ISMS手冊-信息安全管理體系手冊

1、 信息安全管理IT服務(wù)管理體系手冊發(fā)布令本公司按按照ISSO2000000:20005信息技技術(shù)服務(wù)務(wù)管理規(guī)范和ISSO2770011：20005信息息安全管管理體系系要求以及本本公司業(yè)業(yè)務(wù)特點(diǎn)點(diǎn)編制信息安安全管理理&ITT服務(wù)管管理體系系手冊，建立立與本公公司業(yè)務(wù)務(wù)相一致致的信息息安全與與IT服服務(wù)管理理體系，現(xiàn)予以以頒布實(shí)實(shí)施。本手冊是是公司法法規(guī)性文文件，用用于貫徹徹公司信信息安全全管理方方針和目目標(biāo)，貫貫徹ITT服務(wù)管管理理念念方針和和服務(wù)目目標(biāo)。為為實(shí)現(xiàn)信信息安全全管理與與IT服服務(wù)管理理，開展展持續(xù)改改進(jìn)服務(wù)務(wù)質(zhì)量，不斷提提高客戶戶滿意度度活動，加強(qiáng)信信息安全全建設(shè)的的綱領(lǐng)性性文件

2、和和行動準(zhǔn)準(zhǔn)則。是是全體員員工必須須遵守的的原則性性規(guī)范。體現(xiàn)公公司對社社會的承承諾，通通過有效效的PDDCA活活動向顧顧客提供供滿足要要求的信信息安全全管理和和IT服服務(wù)。本手冊符符合有關(guān)關(guān)信息安安全法律律法規(guī)要要求以及及ISOO200000:20005信信息技術(shù)術(shù)服務(wù)管管理規(guī)范、ISSO2770011：20005信息息安全管管理體系系要求和公司司實(shí)際情情況。為為能更好好的貫徹徹公司管管理層在在信息安安全與IIT服務(wù)務(wù)管理方方面的策策略和方方針，根根據(jù)ISSO2000000:20005信息技技術(shù)服務(wù)務(wù)管理規(guī)范和ISSO2770011：20005信息安安全管理理體系要要求的的要求任任命XXXX

3、XXX為管理理者代表表，作為為本公司司組織和和實(shí)施“信息安安全管理理與ITT服務(wù)管管理體系系”的負(fù)責(zé)責(zé)人。直直接向公公司管理理層報(bào)告告。全體員工工必須嚴(yán)嚴(yán)格按照照信息息安全管管理&IIT服務(wù)務(wù)管理體體系手冊冊要求求，自覺覺遵守本本手冊各各項(xiàng)要求求，努力力實(shí)現(xiàn)公公司的信信息安全全與ITT服務(wù)的的方針和和目標(biāo)。管理者代代表職責(zé)責(zé)：a) 建立服服務(wù)管理理計(jì)劃； b) 向組織織傳達(dá)滿滿足服務(wù)務(wù)管理目目標(biāo)和持持續(xù)改進(jìn)進(jìn)的重要要性； e) 確定并并提供策策劃、實(shí)實(shí)施、監(jiān)監(jiān)視、評評審和改改進(jìn)服務(wù)務(wù)交付和和管理所所需的資資源，如如招聘合合適的人人員，管管理人員員的更新新； 確保按照照ISOO20770011:

4、20005標(biāo)標(biāo)準(zhǔn)的要要求，進(jìn)進(jìn)行資產(chǎn)產(chǎn)識別和和風(fēng)險(xiǎn)評評估，全全面建立立、實(shí)施施和保持持信息安安全管理理體系；按照IISO/IECC 2000000信息息技術(shù)服服務(wù)管理理規(guī)范范的要要求，組組織相關(guān)關(guān)資源，建立、實(shí)施和和保持IIT服務(wù)務(wù)管理體體系，不不斷改進(jìn)進(jìn)IT服服務(wù)管理理體系，確保其其有效性性、適宜宜性和符符合性。負(fù)責(zé)與信信息安全全管理體體系有關(guān)關(guān)的協(xié)調(diào)調(diào)和聯(lián)絡(luò)絡(luò)工作；向公司司管理層層報(bào)告IIT服務(wù)務(wù)管理體體系的業(yè)業(yè)績，如如：服務(wù)務(wù)方針和和服務(wù)目目標(biāo)的業(yè)業(yè)績、客客戶滿意意度狀況況、各項(xiàng)項(xiàng)服務(wù)活活動及改進(jìn)的的要求和和結(jié)果等等。確保在整整個(gè)組織織內(nèi)提高高信息安安全風(fēng)險(xiǎn)險(xiǎn)的意識識；審核風(fēng)險(xiǎn)險(xiǎn)評估報(bào)報(bào)

5、告、風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃；批準(zhǔn)發(fā)布布程序文文件；主持信息息安全管管理體系系內(nèi)部審審核，任任命審核核組長，批準(zhǔn)內(nèi)內(nèi)審工作作報(bào)告；向最高管管理者報(bào)報(bào)告信息息安全管管理體系系的業(yè)績績和改進(jìn)進(jìn)要求，包括信信息安全全管理體體系運(yùn)行行情況、內(nèi)外部部審核情情況。7推動動公司各各部門領(lǐng)領(lǐng)導(dǎo)，積積極組織織全體員員工，通通過工作作實(shí)踐、教育培培訓(xùn)、業(yè)業(yè)務(wù)指導(dǎo)導(dǎo)等方式式不斷提提高員工工對滿足足客戶需需求的重重要性的的認(rèn)知程程度，以以及為達(dá)達(dá)到公司司服務(wù)管管理目標(biāo)標(biāo)所應(yīng)做做出的貢貢獻(xiàn)?？偨?jīng)理：日期：信息安全全方針和和信息安安全目標(biāo)標(biāo)信息安全全方針：信息安安全 人人人有責(zé)本公司信信息安全全管理方方針包括括內(nèi)容如如下：一、信

6、息息安全管管理機(jī)制制1公司司采用系系統(tǒng)的方方法，按按照ISSO/IIEC 270001:20005建立立信息安安全管理理體系，全面保保護(hù)本公公司的信信息安全全。二、信息息安全管管理組織織2公司司總經(jīng)理理對信息息安全工工作全面面負(fù)責(zé)，負(fù)責(zé)批批準(zhǔn)信息息安全方方針，確確定信息息安全要要求，提提供信息息安全資資源。3公司司總經(jīng)理理任命管管理者代代表負(fù)責(zé)責(zé)建立、實(shí)施、檢查、改進(jìn)信信息安全全管理體體系，保保證信息息安全管管理體系系的持續(xù)續(xù)適宜性性和有效效性。4在公公司內(nèi)部部建立信信息安全全組織機(jī)機(jī)構(gòu)，信信息安全全管理委委員會和和信息安安全協(xié)調(diào)調(diào)機(jī)構(gòu)，保證信信息安全全管理體體系的有有效運(yùn)行行。5與上上級部門

7、門、地方方政府、相關(guān)專專業(yè)部門門建立定定期經(jīng)常常性的聯(lián)聯(lián)系，了了解安全全要求和和發(fā)展動動態(tài)，獲獲得對信信息安全全管理的的支持。三、人員員安全6信息息安全需需要全體體員工的的參與和和支持，全體員員工都有有保護(hù)信信息安全全的職責(zé)責(zé)，在勞勞動合同同、崗位位職責(zé)中中應(yīng)包含含對信息息安全的的要求。特殊崗崗位的人人員應(yīng)規(guī)規(guī)定特別別的安全全責(zé)任。對崗位位調(diào)動或或離職人人員，應(yīng)應(yīng)及時(shí)調(diào)調(diào)整安全全職責(zé)和和權(quán)限。7對本本公司的的相關(guān)方方，要明明確安全全要求和和安全職職責(zé)。 8定期期對全體體員工進(jìn)進(jìn)行信息息安全相相關(guān)教育育，包括括：技能能、職責(zé)責(zé)和意識識。以提提高安全全意識。9全體體員工及及相關(guān)方方人員必必須履行行

8、安全職職責(zé)，執(zhí)執(zhí)行安全全方針、程序和和安全措措施。四、識別別法律、法規(guī)、合同中中的安全全10及及時(shí)識別別顧客、合作方方、相關(guān)關(guān)方、法法律法規(guī)規(guī)對信息息安全的的要求，采取措措施，保保證滿足足安全要要求。五、風(fēng)險(xiǎn)險(xiǎn)評估11根根據(jù)本公公司業(yè)務(wù)務(wù)信息安安全的特特點(diǎn)、法法律法規(guī)規(guī)要求，建立風(fēng)風(fēng)險(xiǎn)評估估程序，確定風(fēng)風(fēng)險(xiǎn)接受受準(zhǔn)則。12采采用先進(jìn)進(jìn)的風(fēng)險(xiǎn)險(xiǎn)評估技技術(shù)和軟軟件，定定期進(jìn)行行風(fēng)險(xiǎn)評評估，以以識別本本公司風(fēng)風(fēng)險(xiǎn)的變變化。本本公司或或環(huán)境發(fā)發(fā)生重大大變化時(shí)時(shí)，隨時(shí)時(shí)評估。13應(yīng)應(yīng)根據(jù)風(fēng)風(fēng)險(xiǎn)評估估的結(jié)果果，采取取相應(yīng)措措施，降降低風(fēng)險(xiǎn)險(xiǎn)。六、報(bào)告告安全事事件14公公司建立立報(bào)告信信息安全全事件的的渠道

9、和和相應(yīng)的的主管部部門。15全全體員工工有報(bào)告告信息安安全隱患患、威脅脅、薄弱弱點(diǎn)、事事故的責(zé)責(zé)任，一一旦發(fā)現(xiàn)現(xiàn)信息安安全事件件，應(yīng)立立即按照照規(guī)定的的途徑進(jìn)進(jìn)行報(bào)告告。16接接受信息息安全事事件報(bào)告告的主管管部門應(yīng)應(yīng)記錄所所有報(bào)告告，及時(shí)時(shí)做出相相應(yīng)的處處理，并并向報(bào)告告人員反反饋處理理結(jié)果。七、監(jiān)督督檢查17定定期對信信息安全全進(jìn)行監(jiān)監(jiān)督檢查查，包括括：日常常檢查、專項(xiàng)檢檢查、技技術(shù)性檢檢查、內(nèi)內(nèi)部審核核等。八、業(yè)務(wù)務(wù)持續(xù)性性18公公司根據(jù)據(jù)風(fēng)險(xiǎn)評評估的結(jié)結(jié)果，建建立業(yè)務(wù)務(wù)持續(xù)性性計(jì)劃，抵消信信息系統(tǒng)統(tǒng)的中斷斷造成的的影響，防止關(guān)關(guān)鍵業(yè)務(wù)務(wù)過程受受嚴(yán)重的的信息系系統(tǒng)故障障或者災(zāi)災(zāi)難的影影響

10、，并并確保能能夠及時(shí)時(shí)恢復(fù)。19定定期對業(yè)業(yè)務(wù)持續(xù)續(xù)性計(jì)劃劃進(jìn)行測測試和更更新。九、違反反信息安安全要求求的懲罰罰20對對違反信信息安全全方針、職責(zé)、程序和和措施的的人員，按規(guī)定定進(jìn)行處處理。信息安全全目標(biāo)：1.不可可接受風(fēng)風(fēng)險(xiǎn)處理理率：1100% （所所有不可可接受風(fēng)風(fēng)險(xiǎn)應(yīng)降降低到可可接受的的程度）。2.重大大顧客因因信息安安全事件件投訴為為0次（重大顧顧客投訴訴是指直直接經(jīng)濟(jì)濟(jì)損失金金額達(dá)11萬元以以上）信息安全全管理手手冊說明明11公公司簡介介XX1.1編編制依據(jù)據(jù)和目的的本手冊在在遵循IISO990011：20005信息安安全管理理體系要要求與與ISOO/IEEC 2200000信信息

11、技術(shù)術(shù)服務(wù)管管理規(guī)規(guī)范的的要求編編制而成成，包括括了ISSO2770011：20005的全全部要求求，對附附錄A的的刪減見見適用用性聲明明SoAA。手冊描述述公司的信信息安全全管理體體系的總總要求，以確保保公司的信信息安全全管理體體系能夠夠達(dá)到IISO2270001：20005信息息安全管管理標(biāo)準(zhǔn)準(zhǔn)的要求求；滿足足本公司司向客戶戶提供IIT服務(wù)務(wù)所需的的IT基基礎(chǔ)設(shè)施施和ITT技術(shù)支支持服務(wù)務(wù)，適用于于向客戶戶或認(rèn)證證機(jī)構(gòu)證證實(shí)，本本公司具具備提供供符合客客戶需求求的ITT服務(wù)能能力和服服務(wù)質(zhì)量量。本公司的的體系程序序是手冊冊的支持持性文件件，是對對體系運(yùn)作作的具體體描述。1.2適適用范圍圍信

12、息安全全管理&IT服服務(wù)管理理體系手手冊適用用于本公公司提供供安全管理理體系認(rèn)認(rèn)證服務(wù)務(wù)與ITT服務(wù)有有關(guān)的所所有部門門和活動動。13術(shù)術(shù)語和定定義131本手手冊應(yīng)用用ISOO/IEEC2000000中的術(shù)術(shù)語及定定義。132本手手冊應(yīng)用用ISOO/IEEC2770011中的術(shù)術(shù)語及定定義。2 信息息安全管管理&IIT服務(wù)務(wù)管理手手冊的管管理21手手冊的編編制、批批準(zhǔn)和發(fā)發(fā)布211按照照公司業(yè)業(yè)務(wù)發(fā)展展戰(zhàn)略和和客戶需需求，經(jīng)經(jīng)公司管管理者代代表批準(zhǔn)準(zhǔn)，技術(shù)術(shù)服務(wù)事事業(yè)部組組織相關(guān)關(guān)人員，結(jié)合本本公司業(yè)業(yè)務(wù)特點(diǎn)點(diǎn)，根據(jù)據(jù)ISOO/IEEC 2200000標(biāo)準(zhǔn)準(zhǔn)的要求求編寫。212IT服務(wù)務(wù)管理手

13、手冊由由公司管管理者代代表批準(zhǔn)準(zhǔn)后發(fā)布布。22手手冊的分分發(fā)221技術(shù)術(shù)服務(wù)事事業(yè)部負(fù)負(fù)責(zé)手冊冊的發(fā)放放、更新新、管理理與存檔檔。222公司司各部門門負(fù)責(zé)手手冊的使使用和保保管。23手手冊的受受控狀態(tài)態(tài)231書面面形式的的手冊分分“有效效文件”和“保保留文件件”兩種形形式。作作為公司司日常運(yùn)運(yùn)營的依依據(jù)及提提供給外外部認(rèn)證證機(jī)構(gòu)的的手冊均均為“有有效文件件”形式式。232當(dāng)手手冊內(nèi)容容變更時(shí)時(shí)，“有效效文件”形式的的手冊應(yīng)應(yīng)及時(shí)予予以更新新和發(fā)放放。233“有效文文件”形形式的文文件在更更新后，如需保保存原來來的版本本，以便便于追溯溯，則應(yīng)應(yīng)當(dāng)用“保留文文件”的標(biāo)識予以以區(qū)分。234電子子形式

14、的的手冊由由技術(shù)服服務(wù)事業(yè)業(yè)部在工工作流轉(zhuǎn)轉(zhuǎn)系統(tǒng)中中進(jìn)行管管理。24手手冊的變變更241因公公司戰(zhàn)略略調(diào)整、客戶需需求或改改進(jìn)活動動等引起起的手冊冊內(nèi)容的的變更，按公司司總經(jīng)理理指示，技術(shù)服服務(wù)事業(yè)業(yè)部組織織相關(guān)部部門對涉涉及變更更的內(nèi)容容進(jìn)行更更新，并并經(jīng)公司司總經(jīng)理理批準(zhǔn)后后發(fā)布。242更新新后的手手冊，應(yīng)應(yīng)及時(shí)地地發(fā)放給給公司內(nèi)內(nèi)部原手手冊持有有者，并并收回舊舊版的手手冊。對對電子形形式的手手冊，由由技術(shù)服服務(wù)事業(yè)業(yè)部按工工作流轉(zhuǎn)轉(zhuǎn)系統(tǒng)中中的管理理規(guī)則進(jìn)進(jìn)行更新新和歸檔檔管理。25公公司內(nèi)部部手冊持持有者的的責(zé)任251與公公司或部部門內(nèi)部部的相關(guān)關(guān)人員溝溝通、學(xué)學(xué)習(xí)手冊冊的要求求并遵照照

15、執(zhí)行。252妥善善保管，不得私私自更改改、曲解解手冊的的內(nèi)容。不得隨隨意向其其他與公公司業(yè)務(wù)務(wù)無關(guān)的的第三方方傳播，如需提提供公司司以外的的第三方方參考，應(yīng)經(jīng)技技術(shù)服務(wù)務(wù)事業(yè)部部提交公公司主管管副總經(jīng)經(jīng)理審核核后，報(bào)報(bào)公司總總經(jīng)理批批準(zhǔn)。3 公公司架構(gòu)構(gòu)和安全全承諾3.1公公司行政政組織架架構(gòu)總 經(jīng) 理文檔培訓(xùn)倉庫采購人力資源財(cái)務(wù)物流銷售市場測試質(zhì)量保證質(zhì)管部實(shí)施研發(fā)綜合管理部生技部商務(wù)部3.2公公司信息息安全管管理體系系組織架架構(gòu)圖總 經(jīng) 理管理者代表商務(wù)部生技部綜合管理部副管理者代表研發(fā)實(shí)施質(zhì)管部質(zhì)量保證測試客戶服務(wù)部銷售物流財(cái)務(wù)人力資源采購倉庫培訓(xùn)文檔安全委員會注：每個(gè)個(gè)虛線框框內(nèi)為一一

16、個(gè)信息息安全小小組，部部門的負(fù)負(fù)責(zé)人為為安全組組長，各各崗位負(fù)負(fù)責(zé)人為為該崗位位的安全全員。33公公司ITT服務(wù)管管理職能能關(guān)系架架構(gòu)圖3.4信信息安全全承諾公司成成立安全全管理委委員會來來領(lǐng)導(dǎo)信信息安全全工作，并確定定相應(yīng)的的職責(zé)和和作用。制訂信信息安全全方針和和信息安安全目標(biāo)標(biāo)，建立立和完善善公司的的信息安安全管理理體系。提供充充分的資資源以保保證信息息安全管管理體系系的制定定、實(shí)施施、運(yùn)作作、監(jiān)控控、維護(hù)護(hù)和改善善。對公司司信息資資產(chǎn)實(shí)行行有效管管理，確確保信息息的機(jī)密密性，維維持信息息的完整整性和可可用性，防范對對信息的的未經(jīng)授授權(quán)訪問問。對公公司信息息資產(chǎn)進(jìn)進(jìn)行風(fēng)險(xiǎn)險(xiǎn)評估，制定風(fēng)風(fēng)險(xiǎn)

17、可接接受標(biāo)準(zhǔn)準(zhǔn)，對公公司不能能接受的的風(fēng)險(xiǎn)進(jìn)進(jìn)行處置置。建立業(yè)業(yè)務(wù)持續(xù)續(xù)性管理理流程。進(jìn)進(jìn)行業(yè)務(wù)務(wù)持續(xù)性性風(fēng)險(xiǎn)評評估，編編寫、測測試并實(shí)實(shí)施業(yè)務(wù)務(wù)持續(xù)性性計(jì)劃和和災(zāi)難恢恢復(fù)計(jì)劃劃，以保證證公司關(guān)關(guān)鍵業(yè)務(wù)務(wù)的連續(xù)續(xù)，不受受重大故故障和災(zāi)災(zāi)難的影影響。確保公公司所有有員工都都接受信信息安全全的教育育培訓(xùn)，提高信信息安全全意識。保護(hù)公公司、客客戶、相相關(guān)合作作方的信息息安全。建立公公司信息息安全組組織架構(gòu)構(gòu)，明確確信息安安全責(zé)任任，確定定報(bào)告可可疑的和和發(fā)生的的信息安安全事故故及事件件的流程程，對違違反安全全制度的的人員進(jìn)進(jìn)行懲罰罰。建立物物理安全全和網(wǎng)絡(luò)絡(luò)安全管管理制度度，以確確保信息息的安全全性

18、。保護(hù)公公司軟件件和信息息的完整整性，防防止病毒毒與各種種惡意軟軟件的入入侵。任何人人在未經(jīng)經(jīng)審批的的情況下下，禁止止將信息息資產(chǎn)帶帶離公司司。公司所所有員工工都要嚴(yán)嚴(yán)格遵守守公司的的安全方方針、程程序和制制度?？刂茖?nèi)外部部網(wǎng)絡(luò)服服務(wù)的訪訪問，保保護(hù)網(wǎng)絡(luò)絡(luò)服務(wù)的的安全性性與可用用性。對用戶戶賬號、口令和和權(quán)限進(jìn)進(jìn)行嚴(yán)格格管理，防止對對信息系系統(tǒng)的非非授權(quán)訪訪問。對重要要信息進(jìn)進(jìn)行備份份保護(hù)，以保證證信息的的可用性性。定期對對信息安安全管理理體系進(jìn)進(jìn)行內(nèi)審審和管理理評審。3.5信信息安全全管理委委員會為了加強(qiáng)強(qiáng)對信息息安全管管理體系系運(yùn)作的的管理，江蘇金金馬揚(yáng)名名信息技技術(shù)有限限公司公公司成

19、立立信息安安全管理理委員會會，其職職責(zé)見下下列明細(xì)細(xì)表。信息安全全管理職職責(zé)明細(xì)細(xì)表序號單位/部部門信息安全全職責(zé)1信息安全全管理委員員會信息安全全管理委委員會是是我公司司信息安安全最高高組織機(jī)機(jī)構(gòu)，負(fù)負(fù)責(zé)本單單位網(wǎng)絡(luò)絡(luò)與信息息安全重重大事項(xiàng)項(xiàng)的決策策和協(xié)調(diào)調(diào)，并對對全公司司信息安安全工作作負(fù)責(zé)。2總經(jīng)理信息安全全第一責(zé)責(zé)任人，制定信信息安全全方針，對信息息安全全全面負(fù)責(zé)責(zé)。3管理者代代表經(jīng)總經(jīng)理理授權(quán)負(fù)負(fù)責(zé)建立立、實(shí)施施、檢查查、改進(jìn)進(jìn)信息安安全管理理體系。4綜合管理理部我公司信信息安全全管理體體系的歸歸口管理理部門。負(fù)責(zé)管理理體系的的建立、實(shí)施、保持、測量和和改進(jìn)。負(fù)責(zé)文件件控制、記錄控控

20、制、內(nèi)內(nèi)部審核核的組織織、管理理評審的的組織和和體系的的改進(jìn)。負(fù)責(zé)本公公司保密密工作的的管理。安全區(qū)域域的保衛(wèi)衛(wèi)管理部部門，負(fù)負(fù)責(zé)安全全區(qū)域的的管理。負(fù)責(zé)全公公司人員員安全管管理，包包括人員員聘用管管理，保保密協(xié)議議簽署，員工的的能力、意識和和培訓(xùn)，員工離離職管理理。負(fù)責(zé)涉密密信息上上網(wǎng)、涉涉密計(jì)算算機(jī)運(yùn)行行、檢修修、報(bào)廢廢的監(jiān)督督管理。對信息安安全日常常工作實(shí)實(shí)施動態(tài)態(tài)考核，將信息息安全管管理作為為企業(yè)管管理的重重要工作作內(nèi)容。參與涉密密及司法法介入的的信息安安全事件件的調(diào)查查。5生產(chǎn)技術(shù)術(shù)部是我公司司信息系系統(tǒng)安全全管理部部門。負(fù)責(zé)局域域網(wǎng)上所所承擔(dān)的的各類信信息系統(tǒng)統(tǒng)的管理理職能；負(fù)責(zé)我

21、公公司信息息系統(tǒng)安安全日常常管理。6其他部門門認(rèn)真執(zhí)行行信息安安全管理理的方針針、標(biāo)準(zhǔn)準(zhǔn)、安全全策略和和規(guī)范，做好內(nèi)內(nèi)部培訓(xùn)訓(xùn)。備注：以以上職能能劃分，適用所所有信息息安全管管理體系系文件。信息安全全管理委委員會組組成人員員：姓名部門職務(wù)備注36服服務(wù)管理理職能說說明361為保保證ITT服務(wù)管管理體系系的順利利實(shí)施，以及實(shí)實(shí)施后得得到持續(xù)續(xù)的管理理和維護(hù)護(hù)，在現(xiàn)現(xiàn)有的組組織架構(gòu)構(gòu)外建立立服務(wù)管管理職能能關(guān)系架架構(gòu)。IIT服務(wù)務(wù)管理職職能關(guān)系系架構(gòu)，并不替替代現(xiàn)有有的按技技術(shù)類別別進(jìn)行的的分工，現(xiàn)有的的按技術(shù)術(shù)類別進(jìn)進(jìn)的分工工，在將將來的IIT服務(wù)務(wù)管理體體系中仍仍將發(fā)揮揮其作用用。服務(wù)務(wù)部根據(jù)

22、據(jù)IT服服務(wù)管理理程序要要求對所所有服務(wù)務(wù)合同按按照項(xiàng)目目進(jìn)行管管理與運(yùn)運(yùn)行，由由項(xiàng)目經(jīng)經(jīng)理按照照服務(wù)管管理職能能關(guān)系架架構(gòu)中的的要求對對項(xiàng)目執(zhí)執(zhí)行管理理。一個(gè)個(gè)完整的的服務(wù)項(xiàng)項(xiàng)目必須須包含服服務(wù)臺、事件管管理、業(yè)業(yè)務(wù)關(guān)系系管理、信息安安全管理理、供應(yīng)應(yīng)商管理理和ITT財(cái)務(wù)管管理。對對于上圖圖虛線框框內(nèi)的的的問題管管理、發(fā)發(fā)布管理理、配置置管理、變更管管理、可可用性和和連續(xù)性性管理、容量管管理、服服務(wù)級別別管理以以及服務(wù)務(wù)報(bào)告可可由服務(wù)務(wù)部經(jīng)理理依照與與用戶簽簽署的服服務(wù)合同同進(jìn)行選選擇裁剪剪。362角色色分配說說明36211針對服服務(wù)部當(dāng)當(dāng)前組織織架構(gòu)及及人員狀狀況，將將不再為為每一具具體流

23、程程分配流流程經(jīng)理理。為此此將133個(gè)流程程，按其其必要程程度分成成必選流流程和可可裁剪流流程兩大大模塊。由項(xiàng)目目經(jīng)理負(fù)負(fù)責(zé)相應(yīng)應(yīng)流程的的實(shí)施、管理和和控制。對項(xiàng)目目組成員員主要是是組織、協(xié)調(diào)、安排相相應(yīng)工作作任務(wù)的的完成，可能并并不是由由自己去去完成。362111項(xiàng)項(xiàng)目經(jīng)理理職責(zé)說明明：1）、負(fù)責(zé)責(zé)IT服服務(wù)項(xiàng)目目的立項(xiàng)項(xiàng)工作，按照服服務(wù)合同同要求負(fù)負(fù)責(zé)相應(yīng)應(yīng)流程的的實(shí)施、管理和和控制。組織、協(xié)調(diào)、安排項(xiàng)項(xiàng)目組成成員完成成相應(yīng)工工作任務(wù)務(wù)。2）、負(fù)負(fù)責(zé)從服服務(wù)臺接接受事件件報(bào)告開開始，分分配相應(yīng)應(yīng)的職能能小組進(jìn)進(jìn)行事件件處理，直至找找到問題題的根本本原因的的整個(gè)過過程的管管理和協(xié)協(xié)調(diào)。3）、

24、負(fù)負(fù)責(zé)各系系統(tǒng)的配配置管理理、變更更和發(fā)布布控制。4）、負(fù)負(fù)責(zé)系統(tǒng)統(tǒng)的可用用性規(guī)劃劃和管理理、負(fù)責(zé)責(zé)安排系系統(tǒng)連續(xù)續(xù)性的計(jì)計(jì)劃和演演練，并并負(fù)責(zé)系系統(tǒng)容量量的規(guī)劃劃和監(jiān)控控。5）、主主要負(fù)責(zé)責(zé)與用戶戶的溝通通，對供供應(yīng)商的的管理，以及項(xiàng)項(xiàng)目的預(yù)預(yù)/決算算的管理理。362112能能力要求求：熟悉悉服務(wù)部部的各種種服務(wù)管管理流程程，具有有較強(qiáng)的的內(nèi)部協(xié)協(xié)調(diào)能力力。由管理者者代表授授權(quán)技術(shù)術(shù)服務(wù)事事業(yè)部總總監(jiān)，按按ISOO/IEEC 2200000的要要求，負(fù)負(fù)責(zé)協(xié)調(diào)調(diào)和組織織所有與與IT服務(wù)務(wù)有關(guān)的的活動，通過管管理和實(shí)施各項(xiàng)活動，使ITT服務(wù)業(yè)業(yè)務(wù)的質(zhì)質(zhì)量得到到有效的的保持和和維護(hù)。技術(shù)服務(wù)務(wù)事

25、業(yè)部部組織制制訂、批批準(zhǔn)和發(fā)發(fā)布公司司IT服務(wù)務(wù)策略、服務(wù)目目標(biāo)，并并使其成成為公司司關(guān)注的的焦點(diǎn)，成為公公司協(xié)調(diào)調(diào)、統(tǒng)一一、凝聚聚公司的的所有活活動和資資源的準(zhǔn)準(zhǔn)則，成成為建立立、實(shí)施施、保持持并改進(jìn)進(jìn)IT服務(wù)務(wù)管理體體系的宗宗旨。363公司 IIT服務(wù)務(wù)策略：客戶至上上、全員員參與、創(chuàng)新高高效、系系統(tǒng)管理理、追求求卓越公司 IIT服務(wù)務(wù)目標(biāo)：公司通過過服務(wù)質(zhì)質(zhì)量改進(jìn)進(jìn)程序確確定年度度服務(wù)質(zhì)質(zhì)量目標(biāo)標(biāo)公司的IIT服務(wù)務(wù)目標(biāo)按按ISOO/IEEC 2200000的要要求，與與公司的的業(yè)務(wù)相相結(jié)合，并通過過流程績績效不斷斷提高和和改進(jìn)。技術(shù)服務(wù)務(wù)事業(yè)部部負(fù)責(zé)組組織相關(guān)關(guān)部門，通過會會議、評評審、

26、書書面報(bào)告告、培訓(xùn)訓(xùn)等方式式，及時(shí)時(shí)有效溝溝通工作作，達(dá)到到IT服務(wù)務(wù)管理目目標(biāo)和持持續(xù)改進(jìn)進(jìn)的需求求，并在在公司中中積極貫貫徹實(shí)施施IT服務(wù)務(wù)管理的的重要性性。技術(shù)服務(wù)務(wù)事業(yè)部部負(fù)責(zé)組組織相關(guān)關(guān)部門按按照PDDCA的的要求，通過對對所屬業(yè)業(yè)務(wù)的規(guī)規(guī)劃，適適時(shí)優(yōu)化化和提供供資源以以計(jì)劃、實(shí)施、監(jiān)控、評審和和改進(jìn)IIT服務(wù)務(wù)的交付付和管理理。管理者代代表按照照服務(wù)務(wù)質(zhì)量改改進(jìn)管理理程序中的計(jì)計(jì)劃間隔隔，由技技術(shù)服務(wù)務(wù)事業(yè)部部負(fù)責(zé)組組織相關(guān)關(guān)部門實(shí)實(shí)施ITT服務(wù)管管理體系系的內(nèi)部部審核，確保IIT服務(wù)管體體系的有有效性與與符合性性。管理者代代表按照照服務(wù)務(wù)質(zhì)量改改進(jìn)管理理程序中的計(jì)計(jì)劃間隔隔，組織

27、織相關(guān)部部門執(zhí)行行IT服務(wù)務(wù)管理體體系的管管理評審審，確保保IT服務(wù)務(wù)管理體體系持續(xù)續(xù)的穩(wěn)定定、充分分和有效效。364文件要要求36411公司的的文件管管理體系系分為AA、B、C、DD四層，即A層層為管理理手冊、B層為為程序文文件、CC層為工工作流程程或規(guī)定定、D層層為記錄錄。36422管理手手冊 描述述IT服務(wù)務(wù)管理體體系的文文件，是是全體員員工必須須長期遵遵循的法法規(guī)性文文件。36433程序文文件 覆蓋蓋公司主主要業(yè)務(wù)務(wù)過程的的流程文文件，是是管理手手冊的支支撐性文文件。36444工作流流程或規(guī)規(guī)定 是開展展具體業(yè)業(yè)務(wù)工作作的規(guī)范范類、指指導(dǎo)性文文件，是是程序文文件的支支持性文文件。364

28、55記錄 在開展展具體業(yè)業(yè)務(wù)工作作過程中中產(chǎn)生的的記錄類類文件，主要是是為具體體工作結(jié)結(jié)果提供供各種可可追溯性性證據(jù)。36466技術(shù)服服務(wù)事業(yè)業(yè)部負(fù)責(zé)組織織制訂文件和和記錄管管理程序序，明明確文件件的擬制制、批準(zhǔn)準(zhǔn)、發(fā)放放、變更更、存檔檔等管理理要求，并監(jiān)控控實(shí)施。36477技術(shù)服服務(wù)事業(yè)業(yè)部負(fù)責(zé)責(zé)組織相相關(guān)部門門，根據(jù)據(jù)公司的的業(yè)務(wù)特特點(diǎn)及標(biāo)標(biāo)準(zhǔn)的要要求，制制訂相關(guān)關(guān)的程序序文件，經(jīng)公司司管理者者代表批批準(zhǔn)后實(shí)實(shí)施。36488技術(shù)服服務(wù)事業(yè)業(yè)部負(fù)責(zé)責(zé)組織擬擬制與本本部門業(yè)業(yè)務(wù)相關(guān)關(guān)的各類類C層文文件，并并按文文件和記記錄管理理程序的要求求對文件件和記錄錄的有效效性進(jìn)行行管理。4信息安安全管4

29、.1總總要求4.1.1 公公司根據(jù)據(jù)整體業(yè)業(yè)務(wù)活動動（軟件件開發(fā)、經(jīng)營、服務(wù)和和日常管管理活動動）和所所面臨的的風(fēng)險(xiǎn)，按ISSO/IIEC 270001:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求規(guī)定，參照IISO/IECC 2770022:20005信息技技術(shù)-安安全技術(shù)術(shù)-信息息安全管管理實(shí)用用規(guī)則標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)并并改進(jìn)文文件化的的信息安安全管理理體系。4.1.2本手冊冊使用的的過程基基于PDDCA模模式。相關(guān)文件件：信息安安全方針針及目標(biāo)標(biāo)4.2建建立和管管理信息息安全管管理體系系（ISSMS）4.2.1建立立ISMMS4.2.1.11 信息息安全

30、管管理體系系的范圍圍和邊界界本公司根根據(jù)業(yè)務(wù)務(wù)特征、組織結(jié)結(jié)構(gòu)、地地理位置置、資產(chǎn)產(chǎn)和技術(shù)術(shù)定義了了范圍和和邊界，本公司司信息安安全管理理體系的的范圍包包括：a) 本本公司涉涉及軟件件開發(fā)、營銷、服務(wù)和和日常管管理的業(yè)業(yè)務(wù)系統(tǒng)統(tǒng)；b) 與與所述信信息系統(tǒng)統(tǒng)有關(guān)的的活動；c) 與與所述信信息系統(tǒng)統(tǒng)有關(guān)的的部門和和所有員員工；d) 所所述活動動、系統(tǒng)統(tǒng)及支持持性系統(tǒng)統(tǒng)包含的的全部信信息資產(chǎn)產(chǎn)。組織范圍圍：本公司根根據(jù)組織織的業(yè)務(wù)務(wù)特征和和組織結(jié)結(jié)構(gòu)定義義了信息息安全管管理體系系的組織織范圍，見本手手冊JIIN/QQM3.22公司信息息安全管管理體系系組織架架構(gòu)。物理范圍圍：本公司根根據(jù)組織織的業(yè)務(wù)

31、務(wù)特征、組織結(jié)結(jié)構(gòu)、地地理位置置、資產(chǎn)產(chǎn)和技術(shù)術(shù)定義了了信息安安全管理理體系的的物理范范圍和信信息安全全邊界。本公司IISMSS的物理理范圍為為本公司司位于xxxxxxxxxxxxxxxxxxxx的的辦公場場所，安安全邊界界詳見附附錄A（規(guī)范性性附錄）辦公公場所平平面圖。4.2.1.22 信息息安全管管理體系系的方針針為了滿足足適用法法律法規(guī)規(guī)及相關(guān)關(guān)方要求求，維持持軟件開開發(fā)和經(jīng)經(jīng)營的正正常進(jìn)行行，實(shí)現(xiàn)現(xiàn)業(yè)務(wù)可可持續(xù)發(fā)發(fā)展的目目的。本本公司根根據(jù)組織織的業(yè)務(wù)務(wù)特征、組織結(jié)結(jié)構(gòu)、地地理位置置、資產(chǎn)產(chǎn)和技術(shù)術(shù)定義了了信息安安全管理理體系方方針，見見本信息息安全管管理手冊冊第0.3條款。該信息安安

32、全方針針符合以以下要求求：a) 為為信息安安全目標(biāo)標(biāo)建立了了框架，并為信信息安全全活動建建立整體體的方向向和原則則；b) 考考慮業(yè)務(wù)務(wù)及法律律或法規(guī)規(guī)的要求求，及合合同的安安全義務(wù)務(wù)；c) 與與組織戰(zhàn)戰(zhàn)略和風(fēng)風(fēng)險(xiǎn)管理理相一致致的環(huán)境境下，建建立和保保持信息息安全管管理體系系；d) 建建立了風(fēng)風(fēng)險(xiǎn)評價(jià)價(jià)的準(zhǔn)則則；e) 經(jīng)經(jīng)最高管管理者批批準(zhǔn)。為實(shí)現(xiàn)信信息安全全管理體體系方針針，本公公司承諾諾：a) 在在各層次次建立完完整的信信息安全全管理組組織機(jī)構(gòu)構(gòu)，確定定信息安安全目標(biāo)標(biāo)和控制制措施；明確信信息安全全的管理理職責(zé)，見本信信息安全全管理手手冊第33.4條款。；b) 識識別并滿滿足適用用法律、法規(guī)

33、和和相關(guān)方方信息安安全要求求；c) 定定期進(jìn)行行信息安安全風(fēng)險(xiǎn)險(xiǎn)評估，信息安安全管理理體系評評審，采采取糾正正預(yù)防措措施，保保證體系系的持續(xù)續(xù)有效性性；d）采用用先進(jìn)有有效的設(shè)設(shè)施和技技術(shù)，處處理、傳傳遞、儲儲存和保保護(hù)各類類信息，實(shí)現(xiàn)信信息共享享；e) 對對全體員員工進(jìn)行行持續(xù)的的信息安安全教育育和培訓(xùn)訓(xùn)，不斷斷增強(qiáng)員員工的信信息安全全意識和和能力；f) 制制定并保保持完善善的業(yè)務(wù)務(wù)連續(xù)性性計(jì)劃，實(shí)現(xiàn)可可持續(xù)發(fā)發(fā)展。4.2.1.33 風(fēng)險(xiǎn)險(xiǎn)評估的的方法生技部負(fù)負(fù)責(zé)制定定信息息安全風(fēng)風(fēng)險(xiǎn)管理理程序，建立立識別適適用于信信息安全全管理體體系和已已經(jīng)識別別的業(yè)務(wù)務(wù)信息安安全、法法律和法法規(guī)要求求的

34、風(fēng)險(xiǎn)險(xiǎn)評估方方法，建建立接受受風(fēng)險(xiǎn)的的準(zhǔn)則并并識別風(fēng)風(fēng)險(xiǎn)的可可接受等等級。信信息安全全風(fēng)險(xiǎn)評評估采用用信息安安全風(fēng)險(xiǎn)險(xiǎn)管理軟軟件（Inffo-rriskkmannageer）進(jìn)進(jìn)行，以以保證所所選擇的的風(fēng)險(xiǎn)評評估方法法應(yīng)確保保風(fēng)險(xiǎn)評評估能產(chǎn)產(chǎn)生可比比較的和和可重復(fù)復(fù)的結(jié)果果。4.2.1.44 識別別風(fēng)險(xiǎn)在已確定定的信息息安全管管理體系系范圍內(nèi)內(nèi)，本公公司按信息安安全風(fēng)險(xiǎn)險(xiǎn)管理程程序，采用IInfoo-riiskmmanaagerr風(fēng)險(xiǎn)管管理軟件件，對所所有的資資產(chǎn)進(jìn)行行了識別別，并識識別了這這些資產(chǎn)產(chǎn)的所有有者。資資產(chǎn)包括括硬件、設(shè)施、軟件與與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及及人力資資源。對對每一項(xiàng)項(xiàng)

35、資產(chǎn)按按自身價(jià)價(jià)值、信信息分類類、保密密性、完完整性、法律法法規(guī)符合合性要求求進(jìn)行了了量化賦賦值，根根據(jù)重要要資產(chǎn)判判斷依據(jù)據(jù)確定是是否為重重要資產(chǎn)產(chǎn)，形成成了重重要資產(chǎn)產(chǎn)清單。同時(shí)，根根據(jù)信信息安全全風(fēng)險(xiǎn)管管理程序序，識識別了對對這些資資產(chǎn)的威威脅、可可能被威威脅利用用的脆弱弱性、識識別資產(chǎn)產(chǎn)價(jià)值、保密性性、完整整性和可可用性、合規(guī)性性損失可可能對資資產(chǎn)造成成的影響響。4.2.1.55 分析析和評價(jià)價(jià)風(fēng)險(xiǎn)本公司按按信息息安全風(fēng)風(fēng)險(xiǎn)管理理程序，采用用信息安安全風(fēng)險(xiǎn)險(xiǎn)管理軟軟件，分分析和評評價(jià)風(fēng)險(xiǎn)險(xiǎn)：a) 針針對重要要資產(chǎn)自自身價(jià)值值、保密密性、完完整性和和可用性性、合規(guī)規(guī)性損失失導(dǎo)致的的后果進(jìn)

36、進(jìn)行賦值值；b) 針針對每一一項(xiàng)威脅脅、薄弱弱點(diǎn)，對對資產(chǎn)造造成的影影響，考考慮現(xiàn)有有的控制制措施，判定安安全失效效發(fā)生的的可能性性，并進(jìn)進(jìn)行賦值值；c) 根根據(jù)信信息安全全風(fēng)險(xiǎn)管管理程序序計(jì)算算風(fēng)險(xiǎn)等等級；d) 根根據(jù)信信息安全全風(fēng)險(xiǎn)管管理程序序及風(fēng)風(fēng)險(xiǎn)接受受準(zhǔn)則，判斷風(fēng)風(fēng)險(xiǎn)為可可接受或或需要處處理。4.2.1.66 識別別和評價(jià)價(jià)風(fēng)險(xiǎn)處處理的選選擇網(wǎng)絡(luò)管理理部組織織有關(guān)部部門根據(jù)據(jù)風(fēng)險(xiǎn)評評估的結(jié)結(jié)果，形形成風(fēng)風(fēng)險(xiǎn)處理理計(jì)劃，該計(jì)計(jì)劃明確確了風(fēng)險(xiǎn)險(xiǎn)處理責(zé)責(zé)任部門門、負(fù)責(zé)責(zé)人、處處理方法法及起始始、完成成時(shí)間。對于信息息安全風(fēng)風(fēng)險(xiǎn)，應(yīng)應(yīng)考慮控控制措施施與費(fèi)用用的平衡衡原則，選用以以下適當(dāng)當(dāng)?shù)拇?/p>

37、施施：a) 控控制風(fēng)險(xiǎn)險(xiǎn)，采用用適當(dāng)?shù)牡膬?nèi)部控控制措施施；b) 接接受風(fēng)險(xiǎn)險(xiǎn)（不可可能將所所有風(fēng)險(xiǎn)險(xiǎn)降低為為零）；c) 避避免風(fēng)險(xiǎn)險(xiǎn)（如物物理隔離離）；d) 轉(zhuǎn)轉(zhuǎn)移風(fēng)險(xiǎn)險(xiǎn)（如將將風(fēng)險(xiǎn)轉(zhuǎn)轉(zhuǎn)移給保保險(xiǎn)者、供方、分包商商）。4.2.1.77選擇控控制目標(biāo)標(biāo)與控制制措施網(wǎng)絡(luò)管理理部根據(jù)據(jù)信息安安全方針針、業(yè)務(wù)務(wù)發(fā)展要要求及風(fēng)風(fēng)險(xiǎn)評估估的結(jié)果果，組織織有關(guān)部部門制定定了信息息安全目目標(biāo)，并并將目標(biāo)標(biāo)分解到到有關(guān)部部門（見見信息息安全適適用性聲聲明）：a)信息息安全控控制目標(biāo)標(biāo)獲得了了信息安安全最高高責(zé)任者者的批準(zhǔn)準(zhǔn)。b)控制制目標(biāo)及及控制措措施的選選擇原則則來源于于ISOO/IEEC 2270001:2

38、20055信息息技術(shù)-安全技技術(shù)-信信息安全全管理體體系-要要求附附錄A，具體控控制措施施參考IISO/IECC 2770022:20005信息技技術(shù)-安安全技術(shù)術(shù)-信息息安全管管理實(shí)用用規(guī)則。c)本公公司根據(jù)據(jù)信息安安全管理理的需要要，可以以選擇標(biāo)標(biāo)準(zhǔn)之外外的其他他控制措措施。4.2.1.88 對風(fēng)風(fēng)險(xiǎn)處理理后的剩剩余風(fēng)險(xiǎn)險(xiǎn)，得到到了公司司最高管管理者的的批準(zhǔn)。4.2.1.99 最高高管理者者通過本本手冊對對實(shí)施和和運(yùn)行信信息安全全管理體體系進(jìn)行行了授權(quán)權(quán)。4.2.1.110 適適用性聲聲明生技部負(fù)負(fù)責(zé)編制制信息息安全適適用性聲聲明（SoAA）。該該聲明包包括以下下方面的的內(nèi)容：a)所選選擇

39、控制制目標(biāo)與與控制措措施的概概要描述述，以及及選擇的的原因；b)對IISO/IECC 2770011:20005附附錄A中中未選用用的控制制目標(biāo)及及控制措措施理由由的說明明。4.2.2實(shí)施施和運(yùn)行行ISMMS4.2.2.11為確保保信息安安全管理理體系有有效實(shí)施施，對已已識別的的風(fēng)險(xiǎn)進(jìn)進(jìn)行有效效處理，本公司司開展以以下活動動：a)形成成風(fēng)險(xiǎn)險(xiǎn)處理計(jì)計(jì)劃，以確定定適當(dāng)?shù)牡墓芾泶氪胧⒙毬氊?zé)及安安全控制制措施的的優(yōu)先級級；b)為實(shí)實(shí)現(xiàn)已確確定的安安全目標(biāo)標(biāo)、實(shí)施施風(fēng)險(xiǎn)險(xiǎn)處理計(jì)計(jì)劃，明確各各崗位的的信息安安全職責(zé)責(zé)；c)實(shí)施施所選擇擇的控制制措施，以實(shí)現(xiàn)現(xiàn)控制目目標(biāo)的要要求；d)確定定如何測測量所選

40、選擇的控控制措施施的有效效性，并并規(guī)定這這些測量量措施如如何用于于評估控控制的有有效性以以得出可可比較的的、可重重復(fù)的結(jié)結(jié)果；e)進(jìn)行行信息安安全培訓(xùn)訓(xùn)，提高高全員信信息安全全意識和和能力；f)對信信息安全全體系的的運(yùn)作進(jìn)進(jìn)行管理理；g)對信信息安全全所需資資源進(jìn)行行管理；h)實(shí)施施控制程程序，對對信息安安全事件件（或征征兆）進(jìn)進(jìn)行迅速速反應(yīng)。4.2.2.22 信息息安全組組織機(jī)構(gòu)構(gòu)本公司成成立了的的信息安安全領(lǐng)導(dǎo)導(dǎo)機(jī)構(gòu)-信息安安全委員員會，其其職責(zé)是是實(shí)現(xiàn)信信息安全全管理體體系方針針和本公公司承諾諾。具體體職責(zé)是是：研究究決定貫貫標(biāo)工作作涉及到到的重大大事項(xiàng)；審定公公司信息息安全方方針、目目

41、標(biāo)、工工作計(jì)劃劃和重要要文件；為貫標(biāo)標(biāo)工作的的有序推推進(jìn)和信信息安全全管理體體系的有有效運(yùn)行行提供必必要的資資源。本公司由由相關(guān)部部門代表表組成信信息安全全管理網(wǎng)網(wǎng)絡(luò)，采采用聯(lián)席席會議（協(xié)調(diào)會會）的方方式，進(jìn)進(jìn)行信息息安全協(xié)協(xié)調(diào)和協(xié)協(xié)作，以以：a) 確確保安全全活動的的執(zhí)行符符合信息息安全方方針；b) 確確定怎樣樣處理不不符合；c) 批批準(zhǔn)信息息安全的的方法和和過程，如風(fēng)險(xiǎn)險(xiǎn)評估、信息分分類；d) 識識別重大大的威脅脅變化，以及信信息和相相關(guān)的信信息處理理設(shè)施對對威脅的的暴露；e) 評評估信息息安全控控制措施施實(shí)施的的充分性性和協(xié)調(diào)調(diào)性；f) 有有效的推推動組織織內(nèi)信息息安全教教育、培培訓(xùn)和意

42、意識；g) 評評價(jià)根據(jù)據(jù)信息安安全事件件監(jiān)控和和評審得得出的信信息，并并根據(jù)識識別的信信息安全全事件推推薦適當(dāng)當(dāng)?shù)拇胧┦?4.2.2.33信息安安全職責(zé)責(zé)和權(quán)限限本公司總總經(jīng)理為為信息安安全最高高責(zé)任者者。總經(jīng)經(jīng)理指定定了信息息安全管管理者代代表。無無論信息息安全管管理者代代表在其其他方面面的職責(zé)責(zé)如何，對信息息安全負(fù)負(fù)有以下下職責(zé)：a) 建建立并實(shí)實(shí)施信息息安全管管理體系系必要的的程序并并維持其其有效運(yùn)運(yùn)行；b) 對對信息安安全管理理體系的的運(yùn)行情情況和必必要的改改善措施施向信息息安全領(lǐng)領(lǐng)導(dǎo)小組組或最高高責(zé)任者者報(bào)告。各部門負(fù)負(fù)責(zé)人為為本部門門信息安安全管理理責(zé)任者者，全體體員工都都應(yīng)按保

43、保密承諾諾的要求求自覺履履行信息息安全保保密義務(wù)務(wù)；各部門、人員有有關(guān)信息息安全職職責(zé)分配配見本信信息安全全管理手手冊第33.4條款信信息安全全管理職職責(zé)明細(xì)細(xì)表和和相應(yīng)的的程序文文件。4.2.2.44 各部部門應(yīng)按按照信信息安全全適用性性聲明中規(guī)定定的安全全目標(biāo)、控制措措施（包包括安全全運(yùn)行的的各種控控制程序序）的要要求實(shí)施施信息安安全控制制措施。4.2.3監(jiān)控和評審ISMMS4.2.3.11本公司司通過實(shí)實(shí)施不定定期安全全檢查、內(nèi)部審審核、事事故（事事件）報(bào)報(bào)告調(diào)查查處理、電子監(jiān)監(jiān)控、定定期技術(shù)術(shù)檢查等等控制措措施并報(bào)報(bào)告結(jié)果果以實(shí)現(xiàn)現(xiàn)：a)及時(shí)時(shí)發(fā)現(xiàn)處處理結(jié)果果中的錯錯誤、信信息安全全體

44、系的的事故（事件）和隱患患；b)及時(shí)時(shí)了解識識別失敗敗的和成成功的安安全破壞壞和事件件、信息息處理系系統(tǒng)遭受受的各類類攻擊；c)使管管理者確確認(rèn)人工工或自動動執(zhí)行的的安全活活動達(dá)到到預(yù)期的的結(jié)果；d)使管管理者掌掌握信息息安全活活動和解解決安全全破壞所所采取的的措施是是否有效效；e)積累累信息安安全方面面的經(jīng)驗(yàn)驗(yàn);4.2.3.22根據(jù)以以上活動動的結(jié)果果以及來來自相關(guān)關(guān)方的建建議和反反饋，由由總經(jīng)理理主持，每年至至少一次次對信息息安全管管理體系系的有效效性進(jìn)行行評審，其中包包括信息息安全范范圍、方方針、目目標(biāo)的符符合性及及控制措措施有效效性的評評審，考考慮安全全審核、事件、有效性性測量的的結(jié)果

45、，以及所所有相關(guān)關(guān)方的建建議和反反饋。管管理評審審的具體體要求，見本手手冊第77章。4.2.3.33 網(wǎng)絡(luò)絡(luò)管理部部應(yīng)組織織有關(guān)部部門按照照信息息安全風(fēng)風(fēng)險(xiǎn)管理理程序的要求求，采用用信息安安全風(fēng)險(xiǎn)險(xiǎn)管理軟軟件，對對風(fēng)險(xiǎn)處處理后的的殘余風(fēng)風(fēng)險(xiǎn)進(jìn)行行定期評評審，以以驗(yàn)證殘殘余風(fēng)險(xiǎn)險(xiǎn)是否達(dá)達(dá)到可接接受的水水平，對對以下方方面變更更情況應(yīng)應(yīng)及時(shí)進(jìn)進(jìn)行風(fēng)險(xiǎn)險(xiǎn)評估：a) 組組織； b) 技技術(shù)；c) 業(yè)業(yè)務(wù)目標(biāo)標(biāo)和過程程；d) 已已識別的的威脅；e) 實(shí)實(shí)施控制制的有效效性； f) 外外部事件件，例如如法律或或規(guī)章環(huán)環(huán)境的變變化、合合同責(zé)任任的變化化以及社社會環(huán)境境的變化化。4.2.3.44按照計(jì)計(jì)劃的時(shí)

46、時(shí)間間隔隔進(jìn)行信信息安全全管理體體系內(nèi)部部審核，內(nèi)部審審核的具具體要求求，見本本手冊第第6章。4.2.3.55定期對對信息安安全管理理體系進(jìn)進(jìn)行管理理評審，以確保保范圍的的充分性性，并識識別信息息安全管管理體系系過程的的改進(jìn)，管理評評審的具具體要求求，見本本手冊第第7章。4.2.3.66考慮監(jiān)監(jiān)視和評評審活動動的發(fā)現(xiàn)現(xiàn)，更新新安全計(jì)計(jì)劃。4.2.3.77記錄可可能對信信息安全全管理體體系有效效性或業(yè)業(yè)績有影影響的活活動和事事情。4.2.4保持持與持續(xù)續(xù)改進(jìn)IISMSS我公司開開展以下下活動，以確保保信息安安全管理理體系的的持續(xù)改改進(jìn)：a) 實(shí)實(shí)施每年年管理評評審、內(nèi)內(nèi)部審核核、安全全檢查等等活

47、動以以確定需需改進(jìn)的的項(xiàng)目；b) 按按照內(nèi)內(nèi)部審核核管理程程序、糾正正措施管管理程序序、預(yù)防措措施管理理程序的要求求采取適適當(dāng)?shù)募m糾正和預(yù)預(yù)防措施施；吸取取其他組組織及本本公司安安全事故故（事件件）的經(jīng)經(jīng)驗(yàn)教訓(xùn)訓(xùn)，不斷斷改進(jìn)安安全措施施的有效效性；c) 通通過適當(dāng)當(dāng)?shù)氖侄味伪３衷谠趦?nèi)部對對信息安安全措施施的執(zhí)行行情況與與結(jié)果進(jìn)進(jìn)行有效效的溝通通。包括括獲取外外部信息息安全專專家的建建議、信信息安全全政府行行政主管管部門的的聯(lián)系及及識別顧顧客對信信息安全全的要求求等；d) 對對信息安安全目標(biāo)標(biāo)及分解解進(jìn)行適適當(dāng)?shù)墓芄芾恚_確保改進(jìn)進(jìn)達(dá)到預(yù)預(yù)期的效效果。相關(guān)文件件：系統(tǒng)風(fēng)風(fēng)險(xiǎn)評估估方法適用性性聲明

48、管理評評審程序序內(nèi)部審審核控制制程序糾正措措施控制制程序預(yù)防措措施控制制程序4.3文文件要求求4.3.1總則則ISMSS文件應(yīng)應(yīng)包括： a) 形形成文件件的ISSMS方方針和控控制目標(biāo)標(biāo)； b) IISMSS范圍c) IISMSS的支持性性程序和和控制措措施； d) 風(fēng)風(fēng)險(xiǎn)評估估方法的的描述； e) 風(fēng)風(fēng)險(xiǎn)評估估報(bào)告； f) 風(fēng)風(fēng)險(xiǎn)處置置計(jì)劃； g) 公公司為確確保其信信息安全全過程的的有效策策劃、運(yùn)行和和控制以以及規(guī)定定如何測測量控制制措施有有效性所所需的程程序文件件； h) 標(biāo)標(biāo)準(zhǔn)所要要求的記記錄； i) 適適用性聲聲明。 所有文件件應(yīng)按IISMSS方針要要求在需需要時(shí)可可獲得。 4.3.

49、2文件件控制ISMSS所要求求的文件件應(yīng)予以以保護(hù)和和控制，應(yīng)編制制形成文文件的程程序以規(guī)規(guī)定以下下方面所所需的管管理措施施：a) 文文件發(fā)布布前得到到批準(zhǔn)以以確保文文件是充充分的； b) 必必要時(shí)對對文件進(jìn)進(jìn)行評審審與更新新并再次次批準(zhǔn)； c) 確確保文件件的更改改和現(xiàn)行行修訂狀狀態(tài)得到到識別； d) 確確保在使使用處可可獲得適適用文件件的適用用版本； e) 確確保文件件保持合合法并易于識識別； f) 確確保外來來文件得得到識別別； g) 確確保文件件的分發(fā)發(fā)是受控控的； h) 防防止作廢廢文件的的非預(yù)期期使用； i) 若若因任何何原因而而保留作作廢文件件時(shí)對這這些文件件進(jìn)行適適當(dāng)?shù)臉?biāo)標(biāo)識；

50、 4.3.3記錄錄控制應(yīng)建立并并保持記記錄，以以提供符符合要求求和ISSMS有有效運(yùn)行行的證據(jù)據(jù)。記錄錄應(yīng)得到到保護(hù)并并且受控控。ISSMS應(yīng)應(yīng)考慮相相關(guān)法律律要求，記錄應(yīng)應(yīng)易于識識別和檢檢索。應(yīng)應(yīng)編制形形成文件件的程序序，以規(guī)規(guī)定記錄錄的識別別、貯存存、保護(hù)護(hù)、檢索索、保存存期限和和處置所所需的控控制，確確定記錄錄需要和和程度的的管理過過程。 保持過程程業(yè)績的的記錄以以及與IISMSS有關(guān)的的安全事事件的記記錄。例例如，記記錄包括括訪問者者登記審審核記錄錄和訪問問授權(quán)。 相關(guān)文件件：文件控控制程序序記錄控控制程序序5 管管理職責(zé)責(zé)5.1管管理承諾諾管理層應(yīng)應(yīng)通過以以下措施施對其建建立、實(shí)實(shí)施

51、、運(yùn)運(yùn)行、監(jiān)監(jiān)控、評評審、維維護(hù)和改改進(jìn)ISSMS的的承諾提提供證據(jù)據(jù)。 a) 建建立信息息安全方方針； b) 確確保信息息安全目目標(biāo)和計(jì)計(jì)劃的建建立； c) 為為信息安安全分配配角色和和職責(zé)； d) 向向公司傳傳達(dá)滿足足信息安安全目標(biāo)標(biāo)、符合合信息安安全方針針、法律責(zé)責(zé)任和持持續(xù)改進(jìn)進(jìn)的重要要性； e) 提提供足夠夠的資源源以建立立、實(shí)施施、運(yùn)行行、監(jiān)控控、評審審、維護(hù)護(hù)和改進(jìn)進(jìn)ISMMS； f) 決決定可接接受風(fēng)險(xiǎn)險(xiǎn)的標(biāo)準(zhǔn)準(zhǔn)和可接接受風(fēng)險(xiǎn)險(xiǎn)的等級級； g) 確確保ISSMS內(nèi)內(nèi)部審核核的執(zhí)行行； h) 進(jìn)進(jìn)行ISSMS管管理評審審。 相關(guān)文件件：信息安安全方針針和目標(biāo)標(biāo)部門職職責(zé)管理評評審

52、程序序系統(tǒng)風(fēng)風(fēng)險(xiǎn)評估估方法5.2 資源源管理5.2.1資源源提供公司應(yīng)確確定和提提供以下下方面所所需的資資源 a) 建建立建立立、實(shí)施施、運(yùn)行、監(jiān)監(jiān)控、維維護(hù)和改改進(jìn)ISSMS b) 確確保信息息安全程程序支持持業(yè)務(wù)需需求； c) 識識別并確確定法律律法規(guī)要要求和合合同安全全責(zé)任； d) 通通過正確確應(yīng)用所所有實(shí)施的的控制措措施的來來維持足夠夠的安全全； e) 必必要時(shí)進(jìn)進(jìn)行評估估，并對對評估結(jié)果采采取適當(dāng)當(dāng)?shù)膶?yīng)應(yīng)措施； f) 必必要時(shí)改改進(jìn)ISSMS的的有效性性。 5.2.2培訓(xùn)訓(xùn)、意識和和能力公司應(yīng)確確保在IISMSS中任命命職責(zé)的的人員應(yīng)應(yīng)能夠勝勝任要求求的任務(wù)務(wù) a) 確確定從事事影

53、響信信息安全全工作的的人員所所必需的的能力； b) 提提供足夠夠的能力力培訓(xùn)或或其它措措施，必必要時(shí)聘聘用有能能力的人人員滿足足這些要要求； c) 評評估所提供供的培訓(xùn)訓(xùn)和采取取措施的的有效性性； d) 保保持教育育、培訓(xùn)、技能、經(jīng)驗(yàn)和和資質(zhì)的的適當(dāng)記記錄。 公司應(yīng)確確保員工工認(rèn)識到到所從事事信息安安全活動動的相關(guān)關(guān)性和重重要性，以及如如何為實(shí)實(shí)現(xiàn)ISSMS目目標(biāo)作出出貢獻(xiàn)。相關(guān)文件件：人力資資源管理理控制程程序6 IISMSS內(nèi)部審審核公司應(yīng)按按計(jì)劃的的時(shí)間間間隔進(jìn)行行ISMMS內(nèi)部部審核，以確定定控制目目標(biāo)、控制措施施、過程程和程序序是否：a) 符符合標(biāo)準(zhǔn)準(zhǔn)及相關(guān)關(guān)法律法法規(guī)的要要求； b

54、) 符符合確定定的信息息安全要要求； c) 得得到有效效地實(shí)施施和維護(hù)護(hù)； d) 按按期望運(yùn)運(yùn)行。 內(nèi)部審核核程序應(yīng)應(yīng)進(jìn)行計(jì)計(jì)劃，并并考慮受受審核過過程的狀狀況、重重要性和和受審核核的區(qū)域域以及上上次審核核結(jié)果，應(yīng)規(guī)定定審核準(zhǔn)準(zhǔn)則、范范圍、頻頻次和方方式，審審核員的的選擇和和審核活活動應(yīng)保保證審核核過程的的客觀和和公正，審核員員不能審審核自己己的工作作。應(yīng)建立形形成文件件的程序序，以規(guī)規(guī)定策劃劃和實(shí)施施審核的的職責(zé)和和要求以以及報(bào)告告結(jié)果和和保持記記錄。 受審核區(qū)區(qū)域的負(fù)負(fù)責(zé)人應(yīng)應(yīng)確保立立即采取取措施，以消除除發(fā)現(xiàn)的的不符合合及其原原因。改改進(jìn)措施施包括所所采取措措施的驗(yàn)驗(yàn)證并匯匯報(bào)驗(yàn)證證結(jié)果

55、。相關(guān)文件件：內(nèi)部審審核控制制程序7ISMMS管理理評審7.1總總則管理者應(yīng)應(yīng)按策劃劃的時(shí)間間間隔評評審公司司的ISSMS（至少一一年一次次），以以確保其其持續(xù)的的適宜性性、充分分性和有有效性。評審應(yīng)應(yīng)包括評評價(jià)ISSMS改改進(jìn)的機(jī)機(jī)會和變變更的需需要，包包括安全全方針和和安全目目標(biāo)的適適宜性。評審結(jié)結(jié)果應(yīng)清清楚地寫寫入文件件應(yīng)保持持記錄。 7.2管管理評審審輸入管理評審審的輸入入應(yīng)包括括以下方方面的信信息： a) IISMSS審核（包括內(nèi)內(nèi)審和外外審）和和管理評評審的結(jié)結(jié)果； b) 相相關(guān)方（客戶、供應(yīng)商商、內(nèi)部部員工等等）的反反饋； c) 公公司用于于改進(jìn)IISMSS業(yè)績和和有效性性的技術(shù)

56、術(shù)、產(chǎn)品品或程序序的發(fā)展展及變化化； d) 預(yù)預(yù)防和糾正措措施的實(shí)實(shí)施情況況； e) 上上次風(fēng)險(xiǎn)險(xiǎn)評估未未充分指指出的弱弱點(diǎn)或威威脅； f) 體體系有效效性測量量的結(jié)果果； g) 上上次管理理評審所所采取措措施的跟跟蹤驗(yàn)證證； h) 影影響ISSMS的的變更，如信息息安全組組織架構(gòu)構(gòu)變化等等； i) 改改進(jìn)的建建議。7.3管管理評審審輸出管理評審審的輸出出應(yīng)包括括與以下下方面有有關(guān)的任任何決定定和措施施 a) IISMSS有效性性的改進(jìn)進(jìn) b) 風(fēng)風(fēng)險(xiǎn)評估估和風(fēng)險(xiǎn)險(xiǎn)處理計(jì)計(jì)劃的更更新c) 必必要時(shí)修修訂影響響信息安安全的程程序和控控制措施施，以反反映可能能影響IISMSS的內(nèi)外外事件，包括以以

57、下變化化 1 業(yè)務(wù)務(wù)需求； 2 安全全需求； 3 影響響已有業(yè)業(yè)務(wù)需求求的業(yè)務(wù)務(wù)過程； 4 法律律法規(guī)環(huán)環(huán)境； 5合同義義務(wù)； 6 風(fēng)險(xiǎn)險(xiǎn)和/或或風(fēng)險(xiǎn)接接受準(zhǔn)則則。 d) 資資源需求求e)針對對被測量量的控制制措施有有效性的的改進(jìn)相關(guān)文件件：管理評評審程序序8 ISSMS的的改進(jìn)8.1持持續(xù)改進(jìn)進(jìn)公司應(yīng)通通過應(yīng)用用信息安安全方針針、安全全目標(biāo)、審核結(jié)結(jié)果、監(jiān)監(jiān)控事件件的分析析、糾正正和預(yù)防防措施和和管理評評審，持持續(xù)改進(jìn)進(jìn)ISMMS的有有效性。 8.2糾糾正措施施公司應(yīng)采采取措施施消除IISMSS實(shí)施和和運(yùn)行的的不符合合原因，以防止止其再發(fā)發(fā)生。糾糾正措施施文件程程序應(yīng)規(guī)規(guī)定以下下方面的的要求

58、。 a) 識識別ISSMS實(shí)實(shí)施和運(yùn)運(yùn)行的不不符合項(xiàng)項(xiàng)； b) 確確定不符符合的原原因； c) 評評價(jià)確保保不符合合不再發(fā)發(fā)生所需需的措施施； d) 決決定和實(shí)實(shí)施所需需的糾正正措施； e) 記記錄所采采取措施施的結(jié)果果； f) 評評審所采采取的糾糾正措施施。 8.3預(yù)預(yù)防措施施公司應(yīng)決決定措施施以防范范未來的的不符合合，防止止發(fā)生采采取的預(yù)預(yù)防措施施應(yīng)與潛潛在問題題的影響響相匹配配，預(yù)防防措施文文件程序序應(yīng)規(guī)定定以下方方面的要要求。 a) 確確定潛在在不符合合及其原原因；b)評價(jià)價(jià)預(yù)防不不符合發(fā)發(fā)生所需需的措施施；c) 決決定實(shí)施施所需的的預(yù)防措措施； d) 記記錄所采采取措施施的結(jié)果果；

59、e) 評評審所采采取的預(yù)預(yù)防措施施。公司應(yīng)識識別發(fā)生生變化的的風(fēng)險(xiǎn)，并通過過關(guān)注變變化顯著著的風(fēng)險(xiǎn)險(xiǎn)來識別別預(yù)防措措施要求求。應(yīng)根根據(jù)風(fēng)險(xiǎn)險(xiǎn)評估結(jié)結(jié)果來確確定預(yù)防防措施的的優(yōu)先級級。相關(guān)文件件：糾正措措施控制制程序 預(yù)防措措施控制制程序 IT服務(wù)務(wù)管理服務(wù)管理理規(guī)劃和實(shí)實(shí)施在開展IIT服務(wù)務(wù)管理的的活動中中，PDDCA原原理貫穿穿于ITT服務(wù)管管理體系系的全部部流程，其中：P（計(jì)劃劃） 根據(jù)據(jù)客戶要要求和公公司策略略建立目目標(biāo)和流流程。D（實(shí)施施） 實(shí)施施流程。C（檢查查） 根據(jù)據(jù)策略、目標(biāo)和和要求對對過程和和服務(wù)進(jìn)進(jìn)行監(jiān)控控、測量量，并報(bào)報(bào)告結(jié)果果。A（改進(jìn)進(jìn)） 采取取措施以以持續(xù)改改進(jìn)流程

60、程的性能能。計(jì)劃服務(wù)務(wù)管理 服服務(wù)部向向客戶提提供三大大服務(wù)項(xiàng)項(xiàng)目：常常駐現(xiàn)場場技術(shù)服服務(wù)、定定期巡檢檢技術(shù)服服務(wù)、咨咨詢規(guī)劃劃設(shè)計(jì)服服務(wù)。甘甘肅萬維維公司為為不斷滿滿足市場場需求和和企業(yè)自自身發(fā)展展需要，將在未未來將原原有的三三大技術(shù)術(shù)服務(wù)內(nèi)內(nèi)容重新新規(guī)劃和和設(shè)計(jì)，細(xì)化成成六大服服務(wù)內(nèi)容容：基礎(chǔ)礎(chǔ)設(shè)施服服務(wù)、運(yùn)運(yùn)維服務(wù)務(wù)、專業(yè)業(yè)技術(shù)服服務(wù)、IIT安全全服務(wù)、咨詢設(shè)設(shè)計(jì)評估估服務(wù)、培訓(xùn)服服務(wù)。從從而實(shí)現(xiàn)現(xiàn)在堅(jiān)持持原有行行業(yè)內(nèi)的的服務(wù)的的基礎(chǔ)上上向行業(yè)業(yè)外擴(kuò)展展的計(jì)劃劃。 服服務(wù)部根根據(jù)公司司IT服務(wù)務(wù)管理職職能關(guān)系系架構(gòu)圖圖中的所所分配的的職責(zé)并并依據(jù)條條款4-9中所所規(guī)定的的服務(wù)管管理過程程