企業(yè)信息安全管理手冊(cè)范文

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

XXXX有限公司

信息安全管理管控手冊(cè)

密級(jí)口機(jī)密口保密■內(nèi)部使用口公開(kāi)信息受控狀態(tài)■受控口非受控

2011-12?01頒布封面2011-01-01實(shí)施

深圳市xxxx有限公司信息中心發(fā)布

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

文件歷史控制記錄

文件名稱(chēng)信息安全管理管控手冊(cè)

文件編號(hào)IT-IT-M-OOO3

對(duì)應(yīng)0A文號(hào)

版次編制與修訂概要完成日期狀態(tài)

角色人員

編寫(xiě)

初審

會(huì)簽

審核

批準(zhǔn)

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

第一章前言

隨著XXXX有限公司業(yè)務(wù)發(fā)展日益增長(zhǎng)，信息交換互連面也隨之

增大，信息業(yè)務(wù)系統(tǒng)依賴(lài)性擴(kuò)大，所帶來(lái)的信息安全風(fēng)險(xiǎn)和信息脆弱

點(diǎn)也逐漸呈現(xiàn)，原有信息安全技術(shù)和管理管控手段很難滿足目前和未

來(lái)信息化安全的需求，為確保XXXX有限公司信息及信息系統(tǒng)的安全,

使之免受各種威脅和損害，保證各項(xiàng)信息系統(tǒng)業(yè)務(wù)的連續(xù)性，使信息

安全風(fēng)險(xiǎn)最小化，XXXX有限公司每年開(kāi)展網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)

評(píng)估及等級(jí)保護(hù)測(cè)評(píng)，定期對(duì)等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估活動(dòng)過(guò)程中的

風(fēng)險(xiǎn)漏洞進(jìn)行全面整改，分析了信息安全管理管控上的不足與缺陷,

編制了差距測(cè)評(píng)報(bào)告。通過(guò)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)測(cè)評(píng),

了解XXXX有限公司信息安全現(xiàn)狀和未來(lái)需求，為建立XXXX有限公司

信息安全管理管控體系奠定了基礎(chǔ)。

2011年7月開(kāi)展信息安全管理管控體系持續(xù)改進(jìn)建設(shè)，依據(jù)信

息安全現(xiàn)狀和未來(lái)信息安全需求及

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系的標(biāo)準(zhǔn)

要求，建立了符合XXXX有限公司信息安全管理管控現(xiàn)狀和管理管控

需求的信息安全管理管控體系，該體系覆蓋了

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系的標(biāo)準(zhǔn)

耍求12個(gè)控制領(lǐng)域、39個(gè)控制目標(biāo)和133個(gè)控制措施。

本手冊(cè)是xxxx有限公司信息安全管理管控體系的綱領(lǐng)性文件，

由信息中心歸口負(fù)責(zé)解釋。

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

第二章信息安全管理管控手冊(cè)頒布令

XXXX有限公司（以下簡(jiǎn)稱(chēng)公司）依據(jù)

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標(biāo)準(zhǔn)要

求，結(jié)合限公司實(shí)際情況，在原有的各項(xiàng)管理管控制度的基礎(chǔ)上編制

完成了《XXXX有限公司信息安全管理管控體系手冊(cè)》第一版，現(xiàn)予

以批準(zhǔn)實(shí)施。

《XXXX有限公司信息安全管理管控體系手冊(cè)》是公司在信息及

信息系統(tǒng)安全方面的規(guī)范性文件，手冊(cè)闡述了限公司信息安全服務(wù)方

針，信息安全目標(biāo)及信息安全管理管控體系的過(guò)程方法和策略，是公

司信息安全管理管控體系建設(shè)實(shí)施的綱領(lǐng)和行動(dòng)準(zhǔn)則，是公司開(kāi)展各

項(xiàng)服務(wù)活動(dòng)的基本依據(jù)；是對(duì)社會(huì)各界證實(shí)我公司有能力穩(wěn)定地提供

滿足國(guó)際標(biāo)準(zhǔn)信息安全要求以及客戶(hù)和法律法規(guī)相關(guān)要求的有效證

據(jù)。適合公司信息化目前發(fā)展趨勢(shì)需求，且合適的內(nèi)容充分、表達(dá)準(zhǔn)

確，現(xiàn)予頒布。

本手冊(cè)定于2011年8月1日起實(shí)施，屬?gòu)?qiáng)制性文件，要求各部

門(mén)所有人員必須正確理解并嚴(yán)格貫徹全面執(zhí)行。

XXXX有限公司

總經(jīng)理簽名：

日期：2011年01月01日

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

第三章公司介紹

1.企業(yè)簡(jiǎn)介

xxxx有限公司(以下笥稱(chēng)xxxx)始創(chuàng)于2002年4月，大致經(jīng)過(guò)三個(gè)發(fā)展階

段：第一階段，2002年—2004年，為創(chuàng)業(yè)期，全力開(kāi)拓市場(chǎng)，實(shí)現(xiàn)在競(jìng)爭(zhēng)激烈

的行業(yè)中立足；第二階段，2004—2006年，為整合期，整合一切有效資源，重

力推出新產(chǎn)品，奠定以?xún)?yōu)質(zhì)產(chǎn)品占據(jù)市場(chǎng)的方向，梳理并確立了經(jīng)營(yíng)理念、發(fā)展

愿景、經(jīng)營(yíng)方針，完成了股份制改革；第三階段，2006—至今，為蛻變期，立足

電氣傳動(dòng)、工業(yè)控制領(lǐng)域，為全球用戶(hù)提供專(zhuān)業(yè)化產(chǎn)品和服務(wù)，于2010年在深

交所A股上市，股票代碼：002334,步入不斷提升企業(yè)核心競(jìng)爭(zhēng)力，并實(shí)現(xiàn)飛躍

的階段。

目前xxxx設(shè)有國(guó)內(nèi)辦事處30多個(gè)，海外辦事處2個(gè)，擁有海內(nèi)外經(jīng)銷(xiāo)合作

伙伴上百家，用戶(hù)遍布全球50多個(gè)國(guó)家和地區(qū)。

xxxx是國(guó)家級(jí)高新技術(shù)企業(yè)，擁有深圳市唯一的“變頻器工程技術(shù)研究開(kāi)

發(fā)中心”。

在吸收國(guó)外先進(jìn)技術(shù)的基礎(chǔ)上，結(jié)合近十年變頻推廣應(yīng)用經(jīng)驗(yàn)和當(dāng)今電力電

子最新控制技術(shù)，研制出高、中、低壓通用及各行業(yè)專(zhuān)用變頻器、交流伺服系統(tǒng)、

制動(dòng)單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機(jī)械、化工、

冶金、紡織、印刷、機(jī)床、礦山等行業(yè)廣泛應(yīng)用。

xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專(zhuān)用系列、中壓

660V/1140V系列、高壓CIE(3KV/6KV/10KV)系列等，功率范圍涵蓋。4?8000kW,

滿足不同行業(yè)不同場(chǎng)合的冬種變頻控制應(yīng)用需求。

成熟矢量控制技術(shù)、各行業(yè)專(zhuān)用變頻控制技術(shù)的掌握以及國(guó)際領(lǐng)先四象限控

制技術(shù)的突破使xxxx的發(fā)展持續(xù)領(lǐng)先,成為中國(guó)變頻器行業(yè)的領(lǐng)導(dǎo)者。高性能

交流伺服系統(tǒng)的開(kāi)發(fā)與成功應(yīng)用標(biāo)志著xxxx向運(yùn)動(dòng)控制領(lǐng)域的拓展與延伸。

xxxx在“眾誠(chéng)德厚、業(yè)精志遠(yuǎn)”的經(jīng)營(yíng)理念指導(dǎo)下，堅(jiān)持在不斷創(chuàng)新、精

益求精中與包括員工、股東、供應(yīng)商、客戶(hù)等廣大合作伙伴共同發(fā)展，公司的自

主創(chuàng)新及品牌美譽(yù)度在行業(yè)中已經(jīng)占有重要地位，并得到社會(huì)的廣泛認(rèn)同。

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

2.企業(yè)文化

經(jīng)營(yíng)理念：眾誠(chéng)德厚業(yè)精志遠(yuǎn)

愿景：成為全球領(lǐng)先、受人尊敬的電氣傳動(dòng)、工業(yè)芯制領(lǐng)域的產(chǎn)品和服務(wù)供

應(yīng)商。

使命：竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶(hù)更有競(jìng)爭(zhēng)力。

經(jīng)營(yíng)方針：創(chuàng)新品質(zhì)標(biāo)準(zhǔn)化共同發(fā)展

核心價(jià)值觀：眾誠(chéng)德厚拼搏創(chuàng)新

人才理念：人才是企業(yè)第一資本尊重人才，經(jīng)營(yíng)人才

質(zhì)量方針：提供不斷優(yōu)化的產(chǎn)品和服務(wù)，提高客戶(hù)滿意度。

3.企業(yè)標(biāo)識(shí)：

標(biāo)識(shí)釋義：

xxxx企業(yè)標(biāo)徽有兩種色彩:xxxx紅(M100Y80)、xxxx藍(lán)(C100M80K40),

紅色體現(xiàn)進(jìn)取和活力，藍(lán)色象征包容和專(zhuān)注的鉆研精神。字體設(shè)計(jì)簡(jiǎn)潔、凝聚、

渾厚、擴(kuò)張，傳達(dá)xxxx通過(guò)與合作伙伴和員工的合力凝聚堅(jiān)固產(chǎn)品品質(zhì)，厚重

企業(yè)誠(chéng)信、拼搏創(chuàng)新、走向國(guó)際、再創(chuàng)新高的思想。

>“INVT”是變頻器(inverter),也是創(chuàng)新(innovation)和美德(virtue)

的結(jié)合，是xxxx核心價(jià)值觀“眾誠(chéng)德厚，拼搏創(chuàng)新”的標(biāo)識(shí)承載；

>首字母“i”色彩紅藍(lán)結(jié)合，強(qiáng)調(diào)xxxx企業(yè)一一個(gè)人與團(tuán)隊(duì)、個(gè)人與公

司、xxxx與客戶(hù)、供應(yīng)商的相互信賴(lài)，共同發(fā)展；

>紅色圓點(diǎn)是旭日也是星球，藍(lán)色體現(xiàn)企業(yè)所在地域一一濱海城市深圳，

體現(xiàn)xxxx電氣立足本土,致力于成為全球領(lǐng)先、受人尊敬的電氣傳動(dòng)、

工業(yè)控制領(lǐng)域產(chǎn)品/服務(wù)供應(yīng)商的遠(yuǎn)景目標(biāo)。

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

第四章信息安全管理管控目標(biāo)

根據(jù)國(guó)家信息安全等級(jí)保護(hù)要求、公司下達(dá)的目標(biāo)與指標(biāo)、公司

信息化發(fā)展戰(zhàn)略目標(biāo)、信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果、信息用戶(hù)的滿意度,

結(jié)合公司實(shí)現(xiàn)目標(biāo)所需的資源，識(shí)別公司的信息安全目標(biāo)與指標(biāo)。

公司每年年底制定下一年度的信息安全目標(biāo)與指標(biāo)，公司制定完

成信息安全目標(biāo)與指標(biāo)的工作相關(guān)計(jì)劃，將目標(biāo)、指標(biāo)的層層分解,

并落實(shí)完成。下列是詳細(xì)的信息安全目標(biāo)：

目標(biāo)統(tǒng)計(jì)

目標(biāo)類(lèi)別目標(biāo)項(xiàng)目標(biāo)換算方法

值周期

（不可接受風(fēng)險(xiǎn)數(shù)處理數(shù)/不可受風(fēng)險(xiǎn)總數(shù)）年

不可接受風(fēng)險(xiǎn)處理率100%

XI00%

年

機(jī)密信息泄密事件0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

年

秘密信息泄密事件。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

年

特別重大突發(fā)事件（I級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

信

息年

重大突發(fā)事件（II級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

安

全年

目較大突發(fā)事件（IH級(jí)）。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

標(biāo)

年

一般突發(fā)事件（IV級(jí)）。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

內(nèi)部審核及管理管控評(píng)審實(shí)年

100%按相關(guān)計(jì)劃實(shí)施

施及時(shí)率

（入職員工參訓(xùn)人數(shù)/入職員工總數(shù)）X年

員工入職培訓(xùn)完成率100%

100%

信息安全培訓(xùn)相關(guān)計(jì)劃完成（實(shí)際培訓(xùn)次數(shù)/相關(guān)計(jì)劃培訓(xùn)次數(shù)）X年

100%

率100%

信

息年

大面積感染計(jì)算機(jī)病毒次數(shù)。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

安

全

運(yùn)由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)年

。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

行中斷次數(shù)

指

標(biāo)年

一員工保密協(xié)議簽訂率100%（實(shí)際簽訂人數(shù)/入職總?cè)藬?shù)）X100%

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

目標(biāo)統(tǒng)計(jì)

目標(biāo)類(lèi)別目標(biāo)項(xiàng)目標(biāo)換算方法

值周期

年

重要信息備份及時(shí)率100%（實(shí)際備份數(shù)/相關(guān)計(jì)劃備份數(shù)）X100%

（不符合項(xiàng)整改完成數(shù)/不符合項(xiàng)總數(shù)）X年

內(nèi)部審核不符合項(xiàng)整改率290%

100%

年

計(jì)算機(jī)故障處理完成率100%（實(shí)際處理數(shù)/故障總數(shù)）X100%

年

容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)W3按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

年

計(jì)算機(jī)口令強(qiáng)度符合率100%（帳號(hào)符合數(shù)/帳號(hào)總數(shù)）X100%

注：公司的信息安全目標(biāo)不限此，可根據(jù)各部門(mén)的實(shí)際業(yè)務(wù)進(jìn)行調(diào)整或分解。

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

第五章信息安全會(huì)議

1.信息安全會(huì)議要求

1.1.公司應(yīng)在每年一次的信息化工作會(huì)議上，總結(jié)匯報(bào)本年度的信

息安全工作情況。

1.2.公司應(yīng)在每季度召開(kāi)的計(jì)算機(jī)管理管控會(huì)議中，總結(jié)本季度的

信息安全工作情況。

1.3.公司信息中心應(yīng)在每月召開(kāi)的信息管理管控工作例會(huì)中，總結(jié)

本月的信息安全工作情況。

1.4.公司應(yīng)根據(jù)風(fēng)險(xiǎn)變化的需要或在重大活動(dòng)期間，不定期召開(kāi)信

息安全專(zhuān)題會(huì)。

2.信息安全會(huì)議記錄管理管控

2.1.公司應(yīng)及時(shí)制定相關(guān)的信息安全管理管控文件、信息安全數(shù)據(jù)與

記錄。

2.2.信息安全管理管控?cái)?shù)據(jù)與記錄包括：

1）信息安全會(huì)議紀(jì)要

2）信息安全事故調(diào)查報(bào)告

3）信息安全事件整改報(bào)告

4）信息安全檢查整改合適的方案

5）信息安全審計(jì)記錄

6）技術(shù)檔案資料

7）培訓(xùn)記錄

文件編號(hào)IT-IT-M-OOO3

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

8）信息安全作業(yè)活動(dòng)數(shù)據(jù)與記錄

9）信息安全事件通報(bào)、整改活動(dòng)

10）信息安全檢查活動(dòng)

11）應(yīng)急演練活動(dòng)

12）信息系統(tǒng)定級(jí)備案活動(dòng)

13）信息安全審計(jì)活動(dòng)

14）信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)

15）數(shù)據(jù)與記錄要求：真實(shí)、完整、齊全、準(zhǔn)確、及時(shí)。

3.信息文件的管理管控

3.1.根據(jù)精簡(jiǎn)、高效的原則，制定公司信息安全工作和管理管控流程，

包括：

1）信息安全管理管控流程

2）信息安全事件處理流程

3）信息安全應(yīng)急流程

4）其它相關(guān)流程

3.2.每年回顧流程的效率，必要時(shí)修訂、增加或廢除不必要的流程或

環(huán)節(jié)。

3.3.信息安全管理管控流程和信息安全事件處理流程納入信息安全管

理管控體系中管理管控

3.4.信息安全應(yīng)急流程納入《xxxx有限公司網(wǎng)絡(luò)與信息安全專(zhuān)項(xiàng)應(yīng)急

預(yù)案》中管理管控。

文件編號(hào)IT-IT-M-0003

一級(jí)文件版本V1.0

保密等級(jí)內(nèi)部使用

標(biāo)題信息安全管理手冊(cè)生效日期2011年01月01日

35根據(jù)管理管控變化、技術(shù)變化，公司定期修訂如下：

1）更新管理管控手冊(cè)、程序文件、作業(yè)指導(dǎo)書(shū)或管理管控制

度、辦法；

2）更新培訓(xùn)要求；

3）更新應(yīng)急處置程序；

3.6.對(duì)涉及到的所有信息安全風(fēng)險(xiǎn)進(jìn)行回顧分析；

3.7.變化管理管控需文件化，并保存變化過(guò)程的相關(guān)記錄。

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第12頁(yè)共71頁(yè)

第六章信息安全管理管控體系

1.總則

1.1.為了加強(qiáng)XXXX有限公司(以下簡(jiǎn)稱(chēng)“XXXX有限公司或公司”)信息安全管理

管控工作，保護(hù)信息系統(tǒng)的安全，促進(jìn)信息系統(tǒng)的應(yīng)用和發(fā)展，根據(jù)國(guó)家有關(guān)法

律法規(guī)，以及變頻器行業(yè)的管理管控規(guī)范、行業(yè)標(biāo)準(zhǔn)，并遵照公司信息系統(tǒng)安全

的有關(guān)規(guī)定，特制定本手冊(cè)。

1.2.信息系統(tǒng)的安全保護(hù)范圍包括各信息系統(tǒng)相關(guān)的和配套的軟件、硬件、信息、

網(wǎng)絡(luò)和運(yùn)行環(huán)境的安全。

1.3.xxxx有限公司信息系統(tǒng)安全管理管控應(yīng)遵循“統(tǒng)一規(guī)劃、預(yù)防為主、集中管

理管控、分層保護(hù)、明確責(zé)任”的原則。

1.4.xxxx有限公司運(yùn)行中的信息系統(tǒng)是支撐生產(chǎn)的運(yùn)行設(shè)備，各級(jí)安全生產(chǎn)責(zé)任

人時(shí)其職責(zé)范圍內(nèi)的信息系統(tǒng)安全運(yùn)行負(fù)有安全管理管控責(zé)任。

15任何人不得利用信息系統(tǒng)從事危害國(guó)家利益、集體利益和其他公民權(quán)益的活

動(dòng)，不得從事危害xxxx有限公司信息系統(tǒng)安全的活動(dòng)。

1.6.本手冊(cè)適用于公司本部、各基層單位的信息系統(tǒng)的安全保護(hù)工作。公司多經(jīng)

企業(yè)參照?qǐng)?zhí)行。

2.規(guī)范性引用標(biāo)準(zhǔn)

2.1.《信息安全等級(jí)保護(hù)管理管控辦法》(公通字[2007]43號(hào))

2.2.《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)

2.3.《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)

2.4.《信息安全技術(shù)信息安全管理管控實(shí)用規(guī)則》(GB/T22081-2008)

2.5.《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)

2.6.國(guó)家相關(guān)法律、法規(guī)及合同合約的要求。

第12頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第13頁(yè)共71頁(yè)

3.術(shù)語(yǔ)與定義

3.1.資產(chǎn)asset

任何對(duì)組織有價(jià)值的東西。

3.2.可用性availabi1ity

根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性。

3.3.保密性confidenliality

信息不能被未授權(quán)的個(gè)人、實(shí)體或者過(guò)程利用或知悉的特性。

3.4.信息安全informationsecurity

保證信息的保密性、完整性、可用性；另外也可包括諸如真實(shí)性，可核查性，

不可否認(rèn)性和可靠性等特性。

3.5.信息安全事態(tài)informationsecurityevent

信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的?種可識(shí)別的狀態(tài)的發(fā)生，它可能是

對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的?個(gè)先前未知的狀

態(tài)。

3.6.信息安全事件informationsecurityincident

一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成，它們

具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。

3.7.信息安全管理管控體系informationsecuritymanagementsystem

是整個(gè)管理管控體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)

行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。

注：管理管控體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、

過(guò)程和資源。

3.8.完整性integrity

第13頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第14頁(yè)共71頁(yè)

保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。

3.9.殘余風(fēng)險(xiǎn)residualrisk

經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)。

3.1().風(fēng)險(xiǎn)接受riskacceptance

接受風(fēng)險(xiǎn)的決定。

3.11.風(fēng)險(xiǎn)分析riskanalysis

系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和估計(jì)風(fēng)險(xiǎn)。

3.12.風(fēng)險(xiǎn)評(píng)估riskassessment

風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。

3.13.風(fēng)險(xiǎn)評(píng)價(jià)riskevaluation

將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程。

3.14.風(fēng)險(xiǎn)管理管控riskmanagement

指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。

3.15.風(fēng)險(xiǎn)處理risktreatment

選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。

注：在本標(biāo)準(zhǔn)中，術(shù)語(yǔ)“控制措施”被用作“措施”的同義詞。

3.16.適用性聲明statementofapplicability

描述與組織的信息安全管理管控體系相關(guān)的和適用的控制目標(biāo)和控制措施

的文檔。

3.17.信息系統(tǒng)

是指由計(jì)算機(jī)及其相關(guān)配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)

用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)，包

第14頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第15頁(yè)共71頁(yè)

括管理管控信息系統(tǒng)和生產(chǎn)控制系統(tǒng)。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括諸如真實(shí)性，可核查性，

不可否認(rèn)性和可靠性等。

3.19.信息系統(tǒng)運(yùn)行單位

是指信息系統(tǒng)資產(chǎn)歸屬單位，對(duì)于托管的信息系統(tǒng)有另行約定的除外。

3.20.信息安全工作人員

是指包括信息安全管理管控人員、信息安全技術(shù)人員（包括防火墻、入侵檢

測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關(guān)設(shè)備的管理管控員）和信息

安全審計(jì)員。

3.21.信息工作人員

是指與關(guān)鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設(shè)與經(jīng)營(yíng)、管理管控等核心業(yè)務(wù)且

有保密要求的信息系統(tǒng)）直接相關(guān)的系統(tǒng)管理管控人員、網(wǎng)絡(luò)管理管控人員、關(guān)

鍵業(yè)務(wù)信息系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)操作人員等。

3.22.第三方

是指軟件開(kāi)發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商以及

其它外協(xié)單位。

3.23.第三方人員

是指包括軟件開(kāi)發(fā)商出、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供

商及其它外協(xié)服務(wù)單位的工作人員，以及實(shí)習(xí)學(xué)生和其他臨時(shí)工作人員。

3.24.信息資產(chǎn)

是指公司在生產(chǎn)、經(jīng)營(yíng)和管理管控過(guò)程中，所需要的以及所產(chǎn)生的，用以支

持（或指導(dǎo)、或影響）公司生產(chǎn)、經(jīng)營(yíng)和管理管控的--切有用的數(shù)據(jù)和資料等非

財(cái)務(wù)的無(wú)形資產(chǎn)，其范圍包括現(xiàn)在的和歷史的。

第15頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第16頁(yè)共71頁(yè)

3.25.信息系統(tǒng)運(yùn)行維護(hù)單位

是指與信息系統(tǒng)運(yùn)行單位簽訂維護(hù)合同合約的專(zhuān)業(yè)服務(wù)提供商。

3.26.信息安全等級(jí)保護(hù)

是指根據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)管理管控文件，確定信息系統(tǒng)的安全保

護(hù)等級(jí)，并開(kāi)展相應(yīng)的信息系統(tǒng)安全等級(jí)保護(hù)，作。

3.27.信息安全評(píng)估

是指，按照《管理管控辦法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)

的自杳自糾、差距評(píng)測(cè)、安全整改等續(xù)工作。

3.28.安全風(fēng)險(xiǎn)管理管控

是指采用風(fēng)險(xiǎn)管理管控的理念與方法來(lái)識(shí)別、評(píng)估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，制

定風(fēng)險(xiǎn)控制措施，并將風(fēng)險(xiǎn)降低到可接受的程度，安全風(fēng)險(xiǎn)管理管控包括風(fēng)險(xiǎn)評(píng)

估和風(fēng)險(xiǎn)控制。

注：基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同合

約義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求，制定控制目標(biāo)和控制措施。

3.29.標(biāo)準(zhǔn)縮寫(xiě)

ISMS：信息安全管理管控體系(InformationSecurityManagementSystems)；

SoA：適用性聲明(StatementofApplicability)；

PDCA：建立、實(shí)施和運(yùn)行、監(jiān)視和評(píng)審、保持和改進(jìn)(Plan、Do、Check.

Act)o

4.信息安全管理管控體系

4.1.總要求

根據(jù)GB/T22080-2008/1SO/1EC27001:2005信息安全管理管控體系要求標(biāo)

準(zhǔn)在整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持

和改進(jìn)文件化的信息安全管理管控體系。ISMS所涉及的過(guò)程基于以下PDCA模式：

第16頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第17頁(yè)共71頁(yè)

策劃

檢查

圖4-1PDCA模型

規(guī)劃（建立ISMS）建立與管理管控風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方

針、目

標(biāo)、過(guò)程和程序，以提供與組織總方針和總目標(biāo)相一致

的結(jié)果。

實(shí)施（實(shí)施和運(yùn)行ISMS）實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。

檢查（監(jiān)視和評(píng)審ISMS）對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，

測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理管控者以供評(píng)

審。

處置（保持和改進(jìn)ISMS）基于ISMS內(nèi)部審核和管理管控評(píng)審的結(jié)果或者其他相

關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。

本手冊(cè)中提出的用于信息安全管理管控的過(guò)程方法鼓勵(lì)其用戶(hù)強(qiáng)調(diào)以下方

面的重要性：

a）理解xxxx有限公司的信息安全要求和建立信息安全方針與目標(biāo)的需要；

b）從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度.實(shí)施利運(yùn)行控制.措施,以管理管控xxxx

有限公司的信息安全風(fēng)險(xiǎn)；

c）監(jiān)視和評(píng)審ISMS的執(zhí)行情況和有效性；

d）基于客觀測(cè)量的持續(xù)改進(jìn)。

第”頁(yè)共71頁(yè)

編號(hào)：

時(shí)值：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第18頁(yè)共71頁(yè)

本標(biāo)準(zhǔn)采用了“規(guī)劃(Plan)-實(shí)施(Do)-檢查(Check)-處置(Act本(PDCA)

模型，該模型可應(yīng)用于所有的ISMS過(guò)程。圖1說(shuō)明了ISMS如何把相關(guān)方的信息

安全要求和期望作為輸入，并通過(guò)必要的行動(dòng)和過(guò)程，產(chǎn)生滿足這些要求和期望

的信息安全結(jié)果。圖4-1描述了4、5、6、7和8章所提出的過(guò)程間的聯(lián)系。

采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南(2002版)

中所設(shè)置的原則。本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)和實(shí)施、

安全管理管控和再評(píng)估的原則提供了一個(gè)強(qiáng)健的模型。

421sMs的建立、實(shí)施和運(yùn)作、監(jiān)督和評(píng)審、保持和改進(jìn)

4.2.1.建立ISMS

.xxxx有限公司ISMS的范圍和邊界

根據(jù)業(yè)務(wù)、組織、資產(chǎn)、位置等方面的特性，確定ISMS的范圍和邊界。xxxx

有限公司信息安全管理管控體系的范圍和邊界包括：

(1)業(yè)務(wù)邊界：xxxx有限公司為開(kāi)展供電業(yè)務(wù)，在管理管控信息大區(qū)范圍內(nèi)

實(shí)施的信息安全管理管控，

(2)組織邊界：xxxx有限公司信息中心；

(3)資產(chǎn)邊界：xxxx有限公司負(fù)責(zé)管理管控的信息資產(chǎn)；

(4)物理邊界；廣東省廣州市天河區(qū)天南二路239號(hào)和梅花路機(jī)房

.確定xxxx有限公司ISMS方針應(yīng)滿足以下要求

(I)確保為ISMS方針建立一個(gè)框架并為信息安全實(shí)施和運(yùn)作、監(jiān)督和評(píng)審、

保持和改進(jìn)的活動(dòng)建立系統(tǒng)的方向與原則；

(2)確定業(yè)務(wù)發(fā)展、法律法規(guī)要求及其它相關(guān)方合同合約涉及的信息安全要

求；

(3)在組織的戰(zhàn)略和風(fēng)險(xiǎn)管理管控下，建立和保持ISMS；

(4)建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則和機(jī)團(tuán)隊(duì)；

(5)獲得信息安全領(lǐng)導(dǎo)小組批準(zhǔn)。

4.2.13風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法

第18頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第19頁(yè)共71頁(yè)

XXXX有限公司信息中心負(fù)責(zé)建立信息安全風(fēng)險(xiǎn)評(píng)估控制程序并組織實(shí)施。

風(fēng)險(xiǎn)評(píng)估控制程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平，所選擇的評(píng)估方法應(yīng)確保

風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險(xiǎn)評(píng)估過(guò)程控制執(zhí)行《信息

安全風(fēng)險(xiǎn)評(píng)估程序》，以下是風(fēng)險(xiǎn)評(píng)估流程圖；

風(fēng)險(xiǎn)評(píng)估流程圖

4.2.1.4.風(fēng)險(xiǎn)識(shí)別

在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別.信息資產(chǎn)包括

軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、服務(wù)、人力資源。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)

重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成《重要信息資產(chǎn)清單》。

4.2.1.5.評(píng)估風(fēng)險(xiǎn)

第19頁(yè)共71頁(yè)

編號(hào)：

時(shí)瓦2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第20頁(yè)共71頁(yè)

(1)針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考《信息安全威脅列表》及以往的安全事

故(事件)記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出所有重要信息資產(chǎn)所面臨

的威脅；

(2)針對(duì)每一項(xiàng)威肋，，考慮現(xiàn)有的控制措施，參考《信息安全薄弱點(diǎn)列表》

識(shí)別出可能被該威脅利用的薄弱點(diǎn)；

(3)綜合考慮以上2點(diǎn)，按照《威脅發(fā)生可能性等級(jí)表》中的判定準(zhǔn)則對(duì)每

一個(gè)威脅發(fā)生的可能性進(jìn)行賦值；

(4)根據(jù)《威脅影響程度判斷準(zhǔn)則》，判斷一個(gè)威脅發(fā)生后對(duì)信息資產(chǎn)在保

密性(C)、完整性⑴和可用性(A)方面的損害及對(duì)公司、業(yè)務(wù)的威脅影響程度，對(duì)其

威脅影響程度進(jìn)行賦值；

(5)進(jìn)行風(fēng)險(xiǎn)大小計(jì)算時(shí)，考慮威脅產(chǎn)生安全故障的可能性及其所造成影響

程度兩者的結(jié)合，根據(jù)風(fēng)險(xiǎn)計(jì)算公式來(lái)計(jì)算風(fēng)險(xiǎn)等級(jí)；

(6)對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定風(fēng)險(xiǎn)接受

準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)。

4.2.16風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià)

XXXX有限公司信息中心組織有關(guān)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處

理相關(guān)計(jì)劃》，該相關(guān)計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門(mén)、方法及時(shí)間。對(duì)于信息安

全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?/p>

(1)采用適當(dāng)?shù)膬?nèi)部控制措施；

(2)接受某些風(fēng)險(xiǎn)(不可能將所有風(fēng)險(xiǎn)降低為零)；

(3)規(guī)避某些風(fēng)險(xiǎn)(如物理隔離)；

(4)轉(zhuǎn)移某些風(fēng)險(xiǎn)(如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司、供應(yīng)方)。

.選擇控制目標(biāo)與控制措施

(1)信息中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織

有關(guān)部門(mén)制定信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門(mén)。信息安全目標(biāo)應(yīng)獲得信

息安全領(lǐng)導(dǎo)小組的批準(zhǔn)。

第20頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第21頁(yè)共71頁(yè)

(2)控制目標(biāo)及控制措施的選擇原則來(lái)源于

GB/T22080-2008/ISG/IEC27001:2005信息安全管理管控體系要求標(biāo)準(zhǔn)附錄A,

具體控制措施可以參考GB/T22()81-2()()8/ISO/IEC27()02:2()()5《信息技術(shù)一安全技

術(shù)一信息安全管理管控實(shí)施細(xì)則》。xxxx有限公司根據(jù)信息安全管理管控的需

要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。

.適用性聲明

信息中心負(fù)責(zé)《信息安全管理管控體系適用性聲明》(SoA)編制，由信息中

心歸口管理管控。該聲明包括以下方面的合適的內(nèi)容：

(1)所選擇控制目標(biāo)與控制措施的概要描述；

(2)當(dāng)前已經(jīng)實(shí)施的控制；

(3)對(duì)GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系要求附錄

A中未選用的控制目標(biāo)及控制措施的說(shuō)明。

注：該聲明的詳細(xì)合適的內(nèi)容見(jiàn)《信息安全管理管控體系適用性聲明》。

4.2.2.ISMS實(shí)施及運(yùn)行

4.2.2.LISMS崗位職責(zé)和權(quán)限

(1)信息安全領(lǐng)導(dǎo)小蛆組長(zhǎng)為公司信息安全最高管理管控者。領(lǐng)導(dǎo)小組主要

職責(zé)；

a)國(guó)家有關(guān)信息安全的政策、法律和法規(guī)，以及南方電網(wǎng)公司和公司的

統(tǒng)?部署要求，審查、批準(zhǔn)xxxx有限公司信息安全策略、管理管控

規(guī)范和技術(shù)標(biāo)準(zhǔn)；

b)部署信息安全總體工作，審定信息安全投資策略，建立工作考評(píng)機(jī)制；

c)指導(dǎo)信息安全保障體系建設(shè)和應(yīng)急管理管控C

(2)信息安全工作小組主要職責(zé)：

a)根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對(duì)信息安全工作進(jìn)行具體安排、

落實(shí)；

b)貫徹執(zhí)行信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)、督促各部門(mén)、各單位的信

息安全工作;

第21頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第22頁(yè)共71頁(yè)

C)制訂信息安全策略和投資策略，組織對(duì)信息安全工作制度和技術(shù)操作

策略的審查，并監(jiān)督執(zhí)行；

d)接受各單位的緊急信息安全事件報(bào)告，組織信息安全應(yīng)急處置工作，

并開(kāi)展事件調(diào)查、分析原因、涉及范圍和評(píng)估安全事件的嚴(yán)重程度，

提出信息安全事件防范措施：

e)及時(shí)向信息安全領(lǐng)導(dǎo)小組和上級(jí)有關(guān)部門(mén)、單位報(bào)告信息安全事件：

0跟進(jìn)先進(jìn)的信息安全技術(shù)，組織信息安全知識(shí)的培訓(xùn)和宣傳工作。

(3)信息安全管理管控體系的管理管控者代表對(duì)公司信息安全負(fù)有以下職責(zé):

a)建立并實(shí)施信息安全管理管控體系必要的程序并維持其有效運(yùn)行；

b)對(duì)信息安全管理管控體系的運(yùn)行情況和必要的改善措施向信息安全

領(lǐng)導(dǎo)小組報(bào)告。

(4)各部門(mén)負(fù)責(zé)人為本部門(mén)信息安全管理管控者，全體員工都應(yīng)按保密承諾

的要求自覺(jué)履行信息安全保密義務(wù)；

422.2.各部門(mén)應(yīng)按照《信息安全管理管控體系適用性聲明》中選擇的控制目

標(biāo)與目標(biāo)的控制措施，確保ISMS有效實(shí)施與運(yùn)行，并開(kāi)展以下活動(dòng)：

(1)確保信息安全風(fēng)險(xiǎn)的有效管理管控，制定《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，以便

明確管理管控措施、所需資源、工作職責(zé)及識(shí)別活動(dòng)的優(yōu)先順序；保證

己識(shí)別的控制目標(biāo)實(shí)施《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》；

(2)確保處理風(fēng)險(xiǎn)所選擇的控制措施，以滿足控制目標(biāo)；

(3)確保所選控制措施有效測(cè)量；

(4)制定《信息安全培訓(xùn)相關(guān)計(jì)劃》并加以實(shí)施，提高全員信息安全意識(shí)和

能力;

(5)管理管控ISMS的運(yùn)行；

(6)管理管控ISMS的資源；

(7)制定信息安全事件或事故的程序控制措施，以便迅速的檢測(cè)安全事件與

安全事故的響應(yīng)。

422.3ISMS的監(jiān)督檢查與評(píng)審

第22頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第23頁(yè)共71頁(yè)

通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期

技術(shù)檢查(如R志審核)等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：

(1)及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患；

(2)及時(shí)了解信息處理系統(tǒng)遭受的各類(lèi)攻擊；

(3)使管理管控者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采

取的措施；

(4)積累信息安全方面的經(jīng)驗(yàn)。

4.224.根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由信息安全工作

小組組長(zhǎng)主持，定期(每年至少一次)對(duì)ISMS的有效性進(jìn)行評(píng)審，其中包括信

息安全范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。管理管控評(píng)審的具體要求，

見(jiàn)本手冊(cè)第7章。

4.2.25信息中心應(yīng)組織有關(guān)部門(mén)按照《信息安全風(fēng)險(xiǎn)管理管控程序》的要求

對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平,

對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：

(1)組織機(jī)構(gòu)發(fā)生重大變更時(shí)；

(2)信息處理技術(shù)發(fā)生重大變更時(shí)；

(3)xxxx有限公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更時(shí)。；

(4)發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅時(shí)；

(5)外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更時(shí)。

4.2.26保持上述活動(dòng)和措施的記錄。

4.2.3.ISMS保持與改進(jìn)

xxxx有限公司開(kāi)展以下活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：

4.2.3.1.實(shí)施每年安全檢查、內(nèi)部審核、管理管控評(píng)審等活動(dòng)以確定需改進(jìn)的

相關(guān)項(xiàng)目；

4.2.32按照《內(nèi)部審核管理管控程序》、《糾正與預(yù)防措施控制程序》的要

求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及xxxx有限公司安全事故的經(jīng)驗(yàn)

第23頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第24頁(yè)共71頁(yè)

教訓(xùn)，不斷改進(jìn)現(xiàn)有安全措施。

4.233.對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾砉芸兀_保改進(jìn)達(dá)到預(yù)期的效

果。

4.2.34為了確保信息安全管理管控體系的持續(xù)有效，各級(jí)管理管控者應(yīng)通過(guò)

適當(dāng)?shù)氖侄螌?duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的交流與溝通八與外部信

息安全專(zhuān)家、信息安全機(jī)構(gòu)、政府行政主管部門(mén)、電信運(yùn)營(yíng)商等組織保持聯(lián)系。

與外部專(zhuān)家、服務(wù)商等外部機(jī)構(gòu)的聯(lián)系方式見(jiàn)《對(duì)外聯(lián)系表》。

43文件要求

4.3.1.總則

根據(jù)GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標(biāo)準(zhǔn)要求

并結(jié)合x(chóng)xxx有限公司實(shí)際情況建立xxxx有限公司信息安全管理管控體系文件結(jié)

構(gòu)，體系文件分為四級(jí)，分別為一級(jí)文件、二級(jí)文件、三級(jí)文件及四級(jí)記錄性文

件。

(1)一級(jí)文件為信息安全管理管控體系手冊(cè)(包含信息安全方針、目標(biāo))和

適用性聲明等；

(2)二級(jí)文件為信息安全管理管控體系建立實(shí)施的相關(guān)程序文件：

(3)三級(jí)文件為信息安全管理管控體系建立實(shí)施的相關(guān)制度、辦法和規(guī)程等；

(4)四級(jí)文件為信息安全管理管控體系實(shí)施運(yùn)行過(guò)程中的記錄類(lèi)文件。

4.3.2.文件控制

為確保文件的修訂得到控制，使用現(xiàn)場(chǎng)得到有效版本的文件，防止作廢文件

的非預(yù)期使用，在《文件控制程序》中明確規(guī)定了文件的編制、評(píng)審、批準(zhǔn)、發(fā)

放、使用、更改、再次批準(zhǔn)、標(biāo)識(shí)、回收、作廢和保存期限等管理管控。

注：以上程序詳細(xì)合適的內(nèi)容見(jiàn)《文件控制程序》。

4.3.3.記錄控制

為提供有效的信息安全管理管控體系運(yùn)行的符合性證據(jù)，并具有追溯、證實(shí)

第24頁(yè)共71頁(yè)

編號(hào)：

時(shí)間：2021年X月X