ISMS手冊-信息安全管理體系手冊

1、ISMS 手冊 -信息安全管理體系手冊發(fā)布令本公司按照 ISO20000:2005信息技術(shù)服務(wù)管理規(guī)范和 ISO27001：2005信息安全管理體系要求以及本公司業(yè)務(wù)特點編制信息安全管理&IT 服務(wù)管理體系手冊，建立與本公司業(yè)務(wù)相一致的信息安全與IT 服務(wù)管理體系，現(xiàn)予以頒布實施。本手冊是公司法規(guī)性文件，用于貫徹公司信息安全管理方針和目標，貫徹IT 服務(wù)管理理念方針和服務(wù)目標。為實現(xiàn)信息安全管理與IT 服務(wù)管理，開展持續(xù)改進服務(wù)質(zhì)量，不斷提高客戶滿意度活動，加強信息安全建設(shè)的綱領(lǐng)性文件和行動準則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對社會的承諾，通過有效的 PDCA 活動向顧客提供

2、滿足要求的信息安全管理和IT 服務(wù)。本手冊符合有關(guān)信息安全法律法規(guī)要求以及ISO20000:2005信息技術(shù)服務(wù)管理規(guī)范、ISO27001：2005信息安全管理體系要求和公司實際情況。為能更好的貫徹公司管理層在信息安全與IT 服務(wù)管理方面的策略和方針，根據(jù)ISO20000:2005信息技術(shù)服務(wù)管理規(guī)范和 ISO27001：2005信息安全管理體系要求的要求任命 XXXXX 為管理者代表，作為本公司組織和實施“信息安全管理與 IT 服務(wù)管理體系”的負責人。直接向公司管理層報告。全體員工必須嚴格按照 信息安全管理 &IT 服務(wù)管理體系手冊 要求，自覺遵守本手冊各項要求，努力實現(xiàn)公司的信息安

3、全與 IT 服務(wù)的方針和目標。管理者代表職責：a) 建立服務(wù)管理計劃；b) 向組織傳達滿足服務(wù)管理目標和持續(xù)改進的重要性；e) 確定并提供策劃、 實施、監(jiān)視、評審和改進服務(wù)交付和管理所需的資源，如招聘合適的人員，管理人員的更新；1確保按照 ISO207001:2005 標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管理體系； 按照 ISO/IEC 20000 信息技術(shù)服務(wù)管理規(guī)范 的要求，組織相關(guān)資源，建立、實施和保持 IT 服務(wù)管理體系，不斷改進 IT 服務(wù)管理體系，確保其有效性、適宜性和符合性。2負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報告 IT 服務(wù)管理

4、體系的業(yè)績，如：服務(wù)方針和服務(wù)目標的業(yè)績、客戶滿意度狀況、各項服務(wù)活動及改進的要求和結(jié)果等。3確保在整個組織內(nèi)提高信息安全風險的意識；4審核風險評估報告、風險處理計劃；5批準發(fā)布程序文件；6主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。7推動公司各部門領(lǐng)導(dǎo)，積極組織全體員工，通過工作實踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對滿足客戶需求的重要性的認知程度，以及為達到公司服務(wù)管理目標所應(yīng)做出的貢獻?？偨?jīng)理：日期：信息安全方針和信息安全目標信息安全方針： 信息安全人人有責本公司信息安全

5、管理方針包括內(nèi)容如下：一、信息安全管理機制1公司采用系統(tǒng)的方法，按照 ISO/IEC 27001:2005 建立信息安全管理體系，全面保護本公司的信息安全。二、信息安全管理組織2公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。3公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保證信息安全管理體系的有效運行。5與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。三、人

6、員安全6信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責和權(quán)限。7對本公司的相關(guān)方，要明確安全要求和安全職責。8定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識。以提高安全意識。9全體員工及相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風險評估11根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定

7、風險接受準則。12采用先進的風險評估技術(shù)和軟件，定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。六、報告安全事件14公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。15全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進行報告。16接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果。七、監(jiān)督檢查17定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18公司根據(jù)風險評估的結(jié)果， 建立業(yè)務(wù)持

8、續(xù)性計劃， 抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。19定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。信息安全目標：1. 不可接受風險處理率： 100% （所有不可接受風險應(yīng)降低到可接受的程度） 。2. 重大顧客因信息安全事件投訴為 0 次（重大顧客投訴是指直接經(jīng)濟損失金額達 1 萬元以上）1 信息安全管理手冊說明11 公司簡介XX1.1 編制依據(jù)和目的本手冊在遵循 ISO9001 ：2005 信息安全管理體系要求與ISO/IEC 20000信息技術(shù)服務(wù)

9、管理規(guī)范 的要求 編制而成，包括了 ISO27001 ：2005 的全部要求，對附錄 A 的刪減見適用性聲明 SoA。手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達到ISO27001 ：2005 信息安全管理標準的要求；滿足本公司向客戶提供IT 服務(wù)所需的IT 基礎(chǔ)設(shè)施和 IT 技術(shù)支持服務(wù)， 適用于向客戶或認證機構(gòu)證實，本公司具備提供符合客戶需求的IT 服務(wù)能力和服務(wù)質(zhì)量。本公司的體系程序是手冊的支持性文件，是對體系運作的具體描述。1.2 適用范圍信息安全管理 &IT 服務(wù)管理體系手冊適用于本公司提供安全管理體系認證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動。1

10、3 術(shù)語和定義1 31 本手冊應(yīng)用ISO/IEC 20000 中的術(shù)語及定義。1 32 本手冊應(yīng)用ISO/IEC27001 中的術(shù)語及定義。2 信息安全管理 &IT 服務(wù)管理手冊的管理2 1 手冊的編制、批準和發(fā)布211 按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員，結(jié)合本公司業(yè)務(wù)特點，根據(jù) ISO/IEC 20000 標準的要求編寫。2 12 IT 服務(wù)管理手冊由公司管理者代表批準后發(fā)布。2 2 手冊的分發(fā)2 21 技術(shù)服務(wù)事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。2 22 公司各部門負責手冊的使用和保管。2 3 手冊的受控狀態(tài)23 1 書面形式的手

11、冊分“有效文件”和“保留文件”兩種形式。作為公司日常運營的依據(jù)及提供給外部認證機構(gòu)的手冊均為“有效文件”形式。2 32 當手冊內(nèi)容變更時，“有效文件”形式的手冊應(yīng)及時予以更新和發(fā)放。2 33“有效文件”形式的文件在更新后，如需保存原來的版本，以便于追溯，則應(yīng)當用“保留文件”的標識予以區(qū)分。2 34 電子形式的手冊由技術(shù)服務(wù)事業(yè)部在工作流轉(zhuǎn)系統(tǒng)中進行管理。2 4 手冊的變更241 因公司戰(zhàn)略調(diào)整、客戶需求或改進活動等引起的手冊內(nèi)容的變更，按公司總經(jīng)理指示，技術(shù)服務(wù)事業(yè)部組織相關(guān)部門對涉及變更的內(nèi)容進行更新，并經(jīng)公司總經(jīng)理批準后發(fā)布。242 更新后的手冊， 應(yīng)及時地發(fā)放給公司內(nèi)部原手冊持有者，并收

12、回舊版的手冊。對電子形式的手冊，由技術(shù)服務(wù)事業(yè)部按工作流轉(zhuǎn)系統(tǒng)中的管理規(guī)則進行更新和歸檔管理。2 5 公司內(nèi)部手冊持有者的責任2 51 與公司或部門內(nèi)部的相關(guān)人員溝通、學(xué)習(xí)手冊的要求并遵照執(zhí)行。252 妥善保管，不得私自更改、曲解手冊的內(nèi)容。不得隨意向其他與公司業(yè)務(wù)無關(guān)的第三方傳播，如需提供公司以外的第三方參考，應(yīng)經(jīng)技術(shù)服務(wù)事業(yè)部提交公司主管副總經(jīng)理審核后，報公司總經(jīng)理批準。3 公司架構(gòu)和安全承諾 3.1 公司行政組織架構(gòu)總 經(jīng) 理生技部質(zhì)管部商務(wù)部綜合管理部研實質(zhì)測市銷物財人量力保資發(fā)施證試場售流務(wù)源采倉培文購庫訓(xùn)檔3.2 公司信息安全管理體系組織架構(gòu)圖總 經(jīng) 理管理者代表安全委員會副管理者

13、代表生技部質(zhì)管部商務(wù)部綜合管理部研實質(zhì)測客銷物財人量戶力保試服資發(fā)施證務(wù)售流務(wù)源部采倉培文購庫訓(xùn)檔注：每個虛線框內(nèi)為一個信息安全小組，部門的負責人為安全組長，各崗位負責人為該崗位的安全員。33 公司 IT 服務(wù)管理職能關(guān)系架構(gòu)圖服務(wù)部服務(wù)臺/ 事件信息安全管理供應(yīng)商管理IT 財務(wù)管理管理業(yè)務(wù)關(guān)系管理項目經(jīng)理問題管理配置管理可用性與服務(wù)級別連續(xù)性管理管理發(fā)布管理變更管理能力管理管理服務(wù)報告3.4 信息安全承諾公司成立安全管理委員會來領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職責和作用。制訂信息安全方針和信息安全目標，建立和完善公司的信息安全管理體系。提供充分的資源以保證信息安全管理體系的制定、實施、運作、監(jiān)

14、控、維護和改善。對公司信息資產(chǎn)實行有效管理，確保信息的機密性，維持信息的完整性和可用性，防范對信息的未經(jīng)授權(quán)訪問。對公司信息資產(chǎn)進行風險評估，制定風險可接受標準，對公司不能接受的風險進行處置。建立業(yè)務(wù)持續(xù)性管理流程。進行業(yè)務(wù)持續(xù)性風險評估，編寫、測試并實施業(yè)務(wù)持續(xù)性計劃和災(zāi)難恢復(fù)計劃，以保證公司關(guān)鍵業(yè)務(wù)的連續(xù)，不受重大故障和災(zāi)難的影響。確保公司所有員工都接受信息安全的教育培訓(xùn)，提高信息安全意識。保護公司、客戶、相關(guān)合作方的信息安全。建立公司信息安全組織架構(gòu)，明確信息安全責任，確定報告可疑的和發(fā)生的信息安全事故及事件的流程，對違反安全制度的人員進行懲罰。建立物理安全和網(wǎng)絡(luò)安全管理制度，以確保信息

15、的安全性。保護公司軟件和信息的完整性，防止病毒與各種惡意軟件的入侵。任何人在未經(jīng)審批的情況下，禁止將信息資產(chǎn)帶離公司。公司所有員工都要嚴格遵守公司的安全方針、程序和制度。控制對內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護網(wǎng)絡(luò)服務(wù)的安全性與可用性。對用戶賬號、口令和權(quán)限進行嚴格管理，防止對信息系統(tǒng)的非授權(quán)訪問。對重要信息進行備份保護，以保證信息的可用性。定期對信息安全管理體系進行內(nèi)審和管理評審。3.5 信息安全管理委員會為了加強對信息安全管理體系運作的管理，江蘇金馬揚名信息技術(shù)有限公司公司成立信息安全管理委員會，其職責見下列明細表。信息安全管理職責明細表序號單位/部門信息安全職責1信息安全信息安全管理委員會是我公

16、司信息安全最高組織機構(gòu)，負責本單位網(wǎng)管理委員會絡(luò)與信息安全重大事項的決策和協(xié)調(diào)，并對全公司信息安全工作負責。2總經(jīng)理信息安全第一責任人，制定信息安全方針，對信息安全全面負責。3管理者代表經(jīng)總經(jīng)理授權(quán)負責建立、實施、檢查、改進信息安全管理體系。我公司信息安全管理體系的歸口管理部門。1. 負責管理體系的建立、實施、保持、測量和改進。2. 負責文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織和體系的改進。3. 負責本公司保密工作的管理。4. 安全區(qū)域的保衛(wèi)管理部門，負責安全區(qū)域的管理。4 綜合管理部5. 負責全公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識和培訓(xùn)，員工離職管理。

17、6. 負責涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。7. 對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。8. 參與涉密及司法介入的信息安全事件的調(diào)查。是我公司信息系統(tǒng)安全管理部門。5生產(chǎn)技術(shù)部 負責局域網(wǎng)上所承擔的各類信息系統(tǒng)的管理職能；負責我公司信息系統(tǒng)安全日常管理。認真執(zhí)行信息安全管理的方針、標準、安全策略和規(guī)范，做好內(nèi)部培6其他部門訓(xùn)。備注：以上職能劃分，適用所有信息安全管理體系文件。信息安全管理委員會組成人員：姓名部門職務(wù)備注3 6 服務(wù)管理職能說明3 6 1 為保證 IT 服務(wù)管理體系的順利實施，以及實施后得到持續(xù)的管理和維護，在現(xiàn)有的組織架構(gòu)外

18、建立服務(wù)管理職能關(guān)系架構(gòu)。IT 服務(wù)管理職能關(guān)系架構(gòu)，并不替代現(xiàn)有的按技術(shù)類別進行的分工，現(xiàn)有的按技術(shù)類別進的分工，在將來的IT 服務(wù)管理體系中仍將發(fā)揮其作用。服務(wù)部根據(jù)IT 服務(wù)管理程序要求對所有服務(wù)合同按照項目進行管理與運行，由項目經(jīng)理按照服務(wù)管理職能關(guān)系架構(gòu)中的要求對項目執(zhí)行管理。一個完整的服務(wù)項目必須包含服務(wù)臺、事件管理、業(yè)務(wù)關(guān)系管理、信息安全管理、 供應(yīng)商管理和IT 財務(wù)管理。 對于上圖虛線框內(nèi)的的問題管理、發(fā)布管理、 配置管理、變更管理、可用性和連續(xù)性管理、容量管理、服務(wù)級別管理以及服務(wù)報告可由服務(wù)部經(jīng)理依照與用戶簽署的服務(wù)合同進行選擇裁剪。3 62 角色分配說明3 6 2 1 針

19、對服務(wù)部當前組織架構(gòu)及人員狀況，將不再為每一具體流程分配流程經(jīng)理。為此將13 個流程，按其必要程度分成必選流程和可裁剪流程兩大模塊。由項目經(jīng)理負責相應(yīng)流程的實施、管理和控制。對項目組成員主要是組織、協(xié)調(diào)、安排相應(yīng)工作任務(wù)的完成，可能并不是由自己去完成。3 62 1 1 項目經(jīng)理職責說明：1 ）、負責 IT 服務(wù)項目的立項工作，按照服務(wù)合同要求負責相應(yīng)流程的實施、管理和控制。組織、協(xié)調(diào)、安排項目組成員完成相應(yīng)工作任務(wù)。2 ）、負責從服務(wù)臺接受事件報告開始，分配相應(yīng)的職能小組進行事件處理，直至找到問題的根本原因的整個過程的管理和協(xié)調(diào)。3 ）、負責各系統(tǒng)的配置管理、變更和發(fā)布控制。4 ）、負責系統(tǒng)的

20、可用性規(guī)劃和管理、負責安排系統(tǒng)連續(xù)性的計劃和演練，并負責系統(tǒng)容量的規(guī)劃和監(jiān)控。5 ）、主要負責與用戶的溝通，對供應(yīng)商的管理，以及項目的預(yù)/決算的管理。3 6 2 12 能力要求：熟悉服務(wù)部的各種服務(wù)管理流程，具有較強的內(nèi)部協(xié)調(diào)能力。由管理者代表授權(quán)技術(shù)服務(wù)事業(yè)部總監(jiān)，按ISO/IEC 20000的要求，負責協(xié)調(diào)和組織所有與IT服務(wù)有關(guān)的活動，通過管理和實施各項活動，使IT服務(wù)業(yè)務(wù)的質(zhì)量得到有效的保持和維護。技術(shù)服務(wù)事業(yè)部組織制訂、批準和發(fā)布公司IT服務(wù)策略、服務(wù)目標，并使其成為公司關(guān)注的焦點，成為公司協(xié)調(diào)、統(tǒng)一、凝聚公司的所有活動和資源的準則，成為建立、實施、保持并改進IT 服務(wù)管理體系的宗旨

21、。3 63 公司 IT 服務(wù)策略：客戶至上、全員參與、創(chuàng)新高效、系統(tǒng)管理、追求卓越公司 IT 服務(wù)目標：公司通過服務(wù)質(zhì)量改進程序確定年度服務(wù)質(zhì)量目標公司的 IT 服務(wù)目標按ISO/IEC 20000 的要求， 與公司的業(yè)務(wù)相結(jié)合，并通過流程績效不斷提高和改進。技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門，通過會議、評審、書面報告、培訓(xùn)等方式，及時有效溝通工作，達到 IT 服務(wù)管理目標和持續(xù)改進的需求，并在公司中積極貫徹實施IT 服務(wù)管理的重要性。技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門按照PDCA 的要求，通過對所屬業(yè)務(wù)的規(guī)劃，適時優(yōu)化和提供資源以計劃、實施、監(jiān)控、評審和改進IT 服務(wù)的交付和管理。管理者代表按照服務(wù)

22、質(zhì)量改進管理程序中的計劃間隔，由技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門實施IT服務(wù)管理體系的內(nèi)部審核，確保IT 服務(wù)管體系的有效性與符合性。管理者代表按照服務(wù)質(zhì)量改進管理程序中的計劃間隔，組織相關(guān)部門執(zhí)行IT 服務(wù)管理體系的管理評審，確保IT 服務(wù)管理體系持續(xù)的穩(wěn)定、充分和有效。3 6 4 文件要求3641 公司的文件管理體系分為A 、B、 C、D 四層，即A 層為管理手冊、B 層為程序文件、C 層為工作流程或規(guī)定、D 層為記錄。3 64 2 管理手冊 描述 IT 服務(wù)管理體系的文件，是全體員工必須長期遵循的法規(guī)性文件。3 64 3 程序文件 覆蓋公司主要業(yè)務(wù)過程的流程文件，是管理手冊的支撐性文件。3

23、 64 4 工作流程或規(guī)定 是開展具體業(yè)務(wù)工作的規(guī)范類、指導(dǎo)性文件，是程序文件的支持性文件。3 64 5 記錄 在開展具體業(yè)務(wù)工作過程中產(chǎn)生的記錄類文件，主要是為具體工作結(jié)果提供各種可追溯性證據(jù)。36 46 技術(shù)服務(wù)事業(yè)部負責組織制訂文件和記錄管理程序，明確文件的擬制、批準、發(fā)放、變更、存檔等管理要求，并監(jiān)控實施。3 64 7 技術(shù)服務(wù)事業(yè)部負責組織相關(guān)部門，根據(jù)公司的業(yè)務(wù)特點及標準的要求，制訂相關(guān)的程序文件，經(jīng)公司管理者代表批準后實施。3 64 8 技術(shù)服務(wù)事業(yè)部負責組織擬制與本部門業(yè)務(wù)相關(guān)的各類C 層文件，并按文件和記錄管理程序的要求對文件和記錄的有效性進行管理。4 信息安全管4.1 總要

24、求4.1.1公司根據(jù)整體業(yè)務(wù)活動（軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動）和所面臨的風險，按 ISO/IEC 27001:2005信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求規(guī)定，參照 ISO/IEC 27002:2005信息技術(shù) - 安全技術(shù) - 信息安全管理實用規(guī)則標準， 建立、實施、運作、監(jiān)控、維護并改進文件化的信息安全管理體系。4.1.2 本手冊使用的過程基于 PDCA 模式。相關(guān)文件：信息安全方針及目標4.2 建立和管理信息安全管理體系（ISMS ）4.2.1建立 ISMS4.2.1.1信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊

25、界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b) 與所述信息系統(tǒng)有關(guān)的活動；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊JIN/QM 3.2 公司信息安全管理體系組織架構(gòu)。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司 ISMS 的物理范圍為本公司位于xxxxxxxxxxxxxxx的辦公場所，安全邊界詳見附錄 A （規(guī)范性附錄）辦公場所

26、平面圖 。 4.2.1.2 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第 0.3 條款。該信息安全方針符合以下要求：a) 為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風險評價的準則；e) 經(jīng)最高管理者批準。為實現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信

27、息安全管理組織機構(gòu)，確定信息安全目標和控制措施；明確信息安全的管理職責，見本信息安全管理手冊第 3.4 條款。；b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；e) 對全體員工進行持續(xù)的信息安全教育和培訓(xùn)， 不斷增強員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。4.2.1.3風險評估的方法生技部負責制定信息安全風險管理程序，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)

28、要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。信息安全風險評估采用信息安全風險管理軟件（ Info-riskmanager ）進行，以保證所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4 識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風險管理程序，采用Info-riskmanager 風險管理軟件，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重

29、要資產(chǎn)清單。同時，根據(jù)信息安全風險管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。4.2.1.5分析和評價風險本公司按信息安全風險管理程序，采用信息安全風險管理軟件，分析和評價風險：a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進行賦值；b) 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c) 根據(jù)信息安全風險管理程序計算風險等級；d) 根據(jù)信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。 4.2.1.6 識別和評價風險

30、處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成風險處理計劃，該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴) 控制風險，采用適當?shù)膬?nèi)部控制措施；b) 接受風險（不可能將所有風險降低為零）；c) 避免風險（如物理隔離）；d) 轉(zhuǎn)移風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）。4.2.1.7選擇控制目標與控制措施網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標，并將目標分解到有關(guān)部門（見信息安全適用性聲明）：a) 信息安全控制目標獲得了信息安全最高責任者的批準。

31、b) 控制目標及控制措施的選擇原則來源于 ISO/IEC 27001:2005 信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求附錄 A，具體控制措施參考 ISO/IEC 27002:2005 信息技術(shù) - 安全技術(shù) - 信息安全管理實用規(guī)則。c) 本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。4.2.1.8對風險處理后的剩余風險，得到了公司最高管理者的批準。4.2.1.9最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權(quán)。4.2.1.10適用性聲明生技部負責編制信息安全適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標與控制措施的概要描述，以及

32、選擇的原因；b) 對 ISO/IEC 27001:2005 附錄 A 中未選用的控制目標及控制措施理由的說明。4.2.2實施和運行 ISMS4.2.2.1 為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a) 形成風險處理計劃，以確定適當?shù)墓芾泶胧⒙氊熂鞍踩刂拼胧┑膬?yōu)先級；b) 為實現(xiàn)已確定的安全目標、實施風險處理計劃，明確各崗位的信息安全職責；c) 實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d) 確定如何測量所選擇的控制措施的有效性， 并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e) 進行信息安全培訓(xùn)，提高全員信息安全意識和能

33、力；f) 對信息安全體系的運作進行管理；g) 對信息安全所需資源進行管理；h) 實施控制程序，對信息安全事件（或征兆）進行迅速反應(yīng)。4.2.2.2信息安全組織機構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機構(gòu) - 信息安全委員會，其職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是：研究決定貫標工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò)，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準信息

34、安全的方法和過程，如風險評估、信息分類；d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧?.2.2.3 信息安全職責和權(quán)限本公司總經(jīng)理為信息安全最高責任者。總經(jīng)理指定了信息安全管理者代表。無論信息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責：a) 建立并實施信息安全管理體系必要的程序并維持其有效運行；b) 對信息安全管理體系的運行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責任者

35、報告。各部門負責人為本部門信息安全管理責任者， 全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門、人員有關(guān)信息安全職責分配見本信息安全管理手冊第 3.4 條款信息安全管理職責明細表和相應(yīng)的程序文件。4.2.2.4 各部門應(yīng)按照信息安全適用性聲明中規(guī)定的安全目標、控制措施（包括安全運行的各種控制程序）的要求實施信息安全控制措施。4.2.3監(jiān)控和評審 ISMS4.2.3.1 本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a) 及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b) 及時了解識別失敗的和成功的

36、安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d) 使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e) 積累信息安全方面的經(jīng)驗 ;4.2.3.2 根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第 7 章。4.2.3.3 網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照信息安全風險管理程序的要求，采用信息安全風險管理軟件，對風險處

37、理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應(yīng)及時進行風險評估：a) 組織；b) 技術(shù)；c) 業(yè)務(wù)目標和過程；d) 已識別的威脅；e) 實施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。4.2.3.4 按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第 6 章。4.2.3.5定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7 章。4.2.3.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。4.2.3.7記錄可能對信息安全

38、管理體系有效性或業(yè)績有影響的活動和事情。4.2.4保持與持續(xù)改進 ISMS我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；b) 按照內(nèi)部審核管理程序、糾正措施管理程序、預(yù)防措施管理程序的要求采取適當?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性；c) 通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。包括獲取外部信息安全專家的建議、 信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等；d) 對信息安全目標及分解進行適當?shù)墓芾恚_保改進達到預(yù)期的效果。

39、相關(guān)文件：系統(tǒng)風險評估方法適用性聲明管理評審程序內(nèi)部審核控制程序糾正措施控制程序預(yù)防措施控制程序4.3 文件要求4.3.1總則ISMS 文件應(yīng)包括：a) 形成文件的 ISMS 方針和控制目標；b) ISMS 范圍c) ISMS 的支持性程序和控制措施；d) 風險評估方法的描述；e) 風險評估報告；f) 風險處置計劃；g) 公司為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何測量控制措施有效性所需的程序文件；h) 標準所要求的記錄；i) 適用性聲明。所有文件應(yīng)按 ISMS方針要求在需要時可獲得。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護和控制，應(yīng)編制形成文件的程序以規(guī)定以下方面所需的

40、管理措施：a) 文件發(fā)布前得到批準以確保文件是充分的；b) 必要時對文件進行評審與更新并再次批準；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d) 確保在使用處可獲得適用文件的適用版本；e) 確保文件保持合法并易于識別；f) 確保外來文件得到識別；g) 確保文件的分發(fā)是受控的；h) 防止作廢文件的非預(yù)期使用；i) 若因任何原因而保留作廢文件時對這些文件進行適當?shù)臉俗R；4.3.3記錄控制應(yīng)建立并保持記錄，以提供符合要求和 ISMS有效運行的證據(jù)。記錄應(yīng)得到保護并且受控。ISMS應(yīng)考慮相關(guān)法律要求，記錄應(yīng)易于識別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的識別、貯存、保護、檢索、保存期限和處置所需的

41、控制，確定記錄需要和程度的管理過程。保持過程業(yè)績的記錄以及與 ISMS有關(guān)的安全事件的記錄。例如，記錄包括訪問者登記審核記錄和訪問授權(quán)。相關(guān)文件：文件控制程序記錄控制程序5 管理職責5.1 管理承諾管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)控、評審、維護和改進 ISMS的承諾提供證據(jù)。a) 建立信息安全方針；b) 確保信息安全目標和計劃的建立；c) 為信息安全分配角色和職責；d) 向公司傳達滿足信息安全目標、符合信息安全方針、法律責任和持續(xù)改進的重要性；e) 提供足夠的資源以建立、實施、運行、監(jiān)控、評審、維護和改進ISMS；f) 決定可接受風險的標準和可接受風險的等級；g) 確保 ISMS內(nèi)

42、部審核的執(zhí)行；h) 進行 ISMS管理評審。相關(guān)文件：信息安全方針和目標部門職責管理評審程序系統(tǒng)風險評估方法5.2資源管理5.2.1資源提供公司應(yīng)確定和提供以下方面所需的資源a) 建立建立、實施、運行、監(jiān)控、維護和改進 ISMSb) 確保信息安全程序支持業(yè)務(wù)需求；c) 識別并確定法律法規(guī)要求和合同安全責任；d) 通過正確應(yīng)用所有實施的控制措施的來維持足夠的安全；e) 必要時進行評估，并對評估結(jié)果采取適當?shù)膶?yīng)措施；f) 必要時改進 ISMS的有效性。5.2.2培訓(xùn)、意識和能力公司應(yīng)確保在 ISMS 中任命職責的人員應(yīng)能夠勝任要求的任務(wù)a) 確定從事影響信息安全工作的人員所必需的能力；b) 提供

43、足夠的能力培訓(xùn)或其它措施，必要時聘用有能力的人員滿足這些要求；c) 評估所提供的培訓(xùn)和采取措施的有效性；d) 保持教育、培訓(xùn)、技能、經(jīng)驗和資質(zhì)的適當記錄。公司應(yīng)確保員工認識到所從事信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn) ISMS目標作出貢獻。相關(guān)文件：人力資源管理控制程序6ISMS 內(nèi)部審核公司應(yīng)按計劃的時間間隔進行 ISMS內(nèi)部審核，以確定控制目標、控制措施、過程和程序是否：a) 符合標準及相關(guān)法律法規(guī)的要求；b) 符合確定的信息安全要求；c) 得到有效地實施和維護；d) 按期望運行。內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核過程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準則、

44、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。應(yīng)建立形成文件的程序， 以規(guī)定策劃和實施審核的職責和要求以及報告結(jié)果和保持記錄。受審核區(qū)域的負責人應(yīng)確保立即采取措施，以消除發(fā)現(xiàn)的不符合及其原因。改進措施包括所采取措施的驗證并匯報驗證結(jié)果。相關(guān)文件：內(nèi)部審核控制程序7ISMS 管理評審7.1 總則管理者應(yīng)按策劃的時間間隔評審公司的 ISMS（至少一年一次） ，以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價 ISMS 改進的機會和變更的需要，包括安全方針和安全目標的適宜性。評審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。7.2 管理評審輸入管理評審的輸入應(yīng)包

45、括以下方面的信息：a) ISMS 審核（包括內(nèi)審和外審）和管理評審的結(jié)果；b) 相關(guān)方（客戶、供應(yīng)商、內(nèi)部員工等）的反饋；c) 公司用于改進 ISMS 業(yè)績和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化；d) 預(yù)防和糾正措施的實施情況；e) 上次風險評估未充分指出的弱點或威脅；f) 體系有效性測量的結(jié)果；g) 上次管理評審所采取措施的跟蹤驗證；h) 影響 ISMS 的變更，如信息安全組織架構(gòu)變化等；i) 改進的建議。7.3 管理評審輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施a) ISMS 有效性的改進b) 風險評估和風險處理計劃的更新c) 必要時修訂影響信息安全的程序和控制措施，以反映可能

46、影響 ISMS 的內(nèi)外事件，包括以下變化1 業(yè)務(wù)需求；2 安全需求；3 影響已有業(yè)務(wù)需求的業(yè)務(wù)過程；4 法律法規(guī)環(huán)境；5 合同義務(wù)；6 風險和 / 或風險接受準則。d) 資源需求e) 針對被測量的控制措施有效性的改進相關(guān)文件：管理評審程序8 ISMS 的改進8.1 持續(xù)改進公司應(yīng)通過應(yīng)用信息安全方針、安全目標、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審，持續(xù)改進 ISMS的有效性。8.2 糾正措施公司應(yīng)采取措施消除 ISMS實施和運行的不符合原因，以防止其再發(fā)生。糾正措施文件程序應(yīng)規(guī)定以下方面的要求。a) 識別 ISMS實施和運行的不符合項；b) 確定不符合的原因；c) 評價確保不符合

47、不再發(fā)生所需的措施；d) 決定和實施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評審所采取的糾正措施。8.3 預(yù)防措施公司應(yīng)決定措施以防范未來的不符合， 防止發(fā)生采取的預(yù)防措施應(yīng)與潛在問題的影響相匹配，預(yù)防措施文件程序應(yīng)規(guī)定以下方面的要求。a) 確定潛在不符合及其原因；b) 評價預(yù)防不符合發(fā)生所需的措施；c) 決定實施所需的預(yù)防措施；d) 記錄所采取措施的結(jié)果；e) 評審所采取的預(yù)防措施。公司應(yīng)識別發(fā)生變化的風險，并通過關(guān)注變化顯著的風險來識別預(yù)防措施要求。應(yīng)根據(jù)風險評估結(jié)果來確定預(yù)防措施的優(yōu)先級。相關(guān)文件：糾正措施控制程序預(yù)防措施控制程序IT 服務(wù)管理服務(wù)管理規(guī)劃和實施在開展 IT 服

48、務(wù)管理的活動中，PDCA 原理貫穿于IT 服務(wù)管理體系的全部流程，其中：P（計劃） 根據(jù)客戶要求和公司策略建立目標和流程。D （實施） 實施流程。C（檢查） 根據(jù)策略、目標和要求對過程和服務(wù)進行監(jiān)控、測量，并報告結(jié)果。A （改進） 采取措施以持續(xù)改進流程的性能。計劃服務(wù)管理服務(wù)部向客戶提供三大服務(wù)項目：常駐現(xiàn)場技術(shù)服務(wù)、定期巡檢技術(shù)服務(wù)、咨詢規(guī)劃設(shè)計服務(wù)。甘肅萬維公司為不斷滿足市場需求和企業(yè)自身發(fā)展需要，將在未來將原有的三大技術(shù)服務(wù)內(nèi)容重新規(guī)劃和設(shè)計，細化成六大服務(wù)內(nèi)容：基礎(chǔ)設(shè)施服務(wù)、運維服務(wù)、專業(yè)技術(shù)服務(wù)、IT 安全服務(wù)、咨詢設(shè)計評估服務(wù)、培訓(xùn)服務(wù)。從而實現(xiàn)在堅持原有行業(yè)內(nèi)的服務(wù)的基礎(chǔ)上向行業(yè)外擴展的計劃。服務(wù)部根據(jù)公司IT 服務(wù)管理職能關(guān)系架構(gòu)圖中的所分配的職責并依據(jù)條款4-9 中所規(guī)定的服務(wù)管理過程向客戶提供IT 服務(wù)