科技企業(yè)信息安全管理手冊范本

編號XX-ISMS-01

版本A/0

江蘇XXXX科技有限公司

密級內(nèi)部限制

受控是

信

A

安

管

理

手

冊

生效日期核準(zhǔn)審查制訂

2016.3.1

修改記錄

序號修改原因修改合適的內(nèi)容修改人/時間批準(zhǔn)人/時間備注

目錄

0.1、信息安全管理管控手冊發(fā)布令

0.2、管理管控者代表任命書

0.3、公司簡介

0.4、信息安全方針

0.5、信息安全目標(biāo)

1、范圍

2、引用標(biāo)準(zhǔn)

3、術(shù)語和定義

4、信息安全管理管控體系

4.1組織環(huán)境

4.2理解相關(guān)方的需求和期望

4.3明確信息安全管理管控體系的范圍

4.4信息安全管理管控體系

5、領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

5.2方針

5.3組織角色、職責(zé)和權(quán)力

6、相關(guān)計劃

6.1處置風(fēng)險和機遇

6.2信息安全目標(biāo)的相關(guān)計劃和實現(xiàn)

7、支持

7.1資源

7.2能力

7.3意識

7.4溝通

7.5文檔要求

8、實施

8.1運行相關(guān)計劃和控制

8.2信息安全風(fēng)險評估

8.3信息安全風(fēng)險處置

9、績效評價

9.1監(jiān)視、測量、分析和評價

9.2內(nèi)部審核

9.3管理管控評審

10、改進(jìn)

10.1不符合項和糾正措施

10.2持續(xù)改進(jìn)

附件：

附件一：信息安全職能分配表

附件二：信息安全職責(zé)

附件三：信息安全管理管控體系程序文件清單

附件四：信息安全管理管控體系作業(yè)指導(dǎo)書文件清單

0.1信息安全管理管控手冊發(fā)布令

為提高江蘇XXXX科技有限公司的信息安全管理管控水平，保障企、也經(jīng)營、服務(wù)和日

常管理管控活動，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的業(yè)

務(wù)中斷或安全事故，公司開展貫徹1S0/1EC27001:2013《信息技術(shù)-安全技術(shù)-信息安全

管理管控體系要求》標(biāo)準(zhǔn)的工作，建立文件化的信息安全管理管控體系，制定了江蘇XXXX

科技有限公司《信息安全管理管控手冊》（以下簡稱手冊）。

本手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實施信息安全管理管控體系的綱領(lǐng)

和行動準(zhǔn)則，用于貫徹企業(yè)的信息安全管理管控方針、管理管控目標(biāo)，實現(xiàn)信息安全管

理管控體系有效運行、持續(xù)改進(jìn)，是江蘇XXXX科技有限公司信息安全管理管控工作長期

遵循的準(zhǔn)則。

全體職工必須嚴(yán)格按照手冊的要求，自覺執(zhí)行管理管控方針，貫徹實施本手冊的各

項規(guī)定，努力實現(xiàn)江蘇XXXX科技有限公司的管理管控目標(biāo)和管理管控承諾。

本手冊自頒布之日起生效執(zhí)行。

江蘇XXXX科技有限公司總經(jīng)理:

二。一六年三月一日

0.2管理管控者代表任命書

茲委任擔(dān)任江蘇XXXX科技有限公司IS027001信息安全管理管控體系管

理管控者代表。

他將履行以下職責(zé)及權(quán)限：

1、負(fù)責(zé)公司IS027001的推行認(rèn)證工作，負(fù)責(zé)組織信息安全管理管控體系建立、

實施和維持，確保公司的信息安全管理管控體系運作符合信息安全管理管控體

系標(biāo)準(zhǔn)；

2、信息安全管理管控體系內(nèi)部審核的策劃、組織及實施；

3、批準(zhǔn)信息安全管理管控體系程序文件；

4、代表公司就信息安全的有關(guān)事項和外部進(jìn)行聯(lián)絡(luò)。

總經(jīng)理：

日期：二。一六年三月一日

0.3、公司簡介

公司組織架構(gòu)如下圖所示:

0.4信息安全方針

實施風(fēng)險管理管控，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。

信息安全方針含義：

a.根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)

險接受準(zhǔn)則。定期進(jìn)行風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)

生重大變化時，隨時評估。應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。

b.在日常企業(yè)生產(chǎn)和管理管控中，對信息安全予以重視，全面識別和分析全部信

息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點、可能存在的威脅，考慮成本、利益、

風(fēng)險的綜合平衡，對資產(chǎn)進(jìn)行分類保護，以適宜的成本達(dá)到系統(tǒng)保護的要求。

c.建立健全信息安全監(jiān)督和保證體系，明確各級、各崗位的信息安全責(zé)任，以人

為本，堅持全員、全方位、全過程信息安全管理管控。通過測量和監(jiān)控，持續(xù)

改進(jìn)，保證信息安全管理管控體系的有效運行，做到制度執(zhí)行有記錄、記錄記

載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營、管理管控和服務(wù)的持續(xù)和安全，實現(xiàn)企

業(yè)發(fā)展目標(biāo)。

0.5、信息安全目標(biāo)：

本公司信息安全目標(biāo)：

1）安全事件發(fā)生次數(shù)：

重大安全事件目標(biāo)值；0次/年；較大安全事件目標(biāo)值；不大于4次/年；一

般安全事件目標(biāo)值：不大于8次/年。

2）信息泄密次數(shù)：

保證各種需要保密的資料（包括電子文檔、光盤等）不被泄密，確保秘密、

機密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年

各部門信息安全目標(biāo):

監(jiān)測

部門部門信息安全目標(biāo)統(tǒng)計方式

頻率

1、人員招聘手續(xù)辦理完

成率100%；

2、人員教育或培訓(xùn)實施1、查看全部員工入職手續(xù)辦理情況；

率100%；2、查看培訓(xùn)相關(guān)計劃及培訓(xùn)實施情況；

3、人員離職手續(xù)辦理完3、查看實際人員離職及手續(xù)辦理情況；

成率100%；4、現(xiàn)場檢查辦公環(huán)境消防器材配備情

4、辦公環(huán)境消防設(shè)施配況；

置率100%；5、現(xiàn)場檢查辦公環(huán)境消防器材的檢修情

5、辦公環(huán)境消防設(shè)施點況；

檢率100%；7、按照信息安全內(nèi)審相關(guān)計劃執(zhí)行內(nèi)審

綜合部6、每年至少組織實施完及改進(jìn)，及時整理信息安全內(nèi)審資料；每年

成1次信息安全內(nèi)審，且8、按照信息安全管理管控評審相關(guān)計劃

資料齊全；執(zhí)行評審及改進(jìn)，及時整理信息安全管

7、每年至少組織實施完理管控評審資料；

成1次信息安全管理管9、每年集中對信息安全管理管控體系文

控評審，且資料齊全；件進(jìn)行評審，必要時進(jìn)行更新；

8、每年至少這行1次信10、每年組織各相關(guān)部門進(jìn)行風(fēng)險評估

息安全體系文件評審及回顧、對新增或發(fā)生變化的信息資產(chǎn)進(jìn)

更新；行風(fēng)險評估。

9、每年至少組織實施完

成1次風(fēng)險評估。

1、網(wǎng)絡(luò)非正常中斷每月

W1次。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)每半

研發(fā)部

2、主機系統(tǒng)非正常中斷2、以每月的主機系統(tǒng)中斷事件為依據(jù)年

每月W1次。

重要文檔及數(shù)據(jù)被正確每半年檢查一次日常工作文件及數(shù)據(jù)是

其他部

保管及使用，機密信息泄否被正確保管及使用，以及機密信息泄每年

門

露次數(shù)為0次露相關(guān)事件。

1、范圍

1.1總則

為了建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理管控體

系（簡稱ISMS）,確定信息安全方針和目標(biāo)，對信息安全風(fēng)險進(jìn)行有效管理管控，確保

全體員工理解并遵照執(zhí)行信息安全管理管控體系文件、持續(xù)改進(jìn)信息安全管理管控體

系的有效性，特制定本手冊。

1.2應(yīng)用

1.2.1覆蓋范圍

本信息安全管理管控手冊規(guī)定了江蘇XXXX科技有限公司信息安全管理管控體系的

建立和管理管控、管理管控職責(zé)、內(nèi)部審核、管理管控評審和體系持續(xù)改進(jìn)等方面合

適的內(nèi)容。

1.2.2刪減說明

本信息安全管理管控手冊采用了IS0/IEC27001:2013標(biāo)準(zhǔn)正文的全部合適的內(nèi)容,

對附錄A的刪減見《適用性聲明SoA》。

2、規(guī)范性引用文件

IS0/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控體系要求》

1S0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實施細(xì)則》

3、術(shù)語和定義

3.3.1ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控體系要求》、

IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實施細(xì)則》規(guī)定的術(shù)

語和定義適用于本《信息安全管理管控手冊》。

3.3.2本組織、本公司、我司：指江蘇XXXX科技有限公司。

4、信息安全管理管控體系

4.1組織環(huán)境

組織外部環(huán)境包括如下幾個方面，但并不局限于此：

——文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟、自然環(huán)境以及競爭環(huán)境，無

論是國際、國內(nèi)、區(qū)域或地方；

——影響組織目標(biāo)的主要驅(qū)動因素和發(fā)展趨勢；

——外部利益相關(guān)者的觀點和價值觀。

組織內(nèi)部環(huán)境包括如下幾個方面，但并不局限于此：

——資源與知識的理解能力（如：資本、時間、人力、流程、系統(tǒng)和技術(shù)）；

——信息系統(tǒng)、信息流動以及決策過程（包括正式和非正式的）；

——內(nèi)部利益相關(guān)者；

——政策，為實現(xiàn)的目標(biāo)及戰(zhàn)略；

——觀念、價值觀、文化；

——組織通過的標(biāo)準(zhǔn)以及參考模型；

以上相關(guān)因素將影響公司實現(xiàn)信息安全管理管控體系的預(yù)期成果。

4.2理解相關(guān)方的需求和期望

a）與本公司信息安全管理管控體系有關(guān)的相關(guān)方有：供方、合同合約方、顧客及

其他第三方訪問者。

b）各相關(guān)方對我司的信息安全需求，包括了信息安全相關(guān)法律法規(guī)要求和合同合

約規(guī)定的義務(wù)。

4.3本公司信息安全管理管控體系的范圍和邊界

本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本

公司信息安全管理管控體系的范圍包括：

a）業(yè)務(wù)范圍：oooooo的設(shè)計開發(fā)和服務(wù)的信息安全管理管控活動；

b）信息系統(tǒng)范圍：所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；

c）組織范圍：與所述業(yè)務(wù)有關(guān)的部門和所有員工；

d）地理范圍：。

4.4信息安全管理管控體系

本公司按照ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控體系-

要求》規(guī)定，參照IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實用

規(guī)則》，建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理管控體系。

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

本公司通過以下行動證明公司實施了與信息安全管理管控體系有關(guān)的領(lǐng)導(dǎo)工作與

承諾：

a）確保建立與組織戰(zhàn)略目標(biāo)一致的信息安全方針和信息安全目標(biāo)；

b）確保信息安全管理管控體系要求集成到組織的管理管控流程；

c）確保提供信息安全管理管控體系需要的各項資源；

d）傳達(dá)信息安全管理管控的重要性及信息安全管理管控體系要求；

e）確保信息安全管理管控體系實現(xiàn)其預(yù)期目標(biāo)；

f）指導(dǎo)和支持信息安全團隊；

g）促使持續(xù)改進(jìn)；

h）支持其他相關(guān)的管理管控者在其職責(zé)范圍內(nèi)履行管理管控職責(zé)。

5.2方針

為了滿足適用法律法規(guī)及相關(guān)方要求，維持公司經(jīng)營和管理管控的正常進(jìn)行，實現(xiàn)

業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技

術(shù)定義了ISMS方針，見本信息安全管理管控手冊第0.4條約條款。該信息安全方針符

合以下要求：

1）為信息安全目標(biāo)建立了框架，并為信息安全活動建立整體的方向和原則；

2）考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同合約的安全義務(wù)；

3）與組織戰(zhàn)略和風(fēng)險管理管控相一致的環(huán)境下，建立和保持ISMS；

4）建立了風(fēng)險評價的準(zhǔn)則；

5）經(jīng)最高管理管控者批準(zhǔn)。

5.3組織角色、職責(zé)和權(quán)力

5.3.1信息安全組織機構(gòu)

本公司成立了由最高管理管控者、管理管控者代表及各部門負(fù)責(zé)人組成的信息安全

委員會，其職責(zé)是實現(xiàn)信息安全管理管控體系方針和本公司承諾，負(fù)責(zé)制訂、落實信息

安全管理管控工作相關(guān)計劃，建立健全企業(yè)的信息安全管理管控體系，保持其有效、持

續(xù)運行。

本公司采取相關(guān)部門代表組成的運行分析會議的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，

以：

a）確保安全活動的執(zhí)行符合信息安全方針；

b）確定怎樣處理不符合；

c）批準(zhǔn)信息安全的方法和過程，如風(fēng)險評估、信息分類；

5.3.2信息安全職責(zé)和權(quán)限

本公司總經(jīng)理為信息安全最高管理管控者，對信息安全全面負(fù)責(zé)，主要包括：

a）組織制定信息安全方針及目標(biāo)，任命管理管控者代表，明確管理管控者代表的

職責(zé)和權(quán)限。

b）確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理管控要求的重要性。

c）為信息安全管理管控體系配備必要的資源。

各部門負(fù)責(zé)人為本部門信息安全管理管控責(zé)任者，全體員工都應(yīng)按保密承諾的要求

自覺履行信息安全保密義務(wù)；

各部門有關(guān)信息安全職責(zé)分配見《信息安全管理管控職能分配表》。

各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運

行的各種控制程序）的要求實施信息安全控制措施°

6.1處置風(fēng)險和機遇

6.1.1總則

為實現(xiàn)公司信息安全管理管控體系方針和目標(biāo)，我司參考組織環(huán)境中的問題和相關(guān)

方的需求和，來決定需要被處置的風(fēng)險和機遇：

a）確保信息安全管理管控體系可以實現(xiàn)其預(yù)期目標(biāo)；

b）避免或減少不良影響；

c）實現(xiàn)持續(xù)改進(jìn)。

公司對以下方面進(jìn)行規(guī)劃：

a）處置風(fēng)險和機遇的行動；

b）如何

1）將實施行動整合到信息安全管理管控體系流程中；

2）評價行動的有效性。

6.L2信息安全風(fēng)險評估

公司制定《信息安仝風(fēng)險評估控制程序》，建立識別適用于信息安仝管理管控體系

和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn)則并

識別風(fēng)險的可接受等級。所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重

復(fù)的結(jié)果。

信息安全風(fēng)險評估的流程見圖2.風(fēng)險評估流程圖。

公司實施信息安全風(fēng)險評估流程，從而：

a）建立和維護信息安全風(fēng)險標(biāo)準(zhǔn)，包括：

1）風(fēng)險接受標(biāo)準(zhǔn)；

2）實施信息安全風(fēng)險評估的標(biāo)準(zhǔn)；

b）確保信息安全風(fēng)險評估活動產(chǎn)生一致性，產(chǎn)生有效的和可比較的結(jié)果；

c）識別信息安全風(fēng)險：

1）在信息安全管理管控體系范圍內(nèi)，通過信息安全風(fēng)險評估流程，識別由于信

息的機密性、完整性和可用性的喪失帶來的風(fēng)險；

2）識別風(fēng)險的屬主；

d）分析信息安全風(fēng)險：

1）評估在信息安全風(fēng)險評估中識別的風(fēng)險產(chǎn)生的潛在后果；

2）評估在信息安全風(fēng)險評估中識別的風(fēng)險轉(zhuǎn)化為事件的可能性；

3）確定風(fēng)險的等級；

e）評價信息安全風(fēng)險：

1）將風(fēng)險分析結(jié)果與在信息安仝風(fēng)險評估中所定義的風(fēng)險標(biāo)準(zhǔn)進(jìn)行比較；

2）根據(jù)風(fēng)險等級確定風(fēng)險處置的優(yōu)先級。

f）組織保留有關(guān)信息安全風(fēng)險評估的過程文檔。

6.1.3信息安全風(fēng)險處置

公司根據(jù)風(fēng)險評估的結(jié)果，形成《風(fēng)險處理相關(guān)計劃》，該相關(guān)計劃明確了風(fēng)險處理

責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。

對于信息安全風(fēng)險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當(dāng)?shù)拇胧?/p>

a）采用適當(dāng)?shù)膬?nèi)部控制措施；

b）接受風(fēng)險（不可能將所有風(fēng)險降低為零）；

c）避免風(fēng)險（如物理隔離）；

d）轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）。

控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001:2013附錄A,具體控制措施

參考ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理管控實用規(guī)則》

組織保留信息安全風(fēng)險處置的過程文檔。

6.2信息安全目標(biāo)的相關(guān)計劃和實現(xiàn)

本公司建立不同職能及層級的信息安全目標(biāo)。詳見本手冊0.5章合適的內(nèi)容。此信

息安全目標(biāo)應(yīng)：

a）與信息安全方針一致；

b）可度量（如果可操作）；

c）考慮適用的信息安全要求，以及風(fēng)險評估和風(fēng)險處置結(jié)果；

d）得到溝通；

e）及時更新。

信息安全目標(biāo)以文檔化形式保留。在規(guī)劃如何實現(xiàn)信息安全目標(biāo)時，公司明確：

a）要做什么；

b）需要什么資源；

c）誰來負(fù)責(zé)；

d）什么時候完成；

e）如何評價結(jié)果。

7.1資源

本公司確定并提供實施、保持信息安全管理管控體系所需資源；采取適當(dāng)措施，使

影響信息安全管理管控體系工作的員工的能力是勝任的，以保證：

a）建立、實施、運作、監(jiān)視、評審、保持和改進(jìn)信息安全管理管控體系；

b）確保信息安全程序支持業(yè)務(wù)要求；

c）識別并指出法律法規(guī)要求和合同合約安全責(zé)任；

d）通過正確應(yīng)用所實施的所有控制來保持充分的安全；

e）必要時進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；

f）需要時，改進(jìn)信息安全管理管控體系的有效性。

7.2能力

公司制定并實施《人力資源安全管理管控程序》文件，確保被分配信息安全管理管

控體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過：

a）確定承擔(dān)信息安全管理管控體系各工作崗位的職工所必要的能力；

b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；

c）評價所采取措施的有效性；

d）保留教育、培訓(xùn)、技能、經(jīng)驗和資歷的記錄。

本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以

及如何為實現(xiàn)信息安全管理管控體系目標(biāo)做出貢獻(xiàn)。

7.3意識

公司員工應(yīng)理解：

a）信息安全方針；

b）個人對于實現(xiàn)信息安全管理管控的重要性，提高組織信息安全績效的收益；

c）不符合信息安全管理管控體系要求所造成的影響。

7.4溝通

公司制定《信息溝通協(xié)調(diào)管理管控規(guī)范》，以明確與信息安全管理管控體系相關(guān)的內(nèi)、

外部溝通需求，包括：

a）溝通什么；

b）何時溝通；

c）和誰溝通；

d）誰應(yīng)該溝通；

e）哪種溝通過程有效。

7.5文檔要求

7.5.1綜述

組織的信息安全管理管控體系包括：

a）符合1SO/IEC27OO1:2O13標(biāo)準(zhǔn)的文件包括：信息安全管理管控手冊、程序文件、

管理管控規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理管控體系有效策劃、運行和控制所需

的受控文件；

b）組織所明確的，表明信息安全管理管控體系有效性的必要的記錄文檔。

7.5.2創(chuàng)建和更新

公司制定并實施《文件控制程序》，對信息安仝管理管控體系所要求的文件進(jìn)行管理

管控，以確定：

a）識別和描述（例如：標(biāo)題、日期、作者和版本號）；

b）格式（例如：語言、軟件版本和圖形）與介質(zhì)（例如：紙質(zhì)、電子）；

c）適宜性和充分性經(jīng)過評審。

7.5.3文檔控制

公司制定并實施《文件控制程序》，對信息安全管理管控體系所要求的文件進(jìn)行管理

管控。以確保：

a）在需要的時間和場合可用；

b）文檔得到充分保護（例如：防止泄密、不當(dāng)使用或喪失完整性）。

文檔控制應(yīng)保證：

a）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；

b）必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)；

c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；

d）確保在使用時，可獲得相關(guān)文件的最新版本；

e）確保文件保持清晰、易于識別；

f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和

最終的銷毀；

g）確保外來文件得到識別；

h）確保文件的分發(fā)得到控制；

i）防止作廢文件的非預(yù)期使用；

j）若因任何目的需保留作廢文件時，應(yīng)對其進(jìn)行適當(dāng)?shù)臉?biāo)識。

8實施

8.1運行相關(guān)計劃和控制

為確保信息安全管理管控體系有效實施，對己識別的風(fēng)險進(jìn)行有效處理，本公司開

展以下活動：

a）形成《風(fēng)險處理相關(guān)計劃》，以確定適當(dāng)?shù)墓芾砉芸卮胧?、職?zé)及安全控制措施的

優(yōu)先級；

b）為實現(xiàn)已確定的安全目標(biāo)、實施《風(fēng)險處理相關(guān)計劃》，明確各崗位的信息安全職

責(zé)；

c）實施所選擇的控制措施，以實現(xiàn)控制目標(biāo)的要求；

d）確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控

制的有效性以得出可比較的、可重復(fù)的結(jié)果；

e）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識和能力；

f）對信息安全體系的運作進(jìn)行管理管控：

g）對信息安全所需資源進(jìn)行管理管控；

h）實施控制程序，對信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。

公司保留以上必要的過程文檔信息，以表明相關(guān)過程已按照相關(guān)計劃執(zhí)行。控制相

關(guān)計劃更改，并審核相關(guān)計劃變更的影響，如有必要采取措施減少不利影響。確保外包

過程受控。

8.2信息安全風(fēng)險評估

8.2.1識別風(fēng)險

在已確定的信息安全管理管控體系范圍內(nèi)，按照相關(guān)計劃，或者在重大改變提出或

發(fā)生時進(jìn)行信息安全風(fēng)險評估，本公司執(zhí)行《信息安全風(fēng)險評估控制程序》，對所有的資

產(chǎn)進(jìn)行列表識別，并識別這些資產(chǎn)的所有者。資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)

與文檔、服務(wù)及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法

律法規(guī)符合性要求進(jìn)行了量化賦值，形成《資產(chǎn)清單》。

同時，根據(jù)《信息安全風(fēng)險評估控制程序》，識別對這些資產(chǎn)的威脅、可能被威脅利

用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的

影響。

8.2.2分析和評價風(fēng)險

本公司按《信息安全風(fēng)險評估控制程序》，分析和評價風(fēng)險：

a）針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行

賦值；

b）針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全

失效發(fā)生的可能性，并進(jìn)行賦值；

c）根據(jù)《信息安全風(fēng)險評估控制程序》計算風(fēng)險等級；

d）根據(jù)《信息安全風(fēng)險評估控制程序》中的《風(fēng)險接受準(zhǔn)則》，判斷風(fēng)險為可接受或

需要處理。

8.3信息安全風(fēng)險處置

公司根據(jù)風(fēng)險評估的結(jié)果，形成了《風(fēng)險處理相關(guān)計劃》，該相關(guān)計劃明確了風(fēng)險處

理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。公司根據(jù)相關(guān)計劃進(jìn)行了處置，并

保持處置的記錄。對風(fēng)險處理后的剩余風(fēng)險，得到了管理管控者的批準(zhǔn)。

9績效評價

9.1監(jiān)視、測量、分析和評價

本公司通過實施《監(jiān)視、測量、分析和評價控制程序》以監(jiān)視、測量、分析和評價

公司信息安全管理管控狀況結(jié)果，以實現(xiàn)：

a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故和隱患；

b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；

c）使管理管控者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果；

d）使管理管控者掌握信息安全活動和解決安全破壞所采取的措施是否有效；

e）積累信息安全方面的經(jīng)驗；

9.2內(nèi)部審核

公司建立《內(nèi)部審核控制程序》。《內(nèi)部審核控制程序》包括策劃和實施審核以及報

告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時間間隔（兩次內(nèi)部審核的間隔不得超

過12個月）進(jìn)行內(nèi)部信息安全管理管控體系審核，以確定其信息安全管理管控體系的控

制目標(biāo)、控制措施、過程和程序是否：

a）符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；

b）符合已識別的信息安全要求；

c）得到有效地實施和維護；

d）按預(yù)期執(zhí)行。

內(nèi)部審核的過程文檔應(yīng)清晰地形成記錄，并加以保持。

9.3管理管控評審

公司建立并實施《管理管控評審控制程序》，公司管理管控者應(yīng)按《管理管控評審控

制程序》規(guī)定的時間間隔（兩次管理管控評審的間隔不得超過12個月）評審信息安全管

理管控體系，以確保其持續(xù)的適宜性、充分性和有效性。

管理管控評審應(yīng)包括評價信息安全管理管控體系改進(jìn)的機會和變更的需要，包括安

全方針和安全目標(biāo)。

管理管控評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。

10改進(jìn)

10.1不符合和糾正措施

公司建立并實施《糾正與預(yù)防控制程序》，當(dāng)出現(xiàn)不符合情況時：

a）對不符合情況采取措施，如：

1）采取措施，以控制和改正它；

2）處置影響；

b）明確必要的控制措施，以消除不符合情況產(chǎn)生的原因，確保它不會再發(fā)生或在其

他地方發(fā)生，通過：

1）評審不符合項；

2）明確不符合項產(chǎn)生的原因；

3）明確是否存在或可能發(fā)生類似的不符合項；

c）采取必要的措施；

d）評審已采取的改正措施的有效性；

e）必要時改進(jìn)信息安全管理管控體系。

糾正措施應(yīng)與所發(fā)生的不符合的影響程度相適應(yīng)。組織應(yīng)保留以下文檔信息作為證

據(jù)：

f）不符合情況的性質(zhì)和所采取的后續(xù)行動；

g）糾正措施的結(jié)果。

10.2持續(xù)改進(jìn)

本公司通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正

和預(yù)防措施以及管理管控評審，不斷完善信息安全管理管控體系的適宜性、充分性和有

效性。

附件一：信息安全職能分配表（注：▲負(fù)責(zé)部門；△相關(guān)部門）：

管理管控單位管理管

信息安全

總經(jīng)理控者代綜合部研發(fā)部技術(shù)部財務(wù)部銷售部

委員會

體系要求表

4.紐織環(huán)境

4.1理解組織及其環(huán)境▲▲△△△△△△

4.2理解相關(guān)方的需求和期望▲▲△△△△△△

4.3明確信息安全管理管控體系

▲▲▲△△△△△

的范圍

4.4信息安全管理管控體系▲△▲△△△△△

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾△▲△△△△△△

5.2方針△▲△△△△△△

5.3組織角色、職責(zé)和權(quán)力△▲△△△△△△

6相關(guān)計劃

6.1處置風(fēng)險和機遇▲▲△△▲△△△

6.2信息安全口標(biāo)的相關(guān)計劃和

▲△△△△△△△

實現(xiàn)

7支持

7.1資源△▲△△△△△△

7.2能力△△△▲△△△△

7.3意識△△△▲△△△△

7.4溝通▲▲▲△△△△△

7.5文檔要求△△△▲△△△△

8實施

8.1運行相關(guān)計劃和控制▲△△△▲△△△

8.2信息安全風(fēng)險評估▲△△△▲△△△

8.3信息安全風(fēng)險處置▲△△△▲△△△

9績效評價

9.1監(jiān)視、測量、分析和評價▲△△△△△△A

9.2內(nèi)部審核△△▲△△△△△

9.3管理管控評審△▲△△△△△△

10改進(jìn)

10.1不符合項和糾正措施△△△▲△△△△

10.2持續(xù)改進(jìn)△△△▲△△△△

A.5信息安全方針

A.5.1信息安全管理管控指引▲△▲△△△△△

A.6信息安全組織

A.6.1內(nèi)部組織▲△▲△△△△△

A.6.2移動設(shè)備和遠(yuǎn)程辦公△△△△▲▲△△

A.7人力資源安全△

A.7.1任用前△△△▲△△△△

A.7.2任用中△△△▲△△A△

A.7.3任用終止和變更△△△▲△△△△

A.8資產(chǎn)管理管控

A.8.1資產(chǎn)的責(zé)任△△△▲▲▲▲▲

A.8.2信息分類▲△△▲△△△△

A.8.3介質(zhì)處理△△△△△▲△△

A.9訪問控制

A.9.1訪問控制的業(yè)務(wù)需求△△△△△▲△△

A.9.2用戶訪問管理管控AAAAA▲AA

A.9.3用戶責(zé)任△△△△△▲A△

A.9.4系統(tǒng)和應(yīng)用訪問控制△△△△△▲△△

A.10加密技術(shù)

A.10.1加密控制▲△△△△▲△△

A.11物理和環(huán)境安全

A.11.1安全區(qū)域△△△▲△△△△

A.11.2設(shè)備安全△△△▲△▲A△

A.12操作安全

A.12.1操作程序及職責(zé)△△△△▲△A△

A.12.2防范惡意軟件△△△△△▲△△

A.12.3備份△△△△△▲△△

A.12.4日志記錄和監(jiān)控△△△△△▲△△

A.12.5操作軟件的控制△△△△△▲△△

A.12.6技術(shù)脆弱性管理管控△△△△△▲△△

A127信息系統(tǒng)審計的考慮因素△△△△△▲△△

A.13通信安全

A.13.1網(wǎng)絡(luò)安全管理管控△△△△△▲A△

A.13.2信息傳輸△△△▲△▲△△

A.14系統(tǒng)的獲取、開發(fā)及維護

A.14.1信息系統(tǒng)安全需求△△△△▲△△△

A.14.2開發(fā)和支持過程的安全△△△△▲△△△

A.14.3測試數(shù)據(jù)△△△△▲△△△

A.15供應(yīng)商關(guān)系

A.15.1供應(yīng)商關(guān)系的信息安全△△△▲△△△△

A.15.2供應(yīng)商服務(wù)交付管理管控△△△▲△△△△

A.16信息安全事件管理管控

A.16.1信息安全事件的管理管控

△△△△▲△△△

和改進(jìn)

A.16.1.1職責(zé)和程序△△△△▲△A△

A.16.1.2報告信息安全事態(tài)△△△▲▲▲▲▲

A.16.1.3報告信息安全弱點△△△▲▲▲▲▲

A.16.1.4評估和決策信息安全事

△△△△▲△△△

件

A.16.1.5響應(yīng)信息安全事故△△△△▲△△△

A.16.1.6從信息安全事故中學(xué)習(xí)△△△△▲△△△

A.16.1.7收桀證據(jù)△△△△▲△△△

A.17業(yè)務(wù)連續(xù)性管理管控中的信

息安全

A.17.1信息安全的連續(xù)性▲△△△△△△△

A.17.2冗余▲△△△△△△△

A.18符合性

A.18.1法律和合同合約規(guī)定的符

△△△▲△△△△

合性

A.18.2信息安全評審△△△▲△△△△

編號：

時間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第30頁共34頁

附件二：信息安全職責(zé)

序號架構(gòu)/部門成員及職能

最高管理管控者總經(jīng)理：張建廠

管理管控者代表XXX

XX（銷售部）、XX（技術(shù)部）、XX（研發(fā)部）、XXX（綜合部）、

成員

XX（財務(wù)部）

系我司信息安全最高組織機構(gòu)，負(fù)責(zé)公司整體信息安全管理管控工作，推動信息

信息安全

1安全工作的實施；制定信息安全方針、信息安全管理管控目標(biāo)；負(fù)責(zé)審核信息安

委員會

全小組提交的信息安全管理管控體系、規(guī)范及管理管控辦法；負(fù)責(zé)決策與信息安

全管理管控相關(guān)的重大事項，包括信息安全組織機構(gòu)調(diào)整、信息安全關(guān)鍵人事變

動以及信息安全管理管控重大策略變更、確認(rèn)可接受的風(fēng)險和風(fēng)險水平等；評審

與監(jiān)督重大信息安全事故的處理與改進(jìn)；定期組織信息安全管理管控體系（ISMS）

評審等。

1）組織并制定信息安全方針策略。

2）任命管理管控者代表，明確管理管控者代表的職責(zé)和權(quán)限。

最高管理管3）確保在內(nèi)部傳達(dá)滿足客戶、法律法規(guī)和公司信息安全管理管控要求的重要性。

2

控者4）為信息安全管理管控體系配備必要的資源。

5）主持管理管控評審。

6）對信息安全全面負(fù)責(zé)。

1）協(xié)助最高管理管控者建立、實施、檢查、改進(jìn)信息安全管理管控體系。

2）負(fù)責(zé)建立、實施、保持和改進(jìn)信息安全管理管控體系，保證信息安全體系的

有效運行。

管理管控者3）組織公司信息安全風(fēng)險評估和風(fēng)險管理管控。

3

代表4）組織開展信息安全內(nèi)部審核、安全檢查工作。

5）負(fù)責(zé)向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進(jìn)的需求。

6）負(fù)責(zé)就信息安全管理管控體系有關(guān)事宜的對外聯(lián)絡(luò)。

7）監(jiān)控信息安全事件和確保安全控制措施得到執(zhí)行。

1）負(fù)責(zé)公司信息安全方針、目標(biāo)、政策在部門內(nèi)部的有效執(zhí)行、監(jiān)督、檢查。

2）參與公司信息安全工作的討論和決策。

3）對信息安全管理管控體系內(nèi)部審核、管理管控評審及其他安全檢查時發(fā)現(xiàn)的

各部門負(fù)責(zé)

4問題及采取的糾正預(yù)防措施進(jìn)行審核和確認(rèn)。

人

4）負(fù)責(zé)管理管控和維護部門發(fā)布的信息安全管理管控體系相關(guān)文件。

5）負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。

6）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)監(jiān)控信息安全管理管控體系的日常運行。

2）負(fù)責(zé)信息安全管理管控體系文件的控制。

3）負(fù)責(zé)本公司信息安全管理管控體系的推行落實。

5綜合部4）負(fù)責(zé)公司員工招聘、聘用及離職全過程的安全管理管控。

5）負(fù)責(zé)公司內(nèi)部人事檔案等重要文件資料的安全管控。

6）負(fù)責(zé)公司日常行政安全的管理管捽.

7）負(fù)責(zé)公司辦公環(huán)境的物理安全，包括人員及物品出入控制、門禁管理管控等。

笫30頁共34頁

編號：

時間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第31頁共34頁

8）負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷售管理管控。

9）負(fù)責(zé)本部門的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、相關(guān)項

目合同合約、投標(biāo)文件等重要文件的安全管控。

10）負(fù)責(zé)公司及部門重要文件資料的安全管控。

11）信息安全事件的報告及協(xié)助處理。

1）負(fù)責(zé)公司信息系統(tǒng)的安全規(guī)劃設(shè)計及實施。

2）負(fù)責(zé)公司機房及軟硬件系統(tǒng)的安全運行維護。

6研發(fā)部3）負(fù)責(zé)本部門重要信息的安全管控，包括相關(guān)項目合適的方案、設(shè)計文檔等重

要文件的安全管控。

4）負(fù)責(zé)信息安全事件的調(diào)查及協(xié)調(diào)處理。

1）負(fù)責(zé)對公司客戶請求的積極響應(yīng)，妥善處理顧客的投訴等。

2）負(fù)責(zé)本部門重要信息的安全保密管控，包括客戶信息等重要數(shù)據(jù)的安全管控。

7技術(shù)部

3）信息安全事件的報告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷售工作。

2）負(fù)責(zé)本人接觸到的重要信息的安全保密管控，包括客戶信息、商務(wù)文檔、相

8銷售部關(guān)項目合同合約、投標(biāo)文件等重要文件的安全管控。

3）信息安全事件的報告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司的財務(wù)管理管控工作。

2）負(fù)責(zé)本部門的重要信息的安全保密管控，包括財務(wù)憑證、財務(wù)報表、工資單

9財務(wù)部等重要文件的安全管控。

3）信息安全事件的報告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司信息系統(tǒng)建設(shè)及運行維護。

2）負(fù)責(zé)公司機房安全管理管控。

IT維護工程

3）負(fù)責(zé)公司各部門辦公電腦的維護及安全管理管控。

10師/網(wǎng)絡(luò)管

4）按時記錄網(wǎng)絡(luò)機房運行日志

理管控員

5）信息安全事件的報告、響應(yīng)及協(xié)調(diào)處理。

6）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)公司財務(wù)記帳、報帳、應(yīng)收及應(yīng)付、資產(chǎn)盤點等日常工作。

2）負(fù)責(zé)本崗位的重要信息的安全保密管控，包括財務(wù)報表、各類憑證等重要文

11會計及出納件的安全管控。

3）信息安全事件的報告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）負(fù)責(zé)服務(wù)相關(guān)項目的具體實施及管理管控。

相關(guān)項目經(jīng)2）負(fù)責(zé)本崗位的重要信息的安全保密管控，包括各類基礎(chǔ)數(shù)據(jù)、原始數(shù)據(jù)、撥

12理及相關(guān)項打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。

目專員3）信息安全事件的報告及協(xié)助處理。

4）做好本崗位信息安全相關(guān)的保密工作

1）嚴(yán)格遵守國家及行業(yè)的法律法規(guī)和政策。

13所有員工2）嚴(yán)格遵守公司的各項信息安全政策。

3）正確、安全的使用及保管公司及客戶的各類信息資產(chǎn)。

笫31頁共34頁

編號：

時間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第32頁共34頁

4）積極參加信息安全教育與培訓(xùn)，提高信息安全意識。

5）信息安全事件的報告及協(xié)助處理。

6）做好本崗位信息安全相關(guān)的保密工作

附件三：信息安全管理管控體系程序文件清單

制定/修訂

序號文件名稱文件編號版本號制定部門備注

日期

1文件控制程序XX-QP-01A/02016.3.1綜合部受控文件

2記錄控制程序XX-QP-02A/02916.3.1綜合部受控文件

3內(nèi)部審核控制程序XX-QP-03A/02016.3.1綜合部受控文件

4管理管控評審控制程序XX-QP-04A/02016.3.1綜合部受控文件

5糾正與預(yù)防控制程序XX-QP-05A/02016.3.1綜合部受控文件

信息安全測量管理管控綜合部

6XX-QP-06A/02016.3.1受控文件

程序

信息安全風(fēng)險評估控制

7XX-QP-07A/02016.3.1綜合部受控文件