信息安全管理手冊

江蘇XXXX科技有限公司編號XX-ISMS-01版本A/0密級內(nèi)部限制受控是信息安全管理手冊生效日期核準(zhǔn)審查制訂.3.1

修改統(tǒng)計序號修改因素修改內(nèi)容修改人/時間同意人/時間備注

目錄0.1、信息安全管理手冊公布令0.2、管理者代表任命書0.3、公司介紹0.4、信息安全方針0.5、信息安全目的1、范疇2、引用原則3、術(shù)語和定義4、信息安全管理體系4.1組織環(huán)境4.2理解有關(guān)方的需求和盼望4.3明確信息安全管理體系的范疇4.4信息安全管理體系5、領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾5.2方針5.3組織角色、職責(zé)和權(quán)力6、計劃6.1處置風(fēng)險和機(jī)遇6.2信息安全目的的計劃和實(shí)現(xiàn)7、支持7.1資源7.2能力7.3意識7.4溝通7.5文檔規(guī)定8、實(shí)施8.1運(yùn)行計劃和控制8.2信息安全風(fēng)險評定8.3信息安全風(fēng)險處置9、績效評價9.1監(jiān)視、測量、分析和評價9.2內(nèi)部審核9.3管理評審10、改善10.1不符合項(xiàng)和糾正方法10.2持續(xù)改善附件：附件一：信息安全職能分派表附件二：信息安全職責(zé)附件三：信息安全管理體系程序文獻(xiàn)清單附件四：信息安全管理體系作業(yè)指導(dǎo)書文獻(xiàn)清單0.1信息安全管理手冊公布令為提高江蘇XXXX科技有限公司的信息安全管理水平，保障公司經(jīng)營、服務(wù)和日常管理活動，避免由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所造成的業(yè)務(wù)中斷或安全事故，公司開展貫徹ISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》原則的工作，建立文獻(xiàn)化的信息安全管理體系，制訂了江蘇XXXX科技有限公司《信息安全管理手冊》（下列簡稱手冊）。本手冊是公司的法規(guī)性文獻(xiàn)，是指導(dǎo)公司建立并實(shí)施信息安全管理體系的大綱和行動準(zhǔn)則，用于貫徹公司的信息安全管理方針、管理目的，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改善，是江蘇XXXX科技有限公司信息安全管理工作長久遵照的準(zhǔn)則。全體職工必須嚴(yán)格按照手冊的規(guī)定，自覺執(zhí)行管理方針，貫徹實(shí)施本手冊的各項(xiàng)規(guī)定，努力實(shí)現(xiàn)江蘇XXXX科技有限公司的管理目的和管理承諾。本手冊自頒布之日起生效執(zhí)行。江蘇XXXX科技有限公司總經(jīng)理：三月一日0.2管理者代表任命書茲委任擔(dān)任江蘇XXXX科技有限公司ISO27001信息安全管理體系管理者代表。他將推行下列職責(zé)及權(quán)限：負(fù)責(zé)公司ISO27001的推行認(rèn)證工作，負(fù)責(zé)組織信息安全管理體系建立、實(shí)施和維持，確保公司的信息安全管理體系運(yùn)作符合信息安全管理體系原則；信息安全管理體系內(nèi)部審核的策劃、組織及實(shí)施；同意信息安全管理體系程序文獻(xiàn)；代表公司就信息安全的有關(guān)事項(xiàng)和外部進(jìn)行聯(lián)系。總經(jīng)理：日期：三月一日

0.3、公司介紹公司組織架構(gòu)以下圖所示：總經(jīng)理總經(jīng)理管理者代表信息安全委員會管理者代表信息安全委員會技術(shù)部財務(wù)部技術(shù)部財務(wù)部綜合部研發(fā)部銷售部

0.4信息安全方針實(shí)施風(fēng)險管理，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。信息安全方針含義:a.根據(jù)我司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)規(guī)定，建立風(fēng)險評定程序，擬定風(fēng)險接受準(zhǔn)則。定時進(jìn)行風(fēng)險評定，以識別我司風(fēng)險的變化。我司或環(huán)境發(fā)生重大變化時，隨時評定。應(yīng)根據(jù)風(fēng)險評定的成果，采用對應(yīng)方法，減少風(fēng)險。b.在日常公司生產(chǎn)和管理中，對信息安全予以重視，全方面識別和分析全部信息資產(chǎn)，系統(tǒng)考慮公司信息系統(tǒng)單薄點(diǎn)、可能存在的威脅，考慮成本、利益、風(fēng)險的綜合平衡，對資產(chǎn)進(jìn)行分類保護(hù)，以適宜的成本達(dá)成系統(tǒng)保護(hù)的規(guī)定。c.建立健全信息安全監(jiān)督和確保體系，明確各級、各崗位的信息安全責(zé)任，以人為本，堅持全員、全方位、全過程信息安全管理。通過測量和監(jiān)控，持續(xù)改善，確保信息安全管理體系的有效運(yùn)行，做到制度執(zhí)行有統(tǒng)計、統(tǒng)計記載可追溯，最后保障公司生產(chǎn)、經(jīng)營、管理和服務(wù)的持續(xù)和安全，實(shí)現(xiàn)公司發(fā)展目的。0.5、信息安全目的：我司信息安全目的：1)安全事件發(fā)生次數(shù)：重大安全事件目的值：0次/年；較大安全事件目的值：不不小于4次/年；普通安全事件目的值：不不小于8次/年。2)信息泄密次數(shù)：確保多種需要保密的資料（涉及電子文檔、光盤等）不被泄密，確保秘密、機(jī)密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目的值：0次/年

各部門信息安全目的：部門部門信息安全目的統(tǒng)計方式監(jiān)測頻率綜合部1、人員招聘手續(xù)辦理完畢率100%；2、人員教育或培訓(xùn)實(shí)施率100%；3、人員離職手續(xù)辦理完畢率100%；4、辦公環(huán)境消防設(shè)施配備率100%；5、辦公環(huán)境消防設(shè)施點(diǎn)檢率100%；6、每年最少組織實(shí)施完畢1次信息安全內(nèi)審，且資料齊全；7、每年最少組織實(shí)施完畢1次信息安全管理評審，且資料齊全；8、每年最少進(jìn)行1次信息安全體系文獻(xiàn)評審及更新；9、每年最少組織實(shí)施完畢1次風(fēng)險評定。1、查看全部員工入職手續(xù)辦理狀況；2、查看培訓(xùn)計劃及培訓(xùn)實(shí)施狀況；3、查看實(shí)際人員離職及手續(xù)辦理狀況；4、現(xiàn)場檢查辦公環(huán)境消防器材配備狀況；5、現(xiàn)場檢查辦公環(huán)境消防器材的檢修狀況；7、按照信息安全內(nèi)審計劃執(zhí)行內(nèi)審及改善，及時整頓信息安全內(nèi)審資料；8、按照信息安全管理評審計劃執(zhí)行評審及改善，及時整頓信息安全管理評審資料；9、每年集中對信息安全管理體系文獻(xiàn)進(jìn)行評審，必要時進(jìn)行更新；10、每年組織各有關(guān)部門進(jìn)行風(fēng)險評定回憶、對新增或發(fā)生變化的信息資產(chǎn)進(jìn)行風(fēng)險評定。每年研發(fā)部1、網(wǎng)絡(luò)非正常中斷每月≤1次。2、主機(jī)系統(tǒng)非正常中斷每月≤1次。1、以每月的網(wǎng)絡(luò)中斷事件為根據(jù)2、以每月的主機(jī)系統(tǒng)中斷事件為根據(jù)每六個月其它部門重要文檔及數(shù)據(jù)被對的保管及使用，機(jī)密信息泄露次數(shù)為0次每六個月檢查一次日常工作文獻(xiàn)及數(shù)據(jù)與否被對的保管及使用，以及機(jī)密信息泄露有關(guān)事件。每年1、范疇1.1總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改善文獻(xiàn)化的信息安全管理體系（簡稱ISMS），擬定信息安全方針和目的，對信息安全風(fēng)險進(jìn)行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文獻(xiàn)、持續(xù)改善信息安全管理體系的有效性，特制訂本手冊。1.2應(yīng)用1.2.1覆蓋范疇本信息安全管理手冊規(guī)定了江蘇XXXX科技有限公司信息安全管理體系的建立和管理、管理職責(zé)、內(nèi)部審核、管理評審和體系持續(xù)改善等方面內(nèi)容。1.2.2刪減闡明本信息安全管理手冊采用了ISO/IEC27001:原則正文的全部內(nèi)容，對附錄A的刪減見《合用性聲明SoA》。2、規(guī)范性引用文獻(xiàn)ISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》ISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》

3、術(shù)語和定義3.3.1ISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系規(guī)定》、ISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語和定義合用于本《信息安全管理手冊》。3.3.2本組織、我司、我司：指江蘇XXXX科技有限公司。4、信息安全管理體系4.1組織環(huán)境組織外部環(huán)境涉及以下幾個方面，但并不局限于此：——文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境以及競爭環(huán)境，無論是國際、國內(nèi)、區(qū)域或地方；——影響組織目的的重要驅(qū)動因素和發(fā)展趨勢；——外部利益有關(guān)者的觀點(diǎn)和價值觀。組織內(nèi)部環(huán)境涉及以下幾個方面，但并不局限于此：——資源與知識的理解能力（如：資本、時間、人力、流程、系統(tǒng)和技術(shù)）；——信息系統(tǒng)、信息流動以及決策過程（涉及正式和非正式的）；——內(nèi)部利益有關(guān)者；——政策，為實(shí)現(xiàn)的目的及戰(zhàn)略；——觀念、價值觀、文化；——組織通過的原則以及參考模型；以上有關(guān)因素將影響公司實(shí)現(xiàn)信息安全管理體系的預(yù)期成果。4.2理解有關(guān)方的需求和盼望a)與我司信息安全管理體系有關(guān)的有關(guān)方有：供方、合同方、顧客及其它第三方訪問者。b)各有關(guān)方對我司的信息安全需求，涉及了信息安全有關(guān)法律法規(guī)規(guī)定和合同規(guī)定的義務(wù)。4.3我司信息安全管理體系的范疇和邊界我司根據(jù)業(yè)務(wù)特性、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了范疇和邊界，我司信息安全管理體系的范疇涉及：業(yè)務(wù)范疇：。。。。。。的設(shè)計開發(fā)和服務(wù)的信息安全管理活動；信息系統(tǒng)范疇：所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；組織范疇：與所述業(yè)務(wù)有關(guān)的部門和全部員工；地理范疇：。4.4信息安全管理體系我司按照ISO/IEC27001:《信息技術(shù)-安全技術(shù)-信息安全管理體系-規(guī)定》規(guī)定，參考ISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》，建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改善文獻(xiàn)化的信息安全管理體系。5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾我司通過下列行動證明公司實(shí)施了與信息安全管理體系有關(guān)的領(lǐng)導(dǎo)工作與承諾：a)確保建立與組織戰(zhàn)略目的一致的信息安全方針和信息安全目的；b)確保信息安全管理體系規(guī)定集成到組織的管理流程；c)確保提供信息安全管理體系需要的各項(xiàng)資源；d)傳達(dá)信息安全管理的重要性及信息安全管理體系規(guī)定；e)確保信息安全管理體系實(shí)現(xiàn)其預(yù)期目的；f)指導(dǎo)和支持信息安全團(tuán)體；g)促使持續(xù)改善；h)支持其它有關(guān)的管理者在其職責(zé)范疇內(nèi)推行管理職責(zé)。5.2方針為了滿足合使用方法律法規(guī)及有關(guān)方規(guī)定，維持公司經(jīng)營和管理的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。我司根據(jù)組織的業(yè)務(wù)特性、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了ISMS方針，見本信息安全管理手冊第0.4條款。該信息安全方針符合下列規(guī)定：為信息安全目的建立了框架，并為信息安全活動建立整體的方向和原則；考慮業(yè)務(wù)及法律或法規(guī)的規(guī)定，及合同的安全義務(wù)；與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持ISMS；建立了風(fēng)險評價的準(zhǔn)則；經(jīng)最高管理者同意。5.3組織角色、職責(zé)和權(quán)力5.3.1信息安全組織機(jī)構(gòu)我司成立了由最高管理者、管理者代表及各部門負(fù)責(zé)人構(gòu)成的信息安全委員會，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和我司承諾，負(fù)責(zé)制訂、貫徹信息安全管理工作計劃，建立健全公司的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。我司采用有關(guān)部門代表構(gòu)成的運(yùn)行分析會議的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a)確保安全活動的執(zhí)行符合信息安全方針；b)擬定如何解決不符合；c)同意信息安全的辦法和過程，如風(fēng)險評定、信息分類；5.3.2信息安全職責(zé)和權(quán)限我司總經(jīng)理為信息安全最高管理者，對信息安全全方面負(fù)責(zé)，重要涉及：a)組織制訂信息安全方針及目的，任命管理者代表，明確管理者代表的職責(zé)和權(quán)限。b）確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理規(guī)定的重要性。c）為信息安全管理體系配備必要的資源。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的規(guī)定自覺推行信息安全保密義務(wù)；各部門有關(guān)信息安全職責(zé)分派見《信息安全管理職能分派表》。各部門應(yīng)按照《信息安全合用性聲明》中規(guī)定的安全目的、控制方法（涉及安全運(yùn)行的多種控制程序）的規(guī)定實(shí)施信息安全控制方法。6.1處置風(fēng)險和機(jī)遇6.1.1總則為實(shí)現(xiàn)公司信息安全管理體系方針和目的，我司參考組織環(huán)境中的問題和有關(guān)方的需求和，來決定需要被處置的風(fēng)險和機(jī)遇：a)確保信息安全管理體系能夠?qū)崿F(xiàn)其預(yù)期目的；b)避免或減少不良影響；c)實(shí)現(xiàn)持續(xù)改善。公司對下列方面進(jìn)行規(guī)劃：a)處置風(fēng)險和機(jī)遇的行動；b)如何1)將實(shí)施行動整合到信息安全管理體系流程中；2)評價行動的有效性。6.1.2信息安全風(fēng)險評定公司制訂《信息安全風(fēng)險評定控制程序》，建立識別合用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)規(guī)定的風(fēng)險評定辦法，建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級。所選擇的風(fēng)險評定辦法應(yīng)確保風(fēng)險評定能產(chǎn)生可比較的和可重復(fù)的成果。信息安全風(fēng)險評定的流程見圖2.風(fēng)險評定流程圖。公司實(shí)施信息安全風(fēng)險評定流程，從而：a)建立和維護(hù)信息安全風(fēng)險原則，涉及：1)風(fēng)險接受原則；2)實(shí)施信息安全風(fēng)險評定的原則；b)確保信息安全風(fēng)險評定活動產(chǎn)生一致性，產(chǎn)生有效的和可比較的成果；c)識別信息安全風(fēng)險：1)在信息安全管理體系范疇內(nèi)，通過信息安全風(fēng)險評定流程，識別由于信息的機(jī)密性、完整性和可用性的喪失帶來的風(fēng)險；2)識別風(fēng)險的屬主；d)分析信息安全風(fēng)險：1)評定在信息安全風(fēng)險評定中識別的風(fēng)險產(chǎn)生的潛在后果；2)評定在信息安全風(fēng)險評定中識別的風(fēng)險轉(zhuǎn)化為事件的可能性；3)擬定風(fēng)險的等級；e)評價信息安全風(fēng)險：1)將風(fēng)險分析成果與在信息安全風(fēng)險評定中所定義的風(fēng)險原則進(jìn)行比較；2)根據(jù)風(fēng)險等級擬定風(fēng)險處置的優(yōu)先級。f)組織保存有關(guān)信息安全風(fēng)險評定的過程文檔。6.1.3信息安全風(fēng)險處置公司根據(jù)風(fēng)險評定的成果，形成《風(fēng)險解決計劃》，該計劃明確了風(fēng)險解決責(zé)任部門、負(fù)責(zé)人、解決辦法及起始、完畢時間。對于信息安全風(fēng)險，應(yīng)考慮控制方法與費(fèi)用的平衡原則，選用下列合適的方法：a)采用合適的內(nèi)部控制方法；b)接受風(fēng)險（不可能將全部風(fēng)險減少為零）；c)避免風(fēng)險（如物理隔離）；d)轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）?？刂颇康募翱刂品椒ǖ倪x擇原則來源于ISO/IEC27001:附錄A，具體控制方法參考ISO/IEC27002:《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》組織保存信息安全風(fēng)險處置的過程文檔。6.2信息安全目的的計劃和實(shí)現(xiàn)我司建立不同職能及層級的信息安全目的。詳見本手冊0.5章內(nèi)容。此信息安全目的應(yīng)：a)與信息安全方針一致；b)可度量（如果可操作）；c)考慮合用的信息安全規(guī)定,以及風(fēng)險評定和風(fēng)險處置成果；d)得到溝通；e)及時更新。信息安全目的以文檔化形式保存。在規(guī)劃如何實(shí)現(xiàn)信息安全目的時，公司明確：a)要做什么；b)需要什么資源；c)誰來負(fù)責(zé)；d)什么時候完畢；e)如何評價成果。7.1 資源我司擬定并提供實(shí)施、保持信息安全管理體系所需資源；采用合適方法，使影響信息安全管理體系工作的員工的能力是勝任的，以確保：a)建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改善信息安全管理體系；b)確保信息安全程序支持業(yè)務(wù)規(guī)定；c)識別并指出法律法規(guī)規(guī)定和合同安全責(zé)任；d)通過對的應(yīng)用所實(shí)施的全部控制來保持充足的安全；e)必要時進(jìn)行評審，并對評審的成果采用合適方法；f)需要時，改善信息安全管理體系的有效性。7.2 能力公司制訂并實(shí)施《人力資源安全管理程序》文獻(xiàn)，確保被分派信息安全管理體系規(guī)定職責(zé)的全部人員，都必須有能力執(zhí)行所規(guī)定的任務(wù)。能夠通過：a)擬定承當(dāng)信息安全管理體系各工作崗位的職工所必要的能力；b)提供職業(yè)技術(shù)教育和技能培訓(xùn)或采用其它的方法來滿足這些需求；c)評價所采用方法的有效性；d)保存教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的統(tǒng)計。我司還確保全部有關(guān)人員意識到其所從事的信息安全活動的有關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目的做出奉獻(xiàn)。7.3 意識公司員工應(yīng)理解：a)信息安全方針；b)個人對于實(shí)現(xiàn)信息安全管理的重要性，提高組織信息安全績效的收益；c)不符合信息安全管理體系規(guī)定所造成的影響。7.4 溝通公司制訂《信息溝通協(xié)調(diào)管理規(guī)范》，以明確與信息安全管理體系有關(guān)的內(nèi)、外部溝通需求，涉及：a)溝通什么；b)何時溝通；c)和誰溝通；d)誰應(yīng)當(dāng)溝通；e)哪種溝通過程有效。7.5文檔規(guī)定7.5.1綜述組織的信息安全管理體系涉及：a)符合ISO/IEC27001:原則的文獻(xiàn)涉及：信息安全管理手冊、程序文獻(xiàn)、管理規(guī)定、作業(yè)指導(dǎo)書和為確保信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文獻(xiàn)；b)組織所明確的，表明信息安全管理體系有效性的必要的統(tǒng)計文檔。7.5.2創(chuàng)立和更新公司制訂并實(shí)施《文獻(xiàn)控制程序》，對信息安全管理體系所規(guī)定的文獻(xiàn)進(jìn)行管理，以擬定：a）識別和描述（例如：標(biāo)題、日期、作者和版本號）；b）格式（例如：語言、軟件版本和圖形）與介質(zhì)（例如：紙質(zhì)、電子）；c）適宜性和充足性通過評審。7.5.3文檔控制公司制訂并實(shí)施《文獻(xiàn)控制程序》，對信息安全管理體系所規(guī)定的文獻(xiàn)進(jìn)行管理。以確保：a)在需要的時間和場合可用；b）文檔得到充足保護(hù)（例如：避免泄密、不當(dāng)使用或喪失完整性）。文檔控制應(yīng)確保：a)文獻(xiàn)公布前得到同意，以確保文獻(xiàn)是充足的；b)必要時對文獻(xiàn)進(jìn)行評審、更新并再次同意；c)確保文獻(xiàn)的更改和現(xiàn)行修訂狀態(tài)得到識別；d)確保在使用時，可獲得有關(guān)文獻(xiàn)的最新版本；e)確保文獻(xiàn)保持清晰、易于識別；f)確保文獻(xiàn)可覺得需要者所獲得，并根據(jù)合用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最后的銷毀；g)確保外來文獻(xiàn)得到識別；h)確保文獻(xiàn)的分發(fā)得到控制；i)避免作廢文獻(xiàn)的非預(yù)期使用；j)若因任何目的需保存作廢文獻(xiàn)時，應(yīng)對其進(jìn)行合適的標(biāo)記。8實(shí)施8.1運(yùn)行計劃和控制為確保信息安全管理體系有效實(shí)施，對已識別的風(fēng)險進(jìn)行有效解決，我司開展下列活動：a)形成《風(fēng)險解決計劃》，以擬定合適的管理方法、職責(zé)及安全控制方法的優(yōu)先級；b)為實(shí)現(xiàn)已擬定的安全目的、實(shí)施《風(fēng)險解決計劃》，明確各崗位的信息安全職責(zé)；c)實(shí)施所選擇的控制方法，以實(shí)現(xiàn)控制目的的規(guī)定；d)擬定如何測量所選擇的控制方法的有效性，并規(guī)定這些測量方法如何用于評定控制的有效性以得出可比較的、可重復(fù)的成果；e)進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；f)對信息安全體系的運(yùn)作進(jìn)行管理；g)對信息安全所需資源進(jìn)行管理；h)實(shí)施控制程序，對信息安全事故（或征兆）進(jìn)行快速反映。公司保存以上必要的過程文檔信息，以表明有關(guān)過程已按照計劃執(zhí)行。控制計劃更改，并審核計劃變更的影響，如有必要采用方法減少不利影響。確保外包過程受控。8.2信息安全風(fēng)險評定8.2.1識別風(fēng)險在已擬定的信息安全管理體系范疇內(nèi)，按照計劃，或者在重大變化提出或發(fā)生時進(jìn)行信息安全風(fēng)險評定，我司執(zhí)行《信息安全風(fēng)險評定控制程序》，對全部的資產(chǎn)進(jìn)行列表識別，并識別這些資產(chǎn)的全部者。資產(chǎn)涉及硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、服務(wù)及人力資源。對每一項(xiàng)資產(chǎn)按本身價值、信息分類、保密性、完整性、法律法規(guī)符合性規(guī)定進(jìn)行了量化賦值，形成《資產(chǎn)清單》。同時，根據(jù)《信息安全風(fēng)險評定控制程序》，識別對這些資產(chǎn)的威脅、可能被威脅運(yùn)用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。8.2.2分析和評價風(fēng)險我司按《信息安全風(fēng)險評定控制程序》，分析和評價風(fēng)險：a)針對重要資產(chǎn)本身價值、保密性、完整性和可用性、合規(guī)性損失造成的后果進(jìn)行賦值；b)針對每一項(xiàng)威脅、單薄點(diǎn)，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制方法，鑒定安全失效發(fā)生的可能性，并進(jìn)行賦值；c)根據(jù)《信息安全風(fēng)險評定控制程序》計算風(fēng)險等級；d)根據(jù)《信息安全風(fēng)險評定控制程序》中的《風(fēng)險接受準(zhǔn)則》，判斷風(fēng)險為可接受或需要解決。8.3信息安全風(fēng)險處置公司根據(jù)風(fēng)險評定的成果，形成了《風(fēng)險解決計劃》，該計劃明確了風(fēng)險解決責(zé)任部門、負(fù)責(zé)人、解決辦法及起始、完畢時間。公司根據(jù)計劃進(jìn)行了處置，并保持處置的統(tǒng)計。對風(fēng)險解決后的剩余風(fēng)險，得到了管理者的同意。9績效評價9.1監(jiān)視、測量、分析和評價我司通過實(shí)施《監(jiān)視、測量、分析和評價控制程序》以監(jiān)視、測量、分析和評價公司信息安全管理狀況成果，以實(shí)現(xiàn)：a)及時發(fā)現(xiàn)解決成果中的錯誤、信息安全體系的事故和隱患；b)及時理解識別失敗的和成功的安全破壞和事件、信息解決系統(tǒng)遭受的各類攻擊；c)使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)成預(yù)期的成果；d)使管理者掌握信息安全活動和解決安全破壞所采用的方法與否有效；e)積累信息安全方面的經(jīng)驗(yàn)；9.2內(nèi)部審核公司建立《內(nèi)部審核控制程序》?！秲?nèi)部審核控制程序》涉及策劃和實(shí)施審核以及報告成果和保持統(tǒng)計的職責(zé)和規(guī)定。并按照策劃的時間間隔（兩次內(nèi)部審核的間隔不得超出12個月）進(jìn)行內(nèi)部信息安全管理體系審核，以擬定其信息安全管理體系的控制目的、控制方法、過程和程序與否：a)符合本原則的規(guī)定和有關(guān)法律法規(guī)的規(guī)定；b)符合已識別的信息安全規(guī)定；c)得到有效地實(shí)施和維護(hù)；d)按預(yù)期執(zhí)行。內(nèi)部審核的過程文檔應(yīng)清晰地形成統(tǒng)計，并加以保持。9.3管理評審公司建立并實(shí)施《管理評審控制程序》，公司管理者應(yīng)按《管理評審控制程序》規(guī)定的時間間隔（兩次管理評審的間隔不得超出12個月）評審信息安全管理體系，以確保其持續(xù)的適宜性、充足性和有效性。管理評審應(yīng)涉及評價信息安全管理體系改善的機(jī)會和變更的需要，涉及安全方針和安全目的。管理評審的成果應(yīng)清晰地形成文獻(xiàn)，統(tǒng)計應(yīng)加以保持。10改善10.1不符合和糾正方法公司建立并實(shí)施《糾正與防止控制程序》，當(dāng)出現(xiàn)不符合狀況時：a)對不符合狀況采用方法，如：1)采用方法，以控制和改正它；2)處置影響；b)明確必要的控制方法，以消除不符合狀況產(chǎn)生的因素，確保它不會再發(fā)生或在其它地方發(fā)生，通過：1)評審不符合項(xiàng)；2)明確不符合項(xiàng)產(chǎn)生的因素；3)明確與否存在或可能發(fā)生類似的不符合項(xiàng)；c)采用必要的方法；d)評審已采用的改正方法的有效性；e)必要時改善信息安全管理體系。糾正方法應(yīng)與所發(fā)生的不符合的影響程度相適應(yīng)。組織應(yīng)保存下列文檔信息作為證據(jù)：f)不符合狀況的性質(zhì)和所采用的后續(xù)行動；g)糾正方法的成果。10.2持續(xù)改善我司通過使用信息安全方針、信息安全目的、審核成果、監(jiān)控事件的分析、糾正和防止方法以及管理評審，不停完善信息安全管理體系的適宜性、充足性和有效性。

附件一：信息安全職能分派表（注：▲負(fù)責(zé)部門；△有關(guān)部門）：管理單位體系規(guī)定信息安全委員會總經(jīng)理管理者代表綜合部研發(fā)部技術(shù)部財務(wù)部銷售部4.組織環(huán)境4.1理解組織及其環(huán)境▲▲△△△△△△4.2理解有關(guān)方的需求和盼望▲▲△△△△△△4.3明確信息安全管理體系的范疇▲▲▲△△△△△4.4信息安全管理體系▲△▲△△△△△5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾△▲△△△△△△5.2方針△▲△△△△△△5.3組織角色、職責(zé)和權(quán)力△▲△△△△△△6計劃6.1處置風(fēng)險和機(jī)遇▲▲△△▲△△△6.2信息安全目的的計劃和實(shí)現(xiàn)▲△△△△△△△7支持7.1資源△▲△△△△△△7.2能力△△△▲△△△△7.3意識△△△▲△△△△7.4溝通▲▲▲△△△△△7.5文檔規(guī)定△△△▲△△△△8實(shí)施8.1運(yùn)行計劃和控制▲△△△▲△△△8.2信息安全風(fēng)險評定▲△△△▲△△△8.3信息安全風(fēng)險處置▲△△△▲△△△9績效評價9.1監(jiān)視、測量、分析和評價▲△△△△△△△9.2內(nèi)部審核△△▲△△△△△9.3管理評審△▲△△△△△△10改善10.1不符合項(xiàng)和糾正方法△△△▲△△△△10.2持續(xù)改善△△△▲△△△△A.5信息安全方針A.5.1信息安全管理指導(dǎo)▲△▲△△△△△A.6 信息安全組織A.6.1內(nèi)部組織▲△▲△△△△△A.6.2移動設(shè)備和遠(yuǎn)程辦公△△△△▲▲△△A.7人力資源安全△A.7.1任用前△△△▲△△△△A.7.2任用中△△△▲△△△△A.7.3任用終止和變更△△△▲△△△△A.8資產(chǎn)管理A.8.1資產(chǎn)的責(zé)任△△△▲▲▲▲▲A.8.2信息分類▲△△▲△△△△A.8.3介質(zhì)解決△△△△△▲△△A.9訪問控制A.9.1訪問控制的業(yè)務(wù)需求△△△△△▲△△A.9.2顧客訪問管理△△△△△▲△△A.9.3顧客責(zé)任△△△△△▲△△A.9.4系統(tǒng)和應(yīng)用訪問控制△△△△△▲△△A.10加密技術(shù)A.10.1加密控制▲△△△△▲△△A.11物理和環(huán)境安全A.11.1安全區(qū)域△△△▲△△△△A.11.2設(shè)備安全△△△▲△▲△△A.12操作安全A.12.1操作程序及職責(zé)△△△△▲△△△A.12.2防備惡意軟件△△△△△▲△△A.12.3備份△△△△△▲△△A.12.4日志統(tǒng)計和監(jiān)控△△△△△▲△△A.12.5操作軟件的控制△△△△△▲△△A.12.6技術(shù)脆弱性管理△△△△△▲△△A.12.7信息系統(tǒng)審計的考慮因素△△△△△▲△△A.13通信安全A.13.1網(wǎng)絡(luò)安全管理△△△△△▲△△A.13.2信息傳輸△△△▲△▲△△A.14系統(tǒng)的獲取、開發(fā)及維護(hù)A.14.1信息系統(tǒng)安全需求△△△△▲△△△A.14.2開發(fā)和支持過程的安全△△△△▲△△△A.14.3測試數(shù)據(jù)△△△△▲△△△A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系的信息安全△△△▲△△△△A.15.2供應(yīng)商服務(wù)交付管理△△△▲△△△△A.16信息安全事件管理A.16.1信息安全事件的管理和改善△△△△▲△△△A.16.1.1 職責(zé)和程序△△△△▲△△△A.16.1.2 報告信息安全事態(tài)△△△▲▲▲▲▲A.16.1.3 報告信息安全弱點(diǎn)△△△▲▲▲▲▲A.16.1.4 評定和決策信息安全事件△△△△▲△△△A.16.1.5 響應(yīng)信息安全事故△△△△▲△△△A.16.1.6 從信息安全事故中學(xué)習(xí)△△△△▲△△△A.16.1.7 收集證據(jù)△△△△▲△△△A.17業(yè)務(wù)持續(xù)性管理中的信息安全A.17.1信息安全的持續(xù)性▲△△△△△△△A.17.2冗余▲△△△△△△△A.18符合性A.18.1法律和合同規(guī)定的符合性△△△▲△△△△A.18.2信息安全評審△△△▲△△△△附件二：信息安全職責(zé)序號架構(gòu)/部門組員及職能信息安全委員會最高管理者總經(jīng)理：張建廠管理者代表XXX組員XX（銷售部）、XX（技術(shù)部）、XX（研發(fā)部）、XXX（綜合部）、XX（財務(wù)部）系我司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)公司整體信息安全管理工作，推動信息安全工作的實(shí)施；制訂信息安全方針、信息安全管理目的；負(fù)責(zé)審核信息安全小組提交的信息安全管理體系、規(guī)范及管理方法；負(fù)責(zé)決策與信息安全管理有關(guān)的重大事項(xiàng)，涉及信息安全組織機(jī)構(gòu)調(diào)節(jié)、信息安全核心人事變動以及信息安全管理重大方略變更、確承認(rèn)接受的風(fēng)險和風(fēng)險水平等；評審與監(jiān)督重大信息安全事故的解決與改善；定時組織信息安全管理體系（ISMS）評審等。最高管理者組織并制訂信息安全方針方略。任命管理者代表，明確管理者代表的職責(zé)和權(quán)限。確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理規(guī)定的重要性。為信息安全管理體系配備必要的資源。主持管理評審。對信息安全全方面負(fù)責(zé)。管理者代表協(xié)助最高管理者建立、實(shí)施、檢查、改善信息安全管理體系。負(fù)責(zé)建立、實(shí)施、保持和改善信息安全管理體系，確保信息安全體系的有效運(yùn)行。組織公司信息安全風(fēng)險評定和風(fēng)險管理。組織開展信息安全內(nèi)部審核、安全檢查工作。負(fù)責(zé)向總經(jīng)理報告信息安全體系運(yùn)行的業(yè)績和任何改善的需求。負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對外聯(lián)系。監(jiān)控信息安全事件和確保安全控制方法得到執(zhí)行。各部門負(fù)責(zé)人負(fù)責(zé)公司信息安全方針、目的、政策在部門內(nèi)部的有效執(zhí)行、監(jiān)督、檢查。參加公司信息安全工作的討論和決策。對信息安全管理體系內(nèi)部審核、管理評審及其它安全檢查時發(fā)現(xiàn)的問題及采用的糾正防止方法進(jìn)行審核和確認(rèn)。負(fù)責(zé)管理和維護(hù)部門公布的信息安全管理體系有關(guān)文獻(xiàn)。負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)解決。做好本崗位信息安全有關(guān)的保密工作綜合部負(fù)責(zé)監(jiān)控信息安全管理體系的日常運(yùn)行。負(fù)責(zé)信息安全管理體系文獻(xiàn)的控制。負(fù)責(zé)我司信息安全管理體系的推行貫徹。負(fù)責(zé)公司員工招聘、聘任及離職全過程的安全管理。負(fù)責(zé)公司內(nèi)部人事檔案等重要文獻(xiàn)資料的安全管控。負(fù)責(zé)公司日常行政安全的管理。負(fù)責(zé)公司辦公環(huán)境的物理安全，涉及人員及物品出入控制、門禁管理等。負(fù)責(zé)公司業(yè)務(wù)有關(guān)的銷售管理。負(fù)責(zé)本部門的重要信息的安全保密管控，涉及客戶信息、商務(wù)文檔、項(xiàng)目合同、投標(biāo)文獻(xiàn)等重要文獻(xiàn)的安全管控。負(fù)責(zé)公司及部門重要文獻(xiàn)資料的安全管控。信息安全事件的報告及協(xié)助解決。研發(fā)部負(fù)責(zé)公司信息系統(tǒng)的安全規(guī)劃設(shè)計及實(shí)施。負(fù)責(zé)公司機(jī)房及軟硬件系統(tǒng)的安全運(yùn)行維護(hù)。負(fù)責(zé)本部門重要信息的安全管控，涉及項(xiàng)目方案、設(shè)計文檔等重要文獻(xiàn)的安全管控。負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)解決。技術(shù)部負(fù)責(zé)對公司客戶請求的主動響應(yīng)，妥善解決顧客的投訴等。負(fù)責(zé)本部門重要信息的安全保密管控，涉及客戶信息等重要數(shù)據(jù)的安全管控。信息安全事件的報告及協(xié)助解決。做好本崗位信息安全有關(guān)的保密工作銷售部負(fù)責(zé)公司業(yè)務(wù)有關(guān)的銷售工作。負(fù)責(zé)本人接觸到的重要信息的安全保密管控，涉及客戶信息、商務(wù)文檔、項(xiàng)目合同、投標(biāo)文獻(xiàn)等重要文獻(xiàn)的安全管控。信息安全事件的報告及協(xié)助解決。做好本崗位信息安全有關(guān)的保密工作財務(wù)部負(fù)責(zé)公司的財務(wù)管理工作。負(fù)責(zé)本部門的重要信息的安全保密管控，涉及財務(wù)憑證、財務(wù)報表、工資單等重要文獻(xiàn)的安全管控。信息安全事件的報告及協(xié)助解決。做好本崗位信息安全有關(guān)的保密工作IT維護(hù)工程師/網(wǎng)絡(luò)管理員負(fù)責(zé)公司信息系統(tǒng)建設(shè)及運(yùn)行維護(hù)。負(fù)責(zé)公司機(jī)房安全管理。負(fù)責(zé)公司各部門辦公電腦的維護(hù)及安全管理。準(zhǔn)時統(tǒng)計網(wǎng)絡(luò)機(jī)房運(yùn)行日志信息安全事件的報告、響應(yīng)及協(xié)調(diào)解決。做好本崗位信息安全有關(guān)的保密工作會計及出納負(fù)責(zé)公司財務(wù)記帳、報帳、應(yīng)收及應(yīng)付、資產(chǎn)盤點(diǎn)等日常工作。負(fù)責(zé)本崗位的重要信息的安全保密管控，涉及財務(wù)報表、各類憑證等重要文獻(xiàn)的安全管控。信息安全事件的報告及協(xié)助解決。做好本崗位信息安全有關(guān)的保密工作項(xiàng)目經(jīng)理及項(xiàng)目專人負(fù)責(zé)服務(wù)項(xiàng)目的具體實(shí)施及管理。負(fù)責(zé)本崗位的重要信息的安全保密管控，涉及各類基礎(chǔ)數(shù)據(jù)、原始數(shù)據(jù)、撥打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。信息安全事件的報告及協(xié)助解決。做好本崗位信息安全有關(guān)的保密工作全部員工