ISO27001信息安全管理體系-信息安全管理手冊

1、XXXXXXXX有限公司信息安全管理體系文件信息安全管理手冊XXXX -ISMS-SC-2019版本：V 1.0（內(nèi)部受控）2019年42019年4月10日發(fā)布2019年4月10日實施XXXXXXXX有限公司修改履歷版本制訂者修改時間更改內(nèi)容審批人審核意見變更申請單號1.0XXX2019年4月10日發(fā)布馮克艷同意1.0XXX2019年4月10日實施馮克艷同意00目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 00目錄3 HYPERLINK l bookmark6 o Current Document 01頒布令5 HYPERL

2、INK l bookmark8 o Current Document 02管理者代表授權(quán)書6前言71范圍7 HYPERLINK l bookmark10 o Current Document 總則7應(yīng)用7覆蓋范圍7 HYPERLINK l bookmark15 o Current Document 刪減說明7 HYPERLINK l bookmark17 o Current Document 信息安全手冊說明7 HYPERLINK l bookmark27 o Current Document 2規(guī)范性引用文件83術(shù)語和定義9 HYPERLINK l bookmark29 o Current

3、Document 術(shù)語9 HYPERLINK l bookmark31 o Current Document 縮寫94組織的背景9 HYPERLINK l bookmark33 o Current Document 了解公司現(xiàn)狀及背景9 HYPERLINK l bookmark35 o Current Document 理解相關(guān)方的需求和期望9 HYPERLINK l bookmark37 o Current Document 確定信息安全管理體系的范圍105領(lǐng)導(dǎo)力10 HYPERLINK l bookmark39 o Current Document 領(lǐng)導(dǎo)力和承諾10 HYPERLINK l

4、 bookmark41 o Current Document 信息安全管理體系的方針11角色，責任和承諾11信息安全組織機構(gòu)11 HYPERLINK l bookmark46 o Current Document 信息安全職責和權(quán)限11 HYPERLINK l bookmark48 o Current Document 承諾126計劃12處理風險和機遇的行動12總則12 HYPERLINK l bookmark83 o Current Document 信息安全風險評估12 HYPERLINK l bookmark85 o Current Document 信息安全風險處置13 HYPERLI

5、NK l bookmark68 o Current Document 可實現(xiàn)的信息安全目標和計劃147支持15資源15能力15意識15 HYPERLINK l bookmark70 o Current Document 溝通15文檔化信息16總則16 HYPERLINK l bookmark75 o Current Document 創(chuàng)建和更新16 HYPERLINK l bookmark77 o Current Document 文檔化信息的控制168運行17 HYPERLINK l bookmark81 o Current Document 運行計劃及控制17信息安全風險評估17 HYPE

6、RLINK l bookmark60 o Current Document 信息安全風險處置17 HYPERLINK l bookmark87 o Current Document 9績效評價18 HYPERLINK l bookmark89 o Current Document 監(jiān)視，測量，分析和評價18 HYPERLINK l bookmark91 o Current Document 內(nèi)部審核18 HYPERLINK l bookmark93 o Current Document 內(nèi)審員18 HYPERLINK l bookmark95 o Current Document 內(nèi)審實施18

7、 HYPERLINK l bookmark97 o Current Document 管理評審19 HYPERLINK l bookmark103 o Current Document 10改進20 HYPERLINK l bookmark105 o Current Document 不符合及糾正措施20 HYPERLINK l bookmark107 o Current Document 持續(xù)改進20附錄1-組織簡介21 HYPERLINK l bookmark112 o Current Document 附錄3-職能分配表23 HYPERLINK l bookmark114 o Curre

8、nt Document 信息安全管理職能分配表23 HYPERLINK l bookmark116 o Current Document 附錄4-信息安全小組成員2601頒布令經(jīng)公司全體員工的共同努力依據(jù)GB/T 22080-2016/ISO/IEC 27001： 2013標準建立 XXXXXXXX有限公司信息安全管理體系已得到建立。指導(dǎo)管理體系運行的公司信息安全管理體系手冊經(jīng)評審后，現(xiàn)予以批準發(fā)布。信息安全管理體系手冊的發(fā)布，標志著我公司從現(xiàn)在起，必須按照信息安全管 理體系標準的要求和公司信息安全管理體系手冊所描述的規(guī)定，不斷增強持續(xù)滿足 顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為

9、顧客和相關(guān)方提供服務(wù)，以 確立公司在社會上的良好信譽。信息安全管理體系手冊是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在產(chǎn) 品設(shè)計和銷售及對客戶的服務(wù)過程中必須遵循的行動準則。信息安全管理體系手冊 一經(jīng)發(fā)布，就是強制性文件，全體員工必須認真學(xué)習、切實執(zhí)行。本手冊2019年4月10日正式實施。XXXXXXXX有 限公司總經(jīng)理：馮克艷 2019年4月10日02管理者代表授權(quán)書為貫徹執(zhí)行GB/T 22080-2016/ISO/IEC 27001： 2013信息安全管理體系，加強 對信息管理體系運行的領(lǐng)導(dǎo)，特授權(quán)：1、授權(quán)XXX為公司管理者代表，其主要職責（角色）權(quán)限為：1）確保公司信息安全管理體系所

10、需過程得到建立、實施、運行和保持。確保信息 安全業(yè)務(wù)風險得到有效控制。2）向最高管理者報告信息安全管理體系業(yè)績（績效）和任何改善需求，為最高管 理層評審提供依據(jù)。3）確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識和信息安全風險意 識在公司內(nèi)得到形成和提高。4）在信息安全管理體系事宜方面負責與外部的聯(lián)絡(luò)。2、授權(quán)XXX為ISMS信息安全管理項目責任人，其職責（角色）和權(quán)限為：確 保信息安全管理方的控制措施得到形成、實施、運行和控制。3、授權(quán)各部門主管為信息安全管理體系在本部門的責任人，對ISMS要求在本部門 的實施負責。XXXXXXXX有 限公司總經(jīng)理：馮克艷2019年4月10日、. 、.

11、前百XXXXXXXX有限公司信息安全管理體系手冊（以下簡稱本手冊）依據(jù) GB/T 22080-2016/ISO/IEC 27001： 2013/ISO/IEC 27001： 2013信息技術(shù)-安全技術(shù)-信息安 全管理體系-要求，參照GB/T 22081-2016信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī) 則，結(jié)合本行業(yè)信息安全的特點編寫。本手冊對本公司信息安全管理體系作出了概括 性描述，為建立、實施和保持信息安全管理體系提供框架。1范圍總則在公司的背景下建立，實施，維護和不斷改進信息安全管理體系的要求，確定信息 安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安 全管理體

12、系文件，持續(xù)改進信息安全管理體系的有效性，特制定本手冊。應(yīng)用覆蓋范圍本信息安全管理體系手冊規(guī)定了本公司信息安全管理體系涉及的信息安全管理、 職責管理、內(nèi)部審核、管理評審和信息安全管理體系持續(xù)改進等方面內(nèi)容。刪減說明本信息安全管理體系手冊采用了68/1220800-2016標準正文的內(nèi)容，本公司刪 減條款：A.14.1.2保護公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.1.3保護應(yīng)用服務(wù)交易A.14.2.7外包開發(fā)。信息安全手冊說明本手冊的編制及頒布可以對公司信息安全管理各項活動進行控制，指導(dǎo)公司開展各 項業(yè)務(wù)活動，并通過不斷的持續(xù)改進來完善信息安全管理體系。信息安全手冊的編制、審核、批準本手冊由信息安全管理

13、小組負責組織編制、經(jīng)管理者代表審核、總經(jīng)理批準發(fā)布。 本手冊一經(jīng)發(fā)布，就成為公司信息安全管理的基本要求，公司全體員工必須嚴格遵守。信息安全管理小組負責本手冊的發(fā)放與管理，并負責其有效性。本手冊的解釋權(quán)歸信息 安全管理小組。信息安全手冊修改本手冊可根據(jù)實際情況的變化進行修改，應(yīng)由信息安全管理體系相關(guān)部門提出申 請，經(jīng)管理者代表審核、總經(jīng)理批準后方可進行修改。為保證修改后的手冊能夠及時發(fā) 放給相關(guān)人員，信息安全管理小組對手冊實施修改后，應(yīng)及時發(fā)布修改信息，通知相關(guān) 人員。本手冊的修改分為兩種：一、小量的文字性修改，此種修改不改變手冊的版本號， 只需在本手冊的“文檔修改記錄”如實記錄即可，不需保存手

14、冊修改前的文檔原件；二、 大范圍的信息安全管理體系版本升級，即改版。在本手冊經(jīng)過多次修改、信息安全管理 體系建立依據(jù)的標準發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下，需要對本手冊進 行改版。本手冊的改版應(yīng)該對改版前的本手冊文檔原件進行保存。在出現(xiàn)下列情況時，本手冊可以進行修改：信息安全管理體系運行過程中發(fā)現(xiàn)問題，或信息安全管理體系需進一步改進內(nèi)部信息安全提出新的需求組織機構(gòu)和職能發(fā)生變化經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整發(fā)現(xiàn)本手冊中的存在差錯或不明確之處引用的法規(guī)或體系標準有修改體系審核或管理評審提出改進要求本手冊的更改控制按文件管理程序執(zhí)行在出現(xiàn)下列情況時，本手冊可以改版：組織機構(gòu)、經(jīng)營環(huán)境、信息技術(shù)

15、架構(gòu)、產(chǎn)品結(jié)構(gòu)發(fā)生重大變化相應(yīng)法規(guī)有重大變化修改涉及了相當多的頁次或一個版本的修改達到十次本手冊執(zhí)行已經(jīng)滿三年本手冊完成修改后，經(jīng)審批重新發(fā)布實施。本手冊的原審批崗位對手冊的修改 負有重新審批的責任。信息安全手冊發(fā)放和保管信息安全手冊經(jīng)總經(jīng)理批準后，由商務(wù)部存放到公司的文件服務(wù)器指定位置， 并通過郵箱將該手冊發(fā)放的相關(guān)人員。信息安全手冊的評審由管理者代表根據(jù)實際情況需要，負責組織有關(guān)部門（人員）對信息安全手冊進 行評審，目的在于確定信息安全手冊是否需要更新，以保持信息安全手冊的有效性。 GB/T 22080-2016/ISO/IEC 27001： 2013信息技術(shù)-安全技術(shù)-信息安全管理體系-

16、 要求GB/T 22081-2016信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則2規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手 冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準， 然而，信息安全管理委員會應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引 用文件、其最新版本適用于本信息安全管理手冊。GB/T 22080-2016/ISO/IEC 27001： 2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求GB/T 22081-2016信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則3術(shù)語和定義術(shù)語GB/T 22080-2016/ISO/I

17、EC 27001： 2013的術(shù)語和定義適用于本信息安全管理體 系手冊。本組織、本公司、我公司：XXXXXXXX有限公司。縮寫ISMS： Information Security Management DTA stems 信息安全管理體系；SoA: ： Statement of Applicability 適用性聲明；PDCA: ： Plan Do Check Action 計劃、實施、檢查、改進。4組織的背景了解公司現(xiàn)狀及背景本公司根據(jù)內(nèi)外部環(huán)境因素，考慮公司的信息安全管理目的，這將作為公司實施信 息安全管理體系的核心需求。理解相關(guān)方的需求和期望本公司相關(guān)方為物業(yè)公司、電信互聯(lián)網(wǎng)運營商及部分

18、軟件開發(fā)外包服務(wù)提供方根據(jù) 相關(guān)方提出的信息安全需求和期望，考慮建立信息安全管理體系并通過擬定的合同來進 行管理，這些需求包括：法律法規(guī)、合同義務(wù)、地方規(guī)定等。確定信息安全管理體系的范圍本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：a）業(yè)務(wù)特征：已于附錄1組織簡介中進行了描述；b）組織結(jié)構(gòu)：已在附錄2組織機構(gòu)圖進行的定義；審核地址：天津市寧河區(qū)蘆臺鎮(zhèn)幸福商業(yè)廣場5-206和安徽省合肥市高新區(qū)科學(xué)大道與 天波路交口新材料和機電一體化園創(chuàng)業(yè)中心F10號樓一樓101室c）資產(chǎn)分類定義：人員、物理、數(shù)據(jù)、文檔、軟件、服務(wù)、無形資產(chǎn)；d） ISMS的范圍是：與呼叫中心及軟件開發(fā)相關(guān)

19、的信息安全管理活動e）信息安全管理體系手冊采用了GB/T 22080-2016/ISO/IEC 27001： 2013準正文的 全部內(nèi)容，對附錄A的刪減及理由詳見信息安全適用性聲明SOA；f） ISMS的邊界是：天津市寧河區(qū)蘆臺鎮(zhèn)幸福商業(yè)廣場5-206和安徽省合肥市高新區(qū)科學(xué)大道與天波路交口新材料和機電一體化園創(chuàng)業(yè)中心F10號樓一樓101室4.4信息安全管理體系本公司的信息安全管理體系按照68/1 22080-2016/ISO/IEC 27001： 2013信息技 術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照GB/T22081-2016信息技術(shù)-安全技 術(shù)-信息安全管理實用規(guī)則標準建立、實施

20、、運行、監(jiān)視、評審、保持和改進文件化 的信息安全管理體系。5領(lǐng)導(dǎo)力領(lǐng)導(dǎo)力和承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息 安全管理體系的承諾提供證據(jù)：a）建立信息安全方針（見信息安全方針）；b）確保信息安全目標和計劃得以制定（見信息安全目標及相關(guān)記錄）；c）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管 理體系（見本手冊第7.1章）；d）建立信息安全的角色和職責（見本手冊附錄3（規(guī)范性附錄）職責權(quán)限和相 應(yīng)的管理程序；e）向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進 的重要性；f）實施信息安全管理體系管理評審，確保信息

21、安全管理體系達到其預(yù)期的效果（見 本手冊第9章）；g）指導(dǎo)和支持員工對信息安全管理體系作出有效的貢獻；h）確保內(nèi)部信息安全管理體系審核得以實施，促進持續(xù)改進（見本手冊第9章）；i）支持其他相關(guān)管理角色來展示自己的領(lǐng)導(dǎo)力，因為它適用于他們的職責范圍。信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù) 可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信 息安全管理體系方針：規(guī)范信息管理，保障信息安全,提升信息技術(shù)，服務(wù)公司經(jīng)營。含義為：公司全體員工應(yīng)嚴格按68/1 22080-2016/ISO/IEC 27001： 2013

22、標準的要 求，建立、實施、保持和改進公司信息安全管理體系，不斷提升信息安全意識，規(guī)范信 息生命周期過程的管理，持續(xù)識別和控制信息安全的風險，保證公司所有信息的安全。 不斷加大對信息設(shè)備的投入，提升信息技術(shù)水平，為公司經(jīng)營提供高效、便捷、安全的 服務(wù)，確保總體業(yè)務(wù)系統(tǒng)持續(xù)可靠地運行。角色，責任和承諾信息安全組織機構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機構(gòu)一一信息安全小組，職責是實現(xiàn)信息安全管理體系方 針和本公司承諾。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信 息安全方針、目標、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理 體系的有效運行提供必要的資源。本公司的信息安全職能由信息

23、安全小組承擔，其主要職責是：負責制訂、落實信息 安全工作計劃，對單位、部門信息安全工作進行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信 息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合；c）批準信息安全的方法和過程，如風險評估、信息分類；d）識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e）評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f）有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g）評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推 薦適當?shù)拇胧Ｐ畔?/p>

24、安全職責和權(quán)限本公司總經(jīng)理為信息安全最高責任者?？偨?jīng)理指定信息安全管理者代表，無論信息 安全管理者代表其他方面的職責如何，對信息安全負有以下職責：a）建立并實施信息安全管理體系必要的程序并維持其有效運行；b）對信息安全管理體系的運行情況和必要的改善措施向信息安全小組或最高責任 者報告。各部門負責人為本部門信息安全管理責任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。各部門、人員有關(guān)信息安全職責分配見附錄3（規(guī)范性附錄）職責權(quán)限和相應(yīng) 的程序文件（管理標準）、規(guī)定及崗位說明書。承諾為實現(xiàn)信息安全管理體系方針，本公司承諾：a）在公司內(nèi)各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全方

25、針、安全 目標和控制措施，明確信息安全的管理職責；b）識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保 證體系的持續(xù)有效性；d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共 享；e）對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和 能力；f）制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。6計劃處理風險和機遇的行動總則公司信息安全風險管理在規(guī)劃時需考慮4.1和4.2條款中提出的需求，以確保風險評 估可以實現(xiàn)可預(yù)期的結(jié)果，實現(xiàn)體系的持續(xù)改進。信息安全風險評估風險評估的方法信息安全小組

26、制定信息安全風險識別與評價管理程序，建立識別適用于信息安 全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風 險的準則并識別風險的可接受等級。按信息安全風險評估執(zhí)行信息安全風險識別與評 價管理程序進行，以保證所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可 重復(fù)的結(jié)果。識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風險識別與評價管理程 序?qū)λ械馁Y產(chǎn)和資產(chǎn)所有者進行了識別；對每一項資產(chǎn)保密性、完整性、可用性和 法律法規(guī)及重要性級別進行了量化賦值，根據(jù)重要資產(chǎn)判斷準則確定是否為重要資產(chǎn)， 形成重要資產(chǎn)清單。同時根據(jù)信息安全風險識別與評價管理程序識別對這些

27、資 產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的控制措施及現(xiàn)有控制措施的有效性，并通 過對這些項目的賦值計算出在喪失保密性、完整性和可用性可能對重要資產(chǎn)造成的影 響。需對風險的所有者進行指定。分析和評價風險本公司按信息安全風險識別與評價管理程序分析和評價風險：a）針對所有資產(chǎn)的自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果 計算出風險發(fā)生的影響值；b）針對每一項威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進行賦值，然后計算 得出風險發(fā)生的可能性；c）根據(jù)信息安全風險識別與評價管理程序計算風險等級，從而得出風險等級;d）根據(jù)信息安全風險識別與評價管理程序及風險接受準則，判斷風險為可接 受或需要處

28、理。信息安全風險處置信息安全小組及相關(guān)部門根據(jù)風險評估的結(jié)果，形成信息安全風險處理計劃， 該計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴）控制風險，采用適當?shù)膬?nèi)部控制措施；b）接受風險；c）避免風險；d）轉(zhuǎn)移風險。選擇控制目標與控制措施信息安全小組根據(jù)相關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的 結(jié)果，組織有關(guān)部門選擇和制定了信息安全目標，并將目標分解到有關(guān)部門（見信息 安全適用性聲明）：a）信息安全控制目標獲得總經(jīng)理的批準。b）控制目標及控制措施的選擇原則來源于GB/T 22080-2016

29、/ISO/IEC 27001： 2013 附錄A，具體控制措施參考08/122081-2016信息技術(shù)-安全技術(shù)-信息安全管理 實用規(guī)則。c）本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。剩余風險對風險處理后的剩余風險應(yīng)形成信息安全剩余風險評估報告并得到公司管理者的批準。對于殘余風險應(yīng)形成殘余風險審批表并評審殘余風險的理由，得到公司總 經(jīng)理批準后，方可把風險作為殘余風險。適用性聲明信息安全小組編制信息安全適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容: a）所選擇控制目標與控制措施的概要描述，以及選擇的原因；b）對GB/T 22080-2016/ISO/IEC 27001： 2

30、013錄A中未選用的控制目標及控制措施 理由的說明?？蓪崿F(xiàn)的信息安全目標和計劃為了保證各種信息資產(chǎn)的保密性、完整性、可用性，切實推行信息安全管理， 積極預(yù)防風險，完善控制措施，提高客戶信任度，確保公司業(yè)務(wù)的連續(xù)性，武漢華昱豐 科技股份有限公司依據(jù)GB/T 22080-2016/ISO/IEC 27001： 2013標準，建立信息安全管 理體系，并承諾如下：1）在公司內(nèi)各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全方針、安全目標 和控制措施，明確信息安全的管理職責；2）識別并滿足適用法律、法規(guī)和客戶等相關(guān)方信息安全要求；3）定期進行信息安全風險評估，ISMS評審，采取糾正預(yù)防措施，保證體系的

31、持續(xù)有 效性；4）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息；5）對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工信息安全意識和能力；6）制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。7）對于基本方針的適用性、充分性，結(jié)合實際狀況定期評審，必要時予以修訂。根據(jù)信息安全目標規(guī)劃的框架指定公司信息安全可測量目標：令顧客保密性抱怨/投訴的次數(shù)不超過1起/年。令無重大信息安全事件發(fā)生令 信息安全培訓(xùn)人員覆蓋率100%信息安全目標需根據(jù)公司組織架構(gòu)進行拆解，指定目標的負責人以及考核方式，詳見信息安全目標重大信息安全事故定義：由于外部或者內(nèi)部的信息安全事故，使得公司的業(yè)務(wù)運行中斷 一天

32、以上，定義為公司的重大安全事故7支持7.1資源本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響 信息安全管理體系工作的員工是有能力勝任的，以保證：a）建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識別并指出法律法規(guī)要求和合同安全責任；d）通過正確應(yīng)用所實施的所有控制來保持充分的安全；e）必要時，進行評審，并對評審的結(jié)果采取適當措施；f）需要時，改進信息安全管理體系的有效性。7.2能力信息安全小組制定并實施人力資源管理程序文件，確保被分配信息安全管理體 系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過：a）確定

33、承擔信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c）評價所采取措施的有效性；d）保留教育、培訓(xùn)、技能、經(jīng)驗和資格的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以 及如何為實現(xiàn)信息安全管理體系目標做出貢獻。7.3意識對公司全體人員通過培訓(xùn)、學(xué)習、宣傳等方式提高人員信息安全意識，需了解到:a）信息安全方針；b）他們對信息安全管理體系有效性的貢獻，包括提高信息安全績效的收益；c）不符合信息安全管理體系要求所帶來的影響。7.4溝通公司需通過適當?shù)氖侄伪３衷趦?nèi)部和外部在信息安全要求進行有效的溝通。包括獲 取外

34、部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全 的要求等，溝通方式在信息安全溝通管理程序進行規(guī)定。7.5文檔化信息總則本公司信息安全管理體系文件包括：a）文件化的信息安全方針，在信息安全管理體系手冊中描述選擇的控制目標 在信息安全適用性聲明SoA中描述；b）信息安全管理體系手冊（本手冊，包括信息安全適用范圍及引用的標準）；c） GB/T 22080-2016/ISO/IEC 27001： 2013準中規(guī)定需文件化的程序；d）本手冊涉及的相關(guān)支持性程序性文件，例如信息安全風險識別與評價管理程 序；e）為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f）風險

35、處理計劃以及信息安全管理體系要求的記錄類；g）相關(guān)的法律、法規(guī)和信息安全標準；h）信息安全適用性聲明SoA。創(chuàng)建和更新信息安全小組按文件控制程序的要求，對信息安全管理體系所要求的文件進行 管理。對信息安全管理體系手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息 安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、 使用、修訂、作廢、回收等工作實施控制，以確保在使用場所能夠及時獲得適用文件的 有效版本。文件的創(chuàng)建和更新應(yīng)確保：a）識別或描述文件時需包含標題、日期、作者、編號等b）文件格式可以是表、單、卡、臺帳、記錄本、報告、紀要、證、圖等多種適用 的形式，可以是書面的或

36、電子媒體的。c）文件發(fā)布前得到批準，以確保文件是充分的；d）必要時對文件進行評審、更新并再次批準；文檔化信息的控制文件控制應(yīng)保證：a）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；b）確保在使用時，可獲得相關(guān)文件的最新版本；c）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行標識、保護、 檢索、轉(zhuǎn)移、存儲和最終的銷毀；d）確保外來文件得到識別；e）確保文件的分發(fā)得到控制；f）防止作廢文件的非預(yù)期使用；g）若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。外來文件管理外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行: a）信息安全適用的法律法規(guī)按照信息安全法律法規(guī)管理程

37、序規(guī)定執(zhí)行；b）外來的文件按照文件控制程序和其他相關(guān)規(guī)定執(zhí)行；c）外來標準按本公司標準化管理的相關(guān)規(guī)定進行。8運行運行計劃及控制為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以 下活動：a）形成信息安全風險處理計劃，以確定適當?shù)墓芾泶胧?、職責及安全控制?施的優(yōu)先級；b）為實現(xiàn)已確定的安全目標、實施信息安全風險處理計劃，明確各崗位的信 息安全職責；c）實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d）確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估 控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e）對運行過程中發(fā)生的非計劃的變更進行規(guī)劃，以減輕不良的影響；

38、f）本公司外包方為物業(yè)公司及電信互聯(lián)網(wǎng)運行商、供應(yīng)商及信息安全產(chǎn)品供方。信息安全風險評估信息安全管理小組每年應(yīng)組織對信息安全風險重新評估一次，以適應(yīng)信息資產(chǎn)的變 化，確定是否存在新的風險及是否需要增加新的控制措施。信息安全小組組織有關(guān)部門按照信息安全風險識別與評價管理程序的要求，對 風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下 方面變更情況應(yīng)及時進行風險評估：a） 組織；b）技術(shù)；c）業(yè)務(wù)目標和過程；d）已識別的威脅；e） 實施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。8.3信息安全風險處置公司需保留信息安全風險處理

39、計劃的執(zhí)行結(jié)果的文檔化的記錄。9績效評價監(jiān)視，測量，分析和評價本公司應(yīng)評價信息安全績效和信息安全管理體系的有效性應(yīng)確定以下內(nèi)容：a）本公司針對外包開發(fā)活動、供應(yīng)商的適用性聲明，實行控制目標所制定的控制措施 進行有效的監(jiān)控和測量b）本公司管理者代表組織日常的工作檢查、發(fā)現(xiàn)存在的問題，對發(fā)現(xiàn)的問題做出風險 評估并評價風險。c）本公司每半年對現(xiàn)有的外包開發(fā)、供應(yīng)商進行監(jiān)視和測量以及更新。內(nèi)部審核本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期 技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全管理體系的事故和隱患；b）及時了解識別失敗的和成功的安全破壞

40、和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗。員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的 工作。內(nèi)部審核計劃，經(jīng)管理者代表批準，提前3天通知被審核部門，被審核部門到 時應(yīng)選派有關(guān)人員配合審核。內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格 的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動無直接責任，以保持工作 的獨立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，

41、填寫 內(nèi)部審核員評定表，經(jīng)管理者代表批準，方取得內(nèi)部審核員資格。內(nèi)審實施活動應(yīng)按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流，填寫審核發(fā)現(xiàn)；c）對檢查內(nèi)容進行分析，對審核發(fā)現(xiàn)的問題在不符合項報告及糾正報告單中 開出不符合項；d）審核組長編制內(nèi)部審核報告。不符合處理對審核中提出的不符合項，責任部門應(yīng)制定糾正措施，由信息安全小組對糾正措施 的實施情況進行跟蹤、驗證，將結(jié)果記入不符合項報告及糾正報告單。記錄內(nèi)部審核記錄由信息安全小組保存，并作為管理評審的輸入之一。管理評審總經(jīng)理應(yīng)每年進行一次管理

42、評審，以確保信息安全管理體系持續(xù)的適宜性、充分性 和有效性，管理評審按管理評審程序進行。管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括信息安全方 針和信息安全目標。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。管理評審應(yīng)考慮：評審輸入管理評審的輸入要包括以下信息：a）信息安全管理體系審核和評審的結(jié)果；b）相關(guān)方的反饋；c）用于改進信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）以往風險評估沒有充分強調(diào)的脆弱性或威脅；f）有效性測量的結(jié)果；g）以往管理評審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改進的建議。評審輸出管理評審的輸出應(yīng)包

43、括與下列內(nèi)容相關(guān)的任何決定和措施：a）信息安全管理體系有效性的改進；b）更新風險評估和風險處理計劃；c）必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管 理體系的內(nèi)外事件，包括以下方面的變化：1）業(yè)務(wù)要求；2）安全要求；3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4）法律法規(guī)要求；5）合同責任；6）風險等級和（或）風險接受準則。d）資源需求；e）改進測量控制措施有效性的方式。10改進不符合及糾正措施本公司信息安全小組管理糾正措施，不符合事項的責任部門負責采取糾正措施，以 消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生。糾正措施的實施按持續(xù)改進控制程序進行。糾正措施的制定和實施程序如

44、下：a）識別信息安全事件及不符合；b）確定信息安全事件及不符合的原因；c）確定是否存在類似的不符合和發(fā)生的可能；d）評價確保不符合不再發(fā)生的措施要求；e）確定和實施所需的糾正措施；f）記錄所采取措施的結(jié)果；g）評審所采取的糾正措施。我公司信息安全小組定期組織進行風險評估，以識別變化的風險，并通過關(guān)注變化 顯著的風險來識別糾正措施要求。糾正措施的優(yōu)先級應(yīng)基于風險評估結(jié)果來確定。持續(xù)改進本公司依據(jù)持續(xù)改進控制程序的要求,通過使用信息安全方針、信息安全目標、 審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審，持續(xù)改進信息安全管理體 系的適宜性，充分性和有效性。我公司開展以下活動，以確保信息安全管

45、理體系的持續(xù)改進：a）實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；b）按照本手冊的要求采取適當?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事 故的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性；c）通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝 通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及 識別顧客對信息安全的要求等；d）對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預(yù)期的效果。附錄1組織簡介企業(yè)概況XXXXXXXX有限公司，是專業(yè)的呼叫中心外包服務(wù)提供商及電話營銷服務(wù)提供商，專業(yè)從事 呼叫中心外包服務(wù)(CallCenter Outsourci

46、ng Service)。充分利用現(xiàn)代信息化技術(shù)及呼叫中心平臺， 結(jié)合XXXX在外包及直復(fù)營銷領(lǐng)域的豐富經(jīng)驗，為國際企業(yè)提供專業(yè)的呼叫中心外包服務(wù)。在過去的8年,XXXXXXXX有限公司致力幫助企業(yè)建設(shè)成功的客戶關(guān)系，我們始終專注 于國際及本土企業(yè)的實踐與應(yīng)用，致力于幫助更多的企業(yè)創(chuàng)造具有前瞻性和富有戰(zhàn)略意義的的客戶 價值。XXXX在合肥市建設(shè)了 200個坐席的大型呼叫中心。呼叫中心采用業(yè)內(nèi)最先進的多媒體 交換平臺及中間件系統(tǒng)，通過與中國電信、中國移動、中國聯(lián)通深入合作，可為客戶提供充足的中 繼資源與高強度信息安全保障。XXXX利用先進的多媒體呼叫中心業(yè)務(wù)平臺，結(jié)合精準的許可營銷數(shù)據(jù)庫，為國際企

47、業(yè) 提供從商業(yè)市場調(diào)研、銷售線索管理、客戶資料管理、會議活動管理等市場活動服務(wù)。XXXX依據(jù)自身的專業(yè)優(yōu)勢，為中國的呼叫中心行業(yè)提供包括呼叫中心全面外包、呼叫 中心架構(gòu)設(shè)計、呼叫中心咨詢培訓(xùn)在內(nèi)的呼叫中心專業(yè)服務(wù)。通過與眾多戰(zhàn)略伙伴合作，廣泛活躍于呼叫中心業(yè)務(wù)外包，呼叫中心運營管理咨詢，呼 叫中心專業(yè)培訓(xùn)以及市場活動執(zhí)行。立志于提供最高品質(zhì)的呼叫中心綜合服務(wù)。附件2：管理組織架構(gòu)示意圖附錄3-職能分配表信息安全管理職能分配表注：“”為主要職能，“”為配合職能標準條款管理層營銷部綜合部運營部技術(shù)部4.1理解組織及其環(huán)境4.2理解相關(guān)方的需求和期望4.3確定信息安全管理體系的 范圍4.4信息安全管理體系5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾5.2方針5.3組織角色、職責和權(quán)限6規(guī)劃6.1應(yīng)對風險和機會的措施6.2信息安全目標和規(guī)劃實現(xiàn)7支持7.1資源7.2能力7.3意識7.4溝通7.5文件記錄信息8運行8.1運行的規(guī)劃和控制8.2信息安全風險評估8.3信息安全風險處置9績效評價9.1監(jiān)視、測量、分析和評價9.2內(nèi)部審核9.3管理評審10改進10.1不符合和糾正措施10.2持續(xù)改進A.5信息安全方針A.5.1信息安全管理指引A.6信息安全組織A.