2022版ISO27001信息安全管理手冊

*********有限公司信息安全管理手冊ZX-ITSMS-2023*********有限公司信息安全管理體系文件管理手冊依據(jù)ISO/IEC27001:2022標(biāo)準(zhǔn)編制編號:ZX-ITSMS-2023受控狀態(tài)：受控編制:編制小組審核:***批準(zhǔn):***發(fā)布日期:2023年01月01日實施日期:2023年01月01日

TOC\o"1-2"\h\u138021概述 5313211.1頒布令 5238641.2范圍 621201.3授權(quán)書 680631.4手冊說明 757211.5公司簡介 9110682規(guī)范性引用文件 9131633術(shù)語和定義 9278503.1術(shù)語 960433.2縮寫 9277274組織環(huán)境 984284.1了解公司現(xiàn)狀及背景 952034.2理解相關(guān)方的需求和期望 10189684.3確定信息安全管理體系的范圍 10281104.4信息安全管理體系 1053215領(lǐng)導(dǎo)作用 1015235.1領(lǐng)導(dǎo)力和承諾 10273495.2信息安全管理體系的方針 1148655.3角色，責(zé)任和承諾 11220706策劃 12227476.1應(yīng)對風(fēng)險和機遇的措施 12117256.2信息安全目標(biāo)和實現(xiàn)目標(biāo)的規(guī)劃 1449306.3變更計劃 1513327.支持 1568737.1資源提供 15246197.2信息安全能力管理 15254427.3意識 16282617.4溝通 1694317.5文檔化信息 16314218運行 17200408.1運行計劃及控制 17207678.2信息安全風(fēng)險評估 1863098.3信息安全風(fēng)險處置 18145029績效評價 182199.1監(jiān)視、測量、分析和評價 18193919.2內(nèi)部審核 19276409.3管理評審 20161910改進 21336310.1持續(xù)改進 212515210.2不符合及糾正措施 219394附錄1組織架構(gòu)圖 2223728附錄2職能分配表 2310410附錄3信息安全職責(zé) 28手冊的更改序號修改內(nèi)容修改日期版本號修改人審核批準(zhǔn)1概述1.1頒布令經(jīng)公司全體員工的共同努力依據(jù)ISO/IEC27001:2022標(biāo)準(zhǔn)建立我公司信息安全管理體系已得到建立。指導(dǎo)管理體系運行的公司《信息安全管理手冊》經(jīng)評審后，現(xiàn)予以批準(zhǔn)發(fā)布?！缎畔踩芾硎謨浴返陌l(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊》所描述的規(guī)定，不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供服務(wù)，以確立公司在社會上的良好信譽。《信息安全管理手冊》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在產(chǎn)品產(chǎn)品及對客戶的服務(wù)過程中必須遵循的行動準(zhǔn)則?！缎畔踩芾硎謨浴芬唤?jīng)發(fā)布，就是強制性文件，全體員工必須認(rèn)真學(xué)習(xí)、切實執(zhí)行。本手冊2023年01月01日式實施?？偨?jīng)理：***2023年01月01日1.2范圍本總綱所描述信息安全管理體系適用于公司所有部門，所涉及業(yè)務(wù)范圍包括信息技術(shù)處理設(shè)施的管理運維服務(wù)、信息技術(shù)系統(tǒng)的開發(fā)、獲取和運行維護、人員的信息安全、數(shù)據(jù)的安全等在內(nèi)的各項信息安全管理相關(guān)活動。1.3授權(quán)書為貫徹執(zhí)行ISO/IEC27001:2022《信息安全管理體系》，加強對信息管理體系運行的領(lǐng)導(dǎo)，特授權(quán)：1、授權(quán)***為公司管理者代表，其主要職責(zé)和權(quán)限為：1）確保公司信息安全管理體系所需過程得到建立、實施、運行和保持。確保信息安全業(yè)務(wù)風(fēng)險得到有效控制。2）向最高管理者報告信息安全管理體系業(yè)績和任何改善需求，為最高管理者代表評審提供依據(jù)。3）確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識和信息安全風(fēng)險意識在公司內(nèi)得到形成和提高。4）在信息安全管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)。2、授權(quán)***為ISMS信息安全管理項目責(zé)任人，其主要職責(zé)和權(quán)限為：確保信息安全管理方的控制措施得到形成、實施、運行和控制。3、授權(quán)各部門主管為信息安全管理體系在本部門的責(zé)任人，對ISMS要求在本部門的實施負(fù)責(zé)?？偨?jīng)理：***2023年01月01日1.4手冊說明1.4.1總則《信息安全管理手冊》的編制，是用以證明已建立并實施了一個完整的文件化的信息安全管理體系。通過對各項業(yè)務(wù)進行風(fēng)險評估，識別出公司的關(guān)鍵資產(chǎn)，并根據(jù)資產(chǎn)的不同級別風(fēng)險采取與之相對應(yīng)的處理措施?！缎畔踩芾硎謨浴窞閷徍诵畔踩芾眢w系提供了文件依據(jù)?！缎畔踩芾硎謨浴纷C明公司已經(jīng)按照ISO/IEC27001：2022版標(biāo)準(zhǔn)的要求建立并實際運行一套信息安全管理體系?！缎畔踩芾硎謨浴返木幹萍邦C布可以對公司信息安全管理各項活動進行控制，指導(dǎo)公司開展各項業(yè)務(wù)活動，并通過不斷的持續(xù)改進來完善信息安全管理體系。1.4.2信息安全管理手冊的批準(zhǔn)綜合部負(fù)責(zé)組織編制《信息安全管理手冊》及其相關(guān)規(guī)章制度，總經(jīng)理負(fù)責(zé)批準(zhǔn)。1.4.3信息安全管理手冊的發(fā)放、作廢與銷毀綜合部負(fù)責(zé)按《文件管理程序》的要求，進行《信息安全管理手冊》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。各相關(guān)部門按照受控文件的管理要求對收到的《信息安全管理手冊》進行使用和保管。綜合部按照規(guī)定發(fā)放修改后的《信息安全管理手冊》，并收回失效的文件做出標(biāo)識統(tǒng)一處理，確保有效文件的唯一性。綜合部保留《信息安全管理手冊》修改內(nèi)容的記錄。1.4.4信息安全管理手冊的修改《信息安全管理手冊》如根據(jù)實際情況發(fā)生變化時，應(yīng)用信息安全體系相關(guān)部門提出申請，經(jīng)綜合部討論、商議，信息安全代表審核、總經(jīng)理批準(zhǔn)后方可進行修改。為保證修改后的手冊能夠及時發(fā)放給相關(guān)人員，綜合部對手冊實施修改后，應(yīng)及時發(fā)布修改信息，通知相關(guān)人員?！缎畔踩芾硎謨浴返男薷姆譃閮煞N：一是少量的文字性修改。此種修改不改變手冊的版本號，只需在本手冊的“文檔修改記錄”如實記錄即可，不需保存手冊修改前的文檔原件。二是大范圍的信息安全管理體系版本升級，即改版。在本手冊經(jīng)過多次修改、信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下，需要對本手冊進行改版。本手冊的改版應(yīng)該對改版前的《信息安全管理手冊》原件進行保存。在出現(xiàn)下列情況時，《信息安全管理手冊》可以進行修改：信息安全管理體系運行過程中發(fā)現(xiàn)問題或信息安全管理體系需進一步改進內(nèi)部信息安全提出新的需求組織機構(gòu)和職能發(fā)生變化經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整發(fā)現(xiàn)本手冊中存在差錯或不明確之處引用的法規(guī)或體系標(biāo)準(zhǔn)有修改體系審核或管理評審提出改進要求本手冊的更改控制按《文件管理程序》執(zhí)行1.4.5信息安全管理手冊的換版《信息安全管理手冊》進行換版，換版應(yīng)在管理評審時形成決議，重新試試編制、審批工作。當(dāng)依據(jù)的ISO/IEC27001：2022信息安全管理體系有重大變化時，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險等發(fā)生重大改變的。相應(yīng)的法律法規(guī)發(fā)生重大變化時，如國家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生改變的。《信息安全管理手冊》發(fā)生需修改部分超過1/3時?！缎畔踩芾硎謨浴穲?zhí)行已滿三年時。1.4.6信息安全管理手冊的控制《信息安全管理手冊》標(biāo)識分受控文件和非受控文件：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計部或者內(nèi)審員。非受控文件印制成單行本，作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員?！缎畔踩芾硎謨浴贩譃闀嫖募碗娮游募煞N。1.5公司簡介2規(guī)范性引用文件下列文件中的條款通過本《信息安全管理手冊》的引用而成為本《信息安全管理手冊》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全管理手冊》，然而，信息安全管理小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理手冊》。ISO/IEC27001:2022《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》ISO/IEC27002:2022《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》3術(shù)語和定義3.1術(shù)語ISO/IEC27000的術(shù)語和定義適用于本《信息安全管理手冊》。本組織、本公司、我公司：廣東悅伍紀(jì)網(wǎng)絡(luò)技術(shù)有限公司3.2縮寫ISMS：InformationSecurityManagementSystems信息安全管理體系；SOA:：StatementofApplicability適用性聲明；PDCA:：PlanDoCheckAction計劃、實施、檢查、改進。4組織環(huán)境4.1了解公司現(xiàn)狀及背景本公司根據(jù)內(nèi)外部環(huán)境因素，考慮公司的信息安全管理目的，這將作為公司實施信息安全管理體系的核心需求。4.2理解相關(guān)方的需求和期望本公司根據(jù)相關(guān)方提出的信息安全需求和期望，考慮建立信息安全管理體系，這些需求包括：法律法規(guī)、合同義務(wù)、地方規(guī)定等。相關(guān)方及期望主要以下：顧客-希望本公司提供的軟件產(chǎn)品與服務(wù)能滿足客戶需求，符合法規(guī)與合同要求；供應(yīng)商或服務(wù)商--對本公司提供產(chǎn)品或服務(wù)以支持本公司能夠安全有效持續(xù)運營；公司內(nèi)部管理層與各部門符合信息安全需求及監(jiān)督運作是否合乎程序，確保機密資料作業(yè)流程受到保護，各部門保正公司持續(xù)運營，公司信息數(shù)據(jù)不受外泄或損毀。4.3確定信息安全管理體系的范圍本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：業(yè)務(wù)范圍：與軟件開發(fā)及計算機信息系統(tǒng)集成相關(guān)的信息安全管理活動。組織范圍：全公司上下各部門與業(yè)務(wù)有直接相關(guān)的正式員工。物理范圍：。資產(chǎn)范圍：與a)所述業(yè)務(wù)活動b)組織范圍內(nèi)及c)物理環(huán)境內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段《信息安全管理手冊》采用了ISO/IEC27001:2022準(zhǔn)正文的全部內(nèi)容，對附錄A的刪減及理由詳見《信息安全適用性聲明SOA》；4.4信息安全管理體系本公司的信息安全管理體系按照ISO/IEC27001:2022《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照ISO/IEC27002:2022《信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則》標(biāo)準(zhǔn)建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)力和承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)：建立信息安全方針(見《信息安全方針》)；確保信息安全目標(biāo)和計劃得以制定（見《信息安全目標(biāo)》及相關(guān)記錄）；提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系(見本手冊第7.1章)；建立信息安全的角色和職責(zé)(見本手冊附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的管理程序；向組織傳達滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性；實施信息安全管理體系管理評審，確信安管系達其期效（見本手冊第9章）；指和持工息安管體作有的貢;確保內(nèi)部信息安全管理體系審核得以實施，促持改進（見本手冊第9章）；支其相管色來示己領(lǐng)力因為適于們職范圍。5.2信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：滿足客戶要求，遵守法律法規(guī)，實施風(fēng)險管理，確保信息安全，實現(xiàn)持續(xù)改進。5.3角色，責(zé)任和承諾5.3.1信息安全組織機構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機構(gòu)——信息安全管理小組，職責(zé)是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項；審定公司信息安全方針、目標(biāo)、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實信息安全工作計劃，對單位、部門信息安全工作進行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：確保安全活動的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準(zhǔn)信息安全的方法和過程，如風(fēng)險評估、信息分類；識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；評估信息安全控制措施實施的充分性和協(xié)調(diào)性；有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當(dāng)?shù)拇胧?.3.2信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者。總經(jīng)理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責(zé)如何，對信息安全負(fù)有以下職責(zé)：建立并實施信息安全管理體系必要的程序并維持其有效運行；對信息安全管理體系的運行情況和必要的改善措施向信息安全管理小組或最高責(zé)任者報告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。各部門、人員有關(guān)信息安全職責(zé)分配見附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的程序文件（管理標(biāo)準(zhǔn)）、規(guī)定及崗位說明書。5.3.3承諾為實現(xiàn)信息安全管理體系方針，本公司承諾：在公司內(nèi)各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全方針、安全目標(biāo)和控制措施，明確信息安全的管理職責(zé)；識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和能力；制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。6策劃6.1應(yīng)對風(fēng)險和機遇的措施6.1.1總則公司制定《應(yīng)對風(fēng)險和機遇措施控制程序》，在規(guī)劃信息安全管理體系時，應(yīng)考慮4.1中提到的問題和4.2中提到的要求，并確定需要解決的風(fēng)險和機會，以：A)確保信息安全管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果;B)防止或減少不良影響;c)實現(xiàn)持續(xù)改進。組織應(yīng)規(guī)劃:D)應(yīng)對這些風(fēng)險和機遇的措施;和E)如何1)整合和實施這些措施并將其納入信息安全管理體系過程2)評估這些行動的有效性。6.1.2信息安全風(fēng)險評估組織應(yīng)定義并應(yīng)用以下信息安全風(fēng)險評估過程:A)建立并維護信息安全風(fēng)險標(biāo)準(zhǔn)，包括:1)風(fēng)險接受準(zhǔn)則;和2)執(zhí)行信息安全風(fēng)險評估的準(zhǔn)則；B)確保重復(fù)的信息安全風(fēng)險評估產(chǎn)生一致、有效和可比較的結(jié)果;C)識別信息安全風(fēng)險:1)應(yīng)用信息安全風(fēng)險評估流程，識別與信息安全管理體系范圍內(nèi)信息的保密性、完整性和可用性喪失相關(guān)的風(fēng)險;而且2)識別風(fēng)險所有者;D)分析信息安全風(fēng)險:1)評估6.1.2c)1)中確定的風(fēng)險成為現(xiàn)實將會產(chǎn)生的潛在后果;2)評估6.1.2c)1)中確定的風(fēng)險發(fā)生的現(xiàn)實可能性;而且3)確定風(fēng)險級別;E)評估信息安全風(fēng)險:1)將風(fēng)險分析結(jié)果與6.1.2a)中建立的風(fēng)險標(biāo)準(zhǔn)進行比較;而且2)將分析的風(fēng)險按優(yōu)先順序進行風(fēng)險處理。公司定義并應(yīng)用風(fēng)險評估過程，組織應(yīng)保留有關(guān)信息安全風(fēng)險評估過程的文件化信息。6.1.3風(fēng)險處置信息安全管理領(lǐng)導(dǎo)小組應(yīng)定義和實施信息安全風(fēng)險處置過程：A)根據(jù)風(fēng)險評估結(jié)果，選擇適當(dāng)?shù)男畔踩L(fēng)險處理方案;B)確定實施所選信息安全風(fēng)險處理方案所需的所有控制措施;注1:組織可以根據(jù)需要設(shè)計控制措施，或從任何來源識別控制。c)將上述b)中確定的控制與附件A中的控制進行比較，并確認(rèn)沒有遺漏必要的控制措施;注2:附件A包含可能的信息安全控制的列表。本文件的使用者請參閱附件A，以確保沒有必要的信息安全控制被忽略。注3:附件A所列的信息安全控制并非詳盡無遺和附加信息如果需要，可以包括安全控制。6.2信息安全目標(biāo)和實現(xiàn)目標(biāo)的規(guī)劃公司在相關(guān)職能和級別建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng):A)符合信息安全政策;B)可測量的(如果可行);C)考慮適用的信息安全要求，以及風(fēng)險評估和風(fēng)險處理的結(jié)果;d)被監(jiān)控;e)溝通傳達;F)適當(dāng)更新;G)作為文件信息提供。公司保留關(guān)于信息安全目標(biāo)的文件化信息。公司在規(guī)劃如何實現(xiàn)其信息安全目標(biāo)時，應(yīng)確定:H)將要做什么;I)需要什么資源;J)誰將負(fù)責(zé);K)何時完成;而且L)如何評價結(jié)果。目標(biāo):根據(jù)公司的信息安全方針，經(jīng)過最高管理者確認(rèn)，公司的信息安全管理目標(biāo)為：1.客戶針對信息安全事件的投訴每年不超過1次2.重要信息設(shè)備丟失每年不超過1起3.機密和絕密信息泄漏事件每年不超過1次4.大規(guī)模病毒爆發(fā)每年不超過1次信息安全管理小組根據(jù)《適用性聲明》、《信息資產(chǎn)風(fēng)險評估表》中風(fēng)險處理計劃所選擇的控制措施，明確控制措施改進時間表。對于各部門信息安全目標(biāo)的完成情況，按照《信息安全目標(biāo)及有效性測量程序》的要求，周期性在主責(zé)部門對各控制措施的目標(biāo)進行測量，并記錄測量的結(jié)果。通過定期的內(nèi)審、控制措施目標(biāo)測量及管理評審活動評價公司信息安全目標(biāo)的完成情況。6.3變更計劃6.3.1變更時機的確定本公司應(yīng)特別關(guān)注外部情況的動態(tài)變化，包括技術(shù)、市場、競爭或法律法規(guī)環(huán)境發(fā)生重大變化的征兆或早期跡象。當(dāng)外部環(huán)境（包括：國家/行業(yè)/地方/法律法規(guī)、技術(shù)、競爭、文化、社會、經(jīng)濟和自然環(huán)境方面等）和內(nèi)部環(huán)境發(fā)生重大變化時，本公司應(yīng)對變更進行策劃，對變更前、變更中、變更后全過程加以控制。6.3.2變更的實施當(dāng)本公司確定需要對信息安全管理體系進行變更時，變更應(yīng)按所策劃的方式實施，組織應(yīng)考慮：a）變更目的及其潛在后果（變更可能帶來好的結(jié)果，也可能帶來風(fēng)險和挑戰(zhàn)，進行變更策劃時應(yīng)充分考慮）；b）信息安全管理體系的完整性（如工藝發(fā)生變更后，工藝文件要發(fā)生變更，對工人也需培訓(xùn)新的工藝文件，這些均需充分考慮，以保持體系完整）；c）資源的可獲得性（體系變更后，關(guān)鍵是資源能否滿足動態(tài)的要求）；d）職責(zé)和權(quán)限的分配或再分配。7.支持7.1資源提供公司領(lǐng)導(dǎo)層應(yīng)確保提供以下方面所需的資源：1)實施、保持管理體系并持續(xù)改進其有效性所需的各種資源；2)滿足客戶要求，提高客戶滿意度所需的各種資源。編制了《人力資源控制程序》，公司根據(jù)人員的學(xué)歷、技能和經(jīng)驗，組織面向全員的信息安全意識培訓(xùn)及面向特定人員的專業(yè)IT技能培訓(xùn)，確保其能勝任工作。7.2信息安全能力管理結(jié)合當(dāng)前信息安全管理認(rèn)證范圍，依據(jù)《人力資源控制程序》對員工信息安全能力管理主要從以下幾方面出發(fā)來實現(xiàn)：1)影響信息安全執(zhí)行工作的人員崗位,在崗位設(shè)立時應(yīng)明確信息安全能力的要求,并在招聘時嚴(yán)格把關(guān)(例如學(xué)歷教育、能力測試等)；2)確保人員在適當(dāng)教育、培訓(xùn)和經(jīng)驗的基礎(chǔ)上能夠勝任工作；在人員調(diào)崗時,應(yīng)考慮相關(guān)人員信息安全能力的確定和培養(yǎng)。3)保留培訓(xùn)記錄作為能力培養(yǎng)的證據(jù)。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)信息安全管理體系目標(biāo)做出貢獻。7.3意識對公司全體人員通過培訓(xùn)、學(xué)習(xí)、宣傳等方式提高人員信息安全意識，需了解到：a)信息安全方針;b)他們對信息安全管理體系有效性的貢獻，包括提高信息安全績效的收益;c）不符合信息安全管理體系要求所帶來的影響，。7.4溝通公司需通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部和外部在信息安全要求進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等，溝通方式在《信息安全溝通管理程序》進行規(guī)定。7.5文檔化信息7.5.1總則本公司信息安全管理體系文件包括：文件化的信息安全方針，在《信息安全管理手冊》中描述,選擇的控制目標(biāo)在《適用性聲明SOA》中描述；《信息安全管理手冊》（本手冊，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；ISO/IEC27001:2022準(zhǔn)中規(guī)定需文件化的程序；本手冊涉及的相關(guān)支持性程序性文件，例如《風(fēng)險評估與管理程序》；為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；《風(fēng)險處理計劃》以及信息安全管理體系要求的記錄類；相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；《適用性聲明SOA》。7.5.2創(chuàng)建和更新信息安全管理小組按《文件控制程序》的要求，對信息安全管理體系所要求的文件進行管理。對《信息安全管理手冊》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等工作實施控制，以確保在使用場所能夠及時獲得適用文件的有效版本。文件的創(chuàng)建和更新應(yīng)確保：識別或描述文件時需包含標(biāo)題、日期、作者、編號等文件格式可以是表、單、卡、臺帳、記錄本、報告、紀(jì)要、證、圖等多種適用的形式，可以是書面的或電子媒體的。文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時對文件進行評審、更新并再次批準(zhǔn)；7.5.3文檔化信息的控制文件控制應(yīng)保證：確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；確保在使用時，可獲得相關(guān)文件的最新版本；確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行標(biāo)識、保護、檢索、轉(zhuǎn)移、存儲和最終的銷毀；確保外來文件得到識別；確保文件的分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的需保留作廢文件時，應(yīng)對其進行適當(dāng)?shù)臉?biāo)識。7.5.3.1外來文件管理外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：信息安全適用的法律法規(guī)按照《信息安全法律法規(guī)管理程序》規(guī)定執(zhí)行；外來的文件按照《文件控制程序》和其他相關(guān)規(guī)定執(zhí)行；外來標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理的相關(guān)規(guī)定進行。8運行8.1運行計劃及控制為確保信息安全管理體系有效實施，對已識別的風(fēng)險進行有效處理，本公司開展以下活動：形成《信息安全風(fēng)險處理計劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級；為實現(xiàn)已確定的安全目標(biāo)、實施《信息安全風(fēng)險處理計劃》，明確各崗位的信息安全職責(zé)；實施所選擇的控制措施，以實現(xiàn)控制目標(biāo)的要求；確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；對運行過程中發(fā)生的非計劃的變更進行規(guī)劃，以減輕不良的影響。8.2信息安全風(fēng)險評估信息安全管理小組每年應(yīng)組織對信息安全風(fēng)險重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的風(fēng)險及是否需要增加新的控制措施。信息安全管理小組組織有關(guān)部門按照《信風(fēng)險評估與管理程序》的要求，對風(fēng)險處理后的殘余風(fēng)險進行定期評審，以驗證殘余風(fēng)險是否達到可接受的水平，對以下方面變更情況應(yīng)及時進行風(fēng)險評估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過程；已識別的威脅；實施控制的有效性；外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。8.3信息安全風(fēng)險處置公司需保留信息安全風(fēng)險處理計劃的執(zhí)行結(jié)果的文檔化的記錄。9績效評價9.1監(jiān)視、測量、分析和評價本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全管理體系的事故和隱患；及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；使管理者確認(rèn)人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；積累信息安全方面的經(jīng)驗。9.2內(nèi)部審核9.2.1總則要求本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實施信息安全管理體系內(nèi)部審核以及報告結(jié)果和保持記錄?；顒颖竟久磕赀M行壹次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識別的信息安全要求；得到有效地實施和維護；按預(yù)期執(zhí)行。9.2.2內(nèi)審策劃信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對審核工作進行策劃。應(yīng)編制《年度內(nèi)審計劃》，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作?！秲?nèi)部審核計劃》，經(jīng)管理者代表批準(zhǔn)，提前3天通知被審核部門，被審核部門到時應(yīng)選派有關(guān)人員配合審核。9.2.3內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責(zé)任，以保持工作的獨立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫《內(nèi)部審核員評定表》，經(jīng)管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。9.2.4內(nèi)審實施活動應(yīng)按審核計劃的要求實施審核，包括：進行首次會議，明確審核的目的和范圍，采用的方法和程序；實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流，填寫審核發(fā)現(xiàn)；對檢查內(nèi)容進行分析，對審核發(fā)現(xiàn)的問題在《不符合項報告及糾正報告單》中開出不符合項；審核組長編制《內(nèi)部審核報告》。不符合處理對審核中提出的不符合項，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理小組對糾正措施的實施情況進行跟蹤、驗證，將結(jié)果記入《不符合項報告及糾正報告單》。記錄內(nèi)部審核記錄由信息安全管理小組保存，并作為管理評審的輸入之一。9.3管理評審總經(jīng)理應(yīng)每年進行一次管理評審，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評審按《管理評審程序》進行。管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括信息安全方針和信息安全目標(biāo)。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。管理評審應(yīng)考慮：以往管理評審的跟蹤措施；任何可能影響信息安全管理體系的變更；不符合項和糾正措施的狀況；有效性測量的結(jié)果；信息安全管理體系審核和評審的結(jié)果；信息安全目標(biāo)的實現(xiàn)情況；相關(guān)方的反饋；風(fēng)評的果險處的態(tài)；改進的機會和建議。10改進10.1持續(xù)改進本公司依據(jù)《持續(xù)改進控制程序》的要求,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進信息安全管理體系的適性充性和效。我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；按照本手冊的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性；通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；對信息安全目標(biāo)及分解進行適當(dāng)?shù)墓芾?，確保改進達到預(yù)期的效果。10.2不符合及糾正措施本公司信息安全管理小組管理糾正措施，不符合事項的責(zé)任部門負(fù)責(zé)采取糾正措施，以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實施按《持續(xù)改進控制程序》進行。糾正措施的制定和實施程序如下：識別信息安全事件及不符合；確定信息安全事件及不符合的原因；定否在似不符和生可評價確保不符合不再發(fā)生的措施要求；確定和實施所需的糾正措施；記錄所采取措施的結(jié)果；評審所采取的糾正措施。我公司信息安全管理小組定期組織進行風(fēng)險評估，以識別變化的風(fēng)險，并通過關(guān)注變化顯著的風(fēng)險來識別糾正措施要求。糾正措施的優(yōu)先級應(yīng)基于風(fēng)險評估結(jié)果來確定。附錄1組織架構(gòu)圖總經(jīng)理總經(jīng)理管理者代表管理者代表工程部市場部綜合部工程部市場部綜合部附錄2職能分配表部門部門要素總經(jīng)理信息安全管理小組工程部綜合部市場部▲△△△△▲△△△△▲△△△△▲△△△▲△△△△▲△△△△▲△△△△▲△△△▲△△△▲△△△△△△▲△△△▲△△△▲△△△▲△△△▲△△△▲△△△▲△△△▲△△△▲△▲△△△△▲△△△△▲△△△△A5.1信息安全策略▲△△△△A5.2信息安全的角色和責(zé)任▲△△△△A5.3職責(zé)分離▲△△△△A5.4管理層責(zé)任▲△△△△A5.5與職能機構(gòu)的聯(lián)系△△△▲△A5.6與特定相關(guān)方的聯(lián)系△△△▲△A5.7威脅情報△△△▲△A5.8項目管理中的信息安全△▲△△A5.9信息和其他相關(guān)資產(chǎn)的清單△△▲△A5.10信息和其他相關(guān)資產(chǎn)的可接受的使用△△▲△A5.11資產(chǎn)返還△△▲△A5.12信息分類△△▲△A5.13信息標(biāo)簽△△▲△A5.14信息傳遞△△▲△A5.15訪問控制△△▲△A5.16身份管理△△▲△A5.17鑒別信息△△▲△A5.18訪問權(quán)限△△▲△A5.19供應(yīng)商關(guān)系中的信息安全△△▲△A5.20解決供應(yīng)商協(xié)議中的信息安全問題△△▲△A5.21管理ICT供應(yīng)鏈中的信息安全△△▲△A5.22供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理△△▲△A5.23使用云服務(wù)的信息安全△▲△△A5.24規(guī)劃和準(zhǔn)備管理信息安全事故△△▲△A5.25信息安全事件的評估和決策▲△△△A5.26應(yīng)對信息安全事故▲△△△A5.27從信息安全事故中吸取教訓(xùn)▲△△△A5.28收集證據(jù)△△▲△A5.29中斷期間的信息安全△△▲△A5.30關(guān)于業(yè)務(wù)連續(xù)性的ICT準(zhǔn)備△△▲△A5.31法律、法規(guī)、監(jiān)管和合同△△▲△A5.32知識產(chǎn)權(quán)△△▲△A5.33記錄保護△△▲△A5.34PII隱私和保護△△▲△A5.35信息安全獨立審查△△▲△A5.36信息安全策略、規(guī)則和標(biāo)準(zhǔn)的遵從性△△▲△A5.37文件化的操作程序△△▲△A6人員控制△△▲△A6.1篩選△△▲△A6.2雇傭條款和條件△△▲△A6.3信息安全意識、教育和培訓(xùn)△△▲△A6.4紀(jì)律程序△△▲△A6.5雇傭關(guān)系終止或變更后的責(zé)任△△▲△A6.6保密或不披露協(xié)議△△▲△A6.7遠程工作△△▲△A6.8報告信息安全事件△△▲△A7物理控制△△▲△A7.1物理安全邊界△△▲△A7.2物理入口△△▲△A7.3保護辦公室、房間和設(shè)施△△▲△A7.4物理安全監(jiān)控△△▲△A7.5抵御物理和環(huán)境威脅△△▲△A7.6在安全區(qū)域工作△△▲△A7.7桌面清理和屏幕清理△△▲△A7.8設(shè)備安置和保護△△▲△A7.9場外資產(chǎn)的安全△△▲△A7.10存儲介質(zhì)△△▲△A7.11支持性設(shè)施△△▲△A7.12布線安全△▲△△A7.13設(shè)備維護△▲△△A7.14設(shè)備的安全作廢或再利用△▲△△A8技術(shù)控制△▲△△A8.1用戶終端設(shè)備△▲△△A8.2特殊訪問權(quán)△▲△△A8.3信息訪問約束△▲△△A8.4獲取源代碼△▲△△A8.5安全身份認(rèn)證△▲△△A8.6容量管理△▲△△A8.7防范惡意軟件△▲△△A8.8技術(shù)漏洞的管理△▲△△A8.9配置管理△▲△△A8.10信息刪除△▲△△A8.11數(shù)據(jù)遮蓋△▲△△A8.12防止數(shù)據(jù)泄漏△▲△△A8.13信息備份△▲△△A8.14信息處理設(shè)備的冗余△▲△△A8.15日志△▲△△A8.16活動監(jiān)測△▲△△A8.17時鐘同步△▲△△A8.18特權(quán)實用程序的使用△▲△△A8.19在操作系統(tǒng)上安裝軟件△▲△△A8.20網(wǎng)絡(luò)安全△▲△△A8.21網(wǎng)絡(luò)服務(wù)的安全性△▲△△A8.22網(wǎng)絡(luò)隔離△▲△△A8.23網(wǎng)站過濾△▲△△A8.24密碼學(xué)的使用△▲△△A8.25安全開發(fā)生命周期△▲△△A8.26應(yīng)用程序安全要求△▲△△A8.27安全系統(tǒng)架構(gòu)和工程原理△▲△△A8.28安全編碼△▲△△A8.29開發(fā)和驗收中的安全性測試△▲△△A8.30外包開發(fā)不適用A8.31開發(fā)、測試和生產(chǎn)環(huán)境的分離△▲△△A8.32變更管理△▲△△A8.33測試信息△▲△△A8.34審計測試期間信息系統(tǒng)的保護△▲△△附錄3信息安全職責(zé)信息安全管理小組：1)負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全；2)工程部是信息安全主管機構(gòu)、與各部門的溝通和交流，負(fù)責(zé)有關(guān)信息安全工作的落實和推行，并負(fù)責(zé)報告本公司有關(guān)信息安全狀況和重要事件；3)負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動信息安全工作在公司范圍內(nèi)的實施；4)負(fù)責(zé)對與信息安全管理有關(guān)的重大事項進行決策，包括安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變動、以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險和風(fēng)險水平等；5)負(fù)責(zé)對信息安全管理體系進行內(nèi)部評審和管理評審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項；6)負(fù)責(zé)制定和實施與信息安全相關(guān)的獎懲措施和安全績效考核體系；7)評審與監(jiān)督重大信息安全事故的處理；8)對內(nèi)部評審整改意見承擔(dān)最終責(zé)任?？偨?jīng)理：負(fù)責(zé)信息安全方針制度、修訂及宣告。建立信息安全系統(tǒng)組織，整合各部門信息安全系統(tǒng)業(yè)務(wù)。各項信息安全系統(tǒng)督導(dǎo)。主持管理評審會議。督導(dǎo)信息安全管理體系運作及目標(biāo)制定。信息安全管理活動推行及考核以確保信息安全方針及控制目標(biāo)有效達成。制定經(jīng)營目標(biāo)，提示工作重點。人力資源分配，干部選任、調(diào)派、晉升及效率審查。有關(guān)管理制度及規(guī)章的研制、審查及推行。將公司信息安全控制目標(biāo)轉(zhuǎn)換成具體可行的實施計劃。協(xié)助各部門改善并提升經(jīng)營質(zhì)量。管理者代表：1)負(fù)責(zé)建立、實施、保持和改進信息安全管理體系，保證信息安全體系的有效運行；2)負(fù)責(zé)公司信息安全管理手冊的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；3)負(fù)責(zé)向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求；4)負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)。各部門的信息安全主管領(lǐng)導(dǎo)：1)部門的信息安全主管領(lǐng)導(dǎo)由本部門經(jīng)理擔(dān)任；2)負(fù)責(zé)協(xié)助信息安全工作小組建立本部門信息安全管理制度和流程；3)部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責(zé)任人，負(fù)