ISMS-2023 程序文件匯編

第第1頁(yè)共120頁(yè)編 號(hào)：ISMS-P00-2023V1.0受控狀態(tài)：受控密 級(jí)：內(nèi)部公開(kāi)【組織名稱】信息安全程序文件匯編(ISO/IECFDIS27001:2022)版權(quán)聲明和保密須知Copyright?2023【組織名稱】版權(quán)所有文檔信息文檔編號(hào)：ISMS-P00-2023文檔分類：內(nèi)部公開(kāi)–受控編寫：審核：批準(zhǔn)：初次發(fā)布日期：生效日期：修訂日期：版本記錄版本號(hào)版本日期修改審批人修改履歷V1.02023.01.01//創(chuàng)建文檔目 錄TOC\o"1-3"\h\u32592ISMS-P01文件控制程序 1526931、文檔介紹 1584381.1編寫目的 15133481.2適用范圍 15151142、術(shù)語(yǔ)、定義和縮略語(yǔ) 15228432.1管理體系文件 15188012.2管理手冊(cè) 15118082.3程序文件 15243322.4作業(yè)指導(dǎo)文件 15293312.5文件的變更 17152453、職責(zé) 17129593.1文件編寫人員的職責(zé) 173413.2文件審核批準(zhǔn)人員的職責(zé) 17152663.3文件修改人的職責(zé) 1748294、體系文件階層及編碼 18200894.1文件階層 1873424.2文件及記錄編碼 1882255、文件要求 18143415.1文件要素 1811025.2文件控制 19131945.2.1文件編寫 19147865.2.2文件審批 19150435.2.3文件的監(jiān)督、核查 19200845.2.4文件保存與發(fā)放 1967055.2.5文件版本控制和修訂 194485.2.6文件對(duì)外提供 2033775.2.7文件的作廢處置 20320515.2.8外來(lái)文件的管理 20112936、相關(guān)表單 201092ISMS-P02記錄控制程序 21288361、文檔介紹 21124811.1編寫目的 21167931.2適用范圍 2146642、術(shù)語(yǔ)、定義和縮略語(yǔ) 21294003、職責(zé) 2114564、作業(yè)內(nèi)容 21272494.1記錄的填寫規(guī)定 21291904.2記錄的歸檔管理 10206524.3記錄的儲(chǔ)存與維護(hù) 10204114.4記錄的報(bào)廢管理 10204744.5記錄表格的修訂 10111754.5.1各部門的記錄表格在使用前均須經(jīng)過(guò)主管級(jí)以上批準(zhǔn)。 10177524.6記錄表格的標(biāo)識(shí) 10277234.6.1ISMS 10278564.7當(dāng)有追溯要求時(shí)，各部門的記錄應(yīng)及時(shí)提供查閱。 10222295、相關(guān)文件 1013054ISMS-P03內(nèi)部審核管理程序 12309861、文檔介紹 12234911.1目的 1219681.2.范圍 12285572、術(shù)語(yǔ)定義 12320573、職責(zé) 12112274、作業(yè)內(nèi)容 13252674.1審核頻率 13227584.2作業(yè)說(shuō)明 13156904.2.1內(nèi)審計(jì)劃的制定 13114954.2.2實(shí)施內(nèi)部審核 14297574.2.3執(zhí)行糾正措施 14278194.2.4驗(yàn)證結(jié)果 14218884.3流程輸入及輸出 15113504.3.1輸入 1573624.3.2輸出 15127685、內(nèi)部審核相關(guān)表單 1512244ISMS-P04管理評(píng)審管理程序 16278431、文檔介紹 1614091.1 16125001.2.范圍 16249942、職責(zé) 16155123、內(nèi)容 1647433.1審核頻率 1639533.2管理評(píng)審程序 17302403.2.1管理評(píng)審計(jì)劃制定 17197833.2.21）管理評(píng)審準(zhǔn)備 17103503.2.3編制管理評(píng)審報(bào)告 1878303.3流程輸入及輸出 18268703.3.1輸入 18307803.3.2輸出 196054. 1930654ISMS-P05監(jiān)視和測(cè)量管理程序 2014871目的 20207892適用范圍 2034953術(shù)語(yǔ)和定義 20158904職責(zé) 20303304.1管理運(yùn)營(yíng)部 20162454.1.2負(fù)責(zé)識(shí)別與公司有關(guān)的法律法規(guī)，并檢驗(yàn)是否滿足。 20246724.2管理者代表 20211834.3管理運(yùn)營(yíng)部 20251344.4采購(gòu)保障部 2036895工作程序 2039875.1法律符合性測(cè)量 20312825.1.1法律識(shí)別 2097375.1.2知識(shí)產(chǎn)權(quán) 20171995.1.3保護(hù)組織的記錄 21238535.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的隱私 21181265.1.5安全管理信息處理設(shè)施 21248445.1.6密碼合法使用 2160795.2策略、標(biāo)準(zhǔn)和技術(shù)的符合性測(cè)量 2199595.2.1安全策略、標(biāo)準(zhǔn)符合性 21191635.2.2技術(shù)符合性測(cè)量 22269215.3信息系統(tǒng)審計(jì) 22134265.3.1信息系統(tǒng)審計(jì)控制措施 22209715.3.2審計(jì)工具的保護(hù) 22260345.4審計(jì)過(guò)程和產(chǎn)品 22264245.4糾正和預(yù)防 23265666記錄 2325519ISMS-P06糾正與預(yù)防措施管理程序 2441981、文檔介紹 2481581.1編寫目的 24133351.2適用范圍 2472601.3引用文件ISO/IEC27001:2022 24195052、角色和職責(zé) 24154823、內(nèi)容 24325673.1持續(xù)改進(jìn)的策劃 248723.2糾正措施 25153733.3預(yù)防措施 258053.4其他措施 27227113.5流程輸入及輸出 2775814、相關(guān)表單 2727525ISMS-P07信息交流管理程序 2891361、文檔介紹 28282842、術(shù)語(yǔ)和定義 28269803、引用文件 2818434、職責(zé)和權(quán)限 28247985、內(nèi)部溝通 29241966、外部溝通 3066047、信息交流控制措施 3037678、物理介質(zhì)的運(yùn)送 30126419、相關(guān)記錄 309234ISMS-P08人力資源管理程序 31243531、目的 31191962、范圍 31279093、引用文件 3124588·ISO/IEC27001:2022 3176164、職責(zé) 31311654.1人力資源部 31230844.2其他部門 321614.3總經(jīng)理 3218335、任用前 32210635.1安全角色與職責(zé) 32121541周內(nèi)完成。 3231185.2人員選拔 32187745.3任用條款和條件 33183046、任用中 33240176.1體系教育與培訓(xùn) 3349636.2培訓(xùn)計(jì)劃的制定與審批 33185086.2.3教育培訓(xùn)計(jì)劃經(jīng)總經(jīng)理批準(zhǔn)后實(shí)施。 34110486.3培訓(xùn)的目的 34139526.4培訓(xùn)的對(duì)象及內(nèi)容 3437466.5培訓(xùn)的形式 3556156.5.1培訓(xùn)：由公司內(nèi)、外部有專長(zhǎng)的人員就某一專題進(jìn)行講授 3557276.6培訓(xùn)記錄 35168236.7紀(jì)律處理 35109197、任用終止或變更 3571947.1終止職責(zé) 35152077.2資產(chǎn)歸還 35228477.3撤銷訪問(wèn)權(quán) 35185427.4后期管理 36115038、記錄 361196ISMS-P09信息安全風(fēng)險(xiǎn)評(píng)估管理程序 37233991、目的 37133932、范圍 37280123、參考文件 3794734、定義 3726264.1資產(chǎn)asset 37226424.2資產(chǎn)價(jià)值valueofasset 37200314.3威脅threat 37320454.4脆弱性vulnerability 37274074.5事件event 38282484.6風(fēng)險(xiǎn)risk 3817564.7殘余風(fēng)險(xiǎn)residualrisk 38148414.8安全需求securityneed 38296614.9措施countermeasure 38181244.10風(fēng)險(xiǎn)評(píng)估riskassessment 38214044.11風(fēng)險(xiǎn)處理risktreatment 38179214.12風(fēng)險(xiǎn)管理riskmanagement 38264395Responsibility 3844246、風(fēng)險(xiǎn)評(píng)估的實(shí)施頻率及評(píng)審 39174657、程序 39187447.1資產(chǎn)識(shí)別 3937657.2資產(chǎn)賦值 3930470機(jī)密性賦值（x） 3912584完整性賦值(y) 404401可用性賦值(z) 4020157資產(chǎn)重要性等級(jí)(A) 4187877.3威脅識(shí)別 41213327.3.1威脅分類 4129987.3.2威脅賦值(T) 44215877.4脆弱性識(shí)別 44269787.4.1脆弱性識(shí)別內(nèi)容 44207227.4.2脆弱性賦值(V) 4530027.5已有安全措施的確認(rèn) 4656127.6風(fēng)險(xiǎn)分析 46232687.6.3風(fēng)險(xiǎn)計(jì)算(R) 47265617.6.4風(fēng)險(xiǎn)結(jié)果判定 47231837.7風(fēng)險(xiǎn)處置 47286447.7.1風(fēng)險(xiǎn)處置計(jì)劃 47309367.7.2風(fēng)險(xiǎn)處置的可選措施 4832167.7.3風(fēng)險(xiǎn)處理工作的優(yōu)先級(jí)排序 48269697.8殘余風(fēng)險(xiǎn)評(píng)估 48246057.9ISMS 4855418、記錄 499218ISMS-P10信息資產(chǎn)密級(jí)管理程序 50140191、范圍 5094502、規(guī)范性引用文件 5018943、術(shù)語(yǔ)和定義 50144784、職責(zé)和權(quán)限 50156004.1管理運(yùn)營(yíng)部 50171954.2各部門 5096055、活動(dòng)描述 51209375.1密級(jí)的分類 51316696、涉密、受控文件、資料的標(biāo)識(shí)、制發(fā)的管理 51142656.1管理職責(zé) 51175476.2企業(yè)秘密的指令 51207126.3秘密、受控文件的表示方法 52225326.4接收部門和使用目的、范圍的指定 5292706.5秘密文件的發(fā)放管理 52303366.6企業(yè)秘密的使用 5286207、企業(yè)秘密、受控指令的解除或變更 5397227.1解除或變更的條件 539737.2解除或變更的方法 53300978、回收/廢棄 54236169、事故的處理 54695510、教育 542065611、離/退職后的保密義務(wù) 551427512、其它 554181ISMS-P11訪問(wèn)控制管理程序 56120751、適用 5690112、目的 56140633、職責(zé) 56184174、程序 5674804.2用戶訪問(wèn)管理 56321724.2.1權(quán)限申請(qǐng) 564065a)權(quán)限申請(qǐng)人員；b)訪問(wèn)權(quán)限的級(jí)別和范圍；c)申請(qǐng)理由；d)有效期 573204.2.2權(quán)限變更 57115494.2.3用戶訪問(wèn)權(quán)的維護(hù)和評(píng)審 574594.2.4連接的控制 58128934.2.5會(huì)話與聯(lián)機(jī)時(shí)間的控制 58119124.2.6網(wǎng)上信息公布管理 588544.2.7系統(tǒng)實(shí)用工具的使用 5841384.3用戶口令管理 58210874.3.1分配給用戶一個(gè)安全臨時(shí)口令，并通過(guò)安全渠道傳遞給用戶，并要求 58292784.3.2口令的選擇與使用要求 59154774.4特殊權(quán)限管理 5915734.5訪問(wèn)記錄控制 59324234.6遠(yuǎn)程工作策略 59276754.7遠(yuǎn)程工作授權(quán)程序 60224694.7.3當(dāng)不再需要遠(yuǎn)程工作時(shí)，應(yīng)及時(shí)取消該用戶的訪問(wèn)權(quán)。 6035644.8密碼設(shè)置 601174.8.1密碼設(shè)置原則： 60103784.8.2密碼存儲(chǔ) 61136124.8.3密鑰分配 61135264.8.4密碼使用 61267704.8.5密碼變更、廢除、銷毀及恢復(fù) 6127875、記錄 6210838ISMS-P12密碼管理程序 63153531、目的 63280472、適用范圍 63168933、定義 63294553.1密碼：本程序中的密碼指用戶的認(rèn)證信息，或叫口令； 63222634、職責(zé) 63325934.1系統(tǒng)管理員 6376154.1.2負(fù)責(zé)加密狗的使用和管理； 632414.2用戶 63197384.2.1負(fù)責(zé)按本程序的要求使用、保護(hù)、定期更換自己的密碼； 63132625、流程圖無(wú) 63227446、管制重點(diǎn) 63282246.1密碼管理策略 63124526.1.4登錄成功時(shí)，盡可能顯示上一次登錄的日期和時(shí)間； 64289456.1.6密碼不能和用戶名或登錄名相同； 64109276.2密碼的分配與傳遞要求 6461626.3密碼的儲(chǔ)存 6482886.3.1一般不對(duì)密碼進(jìn)行可記錄形式的儲(chǔ)存； 64308526.3.3可行時(shí)，系統(tǒng)管理員在定期更換密碼后保存歷史加密密碼，以防止密碼的重 64137256.4密碼的使用 6591396.5密碼變更、銷毀 65183017、相關(guān)文件無(wú) 65141908、相關(guān)記錄 659563ISMS-P13物理與環(huán)境安全管理程序 66295111、適用 6639962、目的 661873、職責(zé) 6645344、程序 66198894.1外來(lái)人員分類 66146321)本公司職工上下班必須認(rèn)真準(zhǔn)時(shí)打卡，不得有代打卡行為發(fā)生。 6751161)出口玻璃門鎖早晨打開(kāi)，晚上下班后上鎖。 68311147)管理運(yùn)營(yíng)部負(fù)責(zé)對(duì)員工進(jìn)行安全培訓(xùn)，提高安全意識(shí)。 68157964.5訪客管理 68199425)重要被邀訪客的登記，可由公司邀請(qǐng)部門直接填寫。 6955504.6設(shè)備安全 69271174.7消防管理 69277361)與物業(yè)簽訂合同時(shí)，要記入相關(guān)消防安全項(xiàng)目，明確雙方責(zé)任。 6986533)安全通道禁止擺放任何物品，并設(shè)置安全疏散標(biāo)志。 69237435、安全培訓(xùn) 7096436、在安全區(qū)域工作的安全要求 70313767記錄 7022039ISMS-P14運(yùn)行安全管理程序 71146701、目的 71248192、范圍 7177053、數(shù)據(jù)保存管理 7147603.1數(shù)據(jù)導(dǎo)入和修改 7163233.2數(shù)據(jù)提取和發(fā)放 72259353.3應(yīng)對(duì)數(shù)據(jù)傳輸進(jìn)行控制 7214453.3.6通信線路傳輸數(shù)據(jù)的保密策略 72269593.4數(shù)據(jù)操作日志管理 73109434、保護(hù)關(guān)鍵數(shù)據(jù) 73127614.1關(guān)鍵數(shù)據(jù)的認(rèn)定與存檔 73184894.2關(guān)鍵數(shù)據(jù)介質(zhì)的保存 7362034.2.1備份頻率： 73277164.2.2備份數(shù)據(jù)保留時(shí)間： 73275654.2.3備份存儲(chǔ)和備份介質(zhì)管理： 73255564.2.4備份恢復(fù)測(cè)試： 7475354.2.5備份介質(zhì)銷毀： 74150644.3備份操作管理 74129544.3.1對(duì)服務(wù)器要做好相應(yīng)的備份。 7439215、備份介質(zhì)存放和管理 75208416、備份恢復(fù) 75219757、相關(guān)記錄 7611805ISMS-P15通訊安全管理程序 77254861、適用與目的 77316482、信息處理設(shè)施的分類 77288393、職責(zé) 77262554、信息處理設(shè)施的引進(jìn)和安裝 7781424.1引進(jìn)依賴 7754684.2進(jìn)行技術(shù)選型 78149124.3編寫購(gòu)入規(guī)格書 78160294.4定貨 7834204.5開(kāi)箱檢查，安裝、調(diào)試，驗(yàn)收 78119785信息處理設(shè)施的日常維護(hù)管理 79322355.1計(jì)算機(jī)設(shè)備管理 7984415.2計(jì)算機(jī)設(shè)備維護(hù) 79180345.3計(jì)算機(jī)調(diào)配與報(bào)廢管理 79108325.3.3調(diào)配 80167135.4報(bào)廢處理 80139035.5筆記本電腦安全管理 80256885.6計(jì)算機(jī)安全使用的要求 80169265.6.2使用計(jì)算機(jī)時(shí)應(yīng)遵循信息安全策略要求執(zhí)行。 809205.6.6不得使用計(jì)算機(jī)設(shè)備處理正常工作以外的事務(wù)。 81142035.6.9嚴(yán)禁亂拉接電源，以防造成短路或失火。 81227365.7網(wǎng)絡(luò)安全使用的要求 8130785.8支持性設(shè)施與布覽安全 81562a) 81122815.9無(wú)人值守的用戶設(shè)備保護(hù) 82303866、信息處理設(shè)施的日常點(diǎn)檢 8298146.1計(jì)算機(jī)的日常點(diǎn)檢 82175646.2網(wǎng)絡(luò)設(shè)備的管理與維護(hù) 82281166.3點(diǎn)檢策略 82169626.3.2（成功或失敗 82436.3.5日志的配置最低要求 83211236.4維修服務(wù)的外包安全控制 83159166.4.3不接受廠商通過(guò)遠(yuǎn)程診斷端口進(jìn)行遠(yuǎn)程維護(hù)訪問(wèn)授權(quán)。 83323346.5資料的保存 84294426.6網(wǎng)絡(luò)掃描工具的安全使用管理 84313066.7信息處理設(shè)備可用性管理 84261697、其它要求 84182538、記錄 8430428ISMS-P16變更管理程序 85275171.文檔介紹 85206381.1編寫目的 85126361.2適用范圍 8549082.術(shù)語(yǔ)、定義和縮略語(yǔ) 8511063.變更管理流程 86176813.1流程解釋 86323713.2業(yè)務(wù)價(jià)值 86304303.3流程原則 8665513.3.1變更類型 87246913.3.2責(zé)任人原則 87179103.3.3風(fēng)險(xiǎn)判定原則 88208873.3.4審批原則 88314653.3.5目標(biāo)解決時(shí)間原則 88225923.3.6變更窗口原則 88149823.3.7前導(dǎo)時(shí)間原則 89210553.3.8回退原則 8918313.3.9關(guān)閉原則 8933703.4流程相關(guān)定義 895413.4.1變更信息項(xiàng) 89283493.4.2變更狀態(tài)代碼 89258943.4.3變更分類 90125453.4.4變更關(guān)閉代碼 90215943.5角色及職責(zé) 90227853.6流程輸入及輸出 91134783.6.1流程觸發(fā)條件 919823.6.2輸入 91212733.6.3輸出 91177363.6.4流程關(guān)閉條件 9219333變更已經(jīng)實(shí)施完成并經(jīng)過(guò)評(píng)審和確認(rèn) 92277443.7流程描述 92208073.7.1作業(yè)流程說(shuō)明 92260113.8流程衡量指標(biāo)及報(bào)表 93212993.9相關(guān)文件 9328575ISMS-P17信息系統(tǒng)開(kāi)發(fā)與維護(hù)管理程序 94317331、適用 94160252、目的 94231423、職責(zé) 94193904、程序 9465704.1應(yīng)用軟件設(shè)計(jì)開(kāi)發(fā)的控制 94147114.1.1設(shè)計(jì)開(kāi)發(fā)任務(wù)提出 94120474.1.2設(shè)計(jì)開(kāi)發(fā)的策劃 94149104.1.3設(shè)計(jì)開(kāi)發(fā)人員的要求 95215024.1.4設(shè)計(jì)開(kāi)發(fā)方案的技術(shù)評(píng)審 9559574.1.5設(shè)計(jì)開(kāi)發(fā)的環(huán)境要求 9652604.1.6軟件的測(cè)試與試運(yùn)行 9675054.1.7更改控制 96162284.1.8源程序庫(kù)（程序源代碼）管理及技術(shù)文檔管理 96106114.2系統(tǒng)的維護(hù)管理 97107834.2.2容量策劃 9773004.2.3變更策劃 9754484.2.4變更的實(shí)施 97295874.2.5變更不成功的恢復(fù)措施 9855354.2.6軟件包的變更 98298575、記錄 986752ISMS-P18供應(yīng)商管理程序 99180291、目的 99324682、適用范圍 99151454、職責(zé) 99174085、程序 100257705.1管理策略 100130685.2控制指標(biāo) 100207236、相關(guān)記錄 10019846ISMS-P19事件管理程序 101165511.適用 101106602.目的 101288593.職責(zé) 101311634.程序 101221734.1信息安全事件定義與分類 101246434.1.1信息安全事件的定義： 101320304.1.2信息安全事件分類規(guī)范 101150074.1.3信息安全事件分級(jí)規(guī)范： 10339354.2故障與事故的報(bào)告渠道與處理 10428574.2.1故障、事故報(bào)告要求 1042044.2.2故障、事故的響應(yīng) 104211954.2.3事態(tài)、事件報(bào)告方式 105149204.3故障、事故調(diào)查處理與糾正措施 105186464.4報(bào)告信息安全薄弱點(diǎn)與預(yù)防措施 105301534.6風(fēng)險(xiǎn)處置流程 106117845.相關(guān)/支持性文件 106115736.記錄 10618530ISMS-P20業(yè)務(wù)連續(xù)性管理程序 107152151文檔介紹 107103641.1編寫目的 10748411.2適用范圍 107292652術(shù)語(yǔ)、定義和縮略語(yǔ) 10734373連續(xù)性管理流程 107152693.1角色及職責(zé) 107326903.2連續(xù)性影響分析 108133443.2.3《業(yè)務(wù)持續(xù)性和影響分析報(bào)告》應(yīng)包括以下內(nèi)容： 10938453.3編制《業(yè)務(wù)持續(xù)性管理實(shí)施計(jì)劃》 109266163.3.2部門《業(yè)務(wù)持續(xù)性管理計(jì)劃》的編寫分工為： 109270443.3.3《業(yè)務(wù)持續(xù)性管理計(jì)劃》應(yīng)包括以下方面的內(nèi)容： 10988983.5《業(yè)務(wù)持續(xù)性管理計(jì)劃》的實(shí)施要求 109209843.6業(yè)務(wù)持續(xù)性計(jì)劃的測(cè)試與評(píng)審 110137854相關(guān)文件 11029209ISMS-P21符合性管理程序 11141921、目的 111236552、適用范圍 111255873、術(shù)語(yǔ)和定義 111107144、職責(zé) 11192635、工作程序 111276515.1法律符合性測(cè)量 111243845.1.1法律識(shí)別 11160925.1.2知識(shí)產(chǎn)權(quán) 11282105.1.3保護(hù)組織的記錄 112305815.1.4數(shù)據(jù)保護(hù)和個(gè)人信息的隱私 113201855.1.5安全管理信息處理設(shè)施 113259695.1.6密碼合法使用 113274055.2策略、標(biāo)準(zhǔn)和技術(shù)的符合性測(cè)量 113243185.2.1安全策略、標(biāo)準(zhǔn)符合性 11346215.2.2技術(shù)符合性測(cè)量 114134895.3信息系統(tǒng)審計(jì) 11481895.3.1信息系統(tǒng)審計(jì)控制措施 11441865.3.2審計(jì)工具的保護(hù) 114257765.4糾正和預(yù)防 1147316記錄 11429831ISMS-P22第三方信息安全管理程序 1158683１目的 11576052范圍 11531513職責(zé) 115105153.1管理運(yùn)營(yíng)部 115153603.2各相關(guān)部門 115268784程序 11531784.1管理對(duì)象 115204504.1.1我公司的相關(guān)方包括以下團(tuán)體或個(gè)人： 115136854.2相關(guān)方的信息安全管理 11523644.2.1相關(guān)部門應(yīng)協(xié)調(diào)管理運(yùn)營(yíng)部識(shí)別外部相關(guān)方對(duì)信息資產(chǎn)和信息處理設(shè)施造 1157894.3外來(lái)人員管理 116281454.3.4外來(lái)人員的邏輯訪問(wèn)按《訪問(wèn)控制管理程序》進(jìn)行。 116154454.4第三方服務(wù)的管理 11670924.4.1第三方服務(wù)能力的評(píng)定 116306315. 11710381ISMS-P23相關(guān)方信息安全管理程序 118283621目的 118234762范圍 118140203職責(zé) 118240883.1管理運(yùn)營(yíng)部 11894083.2各相關(guān)部門 118103154程序 118119884.1管理對(duì)象 118247494.2相關(guān)方信息安全管理 119204714.3對(duì)外來(lái)人員的管理 119133214.4對(duì)承包商和供應(yīng)商的管理 119288514.5對(duì)相關(guān)方的監(jiān)督管理 119174115相關(guān)文件 12087906記錄 120ISMS-P01文件控制程序1、文檔介紹編寫目的為了更好的對(duì)信息安全管理體系有關(guān)文件進(jìn)行控制，明確定義管理體系文件和記錄控制的職責(zé)，確保各方所使用的文件及資料為最新有效版本，以及對(duì)管理體系文件的管理進(jìn)行有效控制，特制定本程序。適用范圍本文件控制程序適用于公司的ISO/IEC27001:2022體系范圍內(nèi)的所有形式2、術(shù)語(yǔ)、定義和縮略語(yǔ)管理體系文件管理體系文件由管理手冊(cè)、程序文件、操作指南和記錄報(bào)告模板等文件組成，包括：一級(jí)文件：管理體系的綱領(lǐng)性文件和指南（《管理手冊(cè)》）；二級(jí)文件：管理體系的管理性文件和流程文件；三級(jí)文件：管理體系的作業(yè)指導(dǎo)性文件（崗位規(guī)章、操作制度、工作計(jì)劃及操作規(guī)范等）；四級(jí)文件：管理體系的記錄和報(bào)告模板。管理手冊(cè)手冊(cè)反映組織服務(wù)方針、服務(wù)目標(biāo)，向組織內(nèi)部和外部提供關(guān)于管理體系的信息文件，是體系文件的一級(jí)文件。程序文件程序文件是文件化的運(yùn)作程序，是對(duì)完成管理活動(dòng)所規(guī)定的方法，此處特指體系文件中二級(jí)文件。作業(yè)指導(dǎo)文件作業(yè)指導(dǎo)文件是為了保證具體作業(yè)活動(dòng)符合要求而制訂的作業(yè)標(biāo)準(zhǔn)，是體系文件中三級(jí)文件。文件的變更文件變更指新增文件和對(duì)已發(fā)布文件執(zhí)行修訂。3、職責(zé)在公司管理者代表的領(lǐng)導(dǎo)下，公司管理運(yùn)營(yíng)部負(fù)責(zé)組織體系文件的編寫、報(bào)批、統(tǒng)一編號(hào)和必要時(shí)進(jìn)行評(píng)審及修改。管理運(yùn)營(yíng)部負(fù)責(zé)本程序文件的編制，并負(fù)責(zé)體系文件的審核、收發(fā)、保管及管理。管理運(yùn)營(yíng)部負(fù)責(zé)獲取、識(shí)別、更新公司適用的法律法規(guī)及其他要求，執(zhí)行《法律、法規(guī)及其他要求控制程序》。文件編寫人員的職責(zé).按標(biāo)準(zhǔn)規(guī)定的要求擬定管理體系要求的文件；.文件目的和使用范圍要明確清晰；.文件內(nèi)容中的術(shù)語(yǔ)和定義要準(zhǔn)確，內(nèi)容要完整，同時(shí)并具有可操作性；.文件中規(guī)定的職責(zé)和權(quán)限要明確；.文件中的文字要保持簡(jiǎn)潔，用詞規(guī)范；.要求記錄填寫人簽署自己的姓名（或已電子簽名的形式或已具有法律效力的簽章等形式）、生效日期、記錄內(nèi)容。文件審核批準(zhǔn)人員的職責(zé).審核文件內(nèi)容是否與規(guī)定要求相一致；.審核文件規(guī)定的職責(zé)是否明確和可落實(shí)；.審核程序的規(guī)定能否滿足保證質(zhì)量的要求；.審核文件中定義的接口和呈送范圍是否清楚。文件修改人的職責(zé).文件發(fā)布前或更新后必須就其完整性與充分性進(jìn)行批準(zhǔn)和驗(yàn)證。.管理文件的更改和修訂信息，文件上應(yīng)標(biāo)明版本號(hào)，更改應(yīng)有相應(yīng)的修改記錄，并由具有相應(yīng)權(quán)限的人員簽批。.對(duì)計(jì)劃和實(shí)施服務(wù)管理體系所需的外來(lái)文件進(jìn)行識(shí)別，并控制其分發(fā)。.防止作廢文件的非預(yù)期使用，如果出于某種目的而保留作廢文件，對(duì)這些文件應(yīng)進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。作廢文件只允許有相應(yīng)權(quán)限的人員進(jìn)行查詢。.并非受控文件的所有更改均需要經(jīng)過(guò)批準(zhǔn)。不影響內(nèi)容的更改不需要批準(zhǔn)，但需要更新修改記錄、版本和文件日期。比如拼寫和語(yǔ)法更正。4、體系文件階層及編碼文件階層體系文件分為四層:手冊(cè)、程序文件、操作規(guī)范、表單。文件及記錄編碼文件編碼采取四段14位，描述如下：ZHKJ-ISMS-XNN-NNNN第一段（ZHKJ，4位字母）代表公司；第二段（ISMS，4位字母）管理體系；第三段（XNN，3位數(shù)字）,X代表體系階層，分別取值M,P,W,R;NN代表流水號(hào)，按順序?qū)ξ募幪?hào)。第四段（NNNN，4位數(shù)字）代表年號(hào)。5、文件要求文件要素管理體系中的受控文件要求控制包括如下要素：.文件名稱或編碼：識(shí)別文件的唯一名稱或文件編碼。.版本和日期：版本號(hào)，文件創(chuàng)建或最近更新的日期。.修改人：對(duì)文件內(nèi)容負(fù)有職責(zé)和撰寫，修改權(quán)限的人。.批準(zhǔn)人：有權(quán)批準(zhǔn)文件生效的人。.修改記錄：文件所做更改的摘要。.外來(lái)文件：從外部獲得的文件，必須得到識(shí)別并控制其分發(fā)，以確保能獲得其最新版本。.完整性的標(biāo)志：頁(yè)眉、頁(yè)腳處需帶有公司的LOG、文件名稱、版權(quán)與頁(yè)碼等信息。.文件附件：如果一份要求控制的文件是附在或包含在另一份受控文件中的，那么它也必須符合該文件的控制要求。文件控制文件編寫管理體系負(fù)責(zé)人或流程負(fù)責(zé)人識(shí)別相關(guān)標(biāo)準(zhǔn)文件中的有關(guān)要求，并組織相關(guān)人員根據(jù)這些要求編寫管理體系的有關(guān)文件。文件審批管理體系文件必須經(jīng)過(guò)審批。審批權(quán)限定義如下：文件階層文件類型（示例）審批權(quán)限1信息安全管理手冊(cè)管理運(yùn)營(yíng)部/管理者代表2管理程序、流程手冊(cè)管理運(yùn)營(yíng)部/各流程負(fù)責(zé)人3操作規(guī)范、操作規(guī)程各流程負(fù)責(zé)人4記錄、表單各流程負(fù)責(zé)人文件的監(jiān)督、核查公司管理運(yùn)營(yíng)部建立監(jiān)督與檢查制度，定期(每半年不少于一次)對(duì)本程序執(zhí)行情況進(jìn)行監(jiān)督檢查，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行跟蹤處理。公司各部門對(duì)認(rèn)證、內(nèi)審、自檢中出現(xiàn)的問(wèn)題進(jìn)行歸納整理，公司管理運(yùn)營(yíng)部應(yīng)不定期召開(kāi)例會(huì)，對(duì)內(nèi)、外審、自檢中出現(xiàn)的問(wèn)題進(jìn)行傳達(dá)，避免在運(yùn)行中出現(xiàn)同類不合格，確?！段募刂瞥绦颉酚行н\(yùn)行。文件保存與發(fā)放管理體系文件一般以電子文檔形式保存在文件庫(kù)，正式發(fā)布的體系文件需打印并裝訂成冊(cè)保管。相關(guān)記錄應(yīng)放置到對(duì)應(yīng)目錄中，由各流程負(fù)責(zé)人保管，并配置相應(yīng)人員讀寫權(quán)限。體系發(fā)布范圍為：公司管理層及業(yè)務(wù)流程涉及的相關(guān)所有部門人員。體系文件庫(kù)訪問(wèn)和讀寫權(quán)限設(shè)置如下：體系文件寫權(quán)限：管理運(yùn)營(yíng)部。發(fā)布范圍中的其他人員只具備讀權(quán)限。文件版本控制和修訂對(duì)體系文件的修改，按文件審核、批準(zhǔn)的程序進(jìn)行，并對(duì)文件的主要修改內(nèi)容做好版本記錄工作以及修改說(shuō)明。有關(guān)文件控制和修訂記錄，更新到每個(gè)體系文件第二頁(yè)的版本信息和文檔記錄當(dāng)中。一旦正式發(fā)布的文件版本有更新，需在文件存放系統(tǒng)中同步更新。文件對(duì)外提供當(dāng)外部審核或客戶要求等原因需要輸出到紙介質(zhì)上時(shí)，受控文件需經(jīng)由管理者代表負(fù)責(zé)審批，由管理者代表簽發(fā)《文件審批接收單》，收文人應(yīng)在接收單上簽收。文件的作廢處置/接到作廢通知單后，對(duì)紙質(zhì)文件應(yīng)及時(shí)將需作廢文件交還至發(fā)文單位，由發(fā)文單位標(biāo)記后統(tǒng)一保管或銷毀；對(duì)非紙質(zhì)文件的作廢，由發(fā)文單位根據(jù)發(fā)放記錄要求文件相關(guān)持有部門進(jìn)行相應(yīng)作廢處置并做監(jiān)督檢查。存儲(chǔ)在磁盤介質(zhì)中的電子文件予以刪除，存儲(chǔ)在光盤中的將光盤粉碎。外來(lái)文件的管理各職能部門收到外來(lái)文件后，到管理運(yùn)營(yíng)部進(jìn)行外來(lái)文件收文登記，如需轉(zhuǎn)發(fā)，由文件的對(duì)口部門填寫《文件審批表》，或在文件上注明審批意見(jiàn)報(bào)管理者代表批準(zhǔn)后，確定發(fā)放范圍，交公司管理運(yùn)營(yíng)部，按發(fā)放范圍和份數(shù)統(tǒng)一下發(fā)，6、相關(guān)表單《文件審批接收單》《外來(lái)文件清單》《文件發(fā)放清單》《文件修改通知單》《文件銷毀記錄》《文件借閱記錄表》ISMS-P02記錄控制程序1、文檔介紹編寫目的為了更好的對(duì)信息安全管理體系有關(guān)記錄進(jìn)行控制和管理，明確定義管理體ISMS適用范圍本文件控制程序適用于公司的ISO/IEC27001:2022體系范圍內(nèi)的所有形式的記錄。2、術(shù)語(yǔ)、定義和縮略語(yǔ)記錄是為完成活動(dòng)或達(dá)到的結(jié)果提供客觀證據(jù)的文件。對(duì)體系運(yùn)行情況執(zhí)行監(jiān)督審查的作用。體現(xiàn)信息的真實(shí)性、可控制性、可審查性、不可抵賴性。記錄以多種形式介質(zhì)形式存在，即存儲(chǔ)在磁介質(zhì)上的數(shù)據(jù)，亦或體現(xiàn)在紙質(zhì)介質(zhì)的記錄文件。記錄有多種體現(xiàn)，多種形式。例如：會(huì)議簽到記錄、業(yè)務(wù)持續(xù)性計(jì)劃測(cè)試報(bào)告、維護(hù)記錄、采購(gòu)記錄、用戶訪問(wèn)授權(quán)記錄等。3、職責(zé)管理運(yùn)營(yíng)部是記錄控制的歸口管理部門，負(fù)責(zé)程序記錄的管理和監(jiān)督檢查。部門主管權(quán)責(zé)：確認(rèn)記錄內(nèi)容正確性。各部門助理人員：保管、維護(hù)本部門有關(guān)記錄。4、作業(yè)內(nèi)容記錄的填寫規(guī)定依據(jù)表格的格式及實(shí)際運(yùn)行狀況如實(shí)填寫。第第10頁(yè)共120頁(yè)須填寫記錄日期與簽核日期。依權(quán)限簽名、審核與批準(zhǔn)。不可以用鉛筆記錄表格。書寫錯(cuò)誤后，要求采用劃線修正并簽名，不得使用修正液涂改。記錄的歸檔管理責(zé)任部門應(yīng)對(duì)相關(guān)記錄分類較繁雜的記錄表單編制存檔目錄以便查閱及取放。記錄的儲(chǔ)存與維護(hù)填寫完成的記錄由各相關(guān)責(zé)任部門保存，要求儲(chǔ)存于檔案柜內(nèi)或打包裝箱，并予以適當(dāng)?shù)臉?biāo)識(shí)。如：注明年月日、部門、記錄名稱等相關(guān)內(nèi)容。存放處須保持干凈，并應(yīng)防止其受到損壞。各類記錄依據(jù)規(guī)定的保存期限進(jìn)行保管。記錄若有損壞、遺失等情形，應(yīng)及時(shí)采取修復(fù)或補(bǔ)單等措施。記錄的報(bào)廢管理各部門須每個(gè)月處理一次近期文件，將超過(guò)有效期的記錄向管理運(yùn)營(yíng)部申請(qǐng)銷毀。記錄表格的修訂各部門的記錄表格在使用前均須經(jīng)過(guò)主管級(jí)以上批準(zhǔn)。在使用過(guò)程中，若發(fā)現(xiàn)表格不適用，則可向主管級(jí)以上提出修改，可按《文件控制程序》的有關(guān)要求執(zhí)行修改。記錄表格的標(biāo)識(shí)ISMS已報(bào)廢的記錄若需要更改作其它用（如用于復(fù)印），則應(yīng)在已報(bào)廢表格的正面蓋上[作廢]章或打上“×”作標(biāo)識(shí)。當(dāng)有追溯要求時(shí)，各部門的記錄應(yīng)及時(shí)提供查閱。5、相關(guān)文件《記錄銷毀表單》《記錄一覽表》ISMS-P03內(nèi)部審核管理程序1、文檔介紹1.1目的本文件編寫的目的是規(guī)定了公司進(jìn)行內(nèi)部審核的工作內(nèi)容和方法。以評(píng)價(jià)公I(xiàn)SO/IEC27001:20221.2.范圍適用于對(duì)公司信息安全管理體系內(nèi)的所有內(nèi)審活動(dòng)。2、術(shù)語(yǔ)定義有效性：計(jì)劃的活動(dòng)被實(shí)現(xiàn)的程度，以及計(jì)劃的結(jié)果的達(dá)成程度內(nèi)部審核：有時(shí)稱第一方審核，用于內(nèi)部目的，由組織自己或以組織的名義進(jìn)行，可作為組織自我合格聲明的基礎(chǔ)。審核方法：可以分為文件審核和現(xiàn)場(chǎng)審核；通過(guò)交談、查閱文件、現(xiàn)場(chǎng)操作檢查收集質(zhì)量活動(dòng)的客觀依據(jù)；現(xiàn)場(chǎng)發(fā)現(xiàn)的問(wèn)題應(yīng)由各運(yùn)維小組負(fù)責(zé)人確認(rèn)并記錄。3、職責(zé)a、管理者代表負(fù)責(zé)負(fù)責(zé)審批《內(nèi)部審核計(jì)劃》；組織和領(lǐng)導(dǎo)內(nèi)部審核工作；向管理評(píng)審會(huì)議匯報(bào)內(nèi)部審核情況；根據(jù)計(jì)劃組織內(nèi)部審核活動(dòng)的實(shí)施；c、管理運(yùn)營(yíng)部負(fù)責(zé)人按照本程序的要求編制《內(nèi)部審核計(jì)劃》；負(fù)責(zé)內(nèi)部審核的計(jì)劃和實(shí)施工作，組織對(duì)糾正措施的驗(yàn)證跟蹤及文件的管理工作。d、內(nèi)審員負(fù)責(zé)內(nèi)部審核活動(dòng)的具體實(shí)施；e料；執(zhí)行規(guī)范、配合內(nèi)部審核組完成審核工作；針對(duì)不合格項(xiàng)合制定和實(shí)施糾正措施?！窘M織名稱】ZHKJ-ISMS-2程序文件【組織名稱】ZHKJ-ISMS-2程序文件4、作業(yè)內(nèi)容審核頻率常規(guī)情況下內(nèi)部審核活動(dòng)每年進(jìn)行一次。此外，在下列情況下，經(jīng)管理者代表批準(zhǔn)可以增加臨時(shí)內(nèi)部審核。組織機(jī)構(gòu)、管理體系、工作環(huán)境發(fā)生重大變化；發(fā)生重大服務(wù)事件或信息安全事件，顧客有重大投訴；第三方認(rèn)證或注冊(cè)審核前。作業(yè)說(shuō)明內(nèi)審計(jì)劃的制定內(nèi)審組長(zhǎng)擬訂審核組成員，報(bào)管理者代表審批；《內(nèi)部審核計(jì)劃》的內(nèi)容；內(nèi)審資料的收集；（）和有關(guān)的法律法規(guī)；各部門負(fù)責(zé)人協(xié)助完成資料收集過(guò)程；審核組發(fā)送出內(nèi)部審核通知并編制內(nèi)審檢查表；審核組提前5個(gè)工作日向受審核部門發(fā)送內(nèi)部審核通知；2個(gè)工作日內(nèi)反饋給內(nèi)審組，另行協(xié)商《內(nèi)部審核計(jì)劃》；修改后的《內(nèi)部審核計(jì)劃》需重新提交給管理者代表審批；內(nèi)部審核小組提前編制《內(nèi)審檢查表-Checklist》；審核組長(zhǎng)組織舉行審核前會(huì)議，確保準(zhǔn)備工作完成，責(zé)任明確。實(shí)施內(nèi)部審核1）審核組長(zhǎng)組織首次內(nèi)審會(huì)議；參會(huì)人員要求：高層管理者（必要時(shí)）、管理者代表、審核組全體成員、受審核項(xiàng)目小組代表及主要工作人員等；審核組長(zhǎng)介紹組員，宣布審核方案、依據(jù)、程序、日程等注意事項(xiàng)；審核組長(zhǎng)向被審核部門提出審核保障條件和配合的要求；內(nèi)審員進(jìn)行內(nèi)部審核（內(nèi)部審核方法分為文件審核與現(xiàn)場(chǎng)審核）并根據(jù)Checklist不符合項(xiàng)所屬部門在3日內(nèi)補(bǔ)充《內(nèi)審不符合項(xiàng)報(bào)告及糾正報(bào)告》并提內(nèi)審組長(zhǎng)組織內(nèi)審結(jié)束會(huì)議；總結(jié)審核情況，宣布審核結(jié)論，說(shuō)明不合格項(xiàng)；提出糾正改進(jìn)的建議；內(nèi)審組編寫《內(nèi)部審核報(bào)告》，報(bào)告內(nèi)容包括審核部門、時(shí)間、地點(diǎn)、對(duì)本次審核的結(jié)果描述等；《內(nèi)部審核報(bào)告》經(jīng)管理者代表審批確認(rèn)后簽發(fā)；執(zhí)行糾正措施不符合項(xiàng)所屬部門根據(jù)《內(nèi)審不符合項(xiàng)報(bào)告及糾正報(bào)告》采取糾正措施，并在規(guī)定期限內(nèi)完成；活動(dòng)驗(yàn)證：內(nèi)部審核員對(duì)不符合項(xiàng)的糾正措施結(jié)果進(jìn)行檢查；驗(yàn)證結(jié)果糾正措施完成后，審核組長(zhǎng)組織驗(yàn)證完成情況；不合格項(xiàng)所屬部門對(duì)不能在規(guī)定時(shí)間內(nèi)完成的不合格項(xiàng)，要及時(shí)通知內(nèi)審組，協(xié)調(diào)驗(yàn)證時(shí)間；審核組長(zhǎng)對(duì)內(nèi)審記錄進(jìn)行整理并歸檔；流程輸入及輸出輸入《內(nèi)部審核計(jì)劃》《審核管理程序》《內(nèi)審檢查表》管理體系文件及修訂記錄（包括管理手冊(cè)、程序文件、作業(yè)文件、記錄）輸出《內(nèi)審不符合項(xiàng)報(bào)告及糾正報(bào)告》《內(nèi)部審核報(bào)告》5、內(nèi)部審核相關(guān)表單《內(nèi)部審核計(jì)劃》《內(nèi)審檢查表》《內(nèi)審不符合項(xiàng)報(bào)告及糾正報(bào)告》《會(huì)議紀(jì)要（內(nèi)審首/末次會(huì)）》《內(nèi)部審核報(bào)告》ISMS-P04管理評(píng)審管理程序1、文檔介紹1.1為確保公司信息安全管理體系持續(xù)的適宜性、充分性和有效性，評(píng)估公司信息安全管理體系改進(jìn)和變更的需要，包括信息安全方針、目標(biāo)，特制定本程序。范圍適用于對(duì)公司信息安全管理體系運(yùn)行的現(xiàn)狀和適應(yīng)性進(jìn)行管理評(píng)審的活動(dòng)。2、職責(zé)ab協(xié)調(diào)工作；跟蹤驗(yàn)證管理評(píng)審問(wèn)題的處理；審查《管理評(píng)審計(jì)劃》和《管理評(píng)審報(bào)告》。c和記錄；評(píng)審過(guò)程的組織工作、作好評(píng)審會(huì)議記錄并編寫《管理評(píng)審報(bào)告》；負(fù)責(zé)組織完成管理評(píng)審輸入資料準(zhǔn)備；保存管理評(píng)審相關(guān)記錄；d、評(píng)審團(tuán)隊(duì)依據(jù)評(píng)審計(jì)劃對(duì)管理體系進(jìn)行評(píng)審；e3、內(nèi)容審核頻率公司每年進(jìn)行一次年度管理評(píng)審（管理評(píng)審時(shí)間間隔不超過(guò)12個(gè)月），此外，在下列情況下，管理者代表可臨時(shí)決定進(jìn)行管理評(píng)審。產(chǎn)品、流程、系統(tǒng)、組織機(jī)構(gòu)、人員和資源等有重大調(diào)整；信息安全方針、目標(biāo)等發(fā)生變化；當(dāng)業(yè)務(wù)過(guò)程發(fā)生重大事故造成重大損失時(shí)；發(fā)生重大顧客抱怨或投訴；管理體系審核發(fā)現(xiàn)嚴(yán)重不符合項(xiàng)；國(guó)家法令、法規(guī)、規(guī)章制度、標(biāo)準(zhǔn)等有所要求；其他不可預(yù)見(jiàn)情況。管理評(píng)審程序管理評(píng)審計(jì)劃制定管理評(píng)審小組應(yīng)于每次管理評(píng)審前編制《管理評(píng)審計(jì)劃》，上報(bào)管理者代表審核并由最高管理者批準(zhǔn)，下發(fā)各相關(guān)人員。管理評(píng)審計(jì)劃的主要內(nèi)容包括：評(píng)審時(shí)間及地點(diǎn)；評(píng)審目的；評(píng)審范圍及評(píng)審重點(diǎn)；參加評(píng)審人員；評(píng)審依據(jù)；評(píng)審內(nèi)容。1）管理評(píng)審準(zhǔn)備管理評(píng)審小組應(yīng)提前一周下發(fā)管理評(píng)審計(jì)劃，通知參加評(píng)審的有關(guān)人員，參加評(píng)審人員負(fù)責(zé)準(zhǔn)備與本部門有關(guān)的評(píng)審資料，并提交給管理評(píng)審小組。管理評(píng)審輸入：以往管理評(píng)審的措施的狀態(tài)；與信息安全管理體系相關(guān)的外部和內(nèi)部問(wèn)題的變更；相關(guān)方的反饋；風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f）持續(xù)改進(jìn)的機(jī)會(huì)。由管理評(píng)審小組匯總評(píng)審所需資料，上交到管理者代表，管理者代表準(zhǔn)備體系運(yùn)行情況及其改進(jìn)建議的報(bào)告。2）召開(kāi)管理評(píng)審會(huì)議召開(kāi)管理評(píng)審會(huì)議，管理者代表負(fù)責(zé)主持會(huì)議管理評(píng)審輸出：體系有效性的改進(jìn)；管理者代表匯報(bào)體系建設(shè)及運(yùn)行狀態(tài)，包括上次內(nèi)部審核結(jié)果、預(yù)防和糾正措施的實(shí)施情況報(bào)告、以往管理評(píng)審的跟蹤措施實(shí)施情況報(bào)告等；風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃的更新；修改影響信息安全的程序文件，必要時(shí)，對(duì)可能影響ISMS的內(nèi)外事件發(fā)生的變更進(jìn)行對(duì)應(yīng)；這些變更包括：業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程；法律法規(guī)要求；合同義務(wù)；風(fēng)險(xiǎn)級(jí)別和/或接受風(fēng)險(xiǎn)的準(zhǔn)則。資源的需求；控制措施有效性測(cè)量方法的改進(jìn)。總經(jīng)理做總結(jié)性發(fā)言，就管理體系是否達(dá)到目標(biāo)要求，以及體系的適用性、充分性、有效性進(jìn)行總的評(píng)價(jià)，并總結(jié)體系改進(jìn)的需要。管理評(píng)審會(huì)議應(yīng)維護(hù)會(huì)議記錄。編制管理評(píng)審報(bào)告各部門在《管理評(píng)審報(bào)告》中確定的改進(jìn)事項(xiàng)和相關(guān)要求來(lái)執(zhí)行；由管理評(píng)審小組和各部門來(lái)制定糾正措施措施；由管理者代表驗(yàn)證管理評(píng)審中問(wèn)題的解決。流程輸入及輸出輸入《管理評(píng)審計(jì)劃》《管理評(píng)審匯報(bào)材料》輸出《管理評(píng)審會(huì)議紀(jì)要》《管理評(píng)審報(bào)告》4.《管理評(píng)審計(jì)劃》《管理評(píng)審匯報(bào)材料》《管理評(píng)審會(huì)議紀(jì)要》《管理評(píng)審報(bào)告》ISMS-P05監(jiān)視和測(cè)量管理程序目的通過(guò)對(duì)各項(xiàng)控制措施滿足控制目標(biāo)的實(shí)現(xiàn)程度及法律、法規(guī)符合性的監(jiān)視、測(cè)量與分析，為策劃、實(shí)施、持續(xù)改進(jìn)管理體系提供依據(jù)。適用范圍本程序適用于公司控制措施衡量、法律法規(guī)符合性驗(yàn)證、安全目標(biāo)、方針貫徹。術(shù)語(yǔ)和定義引用ISO/IEC27001:2022標(biāo)準(zhǔn)及本公司信息安全手冊(cè)中的術(shù)語(yǔ)和定義。職責(zé)管理運(yùn)營(yíng)部負(fù)責(zé)信息安全控制措施有效性、安全方針和安全目標(biāo)實(shí)現(xiàn)程度測(cè)量。負(fù)責(zé)識(shí)別與公司有關(guān)的法律法規(guī)，并檢驗(yàn)是否滿足。管理者代表負(fù)責(zé)掌握信息安全管理體系的總體運(yùn)行情況，并向最高管理者匯報(bào)，對(duì)最高管理者負(fù)責(zé)。管理運(yùn)營(yíng)部負(fù)責(zé)獲取、識(shí)別、更新適用于本公司信息安全管理體系運(yùn)行的所有法律法規(guī)，發(fā)布《信息安全法律法規(guī)清單》，對(duì)本程序的實(shí)施情況進(jìn)行組織、監(jiān)督和檢查。體系管理部負(fù)責(zé)法律法規(guī)的更新以及適用性的確認(rèn)，并傳達(dá)給各部門。采購(gòu)保障部負(fù)責(zé)每半年對(duì)各職能市場(chǎng)銷售部門進(jìn)行監(jiān)視和測(cè)量，對(duì)各職能市場(chǎng)銷售部門的監(jiān)視和測(cè)量執(zhí)行情況進(jìn)行監(jiān)督、檢查和指導(dǎo)，為糾正和預(yù)防提供信息。第第20頁(yè)共120頁(yè)負(fù)責(zé)收集的顧客信息安全滿意程度信息，并進(jìn)行匯總、分析和傳遞。工作程序法律符合性測(cè)量法律識(shí)別由管理運(yùn)營(yíng)部負(fù)責(zé)每半年收集、更新與公司運(yùn)營(yíng)有關(guān)的信息安全法律法規(guī)，編制《信息安全法律法規(guī)清單》，解讀法規(guī)要求，在制定公司信息安全規(guī)章制度時(shí)作為遵循條件之一，必要時(shí)對(duì)有關(guān)人員進(jìn)行法律法規(guī)的理解培訓(xùn)。有下列情況之一的，須進(jìn)行相關(guān)的法律合規(guī)性評(píng)價(jià)活動(dòng)原有的法律法規(guī)發(fā)生變化或者有新的相關(guān)法律法規(guī)出臺(tái)時(shí)；外部環(huán)境標(biāo)準(zhǔn)發(fā)生變化或者環(huán)境體系進(jìn)行換版時(shí)；公司內(nèi)部或者周邊工作環(huán)境發(fā)生變化時(shí)；有新的設(shè)備或者設(shè)施投入使用前；一般情況下每年末進(jìn)行相關(guān)的法律合規(guī)性評(píng)價(jià)工作。各部門根據(jù)信息系統(tǒng)日常運(yùn)行及檢測(cè)記錄，對(duì)控制效果、過(guò)程的符合性進(jìn)行相應(yīng)評(píng)價(jià)。必要時(shí)需召集相關(guān)人員進(jìn)行評(píng)審，并留下相應(yīng)的評(píng)審記錄。對(duì)法規(guī)符合性的評(píng)價(jià)結(jié)果，記錄在《信息安全法律法規(guī)符合性評(píng)價(jià)》表中?！缎畔踩煞ㄒ?guī)符合性評(píng)估報(bào)告》經(jīng)管理運(yùn)營(yíng)部經(jīng)理審核后由管理者代表進(jìn)行審批，管理運(yùn)營(yíng)部保存。文件更新以及評(píng)價(jià)過(guò)程相關(guān)記錄的發(fā)放、回收、換版、作廢以及存儲(chǔ)按照《文件控制程序》執(zhí)行。知識(shí)產(chǎn)權(quán)公司在使用具有知識(shí)產(chǎn)權(quán)的材料和軟件產(chǎn)品時(shí)，要符合法律、法規(guī)、合同要求。在維護(hù)知識(shí)產(chǎn)權(quán)的過(guò)程要注意：通過(guò)知名的或聲譽(yù)好的渠道獲得軟件、以確保不侵犯版權(quán)；對(duì)有知識(shí)產(chǎn)權(quán)的產(chǎn)品要保存好能表明其產(chǎn)權(quán)的證據(jù)和證明，在資產(chǎn)管理時(shí)要加以備注；確保用戶數(shù)量在允許最大范圍內(nèi)；在轉(zhuǎn)移軟件時(shí)要考慮是否有轉(zhuǎn)移權(quán)利；對(duì)版權(quán)不明的產(chǎn)品進(jìn)行不復(fù)制、不傳播；公司所開(kāi)發(fā)的軟件產(chǎn)品知識(shí)版權(quán)歸公司所有，員工無(wú)權(quán)占有。保護(hù)組織的記錄公司運(yùn)行的記錄分為：賬號(hào)記錄、日志記錄、審計(jì)記錄、信息安全運(yùn)行記錄。公司信息安全記錄按照《記錄控制程序》控制。其他類型記錄要建立保存周期和存儲(chǔ)介質(zhì)的類型清單，按照對(duì)應(yīng)的密級(jí)程度管理，識(shí)別法律法規(guī)或客戶要求保留的記錄，標(biāo)注其記錄保存、存儲(chǔ)、處理和處置要求。數(shù)據(jù)保護(hù)和個(gè)人信息的隱私對(duì)處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門應(yīng)按照國(guó)家有關(guān)規(guī)定對(duì)個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄露個(gè)人秘密。員工的個(gè)人信息或隱私，包括：?jiǎn)T工的家庭情況、住宅地址、個(gè)人固話、健安全管理信息處理設(shè)施員工包括第三方人員對(duì)信息設(shè)備的使用要求得到設(shè)備管理者的授權(quán)，并且被告知只能用于處理業(yè)務(wù)，否則將視為非授權(quán)使用，一經(jīng)發(fā)現(xiàn)按照獎(jiǎng)懲規(guī)定進(jìn)行處罰。對(duì)設(shè)備的管理參見(jiàn)《信息處理設(shè)備管理程序》中的設(shè)備安全。密碼合法使用對(duì)用來(lái)產(chǎn)生密鑰和加密的計(jì)算機(jī)要求實(shí)行物理隔離，并嚴(yán)格控制對(duì)該計(jì)算機(jī)的操作，包括操作計(jì)算機(jī)硬件和安裝軟件。策略、標(biāo)準(zhǔn)和技術(shù)的符合性測(cè)量安全策略、標(biāo)準(zhǔn)符合性控制措施有效性測(cè)量管理運(yùn)營(yíng)部定期檢查對(duì)控制措施的執(zhí)行符合程度和控制措施有效性，對(duì)控制措施的有效性檢測(cè)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)判定其執(zhí)行效果，如果評(píng)估風(fēng)險(xiǎn)值大于原來(lái)的說(shuō)明控制措施需要根據(jù)威脅重新識(shí)別和制定；如果評(píng)估風(fēng)險(xiǎn)值等于原來(lái)的說(shuō)明控制措施效果一般未能降低風(fēng)險(xiǎn)，需要考慮加強(qiáng)控制措施力度，比如，加大檢查頻率、投入設(shè)備等方式；如果風(fēng)險(xiǎn)評(píng)估值小于原來(lái)的，則說(shuō)明控制措施是有效的，需要繼續(xù)保持。安全目標(biāo)符合性測(cè)量公司建立信息安全管理體系的目標(biāo)是保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可抵賴性。采用關(guān)鍵指標(biāo)法（KPI），從信息安全11個(gè)控制方面的保密性目標(biāo)（C）、完整性目標(biāo)（I)、可用性目標(biāo)（A）分別考察檢驗(yàn)?zāi)繕?biāo)達(dá)成情況。公司管理運(yùn)營(yíng)部每年對(duì)信息安全總目標(biāo)進(jìn)行一次考核。技術(shù)符合性測(cè)量公司網(wǎng)絡(luò)管理員每年對(duì)信息系統(tǒng)、網(wǎng)絡(luò)進(jìn)行一次技術(shù)性評(píng)估，如果需要可以邀請(qǐng)有經(jīng)驗(yàn)的系統(tǒng)工程師使用一些檢測(cè)工具軟件，如滲透測(cè)試、入侵檢測(cè)。對(duì)系統(tǒng)進(jìn)行技術(shù)符合性性核查必須由經(jīng)過(guò)總經(jīng)理授權(quán)的人員執(zhí)行。檢查結(jié)果填寫在《信息系統(tǒng)日常點(diǎn)檢記錄》。信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)控制措施每年對(duì)信息系統(tǒng)進(jìn)行一次審計(jì)，審計(jì)需要考慮一下措施以減少對(duì)業(yè)務(wù)過(guò)程中斷的風(fēng)險(xiǎn)：于只讀訪問(wèn)，對(duì)非只讀的訪問(wèn)要求限于對(duì)系統(tǒng)文件的單獨(dú)拷貝，并且在審計(jì)結(jié)束后要求擦除這些拷貝，或給予適當(dāng)?shù)谋Ｗo(hù)。審計(jì)所需要的資源、特定要求。要監(jiān)視所有的訪問(wèn)日志。審計(jì)工具的保護(hù)審計(jì)過(guò)程使用到的審計(jì)工具如軟件或數(shù)據(jù)文件，要與開(kāi)發(fā)和運(yùn)行系統(tǒng)分開(kāi)，如果審計(jì)涉及第三方，要注意工具被第三方誤用的風(fēng)險(xiǎn)，一旦意識(shí)到該風(fēng)險(xiǎn)，立刻修改口令。審計(jì)過(guò)程和產(chǎn)品依據(jù)質(zhì)量保證計(jì)劃和檢查單，對(duì)過(guò)程和產(chǎn)品進(jìn)行審計(jì)。過(guò)程審計(jì)方式主要包括與項(xiàng)目經(jīng)理及項(xiàng)目組成員進(jìn)行訪談，觀察過(guò)程執(zhí)行等，同時(shí)質(zhì)量工作人員參加項(xiàng)目例會(huì)，了解項(xiàng)目進(jìn)展?fàn)顩r，以便識(shí)別項(xiàng)目實(shí)際過(guò)程和計(jì)劃的偏離，發(fā)現(xiàn)存在的不符合項(xiàng)。產(chǎn)品審計(jì)應(yīng)在產(chǎn)品成為基線前進(jìn)行，審計(jì)的方式主要包括參與產(chǎn)品的技術(shù)評(píng)審，對(duì)產(chǎn)品進(jìn)行確認(rèn)等。在審計(jì)過(guò)程中，對(duì)發(fā)現(xiàn)的不符合項(xiàng)要和項(xiàng)目經(jīng)理進(jìn)行確認(rèn)，并將不符合項(xiàng)記錄在不符合項(xiàng)跟蹤表或缺陷管理工具中。質(zhì)量管理人員定期（最長(zhǎng)周期：4周）或不定期（有嚴(yán)重不符合項(xiàng)時(shí)），將《不符合項(xiàng)跟蹤表》或?qū)⑷毕莨芾砉ぞ咧械牟环享?xiàng)導(dǎo)出，報(bào)告給項(xiàng)目組。協(xié)助質(zhì)量負(fù)責(zé)人制定糾正措施，督促糾正措施的執(zhí)行，并跟蹤驗(yàn)證直到不符合項(xiàng)關(guān)閉。5.4糾正和預(yù)防對(duì)監(jiān)視和測(cè)量結(jié)果進(jìn)行評(píng)審，若發(fā)現(xiàn)不符合相關(guān)的安全策略按照《糾正預(yù)防措施控制程序》進(jìn)行糾正和制定預(yù)防措施。記錄《信息系統(tǒng)日常巡檢表》ISMS-P06糾正與預(yù)防措施管理程序1、文檔介紹編寫目的采取有效的改進(jìn)、糾正和預(yù)防措施，確保信息安全管理體系的持續(xù)改進(jìn)。適用范圍適用于改進(jìn)、糾正和預(yù)防措施的制定、實(shí)施和驗(yàn)證。引用文件ISO/IEC27001:20222、角色和職責(zé)管理者代表負(fù)責(zé)監(jiān)督、協(xié)調(diào)改進(jìn)、糾正和預(yù)防措施的實(shí)施。管理運(yùn)營(yíng)部負(fù)責(zé)組織相關(guān)部門對(duì)體系出現(xiàn)的不合格采取糾正措施并驗(yàn)證實(shí)施的結(jié)果。管理運(yùn)營(yíng)部負(fù)責(zé)對(duì)持續(xù)改進(jìn)的策劃，對(duì)出現(xiàn)存在的或潛在不合格，采取相應(yīng)的糾正和預(yù)防措施并驗(yàn)證實(shí)施的結(jié)果。各部門負(fù)責(zé)實(shí)施相應(yīng)的改進(jìn)、糾正和預(yù)防措施。3、內(nèi)容持續(xù)改進(jìn)的策劃公司通過(guò)內(nèi)審、管理評(píng)審及相應(yīng)的糾正和預(yù)防措施，建立自我完善的機(jī)制；糾正/預(yù)防措施信息來(lái)源有：公司內(nèi)外安全事件記錄、事故報(bào)告、薄弱點(diǎn)報(bào)告；日常管理檢查及技術(shù)檢查中指出的不符合；網(wǎng)絡(luò)運(yùn)維的監(jiān)控記錄；內(nèi)、外部審核報(bào)告及管理評(píng)審報(bào)告中的不符合項(xiàng)；相關(guān)方的建議或抱怨；風(fēng)險(xiǎn)評(píng)估報(bào)告；其他有價(jià)值的信息等。糾正措施不合格識(shí)別、原因分析、措施制訂及實(shí)施驗(yàn)證：對(duì)內(nèi)審及管理評(píng)審發(fā)現(xiàn)的不合格，由責(zé)任部門根據(jù)《內(nèi)審不符合項(xiàng)報(bào)告》的不合格事實(shí)分析原因，制訂糾正措施并實(shí)施，管理運(yùn)營(yíng)部組織內(nèi)審員跟蹤驗(yàn)證實(shí)施結(jié)果。對(duì)管理過(guò)程出現(xiàn)的重大問(wèn)題或不合格由管代組織責(zé)任部門填寫《糾正和預(yù)防措施處理單》，分析原因、制訂措施、實(shí)施改進(jìn)并跟蹤實(shí)施結(jié)果。預(yù)防措施識(shí)別潛在不合格：管理運(yùn)營(yíng)部及各部門要從以下活動(dòng)和記錄中尋找潛在的不合格：信息安全記錄、服務(wù)質(zhì)量、供方供貨業(yè)績(jī)、顧客投訴、不合格報(bào)告、服務(wù)質(zhì)量情況報(bào)告。及時(shí)分析如下記錄：顧客滿意程度及市場(chǎng)分析、服務(wù)報(bào)告管理運(yùn)營(yíng)部要從以下活動(dòng)和記錄中尋找潛在的不合格，以往糾正和預(yù)防措施執(zhí)行情況及不符合項(xiàng)報(bào)告提交管理評(píng)審有關(guān)信息。評(píng)價(jià)預(yù)防措施的需求上述部門在原因分析后，權(quán)衡風(fēng)險(xiǎn)、利益和成本，確定預(yù)防措施的需求，對(duì)重大預(yù)防措施，提交總經(jīng)理批準(zhǔn)。預(yù)防措施的制定實(shí)施驗(yàn)證由責(zé)任部門制定預(yù)防措施并按計(jì)劃組織實(shí)施，管理運(yùn)營(yíng)部對(duì)預(yù)防措施的實(shí)施進(jìn)行驗(yàn)證其有效性。其他措施重要的改進(jìn)、糾正、預(yù)防措施的相關(guān)記錄作為管理評(píng)審的輸入。流程輸入及輸出《內(nèi)審不合格項(xiàng)報(bào)告及糾正報(bào)告》《內(nèi)部審核報(bào)告》《管理評(píng)審報(bào)告》4、相關(guān)表單《內(nèi)審不合格項(xiàng)報(bào)告及糾正報(bào)告》ISMS-P07信息交流管理程序1、文檔介紹本規(guī)定適用于公司業(yè)務(wù)信息交流的安全管理，包括：公司內(nèi)部之間的信息交流；公司信息系統(tǒng)與外部系統(tǒng)之間的信息交流；公司與供應(yīng)商、客戶等相關(guān)單位和個(gè)人間的信息交流。2、術(shù)語(yǔ)和定義所有ISO/IECFDIS27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求》和《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》規(guī)定的術(shù)語(yǔ)均適用于本程序。3、引用文件引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)?！缎畔踩踩碗[私保護(hù)信息安全管理體系要求》《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則》4、職責(zé)和權(quán)限管理運(yùn)營(yíng)部：負(fù)責(zé)組織控制交流管理程序的制訂、修改、維護(hù)等日常工作；負(fù)責(zé)各應(yīng)用系統(tǒng)間協(xié)議、接口規(guī)范的制訂、審核、修改、維護(hù)及實(shí)施；負(fù)責(zé)管理體系活動(dòng)過(guò)程中、辦公場(chǎng)所日常工作信息的收集傳遞和處理、法律、法規(guī)、員工的抱怨及其它的信息溝通。管理者代表：意見(jiàn)的溝通渠道的有效性；向公司內(nèi)部人員傳達(dá)與公司信息安全有關(guān)的法規(guī)資料及政策；接收內(nèi)部人員對(duì)信息安全管理體系的意見(jiàn)并采取相應(yīng)行動(dòng)。部門信息安全工作成員：內(nèi)、外部所反潰的信息安全方面的意見(jiàn)、建議進(jìn)行審查，不斷的改進(jìn)、完善信息安全管理體系。智慧城市事業(yè)部:負(fù)責(zé)項(xiàng)目管理過(guò)程中的信息等方面的信息溝通；并及時(shí)向主控部門匯報(bào)。負(fù)責(zé)產(chǎn)品信息、顧客的意見(jiàn)、建議及合理化提議的溝通。5）其他部門：負(fù)責(zé)本部門涉及信息方面的溝通及合理化建議的提出。5、內(nèi)部溝通管理運(yùn)營(yíng)部組織各個(gè)部門通過(guò)公告、內(nèi)部網(wǎng)絡(luò)、宣傳物品、活動(dòng)、通告、會(huì)議及培訓(xùn)把有關(guān)信息安全方面的政策及其它事項(xiàng)傳達(dá)給各員工；員工對(duì)公司信息安全管理體系有任何意見(jiàn)可向其部門主管或其所在部門信息安全專員建議、投訴；部門主管或信息安全專員將員工的意見(jiàn)分類后向管理運(yùn)營(yíng)部反映并填寫《信息安全管理體系意見(jiàn)表》，管理運(yùn)營(yíng)部聯(lián)同各部門按此表格進(jìn)行跟進(jìn)，最長(zhǎng)不超過(guò)兩天進(jìn)行有關(guān)調(diào)查；管理者代表與有關(guān)部門經(jīng)理就公司內(nèi)的信息交流事宜應(yīng)通過(guò)日常討論方式進(jìn)行；公司的信息安全管理體系應(yīng)在修訂或更改后向各部門經(jīng)理傳達(dá)；公司的內(nèi)部或外部的信息安全管理體系的審核結(jié)果應(yīng)以書面形式傳達(dá)給各部門經(jīng)理；公司信息安全管理體系的管理評(píng)審結(jié)果應(yīng)由管理運(yùn)營(yíng)部向各部門經(jīng)理講解及監(jiān)察其執(zhí)行情況；管理者代表每月向管理運(yùn)營(yíng)部成員詢問(wèn)有關(guān)信息安全方面的有何要求；管理運(yùn)營(yíng)部聯(lián)同各部門建立及維護(hù)信息安全管理體系的文件控制程序；部門經(jīng)理和項(xiàng)目經(jīng)理應(yīng)及時(shí)收集員工關(guān)于企業(yè)建設(shè)方面的建議，定期和總經(jīng)理溝通，做到下情上達(dá)。并做好年終員工訪談工作。6、外部溝通通過(guò)互聯(lián)網(wǎng)向外界人士宣傳公司信息安全管理體系；各部門應(yīng)向管理運(yùn)營(yíng)部反映客戶對(duì)信息安全方面的意見(jiàn)；通過(guò)各部門與供應(yīng)商保持聯(lián)絡(luò)并傳達(dá)相關(guān)的信息安全體系改善計(jì)劃。7、信息交流控制措施信息交流方式包括數(shù)據(jù)交流、電子郵件、電話、紙質(zhì)文件、談話、錄音、會(huì)議、傳真、短信、IM公司使用的信息交流設(shè)施在安全性上應(yīng)符合國(guó)家信息安全相關(guān)法律法規(guī)、上級(jí)主管機(jī)關(guān)以及本公司安全管理規(guī)定的要求。不能在公共場(chǎng)所或者敞開(kāi)的、沒(méi)有屋頂防護(hù)的會(huì)議室談?wù)摍C(jī)密信息。在使用電子通信設(shè)施進(jìn)行信息交流時(shí)，所考慮的控制包括：第第30頁(yè)共120頁(yè)防止交流的信息被截取、備份、修改、誤傳以及破壞；保護(hù)以附件形式傳輸?shù)碾娮有畔⒌某绦颍挥袠I(yè)務(wù)信件和消息的保持和處置原則，要符合相關(guān)的國(guó)家或地方法規(guī)；詳細(xì)參考《電郵電話管理規(guī)定》使用傳真的人員注意下列問(wèn)題：未經(jīng)授權(quán)對(duì)內(nèi)部存儲(chǔ)的信息進(jìn)行訪問(wèn)，獲取信息；故意的或無(wú)意的程序設(shè)定，向特定的號(hào)碼發(fā)送信息；8、物理介質(zhì)的運(yùn)送保護(hù)場(chǎng)所間信息介質(zhì)的運(yùn)送，需考慮下列原則：應(yīng)當(dāng)使用可靠的運(yùn)送手段和物流公司；建立適當(dāng)?shù)某绦驒z查物流公司的信譽(yù)；存儲(chǔ)介質(zhì)的包裝應(yīng)當(dāng)足以保護(hù)其中的內(nèi)容免受任何在轉(zhuǎn)運(yùn)中可能出現(xiàn)的物理?yè)p傷；使用上鎖的容器；人工遞送；防泄密包裝（能夠顯示出任何企圖訪問(wèn)的嘗試）；在特殊情況下，把托運(yùn)貨物分成多份由不同的路徑來(lái)發(fā)貨和遞送。9、相關(guān)記錄《信息安全內(nèi)/外部專家顧問(wèn)名單》《信息安全權(quán)威機(jī)構(gòu)聯(lián)系單》ISMS-P08人力資源管理程序1、目的為了對(duì)所有從事與產(chǎn)品要求符合性、信息安全有關(guān)管理的人員進(jìn)行管理,提高其業(yè)務(wù)素質(zhì)和工作能力，確保滿足相應(yīng)工作的規(guī)定要求，對(duì)承擔(dān)信息安全管理體系；（以下簡(jiǎn)稱ISO體系）職責(zé)的人員規(guī)定相應(yīng)崗位的能力要求，并進(jìn)行培訓(xùn)以滿足規(guī)定要求，特制定本程序。2、范圍ISMS3、引用文件ISO/IEC27001:2022《信息安全管理手冊(cè)》4、職責(zé)人力資源部人力資源部負(fù)責(zé)人力資源管理工作；負(fù)責(zé)人員的招聘、獎(jiǎng)懲、晉升、考核、調(diào)轉(zhuǎn)、離職、考勤等的工作實(shí)施，擬訂、解釋人力資源方面的管理制度；人員檔案管理；負(fù)責(zé)公司員工的培訓(xùn)；負(fù)責(zé)組織對(duì)培訓(xùn)質(zhì)量進(jìn)行評(píng)估《新員工滿意度調(diào)查問(wèn)卷》；負(fù)責(zé)編制本部門員工《崗位職責(zé)說(shuō)明書》和整理其他部門《崗位職責(zé)說(shuō)明書》；負(fù)責(zé)公司社保和公積金等相關(guān)福利的發(fā)放。擬定公司員工的薪資；公司內(nèi)部車輛調(diào)度；后勤管理等相關(guān)工作。其他部門配合人力資源部進(jìn)行人力資源的管理；編制本部門員工《崗位職責(zé)說(shuō)明書》；負(fù)責(zé)本部門員工的崗位技能培訓(xùn)?？偨?jīng)理批準(zhǔn)公司培訓(xùn)計(jì)劃，批準(zhǔn)《崗位職責(zé)說(shuō)明書》。5、任用前安全角色與職責(zé)人力資源部負(fù)責(zé)組織編制和保存《崗位職責(zé)說(shuō)明書》，各個(gè)部門對(duì)本公司內(nèi)每個(gè)職位的《崗位職責(zé)說(shuō)明書》規(guī)定人員的角色和職責(zé)。負(fù)責(zé)制定通用安全職責(zé)，特殊安全職責(zé)由管理運(yùn)營(yíng)部門制定。人力資源部對(duì)員工下發(fā)《崗位職責(zé)說(shuō)明書》，保證員工對(duì)責(zé)任說(shuō)明的理解和接受。這個(gè)工作必須在員工上崗前完成。員工的職責(zé)發(fā)生變化時(shí)，各部門向人力資源部提交《崗位職責(zé)變更》申請(qǐng)，人力資源部要負(fù)責(zé)立即更新員工的《崗位職責(zé)說(shuō)明書》。應(yīng)負(fù)責(zé)保證更新的《崗位職責(zé)說(shuō)明書》確定的傳達(dá)給員工。這一工作必須在員工職責(zé)發(fā)生變化起1周內(nèi)完成。人員選拔人力資源部負(fù)責(zé)對(duì)本公司內(nèi)各個(gè)職位的應(yīng)聘人員認(rèn)真篩選，按照本公司管理運(yùn)營(yíng)部的程序?qū)?yīng)聘人員初試，初試通過(guò)進(jìn)行各部門的復(fù)試，如果錄用該應(yīng)聘者，應(yīng)對(duì)該應(yīng)聘者進(jìn)行背景調(diào)查。背景調(diào)查時(shí)應(yīng)考慮：簡(jiǎn)歷信息是否屬實(shí)，個(gè)人經(jīng)歷，是否存在民事糾紛等違法行為，個(gè)人和職業(yè)推薦信，身份，學(xué)歷和或職業(yè)資格原始文件等。要對(duì)申請(qǐng)人的業(yè)務(wù)能力和個(gè)人品德進(jìn)行證明；檢查申請(qǐng)人的簡(jiǎn)歷是否完整及準(zhǔn)確；確認(rèn)其聲明的學(xué)歷及職業(yè)資格是否真實(shí)；獨(dú)立的身份檢查（身份證、護(hù)照或其它文件）；檢查是否存在民事糾紛等違法行為。各部門負(fù)責(zé)人可根據(jù)本部門對(duì)上崗員工的特殊要求，提出必要的附加調(diào)查內(nèi)容，并反饋給人力資源部，以便選出合適的人員。對(duì)于高級(jí)管理人員和系統(tǒng)網(wǎng)絡(luò)管理員或其他特別重要和特殊的職位，應(yīng)進(jìn)行深入和細(xì)致的背景調(diào)查，填寫《應(yīng)聘人員背景調(diào)查表》。任用條款和條件公司各部門重要崗位人員需要與人力資源部簽訂《員工保密協(xié)議書》后才能開(kāi)始工作。員工的保密協(xié)議由本公司管理運(yùn)營(yíng)部保存；員工所在的部門根據(jù)業(yè)務(wù)的需要，也可以與員工簽訂專門的保密協(xié)議，此協(xié)議由員工所在部門保存。6、任用中體系教育與培訓(xùn)ISMSISMS本公司體系方針、策略和安全控制措施；本公司管理的所有系統(tǒng)和服務(wù)的安全設(shè)計(jì)和操作；與員工崗位日常工作相關(guān)的安全問(wèn)題與措施；ISMS工的學(xué)習(xí)效果，同時(shí)也作為培訓(xùn)記錄使用。管理運(yùn)營(yíng)部應(yīng)負(fù)責(zé)保存員工的培訓(xùn)相關(guān)記錄。人力資源部及各部門的安全管理員可在不同的層面上對(duì)員工進(jìn)行能力、意識(shí)與技能的培訓(xùn)，并通知管理運(yùn)營(yíng)部更新員工的培訓(xùn)相關(guān)記錄。應(yīng)當(dāng)確定ISMS策略、程序和控制發(fā)生變化后，人力資源部及各部門的推進(jìn)代表要保證及時(shí)將信息傳達(dá)給公司的每位員工。培訓(xùn)計(jì)劃的制定與審批各部門向人力資源部提出培訓(xùn)需求申請(qǐng)；新入職員工培訓(xùn)由人力資源部發(fā)出入職培訓(xùn)通知，具體實(shí)施部門進(jìn)行培訓(xùn)具體操作。人力資源部進(jìn)行培訓(xùn)需求調(diào)查,根據(jù)調(diào)查結(jié)果，根據(jù)公司戰(zhàn)略發(fā)展需要，制定培訓(xùn)計(jì)劃。教育培訓(xùn)計(jì)劃經(jīng)總經(jīng)理批準(zhǔn)后實(shí)施。培訓(xùn)計(jì)劃的內(nèi)容包括培訓(xùn)的目的，培訓(xùn)的對(duì)象、內(nèi)容、需求及要求，培訓(xùn)的形式，培訓(xùn)的時(shí)間安排。培訓(xùn)結(jié)束后，各部門對(duì)接受培訓(xùn)人員進(jìn)行培訓(xùn)考核，填寫培訓(xùn)考核記錄。培訓(xùn)考核后，人力資源部進(jìn)行培訓(xùn)質(zhì)量評(píng)估，參加培訓(xùn)人員每個(gè)人填寫培訓(xùn)考核。人力資源部做培訓(xùn)總結(jié)，提出存在問(wèn)題，由責(zé)任部門提出改進(jìn)方案。培訓(xùn)的目的通過(guò)教育和培訓(xùn)，使員工意識(shí)到：滿足客戶和法律法規(guī)要求的重要性；違反相關(guān)要求所造成的后果；自己從事的活動(dòng)與公司發(fā)展的相關(guān)性；必須勝任新崗位的工作；ISMS培訓(xùn)的對(duì)象及內(nèi)容識(shí)別從事影響ISMS體系的活動(dòng)的人員的能力需求，分別對(duì)新員工、在崗員工、轉(zhuǎn)崗員工、各類專業(yè)人員、特殊工種人員等，根據(jù)他們的崗位責(zé)任制定并實(shí)施培訓(xùn)需求。新員工的基礎(chǔ)教育：包括公司簡(jiǎn)介、公司相關(guān)制度、方針和目標(biāo)、意識(shí)、相關(guān)法律法規(guī)、ISMS體系標(biāo)準(zhǔn)基礎(chǔ)知識(shí)等的培訓(xùn)。在進(jìn)入公司一個(gè)月內(nèi)，由人力資源部組織進(jìn)行；崗位技能培訓(xùn)：采取導(dǎo)師制方式，員工入職后，各部門負(fù)責(zé)人指定專人指導(dǎo)新員工進(jìn)行崗前的學(xué)習(xí)，除了學(xué)習(xí)本職崗位業(yè)務(wù)流程相關(guān)的技能外，還要包括ISMS體系事項(xiàng)的處理及緊急情況的應(yīng)變措施等內(nèi)容。此項(xiàng)培訓(xùn)由各部門自行組織進(jìn)行，并進(jìn)行考核，考核合格后，進(jìn)行轉(zhuǎn)正，如不合格辭退或延期轉(zhuǎn)正。在崗人員：按培訓(xùn)計(jì)劃為在崗員工安排各類培訓(xùn)，包括技能類、素質(zhì)類和管理類以及體系的內(nèi)容等；培訓(xùn)的形式培訓(xùn)：由公司內(nèi)、外部有專長(zhǎng)的人員就某一專題進(jìn)行講授外部培訓(xùn)：由公司聘請(qǐng)外部專業(yè)人員到公司培訓(xùn)或公司員工報(bào)名去外部參加培訓(xùn)。培訓(xùn)記錄每次培訓(xùn)各相關(guān)部門應(yīng)記錄培訓(xùn)人員、時(shí)間、地點(diǎn)、教師、內(nèi)容等，培訓(xùn)后將有關(guān)記錄、試卷或考核記錄等送交管理運(yùn)營(yíng)部，由人力資源部將相關(guān)信息匯總保存。紀(jì)律處理員工如果違反本公司的ISMS體系政策時(shí)，應(yīng)按照有關(guān)規(guī)定處理。部門負(fù)責(zé)人也可按照本公司有關(guān)規(guī)定，對(duì)ISMS體系的執(zhí)行情況在部門內(nèi)進(jìn)行獎(jiǎng)勵(lì)或懲處。7、任用終止或變更終止職責(zé)人力資源部應(yīng)清晰規(guī)定和分配任用終止或變更的責(zé)任。終止職責(zé)應(yīng)包括必要的安全需求和法律職責(zé)，必要時(shí)還需包括保密性協(xié)議規(guī)定的職責(zé)，以及在員工、合同方或第三方聘用期結(jié)束后，持續(xù)一段時(shí)間仍然有效的規(guī)定。規(guī)定職責(zé)和義務(wù)在任用終止后仍然有效的內(nèi)容，應(yīng)當(dāng)在任用前就包含在員工、合同方或第三方的合同中。資產(chǎn)歸還所有的員工、承包方人員和第三方人員在終止任用、合同或協(xié)議時(shí)，必須同時(shí)歸還他們所管理和使用的所有資產(chǎn)，并填寫《員工離職手續(xù)單》。撤銷訪問(wèn)權(quán)所有員工、承包方和第三方人員對(duì)信息和信息處理設(shè)施的訪問(wèn)權(quán)應(yīng)在任用終止時(shí)刪除，或在崗位發(fā)生變化時(shí)進(jìn)行調(diào)整。離職人員所持有的所有設(shè)備、文件或數(shù)據(jù)都必須還歸還給本公司相關(guān)部門或人員，離職人員對(duì)信息的訪問(wèn)權(quán)和對(duì)場(chǎng)所的使用權(quán)限必須及時(shí)注銷或轉(zhuǎn)給指定的接任者。離職人員在部門中的應(yīng)用服務(wù)層面的權(quán)限移除由各部門安全管理員負(fù)責(zé)，ISO體系工作組負(fù)責(zé)監(jiān)督執(zhí)行。資產(chǎn)歸還、訪問(wèn)權(quán)限的撤銷，需要進(jìn)行定期復(fù)查，每半年進(jìn)行一次復(fù)查。后期管理對(duì)于擔(dān)任重要崗位的員工辭職、解聘，公司應(yīng)在一定范圍內(nèi)發(fā)布相關(guān)解聘信息。有關(guān)部門應(yīng)及時(shí)分析員工離職原因、認(rèn)清員工離職前兆，避免核心人員流失。8、記錄《年度培訓(xùn)計(jì)劃》《培訓(xùn)記錄表》《員工保密協(xié)議書》《員工離職手續(xù)單》ISMS-P09信息安全風(fēng)險(xiǎn)評(píng)估管理程序1、目的本程序規(guī)定了本公司信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程。通過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知本公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿足本公司信息安全管理方針的要求。2、范圍本指南適用于信息系統(tǒng)風(fēng)險(xiǎn)的初始評(píng)估與風(fēng)險(xiǎn)處置、變更評(píng)估與變更后的風(fēng)險(xiǎn)處置、定期的風(fēng)險(xiǎn)再評(píng)估與風(fēng)險(xiǎn)處置。3、參考文件ISO/IEC27001:2022《信息安全管理體系要求》ISO/IEC27002:2022《信息技術(shù)網(wǎng)絡(luò)安全與隱私保護(hù)信息安全控制》4、定義資產(chǎn)asset通過(guò)信息化建設(shè)積累起來(lái)的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。資產(chǎn)價(jià)值valueofasset資產(chǎn)是有價(jià)值的，資產(chǎn)價(jià)值可通過(guò)資產(chǎn)的敏感程度、重要程度和關(guān)鍵程度來(lái)表示。威脅threat一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來(lái)刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。脆弱性vulnerability信息資產(chǎn)及其安全措施在安全方面的不足和弱點(diǎn)。脆弱性也常常被稱為漏洞。事件event如果威脅主體能夠產(chǎn)生威脅，利用資產(chǎn)及其安全措施的脆弱性，那么實(shí)際產(chǎn)生危害的情況稱之為事件。風(fēng)險(xiǎn)risk由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。風(fēng)險(xiǎn)由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來(lái)衡量。殘余風(fēng)險(xiǎn)residualrisk采取安全措施對(duì)風(fēng)險(xiǎn)進(jìn)行處理，提高了信息安全保障能力后，仍然可能存在的風(fēng)險(xiǎn)。安全需求securityneed為保證單位的使命能夠正常行使，在信息安全保障措施方面提出的要求。措施countermeasure對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。風(fēng)險(xiǎn)評(píng)估riskassessment通過(guò)一定的步驟和技術(shù)手段來(lái)評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)的過(guò)程，并判斷風(fēng)險(xiǎn)的優(yōu)先級(jí)，建議處理風(fēng)險(xiǎn)的措施。風(fēng)險(xiǎn)評(píng)估也稱為風(fēng)險(xiǎn)分析，是風(fēng)險(xiǎn)管理的一部分。風(fēng)險(xiǎn)處理risktreatment根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果以及信息安全措施的成本，選擇合適的方法來(lái)處理風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理riskmanagement由風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理以及基于風(fēng)險(xiǎn)的決策所組成的完整過(guò)程。5Responsibility風(fēng)險(xiǎn)管理由兩個(gè)部分組成：風(fēng)險(xiǎn)評(píng)估以及基于風(fēng)險(xiǎn)的決策。管理者代表負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組，風(fēng)險(xiǎn)評(píng)估小組成員來(lái)自于各部門內(nèi)審員。風(fēng)險(xiǎn)評(píng)估小組每年至少一次，或當(dāng)企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，全面評(píng)估信息系統(tǒng)的資產(chǎn)、威管理者代表：基于風(fēng)險(xiǎn)評(píng)估的結(jié)果，考察信息安全措施的成本，選擇合適的方法