ISO27001：2013信息安全管理手冊

1、信息安全管理手冊GB/T 22080-2016/ISO/IEC 27001:2013編 寫 委 員 會(huì)信息安全管理手冊GLSC2020第A/0版編 寫：審 核：批 準(zhǔn)：受控狀態(tài)：XXX網(wǎng)絡(luò)科技有限公司發(fā)布時(shí)間：2020年9月1日 實(shí)施時(shí)間：2020年9月1日第 頁01目錄序號(hào)名稱頁碼01目錄102修訂頁303頒布令404任命書505方針、目標(biāo)606企業(yè)簡介807管理手冊9第一章范圍11第二章規(guī)范性引用文件12第三章術(shù)語和定義13第四章組織環(huán)境164.1理解組織及其環(huán)境164.2理解相關(guān)方的需求和期望164.3確定信息安全管理體系范圍174.4信息安全管理體系17第五章領(lǐng)導(dǎo)185.1領(lǐng)導(dǎo)和承諾1

2、85.2方針185.3組織的角色、職責(zé)和權(quán)限19第六章規(guī)劃226.1應(yīng)對風(fēng)險(xiǎn)和機(jī)會(huì)的措施226.1.1總則226.1.2信息安全風(fēng)險(xiǎn)評估226.1.3信息安全風(fēng)險(xiǎn)處置226.2信息安全目的及其實(shí)現(xiàn)規(guī)劃23第七章支持257.1資源257.2能力277.3意識(shí)277.4溝通277.5文件化信息287.5.1總則287.5.2創(chuàng)建和更新287.5.3文件化信息的控制28第八章運(yùn)行308.1運(yùn)行規(guī)劃和控制308.2信息安全風(fēng)險(xiǎn)評估308.3信息安全風(fēng)險(xiǎn)處置30第九章績效評價(jià)319.1監(jiān)視、測量、分析和評價(jià)319.2內(nèi)部審核329.3管理評審32第十章改進(jìn)3510.1不符合及糾正措施3510.2持續(xù)改進(jìn)

3、35F附錄36附錄一證照36附錄二組織機(jī)構(gòu)圖37附錄三職能分配要素表38附錄四程序文件目錄3902修訂頁序號(hào)對應(yīng)章、節(jié)、條號(hào)修訂內(nèi)容修改人及時(shí)間批準(zhǔn)人及批準(zhǔn)時(shí)間03頒布令為提高我公司的信息安全管理水平,保障公司和客戶信息安全，依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求結(jié)合本公司實(shí)際，特制定信息安全管理手冊（以下簡稱“管理手冊”）A/0版。管理手冊闡述了公司信息安全管理，并對公司管理體系提出了具體要求，引用了文件化程序，是公司管理體系的法規(guī)性文件，它是指導(dǎo)公司建立并實(shí)施管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則，也是公司對所有社會(huì)、客戶的承諾

4、。管理手冊是由公司管理者代表負(fù)責(zé)組織編寫，經(jīng)公司總經(jīng)理審核批準(zhǔn)實(shí)施。管理手冊A/0版于2020年9月1日發(fā)布，并自頒布日起實(shí)施。 本公司全體員工務(wù)必認(rèn)真學(xué)習(xí),并嚴(yán)格貫徹執(zhí)行，確保公司信息安全管理體系運(yùn)行有效，實(shí)現(xiàn)信息安全管理目標(biāo)，促使公司信息安全管理工作得到持續(xù)改進(jìn)和不斷發(fā)展。在貫徹管理手冊中，如發(fā)現(xiàn)問題，請及時(shí)反饋，以利于進(jìn)一步修改完善。授權(quán)綜合部為本管理手冊A/0版的管理部門。 XXX網(wǎng)絡(luò)科技有限公司總經(jīng)理：2020年9月1日04任命書為了貫徹執(zhí)行GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求，加強(qiáng)對管理體系運(yùn)作的領(lǐng)導(dǎo)，特任命

5、gary為本公司的信息安全管理者代表。除履行原有職責(zé)外，還具有以下的職責(zé)和權(quán)限如下：（1）確保信息安全管理體系的建立、實(shí)施、保持和更新；進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評估。（2）向最高管理者報(bào)告管理體系的有效性和適宜性，并作為評審依據(jù)用于體系的改進(jìn)；（3）負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；（4）負(fù)責(zé)確保管理手冊的宣傳貫徹工作；（5）負(fù)責(zé)管理體系運(yùn)行及持續(xù)改進(jìn)活動(dòng)的日常督導(dǎo)；（6）負(fù)責(zé)加強(qiáng)對員工的思想教育和業(yè)務(wù)、技術(shù)培訓(xùn)，提高員工信息安全風(fēng)險(xiǎn)意識(shí)；（7）主持公司內(nèi)部審核活動(dòng)，任命內(nèi)部審核人員；（8）代表公司就公司管理體系有關(guān)事宜與外部進(jìn)行聯(lián)絡(luò)。本授權(quán)書自任命日起生效執(zhí)行。 總經(jīng)理： 2020年9月

6、1日05方針、目標(biāo)為提高本公司的信息安全管理水平,保障公司和客戶信息安全，本公司建立了信息安全管理制度，制定了信息安全方針和信息安全目標(biāo)。1 公司信息安全方針滿足客戶需求、強(qiáng)化風(fēng)險(xiǎn)管理、保障信息安全、遵守法律法規(guī)、實(shí)現(xiàn)持續(xù)改進(jìn)。滿足客戶需求：始終堅(jiān)持以客戶為關(guān)注焦點(diǎn)，遵循著公司“竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶滿意”的發(fā)展使命，滿足客戶的需求。強(qiáng)化風(fēng)險(xiǎn)管理：秉承“預(yù)防為主，防治結(jié)合”的理念，優(yōu)化信息安全策略和信息安全管理流程，對運(yùn)行的信息系統(tǒng)和重要信息資產(chǎn)進(jìn)行全方位風(fēng)險(xiǎn)預(yù)防管控，保護(hù)信息系統(tǒng)和重要信息免受各種威脅的損害，使信息安全風(fēng)險(xiǎn)最小化，以確保信息系統(tǒng)業(yè)務(wù)的連續(xù)性。保證信息安全：堅(jiān)

7、持“安全第一、預(yù)防為主”的安全管理方針，定期開展信息安全風(fēng)險(xiǎn)評估，完善信息安全管理制度和管理信息系統(tǒng)災(zāi)害的應(yīng)急預(yù)案，及時(shí)處理不可接受風(fēng)險(xiǎn)，杜絕可能出現(xiàn)的信息安全事故。遵守法律法規(guī)：嚴(yán)格遵守法律法規(guī)，自覺增強(qiáng)社會(huì)責(zé)任感，保障客戶和公司的信息安全。實(shí)現(xiàn)持續(xù)改進(jìn)：發(fā)揮全體員工的潛能，把質(zhì)量預(yù)防機(jī)制構(gòu)筑在每一個(gè)業(yè)務(wù)環(huán)節(jié)中，進(jìn)行全面的質(zhì)量管理，并持續(xù)改進(jìn)。 2 公司信息安全目標(biāo)不可接受風(fēng)險(xiǎn)處理率=100%機(jī)密信息泄密事件=0次重大突發(fā)事件=0次客戶滿意度90% 3部門信息安全目標(biāo)3.1信息安全管理委員會(huì)：不可接受風(fēng)險(xiǎn)處理率=100%3.2綜合部：審核實(shí)施及時(shí)率90%員工入職培訓(xùn)完成率=100%員工保密協(xié)

8、議簽訂率=100%計(jì)劃培訓(xùn)實(shí)施率95%文件有效率=100%文件按時(shí)發(fā)放率=100%3.3技術(shù)部機(jī)密信息泄密事件=0次大面積感染病毒次數(shù)=0次成功防范黑客攻擊率=100%重要信息備份技術(shù)率=100%計(jì)算機(jī)故障處理完成率=100%產(chǎn)品及時(shí)完成率=100%3.4業(yè)務(wù)部客戶滿意度90%產(chǎn)品退回=0投訴=0 總經(jīng)理：fran 2020年9月1日06公司簡介XXX有限公司位于XX省XX市XXX街道XX號(hào)，成立于2019年1月，是一家專注于軟件開發(fā)、企業(yè)信息化建設(shè)、網(wǎng)站建設(shè)、廣告設(shè)計(jì)的專業(yè)型新型電子商務(wù)公司。公司主營業(yè)務(wù)有：網(wǎng)站建設(shè)（包含手機(jī)端網(wǎng)站、PC端官網(wǎng)訂制、公共平臺(tái)搭建等），訂制軟件（包含手機(jī)軟件和

9、電腦軟件）、搭建企業(yè)信息化平臺(tái)、廣告設(shè)計(jì)。作為一家專業(yè)服務(wù)于企業(yè)信息化建設(shè)的公司，公司擁有一只經(jīng)驗(yàn)豐富的行業(yè)精英組成的的團(tuán)隊(duì)，公司自成立一年以來，已經(jīng)為多家企業(yè)完成了網(wǎng)站建設(shè)和推廣，設(shè)計(jì)完成了XXXXX，贏得了眾多客戶的一致好評。通信信息公司名稱：公司地址：聯(lián) 系 人：電 話：傳 真：電子信箱：07管理手冊1 概述本管理手冊依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求以及公司實(shí)際情況編制的，是本公司從事信息安全管理有關(guān)的活動(dòng)的綱領(lǐng)性文件，為保持其持續(xù)適應(yīng)性和有效性，明確管理者和持有者的責(zé)任，對管理手冊的編寫、修訂、發(fā)放等實(shí)行

10、統(tǒng)一管理。2 依據(jù)2.1 GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求3 手冊的編寫和管理職責(zé)3.1管理者代表負(fù)責(zé)組織管理手冊編寫、會(huì)審、修訂并組織宣貫。3.2由總經(jīng)理批準(zhǔn)頒布實(shí)施。3.3資料管理員負(fù)責(zé)管理手冊發(fā)放、回收、登記、保管和控制。3.4管理手冊按“受控”和“非受控”兩種版本管理?！笆芸亍卑姹菊居少Y料管理員保管，非正本限于本公司內(nèi)部使用；“非受控”版本對外發(fā)放，在對外發(fā)放時(shí)必須經(jīng)經(jīng)理批準(zhǔn)并加蓋“非受控”標(biāo)識(shí)后方可對外發(fā)放。4 手冊持有者的責(zé)任4.1管理手冊是本公司信息安全管理體系運(yùn)行的綱領(lǐng)性文件，本公司人員必須認(rèn)真學(xué)習(xí)

11、、了解信息安全管理管理工作等，熟悉各項(xiàng)規(guī)定并嚴(yán)格遵照執(zhí)行。4.2管理手冊是公司的受控文件，限公司內(nèi)部使用，應(yīng)妥善保管，不得遺失、擅自更改、翻印和外借，如有丟失應(yīng)向資料管理員作書面報(bào)告，經(jīng)管理者代表批準(zhǔn)后方可補(bǔ)發(fā)。4.3更改頁下發(fā)后，按更改內(nèi)容要求貫徹執(zhí)行。4.4持有者調(diào)離本公司，必須交回手冊，辦理回收手續(xù)后方可離開。5 管理手冊的宣傳與貫徹5.1管理手冊是本公司活動(dòng)管理的指導(dǎo)性文件，是開展管理活動(dòng)的依據(jù)和規(guī)范，全體人員必須認(rèn)真學(xué)習(xí)和掌握管理手冊的規(guī)定和要求。5.2管理者代表制定宣傳與貫徹計(jì)劃并組織全體人員學(xué)習(xí)，使全體人員了解信息安全管理工作，對管理手冊中條款作必要的說明和解釋，以便在信息安全管

12、理活動(dòng)中得以正確貫徹和執(zhí)行。5.3新調(diào)入本公司工作人員，崗前培訓(xùn)內(nèi)容包含管理手冊的學(xué)習(xí)。6 手冊的修訂6.1在管理體系活動(dòng)中，員工有權(quán)以口頭或書面方式向管理者代表提出修改意見或補(bǔ)充建議。6.2管理者代表負(fù)責(zé)收集修改意見和建議，一般在每年的內(nèi)部評審或管理評審會(huì)議上提出修改意見并進(jìn)行評審。6.3修訂稿由管理者代表組織起草，報(bào)總經(jīng)理審批。修訂稿經(jīng)總經(jīng)理審核批準(zhǔn)后印制，手冊持有者更換修訂后的管理手冊，并對舊版手冊進(jìn)行回收。7 手冊的改版7.1當(dāng)法律法規(guī)、標(biāo)準(zhǔn)發(fā)生變化時(shí)或本公司職能、體制、組織結(jié)構(gòu)等發(fā)生重大變化，現(xiàn)行管理體系與之不相適應(yīng)，或上級主管部門要求改版時(shí)，管理手冊予以改版。7.2 改版工作由管理

13、者代表負(fù)責(zé)，組織人員編寫，新版本由總經(jīng)理負(fù)責(zé)審核。新版本自總經(jīng)理批準(zhǔn)頒布實(shí)施之日起，舊版本同時(shí)廢止并予以回收。第一章 范圍本手冊適用于本公司軟件開發(fā)、網(wǎng)站建設(shè)、企業(yè)信息化管理等活動(dòng)涉及的信息安全管理活動(dòng)。本手冊適用于相關(guān)方審核本公司信息安全管理能力的依據(jù)之一。本手冊是信息安全管理體系文件，滿足公司內(nèi)部管理體系需要。本公司不進(jìn)行外包，本手冊不適用于外包。第二章 規(guī)范性引用文件下列文件對于本手冊的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本手冊。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本手冊。 1）GB/T 22080-2016/ISO/IEC 27001:2

14、013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求2）GB/T 29246/ISO/IEC 27000信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯 第三章 術(shù)語和定義GB/T 29246-2017/ISO/IEC 27000：2016信息技術(shù) 安全技術(shù) 息安全管理體系 概述和詞匯界定的術(shù)語和定義適用于本手冊。3.1審核獲取審核證據(jù)并客觀地對其評價(jià)以確定滿足審核準(zhǔn)則程度的，系統(tǒng)的、獨(dú)立的和文檔化的過程。注1：審核可以是內(nèi)部審核（第一方）或外部審核（第二方或第三方），可以是結(jié)合審核（結(jié)合兩個(gè)或兩個(gè)以上學(xué)科）。注2：“審核證據(jù)”和“審核準(zhǔn)則”在ISO 19011中被定義。3.2審核范圍審核的程度和

15、邊界。3.3能力應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的才能。3.4保密性信息對為授權(quán)的個(gè)人、實(shí)體或過程不可用或不泄露的特性。3.5符合性對要求的滿足。3.6后果事態(tài)影響目標(biāo)的結(jié)果。3.7持續(xù)改進(jìn)為提高性能的反復(fù)活動(dòng)。3.8控制改變風(fēng)險(xiǎn)的措施。3.9控制目標(biāo)描述控制的實(shí)施結(jié)果所達(dá)到目標(biāo)的聲明。3.10糾正消除已查明的不符合的措施。3.11整改措施消除不符合的措施。3.12文檔化信息組織需要控制和維護(hù)的信息及其載體。注1：文檔化信息可以采用任何格式，在任何載體中，出自任何來源。注2：文檔化信息可能涉及管理體系，包括相關(guān)過程；為組織運(yùn)作所創(chuàng)建的信息（文檔）；結(jié)果實(shí)現(xiàn)的證據(jù)（記錄）。3.13有效性實(shí)現(xiàn)所計(jì)劃活動(dòng)

16、和達(dá)成所計(jì)劃結(jié)果的程度。3.14信息安全對信息的保密性、完整性和可用性的保持。3.15信息安全持續(xù)性確保信息安全持續(xù)作用的過程和規(guī)程。3.16信息安全事態(tài)識(shí)別到一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明可能違法信息安全策略或控制失效，或者一種可能與信息安全相關(guān)但還不為人知的情況。3.17信息安全事件單一或一系列不希望或意外的，極有可能損害業(yè)務(wù)運(yùn)行和威脅信息安全的信息安全事態(tài)。3.18信息安全事件管理發(fā)現(xiàn)、報(bào)告、評估、響應(yīng)、處理和總結(jié)信息安全事件的過程。3.19信息系統(tǒng)應(yīng)用、服務(wù)、信息技術(shù)資產(chǎn)或其他信息處理組件。3.20管理體系組織中相互管理或相互作用的要素集，用來建立策略和目標(biāo)以及達(dá)到這些目標(biāo)的過程

17、。3.21測量確定一個(gè)值的過程。3.22監(jiān)視確定系統(tǒng)、過程或活動(dòng)狀態(tài)的行為。3.23不符合對要求的不滿足。3.24過程將輸入轉(zhuǎn)換成輸出的相互關(guān)聯(lián)或相關(guān)作用的活動(dòng)集。3.25評審針對實(shí)現(xiàn)所設(shè)立目標(biāo)為主題，為確定其適宜性、充分性和有效性而采取的活動(dòng)。3.26風(fēng)險(xiǎn)對目標(biāo)不確定性影響。3.27利益相關(guān)方對于一項(xiàng)決策或活動(dòng)，可能對其產(chǎn)生影響，或被其影響，或認(rèn)為自己受到影響的人或組織。3.28信息安全管理體系項(xiàng)目 ISMS組織為實(shí)施ISMS所開展的結(jié)構(gòu)化項(xiàng)目。3.29信息處理設(shè)施任何的信息處理系統(tǒng)、服務(wù)或基礎(chǔ)設(shè)施，或者其安置的物理位置。第四章 組織環(huán)境4.1理解組織及其環(huán)境4.1.1公司通過收集信息、識(shí)別

18、、分析和評價(jià)確認(rèn)影響公司信息安全管理體系預(yù)期結(jié)果的能力相關(guān)的外部和內(nèi)部因素，外部、內(nèi)部因素分析結(jié)果為確定以下事項(xiàng)提供依據(jù)： a）確定管理體系范圍； b）建立管理體系； c）確定應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施； d）管理評審輸入。 4.1.2評價(jià)公司外部因素可以包括，但不限于：社會(huì)和文化、政治、法律法規(guī)、財(cái)務(wù)、技術(shù)、經(jīng)濟(jì)、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域和當(dāng)?shù)?；影響公司目?biāo)的動(dòng)力和趨勢；與外部利益相關(guān)方的關(guān)系，以及它們的感受和價(jià)值觀。4.1.3評價(jià)組織內(nèi)部因素可以包括，但不限于：管理方法、組織結(jié)構(gòu)、作用和責(zé)任；方針、目標(biāo)，以及為實(shí)現(xiàn)它們所制定的戰(zhàn)略；以資源和知識(shí)來理解的能力；信息系統(tǒng)、信息流和決策過程

19、（正式或非正式）；與內(nèi)部利益相關(guān)方的關(guān)系，以及它們的感受和價(jià)值觀；組織的文化；被組織采用的標(biāo)準(zhǔn)、指南和模型；合同關(guān)系的形式和范圍。4.1.4在確定這些相關(guān)要素時(shí)，公司通過實(shí)施、策劃應(yīng)對風(fēng)險(xiǎn)的機(jī)遇和措施，通過適宜的方法對這些內(nèi)部和外部因素的相關(guān)信息進(jìn)行監(jiān)視和評審，確保充分識(shí)別風(fēng)險(xiǎn)，消除風(fēng)險(xiǎn)，降低或減緩風(fēng)險(xiǎn)，充分利用可能的發(fā)展機(jī)遇，保證實(shí)現(xiàn)公司信息安全管理體系預(yù)期結(jié)果。4.2理解相關(guān)方的需求和期望4.2.1公司確定與信息安全管理體系有關(guān)的相關(guān)方及相關(guān)方的要求，此類相關(guān)方包括但不限于以下方面：客戶、最終使用者、主管部門、其他，如：股東、員工等。4.2.2公司確定相關(guān)方，通過收集、詢問、調(diào)查等方式了解

20、相關(guān)方的要求（要求包含法律、法規(guī)和合同義務(wù)）。4.2.3公司定期對這些相關(guān)方及其要求的相關(guān)信息進(jìn)行監(jiān)視和評審。4.2.4相關(guān)方及其需求和期望的分析結(jié)果為以下方面提供輸入： a）確定管理體系范圍 b）建立管理體系 c）確定應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的措施 d）管理評審輸入。4.2.5公司定期更新確定的結(jié)果，以便于理解和滿足影響顧客要求和顧客滿意度的需求和期望。4.2.6公司要識(shí)別應(yīng)對當(dāng)前的和預(yù)期的未來需求可導(dǎo)致改進(jìn)和變革的機(jī)會(huì)。4.3確定信息安全管理體系范圍公司信息安全管理體系范圍包含公司活動(dòng)中所有內(nèi)容，范圍包括經(jīng)營業(yè)務(wù)（軟件開發(fā)、企業(yè)信息化建設(shè)、網(wǎng)站建設(shè)、廣告設(shè)計(jì)等）、公司場所、影響公司信息安全管理的內(nèi)部

21、外部因素、相關(guān)方的要求。公司通過管理手冊、程序文件、文件記錄、規(guī)章制度來有效維護(hù)公司信息安全管理體系。4.4信息安全管理體系本公司按照GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求的要求，建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系。領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾最高管理層通過以下活動(dòng)，證實(shí)對信息安全管理體系的領(lǐng)導(dǎo)和承諾：建立了信息安全方針和信息安全目標(biāo)，并與公司戰(zhàn)略方向一致；將信息安全管理體系要求整合到了組織過程中；資源滿足公司信息安全管理體系；通過培訓(xùn)教育、宣傳等方式傳達(dá)信息安全管理體系要求的重要性；確保信息安全管理體系達(dá)到預(yù)期結(jié)果；指導(dǎo)

22、并支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)； g） 促進(jìn)持續(xù)改進(jìn)；h） 支持其他相關(guān)管理角色，以證實(shí)他們的領(lǐng)導(dǎo)按角色應(yīng)用于其責(zé)任范圍。5.2方針5.2.1為提高本公司的信息安全管理水平,保障公司和客戶信息安全，本公司建立了信息安全管理制度，制定了信息安全方針。5.2.2信息安全方針：滿足客戶需求、強(qiáng)化風(fēng)險(xiǎn)管理、保障信息安全、遵守法律法規(guī)、實(shí)現(xiàn)持續(xù)改進(jìn)。（見本手冊：05方針、目標(biāo)）5.2.3公司制定的信息安全方針：a） 與公司意圖相適宜；b） 包括信息安全目的或?yàn)樵O(shè)定信息安全目的提供框架；c） 包括對滿足適用的信息安全相關(guān)要求的承諾；d） 包括對持續(xù)改進(jìn)信息安全管理體系的承諾。5.2.3溝

23、通信息安全方針 a）信息安全方針以文件的形式進(jìn)行了發(fā)布（見本手冊：05方針、目標(biāo)），以便讓員工及時(shí)知曉。b）公司應(yīng)將信息安全方針對全體員工進(jìn)行宣講、教育，確保每個(gè)員工熟悉、理解并貫徹執(zhí)行。c）必要時(shí)，信息安全方針向相關(guān)方提供，告知相關(guān)方。d）公司應(yīng)通過管理評審對信息安全方針進(jìn)行適宜性評審和修訂，以反映不斷變化的內(nèi)部、外部條件和信息。5.3組織的角色、責(zé)任和權(quán)限5.3.1總則為便于信息安全管理體系的有效運(yùn)行，公司明確規(guī)定各層次各部門人員的職責(zé)和權(quán)限，并形成文件，以保證信息安全管理體系充分、有效地實(shí)施。管理者應(yīng)確保為信息安全管理體系的建立、實(shí)施、保持和改進(jìn)提供必要的資源。資源包括人力資源和信息處理

24、設(shè)施以及技術(shù)和財(cái)力資源。5.3.2組織框架公司組織機(jī)構(gòu)由領(lǐng)導(dǎo)層、信息安全管理委員會(huì)、綜合部、業(yè)務(wù)部、技術(shù)部、財(cái)務(wù)部組成，公司組織機(jī)構(gòu)圖見附錄二。5.3.3人員及部門職責(zé)和權(quán)限如下：5.3.3.1總經(jīng)理a）擬訂公司中長期發(fā)展規(guī)劃、公司年度經(jīng)營計(jì)劃、公司經(jīng)營管理制度并負(fù)責(zé)實(shí)施。b）領(lǐng)導(dǎo)公司建立各級組織機(jī)構(gòu)，并按公司戰(zhàn)略規(guī)劃進(jìn)行機(jī)構(gòu)調(diào)整。c）領(lǐng)導(dǎo)公司制定各種規(guī)章制度，并深入貫徹實(shí)施。d）主持公司日常經(jīng)營管理；確定公司組織機(jī)構(gòu)并確定部門職責(zé)，協(xié)調(diào)公司內(nèi)外關(guān)系。e）負(fù)責(zé)建立、實(shí)施、保持信息安全管理體系并持續(xù)改進(jìn)其有效性，確認(rèn)公司信息安全管理方針、目標(biāo)的建立和實(shí)施。f）決定各職能部門負(fù)責(zé)人的任免、報(bào)酬、獎(jiǎng)

25、懲。g）加強(qiáng)企業(yè)文化建設(shè)，搞好社會(huì)公共關(guān)系，樹立公司良好的社會(huì)形象。h）總經(jīng)理是公司的第一責(zé)任人，對整個(gè)公司的經(jīng)營業(yè)績負(fù)責(zé)。5.3.3.2管理者代表確保信息安全管理體系的建立、實(shí)施、保持和更新；進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評估。向最高管理者報(bào)告管理體系的有效性和適宜性，并作為評審依據(jù)用于體系的改進(jìn)；負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；負(fù)責(zé)確保管理手冊的宣傳貫徹工作；負(fù)責(zé)管理體系運(yùn)行及持續(xù)改進(jìn)活動(dòng)的日常督導(dǎo)；負(fù)責(zé)加強(qiáng)對員工的思想教育和業(yè)務(wù)、技術(shù)培訓(xùn)，提高員工信息安全風(fēng)險(xiǎn)意識(shí)；主持公司內(nèi)部審核活動(dòng)，任命內(nèi)部審核人員；代表公司就公司管理體系有關(guān)事宜與外部進(jìn)行聯(lián)絡(luò)。5.3.3.3綜合部a）編制員工培訓(xùn)計(jì)

26、劃，組織員工技能培訓(xùn)；b）負(fù)責(zé)公司員工檔案管理及人員招聘及簽署保密協(xié)議；c）編制員工手冊，對公司各部門人員的績效評估、獎(jiǎng)懲及晉升之審核與呈報(bào)；d）負(fù)責(zé)公司文件記錄管理；e）公司辦公用品采購、發(fā)放；f）外部審核和內(nèi)部審核的參與；g）負(fù)責(zé)供方評審；h）對信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容；i）負(fù)責(zé)收集信息安全方面相關(guān)的法律法規(guī)及標(biāo)準(zhǔn)，并將相關(guān)信息及時(shí)傳達(dá)到各部門，組織相關(guān)培訓(xùn)。5.3.3.4技術(shù)部負(fù)責(zé)技術(shù)部的日常工作，制定工作計(jì)劃和信息管理的有關(guān)辦法；組織制定信息安全管理工作的有關(guān)細(xì)則；負(fù)責(zé)公司網(wǎng)絡(luò)安全和信息安全工作；統(tǒng)籌軟件開發(fā)及應(yīng)用；負(fù)責(zé)網(wǎng)站搭建；負(fù)責(zé)廣告設(shè)

27、計(jì)；負(fù)責(zé)公司網(wǎng)站的安全和正常運(yùn)行，技術(shù)指導(dǎo)、處理、協(xié)調(diào)和解決起點(diǎn)工作網(wǎng)技術(shù)問題。5.3.3.5業(yè)務(wù)部 a）熟悉公司電子商務(wù)平臺(tái)的操作，開發(fā)新客戶，尋找合作機(jī)會(huì)； b）了解公司產(chǎn)品，及時(shí)回復(fù)客戶信息，接待上訪客戶，洽談?dòng)唵?，完成銷售業(yè)績； c）負(fù)責(zé)公司客戶反饋信息的搜集，定期對客戶回訪跟蹤。認(rèn)真執(zhí)行信息安全方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好本部門職責(zé)范圍內(nèi)的信息安全管理體系運(yùn)行工作。d）做好業(yè)務(wù)相關(guān)資料的整理和歸檔；e）進(jìn)行客戶滿意度調(diào)查，并進(jìn)行統(tǒng)計(jì)分析評審；f）組織合同評審工作，加強(qiáng)合同管理。5.3.3.6財(cái)務(wù)部a）編制財(cái)務(wù)管理制度，設(shè)置會(huì)計(jì)科目、會(huì)計(jì)賬簿，處理一般會(huì)計(jì)事務(wù)如編制會(huì)計(jì)憑證、會(huì)計(jì)報(bào)

28、表、結(jié)賬、核帳、收款、報(bào)銷處理、薪資發(fā)放等； b）嚴(yán)格監(jiān)控收支情況，辦理銀行結(jié)匯、外匯結(jié)算以及工商、稅務(wù)事項(xiàng)，做到合法、合理交納稅款； c）進(jìn)行會(huì)計(jì)核算，定期清查財(cái)產(chǎn)物資，發(fā)現(xiàn)問題及時(shí)上報(bào)、及時(shí)處理； d）整理、保存相關(guān)的各種會(huì)計(jì)資料和會(huì)計(jì)檔案；e）運(yùn)用會(huì)計(jì)信息和資料做好成本管理工作，及時(shí)對成本、利潤及資金需求進(jìn)行預(yù)測，為公司的經(jīng)營管理提供決策依據(jù)； f）分析財(cái)務(wù)運(yùn)行狀況，撰寫財(cái)務(wù)評價(jià)報(bào)告，向總經(jīng)理報(bào)告財(cái)務(wù)情況和營運(yùn)狀況； g）遵守職業(yè)道德、嚴(yán)守公司機(jī)密，嚴(yán)格財(cái)經(jīng)紀(jì)律，以身作則，奉公守法，嚴(yán)格遵守公司各項(xiàng)規(guī)章制度，嚴(yán)格執(zhí)行各項(xiàng)費(fèi)用開支標(biāo)準(zhǔn)。 5.3.3.7信息安全管理委員會(huì)制定落實(shí)信息等級保護(hù)

29、制度，對信息安全重大事項(xiàng)進(jìn)行決策；制定信息安全管理制度；落實(shí)信息安全隱患整改事宜及事項(xiàng)的處理決定；對公司信息安全工作負(fù)責(zé)。第六章 規(guī)劃6.1應(yīng)對風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1總則建立、實(shí)施并保持應(yīng)對風(fēng)險(xiǎn)和機(jī)會(huì)的措施程序，當(dāng)規(guī)劃信息安全管理體系時(shí)，公司考慮4.1提到的事項(xiàng)和4.2中提到的要求，并確定需要應(yīng)對的風(fēng)險(xiǎn)和機(jī)會(huì)，以：確保信息安全管理體系可達(dá)到預(yù)期結(jié)果；預(yù)防或減少不良影響；達(dá)到持續(xù)改進(jìn)。公司應(yīng)規(guī)劃：應(yīng)對這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；如何：將這些措施整合到信息安全管理體系過程中，并予以實(shí)現(xiàn)；評價(jià)這些措施的有效性。6.1.2信息安全風(fēng)險(xiǎn)評估6.1.2.1建立、實(shí)施并保持信息安全風(fēng)險(xiǎn)控制程序，識(shí)別、分析、評

30、價(jià)信息安全風(fēng)險(xiǎn)，以建立并維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括風(fēng)險(xiǎn)接受準(zhǔn)則；信息安全風(fēng)險(xiǎn)評估實(shí)施準(zhǔn)則。6.1.2.2在已確定的信息安全管理體系范圍內(nèi)，公司按照信息安全風(fēng)險(xiǎn)控制程序識(shí)別與信息保密性、完整信息和可用性有關(guān)的風(fēng)險(xiǎn)，并識(shí)別風(fēng)險(xiǎn)責(zé)任人。6.1.2.3根據(jù)信息安全風(fēng)險(xiǎn)控制程序?qū)ψR(shí)別出的風(fēng)險(xiǎn)進(jìn)行分析，評估與信息保密性、完整信息和可用性有關(guān)的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果，和實(shí)際發(fā)生的可能性，確定風(fēng)險(xiǎn)級別。6.1.2.4評價(jià)信息安全風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)分析結(jié)果與建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較，將縫隙處置排序已分析風(fēng)險(xiǎn)的優(yōu)先級。6.1.2.5公司保留有關(guān)信息風(fēng)險(xiǎn)評估過程的信息安全風(fēng)險(xiǎn)評估記錄、信息安全風(fēng)險(xiǎn)評估報(bào)告等文件化信

31、息。6.1.3信息安全風(fēng)險(xiǎn)處置6.1.3.1建立、實(shí)施并保持信息安全風(fēng)險(xiǎn)控制程序，對信息安全風(fēng)險(xiǎn)進(jìn)行處置。6.1.3.2對設(shè)別的信息安全風(fēng)險(xiǎn)進(jìn)行評估，依據(jù)評估結(jié)果，選擇合適的風(fēng)險(xiǎn)處置選項(xiàng)。6.1.3.3確定實(shí)現(xiàn)已選的信息安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的所有控制。6.1.3.4將確定的控制與GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求附錄A的控制進(jìn)行比較，并驗(yàn)證沒有忽略必要的控制。6.1.3.5制定信息安全適用性聲明，包含必要的控制及其選擇的合理性說明（無論該控制是否已實(shí)現(xiàn)），以及對GB/T 22080-2016/ISO/IEC 2700

32、1:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求附錄A 控制刪減的合理性說明；6.1.3.6由綜合部制定信息安全風(fēng)險(xiǎn)處置計(jì)劃，經(jīng)信息安全委員會(huì)審核，總經(jīng)理批準(zhǔn)實(shí)施。6.1.3.7確定信息安全風(fēng)險(xiǎn)處置責(zé)任人，由總經(jīng)理批準(zhǔn)信息安全殘余風(fēng)險(xiǎn)的接受。6.1.3.7公司保留信息安全風(fēng)險(xiǎn)處置計(jì)劃、信息安全風(fēng)險(xiǎn)處置實(shí)施記錄等有關(guān)信息安全風(fēng)險(xiǎn)處置過程的文件化信息。6.2信息安全目的及其實(shí)現(xiàn)的規(guī)劃6.2.1公司在相關(guān)職能和層級上建立了信息安全目標(biāo)，（見本手冊05方針、目標(biāo)）。公司信息安全目標(biāo)：與公司信息安全方針一致；可測量；考慮適當(dāng)?shù)男畔踩?，以及風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置的結(jié)果；得到溝通；適當(dāng)時(shí)更新；公司將

33、公司信息安全目標(biāo)和部門信息安全目標(biāo)在管理手冊中進(jìn)行了發(fā)布。（見本手冊05方針、目標(biāo)）6.2.2公司通過信息安全管理、定期和不定期的進(jìn)行安全檢查、內(nèi)部審核、管理評審、信息安全風(fēng)險(xiǎn)評估等措施來達(dá)到信息安全的目標(biāo)，在規(guī)劃如何達(dá)到信息安全目的時(shí)，公司確定：a） 要做什么；b） 需要什么資源；c） 由誰負(fù)責(zé)；d） 什么時(shí)候完成；e） 如何評價(jià)結(jié)果。第七章 支持7.1資源7.1.1 總則資源是確保管理體系有效運(yùn)行，實(shí)現(xiàn)信息安全方針和信息安全目標(biāo)的必要條件，公司應(yīng)確定并提供為建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系運(yùn)行所必需的資源，包括：人員、信息、供方、設(shè)備設(shè)施、工作環(huán)境及財(cái)務(wù)資源等，以保證：a）實(shí)施和

34、保持管理體系，并持續(xù)改進(jìn)其有效性；b）滿足顧客、法律法規(guī)及其它相關(guān)方的要求，增強(qiáng)顧客滿意。公司應(yīng)考慮：a）現(xiàn)有內(nèi)部資源的能力和局限性；b）需要從外部供方獲得的資源。7.1.2 人力資源7.1.2.1建立人力資源控制程序，并制定公司崗位職責(zé)及任職要求，應(yīng)確定并配備所需的人員，建立人員檔案，簽訂信息安全保密協(xié)議，定期識(shí)別有效性，以有效實(shí)施信息安全管理體系運(yùn)行過程的控制。7.1.2.2公司綜合部負(fù)責(zé)公司人員的配置管理，定期對在崗人員進(jìn)行績效考核，對不符合要求的進(jìn)行換崗或采取培訓(xùn)的方式提高職工的個(gè)人工作能力。7.1.3 設(shè)備設(shè)施7.1.3.1公司應(yīng)確定、提供并維護(hù)為實(shí)現(xiàn)產(chǎn)品所需要的設(shè)備設(shè)施，設(shè)備設(shè)施可

35、包括：a）建筑物和相關(guān)設(shè)施；b）設(shè)備、包括硬件和軟件；c）信息除了設(shè)施；d）信息和通迅技術(shù) 。7.1.3.2公司建立、保持和實(shí)施設(shè)備設(shè)施控制程序，對公司擁有的設(shè)備設(shè)施進(jìn)行管理。7.1.4 工作環(huán)境7.1.4.1建立、保持和實(shí)施工作環(huán)境控制程序。7.1.4.2公司應(yīng)確定、提供并維護(hù)所需的環(huán)境，適當(dāng)?shù)倪\(yùn)行環(huán)境可能是人為因素與物理因素的結(jié)合，例如：a）社會(huì)因素（如無歧視、和諧穩(wěn)定、無對抗）；b）心理因素（如緩解緊張情緒、預(yù)防職業(yè)倦怠、保證情緒穩(wěn)定）；c）物理因素（如溫度、照明、空氣流通、衛(wèi)生、噪聲等）。由于部門職責(zé)不同，這些因素可能存在顯著差異，公司應(yīng)對工作環(huán)境進(jìn)行統(tǒng)籌規(guī)劃，確保為職工提供適宜的、符

36、合要求的工作環(huán)境并不斷改善。：a）適用的辦公場所，對辦公區(qū)域予以標(biāo)識(shí)；b）確保職工勞動(dòng)條件符合勞動(dòng)法規(guī)的要求；c）工作場所應(yīng)配備必要的通風(fēng)、取暖、消防器材等設(shè)施，保持適宜的溫度、濕度和職業(yè)健康安全條件；d）各級管理者要注意工作方法，關(guān)心職工生活、加強(qiáng)交流溝通，創(chuàng)造條件，營造和諧的工作氛圍。保為職工提供適宜的、符合要求的工作環(huán)境并不斷改善。7.1.5 監(jiān)視和測量資源7.1.5.1 建立、保持和實(shí)施監(jiān)視和測量資源控制程序7.1.5.2當(dāng)利用監(jiān)視或測量來驗(yàn)證產(chǎn)品和服務(wù)符合要求時(shí)，公司應(yīng)確定并提供所需的資源，以確保結(jié)果有效和可靠，公司應(yīng)確保所提供的資源;a）適合所開展的監(jiān)視和測量活動(dòng)的特定類型；b）得

37、到維護(hù)，以確保持續(xù)適其用途。 組織應(yīng)保留適當(dāng)?shù)奈募畔?，作為監(jiān)視和測量資源適合其用途的證據(jù)。7.1.6組織的知識(shí)7.1.6.1由綜合部確定公司所需的知識(shí)，由綜合部對相關(guān)知識(shí)進(jìn)行收集匯總。7.1.6.2綜合部將這些知識(shí)以文件化和電子檔形式保存，并將知識(shí)通過培訓(xùn)、宣傳、放發(fā)等多種形式傳達(dá)到職工。7.1.6.3為了應(yīng)對不斷變化的需求和發(fā)展趨勢，公司應(yīng)審視現(xiàn)有的知識(shí)，確定如何獲取或接觸更多必要的知識(shí)和知識(shí)更新。7.1.6.4公司的知識(shí)是組織特有的知識(shí)，通常從其經(jīng)驗(yàn)中獲得，是以實(shí)現(xiàn)組織目標(biāo)所使用和共享的信息。7.1.6.5公司的知識(shí)可以基于：a）內(nèi)部來源（例如知識(shí)產(chǎn)權(quán)；從經(jīng)驗(yàn)獲得的知識(shí)；從失敗和成功項(xiàng)

38、目吸取的經(jīng)驗(yàn)教訓(xùn)；獲取和分享未成文的知識(shí)和經(jīng)驗(yàn)，過程、產(chǎn)品和服務(wù)的改進(jìn)結(jié)果）；b）外部來源（例如標(biāo)準(zhǔn)；學(xué)術(shù)交流；專業(yè)會(huì)議，從顧客或外部供方收集的知識(shí)）。7.2能力 公司應(yīng)：確定在公司控制下從事會(huì)影響公司信息安全績效的工作人員的必要能力；確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；適用時(shí)，采取措施以獲得必要的能力，并評估所采取措施的有效性；保留培訓(xùn)考核記錄、能力確認(rèn)記錄等文件化信息作為能力的證據(jù)。 注：適用的措施可包括，例如針對現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配；雇傭或簽約有能力的人員。7.3意識(shí)公司通過培訓(xùn)教育、宣傳等方式，使在公司控制下工作的人員意識(shí)到：a） 信息安全方針；b）

39、 其對信息安全管理體系有效性的貢獻(xiàn)， 包括改進(jìn)信息安全績效帶來的益處；c） 不符合信息安全管理體系要求帶來的影響。7.4溝通7.4.1建立、保持和實(shí)施信息交流控制程序，公司確定與信息安全管理體系相關(guān)的內(nèi)部和外部溝通，包括：a）溝通什么；b）何時(shí)溝通；c）與誰溝通；d）如何溝通；e）由誰溝通。f）影響溝通的過程。公司對信息安全管理體系相關(guān)的信息交流做出響應(yīng),適當(dāng)時(shí)，公司保留文件化信息，作為其信息交流的證據(jù)。7.4.2 內(nèi)部信息交流公司應(yīng):a）在其各職能和層次間就信息安全管理體系的相關(guān)信息進(jìn)行內(nèi)部信息交流，適當(dāng)時(shí)，包括交流信息安全管理體系的變更；b）確保其信息交流過程能夠促使在其控制下工作的人員對

40、持續(xù)改進(jìn)做出貢獻(xiàn)。7.4.3 外部信息交流公司應(yīng)按其建立的信息交流過程的規(guī)定及其合規(guī)義務(wù)的要求，就信息安全管理體系的相關(guān)信息進(jìn)行外部信息交流。7.5文件化信息7.5.1總則建立、保持和實(shí)施文件控制程序、記錄控制程序。公司的信息安全管理體系包括：GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求要求的文件化信息；公司實(shí)現(xiàn)信息安全管理體系有效性所必須的文件化信息。 公司信息安全管理體系文件主要有：信息安全管理手冊、程序文件、操作規(guī)范、員工手冊、內(nèi)部審核報(bào)告、管理評審報(bào)告、其他各類記錄表格報(bào)告和外來文件。7.5.2創(chuàng)建和更新在創(chuàng)建和更新成文

41、信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模篴）標(biāo)識(shí)和說明（如：標(biāo)題、日期、作者或引用編號(hào)）；b）格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)的、電子的）；c）評審和批準(zhǔn)，以確保適宜性和充分性。7.5.3文件化信息的控制7.5.3.1公司編制文件控制程序，用以規(guī)范對管理體系文件的管理。綜合部負(fù)責(zé)公司管理體系文件的歸口管理，控制信息安全管理體系和標(biāo)準(zhǔn)所要求的形成文件的信息，以確保：a） 在需要的地點(diǎn)和時(shí)間， 是可用的和適宜使用的；b） 得到充分的保護(hù)（如避免保密性損失、 不恰當(dāng)使用、 完整性損失等） 。7.5.3.2 為控制形成文件的信息，適用時(shí)，公司綜合部應(yīng)采取下列活動(dòng)和措施，a）負(fù)責(zé)文件的分發(fā)、訪問、檢索

42、和使用的控制；b）存儲(chǔ)和防護(hù)，包括保持可讀性；c）公司管理體系發(fā)生更改時(shí)，應(yīng)保持更改控制，比如：版本控制。應(yīng)對文件進(jìn)行必要的評審和修改。對修改的內(nèi)容須再次審批；采用文件更改記錄及版本和修改狀態(tài)標(biāo)識(shí)的方式，識(shí)別所有文件的修訂狀態(tài)；d）保留和處置。7.5.3.3對于公司確定的、策劃和運(yùn)行信息安全管理體系所必需的、來自外部的形成文件的信息，適當(dāng)識(shí)別，公司應(yīng)予以控制。7.5.3.4對所保留的作為符合性證據(jù)的形成文件的信息應(yīng)予以保護(hù)，防止非預(yù)期的更改。防止作廢文件的非預(yù)期使用，對作廢文件及時(shí)回收。因法律或其他原因需保留作廢文件，要進(jìn)行適當(dāng)標(biāo)識(shí)。7.5.3.5對形成文件的信息的“訪問”可能意味著僅允許查閱

43、，或者意味著允許查閱并授權(quán)修改。第八章 運(yùn)行8.1運(yùn)行規(guī)劃和控制 為了滿足信息安全要求以及實(shí)現(xiàn)應(yīng)對風(fēng)險(xiǎn)和機(jī)會(huì)的確定的措施，公司建立、保持和實(shí)施應(yīng)對風(fēng)險(xiǎn)和機(jī)會(huì)的措施程序，為了達(dá)到信息安全目標(biāo)，公司制定了內(nèi)部審核計(jì)劃、管理評審計(jì)劃、風(fēng)險(xiǎn)處理計(jì)劃等一系列計(jì)劃。 公司保持文件化信息達(dá)到必要的程度，以確信這些過程按計(jì)劃得到執(zhí)行。公司控制計(jì)劃內(nèi)的變更并評審非預(yù)期變更的后果，必要時(shí)采取措施減輕任何負(fù)面影響。8.2信息安全風(fēng)險(xiǎn)評估在已確定的信息安全管理體系范圍內(nèi)，考慮建立的準(zhǔn)則，按計(jì)劃的時(shí)間間隔，按信息安全風(fēng)險(xiǎn)管理程序，在范圍內(nèi)進(jìn)行信息安全風(fēng)險(xiǎn)識(shí)別。或當(dāng)重大變更提出或風(fēng)險(xiǎn)發(fā)生時(shí)，執(zhí)行信息安全評估。公司保留信息

44、安全風(fēng)險(xiǎn)評估報(bào)告的文件信息。8.3信息安全風(fēng)險(xiǎn)處置綜合部根據(jù)風(fēng)險(xiǎn)評估的結(jié)果編制信息安全風(fēng)險(xiǎn)處置計(jì)劃，經(jīng)信息安全委員會(huì)審核，總經(jīng)理批準(zhǔn)后實(shí)施。各部門應(yīng)保證計(jì)劃的實(shí)施。公司保留信息安全風(fēng)險(xiǎn)處理記錄的文件化信息。第九章 績效評價(jià)9.1監(jiān)視、測量、分析和評價(jià)9.1.1建立、保持和實(shí)施監(jiān)視和測量控制程序，評價(jià)信息安全績效以及信息安全管理體系的有效性，公司應(yīng)確定：a） 需要被監(jiān)視和測量的內(nèi)容， 包括信息安全過程和控制；b） 適用的監(jiān)視、測量、分析和評價(jià)的方法，以確保得到有效的結(jié)果。c） 何時(shí)應(yīng)執(zhí)行監(jiān)視和測量；d） 誰應(yīng)監(jiān)視和測量；e） 何時(shí)應(yīng)分析和評價(jià)監(jiān)視和測量的結(jié)果；f） 誰應(yīng)分析和評價(jià)這些結(jié)果。公司評

45、價(jià)信息安全績效及信息安全管理體系的有效性。公司應(yīng)確保使用監(jiān)視和測量設(shè)備，并對其予以維護(hù)。公司應(yīng)按其建立的信息交流過程的規(guī)定，就有關(guān)信息安全績效的信息進(jìn)行內(nèi)部和外部信息交流。公司保留適當(dāng)?shù)奈募畔?，作為監(jiān)視、測量、分析和評價(jià)結(jié)果的證據(jù)。 9.1.2 信息安全管理體系績效的監(jiān)視測量和評價(jià)公司策劃并實(shí)施以下方面所需的監(jiān)視測量、分析和改進(jìn)過程：a）證實(shí)服務(wù)的符合性；b）確保信息安全管理體系的有效性；c）持續(xù)改進(jìn)信息安全管理體系的有效性。公司采用有效方法對信息安全管理體系全過程進(jìn)行監(jiān)視和測量，以確保過程能力滿足要求和管理體系的符合性。過程的監(jiān)視和測量由管理者代表負(fù)責(zé)，綜合部組織實(shí)施。通過對關(guān)鍵過程的過

46、程參數(shù)（如：軟件技術(shù)參數(shù)、人員能力等）的測量，對過程能力進(jìn)行監(jiān)視。通過內(nèi)、外部審核、管理評審和日常的監(jiān)督檢查，對信息安全管理體系的保證能力和運(yùn)行質(zhì)量進(jìn)行監(jiān)視和測量。各部門應(yīng)結(jié)合本部門工作的具體情況對公司的管理目標(biāo)進(jìn)行分解，轉(zhuǎn)化為與本部門有關(guān)的具體目標(biāo)，公司對各部門及公司管理目標(biāo)的完成情況按年度進(jìn)行監(jiān)視和測量。為保證對上述內(nèi)容進(jìn)行監(jiān)視和測量，公司采用適宜的方法，包括統(tǒng)計(jì)技術(shù)的應(yīng)用。綜合部負(fù)責(zé)組織確定統(tǒng)計(jì)技術(shù)的使用方法及其應(yīng)用程度。9.2內(nèi)部審核9.2.1建立、保持和實(shí)施內(nèi)部審核控制程序。公司按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，每次內(nèi)部審核時(shí)間間隔不超過12個(gè)月，每年至少進(jìn)行1次內(nèi)部審核，當(dāng)內(nèi)部、外部環(huán)

47、境發(fā)生重大變化時(shí)，管理者代表可以決定增加內(nèi)部審核的次數(shù)，通過內(nèi)部審核，確定信息安全管理體系是否符合公司自身對信息安全管理體系的要求和GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求標(biāo)準(zhǔn)的要求，是否得到有效實(shí)現(xiàn)和維護(hù)。9.2.2由綜合部制定內(nèi)部審核方案，內(nèi)部審核方案包括審核頻次、方法、責(zé)任、規(guī)劃要求和報(bào)告，并考慮相關(guān)過程的重要性和以往內(nèi)部審核的結(jié)果。9.2.3綜合部根據(jù)審核方案制定年度內(nèi)部審核計(jì)劃。9.2.4由管理者代表定義每次內(nèi)部審核的準(zhǔn)則和審核范圍。9.2.5由管理者代表委任內(nèi)審員實(shí)施內(nèi)部審核，內(nèi)審員做出審核過程客觀性和公正性的聲

48、明，內(nèi)審員應(yīng)經(jīng)過培訓(xùn)并取得了證書方可承擔(dān)審核工作。9.2.6公司按照年度內(nèi)部審核計(jì)劃實(shí)施審核，實(shí)施程序：進(jìn)行首次會(huì)議，明確審核目的、審核范圍、審核方法、審核程序和分組情況。進(jìn)行審核，采取聽取匯報(bào)、現(xiàn)場查看、提問、查閱資料等方式按照內(nèi)部審核檢查表對各部門的管理體系和操作規(guī)程進(jìn)行全面考核。出具不符合項(xiàng)記錄，各小組將審核記錄進(jìn)行匯總，出具不符合項(xiàng)記錄。進(jìn)行末次會(huì)議，對檢查中發(fā)現(xiàn)的不符合項(xiàng)進(jìn)行討論、分析，提出糾正預(yù)防措施和整改責(zé)任人。審核組長編制內(nèi)審報(bào)告。9.2.7內(nèi)審報(bào)告發(fā)布后，發(fā)放至各部門負(fù)責(zé)人及公司領(lǐng)導(dǎo)層、9.2.8公司保留內(nèi)部審核檢查表、內(nèi)部審核報(bào)告等內(nèi)部審核過程的文件化信息作為審核方案和審核

49、結(jié)果的證據(jù)。9.3管理評審9.2.1建立、保持和實(shí)施管理評審控制程序。管理層按計(jì)劃的時(shí)間間隔進(jìn)行管理評審，每次管理評審的時(shí)間間隔不超過 12 個(gè)月。當(dāng)內(nèi)、外部環(huán)境發(fā)生重大變化時(shí)，公司總經(jīng)理可決定增加管理評審的次數(shù)，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性。9.3.2管理評審輸入內(nèi)容：a） 以往管理評審提出的措施的狀態(tài)；b） 與信息安全管理體系相關(guān)的外部和內(nèi)部事項(xiàng)的變化；c） 有關(guān)信息安全績效的反饋，包括以下方面的趨勢：1） 不符合和糾正措施；2） 監(jiān)視和測量結(jié)果；3） 審核結(jié)果；4） 信息安全目的完成情況；d） 相關(guān)方反饋；e） 風(fēng)險(xiǎn)評估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f） 持續(xù)改進(jìn)的機(jī)會(huì)

50、。9.3.3管理評審準(zhǔn)備：各部門負(fù)責(zé)人在管理評審會(huì)議前向管理者代表書面報(bào)告本部門信息安全方面的績效、部門信息安全目標(biāo)的實(shí)現(xiàn)情況；持續(xù)改進(jìn)的機(jī)會(huì)；綜合部負(fù)責(zé)各部門目標(biāo)完成情況及績效考核結(jié)果的匯總分析情況；并報(bào)告至管理者代表；綜合部負(fù)責(zé)向管理者代表報(bào)告風(fēng)險(xiǎn)評估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；業(yè)務(wù)部負(fù)責(zé)向管理者代表報(bào)告相關(guān)方反饋情況；管理者代表負(fù)責(zé)對以上資料進(jìn)行匯總后編寫信息安全管理體系運(yùn)行報(bào)告，作為管理評審的輸入，由綜合部將報(bào)告稿分發(fā)給參加會(huì)議的人員。9.3.4管理評審輸出內(nèi)容：與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定；變更信息安全管理體系的任何需求。9.3.5 管理評審會(huì)議9.3.5.1 管理評審會(huì)議由公司總經(jīng)理主持。9.3.5.2 管理評審計(jì)劃a）綜合部負(fù)責(zé)編制管理評審計(jì)劃，經(jīng)管理者代