X企業(yè)信息安全管理手冊(cè)范文

一級(jí)文件文件編號(hào)IT-IT-M-0003版本V1.0保密等級(jí)內(nèi)部使用標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日xxxx有限公司信息安全管理管控手冊(cè)密級(jí)□機(jī)密□保密■內(nèi)部使用□公開信息受控狀態(tài)■受控□非受控2011-12-012011-12-01頒布封面2011-01-01實(shí)施深圳市xxxx有限公司信息中心發(fā)布文件歷史控制記錄文件名稱信息安全管理管控手冊(cè)文件編號(hào)IT-IT-M-0003對(duì)應(yīng)OA文號(hào)版次編制與修訂概要完成日期狀態(tài)角色人員編寫初審會(huì)簽審核批準(zhǔn)前言隨著xxxx有限公司業(yè)務(wù)發(fā)展日益增長，信息交換互連面也隨之增大，信息業(yè)務(wù)系統(tǒng)依賴性擴(kuò)大，所帶來的信息安全風(fēng)險(xiǎn)和信息脆弱點(diǎn)也逐漸呈現(xiàn)，原有信息安全技術(shù)和管理管控手段很難滿足目前和未來信息化安全的需求，為確保xxxx有限公司信息及信息系統(tǒng)的安全，使之免受各種威脅和損害，保證各項(xiàng)信息系統(tǒng)業(yè)務(wù)的連續(xù)性，使信息安全風(fēng)險(xiǎn)最小化，xxxx有限公司每年開展網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估及等級(jí)保護(hù)測評(píng)，定期對(duì)等級(jí)保護(hù)測評(píng)與風(fēng)險(xiǎn)評(píng)估活動(dòng)過程中的風(fēng)險(xiǎn)漏洞進(jìn)行全面整改，分析了信息安全管理管控上的不足與缺陷，編制了差距測評(píng)報(bào)告。通過開展信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)測評(píng)，了解xxxx有限公司信息安全現(xiàn)狀和未來需求，為建立xxxx有限公司信息安全管理管控體系奠定了基礎(chǔ)。2011年7月開展信息安全管理管控體系持續(xù)改進(jìn)建設(shè)，依據(jù)信息安全現(xiàn)狀和未來信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系的標(biāo)準(zhǔn)要求，建立了符合xxxx有限公司信息安全管理管控現(xiàn)狀和管理管控需求的信息安全管理管控體系，該體系覆蓋了GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系的標(biāo)準(zhǔn)要求12個(gè)控制領(lǐng)域、39個(gè)控制目標(biāo)和133個(gè)控制措施。本手冊(cè)是xxxx有限公司信息安全管理管控體系的綱領(lǐng)性文件，由信息中心歸口負(fù)責(zé)解釋。信息安全管理管控手冊(cè)頒布令xxxx有限公司（以下簡稱公司）依據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標(biāo)準(zhǔn)要求，結(jié)合限公司實(shí)際情況，在原有的各項(xiàng)管理管控制度的基礎(chǔ)上編制完成了《xxxx有限公司信息安全管理管控體系手冊(cè)》第一版，現(xiàn)予以批準(zhǔn)實(shí)施。《xxxx有限公司信息安全管理管控體系手冊(cè)》是公司在信息及信息系統(tǒng)安全方面的規(guī)范性文件，手冊(cè)闡述了限公司信息安全服務(wù)方針，信息安全目標(biāo)及信息安全管理管控體系的過程方法和策略，是公司信息安全管理管控體系建設(shè)實(shí)施的綱領(lǐng)和行動(dòng)準(zhǔn)則，是公司開展各項(xiàng)服務(wù)活動(dòng)的基本依據(jù)；是對(duì)社會(huì)各界證實(shí)我公司有能力穩(wěn)定地提供滿足國際標(biāo)準(zhǔn)信息安全要求以及客戶和法律法規(guī)相關(guān)要求的有效證據(jù)。適合公司信息化目前發(fā)展趨勢需求，且合適的內(nèi)容充分、表達(dá)準(zhǔn)確，現(xiàn)予頒布。本手冊(cè)定于2011年8月1日起實(shí)施，屬強(qiáng)制性文件，要求各部門所有人員必須正確理解并嚴(yán)格貫徹全面執(zhí)行。xxxx有限公司總經(jīng)理簽名：日期：2011年01月01日公司介紹企業(yè)簡介xxxx有限公司（以下簡稱xxxx）始創(chuàng)于2002年4月，大致經(jīng)過三個(gè)發(fā)展階段：第一階段，2002年—2004年，為創(chuàng)業(yè)期，全力開拓市場，實(shí)現(xiàn)在競爭激烈的行業(yè)中立足；第二階段，2004—2006年，為整合期，整合一切有效資源，重力推出新產(chǎn)品，奠定以優(yōu)質(zhì)產(chǎn)品占據(jù)市場的方向，梳理并確立了經(jīng)營理念、發(fā)展愿景、經(jīng)營方針，完成了股份制改革；第三階段，2006—至今，為蛻變期，立足電氣傳動(dòng)、工業(yè)控制領(lǐng)域，為全球用戶提供專業(yè)化產(chǎn)品和服務(wù)，于2010年在深交所A股上市，股票代碼：002334，步入不斷提升企業(yè)核心競爭力，并實(shí)現(xiàn)飛躍的階段。目前xxxx設(shè)有國內(nèi)辦事處30多個(gè)，海外辦事處2個(gè)，擁有海內(nèi)外經(jīng)銷合作伙伴上百家，用戶遍布全球50多個(gè)國家和地區(qū)。xxxx是國家級(jí)高新技術(shù)企業(yè)，擁有深圳市唯一的“變頻器工程技術(shù)研究開發(fā)中心”。在吸收國外先進(jìn)技術(shù)的基礎(chǔ)上，結(jié)合近十年變頻推廣應(yīng)用經(jīng)驗(yàn)和當(dāng)今電力電子最新控制技術(shù)，研制出高、中、低壓通用及各行業(yè)專用變頻器、交流伺服系統(tǒng)、制動(dòng)單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機(jī)械、化工、冶金、紡織、印刷、機(jī)床、礦山等行業(yè)廣泛應(yīng)用。xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓660V/1140V系列、高壓CHH（3KV/6KV/10KV）系列等，功率范圍涵蓋0.4～8000kW，滿足不同行業(yè)不同場合的各種變頻控制應(yīng)用需求。成熟矢量控制技術(shù)、各行業(yè)專用變頻控制技術(shù)的掌握以及國際領(lǐng)先四象限控制技術(shù)的突破使xxxx的發(fā)展持續(xù)領(lǐng)先，成為中國變頻器行業(yè)的領(lǐng)導(dǎo)者。高性能交流伺服系統(tǒng)的開發(fā)與成功應(yīng)用標(biāo)志著xxxx向運(yùn)動(dòng)控制領(lǐng)域的拓展與延伸。xxxx在“眾誠德厚、業(yè)精志遠(yuǎn)”的經(jīng)營理念指導(dǎo)下，堅(jiān)持在不斷創(chuàng)新、精益求精中與包括員工、股東、供應(yīng)商、客戶等廣大合作伙伴共同發(fā)展，公司的自主創(chuàng)新及品牌美譽(yù)度在行業(yè)中已經(jīng)占有重要地位，并得到社會(huì)的廣泛認(rèn)同。企業(yè)文化經(jīng)營理念：眾誠德厚業(yè)精志遠(yuǎn)愿景：成為全球領(lǐng)先、受人尊敬的電氣傳動(dòng)、工業(yè)控制領(lǐng)域的產(chǎn)品和服務(wù)供應(yīng)商。使命：竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶更有競爭力。經(jīng)營方針：創(chuàng)新品質(zhì)標(biāo)準(zhǔn)化共同發(fā)展核心價(jià)值觀：眾誠德厚拼搏創(chuàng)新人才理念：人才是企業(yè)第一資本尊重人才，經(jīng)營人才質(zhì)量方針：提供不斷優(yōu)化的產(chǎn)品和服務(wù)，提高客戶滿意度。企業(yè)標(biāo)識(shí)：標(biāo)識(shí)釋義：xxxx企業(yè)標(biāo)徽有兩種色彩：xxxx紅（M100Y80）、xxxx藍(lán)（C100M80K40），紅色體現(xiàn)進(jìn)取和活力，藍(lán)色象征包容和專注的鉆研精神。字體設(shè)計(jì)簡潔、凝聚、渾厚、擴(kuò)張，傳達(dá)xxxx通過與合作伙伴和員工的合力凝聚堅(jiān)固產(chǎn)品品質(zhì)，厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思想。“INVT”是變頻器（inverter），也是創(chuàng)新（innovation）和美德（virtue）的結(jié)合，是xxxx核心價(jià)值觀“眾誠德厚，拼搏創(chuàng)新”的標(biāo)識(shí)承載；首字母“i”色彩紅藍(lán)結(jié)合，強(qiáng)調(diào)xxxx企業(yè)——個(gè)人與團(tuán)隊(duì)、個(gè)人與公司、xxxx與客戶、供應(yīng)商的相互信賴，共同發(fā)展；紅色圓點(diǎn)是旭日也是星球，藍(lán)色體現(xiàn)企業(yè)所在地域——濱海城市深圳，體現(xiàn)xxxx電氣立足本土，致力于成為全球領(lǐng)先、受人尊敬的電氣傳動(dòng)、工業(yè)控制領(lǐng)域產(chǎn)品/服務(wù)供應(yīng)商的遠(yuǎn)景目標(biāo)。信息安全管理管控目標(biāo)根據(jù)國家信息安全等級(jí)保護(hù)要求、公司下達(dá)的目標(biāo)與指標(biāo)、公司信息化發(fā)展戰(zhàn)略目標(biāo)、信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果、信息用戶的滿意度，結(jié)合公司實(shí)現(xiàn)目標(biāo)所需的資源，識(shí)別公司的信息安全目標(biāo)與指標(biāo)。公司每年年底制定下一年度的信息安全目標(biāo)與指標(biāo)，公司制定完成信息安全目標(biāo)與指標(biāo)的工作相關(guān)計(jì)劃，將目標(biāo)、指標(biāo)的層層分解，并落實(shí)完成。下列是詳細(xì)的信息安全目標(biāo)：目標(biāo)類別目標(biāo)項(xiàng)目標(biāo)值目標(biāo)換算方法統(tǒng)計(jì)周期信息安全目標(biāo)不可接受風(fēng)險(xiǎn)處理率100%（不可接受風(fēng)險(xiǎn)數(shù)處理數(shù)/不可受風(fēng)險(xiǎn)總數(shù)）×100%年機(jī)密信息泄密事件0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年秘密信息泄密事件0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年特別重大突發(fā)事件（Ⅰ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年重大突發(fā)事件（Ⅱ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年較大突發(fā)事件（Ⅲ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年一般突發(fā)事件（Ⅳ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年內(nèi)部審核及管理管控評(píng)審實(shí)施及時(shí)率100%按相關(guān)計(jì)劃實(shí)施年員工入職培訓(xùn)完成率100%（入職員工參訓(xùn)人數(shù)/入職員工總數(shù)）×100%年信息安全培訓(xùn)相關(guān)計(jì)劃完成率100%（實(shí)際培訓(xùn)次數(shù)/相關(guān)計(jì)劃培訓(xùn)次數(shù)）×100%年信息安全運(yùn)行指標(biāo)大面積感染計(jì)算機(jī)病毒次數(shù)0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)中斷次數(shù)0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年員工保密協(xié)議簽訂率100%（實(shí)際簽訂人數(shù)/入職總?cè)藬?shù)）×100%年重要信息備份及時(shí)率100%（實(shí)際備份數(shù)/相關(guān)計(jì)劃備份數(shù)）×100%年內(nèi)部審核不符合項(xiàng)整改率≥90%（不符合項(xiàng)整改完成數(shù)/不符合項(xiàng)總數(shù)）×100%年計(jì)算機(jī)故障處理完成率100%（實(shí)際處理數(shù)/故障總數(shù)）×100%年容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)≤3按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年計(jì)算機(jī)口令強(qiáng)度符合率100%（帳號(hào)符合數(shù)/帳號(hào)總數(shù)）×100%年注：公司的信息安全目標(biāo)不限此，可根據(jù)各部門的實(shí)際業(yè)務(wù)進(jìn)行調(diào)整或分解。信息安全會(huì)議信息安全會(huì)議要求公司應(yīng)在每年一次的信息化工作會(huì)議上，總結(jié)匯報(bào)本年度的信息安全工作情況。公司應(yīng)在每季度召開的計(jì)算機(jī)管理管控會(huì)議中，總結(jié)本季度的信息安全工作情況。公司信息中心應(yīng)在每月召開的信息管理管控工作例會(huì)中，總結(jié)本月的信息安全工作情況。公司應(yīng)根據(jù)風(fēng)險(xiǎn)變化的需要或在重大活動(dòng)期間，不定期召開信息安全專題會(huì)。信息安全會(huì)議記錄管理管控公司應(yīng)及時(shí)制定相關(guān)的信息安全管理管控文件、信息安全數(shù)據(jù)與記錄。信息安全管理管控?cái)?shù)據(jù)與記錄包括：信息安全會(huì)議紀(jì)要信息安全事故調(diào)查報(bào)告信息安全事件整改報(bào)告信息安全檢查整改合適的方案信息安全審計(jì)記錄技術(shù)檔案資料培訓(xùn)記錄信息安全作業(yè)活動(dòng)數(shù)據(jù)與記錄信息安全事件通報(bào)、整改活動(dòng)信息安全檢查活動(dòng)應(yīng)急演練活動(dòng)信息系統(tǒng)定級(jí)備案活動(dòng)信息安全審計(jì)活動(dòng)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)數(shù)據(jù)與記錄要求：真實(shí)、完整、齊全、準(zhǔn)確、及時(shí)。信息文件的管理管控根據(jù)精簡、高效的原則，制定公司信息安全工作和管理管控流程，包括：信息安全管理管控流程信息安全事件處理流程信息安全應(yīng)急流程其它相關(guān)流程每年回顧流程的效率，必要時(shí)修訂、增加或廢除不必要的流程或環(huán)節(jié)。信息安全管理管控流程和信息安全事件處理流程納入信息安全管理管控體系中管理管控信息安全應(yīng)急流程納入《xxxx有限公司網(wǎng)絡(luò)與信息安全專項(xiàng)應(yīng)急預(yù)案》中管理管控。根據(jù)管理管控變化、技術(shù)變化，公司定期修訂如下：更新管理管控手冊(cè)、程序文件、作業(yè)指導(dǎo)書或管理管控制度、辦法；更新培訓(xùn)要求；更新應(yīng)急處置程序；對(duì)涉及到的所有信息安全風(fēng)險(xiǎn)進(jìn)行回顧分析；變化管理管控需文件化，并保存變化過程的相關(guān)記錄。編號(hào)：時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第頁信息安全管理管控體系總則為了加強(qiáng)xxxx有限公司（以下簡稱“xxxx有限公司或公司”）信息安全管理管控工作，保護(hù)信息系統(tǒng)的安全，促進(jìn)信息系統(tǒng)的應(yīng)用和發(fā)展，根據(jù)國家有關(guān)法律法規(guī)，以及變頻器行業(yè)的管理管控規(guī)范、行業(yè)標(biāo)準(zhǔn)，并遵照公司信息系統(tǒng)安全的有關(guān)規(guī)定，特制定本手冊(cè)。信息系統(tǒng)的安全保護(hù)范圍包括各信息系統(tǒng)相關(guān)的和配套的軟件、硬件、信息、網(wǎng)絡(luò)和運(yùn)行環(huán)境的安全。xxxx有限公司信息系統(tǒng)安全管理管控應(yīng)遵循“統(tǒng)一規(guī)劃、預(yù)防為主、集中管理管控、分層保護(hù)、明確責(zé)任”的原則。xxxx有限公司運(yùn)行中的信息系統(tǒng)是支撐生產(chǎn)的運(yùn)行設(shè)備，各級(jí)安全生產(chǎn)責(zé)任人對(duì)其職責(zé)范圍內(nèi)的信息系統(tǒng)安全運(yùn)行負(fù)有安全管理管控責(zé)任。任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其他公民權(quán)益的活動(dòng)，不得從事危害xxxx有限公司信息系統(tǒng)安全的活動(dòng)。本手冊(cè)適用于公司本部、各基層單位的信息系統(tǒng)的安全保護(hù)工作。公司多經(jīng)企業(yè)參照?qǐng)?zhí)行。規(guī)范性引用標(biāo)準(zhǔn)《信息安全等級(jí)保護(hù)管理管控辦法》（公通字[2007]43號(hào)）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2008）《信息安全技術(shù)信息安全管理管控實(shí)用規(guī)則》（GB/T22081-2008）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）國家相關(guān)法律、法規(guī)及合同合約的要求。術(shù)語與定義資產(chǎn)asset任何對(duì)組織有價(jià)值的東西?？捎眯詀vailability根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性。保密性confidentiality信息不能被未授權(quán)的個(gè)人、實(shí)體或者過程利用或知悉的特性。信息安全informationsecurity保證信息的保密性、完整性、可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性。信息安全事態(tài)informationsecurityevent信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。信息安全事件informationsecurityincident一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。信息安全管理管控體系informationsecuritymanagementsystem是整個(gè)管理管控體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注：管理管控體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。完整性integrity保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。殘余風(fēng)險(xiǎn)residualrisk經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)接受riskacceptance接受風(fēng)險(xiǎn)的決定。風(fēng)險(xiǎn)分析riskanalysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估riskassessment風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。風(fēng)險(xiǎn)評(píng)價(jià)riskevaluation將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程。風(fēng)險(xiǎn)管理管控riskmanagement指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。風(fēng)險(xiǎn)處理risktreatment選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。注：在本標(biāo)準(zhǔn)中，術(shù)語“控制措施”被用作“措施”的同義詞。適用性聲明statementofapplicability描述與組織的信息安全管理管控體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。信息系統(tǒng)是指由計(jì)算機(jī)及其相關(guān)配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)，包括管理管控信息系統(tǒng)和生產(chǎn)控制系統(tǒng)。信息安全保持信息的保密性、完整性和可用性，另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等。信息系統(tǒng)運(yùn)行單位是指信息系統(tǒng)資產(chǎn)歸屬單位，對(duì)于托管的信息系統(tǒng)有另行約定的除外。信息安全工作人員是指包括信息安全管理管控人員、信息安全技術(shù)人員（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關(guān)設(shè)備的管理管控員）和信息安全審計(jì)員。信息工作人員是指與關(guān)鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設(shè)與經(jīng)營、管理管控等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)）直接相關(guān)的系統(tǒng)管理管控人員、網(wǎng)絡(luò)管理管控人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)操作人員等。第三方是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商以及其它外協(xié)單位。第三方人員是指包括軟件開發(fā)商出、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商及其它外協(xié)服務(wù)單位的工作人員，以及實(shí)習(xí)學(xué)生和其他臨時(shí)工作人員。信息資產(chǎn)是指公司在生產(chǎn)、經(jīng)營和管理管控過程中，所需要的以及所產(chǎn)生的，用以支持（或指導(dǎo)、或影響）公司生產(chǎn)、經(jīng)營和管理管控的一切有用的數(shù)據(jù)和資料等非財(cái)務(wù)的無形資產(chǎn)，其范圍包括現(xiàn)在的和歷史的。信息系統(tǒng)運(yùn)行維護(hù)單位是指與信息系統(tǒng)運(yùn)行單位簽訂維護(hù)合同合約的專業(yè)服務(wù)提供商。信息安全等級(jí)保護(hù)是指根據(jù)國家信息安全等級(jí)保護(hù)相關(guān)管理管控文件，確定信息系統(tǒng)的安全保護(hù)等級(jí)，并開展相應(yīng)的信息系統(tǒng)安全等級(jí)保護(hù)工作。信息安全評(píng)估是指，按照《管理管控辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，開展信息系統(tǒng)安全等級(jí)保護(hù)的自查自糾、差距評(píng)測、安全整改等續(xù)工作。安全風(fēng)險(xiǎn)管理管控是指采用風(fēng)險(xiǎn)管理管控的理念與方法來識(shí)別、評(píng)估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制措施，并將風(fēng)險(xiǎn)降低到可接受的程度，安全風(fēng)險(xiǎn)管理管控包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制。注：基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同合約義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求，制定控制目標(biāo)和控制措施。標(biāo)準(zhǔn)縮寫ISMS：信息安全管理管控體系（InformationSecurityManagementSystems）；SoA：適用性聲明（StatementofApplicability）；PDCA：建立、實(shí)施和運(yùn)行、監(jiān)視和評(píng)審、保持和改進(jìn)（Plan、Do、Check、Act）。信息安全管理管控體系總要求根據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系要求標(biāo)準(zhǔn)在整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理管控體系。ISMS所涉及的過程基于以下PDCA模式：建立建立ISMS保持和改進(jìn)ISMS實(shí)施和運(yùn)作ISMS監(jiān)控&評(píng)審ISMS相關(guān)方已被管理管控的信息安全相關(guān)方信息安全要求&期望、法律法規(guī)策劃（D）措施實(shí)施檢查圖4-1PDCA模型規(guī)劃（建立ISMS）建立與管理管控風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織總方針和總目標(biāo)相一致的結(jié)果。實(shí)施（實(shí)施和運(yùn)行ISMS）實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序。檢查（監(jiān)視和評(píng)審ISMS）對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理管控者以供評(píng)審。處置（保持和改進(jìn)ISMS）基于ISMS內(nèi)部審核和管理管控評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。本手冊(cè)中提出的用于信息安全管理管控的過程方法鼓勵(lì)其用戶強(qiáng)調(diào)以下方面的重要性：理解xxxx有限公司的信息安全要求和建立信息安全方針與目標(biāo)的需要；從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，以管理管控xxxx有限公司的信息安全風(fēng)險(xiǎn)；監(jiān)視和評(píng)審ISMS的執(zhí)行情況和有效性；基于客觀測量的持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用了“規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）”（PDCA）模型，該模型可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動(dòng)和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖4-1描述了4、5、6、7和8章所提出的過程間的聯(lián)系。采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002版）中所設(shè)置的原則。本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、安全管理管控和再評(píng)估的原則提供了一個(gè)強(qiáng)健的模型。ISMS的建立、實(shí)施和運(yùn)作、監(jiān)督和評(píng)審、保持和改進(jìn)建立ISMSxxxx有限公司ISMS的范圍和邊界根據(jù)業(yè)務(wù)、組織、資產(chǎn)、位置等方面的特性，確定ISMS的范圍和邊界。xxxx有限公司信息安全管理管控體系的范圍和邊界包括：業(yè)務(wù)邊界：xxxx有限公司為開展供電業(yè)務(wù)，在管理管控信息大區(qū)范圍內(nèi)實(shí)施的信息安全管理管控。組織邊界：xxxx有限公司信息中心；資產(chǎn)邊界：xxxx有限公司負(fù)責(zé)管理管控的信息資產(chǎn)；物理邊界：廣東省廣州市天河區(qū)天南二路239號(hào)和梅花路機(jī)房確定xxxx有限公司ISMS方針應(yīng)滿足以下要求確保為ISMS方針建立一個(gè)框架并為信息安全實(shí)施和運(yùn)作、監(jiān)督和評(píng)審、保持和改進(jìn)的活動(dòng)建立系統(tǒng)的方向與原則；確定業(yè)務(wù)發(fā)展、法律法規(guī)要求及其它相關(guān)方合同合約涉及的信息安全要求；在組織的戰(zhàn)略和風(fēng)險(xiǎn)管理管控下，建立和保持ISMS；建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則和機(jī)團(tuán)隊(duì)；獲得信息安全領(lǐng)導(dǎo)小組批準(zhǔn)。風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法xxxx有限公司信息中心負(fù)責(zé)建立信息安全風(fēng)險(xiǎn)評(píng)估控制程序并組織實(shí)施。風(fēng)險(xiǎn)評(píng)估控制程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平，所選擇的評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險(xiǎn)評(píng)估過程控制執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估程序》，以下是風(fēng)險(xiǎn)評(píng)估流程圖；確定確定ISMS范圍資產(chǎn)識(shí)別與重要信息資產(chǎn)確定威脅識(shí)別與評(píng)價(jià)已有控制措施確認(rèn)薄弱點(diǎn)識(shí)別與評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估（測量）是否接受保持已有的控制措施施施選擇安全目標(biāo)及控制措施實(shí)施殘余風(fēng)險(xiǎn)評(píng)審YESNO風(fēng)險(xiǎn)評(píng)估流程圖風(fēng)險(xiǎn)識(shí)別在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、服務(wù)、人力資源。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成《重要信息資產(chǎn)清單》。評(píng)估風(fēng)險(xiǎn)針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考《信息安全威脅列表》及以往的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出所有重要信息資產(chǎn)所面臨的威脅；針對(duì)每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考《信息安全薄弱點(diǎn)列表》識(shí)別出可能被該威脅利用的薄弱點(diǎn)；綜合考慮以上2點(diǎn)，按照《威脅發(fā)生可能性等級(jí)表》中的判定準(zhǔn)則對(duì)每一個(gè)威脅發(fā)生的可能性進(jìn)行賦值；根據(jù)《威脅影響程度判斷準(zhǔn)則》，判斷一個(gè)威脅發(fā)生后對(duì)信息資產(chǎn)在保密性(C)、完整性(I)和可用性(A)方面的損害及對(duì)公司業(yè)務(wù)的威脅影響程度，對(duì)其威脅影響程度進(jìn)行賦值；進(jìn)行風(fēng)險(xiǎn)大小計(jì)算時(shí)，考慮威脅產(chǎn)生安全故障的可能性及其所造成影響程度兩者的結(jié)合，根據(jù)風(fēng)險(xiǎn)計(jì)算公式來計(jì)算風(fēng)險(xiǎn)等級(jí)；對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定風(fēng)險(xiǎn)接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià)xxxx有限公司信息中心組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，該相關(guān)計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧翰捎眠m當(dāng)?shù)膬?nèi)部控制措施；接受某些風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；規(guī)避某些風(fēng)險(xiǎn)（如物理隔離）；轉(zhuǎn)移某些風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司、供應(yīng)方）。選擇控制目標(biāo)與控制措施信息中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門。信息安全目標(biāo)應(yīng)獲得信息安全領(lǐng)導(dǎo)小組的批準(zhǔn)?？刂颇繕?biāo)及控制措施的選擇原則來源于GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系要求標(biāo)準(zhǔn)附錄A，具體控制措施可以參考GB/T22081-2008/ISO/IEC27002:2005《信息技術(shù)—安全技術(shù)—信息安全管理管控實(shí)施細(xì)則》。xxxx有限公司根據(jù)信息安全管理管控的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。適用性聲明信息中心負(fù)責(zé)《信息安全管理管控體系適用性聲明》（SoA）編制，由信息中心歸口管理管控。該聲明包括以下方面的合適的內(nèi)容：所選擇控制目標(biāo)與控制措施的概要描述；當(dāng)前已經(jīng)實(shí)施的控制；對(duì)GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系要求附錄A中未選用的控制目標(biāo)及控制措施的說明。注：該聲明的詳細(xì)合適的內(nèi)容見《信息安全管理管控體系適用性聲明》。ISMS實(shí)施及運(yùn)行ISMS崗位職責(zé)和權(quán)限信息安全領(lǐng)導(dǎo)小組組長為公司信息安全最高管理管控者。領(lǐng)導(dǎo)小組主要職責(zé)：國家有關(guān)信息安全的政策、法律和法規(guī)，以及南方電網(wǎng)公司和公司的統(tǒng)一部署要求，審查、批準(zhǔn)xxxx有限公司信息安全策略、管理管控規(guī)范和技術(shù)標(biāo)準(zhǔn)；部署信息安全總體工作，審定信息安全投資策略，建立工作考評(píng)機(jī)制；指導(dǎo)信息安全保障體系建設(shè)和應(yīng)急管理管控。信息安全工作小組主要職責(zé)：根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、落實(shí)；貫徹執(zhí)行信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)、督促各部門、各單位的信息安全工作；制訂信息安全策略和投資策略，組織對(duì)信息安全工作制度和技術(shù)操作策略的審查，并監(jiān)督執(zhí)行；接受各單位的緊急信息安全事件報(bào)告，組織信息安全應(yīng)急處置工作，并開展事件調(diào)查、分析原因、涉及范圍和評(píng)估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；及時(shí)向信息安全領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門、單位報(bào)告信息安全事件；跟進(jìn)先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。信息安全管理管控體系的管理管控者代表對(duì)公司信息安全負(fù)有以下職責(zé)：建立并實(shí)施信息安全管理管控體系必要的程序并維持其有效運(yùn)行；對(duì)信息安全管理管控體系的運(yùn)行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理管控者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；各部門應(yīng)按照《信息安全管理管控體系適用性聲明》中選擇的控制目標(biāo)與目標(biāo)的控制措施，確保ISMS有效實(shí)施與運(yùn)行，并開展以下活動(dòng)：確保信息安全風(fēng)險(xiǎn)的有效管理管控，制定《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，以便明確管理管控措施、所需資源、工作職責(zé)及識(shí)別活動(dòng)的優(yōu)先順序；保證已識(shí)別的控制目標(biāo)實(shí)施《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》；確保處理風(fēng)險(xiǎn)所選擇的控制措施，以滿足控制目標(biāo)；確保所選控制措施有效測量；制定《信息安全培訓(xùn)相關(guān)計(jì)劃》并加以實(shí)施，提高全員信息安全意識(shí)和能力；管理管控ISMS的運(yùn)行；管理管控ISMS的資源；制定信息安全事件或事故的程序控制措施，以便迅速的檢測安全事件與安全事故的響應(yīng)。ISMS的監(jiān)督檢查與評(píng)審?fù)ㄟ^實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查（如日志審核）等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患；及時(shí)了解信息處理系統(tǒng)遭受的各類攻擊；使管理管控者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采取的措施；積累信息安全方面的經(jīng)驗(yàn)。根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由信息安全工作小組組長主持，定期（每年至少一次）對(duì)ISMS的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。管理管控評(píng)審的具體要求，見本手冊(cè)第7章。信息中心應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理管控程序》的要求對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：組織機(jī)構(gòu)發(fā)生重大變更時(shí)；信息處理技術(shù)發(fā)生重大變更時(shí)；xxxx有限公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更時(shí)；發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅時(shí)；外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更時(shí)。保持上述活動(dòng)和措施的記錄。ISMS保持與改進(jìn)xxxx有限公司開展以下活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：實(shí)施每年安全檢查、內(nèi)部審核、管理管控評(píng)審等活動(dòng)以確定需改進(jìn)的相關(guān)項(xiàng)目；按照《內(nèi)部審核管理管控程序》、《糾正與預(yù)防措施控制程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及xxxx有限公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)現(xiàn)有安全措施。對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾砉芸?，確保改進(jìn)達(dá)到預(yù)期的效果。為了確保信息安全管理管控體系的持續(xù)有效，各級(jí)管理管控者應(yīng)通過適當(dāng)?shù)氖侄螌?duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的交流與溝通。與外部信息安全專家、信息安全機(jī)構(gòu)、政府行政主管部門、電信運(yùn)營商等組織保持聯(lián)系。與外部專家、服務(wù)商等外部機(jī)構(gòu)的聯(lián)系方式見《對(duì)外聯(lián)系表》。文件要求總則根據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標(biāo)準(zhǔn)要求并結(jié)合xxxx有限公司實(shí)際情況建立xxxx有限公司信息安全管理管控體系文件結(jié)構(gòu)，體系文件分為四級(jí)，分別為一級(jí)文件、二級(jí)文件、三級(jí)文件及四級(jí)記錄性文件。一級(jí)文件為信息安全管理管控體系手冊(cè)（包含信息安全方針、目標(biāo)）和適用性聲明等；二級(jí)文件為信息安全管理管控體系建立實(shí)施的相關(guān)程序文件；三級(jí)文件為信息安全管理管控體系建立實(shí)施的相關(guān)制度、辦法和規(guī)程等；四級(jí)文件為信息安全管理管控體系實(shí)施運(yùn)行過程中的記錄類文件。文件控制為確保文件的修訂得到控制，使用現(xiàn)場得到有效版本的文件，防止作廢文件的非預(yù)期使用，在《文件控制程序》中明確規(guī)定了文件的編制、評(píng)審、批準(zhǔn)、發(fā)放、使用、更改、再次批準(zhǔn)、標(biāo)識(shí)、回收、作廢和保存期限等管理管控。注：以上程序詳細(xì)合適的內(nèi)容見《文件控制程序》。記錄控制為提供有效的信息安全管理管控體系運(yùn)行的符合性證據(jù)，并具有追溯、證實(shí)和依據(jù)記錄采取糾正和預(yù)防措施的作用，在《記錄控制程序》中明確規(guī)定了記錄的填寫要求、標(biāo)識(shí)、收集、儲(chǔ)存、檢索、防護(hù)、保存期限和處理所需的控制。注：以上程序詳細(xì)合適的內(nèi)容見《記錄控制程序》。管理管控職責(zé)管理管控承諾信息安全領(lǐng)導(dǎo)小組承諾按GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標(biāo)準(zhǔn)要求建立、實(shí)施、運(yùn)行、監(jiān)視和評(píng)審，并通過持續(xù)保持和改進(jìn)，使體系不斷發(fā)展和完善。通過以下活動(dòng)，確保上述承諾得以實(shí)現(xiàn)：制定ISMS方針：制定ISMS目標(biāo)和實(shí)施相關(guān)計(jì)劃；建立信息安全組織機(jī)構(gòu)并明確職責(zé)；通過適當(dāng)?shù)臏贤ǚ绞?，利用多種方式向全體員工傳達(dá)并使他們認(rèn)識(shí)到滿足信息安全目標(biāo)、符合信息安全方針以及法律、法規(guī)要求，持續(xù)改進(jìn)信息安全的重要性；提供適當(dāng)?shù)馁Y源以滿足信息安全管理管控體系建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)的需要；對(duì)可接受風(fēng)險(xiǎn)的等級(jí)進(jìn)行判斷；組織實(shí)施ISMS內(nèi)部審核；組織實(shí)施ISMS管理管控評(píng)審。資源管理管控資源提供確保并提供實(shí)施、保持信息安全管理管控體系所需資源，并采取適當(dāng)措施，以保證：建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS；確保信息安全管理管控程序符合業(yè)務(wù)支持流程要求；識(shí)別和滿足法規(guī)要求以及合同合約中的安全義務(wù)；通過正確實(shí)施所有的控制措施保持適當(dāng)?shù)男畔踩槐匾獣r(shí)，應(yīng)對(duì)資源提供進(jìn)行評(píng)審，并按評(píng)審結(jié)果執(zhí)行；在需要時(shí)，改進(jìn)ISMS資源的有效性。能力、意識(shí)和培訓(xùn)為提高全員信息安全的意識(shí)，確保相關(guān)人員履行信息安全職責(zé)所需的能力，應(yīng)采取并實(shí)施以下的管理管控活動(dòng)：確保與ISMS有關(guān)工作人員具備必要的信息安全能力；實(shí)施信息安全意識(shí)和能力的教育及培訓(xùn)并評(píng)價(jià)其培訓(xùn)的有效性；通過宣傳和其他活動(dòng)使員工普遍認(rèn)識(shí)到信息安全職責(zé)的重要性，為實(shí)現(xiàn)信息安全目標(biāo)做出各自的貢獻(xiàn)；保持教育、培訓(xùn)、技能、經(jīng)歷和資格或其他活動(dòng)的記錄；注：以上程序詳細(xì)合適的內(nèi)容見《教育培訓(xùn)控制程序》安全職責(zé)信息安全管理管控組織機(jī)構(gòu)和人員職責(zé)xxxx有限公司信息安全管理管控機(jī)構(gòu)有xxxx有限公司信息安全領(lǐng)導(dǎo)小組和xxxx有限公司信息安全工作小組，并配置相應(yīng)的信息安全工作人員，包括信息安全管理管控人員、信息安全技術(shù)人員、信息安全審計(jì)員。xxxx有限公司信息安全領(lǐng)導(dǎo)小組xxxx有限公司成立信息安全領(lǐng)導(dǎo)小組。xxxx有限公司信息安全領(lǐng)導(dǎo)小組是公司信息安全的最高決策機(jī)構(gòu)。xxxx有限公司信息安全領(lǐng)導(dǎo)小組組長由分管生產(chǎn)安全的公司領(lǐng)導(dǎo)擔(dān)任。信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下：對(duì)公司信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)公司信息安全總體策略規(guī)劃、管理管控規(guī)范和技術(shù)標(biāo)準(zhǔn)。確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)信息安全工作小組（包括管理管控信息系統(tǒng)信息安全工作小組和生產(chǎn)控制系統(tǒng)信息安全工作小組）和應(yīng)急處理工作小組，并負(fù)責(zé)指導(dǎo)兩個(gè)工作組的工作。xxxx有限公司信息安全工作小組xxxx有限公司信息安全工作組隸屬xxxx有限公司信息安全領(lǐng)導(dǎo)小組，是領(lǐng)導(dǎo)小組決策的執(zhí)行機(jī)構(gòu)，工作組的日常工作由xxxx有限公司信息中心承擔(dān)。xxxx有限公司信息安全工作組組長由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。xxxx有限公司信息安全工作組主要職責(zé)如下：貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作；根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、落實(shí)；組織對(duì)重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對(duì)策；負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析原因、涉及范圍，并評(píng)估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；及時(shí)向信息安全工作領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門、單位報(bào)告信息安全事件。跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。xxxx有限公司應(yīng)急處理工作小組xxxx有限公司應(yīng)急處理工作小組組長由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。xxxx有限公司應(yīng)急處理工作小組主要職責(zé)如下：審定公司信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案。決定相應(yīng)應(yīng)急預(yù)案的啟動(dòng)，負(fù)責(zé)現(xiàn)場指揮，并組織相關(guān)人員排除故障，恢復(fù)系統(tǒng)。每年組織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測試和演練。應(yīng)對(duì)公司內(nèi)發(fā)生的大規(guī)模信息安全事件，協(xié)調(diào)指揮事故處理以及事故后系統(tǒng)恢復(fù)工作。xxxx有限公司信息中心xxxx有限公司信息中心是xxxx有限公司信息安全小組領(lǐng)導(dǎo)下的信息系統(tǒng)安全的職能和技術(shù)歸口管理管控部門，并直接負(fù)責(zé)管理管控信息系統(tǒng)的安全管理管控和技術(shù)監(jiān)督工作，其職責(zé)主要包括：組織制定xxxx有限公司信息安全保護(hù)工作的總體目標(biāo)和總體策略。并且根據(jù)信息系統(tǒng)管理管控要求、運(yùn)行環(huán)境的變化，以及系統(tǒng)本身的變化，及時(shí)更新信息安全保護(hù)工作的總體目標(biāo)、策略、規(guī)劃、技術(shù)標(biāo)準(zhǔn)和管理管控制度。不斷提高信息安全管理管控的技術(shù)水平和管理管控手段。組織開展xxxx有限公司的信息安全等級(jí)保護(hù)工作，并進(jìn)行xxxx有限公司信息安全評(píng)估和風(fēng)險(xiǎn)管理管控工作，組織編寫信息安全保護(hù)工作的總體技術(shù)規(guī)范、管理管控制度、技術(shù)合適的方案和實(shí)施相關(guān)計(jì)劃，并負(fù)責(zé)組織實(shí)施。負(fù)責(zé)接受各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析原因、涉及范圍，并評(píng)估安全事件的嚴(yán)重程度，提出信息安全事件防范措施；跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。監(jiān)督指導(dǎo)各管理管控信息系統(tǒng)的開發(fā)建設(shè)人員、運(yùn)行人員、維護(hù)人員、業(yè)務(wù)使用人員執(zhí)行信息系統(tǒng)安全保護(hù)的技術(shù)標(biāo)準(zhǔn)和管理管控制度。組織對(duì)信息安全事故的調(diào)查取證工作，對(duì)其中涉及違紀(jì)違法、嚴(yán)重違規(guī)的事故配合人力資源部進(jìn)行調(diào)查，并提出處理意見。負(fù)責(zé)監(jiān)督管理管控?cái)?shù)據(jù)中心及公司本部網(wǎng)絡(luò)、設(shè)備、運(yùn)行環(huán)境，以及集中管理管控的信息系統(tǒng)的安全保護(hù)工作。完成其他上級(jí)信息安全管理管控機(jī)構(gòu)交辦的信息管理管控系統(tǒng)安全防護(hù)工作。各級(jí)安全責(zé)任人各級(jí)安全生產(chǎn)責(zé)任人是其職責(zé)范圍內(nèi)的信息系統(tǒng)安全運(yùn)行管理管控的責(zé)任人。各級(jí)安全生產(chǎn)責(zé)任人職責(zé)：負(fù)責(zé)監(jiān)督執(zhí)行xxxx有限公司制定的信息安全策略、管理管控制度和技術(shù)標(biāo)準(zhǔn)。負(fù)責(zé)監(jiān)督管理管控其職責(zé)范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。負(fù)責(zé)監(jiān)督執(zhí)行xxxx有限公司信息安全保護(hù)的其他工作?；鶎訂挝挥?jì)算機(jī)及網(wǎng)絡(luò)專責(zé)基層單位計(jì)算機(jī)及網(wǎng)絡(luò)專責(zé)是本單位范圍內(nèi)管理管控信息系統(tǒng)安全運(yùn)行工作的責(zé)任人兼信息安全員?；鶎訂挝蛔詣?dòng)化專責(zé)是本單位范圍內(nèi)生產(chǎn)控制系統(tǒng)信息安全運(yùn)行工作的責(zé)任人兼信息安全員。其安全職責(zé)：負(fù)責(zé)執(zhí)行公司制定的信息安全策略、管理管控制度和技術(shù)標(biāo)準(zhǔn)。負(fù)責(zé)執(zhí)行責(zé)任范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。定期向技術(shù)監(jiān)督部門報(bào)告本單位的信息安全情況，對(duì)安全缺陷和事故應(yīng)及時(shí)匯報(bào)。管理管控信息系統(tǒng)類安全情況向信息中心匯報(bào)，生產(chǎn)控制系統(tǒng)類安全情況向調(diào)度中心匯報(bào)。組織本單位員工進(jìn)行信息安全知識(shí)的培訓(xùn)和宣傳工作。在職能管理管控部門指導(dǎo)下，完成xxxx有限公司信息安全等級(jí)保護(hù)、安全評(píng)估、風(fēng)險(xiǎn)管理管控及其他工作。信息安全工作人員信息安全工作人員基本要求信息安全工作人員應(yīng)由政治可靠、業(yè)務(wù)素質(zhì)高、遵紀(jì)守法、恪盡職守的人員擔(dān)任。信息安全工作人員應(yīng)有計(jì)算機(jī)專業(yè)工作三年以上經(jīng)歷，及具備本科以上學(xué)歷。兼職信息安全人員應(yīng)有電力生產(chǎn)業(yè)務(wù)工作五年以上或?qū)Ｂ氂?jì)算機(jī)管理管控工作三年及以上經(jīng)歷，具備?？埔陨蠈W(xué)歷。違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全相關(guān)工作。信息安全工作人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解涉及電力生產(chǎn)、經(jīng)營與管理管控有關(guān)的信息系統(tǒng)的機(jī)密信息。信息安全工作人員基本職責(zé)：信息安全工作人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向公司信息中心報(bào)告。信息安全工作人員發(fā)現(xiàn)信息工作人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單位、部門進(jìn)行調(diào)整。信息安全工作人員必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴(yán)守公司商業(yè)秘密。信息安全工作人員包括信息安全管理管控人員、信息安全技術(shù)人員、信息安全審計(jì)員，其相應(yīng)的職責(zé)分別如下：負(fù)責(zé)信息安全管理管控的日常工作。組織開展信息安全檢查，對(duì)信息工作人員安全工作進(jìn)行指導(dǎo)和監(jiān)督。組織開展信息安全知識(shí)的培訓(xùn)和宣傳工作。監(jiān)控信息安全總體狀況，提出信息安全分析報(bào)告。及時(shí)向信息安全領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告信息安全事件。信息安全技術(shù)人員職責(zé)負(fù)責(zé)信息安全相關(guān)設(shè)備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等）的日常運(yùn)行維護(hù)管理管控。負(fù)責(zé)防火墻系統(tǒng)策略的安全配置。負(fù)責(zé)定期查看入侵檢測系統(tǒng)日志，對(duì)入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進(jìn)行跟蹤處理。負(fù)責(zé)漏洞掃描軟件（包括漏洞庫）的管理管控、更新和公布。負(fù)責(zé)對(duì)網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描。負(fù)責(zé)設(shè)備、系統(tǒng)等補(bǔ)丁升級(jí)、安全加固。負(fù)責(zé)定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行查殺病毒任務(wù)。負(fù)責(zé)定期升級(jí)垃圾郵件網(wǎng)關(guān)特征庫、定期維護(hù)垃圾郵件網(wǎng)關(guān)黑白名單和規(guī)則庫設(shè)置。負(fù)責(zé)密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻擊事件。負(fù)責(zé)密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；負(fù)責(zé)密切關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報(bào)告、最新惡性病毒的防范報(bào)警以及應(yīng)急處理辦法。信息安全審計(jì)員職責(zé)負(fù)責(zé)監(jiān)督檢查單位內(nèi)部信息安全審計(jì)制度及其實(shí)施情況。定期檢查信息系統(tǒng)的用戶權(quán)限設(shè)置及安全配置是否與信息系統(tǒng)安全策規(guī)定相符合，監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全管理管控工作。監(jiān)督信息系統(tǒng)的運(yùn)行情況，定期查看日志記錄，對(duì)信息系統(tǒng)資源的各種非法訪問事件進(jìn)行分析、提出安全風(fēng)險(xiǎn)防范對(duì)策。信息工作人員信息工作人員包括系統(tǒng)管理管控員、系統(tǒng)維護(hù)員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)管理管控員、應(yīng)用系統(tǒng)管理管控員、網(wǎng)絡(luò)管理管控員、業(yè)務(wù)操作員，其相應(yīng)的安全責(zé)任如下。系統(tǒng)管理管控員安全責(zé)任負(fù)責(zé)系統(tǒng)的運(yùn)行管理管控，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則。嚴(yán)格用戶權(quán)限管理管控，維護(hù)系統(tǒng)安全正常運(yùn)行。負(fù)責(zé)對(duì)所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全配置，并定期對(duì)所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全檢查。認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件。對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。系統(tǒng)維護(hù)員安全責(zé)任負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行。不得擅自改變系統(tǒng)配置和功能。不得安裝與系統(tǒng)無關(guān)的計(jì)算機(jī)程序。維護(hù)過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告信息安全工作人員。系統(tǒng)開發(fā)員安全責(zé)任系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)。系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。不得對(duì)系統(tǒng)設(shè)置“后門”或添加“惡意代碼”。對(duì)系統(tǒng)核心技術(shù)保密。數(shù)據(jù)庫系統(tǒng)管理管控員安全責(zé)任負(fù)責(zé)數(shù)據(jù)庫管理管控系統(tǒng)的安裝、備份和維護(hù)，保證系統(tǒng)的安全、正常運(yùn)行。負(fù)責(zé)對(duì)所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置，并定期對(duì)所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全檢查。負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)現(xiàn)系統(tǒng)故障及時(shí)排除，做good系統(tǒng)恢復(fù)。應(yīng)用系統(tǒng)管理管控員安全責(zé)任應(yīng)根據(jù)應(yīng)用系統(tǒng)的安全策略，負(fù)責(zé)應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安全配置。密切注意應(yīng)用系統(tǒng)運(yùn)行中發(fā)生的系統(tǒng)故障、安全事件，關(guān)注應(yīng)用系統(tǒng)存在的隱患，收集業(yè)務(wù)用戶的問題反映，及時(shí)報(bào)告信息管理管控部門和業(yè)務(wù)主管部門。應(yīng)根據(jù)應(yīng)用系統(tǒng)運(yùn)行的實(shí)際情況，制定應(yīng)急處理預(yù)案，提交信息管理管控部門審定。網(wǎng)絡(luò)管理管控員安全責(zé)任負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理管控，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則。負(fù)責(zé)安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行。負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時(shí)向信息安全工作人員報(bào)告安全事件。負(fù)責(zé)對(duì)操作網(wǎng)絡(luò)管理管控功能的其他人員進(jìn)行安全監(jiān)督。業(yè)務(wù)操作員安全責(zé)任嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理管控制度。不得向他人提供自己的操作口令，不得把PKI數(shù)字證書介質(zhì)借給他人使用。及時(shí)向系統(tǒng)管理管控員報(bào)告系統(tǒng)各種異常事件。普通員工普通員工的安全責(zé)任如下：每個(gè)員工須有責(zé)任保護(hù)本單位的計(jì)算機(jī)資源、設(shè)備及數(shù)據(jù)信息。每個(gè)員工有責(zé)任確保本機(jī)須符合信息安全措施要求，包括加入域、安裝統(tǒng)一的防病毒軟件、軟件補(bǔ)丁，并定期升級(jí)。因工作需要訪問互聯(lián)網(wǎng)的員工，經(jīng)審批后只能使用本單位互聯(lián)網(wǎng)出口。不得以任何設(shè)備（如手機(jī)、ADSL、MODEM等）私自將本單位計(jì)算機(jī)接入互聯(lián)網(wǎng)。離開辦公室或工作區(qū)域，須鎖定計(jì)算機(jī)屏幕或關(guān)閉計(jì)算機(jī)。在辦公室之外的地方工作，須將筆記本電腦置于控制之下。嚴(yán)格遵守“涉密信息不上網(wǎng)，上網(wǎng)信息不涉密”的紀(jì)律。未經(jīng)授權(quán)不準(zhǔn)制作、復(fù)制、發(fā)布、傳播任何可能泄漏國家秘密、單位商業(yè)秘密、工作秘密的信息。禁止通過本單位計(jì)算機(jī)及網(wǎng)絡(luò)訪問不良及政治敏感網(wǎng)站，禁止傳播、擴(kuò)散不良或政治敏感信息，嚴(yán)禁利用本單位計(jì)算機(jī)及網(wǎng)絡(luò)從事違法活動(dòng)。發(fā)現(xiàn)緊急事件（如計(jì)算機(jī)感染病毒、非法入侵等）時(shí)，須首先斷開網(wǎng)絡(luò)連接，并及時(shí)報(bào)告信息服務(wù)中心或本單位信息安全人員處理。不得在單位瀏覽與工作無關(guān)的網(wǎng)站，不得運(yùn)行與工作無關(guān)的軟件，不得打開來歷不明的郵件，員工在單位網(wǎng)絡(luò)內(nèi)群發(fā)郵件僅可以用于工作目的。未經(jīng)信息管理管控部門允許，員工不得監(jiān)控網(wǎng)絡(luò)流量，不得針對(duì)單位內(nèi)的網(wǎng)絡(luò)或服務(wù)器進(jìn)行安全掃描程序，不得增加網(wǎng)絡(luò)設(shè)備（如HUB、交換機(jī)）到本單位內(nèi)的網(wǎng)絡(luò)架構(gòu)中。禁止員工在網(wǎng)絡(luò)上偽裝為他人身份，禁止利用連網(wǎng)計(jì)算機(jī)從事危害單位網(wǎng)絡(luò)與信息安全的行為，不得危害或侵入服務(wù)器、工作站，不得有網(wǎng)絡(luò)攻擊行為。禁止員工在網(wǎng)絡(luò)上傳播未經(jīng)證實(shí)信息、垃圾郵件和廣告等無關(guān)消息或在網(wǎng)絡(luò)上以單位的名義表達(dá)私人的意見或看法。員工應(yīng)妥善保管自身的帳號(hào)、口令、PKI數(shù)字證書介質(zhì)（如智能卡、USBKEY）等，口令安全符合相關(guān)規(guī)定，丟失時(shí)須及時(shí)報(bào)告信息服務(wù)中心。內(nèi)部ISMS審核信息中心按相關(guān)計(jì)劃的時(shí)間定期組織內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過程和程序是否：符合GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系要求標(biāo)準(zhǔn)和相關(guān)法律法規(guī)要求；符合已識(shí)別確定的信息安全要求；有效實(shí)施和保持；完成預(yù)期的目標(biāo)。注：以上程序詳細(xì)合適的內(nèi)容見《內(nèi)部審核控制程序》。ISMS管理管控評(píng)審總則信息安全管理管控體系管理管控者代表應(yīng)按相關(guān)計(jì)劃的時(shí)間間隔（原則上一年進(jìn)行一次評(píng)審，組織發(fā)生重大變更或信息安全出現(xiàn)重大事故后應(yīng)視影響情況來定），對(duì)組織的ISMS進(jìn)行評(píng)審，以確保其持續(xù)適宜性、充分性和有效性。評(píng)審包括評(píng)價(jià)改進(jìn)的機(jī)會(huì)和對(duì)體系進(jìn)行修改的需求，包括信息安全方針、目標(biāo)和指標(biāo)的修改需求。評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持，評(píng)審具體執(zhí)行《管理管控評(píng)審控制程序》。管理管控評(píng)審的輸入信息安全管理管控體系管理管控者代表應(yīng)組織相關(guān)部門按要求提供以下資料：ISMS審核結(jié)果，包括第一方[內(nèi)部審核]、第二方和第三方審核的結(jié)果；相關(guān)方的反饋（投訴、抱怨、建議）；技術(shù)、產(chǎn)品和程序用于改進(jìn)ISMS執(zhí)行情況的有效性；糾正和預(yù)防措施的實(shí)施情況；以往信息安全風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；信息安全目標(biāo)實(shí)現(xiàn)程度；以往管理管控評(píng)審的跟蹤措施的實(shí)施情況；可能影響信息安全管理管控體系變更的事項(xiàng)（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求）；對(duì)信息安全管理管控體系改善的建議。管理管控評(píng)審的輸出管理管控評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：信息安全管理管控體系過程有效性的改進(jìn)；風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理相關(guān)計(jì)劃的更新；以下內(nèi)合適的內(nèi)容發(fā)生變更，必要時(shí)修改影響信息安全的程序和控制措施，以響應(yīng)業(yè)務(wù)發(fā)展要求；業(yè)務(wù)要求；信息安全要求；影響現(xiàn)有信息安全業(yè)務(wù)要求的業(yè)務(wù)過程；信息安全相關(guān)法律法規(guī)要求；風(fēng)險(xiǎn)級(jí)別和風(fēng)險(xiǎn)接收準(zhǔn)則；合同合約義務(wù)；對(duì)資源的需求；評(píng)價(jià)控制措施的有效性。注：以上合適的內(nèi)容的詳細(xì)要求見《管理管控評(píng)審控制程序》。ISMS持續(xù)改進(jìn)持續(xù)改進(jìn)xxxx有限公司通過制定信息安全方針、安全目標(biāo)，審核結(jié)果，監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理管控評(píng)審等活動(dòng)，持續(xù)改進(jìn)ISMS的有效性。糾正措施不符合事項(xiàng)的責(zé)任部門在查明原因的基礎(chǔ)上制定并實(shí)施相應(yīng)的糾正措施，以消除不符合事項(xiàng)，防止不符合事項(xiàng)再次發(fā)生。在《糾正與預(yù)防措施控制程序》和其他控制、檢查文件中明確以下要求：識(shí)別不符合ISMS的事項(xiàng)（指明不符合事項(xiàng)的判斷依據(jù)）；確定不符合產(chǎn)生的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施需求；確定和實(shí)施糾正措施的需求；針對(duì)記錄文件所采取措施的結(jié)果；評(píng)審對(duì)所采取的糾正措施。預(yù)防措施信息中心應(yīng)定期（原則上一年一次，特殊情況除外）組織有關(guān)部門分析信息安全方面的相關(guān)信息，如內(nèi)外審核報(bào)告、監(jiān)視記錄、相關(guān)方安全專家的建議、新反病毒技術(shù)等，以便采取措施，消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的要求在《糾正與預(yù)防措施控制程序》中作詳細(xì)規(guī)定。該程序包括了以下方面的要求：識(shí)別潛在不符合及其它原因所在；評(píng)價(jià)防止不符合發(fā)生的預(yù)防措施；確定實(shí)施所需要的預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)價(jià)所采取的預(yù)防措施；識(shí)別已變更的風(fēng)險(xiǎn)，并識(shí)別潛在的重大風(fēng)險(xiǎn)的預(yù)防措施的要求，預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來確定。各責(zé)任部門應(yīng)對(duì)本部門預(yù)防措施的實(shí)施加以控制，確保預(yù)防措施的有效性。管理管控評(píng)審前，信息中心應(yīng)對(duì)以往管理管控評(píng)審后所實(shí)施的所有預(yù)防措施進(jìn)行匯總并提交評(píng)審。注：以上合適的內(nèi)容詳細(xì)要求見《糾正與預(yù)防控制程序》。資產(chǎn)安全管理管控信息中心應(yīng)清晰的識(shí)別，編制并保存所有重要資產(chǎn)的清單，包括資產(chǎn)責(zé)任部門、重要程度和所處位置等合適的內(nèi)容。信息中心應(yīng)建立資產(chǎn)安全管理管控制度，規(guī)定信息系統(tǒng)資產(chǎn)管理管控的責(zé)任人員或責(zé)任部門，并規(guī)范資產(chǎn)管理管控和使用的行為。信息中心應(yīng)根據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)管理管控，根據(jù)資產(chǎn)的價(jià)值選擇相應(yīng)的管理管控措施。信息中心應(yīng)根據(jù)公司《公司信息安全管理管控辦法》對(duì)信息進(jìn)行分級(jí)，對(duì)信息標(biāo)識(shí)方法做出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理管控。人員安全管理管控信息安全工作人員安全管理管控信息安全工作人員應(yīng)恪守職業(yè)道德，嚴(yán)守企業(yè)秘密，熟悉國家安全生產(chǎn)法以及有關(guān)信息安全管理管控的相關(guān)規(guī)程。信息安全工作人員應(yīng)在從事信息安全的相關(guān)工作前，須參與相關(guān)培訓(xùn)和考核，考核合格經(jīng)授權(quán)后，才能從事信息安全的相關(guān)工作。信息安全工作人員有責(zé)任保護(hù)公司信息秘密，必須遵守自己崗位各項(xiàng)管理管控制度，須簽訂保密協(xié)議書并作出安全承諾。信息安全工作人員工作性質(zhì)、工作崗位變動(dòng)時(shí)，須報(bào)告公司信息中心，并重新進(jìn)行考核或者授權(quán)。信息安全工作人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)核心技術(shù)的信息安全工作人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。信息安全工作人員的任期應(yīng)根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任。信息工作人員安全管理管控信息工作人員上崗前必須經(jīng)單位人力資源部進(jìn)行政治素質(zhì)審查，技術(shù)部門進(jìn)行業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗(yàn)考查等，合格者方可上崗。信息工作人員的任命應(yīng)遵循“權(quán)限分散、不得交叉覆蓋”的原則，系統(tǒng)管理管控人員、網(wǎng)絡(luò)管理管控人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員不得兼任業(yè)務(wù)操作員，系統(tǒng)開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理管控員，在多個(gè)系統(tǒng)的環(huán)境下，管理管控員和審計(jì)員崗位可交叉擔(dān)任。對(duì)關(guān)鍵信息系統(tǒng)管理管控人員應(yīng)不定期地循環(huán)任職，實(shí)行定期考查制度，定期接受安全培訓(xùn)，加強(qiáng)自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。對(duì)業(yè)務(wù)操作人員進(jìn)行輪流培訓(xùn)。信息工作人員有責(zé)任保護(hù)信息系統(tǒng)的秘密，必須簽訂保密協(xié)議書并做出安全承諾，必須遵守自己崗位各項(xiàng)管理管控制度。對(duì)信息工作人員實(shí)行定期考查制度，要害崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。信息工作人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)；涉及公司業(yè)務(wù)保密信息的信息工作人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，在規(guī)定的脫密期后，方可調(diào)離。信息工作人員離崗后，必須即刻更換該用戶賬號(hào)的操作口令或注銷該用戶賬號(hào)。第三方人員安全管理管控第三方人員是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商和服務(wù)提供商的工作人員，以及實(shí)習(xí)學(xué)生和臨時(shí)工作人員，對(duì)第三方人員安全管理管控要求如下：須對(duì)第三方人員的物理訪問和邏輯訪問實(shí)施訪問控制，提供專門的第三方人員安全工作區(qū)域。根據(jù)其在系統(tǒng)中完成工作的時(shí)間、性質(zhì)、范圍、合適的內(nèi)容等方面的需要給予最低授權(quán)。第三方人員應(yīng)在合同合約中明確規(guī)定現(xiàn)場工作或遠(yuǎn)程維護(hù)工作合適的內(nèi)容，如工作涉及機(jī)密或秘密信息合適的內(nèi)容，應(yīng)要求其簽署保密協(xié)議。第三方人員應(yīng)在本單位信息中心門有關(guān)人員的陪同和監(jiān)督下開展現(xiàn)場工作。未經(jīng)批準(zhǔn)，第三方人員不可使用單位內(nèi)部的設(shè)備、軟件、網(wǎng)絡(luò)資源等，不可更改單位內(nèi)部軟硬件的配置狀態(tài)。未經(jīng)批準(zhǔn)，第三方人員攜帶的筆記本電腦、掌上電腦，不可以接入公司內(nèi)部網(wǎng)絡(luò)，若工作需要，第三方人員自帶設(shè)備接入單位內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)時(shí)，應(yīng)得到特別授權(quán)，并在接入前，須經(jīng)過殺毒處理，而且必須在指定的區(qū)域、通過指定的端口、指定的方式接入內(nèi)部網(wǎng)絡(luò)，其操作應(yīng)受到審計(jì)。第三方人員的工作結(jié)束后，應(yīng)及時(shí)清除有關(guān)賬戶、過程記錄等信息。普通員工安全管理管控嚴(yán)禁內(nèi)部員工利用單位內(nèi)的網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、移動(dòng)存儲(chǔ)設(shè)備及信息系統(tǒng)進(jìn)行以下活動(dòng)：散播違反國家法律法規(guī)的信息。泄露國家機(jī)密、企業(yè)商業(yè)秘密。瀏覽、下載與本人工作無關(guān)的信息。安裝不符合公司信息安全技術(shù)要求的軟件、硬件。掃描、攻擊信息系統(tǒng)其他計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備。人員培訓(xùn)與教育管理管控應(yīng)定期對(duì)普通員工進(jìn)行信息安全意識(shí)教育和基本的信息安全知識(shí)培訓(xùn)，可采用講座、培訓(xùn)班、員工信息安全手冊(cè)、EIP門戶專欄等各種形式開展。信息安全工作人員、信息工作人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。必須對(duì)信息安全工作人員、信息工作人員開展相關(guān)的技能培訓(xùn)，并根據(jù)各個(gè)崗位的技能要求和培訓(xùn)需求，分層、分級(jí)編制年度培訓(xùn)相關(guān)計(jì)劃，培訓(xùn)合適的內(nèi)容至少包括：信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)，信息安全意識(shí)教育；信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程與技能等培訓(xùn)；網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)管理管控體系的技術(shù)培訓(xùn)；工作中潛在的風(fēng)險(xiǎn)與控制方法培訓(xùn)；事件預(yù)防及響應(yīng)中的程序、角色和職責(zé)培訓(xùn)；信息安全管理管控手冊(cè)與作業(yè)指導(dǎo)書培訓(xùn)。按相關(guān)計(jì)劃實(shí)施培訓(xùn)，對(duì)教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄和歸檔保存。各相關(guān)人員每年累計(jì)參加培訓(xùn)的時(shí)間要求如下：信息中心門主任/主管不少于16學(xué)時(shí)。信息安全工作人員不少于40學(xué)時(shí)。信息工作人員不少于16學(xué)時(shí)。普通用戶不少于8學(xué)時(shí)。每年對(duì)培訓(xùn)相關(guān)計(jì)劃、執(zhí)行等情況進(jìn)行回顧、更新。評(píng)估合適的內(nèi)容包括：培訓(xùn)對(duì)象、合適的內(nèi)容和方法的適宜性相關(guān)計(jì)劃執(zhí)行與員工參與的依從性知識(shí)、技能、意識(shí)提高和應(yīng)用效果IT職業(yè)健康管理管控將IT職業(yè)健康統(tǒng)一納入xxxx有限公司職業(yè)健康管理管控中，每年對(duì)IT員工進(jìn)行常規(guī)體檢，對(duì)體檢結(jié)果進(jìn)行IT專項(xiàng)統(tǒng)計(jì)分析，確定IT人員健康狀況變化趨勢，關(guān)注IT職業(yè)危害合適的內(nèi)容。開展IT職業(yè)健康風(fēng)險(xiǎn)監(jiān)測工作，評(píng)估IT環(huán)境與健康風(fēng)險(xiǎn)，并采取必要的控制措施。充分利用課堂教學(xué)、內(nèi)部會(huì)議、公司域網(wǎng)、板報(bào)、櫥窗和公告牌等多種形式進(jìn)行IT職業(yè)健康知識(shí)宣傳、教育工作。識(shí)別IT廢品種類、數(shù)量及相關(guān)風(fēng)險(xiǎn)，制定廢料控制合適的方案對(duì)IT廢品進(jìn)行有效管理管控，記錄并保存IT廢料處理信息。對(duì)生產(chǎn)及辦公場所提供必要的衛(wèi)生設(shè)施，并派專人管理管控，包括定期回收IT廢品、定期保持IT設(shè)備衛(wèi)生、定期對(duì)IT設(shè)備實(shí)施檢查維護(hù)。IT作業(yè)環(huán)境安全管理管控標(biāo)識(shí)管理管控xxxx有限公司應(yīng)對(duì)IT作業(yè)環(huán)境所識(shí)別的標(biāo)識(shí)需求，確定對(duì)應(yīng)的標(biāo)識(shí)類別：功能類禁止類警告類指令類提示類公告類xxxx有限公司應(yīng)按《xxxx有限公司IT服務(wù)管理管控體系》中的配置管理管控要求，對(duì)所有IT設(shè)備進(jìn)行配置標(biāo)識(shí)，要求如下：合適的內(nèi)容準(zhǔn)確、符合標(biāo)準(zhǔn)及現(xiàn)場實(shí)際標(biāo)識(shí)清晰、位置明顯、對(duì)應(yīng)安裝（張貼）規(guī)范分區(qū)管理管控xxxx有限公司根據(jù)功能、類別及相關(guān)標(biāo)準(zhǔn)對(duì)IT作業(yè)場所進(jìn)行分區(qū)管理管控，區(qū)域間應(yīng)有明顯邊界。xxxx有限公司就分區(qū)的原則、目的和含義對(duì)員工進(jìn)行培訓(xùn)。xxxx有限公司應(yīng)對(duì)區(qū)域進(jìn)行檢查，并對(duì)分區(qū)及時(shí)進(jìn)行維護(hù)或調(diào)整，以保證分區(qū)的適用性。環(huán)境安全管理管控IDC信息監(jiān)控管理管控人員須每天對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理管控。IDC信息監(jiān)控管理管控人員須對(duì)機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理管控。信息中心應(yīng)建立機(jī)房安全管理管控制度，對(duì)有關(guān)機(jī)房物理訪問，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理管控作出規(guī)定。設(shè)備安全管理管控設(shè)備安全管理管控信息中心應(yīng)指定專門人員對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備（包括備份和冗余設(shè)備）、線路等定期進(jìn)行維護(hù)管理管控。信息中心應(yīng)建立基于申報(bào)、審批和專人負(fù)責(zé)的設(shè)備安全管理管控制度，對(duì)信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理管控。信息中心應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備的操作和使用進(jìn)行規(guī)范化管理管控，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作；信息中心應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。終端安全管理管控接入公司內(nèi)網(wǎng)的客戶端計(jì)算機(jī)（簡稱終端）應(yīng)納入AD域和桌面管理管控系統(tǒng)統(tǒng)一管理管控，及時(shí)安裝操作系統(tǒng)和主要辦公軟件的安全補(bǔ)丁。終端應(yīng)安裝信息中心部署的企業(yè)版防病毒軟件，并通過公司防病毒系統(tǒng)定期（每天）升級(jí)病毒庫代碼。未經(jīng)信息中心或信息中心授權(quán)單位進(jìn)行安全審查和批準(zhǔn)的終端不準(zhǔn)接入到公司信息網(wǎng)絡(luò)中，嚴(yán)禁未經(jīng)信息中心批準(zhǔn)私自將終端接入國際互聯(lián)網(wǎng)。由信息中心建立網(wǎng)絡(luò)集中監(jiān)控系統(tǒng)，對(duì)終端的物理連接、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)流量等情況進(jìn)行統(tǒng)一集中監(jiān)控對(duì)終端進(jìn)行標(biāo)準(zhǔn)化管理管控，提高終端安全，基本要求如下：建立域管理管控與桌面安全，對(duì)計(jì)算機(jī)終端實(shí)行統(tǒng)一管理管控。建立防病毒系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)終端統(tǒng)一的防病毒管理管控。建立IT服務(wù)管理管控系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)終端臺(tái)帳、變更等管理管控。建立終端網(wǎng)絡(luò)接入控制，對(duì)計(jì)算機(jī)終端接入內(nèi)網(wǎng)統(tǒng)一管理管控。建立終端軟件安裝許可清單，禁止安裝未經(jīng)許可的軟件，減少危險(xiǎn)源。對(duì)終端的安全配置與維護(hù)要求：建立補(bǔ)丁升級(jí)管理管控制度，及時(shí)對(duì)操作系統(tǒng)進(jìn)行補(bǔ)丁、升級(jí)，減少漏洞。終端必須安裝信息中心部署的企業(yè)版防病毒軟件，并定期更新。定期對(duì)終端進(jìn)行病毒、木馬查殺。所有終端的IP必須由信息中心統(tǒng)一管理管控。所有終端必須納入網(wǎng)絡(luò)接入控制管理管控。定期檢查終端的口令安全性，減少弱口令的安全隱患。介質(zhì)管理管控信息中心應(yīng)根據(jù)介質(zhì)上承載的信息的安全級(jí)別對(duì)介質(zhì)進(jìn)行分級(jí)管理管控，信息分級(jí)引用公司《公司信息安全管理管控辦法》。信息中心應(yīng)指定專門的介質(zhì)管理管控人員，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等進(jìn)行管理管控。信息中心應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì)進(jìn)行控制和保護(hù)。對(duì)實(shí)行了異地保存的介質(zhì)，異地保存點(diǎn)的環(huán)境要求和管理管控方法應(yīng)與本地相同介質(zhì)管理管控人員應(yīng)對(duì)介質(zhì)的使用進(jìn)行登記，并定期進(jìn)行盤點(diǎn)在介質(zhì)使用、存儲(chǔ)和處置過程中，應(yīng)按照信息的分類級(jí)別，處理和標(biāo)記所有介質(zhì)，并明確標(biāo)識(shí)未授權(quán)人員的訪問限制，保持授權(quán)訪問數(shù)據(jù)人員的正式記錄。當(dāng)介質(zhì)中包含敏感數(shù)據(jù)時(shí)，應(yīng)控制介質(zhì)的使用范圍，并對(duì)其實(shí)施適當(dāng)物理保護(hù)措施。信息中心對(duì)包含敏感信息的存儲(chǔ)介質(zhì)送出維修應(yīng)進(jìn)行嚴(yán)格的管理管控，對(duì)送出維修的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)。電子化的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Ｗo(hù)，對(duì)于復(fù)制到移動(dòng)存儲(chǔ)介質(zhì)上的重要內(nèi)部數(shù)據(jù)的擴(kuò)散必需是受控的，其使用應(yīng)受到監(jiān)控和記錄，并能進(jìn)行審計(jì)。為最大限度地降低信息泄露的風(fēng)險(xiǎn)，包含敏感信息的媒介應(yīng)被安全地處置，如粉碎、焚毀，或清空其中的數(shù)據(jù)，以便重用。其中處置方法應(yīng)與信息分級(jí)相一致。當(dāng)無法確認(rèn)媒介中的信息級(jí)別，或確認(rèn)信息級(jí)別的代價(jià)較高時(shí)，應(yīng)統(tǒng)一按最嚴(yán)格的方式處理所有媒介。敏感媒介的處置過程應(yīng)當(dāng)記錄在案，以便審計(jì)跟蹤。包含重要數(shù)據(jù)的介質(zhì)應(yīng)放置在符合制造商要求的安全的環(huán)境中。密碼管理管控xxxx有限公司應(yīng)使用符合國家密碼管理管控規(guī)定的密碼技術(shù)和產(chǎn)品。安全工作人員應(yīng)對(duì)xxxx有限公司使用的密碼技術(shù)和產(chǎn)品進(jìn)行審核，確保密碼技術(shù)和產(chǎn)品的使用符合國家密碼主管部門的要求。本規(guī)定所稱密碼，是指對(duì)信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。系統(tǒng)運(yùn)行檔案系統(tǒng)管理管控員應(yīng)為每個(gè)系統(tǒng)建立系統(tǒng)運(yùn)行檔案，對(duì)每個(gè)系統(tǒng)的運(yùn)行進(jìn)行持續(xù)性安全跟蹤，從而形成系統(tǒng)運(yùn)行安全基準(zhǔn)，以便于在系統(tǒng)出現(xiàn)安全問題或異常情況時(shí)進(jìn)行分析處理。系統(tǒng)運(yùn)行安全檔案中應(yīng)包括以下（但不限于）支持安全運(yùn)行管理管控所需要的信息，如系統(tǒng)運(yùn)行的操作系統(tǒng)和應(yīng)用軟件及版本號(hào)、安裝的補(bǔ)丁程序、系統(tǒng)的運(yùn)行狀態(tài)、存在的安全漏洞及控制措施、系統(tǒng)曾經(jīng)遭受攻擊的記錄等。系統(tǒng)管理管控員應(yīng)及時(shí)更新系統(tǒng)運(yùn)行檔案，確保系統(tǒng)運(yùn)行檔案的準(zhǔn)確性。信息安全工作小組應(yīng)定期對(duì)系統(tǒng)運(yùn)行檔案合適的內(nèi)容的準(zhǔn)確性進(jìn)行檢查核實(shí)。維護(hù)作業(yè)相關(guān)計(jì)劃為保證系統(tǒng)維護(hù)的規(guī)范性與準(zhǔn)確性，系統(tǒng)管理管控員應(yīng)遵照系統(tǒng)安全要求，結(jié)合實(shí)際情況，編制系統(tǒng)維護(hù)作業(yè)相關(guān)計(jì)劃。系統(tǒng)管理管控員應(yīng)在系統(tǒng)正式運(yùn)營前，將系統(tǒng)維護(hù)作業(yè)相關(guān)計(jì)劃送信息安全工作小組審核備案，進(jìn)入服務(wù)流程。維護(hù)作業(yè)相關(guān)計(jì)劃應(yīng)明確規(guī)定維護(hù)活動(dòng)的合適的內(nèi)容和周期。系統(tǒng)管理管控員必須嚴(yán)格執(zhí)行維護(hù)作業(yè)相關(guān)計(jì)劃，未經(jīng)信息安全工作小組批準(zhǔn)不得隨意更改。維護(hù)作業(yè)相關(guān)計(jì)劃的執(zhí)行情況應(yīng)記錄在案，并接受信息安全工作小組的檢查。作業(yè)指導(dǎo)書系統(tǒng)管理管控員應(yīng)評(píng)估系統(tǒng)維護(hù)過程中存在的風(fēng)險(xiǎn)，識(shí)別系統(tǒng)維護(hù)過程中存在的較大風(fēng)險(xiǎn)的操作，并制定相應(yīng)的作業(yè)指導(dǎo)書，以控制系統(tǒng)維護(hù)操作風(fēng)險(xiǎn)。系統(tǒng)管理管控員應(yīng)在系統(tǒng)正式運(yùn)營前，將作業(yè)指導(dǎo)書送安全管理管控組審核備案，進(jìn)入服務(wù)流程。系統(tǒng)管理管控員必須嚴(yán)格按作業(yè)指導(dǎo)書進(jìn)行系統(tǒng)維護(hù)操作，未經(jīng)安全管理管控組批準(zhǔn)不得隨意更改。作業(yè)指導(dǎo)書應(yīng)包含操作活動(dòng)的資源要求、操作風(fēng)險(xiǎn)與控制措施、作業(yè)程序、作業(yè)記錄等。維護(hù)操作細(xì)則系統(tǒng)管理管控員應(yīng)遵照系統(tǒng)安全要求，結(jié)合實(shí)際情況，制定系統(tǒng)維護(hù)操作細(xì)則。系統(tǒng)管理管控員應(yīng)在系統(tǒng)正式運(yùn)營前，將系統(tǒng)維護(hù)操作細(xì)則送信息安全工作小組審核備案，進(jìn)入服務(wù)流程。系統(tǒng)管理管控員必須嚴(yán)格按操作細(xì)則進(jìn)行系統(tǒng)維護(hù)，未經(jīng)安全管理管控組批準(zhǔn)不得隨意更改。操作細(xì)則應(yīng)包含操作活動(dòng)的職責(zé)、合適的內(nèi)容、目的、時(shí)間、場所、方法等，并涵蓋系統(tǒng)維護(hù)的具體操作程序、系統(tǒng)維護(hù)時(shí)間進(jìn)度的要求，包括同其他系統(tǒng)的相關(guān)性、最早的開始時(shí)間與最晚的結(jié)束時(shí)間等。操作細(xì)則應(yīng)包含操作過程中發(fā)生非預(yù)期的錯(cuò)誤或其他異常情況的指導(dǎo)說明。操作細(xì)則應(yīng)包含意外的操作困難或技術(shù)難題出現(xiàn)時(shí)的支持聯(lián)系人。操作細(xì)則應(yīng)包含故障情況下系統(tǒng)的重啟和恢復(fù)程序。故障管理管控系統(tǒng)管理管控員在處理故障后應(yīng)將系統(tǒng)的故障記錄在案，故障報(bào)告應(yīng)包括故障起止時(shí)間、故障現(xiàn)象、業(yè)務(wù)影響、故障原因分析、處理過程及結(jié)果、故障恢復(fù)證據(jù)、事后的補(bǔ)救措施等。信息安全工作小組應(yīng)審核故障報(bào)告，審核包括：故障已被正確解決；故障對(duì)系統(tǒng)安全造成的破壞已得到修補(bǔ)和恢復(fù)；補(bǔ)救措施本身不會(huì)危及系統(tǒng)安全；具體的補(bǔ)救措施已經(jīng)過授權(quán)；補(bǔ)救措施已得到有效實(shí)施。故障處理流程應(yīng)按照《xxxx有限公司IT服務(wù)管理管控體系》中“問題管理管控流程”進(jìn)行。機(jī)房安全管理管控xxxx有限公司建立規(guī)范的機(jī)房安全管理管控規(guī)定，加強(qiáng)機(jī)房安全管理管控，減少威脅來源。機(jī)房安全管理管控包括機(jī)房場地基本要求、機(jī)房場地檢查與維護(hù)、機(jī)房保安管理管控、機(jī)房消防管理管控、機(jī)房通風(fēng)與溫濕度控制、機(jī)房供電管理管控以及機(jī)房電磁防護(hù)、防靜電、防雷擊等要求，詳細(xì)管理管控要求參見《xxxx有限公司數(shù)據(jù)處理與存儲(chǔ)中心（IDC機(jī)房）運(yùn)行管理管控規(guī)定》。人機(jī)工效管理管控xxxx有限公司應(yīng)每年定期進(jìn)行人機(jī)工效的調(diào)查與評(píng)估，調(diào)查與評(píng)估包括作業(yè)的方式和方法包括、IT設(shè)備運(yùn)行環(huán)境等。人機(jī)工效的調(diào)查與評(píng)估的方式包括現(xiàn)場檢查、在線調(diào)查、收集員工的投訴與建議、借鑒同行業(yè)經(jīng)驗(yàn)等xxxx有限公司應(yīng)對(duì)人機(jī)工效的調(diào)查和評(píng)估的結(jié)果分析，并制定措施加以改進(jìn)與優(yōu)化。xxxx有限公司建立機(jī)房KVM集中監(jiān)控系統(tǒng)，將IDC機(jī)房內(nèi)的IT設(shè)備連入KVM系統(tǒng)，實(shí)現(xiàn)統(tǒng)一管理管控、統(tǒng)一監(jiān)控；xxxx有限公司將員工的人機(jī)工效的目的和作用培訓(xùn)納入年度培訓(xùn)相關(guān)計(jì)劃。網(wǎng)絡(luò)與信息安全設(shè)備管理管控網(wǎng)絡(luò)與信息安全設(shè)備管理管控包括基本的安全設(shè)備或用具及其管理管控。xxxx有限公司根據(jù)網(wǎng)絡(luò)與信息專業(yè)工作性質(zhì)與可能的危害，提供安全、適用的安全設(shè)備或用具，以提高信息安全技術(shù)裝備水平及管理管控水平，安全設(shè)備或用具至少包括：防火墻入侵保護(hù)系統(tǒng)（IPS）入侵檢測系統(tǒng)（IDS）漏洞掃描系統(tǒng)防病毒系統(tǒng)網(wǎng)絡(luò)分析儀xxxx有限公司每年制定信息安全設(shè)備或用具購置相關(guān)計(jì)劃，組織采購，并對(duì)安全工設(shè)備或用具需求相關(guān)計(jì)劃進(jìn)行評(píng)估、回顧和修訂建立信息安全設(shè)備或用具清單，記錄設(shè)備或用具信息，明確檢測、檢驗(yàn)與維護(hù)周期和合適的內(nèi)容，清單合適的內(nèi)容包括：設(shè)備編號(hào)設(shè)備功能設(shè)備采購日期設(shè)備版本及更新情況設(shè)備保管人員建立信息安全設(shè)備或用具的發(fā)放、使用、借用記錄。對(duì)相關(guān)員工進(jìn)行設(shè)備或用具的的使用、檢查、維護(hù)和操作的培訓(xùn)，確保所有安全設(shè)備或用具的操作人員具備相應(yīng)的技術(shù)水平。按照確定的頻率和合適的內(nèi)容對(duì)安全設(shè)備或用具進(jìn)行檢測和檢查，未經(jīng)檢驗(yàn)或檢驗(yàn)不合格的設(shè)備或用具嚴(yán)禁使用并進(jìn)行標(biāo)識(shí)。檢驗(yàn)后應(yīng)張貼標(biāo)識(shí)，標(biāo)明檢驗(yàn)日期、有效期，保存相應(yīng)的記錄。信息安全保護(hù)等級(jí)管理管控系統(tǒng)定級(jí)與審批信息安全等級(jí)保護(hù)遵循“自主定級(jí)、自主保護(hù)”原則。通過對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行定級(jí)、測評(píng)和落實(shí)防護(hù)措施，確保信息系統(tǒng)安全控制措施滿足相關(guān)要求。信息安全工作小組應(yīng)依據(jù)國家頒布的《信息安全等級(jí)保護(hù)管理管控辦法》、國家電力監(jiān)管委員會(huì)《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指導(dǎo)意見》及南方電網(wǎng)公司的《信息安全等級(jí)保護(hù)定級(jí)規(guī)范》對(duì)信息系統(tǒng)安全進(jìn)行定級(jí)。對(duì)于已運(yùn)營（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，信息中心應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)到廣州公安公司辦理備案手續(xù)。對(duì)于新建安全保護(hù)等級(jí)為第二級(jí)及以上的系統(tǒng)，信息中心應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后30日內(nèi)到深圳公安局辦理備案手續(xù)。對(duì)于第三級(jí)及以上信息系統(tǒng)，信息中心報(bào)公司審核批準(zhǔn)后，到深圳公安局辦理備案手續(xù)。信息系統(tǒng)等級(jí)保護(hù)信息安全工作小組應(yīng)依據(jù)國家頒布的信息安全等級(jí)保護(hù)技術(shù)標(biāo)準(zhǔn)、技術(shù)規(guī)范要求，對(duì)信息系統(tǒng)安全進(jìn)行差距測評(píng)，并落實(shí)各信息系統(tǒng)的防護(hù)措施。信息系統(tǒng)等級(jí)測評(píng)等級(jí)測評(píng)工作應(yīng)由具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評(píng)單位承擔(dān)。對(duì)于新建、改建、擴(kuò)建的二級(jí)及以上信息系統(tǒng)，應(yīng)經(jīng)測評(píng)機(jī)構(gòu)測評(píng)合格方可投入使用，安全測評(píng)和風(fēng)險(xiǎn)評(píng)估要形成相關(guān)文檔，作為相關(guān)項(xiàng)目驗(yàn)收的重要合適的內(nèi)容。等級(jí)為三級(jí)的信息系統(tǒng)每年進(jìn)行一次等級(jí)測評(píng)，等級(jí)為四級(jí)的信息系統(tǒng)每半年進(jìn)行一次等級(jí)測評(píng)。系統(tǒng)安全建設(shè)管理管控系統(tǒng)安全合適的方案設(shè)計(jì)要求信息中心負(fù)責(zé)對(duì)二級(jí)及以上的信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃，制定近期和遠(yuǎn)期的安全建設(shè)工作相關(guān)計(jì)劃。信息安全工作小組應(yīng)根據(jù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估結(jié)果選擇安全措施，安全措施應(yīng)滿足系統(tǒng)安全保護(hù)等級(jí)基本安全措施的要求。信息安全工作小組應(yīng)根據(jù)信息系統(tǒng)安全評(píng)估的結(jié)果和安全等級(jí)劃分情況統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理管控策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計(jì)合適的方案，并形成配套文件。對(duì)于二級(jí)及以上的信息系統(tǒng)，信息中心應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對(duì)信息系統(tǒng)的總體安全策略、安全技術(shù)框架、安全管理管控策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)合適的方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定。只有在經(jīng)過信息中心主管領(lǐng)導(dǎo)批準(zhǔn)后，才能正式實(shí)施。信息安全工作小組應(yīng)根據(jù)安全評(píng)估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理管控策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計(jì)合適的方案等相關(guān)配套文件。通信和操作管理管控變更管理管控系統(tǒng)的任何變更必須受到嚴(yán)格控制，系統(tǒng)變更包括但不限于：網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)參數(shù)的調(diào)整、硬件的增減與更換、軟件版本與補(bǔ)丁的變更、維護(hù)相關(guān)計(jì)劃/操作細(xì)則/作業(yè)指導(dǎo)書的改變等。任何變更必須經(jīng)過授權(quán)，記錄在案并接受測試。系統(tǒng)管理管控員應(yīng)識(shí)別并評(píng)估變更的潛在影響，并進(jìn)行相關(guān)測試；系統(tǒng)管理管控員應(yīng)制定變更失敗的恢復(fù)措施，并進(jìn)行失敗回退后的驗(yàn)證測試，確保變更失敗回退成功；系統(tǒng)管理管控員應(yīng)將變更合適的內(nèi)容及步驟書面化，向所有相關(guān)人員傳達(dá)變更細(xì)節(jié)，明確各方的責(zé)任；系統(tǒng)管理管控員應(yīng)填寫系統(tǒng)變更申請(qǐng)表，并獲得信息中心平臺(tái)分部主管批準(zhǔn)；變更實(shí)施時(shí)系統(tǒng)管理管控員應(yīng)記錄所有的變更過程和合適的內(nèi)容；變更完成后系統(tǒng)管理管控員應(yīng)保留并歸檔所有的變更記錄，并更新相關(guān)的文檔，如安全策略文檔、系統(tǒng)運(yùn)行檔案等。第三方安全管理管控xxxx有限公司對(duì)第三方單位進(jìn)行風(fēng)險(xiǎn)控制、資質(zhì)要求、服務(wù)質(zhì)量評(píng)價(jià)等方面管理管控。xxxx有限公司對(duì)第三方安全管理管控合適的內(nèi)容包括：識(shí)別、評(píng)估第三方進(jìn)入xxxx有限公司帶來的風(fēng)險(xiǎn)對(duì)第三方風(fēng)險(xiǎn)控制要求第三方現(xiàn)場信息安全表現(xiàn)與服務(wù)質(zhì)量評(píng)價(jià)第三方自身信息安全管理管控情況評(píng)價(jià)信息安全保密管理管控要求xxxx有限公司應(yīng)對(duì)第三方進(jìn)行安全相關(guān)的資質(zhì)審查，審查合適的內(nèi)容應(yīng)包括：許可的相關(guān)資質(zhì)質(zhì)量管理管控體系以往的信息安全服務(wù)表現(xiàn)和評(píng)價(jià)第三方員工培訓(xùn)與能力證明資料xxxx有限公司應(yīng)建立程序?qū)Φ谌竭M(jìn)行評(píng)價(jià)，評(píng)價(jià)合適的內(nèi)容包括：第三方的服務(wù)和技術(shù)支持能力第三方提供產(chǎn)品的安全性及運(yùn)行情況第三方安全管理管控制度的執(zhí)行情況第三方合同合約管理管控與履約情況xxxx有限公司對(duì)第三方單位的安全管理管控按照《第三方單位及人員管理管控規(guī)定》執(zhí)行。信息安全科技與創(chuàng)新管理管控xxxx有限公司鼓勵(lì)開展信息安全方面技術(shù)應(yīng)用的研究。xxxx有限公司鼓勵(lì)開展信息安全方面管理管控提升的研究。信息安全技術(shù)應(yīng)用(包括新產(chǎn)品、新技術(shù)、新工藝、新設(shè)計(jì)等)前應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估與分析，并制定其風(fēng)險(xiǎn)的控制措施。信息安全管理管控制度（包括規(guī)范、制度等）在頒布前應(yīng)進(jìn)行評(píng)審，并采取相應(yīng)措施，保證貫徹執(zhí)行。xxxx有限公司定期對(duì)信息安全科技與創(chuàng)新應(yīng)用成果和效果進(jìn)行回顧。糾正與預(yù)防管理管控xxxx有限公司應(yīng)根據(jù)年度信息安全風(fēng)險(xiǎn)評(píng)估、信息安全大檢查、信息安全等級(jí)保護(hù)及日常運(yùn)維工作中發(fā)現(xiàn)的信息安全問題，提出安全整改措施與相關(guān)計(jì)劃，并及時(shí)整改糾正。整改及糾正的要求至少包括：整改糾正行動(dòng)