信息安全管理手冊(cè) 01

LOGOXXX有限公司文件編號(hào)HH-ISMS-01-01版本A/0類別信息安全管理手冊(cè)生效日期20XX-XX-XX一級(jí)文件頁次PagePAGE1ofNUMPAGES37信息安全管理手冊(cè)(依據(jù)ISO/IEC27001:2013標(biāo)準(zhǔn)編制)受控狀態(tài)：■受控□非受控制定部門制定/日期審核/日期批準(zhǔn)/日期體系管理部文件發(fā)行欄□采購部□PMC部□工程部□固態(tài)成型部□液態(tài)成型部□加工部□PIE部□品管部□物管部□人力資源部□設(shè)計(jì)&開發(fā)部□工模部□體系管理部□管理者代表□總經(jīng)理修改履歷序號(hào)章節(jié)版次制定或修改內(nèi)容日期1全部A/0新版發(fā)行2021-09-28目錄封面1目錄2公司概況3TOC\o"1-2"\h\z\u發(fā)布令4任命書5XXX有限公司組織機(jī)構(gòu)圖70前言97范圍92規(guī)范性引用文件93術(shù)語和定義94組織環(huán)境94.1理解組織及其環(huán)境94.2理解相關(guān)方的需求和期望94.3確定信息安全管理體系的范圍104.4信息安全管理體系105領(lǐng)導(dǎo)105.1領(lǐng)導(dǎo)和承諾105.2方針105.3組織角色、職責(zé)和權(quán)限116規(guī)劃146.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施146.2信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)157支持167.1資源167.2能力167.3意識(shí)167.4溝通167.5文件化信息168運(yùn)行178.1運(yùn)行的規(guī)劃和控制178.2信息安全風(fēng)險(xiǎn)評(píng)估178.3信息安全風(fēng)險(xiǎn)處置179績(jī)效評(píng)價(jià)179.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)179.2內(nèi)部審核189.3管理評(píng)審1810改進(jìn)1910.1不符合和糾正措施1910.2持續(xù)改進(jìn)19附錄1-職能分配表20附錄2-風(fēng)險(xiǎn)評(píng)估流程圖22附錄.3-程序文件清單23附錄4部門信息安全目標(biāo)分解24附錄.5-信息安全手冊(cè)更履歷25-公司概況XXX有限公司成立于2011年，屬于外商獨(dú)次企業(yè)。工廠坐落于東莞市樟木頭鎮(zhèn)金河工業(yè)區(qū)第三期海宏科技園。公司主要經(jīng)營(yíng)硅橡膠制品及模切制品的生產(chǎn)與銷售。產(chǎn)品廣泛應(yīng)用于電子電器業(yè)、五金塑膠業(yè)、運(yùn)動(dòng)器材等。公司成立至今一直堅(jiān)持以“群策群力，品質(zhì)至上；精益求精，客戶滿意”的品質(zhì)方針及“不斷開拓，不斷研究，不斷進(jìn)取”的精神為客戶提供最好的產(chǎn)品及服務(wù)。電話：XXX傳真：XXX網(wǎng)址：XXXE-mail：XXX發(fā)布令本《信息安全管理手冊(cè)》(以下簡(jiǎn)稱手冊(cè))第A/0版是我們公司按照ISO/IEC27001:2013《信息安全管理體系要求》，并結(jié)合我們公司管理工作的實(shí)踐和公司組織機(jī)構(gòu)的設(shè)置而編寫的最新版本，體現(xiàn)了我們公司對(duì)信息安全的承諾及持續(xù)改進(jìn)的要求。本手冊(cè)貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實(shí)際運(yùn)作情況，可作為向客戶及第三方組織提供信息安全保證和進(jìn)行信息安全管理體系審核的依據(jù)，全體員工必須嚴(yán)格遵照?qǐng)?zhí)行?，F(xiàn)予以批準(zhǔn)，同意發(fā)布實(shí)施?？偨?jīng)理：2021年09月28日任命書為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命XXXX為XXX有限公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系；負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；批準(zhǔn)發(fā)布程序文件；主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外審核情況。本授權(quán)書自任命日起生效執(zhí)行?？偨?jīng)理：2021年09月28日XXX有限公司組織機(jī)構(gòu)圖總經(jīng)理總經(jīng)理管理者代表管理者代表行政部綜合運(yùn)營(yíng)管理部綜合管理部行政部綜合運(yùn)營(yíng)管理部綜合管理部0前言《信息安全管理體系手冊(cè)》（以下簡(jiǎn)稱本手冊(cè)）依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》，參照ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》，結(jié)合本行業(yè)信息安全的特點(diǎn)編寫。本手冊(cè)對(duì)本公司信息安全管理體系作出了概括性描述，為建立、實(shí)施和保持信息安全管理體系提供框架。1范圍為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系，確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。本《信息安全管理體系手冊(cè)》采用了ISO/IEC27001:2013標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減及理由詳見《信息安全適用性聲明SoA》。2規(guī)范性引用文件下列文件中的條款通過本《信息安全管理體系手冊(cè)》的引用而成為本《信息安全管理體系手冊(cè)》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本《信息安全管理體系手冊(cè)》，然而，行政部應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理體系手冊(cè)》。ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》3術(shù)語和定義ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》規(guī)定的術(shù)語和定義以及下述定義適用于本《信息安全管理體系手冊(cè)》。ISO/IEC27000中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。4組織環(huán)境4.1理解組織及其環(huán)境本公司依據(jù)《信息安全風(fēng)險(xiǎn)管理程序》，建立組織的外部和內(nèi)部環(huán)境，確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題。4.2理解相關(guān)方的需求和期望本公司通過建立組織的外部和內(nèi)部環(huán)境確定如下內(nèi)容。a)與信息安全管理體系有關(guān)的相關(guān)方；b)這些相關(guān)方與信息安全有關(guān)的要求。注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。4.3確定信息安全管理體系的范圍本公司充分考慮如下內(nèi)容：a)在4.1中提及的外部和內(nèi)部問題；b)在4.2中提及的要求；c)組織所執(zhí)行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴性。確定信息安全管理體系的邊界和適用性，建立信息安全管理體系的范圍和邊界：ISMS的范圍是：MERGEFIELD"審核范圍"接收金融機(jī)構(gòu)委托從事外包的服務(wù)的安全管理活動(dòng)ISMS的邊界是：東莞市樟木頭鎮(zhèn)金河工業(yè)區(qū)第三期海宏科技園本信息安全策略適用于整個(gè)信息安全管理體系（ISMS），范圍包括：屬于公司的一切受知識(shí)產(chǎn)權(quán)保護(hù)的信息；公司持有一切相關(guān)客戶資料信息公司持有的一切相關(guān)企業(yè)資料信息公司持有的一切關(guān)于供應(yīng)商及合作伙伴的資料信息公司持有的一切合同信息屬于公司的一切相關(guān)信息系統(tǒng)的物理實(shí)體公司所屬的一切人員、IT系統(tǒng)，設(shè)備，文檔，公司規(guī)章制度以及其他的信息和信息載體。4.4信息安全管理體系公司依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系。5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾高層管理者應(yīng)通過下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：a)確保建立信息安全方針和信息安全目標(biāo)，并與組織的戰(zhàn)略方向保持一致；b)確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過程中；c)確保信息安全管理體系所需資源可用；d)傳達(dá)信息安全管理有效實(shí)施、符合信息安全管理體系要求的重要性；e)確保信息安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；f)指揮并支持人員為信息安全管理體系的有效實(shí)施作出貢獻(xiàn)；g)促進(jìn)持續(xù)改進(jìn)；h)支持其他相關(guān)管理角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。5.2方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，公司高層管理者建立信息安全方針：信息安全、人人有責(zé)，持續(xù)改進(jìn)、提高信賴內(nèi)涵：信息安全管理的重點(diǎn)是人員有意識(shí)的維護(hù)公司信息資產(chǎn)安全。全體員工應(yīng)本著主人翁精神，群策群力，共同構(gòu)筑公司信息安全。公司遵守信息安全的相關(guān)法令、法規(guī)、業(yè)界方針及規(guī)范，建立信息安全管理體系。通過全體員工的持續(xù)努力來完善體系，通過切實(shí)的控制措施來保障公司及顧客的信息安全。信息安全，是公司正常經(jīng)營(yíng)活動(dòng)的重要保障，是客戶信賴的基礎(chǔ)，也是我們認(rèn)同的一種社會(huì)責(zé)任。公司通過完善的管理，贏得顧客的信賴，以此保障公司業(yè)務(wù)的持續(xù)發(fā)展。信息安全方針滿足以下要求：a)適于組織的目標(biāo)；b)包含信息安全目標(biāo)（見6.2）或設(shè)置信息安全目標(biāo)提供框架；c)包含滿足適用的信息安全相關(guān)要求的承諾；d)包含信息安全管理體系持續(xù)改進(jìn)的承諾。公司文件化信息安全方針，保持可用性，并在組織內(nèi)部進(jìn)行傳達(dá)，適當(dāng)時(shí)，對(duì)相關(guān)方可用。5.3組織角色、職責(zé)和權(quán)限高層管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。高層管理者應(yīng)分配下列職責(zé)和權(quán)限：a)確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求；b)將信息安全管理體系的績(jī)效報(bào)告給高層管理者。注：高層管理者可能還要分配在組織內(nèi)部報(bào)告信息安全管理體系績(jī)效的職責(zé)和權(quán)限。5.3.1信息安全組織機(jī)構(gòu)本公司信息安全領(lǐng)導(dǎo)機(jī)構(gòu)——行政部的職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司的信息安全職能由行政部承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計(jì)劃，對(duì)單位、部門信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會(huì)的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，履行“5.1領(lǐng)導(dǎo)和承諾”中的相關(guān)職責(zé)。5.3.2信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向行政部或最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。部門職責(zé)如下：總經(jīng)理：任命管理者代表，明確管理者代表的職責(zé)和權(quán)限；確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的重要性；為信息安全管理體系配備必要的資源；主持管理評(píng)審；5）負(fù)遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。負(fù)責(zé)管理重要內(nèi)外聯(lián)網(wǎng)訪問權(quán)限的審批，以及重要信息應(yīng)用系統(tǒng)用戶的開通。責(zé)公司信息安全管理和企業(yè)管理的計(jì)劃、組織、協(xié)調(diào)、監(jiān)督、控制和考核工作；管理者代表:負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體系的有效運(yùn)行；負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)公司內(nèi)部審核工作；負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求；負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)；遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。各部門的信息安全主管領(lǐng)導(dǎo):部門的信息安全主管領(lǐng)導(dǎo)由本部門負(fù)責(zé)人擔(dān)任；負(fù)責(zé)協(xié)助行政部建立本部門信息安全管理制度和流程；部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責(zé)任人，負(fù)責(zé)本部門的信息安全管理工作，負(fù)責(zé)保護(hù)本部門所擁有和管理的信息資產(chǎn)的安全；負(fù)責(zé)采取有效辦法，落實(shí)和推動(dòng)信息安全政策的實(shí)施；負(fù)責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策；對(duì)違反安全政策的行為進(jìn)行內(nèi)部處罰；落實(shí)針對(duì)本部門的糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施。行政部（信息安全管理歸口部門）：負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評(píng)審的組織和體系的改進(jìn)。負(fù)責(zé)本公司保密工作的管理。負(fù)責(zé)新進(jìn)人員的甄選、招聘，確保招聘工作及時(shí)滿足公司用人增補(bǔ)需求，員工的能力、意識(shí)和培訓(xùn)，員工離職管理。協(xié)助相關(guān)用人部門培訓(xùn)及考核上崗.培訓(xùn)：崗前培訓(xùn)、本公司知識(shí)培訓(xùn)、素質(zhì)培訓(xùn)、專業(yè)培訓(xùn)檢查。負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。參與涉密及司法介入的信息安全事件的調(diào)查。對(duì)信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。及時(shí)處理重要來往文電信函的審閱、傳遞領(lǐng)導(dǎo)批示、審核和修改以公司名義簽發(fā)的有關(guān)文件，抓好文書歸檔和用印管理工作。協(xié)助各部門制定部門、崗位職責(zé)和各類規(guī)章的實(shí)施細(xì)則，配合公司協(xié)調(diào)各部門的工作關(guān)系。做好公司人員的績(jī)效考核和獎(jiǎng)勵(lì)懲罰工作。11）安全區(qū)域的保衛(wèi)管理部門，負(fù)責(zé)安全區(qū)域的管理。12）負(fù)責(zé)公司資金運(yùn)作管理、日常財(cái)務(wù)管理與分析、資本運(yùn)作、籌資方略、對(duì)外合作談判等。13）負(fù)責(zé)公司財(cái)務(wù)管理及內(nèi)部控制，根據(jù)公司業(yè)務(wù)發(fā)展的計(jì)劃完成年度財(cái)務(wù)預(yù)算，并跟蹤其執(zhí)行情況。14）按時(shí)向總經(jīng)理提供財(cái)務(wù)報(bào)告和必要的財(cái)務(wù)分析，并確保這些報(bào)告可靠、準(zhǔn)確。15）負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信息資產(chǎn)的安全；16）負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各信息安全執(zhí)行單位對(duì)于信息安全政策、措施的實(shí)施；17）負(fù)責(zé)與國(guó)家信息安全主管機(jī)構(gòu)、上級(jí)主管部門的溝通和交流，負(fù)責(zé)有關(guān)信息安全工作的落實(shí)和推行，并負(fù)責(zé)報(bào)告本公司有關(guān)信息安全狀況和重要事件；18）負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動(dòng)信息安全工作在公司范圍內(nèi)的實(shí)施；19）負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)、以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等；20）負(fù)責(zé)對(duì)信息安全管理體系進(jìn)行內(nèi)部評(píng)審和管理評(píng)審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關(guān)的重大事項(xiàng)；21）負(fù)責(zé)制定和實(shí)施與信息安全相關(guān)的獎(jiǎng)懲措施和安全績(jī)效考核體系；22）評(píng)審與監(jiān)督重大信息安全事故的處理；23）負(fù)責(zé)組織對(duì)ISMS體系進(jìn)行審核，以驗(yàn)證體系的符合性和有效性，并對(duì)發(fā)現(xiàn)的問題提出整改要求并組織實(shí)施整改；24）負(fù)責(zé)定期召開信息安全管理工作會(huì)議，定期總結(jié)運(yùn)行情況以及安全事件記錄；25）負(fù)責(zé)對(duì)ISMS體系的具體實(shí)施、各部門的信息安全運(yùn)行狀況進(jìn)行定期審計(jì)或?qū)ｍ?xiàng)審計(jì)；26）負(fù)責(zé)匯報(bào)審計(jì)結(jié)果，并督促審計(jì)整改工作的進(jìn)行，落實(shí)糾正措施(包括內(nèi)部審核整改意見)和預(yù)防措施；27）負(fù)責(zé)制定違反安全政策行為的標(biāo)準(zhǔn)，并對(duì)違反安全政策的人員和事件進(jìn)行確認(rèn)；28）調(diào)查安全事件，并維護(hù)安全事件的記錄報(bào)告(包括調(diào)查結(jié)果和解決方法)，定期總結(jié)安全事件記錄報(bào)告；29）識(shí)別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性。綜合管理部：了解市場(chǎng)信息,溝通相關(guān)部門策劃適合市場(chǎng)的創(chuàng)新產(chǎn)品，跟蹤行業(yè)發(fā)展趨勢(shì)，建立和完善營(yíng)銷信息收集、處理、交流及保密系統(tǒng)；負(fù)責(zé)協(xié)調(diào)綜合運(yùn)營(yíng)管理部開發(fā)及協(xié)調(diào)測(cè)試；為重大投標(biāo)活動(dòng)和工程咨詢出謀劃策；整理分析公司各綜合管理部門的業(yè)務(wù)資料信息；協(xié)助相關(guān)部門對(duì)網(wǎng)站產(chǎn)品的運(yùn)營(yíng)，參與公司網(wǎng)站建設(shè)，提出新項(xiàng)目發(fā)布意見；負(fù)責(zé)合同評(píng)審、審批的管理，參與售前，售中，售后的服務(wù)工作；負(fù)責(zé)顧客滿意度調(diào)查與投訴的處理。8）負(fù)責(zé)運(yùn)維業(yè)務(wù)信息安全工作；綜合運(yùn)營(yíng)管理部：負(fù)責(zé)系統(tǒng)集成項(xiàng)目的設(shè)計(jì)和開發(fā)；負(fù)責(zé)系統(tǒng)集成項(xiàng)目過程中信息安全管理；負(fù)責(zé)控制惡意軟件管理工作；負(fù)責(zé)對(duì)惡意軟件預(yù)防的培訓(xùn)工作；負(fù)責(zé)項(xiàng)目文檔的管理；負(fù)責(zé)信息系統(tǒng)接收測(cè)試；負(fù)責(zé)網(wǎng)站產(chǎn)品的用戶體驗(yàn)改進(jìn)及服務(wù)的管理，在信息技術(shù)服務(wù)中提供技術(shù)支持；負(fù)責(zé)確認(rèn)項(xiàng)目人員到崗情況，外地項(xiàng)目根據(jù)需求招聘新員工，并進(jìn)行培訓(xùn)工作，做好各工序員工的情況記錄，項(xiàng)目人員名單報(bào)后勤組；負(fù)責(zé)擬定新項(xiàng)目的計(jì)劃書,明確項(xiàng)目的工作流程，制定各工序工作職責(zé)；負(fù)責(zé)布置加工場(chǎng)地，配合設(shè)備維護(hù)人員進(jìn)行網(wǎng)絡(luò)、設(shè)備、加工系統(tǒng)調(diào)試；負(fù)責(zé)項(xiàng)目開發(fā)過程中不合格的評(píng)審和處置。負(fù)責(zé)項(xiàng)目配置管理。6規(guī)劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1總則當(dāng)規(guī)劃信息安全管理體系時(shí)，公司應(yīng)考慮4.1中提及的問題和4.2中提及的要求，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：a)確保信息安全管理體系能實(shí)現(xiàn)其預(yù)期結(jié)果；b)防止或減少意外的影響；c)實(shí)現(xiàn)持續(xù)改進(jìn)。公司應(yīng)規(guī)劃：d)應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；e)如何1)整合和實(shí)施這些措施并將其納入信息安全管理體系過程；2)評(píng)價(jià)這些措施的有效性。6.1.2信息安全風(fēng)險(xiǎn)評(píng)估公司通過建立公司外部和內(nèi)部環(huán)境，制定《信息安全風(fēng)險(xiǎn)控制程序》，定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過程。行政部建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。按信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)控制程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。6.1.2.1建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括1)風(fēng)險(xiǎn)接受準(zhǔn)則；2)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；定義風(fēng)險(xiǎn)評(píng)估的方法，確保重復(fù)性的信息安全風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的、有效的和可比較的結(jié)果。6.1.2.2識(shí)別信息安全風(fēng)險(xiǎn)由行政部組建風(fēng)險(xiǎn)評(píng)估小組，風(fēng)險(xiǎn)評(píng)估小組應(yīng)：1)應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過程來識(shí)別信息安全管理體系范圍內(nèi)的信息喪失保密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)；2)識(shí)別風(fēng)險(xiǎn)負(fù)責(zé)人；通過風(fēng)險(xiǎn)識(shí)別，形成《信息安全風(fēng)險(xiǎn)評(píng)估表》。6.1.2.3分析信息安全風(fēng)險(xiǎn)：1)評(píng)估6.1.2.2中所識(shí)別風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響；2)評(píng)估6.1.2.2中所識(shí)別風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性；3)確定風(fēng)險(xiǎn)級(jí)別；6.1.2.4評(píng)價(jià)信息安全風(fēng)險(xiǎn)；1)將風(fēng)險(xiǎn)分析結(jié)果同6.1.2.1建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；2)為實(shí)施風(fēng)險(xiǎn)處置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。公司應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估過程的文件記錄信息，詳見《信息安全風(fēng)險(xiǎn)評(píng)估表》。6.1.3信息安全風(fēng)險(xiǎn)處置公司定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過程，以：a)在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置選項(xiàng)；b)為實(shí)施所選擇的信息安全風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施；注：組織可按要求設(shè)計(jì)控制措施，或從其他來源識(shí)別控制措施。c)將6.1.3b）所確定的控制措施與附錄A的控制措施進(jìn)行比較，以核實(shí)沒有遺漏必要的控制措施；注1：附錄A包含了一份全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可利用附錄A以確保不會(huì)遺漏必要的控制措施。注2：控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施。d)產(chǎn)生《信息安全適用性聲明》。適用性聲明要包含必要的控制措施（見6.1.3b）和c））、對(duì)包含的合理性說明（無論是否已實(shí)施）以及對(duì)附錄A控制措施刪減的合理性說明；e)制定《信息安全風(fēng)險(xiǎn)處置計(jì)劃》；f)獲得風(fēng)險(xiǎn)負(fù)責(zé)人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃以及接受信息安全殘余風(fēng)險(xiǎn)的批準(zhǔn)。6.2信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)公司在相關(guān)職能和層次上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a)與信息安全方針一致；b)可測(cè)量（如可行）；c)考慮適用的信息安全要求以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；d)被傳達(dá)；e)適當(dāng)時(shí)進(jìn)行更新。公司信息安全目標(biāo)：為貫徹實(shí)施信息安全方針，根據(jù)公司實(shí)際情況，確定公司的信息安全目標(biāo)如下：重大信息安全泄密事件0件客戶信息外泄事件為0公司明確管理和測(cè)量信息安全目標(biāo)的職責(zé)，明確測(cè)量的內(nèi)容和頻率要求，并對(duì)測(cè)量的結(jié)果進(jìn)行評(píng)價(jià)，識(shí)別改進(jìn)的機(jī)會(huì)。7支持7.1資源公司確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源，包括資金、人力、設(shè)施和技術(shù)等資源。7.2能力行政部制定并實(shí)施《人力資源控制程序》，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a)確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力；b)確保人員在適當(dāng)教育，培訓(xùn)和經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任工作；c)適用時(shí)，采取措施來獲得必要的能力，并評(píng)價(jià)所采取措施的有效性；d)保留適當(dāng)?shù)奈募涗浶畔⒆鳛槟芰Ψ矫娴淖C據(jù)。注：例如適當(dāng)措施可能包括為現(xiàn)有員工提供培訓(xùn)、對(duì)其進(jìn)行指導(dǎo)或重新分配工作；雇用或簽約有能力的人員。7.3意識(shí)公司通過教育、培訓(xùn)等手段，使員工在組織的控制下從事其工作時(shí)應(yīng)意識(shí)到：a)信息安全方針；b)他們對(duì)有效實(shí)施信息安全管理體系的貢獻(xiàn)，包括信息安全績(jī)效改進(jìn)后的益處；c)不符合信息安全管理體系要求可能的影響。7.4溝通公司確定有關(guān)信息安全管理體系在內(nèi)部和外部進(jìn)行溝通的需求，明確以下內(nèi)容：a)什么需要溝通；b)什么時(shí)候溝通；c)跟誰進(jìn)行溝通；d)由誰負(fù)責(zé)溝通；e)影響溝通的過程。7.5文件化信息7.5.1總則公司制定《文件控制程序》《記錄控制程序》對(duì)文件化信息進(jìn)行控制，公司的信息安全管理體系應(yīng)包括：a)本標(biāo)準(zhǔn)要求的文件化信息；b)組織為有效實(shí)施信息安全管理體系確定的必要的文件化信息。7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí)，應(yīng)確保適當(dāng)?shù)模篴)標(biāo)識(shí)和描述（例如：標(biāo)題、日期、作者或參考編號(hào)）；b)格式（例如：語言，軟件版本，圖表）和介質(zhì)（例如：紙質(zhì)介質(zhì)，電子介質(zhì)）；c)評(píng)審和批準(zhǔn)其適用性和充分性。7.5.3文件記錄信息的控制信息安全管理體系和本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制，以確保：a)無論何時(shí)何地需要，它都是可用并適合使用的；b)它被充分保護(hù)（例如避免喪失保密性、使用不當(dāng)或喪失完整性）對(duì)于文件化信息的控制，適用時(shí)，組織應(yīng)處理下列問題：c)分發(fā)、訪問、檢索和使用；d)存儲(chǔ)和保存，包括可讀性的保持；e)變更控制（例如版本控制）；f)保留和和處置。組織為規(guī)劃和實(shí)施信息安全管理體系確定的必要的外部原始文件記錄信息，適當(dāng)時(shí)應(yīng)予以識(shí)別并進(jìn)行控制。訪問隱含一個(gè)權(quán)限決策：僅能查看文件記錄信息，或有權(quán)去查看和變更文件記錄信息等。8運(yùn)行8.1運(yùn)行的規(guī)劃和控制公司應(yīng)規(guī)劃、實(shí)施和控制滿足信息安全要求所需的過程（詳見附錄3《程序文件清單》），并實(shí)施6.1中確定的措施（詳見《適用性聲明》）。組織還應(yīng)實(shí)施這些規(guī)劃來實(shí)現(xiàn)6.2中所確定的信息安全目標(biāo)。公司應(yīng)控制計(jì)劃了的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減緩負(fù)面影響。組織應(yīng)確保外包的過程已確定，并處于可控狀態(tài)。8.2信息安全風(fēng)險(xiǎn)評(píng)估公司依據(jù)《信息安全風(fēng)險(xiǎn)控制程序》及6.1.2中建立的風(fēng)險(xiǎn)評(píng)估執(zhí)行準(zhǔn)則，每年定期執(zhí)行一次信息安全風(fēng)險(xiǎn)評(píng)估，當(dāng)重大變更被提出或發(fā)生時(shí)，應(yīng)不定期執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件化信息。8.3信息安全風(fēng)險(xiǎn)處置公司按建立的準(zhǔn)則實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)信息安全風(fēng)險(xiǎn)處置公司應(yīng)實(shí)施6.1.2中制定的《信息安全風(fēng)險(xiǎn)處置計(jì)劃》，并執(zhí)行變更了的處置計(jì)劃。公司明確相關(guān)職責(zé)，定期評(píng)價(jià)信息安全績(jī)效和信息安全管理體系的有效性。滿足以下要求：a)什么需要監(jiān)視和測(cè)量，包括信息安全過程和控制措施；b)監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，適用時(shí)，確保結(jié)果有效；c)什么時(shí)候應(yīng)執(zhí)行監(jiān)視和測(cè)量；d)誰應(yīng)實(shí)施監(jiān)視和測(cè)量；e)什么時(shí)候應(yīng)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)；f)誰應(yīng)分析和評(píng)價(jià)這些結(jié)果。組織應(yīng)保留適當(dāng)?shù)奈募涗浶畔⒆鳛楸O(jiān)視和測(cè)量結(jié)果的證據(jù)。9.2內(nèi)部審核公司行政部按《內(nèi)審與改進(jìn)控制程序》的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報(bào)告結(jié)果和保持記錄。公司每年進(jìn)行一次內(nèi)部審核，以提供信息確定信息安全管理體系是否：a)符合1)組織自身信息安全管理體系的要求；2)本標(biāo)準(zhǔn)的要求；b)得到有效的實(shí)施和保持。公司應(yīng)按《內(nèi)審與改進(jìn)控制程序》》執(zhí)行如下活動(dòng)：c)規(guī)劃、建立、實(shí)施和保持審核方案，包括頻次、方法、職責(zé)、計(jì)劃要求和報(bào)告。審核方案應(yīng)考慮所關(guān)注過程的重要性以及以往審核的結(jié)果；d)為每次審核定義審核準(zhǔn)則和審核范圍；e)審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性；f)確保審核結(jié)果報(bào)告給相關(guān)的管理者；g)保留文件記錄信息作為審核方案和審核結(jié)果的證據(jù)。9.3管理評(píng)審行政部應(yīng)每年組織進(jìn)行一次管理評(píng)審并召開安全會(huì)議，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評(píng)審按《管理評(píng)審控制程序》進(jìn)行。管理評(píng)審應(yīng)包括下列方面的考慮：a)以往管理評(píng)審的措施的狀態(tài)；b)與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；c)信息安全績(jī)效的反饋，包括下列方面的趨勢(shì)：1)不符合和糾正措施；2)監(jiān)視和測(cè)量結(jié)果；3)審核結(jié)果；4)信息安全目標(biāo)的實(shí)現(xiàn)；d)相關(guān)方的反饋；e)風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f)持續(xù)改進(jìn)的機(jī)會(huì)。管理評(píng)審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)有關(guān)的決定，以及變更信息安全管理體系的所有需求。組織應(yīng)保留文件記錄信息作為管理評(píng)審結(jié)果的證據(jù)。10改進(jìn)本公司依據(jù)《糾正和預(yù)防措施控制程序》的要求,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評(píng)審，持續(xù)改進(jìn)信息安全管理體系的有效性。10.1不符合和糾正措施本公司行政部處理糾正措施，不符合項(xiàng)的責(zé)任部門負(fù)責(zé)采取糾正措施，以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實(shí)施按《糾正和預(yù)防措施控制程序》進(jìn)行。針對(duì)發(fā)生的不符合，公司應(yīng)：a)對(duì)不符合作出反應(yīng)，適用時(shí)：1)采取措施控制并糾正不符合；2)處理后果；b)為確保不符合不再發(fā)生或不在其他地方發(fā)生，通過下列方式評(píng)價(jià)消除不符合原因的措施需求：1)評(píng)審不符合；2)確定不符合的原因；3)確定是否存在或可能發(fā)生相似的不符合；c)實(shí)施所需的措施；d)評(píng)審所采取糾正措施的有效性；e)必要時(shí)，對(duì)信息安全管理體系實(shí)施變更。糾正措施應(yīng)與所遇不符合的影響相適應(yīng)。組織應(yīng)保留文件記錄信息作為下列事項(xiàng)的證據(jù)：f)不符合的性質(zhì)以及所采取的所有后續(xù)措施；g)所有糾正措施的結(jié)果。10.2持續(xù)改進(jìn)本公司依據(jù)《糾正和預(yù)防措施控制程序》的要求,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評(píng)審，持續(xù)改進(jìn)信息安全管理體系的有效性。附錄1信息安全體系要求與部門職能分配表要素部門管理層行政部綜合運(yùn)營(yíng)管理部綜合管理部4.1理解組織及其環(huán)境★○○○4.2理解相關(guān)方的需求和期望★○○○4.3確定ISMS范圍★★○○4.4信息安全管理體系★○○○5.1領(lǐng)導(dǎo)和承諾★○○○5.2方針★○○○5.3組織角色、職責(zé)和權(quán)限★○○○6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施★★○○6.1.1總則○★○○6.1.2信息安全風(fēng)險(xiǎn)評(píng)估○★○○6.1.3信息安全風(fēng)險(xiǎn)處置○★