IT-IT-M-0003信息安全管理體系手冊

IT-IT-M-0003信息安全管理體系手冊

信息安全治理手冊

密級□隱秘口保密■內部使用□公布信息受控狀態(tài)■受控口非受控

2020-12-01頒布封面2020-01-01實施

深圳市xxxx信息中1枚件隧操縱記錄

文件名稱信息安全治理手冊

文件編號IT-IT-M-0003

對應0A文號

版次編制與修訂概要完成日期狀態(tài)

角色人員

編寫

初審

會簽

審核

批準

第一章前言

隨著XXXX業(yè)務進展日益增長，信息交換互連面也隨之增大，信

息業(yè)務系統(tǒng)依靠性擴大，所帶來的信息安全風險和信息脆弱點也逐步

出現(xiàn)，原有信息安全技術和治理手段專門難滿足目前和以后信息化安

全的需求，為確保XXXX信息及信息系統(tǒng)的安全，使之免受各種威逼

和損害，保證各項信息系統(tǒng)業(yè)務的連續(xù)性，使信息安全風險最小化，

XXXX每年開展網(wǎng)絡與信息系統(tǒng)安全風險評估及等級愛護測評，定期

對等級愛護測評與風險評估活動過程中的風險漏洞進行全面整改，分

析了信息安全治理上的不足與缺陷，編制了差距測評報告。通過開展

信息安全風險評估和等級愛護測評，了解XXXX信息安全現(xiàn)狀和以后

需求，為建立XXXX信息安全治理體系奠定了基礎。

2020年7月開展信息安全治理體系連續(xù)改進建設，依據(jù)信息安

全現(xiàn)狀和以后信息安全需求及GB/T22080-2020/ISO/IEC27001:2005

信息安全治理體系的標準要求，建立了符合xxxx信息安全治理現(xiàn)狀

和治理需求的信息安全治理體系，該體系覆蓋了

GB/T22()80-202()/ISO/IEC27001:2005信息安全治理體系的標準要求

12個操縱領域、39個操縱目標和133個操縱措施。

木手冊是xxxx信息安全治理休系的綱領性文件，由信息中心歸

口負責說明。

第二章信息安全治理手冊頒布令

xxxx(以下簡稱公司)依據(jù)GB/T22080-2020/ISO/IEC27001:2005

信息安全治理體系標準要求，結合限公司實際情形，在原有的各項治

理制度的基礎上編制完成了《xxxx信息安全治理體系手冊》第一版，

現(xiàn)予以批準實施。

?xxxx信息安全治理體系手冊》是公司在信息及信息系統(tǒng)安全方

面的規(guī)范性文件，手冊闡述了限公司信息安全服務方針，信息安全目

標及信息安全治理體系的過程方法和策略，是公司信息安全治理體系

建設實施的綱領和行動準那么，是公司開展各項服務活動的差不多依

據(jù)；是對社會各界證實我公司有能力穩(wěn)固地提供滿足國際標準信息安

全要求以及客戶和法律法規(guī)相關要求的有效證據(jù)。適合公司信息化目

前進展趨勢需求，且內容充分、表達準確，現(xiàn)予頒布。

本手冊定于2020年8月1日起實施，屬強制性文件，要求各部

門所有人員必須正確明白得并嚴格貫徹全面執(zhí)行。

XXXX

總經(jīng)理簽名：

日期:2020年01月()1日

第三章公司介紹

1.企業(yè)簡介

XXXX［以下簡稱xxxx）始創(chuàng)于2002年4月，大致通過三個進展時期：第一

時期，2002年一2004年，為創(chuàng)業(yè)期，全力開拓市場，實現(xiàn)在競爭猛烈的行業(yè)中

立足；第二時期，2004—2006年，為整合期，整合一切有效資源，重力推出新

產(chǎn)品，奠定以優(yōu)質產(chǎn)品占據(jù)市場的方向，梳理并確立了經(jīng)營理念、進展愿景、經(jīng)

營方針，完成了股份制改革；第三時期，2006—至今，為蛻變期，立足電氣傳動、

工業(yè)操縱領域，為全球用戶提供專業(yè)化產(chǎn)品和服務，于2020年在深交所A股上

市，股票代碼：002334,步入不斷提升企業(yè)核心競爭力，并實現(xiàn)飛躍的時期。

目前xxxx設有國內辦事處30多個，海外辦事處2個，擁有海內外經(jīng)銷合作

伙伴上百家，用戶遍布全球50多個國家和地區(qū)。

xxxx是國家級高新技術企業(yè)，擁有深圳市唯獨的''變頻器工程技術研究開

發(fā)中心〃。

在吸取國外先進技術的基礎上，結合近十年變頻推廣應用體會和當今電力電

子最新操縱技術，研制出高、中、低壓通用及各行業(yè)專用變頻器、交流伺服系統(tǒng)、

制動單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機械、化工、

冶金、紡織、印刷、機床、礦山等行業(yè)廣泛應用。

xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓

660V/1140V系列、高壓CHH13KV/6KV/10KV）系列等，功率范疇涵蓋0.4?8000kW,

滿足不同行業(yè)不同場合的各種變頻操縱應用需求。

成熟矢量操縱技術、各行業(yè)專用變頻操縱技術的把握以及國際領先四象限操

縱技術的突破使xxxx的進展連續(xù)領先，成為中國變頻器行業(yè)的領導者。高性能

交流伺服系統(tǒng)的開發(fā)與成功應用標志著xxxx向運動操縱領域的拓展與延伸。

xxxx在''眾誠德厚、業(yè)精志遠〃的經(jīng)營理念指導下，堅持在不斷創(chuàng)新、精

益求精中與包括職員、股東、供應商、客戶等寬敞合作伙伴共同進展，公司的自

主創(chuàng)新及品牌美譽度在行業(yè)中差不多占有重要地位，并得到社會的廣泛認同。

2.企業(yè)文化

經(jīng)營理念，眾誠德厚也精志遠

愿景：成為全球領先、受人尊敬的電氣傳動、工業(yè)操縱領域的產(chǎn)品和服務供

應商。

使命：竭盡全力提供物超所值的產(chǎn)品和服務，讓客戶更有競爭力。

經(jīng)營方針：創(chuàng)新品質標準化共同進展

核心價值觀：眾誠德厚拼搏創(chuàng)新

人才理念：人才是企業(yè)第一資本尊重人才，經(jīng)營人才

質量方針：提供不斷優(yōu)化的產(chǎn)品和服務，提高客戶中意度。

3.企業(yè)標識：

標識釋義：

xxxx企業(yè)標徽有兩種色彩：xxxx紅(M10G￥80).xxxx藍(C100M80

K40),紅色表達進取和活力，藍色象征包容和用心的鉆研精神。字體設計簡潔、

凝聚、渾厚、擴張，傳達xxxx通過與合作伙伴和職員的合力凝聚牢固產(chǎn)品品質，

厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思想。

＞''INVT"是變頻器(inverter),也是創(chuàng)新(innovation)和美德(virtue)

的結合，是XXXX核心價值觀''眾誠德厚，拼搏創(chuàng)新〃的標識承載；

＞首字母、'i〃色彩紅藍結合，強調XXXX企業(yè)一一個人與團隊、個人與公

司、XXXX與客戶、供應商的相互信任，共同進展；

＞紅色圓點是旭才也是星球，藍色表達企業(yè)所在地域一一濱海都市深圳，

表達xxxx電氣立足本土，致力于成為全球領先、受人尊敬的電氣傳動、

工業(yè)操縱領域產(chǎn)品/服務供應商的遠景目標。

第四章信息安全治理目標

依照國家信息安全等級愛護要求、公司下達的目標與指標、公司

信息化進展戰(zhàn)略目標、信息安全風險評估結果、信息用戶的中意度，

結合公司實現(xiàn)目標所需的資源，識別公司的信息安全目標與指標。

公司每年年底制定下一年度的信息安全目標與指標，公司制定完

成信息安全目標與指標的工作打算，將目標、指標的層層分解，并落

實完成。以下是詳細的信息安全目標：

目標統(tǒng)計

目標類別目標項目標換算方法

值周期

（不可同意風險數(shù)處理數(shù)/不可受風險總數(shù)）年

不可同怠風險處埋率100%

X100%

年

隱秘信總泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計

年

隱秘信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計

年

專門重大突發(fā)事件（1級）0次按實際發(fā)生次數(shù)統(tǒng)計

信

息年

重大突發(fā)事件（II級）0次按實際發(fā)生次數(shù)統(tǒng)計

安

全

目年

較大突發(fā)事件（山級）0次按實際發(fā)生次數(shù)統(tǒng)計

標

年

一樣突發(fā)事件（IV級）0次按實際發(fā)生次數(shù)統(tǒng)計

內部審核及治理評審實施及年

100%按打算實施

時率

（入職職員參訓人數(shù)/入職職員總數(shù)）X年

職員入職涪訓完成率100%

100%

年

信息安全培訓打算完成率100%（實際培訓次數(shù)/打算培訓次數(shù)）X100%

年

大面積感染運算機病毒次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計

由于網(wǎng)絡故障導致關鍵業(yè)務年

信0次按實際發(fā)生次數(shù)統(tǒng)計

中斷次數(shù)

息

安年

全職員保密辦議簽訂率100%（實際簽訂人數(shù)/入職總人數(shù)）X100%

運

行年

重要信息備份及時率100%（實際備份數(shù)/打算備份數(shù)）X100%

指

標

（不符合項整改完成數(shù)/不符合項總數(shù)）X年

內部審核不符合項整改率290%

100%

年

運算機故障處理完成率100%（實際處理數(shù)/故障總數(shù)）XI00%

目標統(tǒng)計

目標類別目標項目標換算方法

值周期

年

容量不足導致業(yè)務故障次數(shù)W3按實際發(fā)生次數(shù)統(tǒng)計

年

運算機口令強度符合率100%（帳號符合數(shù)/帳號總數(shù)）x100%

注：公司的信息安全目標不限此，可依照各部門的實際業(yè)務進行調整或分解。

第五章信息安全會議

1.信息安全會議要求

1.1.公司應在每年一次的信息化工作會以上，總結匯報本年度的信

息安全工作情形。

1.2.公司應在每季度召開的運算機治理會議中，總結本季度的信息

安全工作情形。

1.3.公司信息中心應在每月召開的信息治理工作例會中，總結本月

的信息安全工作情形。

1.4.公司應依照風險變化的需要或在重大活動期間，不定期召開信

息安全專題會。

2.信息安全會議記錄治理

2.1.公司應及時制定相關的信息安全治理文件、信息安全數(shù)據(jù)與記錄。

2.2.信息安全治理數(shù)據(jù)與記錄包括：

1）信息安全會議紀要

2）信息安全事故調查報告

3）信息安全事件整改報告

4）信息安全檢查整改方案

5）信息安全審計記錄

6）技術檔案資料

7）培訓記錄

8）信息安全作業(yè)活動數(shù)據(jù)與記錄

9）信息安全事件通報、整改活動

10）信息安全檢查活動

11）應急演練活動

12）信息系統(tǒng)定級備案活動

13）信息安全審計活動

14）信息安全風險評估活動

15）數(shù)據(jù)與記錄要求：真實、完整、齊全、準確、及時。

3.信息文件的治理

3.1.依照精簡、高效的原那么，制定公司信息安全工作和治理流程，

包括：

1）信息安全治理流程

2）信息安全事件處理流程

3）信息安全應急流程

4）其它相關流程

32每年回憶流程的效率，必要時修訂、增加或廢止不必要的流程或

環(huán)節(jié)。

3.3.信息安全治理流程和信息安全事件處理流程納入信息安全治理體

系中治理

3.4.信息安全應急流程納入〈〈xxxx網(wǎng)絡與信息安全專項應急預案》中治

理。

3.5.依照治理變化、技術變化，公司定期修訂如下：

1）更新治理手冊、程序文件、作業(yè)指導書或治理制度、方法;

2）更新培訓要求；

3）更新應急處置程序；

3.6.對涉及到的所有信息安全風險進行回憶分析;

3.7.變化治理需義件化，并儲存變化過程的相關記錄。

第六章信息安全治理體系

1.總那么

1.1.為了加強XXXX(以下簡稱''xxxx或公司〃)信息安全治理工作，愛護信息系

統(tǒng)的安全，促進信息系統(tǒng)的應用和進展，依照國家有關法律法規(guī)，以及變頻器行

業(yè)的治理規(guī)范、行業(yè)標準，并遵照公司佶息系統(tǒng)安全的有關規(guī)定，特制定本手冊。

1.2.信息系統(tǒng)的安全愛護范疇包括各信息系統(tǒng)相關的和配套的軟件、硬件、信息、

網(wǎng)絡和運行環(huán)境的安全。

1.3.xxxx信息系統(tǒng)安全治理應遵循''統(tǒng)一規(guī)劃、預防為主、集中治理、分層愛護、

明確責任〃的原那么。

1.4.xxxx運行中的信息系統(tǒng)是支撐生產(chǎn)的運行設備，各級安全生產(chǎn)責任人對具職

責范疇內的信息系統(tǒng)安全運行負有安全治理責任。

1.5.任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其他公民權益的活

動，不得從事危害xxxx信息系統(tǒng)安全的活動。

16本手冊適用于公司本部、各基層單位的信息系統(tǒng)的安全愛護工作。公司多經(jīng)

企業(yè)參照執(zhí)行。

2.規(guī)范性引用標準

2.1.?信息安全等級愛護治理方法》(公通字[2007]43號)

22?信息安全技術信息系統(tǒng)安全等級愛護差不多要求》(GB/T22239-2020)

2.3.?信息安全技術信息系統(tǒng)安全等級愛護定級指南》(GB/T22240-2020)

2.4.?信息安全技術信息安全治理有用規(guī)那么》(GB/T22081-2020)

2.5.?信息安全技術信息安全風險評估規(guī)范》(GB/T20984-2007)

2.6.國家相關法律、法規(guī)及合同的要求。

3.術語與定義

3.1.資產(chǎn)asset

任何對組織有價值的東西。

3.2.可用性availability

依照授權實體的要求可訪問和利用的特性。

3.3.保密性confidentiality

信息不能被未授權的個人、實體或者過程利用或知悉的特性。

3.4.信息安全informationsecurity

保證信息的保密性、完整性、可用性；另外也可包括諸如真實性，可核查性,

不可否認性和可靠性等特性。

3.5.信息安全事態(tài)informationsecurityevent

信息安全事態(tài)是指系統(tǒng)、服務或網(wǎng)絡的一種可識別的狀態(tài)的發(fā)生，它可能是

對信息安全策略的違反或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀

態(tài)。

3.6.信息安全事件informationsecurityincident

一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成，它們

具有損害業(yè)務運作和威逼信息安全的極大的可能性。

3.7.信息安全治理體系informationsecurity^managementsystem

是整個治理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、

監(jiān)視、評審、保持和改進信息安全的。

注：治理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過

程和資源。

3.8.完整性integrity

愛護資產(chǎn)的準確和完整的特性。

3.9.殘余風險residualrisk

通過風險處理后遺留的風險。

3.10.風險同意riskacceptance

同意風險的決定。

3.11.風險分析riskanalysis

系統(tǒng)地使用信息來識別風險來源和估量風險。

3.12.風險評估riskassessment

風險分析和風險評判的整個過程。

3.13.風險評判riskevaluation

將估量的風險與給定的風險準那么加以比較以確定風險嚴峻性的過程。

3.14.風險治理riskmanagement

指導和操縱一個組織相關風險的和諧活動。

3.15.風險處理risktreatment

選擇同時執(zhí)行措施來更換風險的過程。

注：在本標/中，術語''操縱措施〃被用作''措施〃的同義詞。

3.16.適用性聲明statementofapplicability

描述與組織的信息安全治理體系相關的和適用的操縱目標和操縱措施的文

檔。

3.17.信息系統(tǒng)

是指由運算機及其相關配套的設備、設施（含網(wǎng)絡）構成的，按照一定的應

用目標和規(guī)那么對信息進行采集、加工、儲備、，專輸、檢索等處理的人機系統(tǒng)，

包括治理信息系統(tǒng)和生產(chǎn)操縱系統(tǒng)。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括諸如真實性，可核查性,

不可否認性和可靠性等。

3.19.信息系統(tǒng)運行單位

是指信息系統(tǒng)資產(chǎn)歸屬單位，關于托管的信息系統(tǒng)有另行約定的除外。

3.2（）.信息安全工作人員

是指包括信息安全治理人員、佶息安全技術人員（包括防火堵、入侵檢測系

統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關設備的治理員）和信息安全審計

員。

3.21.信息工作人員

是指與關鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設與經(jīng)營、治理等核心業(yè)務且有保

密要求的信息系統(tǒng)）直截了當相關的系統(tǒng)治理人員、網(wǎng)絡治理人員、關鍵業(yè)務信

息系統(tǒng)開發(fā)人員、系統(tǒng)愛護人員、關鍵業(yè)務信息系統(tǒng)操作人員等。

3.22.第三方

是指軟件開發(fā)商、硬件供應商、系統(tǒng)集成商、設備愛護商、服務提供商以及

其它外協(xié)單位。

3.23.第三方人員

是指包括軟件開發(fā)商出、硬件供應商、系統(tǒng)集成商、設備愛護商、服務提供

商及其它外協(xié)服務單位的工作人員，以及實習學生和其他臨時工作人員。

3.24.信息資產(chǎn)

是指公司在生產(chǎn)、經(jīng)營和治理過程中，所需要的以及所產(chǎn)生的，用以支持（或

指導、或阻礙）公司生產(chǎn)、經(jīng)營和治理的切有用的數(shù)據(jù)和資料等非財務的無形

資產(chǎn)，其范疇包括現(xiàn)在的和歷史的。

3.25.信息系統(tǒng)運行愛護單位

是指與信息系統(tǒng)運行單位簽訂愛護合同的專業(yè)服務提供商。

3.26.信息安全等級愛護

是指依照國家信息安全等級愛護相關治理文件，確定信息系統(tǒng)的安全愛護等

級，并開展相應的信息系統(tǒng)安全等級愛護工作。

3.27.信息安全評估

是指，按照《治理方法》和有關技術標準，開展信息系統(tǒng)安全等級愛護的自查

自糾、差距評測、安全整改等續(xù)工作。

3.28.安全風險治理

是指采納風險治理的理念與方法來識別、評估信息系統(tǒng)面臨的風險，制定風

險操縱措施，并將風險降低到可同意的程度，安全風險治理包括風險評估和風險

操縱。

注：基于風險評估和風險處理過程的結果和結論、法律法規(guī)的要求、合同義

務以及組織關于信息安全的業(yè)務要求，制定操縱目標和操縱措施。

3.29.標準縮寫

TSMS：信息安全治理體系(InformationSecurityManagementSystems)；

SoA：適用性聲明(StatementofApplicability)；

PDCA：建立、實施和運行、監(jiān)視和評審、保持和改進(Plan.Do、Check、

Act)。

4.信息安全治理體系

41.總要求

依照GB/T22080-2020/IS0/IEC27001:2005信息安全治理體系要求標準在

整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改

進文件化的信息安全治理體系。ISMS所涉及的過程基于以下PDCA模式：

軍、法律

圖4-1PDCA模型

規(guī)劃(建立ISMS)建立與治理風險和改進信息安全有關的ISMS方針、目

標、過程和程序，以提供與組織總方針和總目標相一致

的結果。

實施［實施和運行ISMS)實施和運行ISMS方針、操縱措施、過程和程序。

檢查［監(jiān)視和評審ISMS)對比ISMS方針、目標和實踐體會，評估并在適當時，

測量過程的執(zhí)行情形，并將結果報告治理者以供評審。

處置［保持和改進ISMS)基于ISMS內部審核和治理評審的結果或者其他相關信

息，采取糾正和預防措施，以連續(xù)改進ISMS。

本手冊中提出的用于信息安全治理的過程方法鼓舞其用戶強調以下方面的

重要性：

a)明臼得xxxx的信息安全要求和建立信息安全方針與目標的需要：

b)從組織整體'業(yè)務風險的角度，實施和運行操縱措施，以治理xxxx的信息

安全風險；

c)監(jiān)視和評審ISMS的執(zhí)行情形和有效性；

d)基于客觀測量的連續(xù)改進。

本標準采納了''規(guī)劃(Plan)-實施(Do)-檢查(Check)-處置(Act)〃

(PDCA)模型，該模型可應用于所有的ISMS過程。圖1說明了ISMS如何把相

關方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些

要求和期望的信息安全結果。圖4T描述了4、5、6、7和8章所提出的過程問

的聯(lián)系。

采納PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡安全的OECD指南(2002板)

中所設置的原那么。本標準為實施OECD指南中規(guī)定的風險評估、安全設計和實

施、安全治理和再評估的原那么提供了一個強健的模型。

421sMs的建立、實施和運作、監(jiān)督和評審、保持和改進

4.2.1.建立ISMS

4.2.1.1.xxxxISMS的范疇和邊界

依照業(yè)務、組織、資產(chǎn)、位置等方面的特性，確定ISMS的范疇和邊界。xxxx

信息安全治理體系的范疇和邊界包括：

(1)業(yè)務邊界：xxxx為開展供電業(yè)務，在治理信息大區(qū)范疇內實施的信息安

全治理。

(2)組織邊界：xxxx信息中心；

(3)資產(chǎn)邊界：xxxx負責治理的信息資產(chǎn)；

(4)物理邊界：廣東省廣州市天河區(qū)天南二路239號和梅花路機房

4.2.1.2.確定xxxxISMS方針應滿足以下要求

(1)確保為ISMS方針建立一個框架并為信息安全實施和運作、監(jiān)督和評審、

保持和改進的活動建立系統(tǒng)的方向與原那么；

(2)確定業(yè)務進展、法律法規(guī)要求及其它相關方合同涉及的信息安全要求；

(3)在組織的戰(zhàn)略和風險治理下，建立和保持ISMS；

(4)建立風險評判的準那么和機團隊；

(5)獲得信息安全領導小組批準。

4.2.1.3.風險評估的系統(tǒng)方法

xxxx信息中心負責建立信息安全風險評估操縱程序并組織實施。風險評估

操縱程序包括可同意風險準那么和可同意水平，所選擇的評估方法應確保風險評

估能產(chǎn)生可比較的和可重復的結果。具體的風險評估過程操縱執(zhí)行《信息安全風

險評估程序》,以下是風險評估流程圖；

4.2.1.4.風險識別

在已確定的ISMS范疇內，對所有的信息資產(chǎn)進行列表識別。信息資產(chǎn)包括

軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設施、服務、人力資源。對每一項信息資產(chǎn)，依照

重要信息資產(chǎn)判定依據(jù)確定是否為重要信息資產(chǎn)，形成《重要信息資產(chǎn)清單》。

4.2.1.5.評估風險

(1)針對每一項重要信息資產(chǎn)，參考《信息安全威逼列表》及以往的安全事故

(事件)記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有重要信息資產(chǎn)所面臨的

威逼；

(2)針對每一項威逼，考慮現(xiàn)有的操縱措施，參考《信息安全薄弱點列表》識

別出可能被該威逼利用的薄弱點:

(3)綜合考慮以上2點，按照《威逼發(fā)生可能性等級表》中的判定準那么對每

一個威逼發(fā)生的可能性進行賦值；

(4)依照《威逼阻礙程度判定準那么》,判定一個威逼發(fā)生后對信息資產(chǎn)在保

密性(C)、完整性⑴和可用性(A)方面的損害及對公司'業(yè)務的威逼阻礙程度，對其

威逼阻礙程度進行賦值；

(5)進行風險大小運算時，考慮威逼產(chǎn)生安全故障的可能性及其所造成阻礙

程度兩者的結合，依照風險運算公式來運算風險等級；

(6)關于信息安全風險，在考慮操縱措施與費用平穩(wěn)的原那么下制定風險同

意準那么，按照該準那么確定何種等級的風險為不可同意風險。

4.2.1.6.風險處理方法的識別與評判

xxxx信息中心組織有關部門依照風險評估的結果，形成《風險處理打算必

該打算應明確風險處理責任部門、方法及時刻。關于信息安全風險，應考慮操縱

措施與費用的平穩(wěn)原那么，選用以下適當?shù)拇胧?/p>

(1)采納適當?shù)膬炔坎倏v措施；

(2)同意某些風險(不可能將所有風險降低為零)；

(3)規(guī)避某些風險(如物理隔離)；

(4)轉移某些風險(如將風險轉移給保險公司、供應方)。

4.2.1.7.選擇操縱目標與操縱措施

(1)信息中心依照信息安全方針、業(yè)務進展要求及風險評估的結果，組織

有關部門制定信息安全目標，并將目標分解到有關部門。信息安全目標應獲得信

息安全領導小組的批準。

(2)操縱目標及操縱措施的選擇原那么來源于

GB/T22080-2020/ISO/IEC27001:2005信息安全治理體系要求標準附錄A,具體

操縱措施能夠參考GB/T22081-2020/ISO/IEC27002:2005?信息技術一安全技術一

信息安全治理實施細那么xxxx依照信息安全治理的需要，能夠選擇標準之外

的其他操縱措施。

4.2.1.8.適用性聲明

信息中心負責《信息安全治理體系適用性聲明》(SoA)編制，由信息中心歸

口治理。該聲明包括以下方面的內容：

(1)所選擇操縱目標與操縱措施的概要描述；

(2)當前差不多實施的操縱；

(3)對GB/T22080-2020/ISQ/IEC27001:2005信息安全治理體系要求附錄A中

未選用的操縱目標及操縱措施的說明。

注：該聲明的詳細內容見《信息安全治理體系適用性聲明》。

4.2.2.ISMS實施及運行

4.2.2.1.ISMS崗位職責和權限

(1)信息安全領導小組組長為公司信息安全最高治理者。領導小組要緊職責:

a)國家有關信息安全的政策、法律和法規(guī)，以及南方電網(wǎng)公司和公司的

統(tǒng)一部署要求，審查、批準XXXX信息安全策略、治理規(guī)范和技術標

準；

b)部署信息安全總體工作，審定信息安全投資策略，建立工作考評機制;

C)指導信息安全保證體系建設和應急治理。

(2)信息安全工作小組要緊職責：

a)依照信息安仝領導小組的工作部署，對信息安仝工作進行具體安排、

落實；

b)貫徹執(zhí)行信息安全領導小組的決議，和諧、督促各部門、各單位的信

息安全工作；

C)制訂信息安全策略和投資策略，組織對信息安全工作制度和技術操作

策略的審查，并監(jiān)督執(zhí)行；

U)同意各單位的緊急信息安全事件報告，組織信息安全應急處置工作，

并開展事件調查、分析緣故、涉及范疇和評估安全事件的嚴峻程度，

提出信息安全事件防范措施；

e)及時向信息安全領導小組和上級有關部門、單位報告信息安全事件；

0跟進先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。

(3)信息安全治理體系的治理者代表對公司信息安全負有以下職責:

a)建立并實施信息安全治理體系必要的程序并堅持其有效運行；

b)對信息安全治理體系的運行情形和必要的改善措施向信息安全領導

小組報告。

(4)各部門負責人為本部門信息安全治理者，全體職員都應按保密承諾的要

求自覺履行信息安全保密義務；

4.222.各部門應按照《信息安全治理體系適用性聲明》中選擇的操縱目標與R

標的操縱措施，確保ISMS有效實施與運行，并開展以下活動：

(1)確保信息安全風險的有效治理，制定《風險處理打算以以便明確治理措

施、所需資源、工作職責及識別活動的優(yōu)先順序；保證已識別的操縱目

標實施《風險處理打算》;

(2)確保處理風險所選擇的操縱措施，以滿足操縱目標；

(3)確保所選操縱措施有效測量；

(4)制定《信息安全培訓打算》并加以實施，提高全員信息安全意識和能力；

(5)治理ISMS的運行；

(6)治理ISMS的資源；

(7)制定信息安全事件或事故的程序操縱措施，以便迅速的檢測安全事件與

安全事故的響應。

422.3.ISMS的監(jiān)督檢查與評審

通過實施不定期安全檢查、內部審核、事故報告調查處理、電子監(jiān)控、定期

技術檢查(如口志審核)等操縱措施并報告結果以實現(xiàn)：

(1)及時發(fā)覺信息安全體系的事故和隱患；

(2)及時了解信息處理系統(tǒng)遭受的各類攻擊；

(3)使治理者把握信息安全活動是否有效，并依照優(yōu)先級別確定所要采取的

措施；

(4)積存信息安全方面的體會。

4.2.2.4,依照以上活動的結果以及來自相關方的建議和反饋，由信息安全工作

小組組長主持，定期(每年至少一次)對ISMS的有效性進行評審，其中包括信

息安全范疇、方針、目標及操縱措施有效性的評審。治理評審的具體要求，見本

手冊第7章。

4.2.25信息中心應組織有關部門按照《信息安全風險治理程序》的要求對風險

處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可同意的水平，對以

下方面變更情形應及時進行風險評估：

(1)組織機構發(fā)生重大變更時；

(2)信息處理技術發(fā)生重大變更時；

(3)xxxx業(yè)務目標及流程發(fā)生重大變更時；

(4)發(fā)覺信息資產(chǎn)面臨重大威逼時；

(5)外部環(huán)境，如法律法規(guī)或信息安全標準發(fā)生重大變更時。

4.2.26保持上述活動和措施的記錄。

4.2.3.1SMS保持與改進

xxxx開展以下活動，以確保ISMS的連續(xù)改進：

4.2.3.1.實施每年安全檢查、內部審核、治理評審等活動以確定需改進的項目；

4.2.32按照《內部審核治理程序》、《糾正與預防措施操縱程序》的要求采取適

當?shù)募m正和預防措施；吸取其他組織及xxxx安全事故的體會教訓，不斷改進現(xiàn)

有安全措施。

423.3.對信息安全目標及分解進行適當?shù)闹卫?，確保改進達到預期的成效。

4.2.34為了確保信息安全治理體系的連續(xù)有效，各級治理者應通過適當?shù)氖?/p>

段對信息安全措施的執(zhí)行情形與結果進行有效的交流與溝通。與外部信息安全專

家、信息安全機構、政府行政主管部門、電信運營商等組織保持聯(lián)系。與外部專

家、服務商等外部機構的聯(lián)系方式見《對外聯(lián)系表》。

4.3.文件要求

4.3.1.總那么

依照GB/T22080-2020/ISQ/IEC27001:2005信息安全治理體系標準耍求并結

合xxxx實際情形建立xxxx信息安全治理體系文件結構，體系文件分為四級，分

別為一級文件、二級文件、三級文件及四級記錄性文件。

(1)一級文件為信息安全治理體系手冊(包含信息安全方針、目標)和適用

性聲明等；

(2)二級文件為信息安全治理體系建立實施的相關程序文件；

(3)三級文件為信息安全治理體系建立實施的相關制度、方法和規(guī)程等；

(4)四級文件為信息安全治理體系實施運行過程中的記錄類文件。

4.3.2.文件操縱

為確保文件的修訂得到操縱，使用現(xiàn)場得到有效版本的文件，防止作廢文件

的非預期使用，在《文件操縱程序》中明確規(guī)定了文件的編制、評審、批準、發(fā)放、

使用、更換、再次批準、標識、回收、作廢和儲存期限等治理。

注：以上程序詳細內容見《文件操縱程序》。

4.3.3.記錄操縱

為提供有效的信息安全治理體系運行的符合性證據(jù)，并具有追溯、證實和依

據(jù)記錄采取糾正和預防措施的作用，在《記錄操縱程序》中明確規(guī)定了記錄的填寫

要求、標識、收集、儲存、檢索、防護、儲存期限和處理所需的操縱。

注：以上程序詳細內容見《記錄操縱程序

5.治理職責

5.1.治理承諾

信息安全領導小組承諾按GB/T22080-2020/ISO/IEC27001:2005信息安全治

理體系標準要求建立、實施、運行、監(jiān)視和評審，并通過連續(xù)保持和改進，使體

系不斷進展和完善。通過以下活動，確保上述承諾得以實I見：

制定ISMS方針：

(1)制定ISMS目標和實施打算；

(2)建立信息安全組織機構并明確職責；

(3)通過適當?shù)臏贤ǚ绞?，利用多種方式向全體職員傳達并使他們認識到滿

足信息安全目標、符合信息安全方針以及法律、法規(guī)要求，連續(xù)改進信

息安全的重要性；

(4)提供適當?shù)馁Y源以滿足信息安全治理體系建立、實施、運行、監(jiān)視、評

審.、保持和改進的需要；

(5)對可同意風險的等級進行判定；

(6)組織實施ISMS內部審核；

(7)組織實施ISMS治理評審。

5.2.資源治理

5.2.1.資源提供

確保并提供實施、保持信息安全治理體系所需資源，并采取適當措施，以保

證：

(1)建立、實施、運作、監(jiān)視、評審、保持和改進ISMS；

(2)確保信息安全治理程序符合業(yè)務支持流程要求；

(3)識別和滿足法規(guī)要求以及合同中的安全義務；

(4)通過正確實施所有的操縱措施保持適當?shù)男畔踩?/p>

(5)必要時，應對資源提供進行評審，并按評審結果執(zhí)行；

(6)在需要時，改進ISMS資源的有效性。

5.2.2.能力、意識和培訓

為提高全員信息安全的意識，確保相關人員履行信息安全職責所需的能力，

應采取并實施以下的治理活動：

(1)確保與ISMS有關工作人員具備必要的信息安全能力；

(2)實施信息安全意識和能力的教育及培訓并評判其培訓的有效性；

(3)通過宣傳和其池活動使職員普遍認識到信息安全職責的重要性，為實現(xiàn)

信息安全目標做出各自的奉獻；

(4)保持教育、培訓、技能、經(jīng)歷和資格或其他活動的記錄；

注：以上程序詳細內容見《教育培訓操縱程序》

5.3.安全職責

5.3.1.信息安全治理組織機構和人員職責

XXXX信息安全治理機構有XXXX信息安全領導小組和XXXX信息安全工作小

組，并配置相應的信息安全工作人員，包括信息安全治理人員、信息安全技術人

員、信息安全審計員。

5.3.2.xxxx信息安全領導小組

53.2.1.xxxx成立信息安全領導小組。xxxx信息安全領導小組是公司信息安全的

最高決策機構。

5.3.22xxxx信息安全領導小組組長由分管生產(chǎn)安全的公司領導擔任。

5.323.信息安全領導小組要緊職責如下：

a）對公司信息安全領導小組負責。

b）依照國家和行業(yè)有關信息安全的政策、法律和法規(guī)，批準公司信息安全

總體策略規(guī)劃、治理規(guī)范和技術標準。

c）確定公司信息安全各有關部門工作職責，指導、監(jiān)督信息安全工作。

d）信息安全領導小組下設兩個信息安全工作小組（包括治理信息系統(tǒng)信息

安全工

e）作小組和生產(chǎn)操縱系統(tǒng)信息安全工作小組）和應急處理工作小組，并負

責指導兩個工作組的工作。

5.3.3.xxxx信息安全工作小組

5.3.3.1.xxxx信息安全工作組隸屬xxxx信息安全領導小組，是領導小組決策的

執(zhí)行機構，工作組的E常工作由xxxx信息中心承擔。

53.3.2.xxxx信息安全工作組組長由xxxx信息中心領導擔任。

533.3.xxxx信息安全工作組要緊職責如下：

a）貫徹執(zhí)行公司信息安全領導小組的決議，和諧和規(guī)范公司信息安全工作;

b）依照信息安全領導小組的工作部署，對信息安全工作進行具體安排、落

實；

c）組織對重大的信息安全工作制度和技術操作策略進行審查，擬訂信息安

全總體策略規(guī)劃，并監(jiān)督執(zhí)行；

C1）負責和諧、督促各職能部門和有關單位的信息安全工作，參與信息系統(tǒng)

工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全

風險的防范計策；

f）負責同意各單位的緊急信息安全事件報告，組織進行事件調查，分析緣

故、涉及范疇，并評估安全事件的嚴峻程度，提出信息安全事件防范措

施；

g）及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件。

h）跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。

5.3.4.xxxx應急處理工作小組

5.3.4.1.xxxx應急處理工作小組組長由xxxx信息中心領導擔任。

5.3.42xxxx應急處理工作小組要緊職責如下：

a）審定公司信息系統(tǒng)的安全應急策略及應急預案。

b）決定相應應急預案的啟動，負責現(xiàn)場指揮，并組織相關人員排除故障，

復原系統(tǒng)。

c）每年組織對信息安全應急策略和應急預案進行測試和演練。

d）應對公司內發(fā)生的大規(guī)模信息安全事件，和諧指揮事故處理以及事故后

系統(tǒng)復原工作。

5.3.5.xxxx信息中心

xxxx信息中心是xxxx信息安全小組領導下的信息系統(tǒng)安全的職能和技術歸

口治理部門，并直截了當負責治理信息系統(tǒng)的安全治理和技術監(jiān)督工作，其職責

要緊包括：

535.1.組織制定xxxx信息安全愛護工作的總體目標和總體策略。同時依照信息

系統(tǒng)治理要求、運行環(huán)境的變化，以及系統(tǒng)本身的變化，及時更新信息安全愛護

工作的總體目標、策略、規(guī)劃、技術標準和治理制度。不斷提高信息安全治理的

技術水平和治理手段。

535.2.組織開展xxxx的信息安全等級愛護工作，并進行xxxx信息安全評估和

風險治理工作，組織編寫信息安全愛護工作的總體技術規(guī)范、治理制度、技術方

案和實施打算，并負責組織實施。

5.353.負責同意各單位的緊急信息安全事件報告，組織進行事件調查，分析緣

故、涉及范疇，并評估安全事件的嚴峻程度，提出信息安全事件防范措施；

5.354.跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。

535.5.監(jiān)督指導各治理信息系統(tǒng)的開發(fā)建設人員、運行人員、愛護人員、業(yè)務

使用人員執(zhí)行信息系統(tǒng)安全愛護的技術標準利治理制度。

535.6.組織對信息安全事故的調查取證工作，對其中涉及違紀違法、嚴峻違規(guī)

的事故配合人力資源部進行調查，并提出處理意見。

5.357.負責監(jiān)督治理數(shù)據(jù)中心及公司本部網(wǎng)絡、設備、運行環(huán)境，以及集中治

理的信息系統(tǒng)的安全愛護工作。

5.358.完成其他上級信息安全治理機構交辦的信息治理系統(tǒng)安全防護工作。

5.3.6.各級安全責任人

各級安全生產(chǎn)責任人是其職責范疇內的信息系統(tǒng)安全運行治理的責任人。各

級安全生產(chǎn)責任人職責：

5.3.6.1.負責監(jiān)督執(zhí)行xxxx制定的信息安全策略、治理制度和技術標準。

536.2.負責監(jiān)督治理其職責范疇內信息系統(tǒng)及其附屬網(wǎng)絡、設備、軟件、信息、

運行環(huán)境的安全愛護工作。

5.363.負責監(jiān)督執(zhí)行xxxx信息安全愛護的其他工作。

5.3.7.基層單位運算機及網(wǎng)絡專責

基層單位運算機及網(wǎng)絡專責是本單位范疇內治理信息系統(tǒng)安全運行工作的

責任人兼信息安全員?；鶎訂挝蛔詣踊瘜Ｘ熓潜締挝环懂爟壬a(chǎn)操縱系統(tǒng)信息安

全運行工作的責任人兼信息安全員。其安全職責：

53.7.1.負責執(zhí)行公司制定的信息安全策略、治理制度和技術標準。

5.372.負責執(zhí)行責任范疇內信息系統(tǒng)及其附屬網(wǎng)絡、設備、軟件、信息、運行

環(huán)境的安全愛護工作。

5.3.73定期向技術監(jiān)督部門報告本單位的信息安全情形，對安全缺陷和事故應

及時匯報。治理信息系統(tǒng)類安全情形向信息中心匯報，生產(chǎn)操縱系統(tǒng)類安

53.7.4,全情形向調度中心匯報。組織本單位職員進行信息安全知識的培訓和宣

傳工作。

5.3.75在職能治理部門指導下，完成xxxx信息安全等級愛護、安全評估、風險

治理及其他工作。

5.3.8.信息安全工作人員

538.1.信息安全工作人員差不多要求

5.3.82信息安全工作人員應由政治可靠、業(yè)務素養(yǎng)高、遵紀守法、恪盡職守的

人員擔任。

5.3.83信息安全工作人員應有運算機專業(yè)工作三年以上經(jīng)歷，及具備本科以上

學歷。

5.3.84兼職信息安全人員應有電力生產(chǎn)業(yè)務工作五年以上或專職運算機治理工

作三年及以上經(jīng)歷，具備?？埔陨蠈W歷。

5.3.85違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全相

關工作。

5.3.86信息安全工作人員在行使職責時，確因工作需要，經(jīng)批準，可了解涉及

電力生產(chǎn)、經(jīng)營與治理有關的信息系統(tǒng)的隱秘信息。

538.7.信息安全工作人員差不多職責：

a）信息安全工作人員發(fā)覺本單位重大信息安全隱患，有權向公司信息中心

報告。

b）信息安全工作人員發(fā)覺信息工作人員使用不當，應及時建議有關單位、

部門進行調整。

c）信息安全工作人員必須嚴格遵守國家有關法律、法規(guī)和公司有關規(guī)章制

度，嚴守公司商業(yè)隱秘。

538.8.信息安全工作人員包括信息安全治理人員、信息安全技術人員、信息安

全審計員，其相應的職責分別如下：

a）負責信息安全治理的日常工作。

b）組織開展信息安全檢查，對信息工作人員安全工作進行指導和監(jiān)督。

c）組織開展信息安全知識的培訓和宣傳工作。

d）監(jiān)控信息安全總體狀況，提出信息安全分析報告。

e）及時向信息安全領導小組和有關部門、單位報告信息安全事件。

5.3.9.信息安全技術人員職責

a）負責信息安全相關設備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、

防病毒系統(tǒng)等I的日常運行愛護治理。

b）負責防火墻系統(tǒng)策略的安全配置。

c）負責定期查看入侵檢測系統(tǒng)日志，對入侵檢測系統(tǒng)發(fā)覺的惡意攻擊行為

進行跟蹤處理。

d）負責漏洞掃描軟件（包括漏洞庫）的治理、更新和公布。

e）負責對網(wǎng)絡系統(tǒng)所有服務器和專用網(wǎng)絡設備的首次、周期性和緊急的漏

洞掃描。

f）負責設備、系統(tǒng)等補丁升級、安全加固。

g）負責定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行查殺病毒任務。

h）負責定期升級垃圾郵件網(wǎng)關特點庫、定期愛護垃圾郵件網(wǎng)關黑白名單和

規(guī)那么庫設置。

i）負責緊密注意最新網(wǎng)絡攻擊行為的發(fā)生、進展情形，關注和追蹤業(yè)界公

布的攻擊事件。

j）負責緊密注意最新漏洞的發(fā)生、進展情形，關注和追蹤業(yè)界公布的漏洞

疫情；

k）負責緊密關注雙威機構最近公布的病毒分析報告、最新惡性病毒的防范

報警以及應急處理方法。

5.3.10.信息安全審計員職責

a）負責監(jiān)督檢查單位內部信息安全審計制度及事實上施情形。

b）定期檢查信息系統(tǒng)的用戶權限設置及安全配置是否與信息系統(tǒng)安全策規(guī)

定相符合，監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全治理工作。

c）監(jiān)督信息系統(tǒng)的運行情形，定期查看日志記錄，對信息系統(tǒng)資源的各種

非法訪問事件進行分析、提出安全風險防范計策。

5.3.11.信息工作人員

信息工作人員包括系統(tǒng)治理員、系統(tǒng)愛護員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)治理

員、應用系統(tǒng)治理員、網(wǎng)絡治理員、業(yè)務操作員，其相應的安全責仟如下。

5.3.12.系統(tǒng)治理員安全責任

a）負責系統(tǒng)的運行治理，實施系統(tǒng)安全運行細那么。

b）嚴格用戶權限治理，愛護系統(tǒng)安全正常運行。

c）負責對所管轄的服務器操作系統(tǒng)進行安全配置，并定期對所管轄的服務

器操作系統(tǒng)進行安全檢查。

d）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件。

e）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

5.3.13.系統(tǒng)愛護員安全責任

a）負責系統(tǒng)愛護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行。

b）不得擅自改變系統(tǒng)配置和功能。

c）不得安裝與系統(tǒng)無關的運算機程序C

d）愛護過程中，發(fā)覺安全漏洞應及時報告信息安全工作人員。

5.3.14.系統(tǒng)開發(fā)員安全責任

系統(tǒng)開發(fā)建設中，應嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)。

a）系統(tǒng)投產(chǎn)運行前，應完整移交系統(tǒng)源代碼和相關涉密資料。

b）不得對系統(tǒng)設置''后門〃或添加''惡意代碼〃。

c）對系統(tǒng)核心技術保密。

5.3.15.數(shù)據(jù)庫系統(tǒng)治理員安全責任

a）負責數(shù)據(jù)庫治理系統(tǒng)的安裝、備份和愛護，保證系統(tǒng)的安全、正常運行。

b）負責對所管轄的數(shù)據(jù)庫系統(tǒng)進行安全配置，并定期對所管轄的數(shù)據(jù)庫系

統(tǒng)進行安全檢查。

c）負責定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)覺系統(tǒng)故障及時排除，

做好系統(tǒng)復原。

5.3.16.應用系統(tǒng)治理員安全責任

a）應依照顧用系統(tǒng)的安全策略，負責應用系統(tǒng)的用戶權限設置以及系統(tǒng)安

全配置。

b）緊密注意應用系統(tǒng)運行中發(fā)生的系統(tǒng)故障、安全事件，關注應用系統(tǒng)存

在的隱患，收集業(yè)務用戶的問題反映，及時報告信息治理部門和業(yè)務主

管部門。

C）應依照顧用系統(tǒng)運行的實際情形，制定應急處理預案，提交信息治理部

門審定。

5.3.17.網(wǎng)絡治理員安全員任

a）負責網(wǎng)絡的運行治理，實施網(wǎng)絡安全策略和安全運行細那么。

b）負責安全配置網(wǎng)絡參數(shù)，嚴格操縱網(wǎng)絡用戶訪問權限，愛護網(wǎng)絡安全正

常運行。

c）負責監(jiān)控網(wǎng)絡關鍵設備、網(wǎng)絡端口、網(wǎng)絡物理線路，防范黑客入侵，及

時向信息安全工作人員報告安全事件。

d）負責對操作網(wǎng)絡治理功能的其他人員進行安全監(jiān)督。

5.3.18.業(yè)務操作員安全責任

a）嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全治理制度。

b）不得向他人提供自己的操作口令，不得把PKI數(shù)字證書介質借給他人使

用。

c）及時向系統(tǒng)治理員報告系統(tǒng)各種專門事件。

5.3.19.一般職員

一般職員的安全責任如下：

a）每個職員須有責任愛護本單位的運算機資源、設備及數(shù)據(jù)信息。

b）每個職員有責任確保本機須符合信息安全措施要求，包括加入域、安裝

統(tǒng)的防病毒軟件、軟件補丁，并定期升級。

c）因工作需要訪問互聯(lián)網(wǎng)的職員，經(jīng)審批后只能使用本單位互聯(lián)網(wǎng)出口。

不得以任何設備（如手機、ADSL、MODEM等）私自將本單位運算機接入

互聯(lián)網(wǎng)。

d）離開辦公室或工作區(qū)域，須鎖定運算機屏幕或關閉運算機。在辦公室之

外的地點工作，須將筆記本電腦置于操縱之下。

e）嚴格遵守''涉密信息不上網(wǎng)，上網(wǎng)信息不涉密〃的紀律。未經(jīng)授權不準

制作、復制、公布、傳播任何可能泄漏國家隱秘、單位商業(yè)隱秘,、工作

隱秘的信息。

f）禁止通過本單位運算機及網(wǎng)絡訪問不良及政治敏銳網(wǎng)站，禁止傳播、擴

散不良或政治敏銳信息，嚴禁利用本單位運算機及網(wǎng)絡從事違法活動。

g）發(fā)覺緊急事件（如運算機感染病毒、非法入侵等）時，須第一斷開網(wǎng)絡

連接，并及時很告信息服務中心或本單位信息安全人員處理。

h）不得在單位掃瞄與工作無關的網(wǎng)站，不得運行與工作無關的軟件，不得

打開來歷不明的郵件，職員在單位網(wǎng)絡內群發(fā)郵件僅能夠用于工作目的。

D未經(jīng)信息治理部門承諾，職員不得監(jiān)控網(wǎng)絡流量，不得針對單位內的網(wǎng)

絡或服務器進行安全掃描程序，不得增加網(wǎng)絡設備（如HUB、交換機）到

本單位內的網(wǎng)絡架構中C

j）禁止職員在網(wǎng)絡上假裝為他人身份，禁止利用連網(wǎng)運算機從事危害單位

網(wǎng)絡與信息安全的行為，不得危害或侵入服務器、工作站，不得有網(wǎng)絡

攻擊行為。

k）禁止職員在網(wǎng)絡上傳播未經(jīng)證實信息、垃圾郵件和廣告等無關消息或在

網(wǎng)絡上以單位的名義表達私人的意見或看法。

1）職員應妥善保管自身的帳號、口令、PKI數(shù)字證書介質（如智能卡、USB

KEY）等，口令安全符合相關規(guī)定，丟失時須及時報告信息服務中心。

6.內部ISMS審核

信息中心按打算的時刻定期組織內部ISMS審核，以確定其ISMS的操縱目

標、操縱措施、過程和程序是否：

（1）符合GB/T22080-2020/ISO/IEC27001;2005信息安全治理體系要求

標準和相關法律法規(guī)要求：

（2）符合己識別確定的信息安全要求；

（3）有效實施和保持；

（4）完成預期的目標。

注：以上程序詳細內容見《內部審核操縱程序》。

7.ISMS治理評審

7.1.總那么

信息安全治理體系治理者代表應按打算的時刻間隔(原那么上一年進行一次

評審，組織發(fā)生重大變更或信息安全顯現(xiàn)重大事