ISO27001手冊(cè)信息安全管理手冊(cè)

1、.信息安全管理手冊(cè)變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化狀態(tài) *簡(jiǎn)要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期11.0C創(chuàng)建，全頁。2009-1-5金浩海金浩海曹立斌2009-1-5*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D刪除目 錄01信息安全管理手冊(cè)發(fā)布令402信息安全方針批準(zhǔn)令503任命書704公司介紹81.目的和范圍91.1 總則91.2范圍91.3刪減說明92.引用標(biāo)準(zhǔn)93.術(shù)語和定義93.1 術(shù)語93.2 縮寫94.信息安全管理體系94.1 總要求94.2 建立和管理ISMS104.3 文件要求145.管理職責(zé)165.1 管理承諾165.2 資源管

2、理165.2.3 相關(guān)文件176. ISMS內(nèi)部審核176.1 總則176.2 內(nèi)審策劃176.3 內(nèi)審實(shí)施177. ISMS 管理評(píng)審177.1 總則177.2 評(píng)審輸入177.3 評(píng)審輸出188 ISMS改進(jìn)188.1持續(xù)改進(jìn)188.2 糾正措施189. 記錄19表A.1受控文件清單20表A.3 信息安全組織機(jī)構(gòu)圖25表A.4 信息安全職責(zé)說明26表A.5 江蘇蘇州金商科技發(fā)展有限公司新點(diǎn)2008年12月組織機(jī)構(gòu)圖3001信息安全管理手冊(cè)發(fā)布令本信息安全管理手冊(cè)(以下簡(jiǎn)稱手冊(cè))第1.0版是我們公司按照 ISO/IEC 27001:2005信息安全管理體系要求，并結(jié)合我們公司管理工作的實(shí)踐和

3、公司組織機(jī)構(gòu)的設(shè)置而編寫的，體現(xiàn)了我們公司對(duì)信息安全的承諾及持續(xù)改進(jìn)的要求。本手冊(cè)貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實(shí)際運(yùn)作情況，可作為向客戶及第三方組織提供信息安全保證和進(jìn)行信息安全管理體系審核的依據(jù)，全體員工必須嚴(yán)格遵照?qǐng)?zhí)行。現(xiàn)予以批準(zhǔn)，同意發(fā)布實(shí)施。總經(jīng)理：批準(zhǔn)日期：2009-1-5. v.02信息安全方針批準(zhǔn)令信息安全管理體系方針1.總體方針：滿足客戶要求，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。2.詮釋：一、信息安全管理機(jī)制1我們通過計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備提供軟件開發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)等服務(wù)，因此，信息資產(chǎn)的安全性對(duì)我們來說是非常重要的事情。為了保證各種信息資產(chǎn)

4、的保密性、完整性、可用性，給客戶提供更加安心的服務(wù)，我們依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，全面保護(hù)公司的信息安全，并承諾如下：一、信息安全管理組織1. 總經(jīng)理對(duì)信息安全全面負(fù)責(zé)，批準(zhǔn)信息安全方針，確定安全要求，提供資源。2. 信息安全管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3. 在公司內(nèi)部建立息安全組織機(jī)構(gòu)：信息安全委員會(huì)及信息安全工作小組，負(fù)責(zé)信息安全管理體系的運(yùn)行。4. 與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。二、人員安全1. 信息安全

5、需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2. 對(duì)公司的相關(guān)方，如：軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、清潔等人員，也要明確安全要求和安全職責(zé)。3. 定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育和培訓(xùn)，包括：技能、職責(zé)等，以提高安全意識(shí)。4. 全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。三、識(shí)別法律、法規(guī)、合同中的安全1. 及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿足安全要求。四、風(fēng)險(xiǎn)評(píng)估1 根據(jù)公司業(yè)務(wù)信息

6、安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2 定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別公司風(fēng)險(xiǎn)的變化。公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。3 應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。五、報(bào)告安全事件1 公司建立報(bào)告安全事件的渠道和相應(yīng)部門。2 全體員工有報(bào)告安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3 接受報(bào)告的相應(yīng)部門應(yīng)記錄所有報(bào)告，及時(shí)相應(yīng)處理，并向報(bào)告人員反饋處理結(jié)果。六、監(jiān)督檢查1 定期對(duì)信息安全進(jìn)行定期或不定期的監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等，2 對(duì)信息安全方針及其他信息安全政策進(jìn)行定期評(píng)審（至少一年一次

7、）或不定期評(píng)審七、業(yè)務(wù)持續(xù)性1 公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，減少信息系統(tǒng)的中斷發(fā)生的幾率，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。2 定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試演練和更新。八、違反信息安全要求的懲罰1 對(duì)違反安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。2009年1月5 日XXXX有限公司總經(jīng)理：. v.03任 命 書為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命行政部經(jīng)理XXX為XXXXX有限公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和

8、權(quán)限：1 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系；2 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3 確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；4 審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5 批準(zhǔn)發(fā)布程序文件；6 主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；7 向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外審核情況。本授權(quán)書自任命日起生效執(zhí)行。. v.04公司介紹一、 公司簡(jiǎn)介首批通過認(rèn)定的軟件企業(yè)、江蘇省高新技術(shù)企業(yè)；通過ISO9000質(zhì)量體系認(rèn)定，通過CMMI L3認(rèn)證評(píng)估；建筑智能化設(shè)計(jì)甲級(jí)、施工三級(jí)

9、；江蘇省軟件和集成電路專項(xiàng)基金項(xiàng)目開發(fā)承擔(dān)者。公司自建自用的軟件園占地面積1公頃、建筑面積4300平方米，設(shè)施齊全，條件優(yōu)良。專業(yè)從事電子政務(wù)軟件、建筑行業(yè)軟件的開發(fā)，年純軟件銷售額超過2300萬元。開發(fā)平臺(tái)主要采用微軟的.NET技術(shù)，及其它的微軟系列開發(fā)工具。主要軟件產(chǎn)品有：政府版OA、網(wǎng)站大師、數(shù)據(jù)整合、報(bào)表統(tǒng)計(jì)、系列造價(jià)軟件等，其中套裝軟件累計(jì)銷售20000多套，同時(shí)為200多個(gè)政府部門完成了700多個(gè)定制項(xiàng)目，業(yè)績(jī)?cè)跇I(yè)內(nèi)領(lǐng)先。經(jīng)過8年摸索，公司現(xiàn)已進(jìn)入快速擴(kuò)張期，已在江蘇各地及上海、浙江設(shè)有數(shù)十個(gè)分支機(jī)構(gòu)或服務(wù)點(diǎn)，擬建立更多的銷售服務(wù)點(diǎn)。公司注冊(cè)資本1000萬元，員工總?cè)藬?shù)超過150人

10、，本科學(xué)歷為主體，平均年齡27周歲。二、 股權(quán)結(jié)構(gòu)公司管理者公司骨干員工、三、 部門劃分董事會(huì)下的總經(jīng)理負(fù)責(zé)制。主要部門有：行政部：負(fù)責(zé)公司財(cái)務(wù)、人事、采購(gòu)、資質(zhì)管理、后勤等工作。拓展部：技術(shù)研究，方案設(shè)計(jì)，售前支持。開發(fā)部：公司所有軟、硬件產(chǎn)品的開發(fā)。測(cè)試部：公司所有軟、硬件產(chǎn)品的測(cè)試。市場(chǎng)部：市場(chǎng)推廣，產(chǎn)品銷售。又分為各軟件事業(yè)部和地區(qū)辦事處。實(shí)施部：售后支持，硬件施工，軟件安裝、調(diào)試、培訓(xùn)和服務(wù)。四、 指導(dǎo)思想l 推廣和使用先進(jìn)技術(shù)l 為社會(huì)提供有益的服務(wù)和產(chǎn)品l 創(chuàng)造物質(zhì)財(cái)富l 培養(yǎng)一批中產(chǎn)階級(jí)五、 長(zhǎng)期目標(biāo)l 建立良好的工作硬環(huán)境l 引導(dǎo)公司內(nèi)部和諧的人際關(guān)系l 提供優(yōu)厚的薪酬待遇l

11、 為員工個(gè)人發(fā)展提供平臺(tái)l 建立長(zhǎng)期健康、平穩(wěn)發(fā)展的機(jī)制六、 主要業(yè)務(wù)l 軟件開發(fā)：“一點(diǎn)智慧”長(zhǎng)期從事工程造價(jià)行業(yè)的軟件研發(fā)，專業(yè)種類齊全。自99年開始，幾乎參與了江蘇省建設(shè)廳所有專業(yè)定額的編制工作，還參與了江蘇省水利廳、國(guó)家人防辦的定額編制工作。目前正版軟件套數(shù)已超1萬套，累計(jì)培訓(xùn)人數(shù)超過3萬人次，遍布江蘇全省各地，是最大的造價(jià)軟件開發(fā)商之一。“一點(diǎn)智慧”定額計(jì)價(jià)系列包括：土建預(yù)決算、安裝預(yù)決算、修繕預(yù)決算、園林預(yù)決算、交通預(yù)決算、電力預(yù)決算；“一點(diǎn)智慧”清單計(jì)價(jià)系列包括：建筑與裝飾專業(yè)、安裝專業(yè)、市政專業(yè)；“一點(diǎn)智慧”行業(yè)造價(jià)應(yīng)用包括：水利投標(biāo)報(bào)價(jià)、水利概算、水利維修加固、農(nóng)業(yè)開發(fā)造價(jià)、

12、人防造價(jià)；“一點(diǎn)智慧”其他建筑業(yè)軟件包括：計(jì)算機(jī)輔助評(píng)標(biāo)、投標(biāo)管理、鋼筋翻樣、圖形算工程量、施工組織設(shè)計(jì)、標(biāo)書制作、施工平面設(shè)計(jì)；電子政務(wù)應(yīng)用軟件：“一點(diǎn)智慧”致力于政府的信息化建設(shè)，推出了一系列基于.NET架構(gòu)的政務(wù)應(yīng)用軟件，采用先進(jìn)的瀏覽器技術(shù)，部署靈活，維護(hù)方便。已經(jīng)形成一系列，包括，網(wǎng)上辦公OA、網(wǎng)上審批、報(bào)表統(tǒng)計(jì)、數(shù)據(jù)采集等產(chǎn)品。公司除了擁有自己的軟件產(chǎn)品之外，還針對(duì)客戶的需要開發(fā)了專門的軟件，這些軟件有：暫住人口管理系統(tǒng)、招標(biāo)辦電子評(píng)標(biāo)系統(tǒng)、江蘇省建設(shè)廳造價(jià)企業(yè)系統(tǒng)、建筑質(zhì)量監(jiān)管系統(tǒng)等。l 建筑智能化設(shè)計(jì)和施工主要工程在張家港本地，憑借建筑施工和設(shè)計(jì)二級(jí)資質(zhì)。七、 員工管理 科技以

13、人為本，高素質(zhì)、年輕化的人才隊(duì)伍是企業(yè)發(fā)展的原動(dòng)力，是“一點(diǎn)智慧”驕傲的資本。公司一百五十多名員工中，本科以上畢業(yè)生占90%，其中不乏碩士、留學(xué)歸國(guó)人員等中高級(jí)人才。公司員工平均年齡27歲。實(shí)行內(nèi)部集中培訓(xùn)和導(dǎo)師制；員工根據(jù)工作性質(zhì)，實(shí)行崗位級(jí)別制；薪酬和業(yè)績(jī)、工作量、效益掛鉤；在公司內(nèi)部實(shí)行末尾淘汰制。八、 企業(yè)文化1、員工是公司最重要的財(cái)富，也是公司賴以存在、發(fā)展和壯大的最重要的資源。2、公司努力為全體員工提供優(yōu)厚的待遇、良好的工作環(huán)境，隨著公司的發(fā)展，使員工個(gè)人也得到進(jìn)步和發(fā)展。3、競(jìng)爭(zhēng)鼓勵(lì)先進(jìn)、淘汰落后，保持活力。對(duì)公司如此，對(duì)個(gè)人亦如此。4、活動(dòng)：體育比賽、培訓(xùn)、新春聯(lián)歡會(huì)、集體婚禮

14、九、 未來之路在“一點(diǎn)智慧”人的眼里，未來充滿著機(jī)遇、挑戰(zhàn)和希望?；A(chǔ)：創(chuàng)新、規(guī)范、1、軟件：規(guī)范化、規(guī)?；能浖S行業(yè)軟件產(chǎn)品開發(fā)國(guó)內(nèi)定制軟件開發(fā)國(guó)外定制軟件開發(fā)2、弱電工程：特定行業(yè)內(nèi)領(lǐng)先行業(yè)內(nèi)的優(yōu)秀解決方案自有知識(shí)產(chǎn)權(quán)的軟硬件一體化產(chǎn)品. v.信息安全管理手冊(cè)1.目的和范圍1.1 總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱ISMS），確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。1.2范圍本手冊(cè)適用于ISO/IEC 27001:20054.2.1a)

15、條款確定范圍內(nèi)的信息安全管理活動(dòng)。1)業(yè)務(wù)范圍：軟件開發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)及相關(guān)支持部門的活動(dòng)2)物理范圍：張家港市經(jīng)濟(jì)開發(fā)區(qū)（港城大道與長(zhǎng)興路交匯處）新點(diǎn)軟件辦公大樓；3)資產(chǎn)范圍：與1)所述業(yè)務(wù)活動(dòng)及2）物理環(huán)境內(nèi)相關(guān)的軟件，硬件，人員及支持性服務(wù)等全部信息資產(chǎn)；4)邏輯邊界：公司連接互聯(lián)網(wǎng)的服務(wù)器及相關(guān)數(shù)據(jù)傳輸?shù)幕顒?dòng)；5)ISO27001：2005條款的適用性與公司最新版本的適用性聲明一致。1.3刪減說明本信息安全管理手冊(cè)采用了ISO/IEC27001:2005標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減見適用性聲明SOA。2.引用標(biāo)準(zhǔn)下列文件中的條款通過本信息安全管理手冊(cè)的引用而成為本信息安

16、全管理手冊(cè)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修改版均不適用于本信息安全管理手冊(cè)，然而，信息安全小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊(cè)。ISO/IEC 17799:2005 信息技術(shù)安全技術(shù)-信息安全管理實(shí)施細(xì)則ISO/IEC 27001:2005信息安全管理體系要求3.術(shù)語和定義3.1 術(shù)語ISO/IEC 27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求、ISO/IEC 17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則規(guī)定的術(shù)語和定義適用于本信息安全管理手冊(cè)。3.2 縮寫IS

17、MS：Information Security Management Systems 信息安全管理體系；SOA: Statement of Applicability 適用性聲明； PDCA: Plan Do Check Action 計(jì)劃、實(shí)施、檢查、改進(jìn)。本手冊(cè)采用ISO/IEC 27001:2005中的術(shù)語和定義。4.信息安全管理體系4.1 總要求公司依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)有效性，對(duì)過程的應(yīng)用和管理詳見信息安全管理體系過程模式圖（圖1）。信息安全管理體

18、系是在公司整體經(jīng)營(yíng)活動(dòng)和經(jīng)營(yíng)風(fēng)險(xiǎn)架構(gòu)下，針對(duì)信息安全風(fēng)險(xiǎn)的管理體系；輸入輸出相關(guān)方信息安全的要求和期望相關(guān)方管理的信息安全建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMSPlanDoCheckAction圖1信息安全管理體系過程模式圖4.2 建立和管理ISMS4.2.1 建立ISMS公司應(yīng)：a)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS范圍和邊界，包括在范圍內(nèi)任何刪減的細(xì)節(jié)和理由（見1.2范圍部分）。b)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS方針，必須滿足以下要求：1) 為ISMS目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則

19、；2) 考慮業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全義務(wù)；3) 與公司戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持ISMS；4) 建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；5) 總經(jīng)理批準(zhǔn)發(fā)布ISMS方針。c) 定義公司風(fēng)險(xiǎn)評(píng)估方法。行政部負(fù)責(zé)建立信息安全風(fēng)險(xiǎn)評(píng)估管理程序并組織實(shí)施。信息安全風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。1) 識(shí)別適用于ISMS和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。2) 建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí) 。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。具體參照國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)。3) 公司的風(fēng)險(xiǎn)評(píng)估的流程公司

20、制定信息安全風(fēng)險(xiǎn)評(píng)估控制程序，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。信息安全風(fēng)險(xiǎn)評(píng)估的流程見圖2.風(fēng)險(xiǎn)評(píng)估流程圖。確定ISMS范圍事件發(fā)生的影響事件發(fā)生的可能性資產(chǎn)識(shí)別與重要資產(chǎn)確定威脅識(shí)別已有控制措施確認(rèn)薄弱點(diǎn)識(shí)別保持已有的控制措施施施施選擇目標(biāo)及控制措施實(shí) 施殘余風(fēng)險(xiǎn)評(píng)審YESNo是否接受確定風(fēng)險(xiǎn)等級(jí)Yes圖2.風(fēng)險(xiǎn)評(píng)估流程圖d) 識(shí)別風(fēng)險(xiǎn)：1) 識(shí)別ISMS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)

21、進(jìn)行列表識(shí)別。信息資產(chǎn)包括業(yè)務(wù)過程、文檔/數(shù)據(jù)、軟件/系統(tǒng)、硬件/設(shè)施、人力資源、服務(wù)、無形資產(chǎn)等。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成信息資產(chǎn)識(shí)別表。2) 識(shí)別對(duì)這些資產(chǎn)的威脅，一項(xiàng)資產(chǎn)可能面對(duì)若干個(gè)威脅；3) 識(shí)別可能被威脅利用的脆弱性，一項(xiàng)脆弱性也可能面對(duì)若干個(gè)威脅；4) 識(shí)別保密性、完整性和可用性損失可能對(duì)資產(chǎn)造成的影響。e) 分析并評(píng)價(jià)風(fēng)險(xiǎn)：1) 在資產(chǎn)識(shí)別的基礎(chǔ)上，針對(duì)每一項(xiàng)重要信息資產(chǎn)，依據(jù)風(fēng)險(xiǎn)評(píng)估原則中的信息資產(chǎn)CIAB分級(jí)標(biāo)準(zhǔn)，進(jìn)行CIAB的資產(chǎn)賦值計(jì)算；2) 針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考風(fēng)險(xiǎn)評(píng)估原則中的威脅參考表及以往的安全事故（事件）記錄

22、、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出重要信息資產(chǎn)所面臨的所有威脅；3) 按照風(fēng)險(xiǎn)評(píng)估原則中的威脅分級(jí)標(biāo)準(zhǔn)對(duì)每一個(gè)威脅發(fā)生的可能進(jìn)行賦值；4) 針對(duì)每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考風(fēng)險(xiǎn)評(píng)估原則中的脆弱性參考表識(shí)別出被該威脅可能利用的所有薄弱點(diǎn)，并根據(jù)風(fēng)險(xiǎn)評(píng)估原則中的脆弱性分級(jí)標(biāo)準(zhǔn)對(duì)每一個(gè)脆弱性被威脅利用的難易程度進(jìn)行賦值；5) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合威脅和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行評(píng)價(jià)。6) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合資產(chǎn)和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行評(píng)價(jià)。7) 按照風(fēng)險(xiǎn)評(píng)估模型對(duì)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行計(jì)算得出風(fēng)險(xiǎn)評(píng)估賦值，并按照風(fēng)險(xiǎn)評(píng)估原則中的風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)評(píng)價(jià)出信息安全風(fēng)險(xiǎn)等級(jí)。8

23、) 對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定的信息安全風(fēng)險(xiǎn)接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)。f) 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇：對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?) 應(yīng)用適當(dāng)?shù)目刂埔越档惋L(fēng)險(xiǎn)：這可能是降低事件發(fā)生的可能性，也可能是降低安全失敗(保密性、完整性或可用性丟失)的業(yè)務(wù)損害。2) 如果能證明風(fēng)險(xiǎn)滿足公司的方針和風(fēng)險(xiǎn)接受準(zhǔn)則，有意的、客觀的接受風(fēng)險(xiǎn)；一般針對(duì)那些不可避免的風(fēng)險(xiǎn)，而且技術(shù)上、資源上不可能采取對(duì)策來降低，或者降低對(duì)公司來說不經(jīng)濟(jì)。 “接受風(fēng)險(xiǎn)”是針對(duì)判斷為不可接受的風(fēng)險(xiǎn)所采取的處理方法，而不是針對(duì)那些低于風(fēng)險(xiǎn)

24、接受水平的本來就可接受的風(fēng)險(xiǎn)。3) 避免風(fēng)險(xiǎn)；對(duì)于不是公司的核心工作內(nèi)容的活動(dòng)，公司可以采取避免某項(xiàng)活動(dòng)或者避免采用某項(xiàng)不成熟的產(chǎn)品技術(shù)等來回避可能產(chǎn)生的風(fēng)險(xiǎn)。4) 將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如保險(xiǎn)公司、供方。信息安全工作小組應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。g) 為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制措施。應(yīng)選擇并實(shí)施控制目標(biāo)和控制措施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程所識(shí)別的要求。選擇時(shí)，應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。信息安全工作小組根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定信息安全目標(biāo)，并將目標(biāo)分解

25、到有關(guān)部門。信息安全目標(biāo)應(yīng)獲得信息安全最高責(zé)任者的批準(zhǔn)。從附錄A中選擇的控制目標(biāo)和控制措施應(yīng)作為這一過程的一部分，并滿足上述要求。公司也可根據(jù)需要選擇另外的控制目標(biāo)和控制措施。注：附錄A包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的控制可選措施。h) 獲得最高管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)，剩余風(fēng)險(xiǎn)接受批準(zhǔn)應(yīng)該在風(fēng)險(xiǎn)評(píng)估表上留下記錄，并記錄殘余風(fēng)險(xiǎn)處置批示報(bào)告。i) 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)。ISMS管理者代表的任命和授權(quán)、ISMS文檔的簽署可以作為實(shí)施和運(yùn)作ISMS的授權(quán)證據(jù)。j) 準(zhǔn)備適用性聲明，內(nèi)容應(yīng)包

26、括：1) 所選擇的控制目標(biāo)和控制措施，以及選擇的原因；2) 當(dāng)前實(shí)施的控制目標(biāo)和控制措施；3) 附錄A中控制目標(biāo)和控制措施的刪減，以及刪減的理由。4)信息安全工作小組負(fù)責(zé)組織編制信息安全適用性聲明(SOA)。注：適用性聲明提供了一個(gè)風(fēng)險(xiǎn)處理決策的總結(jié)。通過判斷刪減的理由，再次確認(rèn)控制目標(biāo)沒有被無意識(shí)的遺漏。4.2.2 實(shí)施并運(yùn)作ISMS為確保ISMS有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a) 制定風(fēng)險(xiǎn)處理計(jì)劃闡明為控制信息安全風(fēng)險(xiǎn)確定的適當(dāng)?shù)墓芾砘顒?dòng)、職責(zé)以及優(yōu)先權(quán)。b) 為了達(dá)到所確定的控制目標(biāo)，實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，包括考慮資金以及角色和職責(zé)的分配，明確各崗位的信息安全職責(zé)

27、；c) 實(shí)施所選的控制措施，以滿足控制目標(biāo)。d) 確定如何測(cè)量所選擇的一個(gè)/組控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果。注：測(cè)量控制措施的有效性允許管理者和相關(guān)人員來確定這些控制措施實(shí)現(xiàn)策劃的控制目標(biāo)的程度。e) 實(shí)施培訓(xùn)和意識(shí)計(jì)劃。f) 對(duì)ISMS的運(yùn)作進(jìn)行管理。g) 對(duì)ISMS的資源進(jìn)行管理。h) 實(shí)施能夠快速檢測(cè)安全事情、響應(yīng)安全事件的程序和其它控制。4.2.3 監(jiān)控并評(píng)審ISMSa) 本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：1）快速檢測(cè)處理結(jié)果中的錯(cuò)誤；2）快速識(shí)別失敗的

28、和成功的安全破壞和事件；3）能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；4) 幫助檢測(cè)安全事情，并利用指標(biāo)預(yù)防安全事件；5）確定解決安全破壞所采取的措施是否有效。b) 定期評(píng)審ISMS的有效性（包括安全方針和目標(biāo)的符合性，對(duì)安全控制措施的評(píng)審），考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。c) 測(cè)量控制措施的有效性，以證實(shí)安全要求已得到滿足。d) 按照計(jì)劃的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估，評(píng)審剩余風(fēng)險(xiǎn)以及可接受風(fēng)險(xiǎn)的等級(jí)，考慮到下列變化：1) 組織機(jī)構(gòu)和職責(zé)；2) 技術(shù)；3) 業(yè)務(wù)目標(biāo)和過程；4) 已識(shí)別的威脅；5) 實(shí)施控制的有效性； 6) 外部事件，例如法律或規(guī)章環(huán)

29、境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。e) 按照計(jì)劃的時(shí)間間隔（不超過一年）進(jìn)行ISMS內(nèi)部審核。注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司的名義進(jìn)行的審核。f) 定期對(duì)ISMS進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別ISMS過程的改進(jìn)。g) 考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。h) 記錄可能對(duì)ISMS有效性或業(yè)績(jī)有影響的活動(dòng)和事情。4.2.4 保持并持續(xù)改進(jìn)ISMS本公司開展以下活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：a) 實(shí)施已識(shí)別的ISMS改進(jìn)措施。 b) 采取適當(dāng)?shù)募m正和預(yù)防措施。吸取從其他公司的安全經(jīng)驗(yàn)以及組織自身安全實(shí)踐中得到的教訓(xùn)。c) 與所有相關(guān)方溝通措

30、施和改進(jìn)。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜，必要時(shí)，應(yīng)約定如何進(jìn)行。d) 確保改進(jìn)達(dá)到其預(yù)期的目標(biāo)。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：a)文件化的信息安全方針、控制目標(biāo)；b)信息安全管理體系手冊(cè)（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；c)本手冊(cè)要求的信息安全風(fēng)險(xiǎn)評(píng)估管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正和預(yù)防措施程序、管理評(píng)審程序等支持性程序；d)ISMS引用質(zhì)量管理體系的支持性程序。如：文件控制程序、記錄控制程序、內(nèi)部審核控制程序等； e)為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；f)風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃以及ISMS要求的記錄類；g)相關(guān)

31、的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h)適應(yīng)性聲明。4.3.2 信息安全管理手冊(cè)a)編寫目的：向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息，用于對(duì)公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。b)信息安全管理手冊(cè)的編寫：由管理者代表負(fù)責(zé)組織編寫，總經(jīng)理批準(zhǔn)后發(fā)布實(shí)施。c)信息安全管理手冊(cè)的管理：信息安全工作小組負(fù)責(zé)保管及發(fā)放管理。d)信息安全管理手冊(cè)的發(fā)放：手冊(cè)分“受控”和 “非受控”兩種。受控手冊(cè)在封面上加蓋紅色“受控文件”章，僅限于公司內(nèi)部使用，當(dāng)修訂或換版時(shí)進(jìn)行相應(yīng)控制，且人員調(diào)離時(shí)應(yīng)予歸還；非受控手冊(cè)不蓋任何印章，發(fā)放對(duì)象為認(rèn)證機(jī)構(gòu)、客戶等，在修訂和換版時(shí)不予控制。4.3.2 文件控制公

32、司制定并實(shí)施文件控制程序，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：a)文件在發(fā)放前應(yīng)按規(guī)定的審核和批準(zhǔn)權(quán)限進(jìn)行批準(zhǔn)后才能發(fā)布；b)必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并按規(guī)定的權(quán)限重新批準(zhǔn)；c)由信息安全工作小組對(duì)文件的現(xiàn)行修訂狀態(tài)進(jìn)行標(biāo)識(shí)，文件更改由相應(yīng)更改部門進(jìn)行標(biāo)識(shí)，確保文件的更改狀態(tài)清晰明了；d)信息安全工作小組應(yīng)確保所有使用文件的場(chǎng)所能夠獲得有關(guān)文件

33、的有效的最新版本；e)確保文件保持清晰、易于識(shí)別；f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀；g)各部門獲得外來文件應(yīng)統(tǒng)一交相關(guān)部門保存，進(jìn)行標(biāo)識(shí)并控制發(fā)放，確保外來文件得到識(shí)別；h)確保文件的分發(fā)得到控制；i)信息安全工作小組應(yīng)控制作廢文件的使用，若各部門有必要保存作廢文件時(shí)，應(yīng)向信息安全工作小組報(bào)告，防止作廢文件的非預(yù)期使用；j)若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4.3.3記錄控制a)信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。信息安全小組負(fù)責(zé)整理制定ISMS文件日常應(yīng)用格式匯總，負(fù)責(zé)制定并維持易讀、易識(shí)別、

34、可方便檢索又考慮法律、法規(guī)要求的記錄控制程序，規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。b)信息安全體系的記錄包括4.2中所列出的所有過程的結(jié)果及與ISMS相關(guān)的安全事故。各部門應(yīng)根據(jù)記錄控制程序的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?.3.5 相關(guān)文件文件控制程序記錄控制程序5.管理職責(zé)5.1 管理承諾公司管理者通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a)建立信息安全方針(見本手冊(cè)第04章)；b)確保信息安全目標(biāo)和計(jì)劃得以制定（見信息安全適用性聲明(SOA)、風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄）；c)建立信息安全的角色和職責(zé)(見信息安全職責(zé)說明

35、)；d)向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e)提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體系(見本手冊(cè)第5.2.1章)；f)決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)(見信息安全風(fēng)險(xiǎn)評(píng)估控制程序及相關(guān)記錄)；g)確保內(nèi)部信息安全管理體系審核（見本手冊(cè)第6章）得以實(shí)施；h)實(shí)施信息安全管理體系管理評(píng)審（見本手冊(cè)第7章）。5.2 資源管理5.2.1資源的提供公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體

36、系；b)確保信息安全程序支持業(yè)務(wù)要求；c)識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；d)通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；e)必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；f)需要時(shí)，改進(jìn)信息安全管理體系的有效性。5.2.2 培訓(xùn)、意識(shí)和能力公司制定并實(shí)施人力資源控制程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a)確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力。通過崗位說明書的任職要求來確定，并在招聘活動(dòng)中確認(rèn)相關(guān)信息安全的任職要求；b)提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c)評(píng)價(jià)所采取措施及培訓(xùn)的有效性；d

37、)保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。5.2.3 相關(guān)文件人力資源管理程序6. ISMS內(nèi)部審核6.1總則公司建立并實(shí)施內(nèi)部審核控制程序，內(nèi)部審核控制程序應(yīng)包括策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a)符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b)符合已識(shí)別的信息安全要求；c)得到有效地實(shí)施和維護(hù)；d)按預(yù)期執(zhí)行。6.2 內(nèi)審策劃6.2.1信息安全工作小組應(yīng)考慮

38、擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。公司每年組織最少應(yīng)組織一次內(nèi)部審核。6.2.2每次審核前，信息安全工作小組應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。6.3 內(nèi)審實(shí)施6.3.1 應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a）進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；b）實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，按照檢查的情況填寫檢查表；c）進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會(huì)議、末次會(huì)

39、議，宣布審核意見和不符合報(bào)告；d）審核組長(zhǎng)編制審核報(bào)告。6.3.2 對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由辦公室組織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證；6.3.3 按照記錄控制程序的要求，保存審核記錄。6.3.4 內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一。6.3.5相關(guān)文件內(nèi)部審核控制程序7. ISMS 管理評(píng)審7.1 總則7.1.1公司建立并實(shí)施管理評(píng)審控制程序，管理者應(yīng)按管理評(píng)審控制程序規(guī)定的時(shí)間間隔評(píng)審信息安全管理體系，每年最少進(jìn)行一次，以確保其持續(xù)的適宜性、充分性和有效性。7.1.2管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)

40、。7.1.3管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。7.2 評(píng)審輸入管理評(píng)審的輸入要包括以下信息：a)信息安全管理體系審核和評(píng)審的結(jié)果；b)相關(guān)方的反饋；c)用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；d)預(yù)防和糾正措施的狀況；e)以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱性或威脅；f)有效性測(cè)量的結(jié)果；g)以往管理評(píng)審的跟蹤措施；h)任何可能影響信息安全管理體系的變更；i)改進(jìn)的建議。7.3 評(píng)審輸出7.3.1管理評(píng)審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b) 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃；c) 必要時(shí)，修訂影響信息安全的程序和控制措施，以反映

41、可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：1) 業(yè)務(wù)要求；2) 安全要求；3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4) 法律法規(guī)要求；5) 合同責(zé)任； 6) 風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。d) 資源需求；e) 改進(jìn)測(cè)量控制措施有效性的方式。f)管理評(píng)審報(bào)告由管理者代表編制，經(jīng)總經(jīng)理批準(zhǔn)后發(fā)往各部門，管理者代表負(fù)責(zé)存檔。7.3.2 相關(guān)文件：管理評(píng)審程序8 ISMS改進(jìn)8.1持續(xù)改進(jìn)公司的持續(xù)改進(jìn)是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標(biāo)、安全審核、監(jiān)控時(shí)間的分析、糾正和預(yù)防措施以及管理評(píng)審方面都要持續(xù)改進(jìn)信息安全管理體系的有效性。8.2 糾正措

42、施8.2.1 糾正措施公司制定并實(shí)施糾正和預(yù)防措施管理程序，針對(duì)發(fā)現(xiàn)的不符合現(xiàn)象，采取措施，消除不符合的原因，并防止不符合項(xiàng)的再次發(fā)生。對(duì)糾正措施的實(shí)施和驗(yàn)證規(guī)定以下步驟：a) 識(shí)別不符合；b) 確定不符合的原因；c) 評(píng)價(jià)確保不符合不再發(fā)生的措施要求；d) 確定和實(shí)施所需的糾正措施；e) 記錄所采取措施的結(jié)果；f) 評(píng)審所采取的糾正措施，將重大糾正措施提交管理評(píng)審討論。8.2.2 預(yù)防措施公司制定并實(shí)施糾正和預(yù)防措施管理程序，針對(duì)潛在的不符合，采取措施，消除不符合的原因，并防止不合格的發(fā)生。對(duì)預(yù)防措施的實(shí)施和驗(yàn)證規(guī)定以下步驟：a)識(shí)別潛在的不符合及其原因；b)評(píng)價(jià)預(yù)防不符合發(fā)生的措施要求；c

43、)確定并實(shí)施所需的預(yù)防措施，預(yù)防措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來確定；d)記錄所采取措施的結(jié)果；e)評(píng)審所采取的預(yù)防措施將重大預(yù)防措施提交管理評(píng)審討論。8.2.3相關(guān)文件糾正和預(yù)防措施管理程序9.記錄本程序發(fā)生的記錄匯總表見表1（表式見ISMS文件日常應(yīng)用格式匯總）。表號(hào)記錄編號(hào)記錄名稱保管場(chǎng)所保存期限保存形式備注表A.1受控文件清單三年書面、電子表A.2信息安全體系要求與部門職能分配表表A.3信息安全組織機(jī)構(gòu)圖三年書面、電子表A.4信息安全職責(zé)說明表A.5組織機(jī)構(gòu)圖三年書面、電子. v.表A.1受控文件清單序號(hào)文件編號(hào)程序文件文件版本11.021.031.041.051.061.071.08

44、1.091.0101.0111.0121.0131.0141.0151.0161.0171.0181.0191.0201.0211.0221.0231.0241.0251.0261.0. v.表2 信息安全體系要求與部門職能分配表ISO 27001條文要求總經(jīng)理管理者代表行政部實(shí)施部開發(fā)部信息安全工作小組4信息安全管理體系4.1總要求4.2建立并管理ISMS4.2.1建立ISMS4.2.2實(shí)施和運(yùn)行ISMS4.2.3監(jiān)視和評(píng)審ISMS4.2.4保持和改進(jìn)ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制5管理職責(zé)5.1管理者承諾5.2資源管理5.2.1資源提供5.2.2培

45、訓(xùn)、意識(shí)和能力6ISMS內(nèi)部審核7ISMS 管理評(píng)審7.1總則7.2評(píng)審輸入7.3評(píng)審輸出8ISMS 改進(jìn)8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施附錄A條文要求總經(jīng)理管理者代表行政部實(shí)施部開發(fā)部信息安全工作小組A.5安全方針A.5.1信息安全方針A.6信息安全組織A.6.1內(nèi)部組織A.6.2外部相關(guān)方A.7資產(chǎn)管理A.7.1資產(chǎn)責(zé)任A.7.2信息分類A.8人力資源安全A.8.1聘用前A.8.2聘用期間A.9物理和環(huán)境安全A.9.1安全區(qū)域A.9.2設(shè)備安全A.10通信和操作管理A.10.1操作程序和職責(zé)A.10.2第三方服務(wù)交付管理A.10.3系統(tǒng)策劃與接收A.10.4防范惡意和可移動(dòng)代碼A

46、.10.5備份A.10.6網(wǎng)絡(luò)安全管理A.10.7介質(zhì)的處理A.10.8信息交換A.10.9電子商務(wù)服務(wù)（只包括A.10.9.3公共信息）A.10.10監(jiān)控A.11訪問控制A.11.1訪問控制的業(yè)務(wù)要求A.11.2用戶訪問管理A.11.3用戶責(zé)任A.11.4網(wǎng)絡(luò)訪問控制A.11.5操作系統(tǒng)訪問控制A.11.6應(yīng)用程序及信息訪問控制A.11.7移動(dòng)PC計(jì)算和遠(yuǎn)程工作A.12信息系統(tǒng)獲取開發(fā)和維護(hù)A.12.1信息系統(tǒng)的安全需求A.12.2應(yīng)用程序的正確處理A.12.3加密控制A.12.4系統(tǒng)文件安全A.12.5開發(fā)和支持過程的安全A.12.6技術(shù)薄弱點(diǎn)管理A.13信息安全事件管理A.13.1報(bào)告信息安全事情和薄弱點(diǎn)A.13.2信息安全事件和改進(jìn)管理A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理中的信息安全事項(xiàng)A.15符合性A.15.1符合法律要求A.15.2符合安全方針和標(biāo)準(zhǔn)，以及技術(shù)符合A.15.3信息系統(tǒng)審核相關(guān)事宜*注：領(lǐng)導(dǎo)職責(zé)以“”表示；負(fù)責(zé)部門以“”表示；相關(guān)部門以“”表示。. v.表A.3信息安全組織機(jī)構(gòu)圖XX有限公司新點(diǎn)信息安全組織結(jié)構(gòu)圖