu).....................................................................................................................................157.5.2文件控制.............................................................................................................................................177.5.3記錄控制.............................................................................................................................................178運行.............................................................................................................................................................188.1運行的策劃和控制.................................................................................................................................188.1.1ISMS運行總要求...............................................................................................................................188.2信息安全風(fēng)險評估.................................................................................................................................188.2.1風(fēng)險評估的方法.................................................................................................................................188.2.2識別風(fēng)險.............................................................................................................................................198.2.3分析和評價風(fēng)險.................................................................................................................................198.2.4識別和評價風(fēng)險處理的選擇.............................................................................................................198.3信息安全風(fēng)險處置.................................................................................................................................198.3.1相關(guān)文件.............................................................................................................................................209績效評價.....................................................................................................................................................209.1監(jiān)視、測量、分析和評價.....................................................................................................................209.2內(nèi)部審核.................................................................................................................................................209.3管理評審.................................................................................................................................................209.3.1總則.....................................................................................................................................................209.3.2評審輸入.............................................................................................................................................219.3.3評審輸出.............................................................................................................................................2110改進...........................................................................................................................................................2210.1不符合和糾正措施...............................................................................................................................2210.2持續(xù)改進...............................................................................................................................................2310.3糾正措施...............................................................................................................................................2410.4預(yù)防措施...............................................................................................................................................24附錄1-組織簡介...........................................................................................................................................25附錄2-組織架構(gòu)圖.......................................................................................................................................26附錄4-信息安全小組成員...........................................................................................................................30附錄5-服務(wù)器拓撲圖...................................................................................................................................30附錄6-信息安全職責(zé)說明...........................................................................................................................31第4頁共33頁深圳市XXXXX科技有限公司 文件編號 18M8~A~01文件版本 文件版本 V1，0密級 秘密1概述

1，1頒布令為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動的正常進行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失，我公司開展貫徹68/122080~20161（1t180/16627001：2013《信息安全管理體系要求》標(biāo)準(zhǔn)工作，建立、實施和持續(xù)改進文件化的信息安全管理體系，制訂了深圳市XXX科技有限公司《信息安全管理手冊》?！缎畔踩芾硎謨浴方?jīng)評審后，現(xiàn)予以批準(zhǔn)發(fā)布?！缎畔踩芾硎謨浴返陌l(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊》所描述的規(guī)定，不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的自助服務(wù)終端軟硬件的研發(fā)及運行維護服務(wù)，以確立公司在社會上的良好信譽?！缎畔踩芾硎謨浴肥枪疽?guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客提供服務(wù)過程必須遵循的行動準(zhǔn)則?！缎畔踩芾硎謨浴芬唤?jīng)發(fā)布，就是強制性文件，全體員工必須認真學(xué)習(xí)、切實執(zhí)行。深圳市XXX科技有限公司總經(jīng)理:2021~8~3第5頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1?0密級 秘密1?2任命書任命書為貫徹執(zhí)行（；8/T22080-2016id1IS0/IEC27001:2013《信息安全管理體系要求》，加強對信息管理體系運行的領(lǐng)導(dǎo)，特任命***為公司管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1）確保按照標(biāo)準(zhǔn)的要求，進行資產(chǎn)識別和風(fēng)險評估，全面建立、實施和保持信息安全管理體系；

2）負責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3）確保在整個組織內(nèi)提高信息安全風(fēng)險的意識；4）審核風(fēng)險評估報告、風(fēng)險處理計劃；5）批準(zhǔn)發(fā)布程序文件；6）主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報告；7）向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。本任命書自任命日起生效執(zhí)行。 深圳市XXX科技有限公司總經(jīng)理：2021-8-3第6頁共33頁深圳市XXXXX科技有限公司 文件編號 18M8~A~01文件版本 文件版本 V1，0密級 秘密1，3手冊說明1，3，1總則《信息安全管理手冊》的編制，是用以證明已建立并實施了一個完整的文件化的信息安全管理體系。通過對各項業(yè)務(wù)進行風(fēng)險評估，識別出公司的關(guān)鍵資產(chǎn)，并根據(jù)資產(chǎn)的不同級別風(fēng)險采取與之相對應(yīng)的處理措施?！缎畔踩芾硎謨浴窞閷徍诵畔踩芾眢w系提供了文件依據(jù)。

《信息安全管理手冊》證明公司已經(jīng)按照68/122080~20161(1t180/16627001：201標(biāo)準(zhǔn)的要求建立并實際運行一套信息安全管理體系?！缎畔踩芾硎謨浴返木幹萍邦C布可以對公司信息安全管理各項活動進行控制，指導(dǎo)公司開展各項業(yè)務(wù)活動，并通過不斷的持續(xù)改進來完善信息安全管理體系。1，3，信息安全管理手冊的批準(zhǔn)

管理者代表負責(zé)組織信息安全小組編制《信息安全管理手冊》及其相關(guān)規(guī)章制度，總經(jīng)理負責(zé)批準(zhǔn)。

1，3，3信息安全管理手冊的發(fā)放、作廢與銷毀（1）綜合管理部負責(zé)按《文件控制程序》的要求，進行《信息安全管理手冊》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。（2）各相關(guān)部門按照受控文件的管理要求對收到的《信息安全管理手冊》進行使用和保管。（3）綜合管理部按照規(guī)定發(fā)放修改后的《信息安全管理手冊》，并收回失效的文件做出標(biāo)識統(tǒng)一處理，確保有效文件的唯一性。（4）綜合管理部保留《信息安全管理手冊》修改內(nèi)容的記錄。

1，3，4信息安全管理手冊的修改《信息安全管理手冊》如根據(jù)實際情況發(fā)生變化時，應(yīng)用信息安全體系相關(guān)部門提出申請，經(jīng)綜合管理部討論、商議，信息安全代表審核、總經(jīng)理批準(zhǔn)后方可進行修改。為保證修改后的手冊能夠及時發(fā)放給相關(guān)人員，綜合管理部對手冊實施修改后，應(yīng)及時發(fā)布修改信息，通知相關(guān)人員?！缎畔踩芾硎謨浴返男薷姆譃閮煞N:第7頁共33頁深圳市XXXXX科技有限公司 文件編號 18M8~A~01文件版本 文件版本 V1，0密級 秘密一是少量的文字性修改。此種修改不改變手冊的版本號，只需在本手冊的“文檔修改記錄”如實記錄即可，不需保存手冊修改前的文檔原件。二是大范圍的信息安全管理體系版本升級，即改版。在本手冊經(jīng)過多次修改、信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下，需要對本手冊進行改版。本手冊的改版應(yīng)該對改版前的《信息安全管理手冊》原件進行保存。在出現(xiàn)下列情況時，《信息安全管理手冊》可以進行修改：?信息安全管理體系運行過程中發(fā)現(xiàn)問題或信息安全管理體系需進一步改進?內(nèi)部信息安全提出新的需求?組織機構(gòu)和職能發(fā)生變化?經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整?發(fā)現(xiàn)本手冊中存在差錯或不明確之處?引用的法規(guī)或體系標(biāo)準(zhǔn)有修改?體系審核或管理評審提出改進要求?本手冊的更改控制按《文件管理程序》執(zhí)行1，3，5信息安全管理手冊的換版

《信息安全管理手冊》進行換版，換版應(yīng)在管理評審時形成決議，重新編制、審批工作。?當(dāng)依據(jù)68/122080~20161(1t180/16627001：信20息1安3全管理體系有重大變化時，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險等發(fā)生重大改變的。?相應(yīng)的法律法規(guī)發(fā)生重大變化時，如國家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生改變的。?《信息安全管理手冊》發(fā)生需修改部分超1/時。

?《信息安全管理手冊》執(zhí)行已滿三年時。1，3，6信息安全管理手冊的控制第8頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1?0密級 秘密（1）《信息安全管理手冊》標(biāo)識分受控文件和非受控文件：?受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負責(zé)人、審計部或者內(nèi)審員。?非受控文件印制成單行本，作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。

（2）《信息安全管理手冊》分為書面文件和電子文件兩種。2規(guī)范性引用文件（；8/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求；

（；8/T22081-2016信息安全管理實用規(guī)則；與公司運營相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。3術(shù)語和定義本手冊采用（；8/T22080-2016idtIS0/IEC27001:2013標(biāo)準(zhǔn)的術(shù)語和定義，并根據(jù)需要在相應(yīng)章節(jié)所描述的要求中，增補了所涉及的術(shù)語和定義

本手冊出現(xiàn)的術(shù)語“產(chǎn)品"指的是公司提供的產(chǎn)品和服務(wù)；

ISMS-I11tegratedMa11age!1e11tSyste!1的縮寫，代表“信息安全管理體系"；4組織環(huán)境4?1理解組織及其環(huán)境

公司定期識別和信息安全管理目標(biāo)相關(guān)，并影響實現(xiàn)信息安全管理預(yù)期結(jié)果的內(nèi)外部問題。

4?2理解相關(guān)方的需求和期望本公司確定：a）與ISMS有關(guān)的相關(guān)方；b）這些相關(guān)方與信息安全有關(guān)的要求。4?3確定ISMS的范圍應(yīng)用范圍：第9頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密本《信息安全管理手冊》規(guī)定了〈深圳市XXX科技有限公司>信息安全管理體系涉及的開發(fā)和維護信息安全管理、職責(zé)管理、內(nèi)部審核、管理評審和信息安全管理體系持續(xù)改進等方面內(nèi)容。產(chǎn)品和服務(wù)范圍：與計算機應(yīng)用軟件的設(shè)計、開發(fā)及售后服務(wù)相關(guān)的信息安全管理活動區(qū)域范圍：*****************組織機構(gòu)范圍：管理層、技術(shù)部、銷售部、綜合管理部

4.4信息安全管理體系4.4.1總則為了建立、實施、運行、監(jiān)視、評審、持續(xù)改進信息管理管理體系，提高全員的信息安全意識，對信息安全風(fēng)險進行有效管理，使全公司貫徹落實安全方針和各項安全措施，保護用戶信息和資料，保證的信息資產(chǎn)免遭破壞，降低可能影響到信息安全的各種風(fēng)險，防止安全事故的發(fā)生。同時確保全體員工理解并遵守執(zhí)行信息安全管理體系文件，持續(xù)改進信息安全管理體系的有效性，樹立公司良好的服務(wù)形象，增強用戶對公司的技術(shù)和管理水平的信心，保證公司業(yè)務(wù)可持續(xù)開展，特制定本《信息安全管理手冊》。4.4.2ISM體系過程方法第10頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾

總經(jīng)理領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職責(zé)和作用。制定信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。向公司傳達滿足信息安全目標(biāo)以及信息安全方針，以及法律責(zé)任和持續(xù)改進的重要性。

提供足夠的資源建立、實施、運行、監(jiān)控、評審、為何和改進ISMS；決定可接受風(fēng)險的標(biāo)準(zhǔn)和可接受風(fēng)險的等級；

確保按照標(biāo)準(zhǔn)嚴格執(zhí)行ISMS內(nèi)部審核并進行管理評審。5.2ISMS管理方針一、信息安全管理方針為了滿足適用法律法規(guī)及相關(guān)方要求，維ISM范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：

滿足客戶要求，保障信息安全，遵守法律法規(guī)，持續(xù)改進管理。二、信息安全管理目標(biāo)1.針對客戶信息安全事件的投訴每年不超次2.重要信息設(shè)備丟失每年不超起3.機密和絕密信息泄漏事件每年不超次三、信息安全管理適用范圍

本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。

5.3組織架構(gòu)、職責(zé)和權(quán)限5.3.1ISMS管理體系組織架構(gòu)圖附2-組織架構(gòu)圖

5.3.2ISMS理職能分配見附3-職能分配表第11頁共33頁深圳市乂乂乂乂乂科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1?0密級 秘密5?3?3職責(zé)和權(quán)限

見附8-信息安全職責(zé)說明6規(guī)劃6?1風(fēng)險和機遇的應(yīng)對措施信息安全小組組織有關(guān)部門根據(jù)風(fēng)險評估結(jié)果，形成《風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、處理方法及完成時間。對于信息安全風(fēng)險和給予，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當(dāng)?shù)拇胧嚎刂骑L(fēng)險，采用適當(dāng)?shù)膬?nèi)部控制措施。接受風(fēng)險（不可能將所有風(fēng)險降低為零）；避免風(fēng)險（如物理隔離）；轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）。6?2信息安全目標(biāo)及其實現(xiàn)規(guī)劃

6?2?1公司在相關(guān)職能、層次和信息安全管理體系所需的過程建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：

。）與信息安全方針保持一致

b）可測量；c）考慮適用的要求，以及風(fēng)險評估和風(fēng)險處置的結(jié)果；

d）得到溝通；e）適時更新。

組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化信息。6?2?2在策劃信息安全目標(biāo)的實現(xiàn)時，公司確定：

。）采取的措施；b）所需的資源（見7?1）；c）責(zé)任人；d）完成的時間表；第12頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密e）如何評價結(jié)果。7支持7.1資源

7.1.1總則總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實施、保持和改進ISMS管理體系所需的資源，應(yīng)考慮現(xiàn)有的資源、能力、局限；7.1.2基礎(chǔ)設(shè)施組織應(yīng)識別、提供并保持實現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施，這些設(shè)施包括：工作場所相應(yīng)的設(shè)施（辦公電腦、服務(wù)器、軟硬件、機房等）；服務(wù)過程設(shè)備，如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)（軟件）等；維修保養(yǎng)和保障設(shè)施（各種輔助設(shè)施、安全防護設(shè)施等）；支持性服務(wù)，如運輸、通訊信息系統(tǒng)等。

7.1.3過程環(huán)境公司各部門應(yīng)識別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素，并對其加以有效的控制，保證提供產(chǎn)品/服務(wù)過程中的人員、財產(chǎn)安全。過程環(huán)境可包括物理的、社會的、心理的和環(huán)境的因素。

7.1.4監(jiān)視和測量設(shè)備對照國際或國家的測量標(biāo)準(zhǔn)，在規(guī)定的時間間隔或在使用前進行校準(zhǔn)和檢定，如果沒有上述標(biāo)準(zhǔn)的，應(yīng)記錄校準(zhǔn)或檢定（驗證）的依據(jù)，以確保下列設(shè)備處于正常狀態(tài)：開發(fā)用途的電腦設(shè)備；測試用途的電腦設(shè)備；開發(fā)用途的軟件；測試用途的軟件；集成項目使用的設(shè)備。處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征：第13頁共33頁深圳市乂乂乂乂乂科技有限公司 文件編號 ISMS-入-01文件版本 文件版本 V1.0密級 秘密設(shè)備的型號能夠符合預(yù)期的使用目的；無論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài)，設(shè)備均是正常的；設(shè)備得到周期性的養(yǎng)護和校正，并標(biāo)識其校準(zhǔn)狀態(tài)；必要時，各部門使用設(shè)備進行測量前，應(yīng)再次校準(zhǔn)設(shè)備；測試軟件應(yīng)確認其具有滿足預(yù)期用途的能力，初次使用前應(yīng)進行確認，必要時可以進行重新確認。當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時，應(yīng)對以往的測量結(jié)果進行有效性評價和記錄，并對受影響的產(chǎn)品采取適當(dāng)?shù)拇胧?。校?zhǔn)和檢定結(jié)果的記錄應(yīng)予保存。

7.1.5知識公司應(yīng)確保ISMS管理體系運行過程中，提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的知識。這些知識應(yīng)得到保持、保護、需要時便于獲取。在應(yīng)對變化的需求和趨勢時，組織應(yīng)考慮現(xiàn)有的知識基礎(chǔ)，確定如何獲取必需的更多知識。7.2能力公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗要求，安排人員，以確保影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要，能勝任其工作。對于人員的配置，公司人事行政部應(yīng)定崗定編并制定完善的崗位說明文件公司在《員工培訓(xùn)管理程序》中對在職培訓(xùn)、人員的意識的灌輸和工作能力的增長作了要求，以便：確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員（包含營銷、服務(wù)提供、質(zhì)量檢查、IT開發(fā)、顧客溝通、顧客信息反饋等）所必須的工作能力及培訓(xùn)需求提供培訓(xùn)或采取其他措施，以滿足所確定的需求并確保達成必須的能力對培訓(xùn)的有效性進行評價；確保員工能意識到他們工作的相關(guān)性和重要性，以及他們?nèi)绾螢檫_ISMS目標(biāo)做出努力；保存有關(guān)教育、經(jīng)驗、培訓(xùn)、資格的適當(dāng)?shù)挠涗浀?4頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密7.3意識

公司應(yīng)確保工作的人員意識到:ISMS管理方針；相關(guān)的信息安全目標(biāo)；他們對信息安全管理體系有效性的貢獻，包括改進績效的益處；

偏離信息安全管理體系要求的后果。7.4溝通管理者代表為信息安全溝通交流主管部門，負責(zé)內(nèi)、外部信息的交流與管理，及時將信息進行處理傳遞給有關(guān)部門。各部門負責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝通交流工作，收集與外部相關(guān)方的信息資料，并保存回復(fù)的證據(jù)。7.4.1內(nèi)部信息?信息安全方針、目標(biāo)及實施方案?資產(chǎn)識別與風(fēng)險評估?職責(zé)與權(quán)限的傳達與落實?培訓(xùn)教育的實施與效果?監(jiān)控與測量結(jié)果的反饋及法律、法規(guī)的符合情況

?不符合的糾正和預(yù)防措施的執(zhí)行情況?緊急狀態(tài)下的信息等7.4.2外部信息?信息安全方針通報相關(guān)方，對外宣傳；

?法律、法規(guī)的獲取與監(jiān)測及執(zhí)法部門的聯(lián)絡(luò)；

?監(jiān)控、檢測結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù)；?認證與監(jiān)督審核；

7.4.3管理者代表應(yīng)與相關(guān)方就影響他們的信息安全的變更進行協(xié)商。公司制定《信息安全溝通協(xié)調(diào)管理程序》規(guī)范信息安全溝通過程，必要時，保留信息交流相關(guān)證據(jù)。7.5文件記錄信息

7.5.1文件體系結(jié)構(gòu)第15頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密信息安全管理體系的文件由上而下分為四個層次，如下圖所示：信息安全管理體系文件包括：（1）管理手冊（信息安全手冊、信息安全策略）：規(guī)定信息安全管理體系的文件，是公司內(nèi)部的信息安全法規(guī)，闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu)和職責(zé)權(quán)限，同時描述了信息安全管理體系的主體文件（程序文件），是信息安全管理體系的綱領(lǐng)性文件。（2）程序文件：是信息安全手冊的支持性文件，規(guī)定了實施與信息安全管理體系有關(guān)的各項活動的途徑和方法，是各項活動得以有效實施的保障。與信息安全管理體系有關(guān)的各項活動必須按照程序文件規(guī)定實施，并定期對其進行評審，保持其有效性。（3）作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計劃等：是現(xiàn)場或崗位使用的詳細工作文件，是程序文件的支撐和補充性文件，是信息安全管理體系過程得以有效策劃、運行、控制所需要的文件，也是信息安全活動的基礎(chǔ)文件。（4）表單記錄：通過表單模板，對信息安全管理體系實施的一系列活動進行規(guī)范，形成記錄文件，用于作為管理評審、內(nèi)部審核、外部審核、持續(xù)改進的客觀證據(jù)。信息安全手冊、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、表單記錄等四層文件由信息安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。支持文件：第16頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密，《文件控制程序》

7.5.2文件控制綜合管理部組織編制《文件控制程序》，確保信息安全管理體系的文件在以下幾個方面得到控制：（1）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分與適宜的。（2）管理體系文件應(yīng)定期進行評審、修訂完善，并再次批準(zhǔn)以保持文件要求與實際運作的一致性，充分保障文件的有效性、充分性和適宜性。（3）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別。（4）確保在使用處可獲得適用文件的有關(guān)版本。（5）確保文件保持清晰、易于識別。（6）確保綜合管理部確定的體系所需的外來文件得到識別，并控制其分發(fā)。（7）防止作廢文件的非預(yù)期使用，若因任何原因而保留作廢文件時，對這些文件進行適當(dāng)?shù)臉?biāo)識。

（8）具體執(zhí)行按《文件控制程序》的規(guī)定，對文件的審核、批準(zhǔn)、發(fā)布、變更、修改、廢止等環(huán)節(jié)進行控制。

支持文件：，《文件控制程序》

7.5.3記錄控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運行的依據(jù)，對記錄的標(biāo)識、儲存、保護、檢索、保管、廢棄等事項進行了規(guī)定，各部門應(yīng)根據(jù)《記錄控制程序》的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?，具體記錄如下：（1）建立并保持記錄，以提供符合要求和信息安全管理體系有效運行的證據(jù)（2）保護并控制記錄。信息安全管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記錄應(yīng)保持合法，易于識別和檢索。

（3）編制形成文件的程序，以規(guī)定記錄的標(biāo)識、儲存、保護、檢索、保存期限和處置所需的控制。

（4）記錄的要求和管理：第17頁共33頁深圳市乂乂乂乂乂科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密?真實、完整、字跡清晰，可識別是何種產(chǎn)品或項目的何種活動。?填寫及時、禁止未經(jīng)許可的更改。?各部門應(yīng)對本部門的記錄自行歸檔保存，保存環(huán)境應(yīng)適宜，以防止記錄損壞、變質(zhì)和丟失，保管方式便于存取和檢索。?記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點、法規(guī)要求及合同要求來決定，見“記錄清單〃。?超過保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進行處置。支持文件：

●《記錄控制程序》8運行8.1運行的策劃和控制

公司規(guī)定了實現(xiàn)與計算機應(yīng)用軟件的設(shè)計、開發(fā)及售后服務(wù)所需的過程，這些過程與公司ISMS管理體系中的其他要求相一致并對其順序和相互作用予以確定。公司識別每一過程對滿足客戶服務(wù)要求的能力的影響，并確保營運活動中每個質(zhì)量特性都受到有效控制。8.1.1ISMS運行總要求

●實現(xiàn)過程的策劃中應(yīng)明確：●質(zhì)量目標(biāo)和要求；●明確各崗位的信息安全職責(zé)；●服務(wù)標(biāo)準(zhǔn)

●明確過程控制的準(zhǔn)則和方法，制定必要的作業(yè)指導(dǎo)文件，為產(chǎn)品和服務(wù)實現(xiàn)提供資源和設(shè)施，保證其所需的工作環(huán)境；

●保留服務(wù)過程提供及過程測量和檢查結(jié)果的記錄。經(jīng)識別公司沒有外包過程。對于公司的服務(wù)商，綜合管理部按照《第三方服務(wù)管理程序》進行管理。8.2信息安全風(fēng)險評估

8.2.1風(fēng)險評估的方法第18頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密信息安全小組負責(zé)組織編制《信息安全風(fēng)險管理程序》，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險評估方法，在決定風(fēng)險的可接受范圍內(nèi)，采取適當(dāng)?shù)娘L(fēng)險控制措施。8.2.2識別風(fēng)險在信息安全管理體系范圍內(nèi)，對所有信息資產(chǎn)進行識別評價，識別資產(chǎn)面臨的威脅以及脆弱性、識別保密性完整性和可用性對資產(chǎn)造成的影響程度、識別資產(chǎn)面臨的風(fēng)險，并通過這些項目的風(fēng)險標(biāo)識推算出對重要資產(chǎn)造成的影響。8.2.3分析和評價風(fēng)險針對每一項信息資產(chǎn)，識別出其面臨的所有威脅，并考慮現(xiàn)有的控制措施，識別出被該威脅可能利用的薄弱點。

針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判斷安全失效發(fā)生的可能性。

根據(jù)《信息安全風(fēng)險管理程序》計算風(fēng)險等級以及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。

8.2.4識別和評價風(fēng)險處理的選擇項目風(fēng)險的識別貫穿整個業(yè)務(wù)活動過程，明確哪些風(fēng)險可能影響項目造成影響、記錄這些風(fēng)險的各方面特征。在記錄風(fēng)險的基礎(chǔ)上對項目進行初步分析，依據(jù)影響對項目風(fēng)險進行優(yōu)先級排序。綜合管理部根據(jù)風(fēng)險評估的結(jié)果，形成《信息安全風(fēng)險評估表（含〈風(fēng)險處理計劃>）》，該計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、目的、范圍以及處理策略，具體措施如下：（1）適時適當(dāng)?shù)目刂拼胧?/p>

（2）規(guī)避風(fēng)險，采取有效的控制措施避免風(fēng)險的發(fā)生。（3）接受風(fēng)險，在一定程度上有意識、有目的地接受風(fēng)險。

（4）風(fēng)險轉(zhuǎn)移，轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面。

（5）消減風(fēng)險，通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險發(fā)生的可能性。8.3信息安全風(fēng)險處置

組織應(yīng)實施信息安全風(fēng)險處置計劃。保留信息安全風(fēng)險處置結(jié)果的文件記錄信息。第19頁共33頁深圳市乂乂乂乂乂科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密詳見《信息安全風(fēng)險管理程序》8.3.1相關(guān)文件，《信息安全風(fēng)險管理程序》9績效評價9.1監(jiān)視、測量、分析和評價為了保證服務(wù)的符合性及實施必要的改進，應(yīng)規(guī)定、策劃和實施所需的測量和監(jiān)視活動。在策劃時，應(yīng)確定統(tǒng)計技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視和測量的過程和措施包括：客戶滿意度測量、過程的監(jiān)視和測量、產(chǎn)品的監(jiān)視和測量綜合管理部應(yīng)組織相關(guān)部門，對質(zhì)量服務(wù)信息安全措施的績效和體系的有效性進行評價。綜合管理部應(yīng)與各部門協(xié)調(diào)，根據(jù)公司管理的實際需要，建立恰當(dāng)?shù)亩攘矿w系，以度量員工、項目組的工作業(yè)績。由綜合管理部組織實施監(jiān)視和測量，每年至少一次對對監(jiān)視和測量的結(jié)果進行分析和評價，由總經(jīng)理以及各部門經(jīng)理分析和評價這些結(jié)果，保留相關(guān)的監(jiān)視和測量證據(jù)。9.2內(nèi)部審核

公司應(yīng)按計劃的時間要求進行ISM內(nèi)部審核，以確定控制目標(biāo)、控制措施、過程和程序是否：符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求；符合確定的信息安全要求；

得到有效地實施和維護；按期望運行。內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。9.3管理評審9.3.1總則第20頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密為確保信息安全管理體系持續(xù)運行，具體如下：（1）管理者代表組織并編制《管理評審程序》，指導(dǎo)管理評審工作的執(zhí)行。（2）管理評審由最高管理者或其授權(quán)人員組織，每年至少一次。一般情況下，采取會議的形式，安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時，應(yīng)及時進行管理評審：?公司管理體系發(fā)生重大變化。?國家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。?外審之前。?其他認為需要評審時。

（3）各部門負責(zé)均需參加管理評審活動，需要時，由總經(jīng)理或其授權(quán)人員決定具體的參加人員。

（4）管理評審會議的決議事項以會議紀(jì)要形式體現(xiàn)，由各相關(guān)部門負責(zé)配合執(zhí)行，并對執(zhí)行狀況予以跟蹤評估。9.3.2評審輸入

在管理評審時，管理者代表應(yīng)組織各相關(guān)部門提供以下資料，以供評審：a）以往管理評審的措施的狀態(tài)；b）與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；

c）信息安全績效的反饋，包括下列方面的趨勢：1）不符合和糾正措施；

2）監(jiān)視和測量結(jié)果； 3）審核結(jié)果； 4）信息安全目標(biāo)的實現(xiàn)；d）相關(guān)方的反饋；e）風(fēng)險評估的結(jié)果和風(fēng)險處置計劃的狀態(tài)；

f）持續(xù)改進的機會。9.3.3評審輸出

按照信息安全管理與安全方針和目標(biāo)對上述信息進行全面的討論、評價、分析，管理評審輸出包括以下方面有關(guān)的任何決定和措施：

（1）信息安全管理體系有效性的改進，應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)第21頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密務(wù)需求的業(yè)務(wù)過程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險以及風(fēng)險接受等級等。（2）信息安全管理方針和目標(biāo)的修訂。（3）與相關(guān)方/第三方有關(guān)的改進措施等。（4）風(fēng)險的等級或可接受風(fēng)險的水平，更新風(fēng)險評估和風(fēng)險評估表等。（5）業(yè)務(wù)需求的變更。（6）安全需求的變更。（7）資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程；（8）法律法規(guī)的環(huán)境。（9）改進測量控制措施有效性的方式。（10）對現(xiàn)有信息安全管理體系的評價結(jié)論以及對現(xiàn)有服務(wù)是否符合要求的評價。以上內(nèi)容的詳細規(guī)定見《管理評審程序》。公司應(yīng)保留文件記錄作為管理評審結(jié)果的證據(jù)。10改進10.1不符合和糾正措施

當(dāng)發(fā)生不符合時，應(yīng)：●對不符合作出反應(yīng)，?采取措施控制并糾正不符合；?處理不符合造成的后果；

●評價消除不符合原因的措施的需求，通過采取以下措施防止不符合再次發(fā)生或在其他區(qū)域發(fā)生：?評審不符合；?確定不符合的原因；?確定類似不符合是否存在，或可能潛在發(fā)生●實施所需的措施；

●評審所采取糾正措施的有效性；

●必要時，對體系實施變更。第22頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密應(yīng)將以下信息形成文件：

●不符合的性質(zhì)及隨后采取的措施

●糾正措施的結(jié)果上述要求參見《糾正措施控制程序》。

10.2持續(xù)改進通過制定和改進管理方針和管理目標(biāo)、進行管理評審、進行內(nèi)部/外部審核、落實糾正與預(yù)防措施工作、對信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全管理體系的改進工作，必要時征求所有相關(guān)方對管理體系的意見，從而保證管理體系的持續(xù)有效性和運行效率。關(guān)注客戶的投訴、抱怨、記錄、評估服務(wù)改進建議，制定服務(wù)改進計劃，評估服務(wù)改進情況，確保各項服務(wù)改進措施均已落實執(zhí)行，并實現(xiàn)預(yù)期的目標(biāo)，從而改進完善服務(wù)過程，提升服務(wù)質(zhì)量，提高客戶的滿意度。規(guī)定各部門在持續(xù)改進活動中的角色和職責(zé)，并從服務(wù)過程的所有方面考慮服務(wù)改進要求。計劃通過以下途徑持續(xù)改進信息安全管理的有效性：

（1）通過信息安全管理體系方針的建立與實施，對持續(xù)改進做出正式的承諾。（2）通過信息安全管理體系目標(biāo)的建立與實施，對持續(xù)改進進行評價。

（3）通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進的機會并予以實施。

（4）通過數(shù)據(jù)分析不斷尋求改進的機會，并做出適當(dāng)?shù)母倪M活動安排。

（5）通過實施糾正和預(yù)防措施實現(xiàn)改進的活動。

（6）監(jiān)控安全事件并對事件進行分析。

（7）確定糾正措施和預(yù)防措施的有效性。

（8）根據(jù)管理評審的結(jié)果尋求改進體系的機會。

（9）根據(jù)客戶滿意度調(diào)查尋求改進體系的機會。支持文件：

●《糾正措施控制程序》●《預(yù)防措施控制程序》第23頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密，《內(nèi)部審核管理程序》

10.3糾正措施對于發(fā)現(xiàn)的不合格項，不僅要求責(zé)任人要糾正不合格行為，而且為了消除不合格項、與實施和運行信息安全管理體系有關(guān)的原因，人事行政部要求責(zé)任人應(yīng)該制定糾正措施，以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求：（1）識別實施和運行信息安全管理體系的不合格事件。（2）分析并確定不合格的原因。

（3）評價確保不合格不再發(fā)生的相關(guān)因素。

（4）確定和實施所需的糾正措施。

（5）檢查、驗證糾正措施的結(jié)果。

（6）評審所采取的糾正措施的有效性。支持文件：

，《糾正措施控制程序》，《預(yù)防措施控制程序》，《內(nèi)部審核管理程序》10.4預(yù)防措施

在信息安全管理體系運行的過程中，通過日常的過程控制、結(jié)果驗證、體系審核等方式發(fā)現(xiàn)的一些可能影響體系運行的、不受控制將會導(dǎo)致不合格產(chǎn)生的安全事件，應(yīng)該及時采取預(yù)防措施控制事態(tài)的進一步擴大。預(yù)防措施應(yīng)該滿足如下幾方面的要求（1）識別潛在的信息安全事件及其原因，并確定。（2）評價預(yù)防不合格發(fā)生的措施的需求。

（3）確定和實施所需的預(yù)防措施。（4）評價預(yù)防措施的有效性，并對所采取措施的結(jié)果進行記錄

（5）識別并控制重大的已變更的防線。支持文件：

，《糾正措施控制程序》，《預(yù)防措施控制程序》第24頁共33頁深圳市乂乂乂乂乂科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1?0密級 秘密附錄1-組織簡介深圳市乂乂乂科技有限公司是一家總部位于中國深圳的全方位IT及解決方案服務(wù)提供商。主要致力于航空領(lǐng)域，提供航空IT產(chǎn)品、IT服務(wù)及解決方案、航空教育的一體化專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系，不斷吸取各方先進技術(shù)與管理經(jīng)驗，打造了一支經(jīng)驗豐富的管理團隊。在堅持高品質(zhì)的產(chǎn)品質(zhì)量、雄厚的技術(shù)力量的支持下，研發(fā)了多項擁有自主知識產(chǎn)權(quán)的產(chǎn)品，同時具備了向市場提供綜合化服務(wù)的實力。我們的服務(wù)：公司一直堅持“滿足客戶的需求就是我們的追求的服務(wù)"宗旨，我們將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位IT服務(wù)，提升客戶的企業(yè)價值，提高客戶的市場競爭力。技術(shù)實力：公司擁有蓬勃向上，充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心，海外留學(xué)背景，多年IT研發(fā)、管理經(jīng)濟的高層管理團隊；經(jīng)驗豐富的研發(fā)團隊一為客戶提供專業(yè)的IT只是支持。發(fā)展戰(zhàn)略：提供自主研發(fā)的一流軟件和服務(wù)，持續(xù)為客戶創(chuàng)造最大價值核心價值觀公司理念：幫助客戶創(chuàng)造價值，幫助員工實現(xiàn)夢想誠信：最重要的無形資產(chǎn)，是我們贏得客戶信任的基礎(chǔ)

專注：建立核心競爭力的關(guān)鍵

創(chuàng)新：企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)第25頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密附錄2-組織架構(gòu)圖總經(jīng)理信息安全小組管理者代表銷售部綜合管理部第26頁共33頁技術(shù)部深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密附錄3-職能分配表管理單位信息安全小組體系要求4.組織環(huán)境總經(jīng)理管理者代表綜合管理部技術(shù)部銷售部4.1理解組織及其環(huán)境 左 山 左 左 左 左4.2理解相關(guān)方的需求和期望 左 山 左 左 左 左4.3明確信息安全管理體系的范圍 左 山 山 左 左 左4.4信息安全管理體系 左 左 山 左 左 左5領(lǐng)導(dǎo) 5.1領(lǐng)導(dǎo)和承諾 左 山 左 左 左 左5.2方針 左 山 左 左 左 左5.3組織角色、職責(zé)和權(quán)力 左 山 左 左 左 左6計劃6.1處置風(fēng)險和機遇 山 山 左 左左 左6.2信息安全目標(biāo)的計劃和實現(xiàn) 左 山 左 左 左 左7支持7.1資源 左 山 左 左 左 左7.27.2能力 左 左 左 山 左 左7.3意識 左 左 左 山 左 左7.4溝通 山 山 山 左 左 左7.5文檔要求 左 左 左 山左 左8實施 8.1運行計劃和控制 山 左 左 左 左 左8.2信息安全風(fēng)險評估 山 左 左 左 左 左8.3信息安全風(fēng)險處置 山 左 左 左 左 左9績效評價 9.1監(jiān)視、測量、分析和評價 山 左 左 左 左 左9.2內(nèi)部審核 山 左 左 左 左 左9.3管理評審 左 山 左 左 左 左10改進 10.1不符合項和糾正措施 左 山 左 左 左 左10.2持續(xù)改進 左 山 左 左 左 左第27頁共33頁深圳市XXXXX科技有限公司 文件編號 ISMS-A-01文件版本 文件版本 V1.0密級 秘密A.5信息安全策略 A.5.1信息安全管理指導(dǎo) 左 左 山 左 左 左A.6信息安全組織 A.6.1內(nèi)部組織 左 山 山 左 左 左A.6.2移動設(shè)備和遠程辦公 左 左 左 左 山 山A.7人力資源安全 A.7.1任用前 左 左 左 山 左 左A.7.2任用中 左 左 左 山 左 左A.7.3任用終止和變更 左 左 左 山 左 左A.8資產(chǎn)管理A.8.1資產(chǎn)的責(zé)任 左 左 左 山 山 山A.8.2信息分類 左 左 左山 左 左A.8.3介質(zhì)處理 左 左 左 山 山 山A.9訪問控制A.9.1訪問控制的業(yè)務(wù)需求 左 左 左 山 左 左A.9.2用戶訪問管理 左 左 左 山 左 左A.9.3用戶責(zé)任 左 左 左 山 左 左A.9.4系統(tǒng)和應(yīng)用訪問控制 左 左 左 山 左 左A.10加密技術(shù) A.10.1加密控制 左 左 左 山 左A.11物理和環(huán)境安全左A.11.1安全區(qū)域 左 左 左 山左左A.11.2設(shè)備安全 左 左 左 山 左 左A.12操作安全A.12.1操作程序及職責(zé) 左 左 左 山 左 左A.12.2防范惡意軟件 左 左 左 山 山 山A.12.3備份 左 左 左 山 山 山A.12