信息安全管理手冊(cè)-ISO27001

1、信息安全管理體系管理手冊(cè)ISMS-M-yyyy版本號(hào)： A/1受控狀態(tài)：受控非受控編 制審 核批 準(zhǔn)編寫組審核人 A總經(jīng)理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd日期： 2016 年1月8日實(shí)施日期：2016 年1月8日修改履歷版本制訂者修改時(shí)間更改內(nèi)容審核人審核意見變更申請(qǐng)單號(hào)A/0編寫組2016-1-08定版審核人同意AA/1編寫組2017-1-15定版審核人同意B0 目錄00 目錄 .301 頒布令.502 管理者代表授權(quán)書 .603 企業(yè)概況 .704 信息安全管理方針目標(biāo) .805 手冊(cè)的管理 .1006 信息安全管理手冊(cè) .111范圍 .111.1總則 .111

2、.2應(yīng)用 .112規(guī)范性引用文件 .113術(shù)語(yǔ)和定義 .113.1本公司 .123.2信息系統(tǒng) .123.3計(jì)算機(jī)病毒 .123.4信息安全事件 .123.5相關(guān)方 .124組織環(huán)境 .124.1組織及其環(huán)境 .124.2相關(guān)方的需求和期望 .124.3確定信息安全管理體系的范圍.134.4信息安全管理體系 .135領(lǐng)導(dǎo)力 .145.1領(lǐng)導(dǎo)和承諾 .145.2方針 .145.3組織角色、職責(zé)和權(quán)限 .146規(guī)劃 .146.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施 .156.2信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn) .177支持 .187.1資源 .187.2能力 .187.3意識(shí) .187.4溝通 .187.5文件化信息 .1

3、98運(yùn)行 .208.1運(yùn)行的規(guī)劃和控制 .208.2信息安全風(fēng)險(xiǎn)評(píng)估 .208.3信息安全風(fēng)險(xiǎn)處置 .209績(jī)效評(píng)價(jià) .219.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) .219.2內(nèi)部審核 .229.3管理評(píng)審 .2210 改進(jìn)2310.1 不符合和糾正措施2310.2 持續(xù)改進(jìn)23附錄 A 信息安全管理組織結(jié)構(gòu)圖25附錄 B 信息安全管理職責(zé)明細(xì)表26附錄 C 信息安全管理程序文件清單281 頒布令為提高 * 公司 * 的信息安全管理水平， 保障我公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2013 信息技術(shù)

4、- 安全技術(shù) - 信息安全管理體系要求國(guó)際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了* 公司 *信息安全管理手冊(cè)。信息安全管理手冊(cè) 是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對(duì)社會(huì)的承諾。信息安全管理手冊(cè)符合有關(guān)信息安全法律、法規(guī)要求及ISO/IEC27001:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2016年 1 月 8 日 起實(shí)施。企業(yè)全體員工必須遵照?qǐng)?zhí)行。全體員工必須嚴(yán)格按照信息安全管理手冊(cè)

5、的要求，自覺遵循信息安全管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)。* 公司 *總 經(jīng) 理：總經(jīng)理2016年1月8日2 管理者代表授權(quán)書為貫徹執(zhí)行信息安全管理體系，滿足 ISO/IEC27001:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 審核人 B 為我公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1確保按照標(biāo)準(zhǔn)的要求， 進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估， 全面建立、實(shí)施和保持信息安全管理體系；2負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；4審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處

6、理計(jì)劃；5批準(zhǔn)發(fā)布程序文件；6主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；7 向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行。* 公司 *總 經(jīng) 理：總經(jīng)理2017年 1月 15日03 企業(yè)概況這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦這里是公司情況介紹哦單位地址：?jiǎn)挝坏刂冯娫挘簡(jiǎn)挝浑娫拏髡妫簡(jiǎn)挝浑娫掄]編：郵編總經(jīng)理： 總經(jīng)理管代： 審核人 A4 信息安全管理方針目標(biāo)為防止由于信息系統(tǒng)的中斷、 數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安

7、全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針：數(shù)據(jù)保密、信息完整、控制風(fēng)險(xiǎn)、持續(xù)改進(jìn)、遵守法律。本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制1公司采用系統(tǒng)的方法，按照ISO/IEC27001:2013 建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、信息安全管理組織2公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。3公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理

8、體系的有效運(yùn)行。5與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。三、人員安全6信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。7對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)。8定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。9全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識(shí)別法律、法規(guī)、合同中的安全10及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法

9、規(guī)對(duì)信息安全的要求，采取措施，保證滿足安全要求。五、風(fēng)險(xiǎn)評(píng)估11根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。12采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。13應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件14公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。15全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。16接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查17定期對(duì)信

10、息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果， 建立業(yè)務(wù)持續(xù)性計(jì)劃， 抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過(guò)程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。19定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。九、違反信息安全要求的懲罰20對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)如下：1. 重大信息安全事件（損失達(dá) 1 萬(wàn)以上的）為零。2. 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于 2 小時(shí)每年。5 手冊(cè)的管理1 信息安全管理手冊(cè)的批準(zhǔn)辦公室負(fù)責(zé)組織編制信息安全管理手冊(cè)，總經(jīng)理負(fù)責(zé)批準(zhǔn)。2 信息安全管理手冊(cè)的發(fā)

11、放、更改、作廢與銷毀a）辦公室負(fù)責(zé)按文件管理程序的要求，進(jìn)行信息安全管理手冊(cè)的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b）各相關(guān)部門按照受控文件的管理要求對(duì)收到的信息安全管理手冊(cè)進(jìn)行使用和保管；c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊(cè)，并收回失效的文件作出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性；d）辦公室保留信息安全管理手冊(cè)修改內(nèi)容的記錄。3 信息安全管理手冊(cè)的換版當(dāng)依據(jù)的 ISO/IEC27001:2013 或 ISO/IEC27002:2013 標(biāo)準(zhǔn)有重大變化、 組織的結(jié)構(gòu)、 內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及信息安全管理手冊(cè)發(fā)生需修改部分超過(guò) 1/3 時(shí)，應(yīng)對(duì)信息

12、安全管理手冊(cè)進(jìn)行換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編、審、批工作。4 信息安全管理手冊(cè)的控制a）本信息安全管理手冊(cè)標(biāo)識(shí)分受控文件和非受控文件兩種：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。b）信息安全管理手冊(cè)有書面文件和電子文件，電子版本文件的有效格式為.doc 文檔。6 信息安全管理手冊(cè)1 范圍1.1 總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱 ISMS），確定信息安全方針和目標(biāo)， 對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安

13、全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。1.2 應(yīng)用覆蓋范圍本信息安全管理手冊(cè)規(guī)定了* 公司 * 信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全管理體系改進(jìn)等方面內(nèi)容。本信息安全管理手冊(cè)適用于* 公司 * 電磁屏蔽機(jī)房的設(shè)計(jì)業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動(dòng)。刪減說(shuō)明本信息安全管理手冊(cè)采用了ISO/IEC27001:2013 標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)適用性聲明SOA的刪減如下 :外包開發(fā)刪減理由：公司無(wú)此業(yè)務(wù)2 規(guī)范性引用文件下列文件中的條款通過(guò)本信息安全管理手冊(cè)的引用而成為本信息安全管理手冊(cè)的條款。凡是注日期的引用文件，其隨后所有的修改單

14、或修訂版均不適用于本標(biāo)準(zhǔn)，然而，辦公室應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、 其最新版本適用于本信息安全管理手冊(cè)。ISO/IEC27001:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求ISO/IEC27002:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理實(shí)用規(guī)則3 術(shù)語(yǔ)和定義ISO/IEC27001:2013信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求、ISO/IEC27002:2013信息技術(shù) - 安全技術(shù) - 信息安全管理實(shí)用規(guī)則 規(guī)定的術(shù)語(yǔ)和定義適用于本 信息安全管理手冊(cè)。3.1 本公司指* 公司 * 包括 * 公司 * 所屬各部

15、門。3.2 信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。3.3 計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)， 影響計(jì)算機(jī)使用， 并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。3.4 信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、 利用信息系統(tǒng)從事的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。3.5 相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績(jī)效有利益關(guān)系的組織和個(gè)人。 主要為：政府、上級(jí)部門、供方、銀行、用戶等。4

16、組織環(huán)境4.1 組織及其環(huán)境本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括：a) 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次認(rèn)證范圍：與信息管理軟件設(shè)計(jì)開發(fā)相關(guān)的信息安全管理活動(dòng)）；b) 與所述信息系統(tǒng)有關(guān)的活動(dòng)；c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工；d) 所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。e) 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄 A（規(guī)范性附錄）組織機(jī)構(gòu)圖。f) 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。g）

17、本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.2 相關(guān)方的需求和期望重大信息安全事件（損失達(dá)1 萬(wàn)以上的）為零。公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2 小時(shí)每年。4.3 確定信息安全管理體系的范圍體系范圍：與信息管理軟件設(shè)計(jì)開發(fā)、計(jì)算機(jī)系統(tǒng)集成相關(guān)的信息安全管理活動(dòng)本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次認(rèn)證范圍：與電磁屏蔽機(jī)房的設(shè)計(jì)相關(guān)的信息安全管理活動(dòng)）組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄 A （規(guī)范性附錄）組織機(jī)構(gòu)圖。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全

18、邊界。本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.4 信息安全管理體系本公司在軟件產(chǎn)品的技術(shù)開發(fā)， 設(shè)計(jì)的管理活動(dòng)中， 按 ISO/IEC27001:2013信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求規(guī)定，參照 ISO/IEC27002:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。信息安全管理體系使用的過(guò)程基于圖1 所示的 PDCA模型。圖 1 信息安全管理體系模型策劃相關(guān)方建立相關(guān)方ISMS實(shí)施和運(yùn)行保持和改進(jìn)實(shí)施處置ISMSISMS信息安全信息安全要求監(jiān)視和評(píng)審管理和期望ISMS

19、檢查5 領(lǐng)導(dǎo)力5.1 領(lǐng)導(dǎo)和承諾我公司管理者通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a) 建立信息安全方針 ( 見本手冊(cè)第 0.4 章 ) ；b) 確保信息安全目標(biāo)得以制定（見本手冊(cè)第 0.4 章、適用性聲明 SoA、風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄）；c) 建立信息安全的角色和職責(zé)；d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體系( 見本手冊(cè)第 5.2 章) ；f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí) ( 見信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)及相關(guān)記錄

20、 ) ；g) 確保內(nèi)部信息安全管理體系審核（見本手冊(cè)第 9.2 章）得以實(shí)施；h) 實(shí)施信息安全管理體系管理評(píng)審（見本手冊(cè)第 9.3 章）。5.2 方針為防止由于信息系統(tǒng)的中斷、 數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針：滿足客戶要求，遵守法律法規(guī)，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。信息安全目標(biāo)下：1. 重大信息安全事件（損失達(dá) 1 萬(wàn)以上的）為零。2. 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于 2 小時(shí)每年。5.3 組織角色、職責(zé)和權(quán)限詳見附錄B6 規(guī)劃6.1 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施總則為了滿足適用法律法

21、規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營(yíng)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊(cè)第0.4 條款。該信息安全方針符合以下要求：a) 為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；c) 與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；e) 經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管

22、理職責(zé)，詳見附錄 B（規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表；b) 識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e) 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)， 不斷增強(qiáng)員工的信息安全意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的方法辦公室負(fù)責(zé)制定信息安全風(fēng)險(xiǎn)管理程序，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可

23、接受等級(jí)。識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)管理程序，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn)，形成了重要資產(chǎn)清單。同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)管理程序，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按信息安全風(fēng)險(xiǎn)管理程序，采用FMEA分析方法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a) 針對(duì)重要資產(chǎn)自身價(jià)值、保密

24、性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)信息安全風(fēng)險(xiǎn)管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)；d) 根據(jù)信息安全風(fēng)險(xiǎn)管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇辦公室組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b) 接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c) 避免風(fēng)險(xiǎn)（如物理隔離）

25、；d) 轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）。信息安全風(fēng)險(xiǎn)處置辦公室根據(jù)信息安全方針、 業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見信息安全適用性聲明）：a) 信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b) 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施c) 控制目標(biāo)及控制措施的選擇原則來(lái)源于 ISO/IEC27001:2013 信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求附錄 A，具體控制措施參考 ISO/IEC27002:2013信息技術(shù) - 安全技術(shù) - 信息安全管理實(shí)用規(guī)則。d)適用性聲明：辦公室負(fù)責(zé)編

26、制信息安全適用性聲明（SoA），所選擇控制目標(biāo)與控制措施的概要描述， 以及選擇的原因； 對(duì) ISO/IEC27001:2013 附錄 A 中未選用的控制目標(biāo)及控制措施理由的說(shuō)明。e) 制定風(fēng)險(xiǎn)處置計(jì)劃。f) 對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)6.2 信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a) 及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b) 及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c) 使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)

27、果；d) 使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e) 積累信息安全方面的經(jīng)驗(yàn) ;根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7 章。辦公室應(yīng)組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)管理程序的要求，采用FMEA分析方法，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a) 組織；b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)

28、和過(guò)程；d) 已識(shí)別的威脅；e) 實(shí)施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核。定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別信息安全管理體系過(guò)程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7 章。考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。7 支持7.1 資源本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a) 建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管

29、理體系；b) 確保信息安全程序支持業(yè)務(wù)要求；c) 識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；d) 通過(guò)正確應(yīng)用所實(shí)施的所有控制來(lái)保持充分的安全；e) 必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；f) 需要時(shí)，改進(jìn)信息安全管理體系的有效性。7.2 能力組織應(yīng)：a) 確定員工為完成其本職工作所所需的安全技能；b) 確保員工具備完成工作所需的教育、培訓(xùn)和經(jīng)驗(yàn)；c) 采取合適的措施確保員工具備相應(yīng)的技能并對(duì)技能進(jìn)行考核；d) 保留適當(dāng)?shù)奈臋n信息作為證據(jù)。注：適當(dāng)?shù)拇胧┛赡馨?，例如：提供培?xùn)、指導(dǎo)或重新分派現(xiàn)有員工，或雇用具備相關(guān)技能的人士。7.3 意識(shí)組織的員工應(yīng)了解：a) 信息安全方針；b) 個(gè)人對(duì)于

30、實(shí)現(xiàn)信息安全管理的重要性，提高組織信息安全績(jī)效的收益；c) 不符合信息安全管理體系要求所造成的影響。7.4 溝通辦公室制定并實(shí)施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過(guò)：a) 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來(lái)滿足這些需求；c) 評(píng)價(jià)所采取措施的有效性；d) 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。7.5 文件化信息總則本公司信息安全管理體系文件包

31、括：a) 文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊(cè)中描述；b) 信息安全管理手冊(cè)（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；c) 本手冊(cè)要求的信息安全風(fēng)險(xiǎn)管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正措施管理程序等支持性程序；d) 信息安全管理體系引用的支持性程序。如：文件管理程序、記錄管理程序、內(nèi)部審核管理程序等；e) 為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序；f) 風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃以及信息安全管理體系要求的記錄類文件；g) 相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h) 適用性聲明（ SoA）。創(chuàng)建和更新文件化信息的控制辦公室制定并實(shí)施文件管理程序，對(duì)信息安全管理體系所

32、要求的文件進(jìn)行管理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d) 確保在使用時(shí)，可獲得相關(guān)文件的最新版本；e) 確保文件保持清晰、易于識(shí)別；f) 確保文件可以為需要者所獲得， 并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、 存儲(chǔ)和最終的銷毀；g) 確保外來(lái)文件得到識(shí)別；h) 確保文件的分發(fā)得到控制；i) 防止作廢文件的非預(yù)期使用；j) 若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。8 運(yùn)行8.1 運(yùn)行的規(guī)劃和控制按照 PDCA對(duì)體系進(jìn)行運(yùn)行。在公司實(shí)際推動(dòng)信息安全體系運(yùn)行。8.2 信息安全風(fēng)險(xiǎn)評(píng)估識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)管理程序，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密