ISO27001信息安全管理方案手冊(cè)x

1、信息安全管理手冊(cè)版本號(hào)：VI.001頒布令 102管理者代表授權(quán)書 203企業(yè)概況 304信息安全管理方針目標(biāo) 305手冊(cè)的管理 6信息安全管理手冊(cè) 71 范圍 71.1 總貝 IJ 71.2 應(yīng)用 72 規(guī)范性引用文件 83 術(shù)語和定義 83.1 本公司 83.2 信息系統(tǒng) 83.3計(jì)算機(jī)病毒 83.4信息安全事件 83.5 相關(guān)方 84 信息安全管理體系 94.1概述 94.2建立和管理信息安全管理體系 94.3 文件要求 155 管理職責(zé) 185.1管理承諾 185.2資源管理 186 內(nèi)部信息安全管理體系審核 196.1 總則 196.2 內(nèi)審策戈U 196.3 內(nèi)審實(shí)施 197 管理

2、評(píng)審 217.1總則 217.2評(píng)審輸入217.3評(píng)審輸出217.4評(píng)審程序228 信息安全管理體系改進(jìn) 238.1 持續(xù)改進(jìn)238.2 糾正措施238.3 預(yù)防措施231頒布令為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息安全 事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失，我公司 開展貫徹GB/T22080-2008idtIS027001:2005信息技術(shù)安全技術(shù)信息安全管理體系要求 國(guó)際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了信息安全管理 手冊(cè)。信息安全管理手冊(cè)是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體

3、系 的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效 運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對(duì)社會(huì)的承諾。信息安全管理手冊(cè)符合有關(guān)信息安全法律、 GB/T22080-2008idtIS027001:2005信 息技術(shù)安全技術(shù)信息安全管理體系要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2015 年12月23日起實(shí)施。企業(yè)全體員工必須遵照?qǐng)?zhí)行。全體員工必須嚴(yán)格按照信息安全管理手冊(cè)的要求，自覺遵循信息安全管理方針，貫 徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)?？偨?jīng)理：2015年12 月 23 日 2管理者代表授權(quán)書為貫徹執(zhí)行信息安全管理體系，滿足 GB/T22080

4、-2008idtIS027001:2005信息技術(shù)安 全技術(shù)信息安全管理體系要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 為我公司信息安全管理者 代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1. 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管 理體系；2. 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3 確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；4. 審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5. 批準(zhǔn)發(fā)布程序文件；6. 主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；7. 向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系 運(yùn)行情況、內(nèi)外部審核情況。本

5、授權(quán)書自任命日起生效執(zhí)行。總經(jīng)S：2013年12 月23日3 公司概況4信息安全管理方針目標(biāo)為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失， 本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針如下：強(qiáng)化意識(shí)規(guī)范行為數(shù)據(jù)保密信息完整本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制公司采用系統(tǒng)的方法，按照GB/T22080-2008idtIS027001:2005建立信息安全管理體系, 全面保護(hù)本公司的信息安全。二、信息安全管理組織1. 公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求， 提供信息安全

6、資源。2. 公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證 信息安全管理體系的持續(xù)適宜性和有效性。3. 在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保 證信息安全管理體系的有效運(yùn)行。4. 與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā) 展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。三、人員安全1. 信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng) 合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗 位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2. 對(duì)本公司的相關(guān)方針，要明確安

7、全要求和安全職責(zé)。3. 定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意 識(shí)。4. 全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識(shí)別法律、法規(guī)、合同中的安全及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿足安 全要求。五、風(fēng)險(xiǎn)評(píng)估1. 根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2. 采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。3. 應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件1. 公司建立報(bào)告信息安全事件

8、的渠道和相應(yīng)的主管部門。2. 全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3. 接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性1. 公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。2. 定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。九、違反信息安全要求的懲罰對(duì)違反信息安全方針、職責(zé)、程序和措施的人員

9、，按規(guī)定進(jìn)行處理。信息安全目標(biāo)如下：1) 確保每年重大信息安全事件(事故)發(fā)生次數(shù)為零。2) 確保單個(gè)重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過1次，每次中斷時(shí)間不超過2小時(shí)。3) 確保信息安全事件發(fā)現(xiàn)率99%、上報(bào)和處理率100%o 5手冊(cè)的管理1信息安全管理手冊(cè)的批準(zhǔn)信息安全管理委員會(huì)負(fù)責(zé)組織編制信息安全管理手冊(cè)，總經(jīng)理負(fù)責(zé)批準(zhǔn)。2信息安全管理手冊(cè)的發(fā)放、更改、作廢與銷毀a）行政中心負(fù)責(zé)按文件和資料管理程序的要求，進(jìn)行信息安全管理手冊(cè)的登 記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b）各相關(guān)部門按照受控文件的管理要求對(duì)收到的信息安全管理手冊(cè)進(jìn)行使用和保 管；C）行政中心按照規(guī)定發(fā)放修改后的信息安全管

10、理手冊(cè)，并收回失效的文件做出標(biāo)識(shí) 統(tǒng)一處理，確保有效文件的唯一性；d）行政中心保留信息安全管理手冊(cè)修改內(nèi)容的記錄。3信息安全管理手冊(cè)的換版當(dāng)依據(jù)的GB/T22080-2008idtIS027001:2005標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán) 境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及信息安全管理手冊(cè)發(fā)生需修改部分超過 1/3時(shí)，應(yīng)對(duì)信息安全管理手冊(cè)進(jìn)行換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編 制、審批工作。4信息安全管理手冊(cè)的控制a）本信息安全管理手冊(cè)標(biāo)識(shí)分受控文件和非受控文件兩種：受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)

11、、銷售目的等發(fā)給受控范 圍以外的其他相關(guān)人員。b）信息安全管理手冊(cè)有書面文件和電子文件。信息安全管理手冊(cè)范圍總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱ISMS）, 確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信 息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。應(yīng)用覆蓋范圍：本信息安全管理手冊(cè)規(guī)定了 DXC的信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理 評(píng)審和信息安全管理體系改進(jìn)等方面內(nèi)容。本信息安全管理手冊(cè)適用于 DXC業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理 活動(dòng)，具體見4.2.2.1條款規(guī)定

12、。刪減說明本信息安全管理手冊(cè)采用了 GB/T22080-2008idtIS027001:2005標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附 錄A的刪減見適用性聲明。規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊(cè)的引用而成為本信息安全管理手冊(cè) 的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而， 行政中心應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適 用于本信息安全管理手冊(cè)。GB/T22080-2008idtIS027001:2005信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081-2008idtIS027002:2005信息技術(shù)安全技術(shù)信息安全管

13、理實(shí)用規(guī)則術(shù)語和定義GB/T22080-2008idtIS027001:2005信息技術(shù)安全技術(shù)信息安全管理體系要求、 GB/T22081-2008idtIS027002:2005信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則規(guī)定的術(shù) 語和定義適用于本信息安全管理手冊(cè)。本公司指DXC,包括DXC所屬各部門。信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。信息安全事件指導(dǎo)致信息系統(tǒng)不能

14、提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的 反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績(jī)效有利益關(guān)系的組織和個(gè)人。主要為：政府、供 方、銀行、用戶、電信等。信息安全管理體系概述4.1.1本公司在軟件開發(fā)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)中，按GBfT22080-2008 idtlS 027001:2005信息技術(shù)-安全技術(shù)信息安全管理體系-要求規(guī)定，參照 GB/T22081-2008idtIS027002:2005信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)，建 立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息

15、安全管理體系。4.1.2信息安全管理體系使用的過程基于圖1所示的PDCA模型。圖1信息安全管理體系模型 建立和管理信息安全管理體系建立信息安全管理體系4.2.1.1信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信 息安全管理體系的范圍包括：a）本公司涉及軟件開發(fā)、營(yíng)銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；b）與所述信息系統(tǒng)有關(guān)的活動(dòng)；C）與所述信息系統(tǒng)有關(guān)的部門和所有員工；d）所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊(cè)附錄A （規(guī)范性附錄）信息安全管理體系組織

16、機(jī)構(gòu)圖。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體 系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于市惠山經(jīng)濟(jì)開發(fā)區(qū)前洲配套區(qū)興洲路2號(hào)，科創(chuàng)中心二樓，安全邊界詳見附錄 B （規(guī)范性附錄）辦公場(chǎng)所平面圖。4.2.1.2 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營(yíng)的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持 續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息 安全管理體系方針，見本信息安全管理手冊(cè)第 0.4條款。該信息安全方針符合以下要求：a）為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建

17、立整體的方向和原則；b）考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；C）與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持信息安全管理體系；d）建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；e）經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：a）在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確 信息安全的管理職責(zé)b）識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；C）泄期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；e）對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信

18、息安全意識(shí)和能力；f）制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。4.2.1.3 風(fēng)險(xiǎn)評(píng)估的方法行政中心負(fù)責(zé)制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序，建立識(shí)別適用于信息安全管理體系 和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別 風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估管理程序，以保證所選擇 的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4 識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險(xiǎn)評(píng)估管理程序，對(duì)所 有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、碩件、軟件、人員、服 務(wù)、文檔。對(duì)每一項(xiàng)資產(chǎn)按自身

19、價(jià)值、信息分類、保密性、完整性、可用性、法律法規(guī)符合 性要求進(jìn)行了量化賦值，形成了資產(chǎn)識(shí)別清單。同時(shí)，根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理程序，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。4.2.1.5分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按信息安全風(fēng)險(xiǎn)評(píng)估管理程序，采用人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a）針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b）針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失 效發(fā)生的可能性，并進(jìn)行賦值；C）根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理程序計(jì)算風(fēng)險(xiǎn)等級(jí)；d）理。根據(jù)信息安全風(fēng)險(xiǎn)

20、評(píng)估管理程序及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處4.2.1.6識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇行政中心組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果， 形成信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃 該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處置策略。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴）消減風(fēng)險(xiǎn)（通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性）:b）接受風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者處理的代價(jià)高于風(fēng)險(xiǎn)引起的損失，公司決定接受該風(fēng)險(xiǎn)/ 殘余風(fēng)險(xiǎn)）;c)規(guī)避風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)，從而避免風(fēng)險(xiǎn)）;d)轉(zhuǎn)移風(fēng)險(xiǎn)（通過購買保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。4.2.1.7選擇控制目標(biāo)與控制措施

21、行政中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見適用性聲明）:a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b）控制目標(biāo)及控制措施的選擇原則來源于 GBfT22080-2008idtIS027001:2005信息技術(shù) 安全技術(shù)信息安全管理體系要求附錄A ,具體控制措施參考 GB/T22081-2008idtIS027002:2005信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則。c）本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.8 對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。4.2.1.9 最高管

22、理者通過本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。4.2.1.10 適用性聲明行政中心負(fù)責(zé)編制適用性聲明（SoA）。該聲明包括以下方面的內(nèi)容：a）所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b）對(duì)GB/T22080-2008idtIS027001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的 說明（本公司未涉及此項(xiàng)業(yè)務(wù)）。實(shí)施及運(yùn)作信息安全管理體系4.2.2.1為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以 下活動(dòng)：a）形成信息安全不町接受風(fēng)險(xiǎn)處理計(jì)劃，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制 措施的優(yōu)先級(jí)；b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施信息安全不可接受

23、風(fēng)險(xiǎn)處理計(jì)劃，明確各崗位的 信息安全職責(zé)；c）實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d）確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的 有效性以得出可比較的、可重復(fù)的結(jié)果；e）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f）對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g）對(duì)信息安全所需資源進(jìn)行管理；h）實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2 信息安全組織機(jī)構(gòu)本公司成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方 針和本公司承諾。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方 針、目標(biāo)、工作計(jì)劃和重要文件；為

24、貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提 供必要的資源。 本公司體系推進(jìn)由行政中心負(fù)責(zé)，其主要負(fù)責(zé)制訂、落實(shí)貫標(biāo)工作計(jì)劃，對(duì)單位、部門 貫標(biāo)工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn) 行。本公司由相關(guān)部門代表組成信息安全委員會(huì)，采用聯(lián)席會(huì)議（協(xié)調(diào)會(huì)）的方式，進(jìn)行信 息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動(dòng)的執(zhí)行符合信息安全方針；b）確泄怎樣處理不符合；C）批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；d）識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；e）評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f）有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意

25、識(shí)；g）評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適 當(dāng)?shù)拇胧?.2.2.3信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定了信息安全管理者代表。無論信息安 全管理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a）建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b）對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全委員會(huì)或最高責(zé)任者 報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行 信息安全保密義務(wù)；各部門、人員有關(guān)信息安全職責(zé)分配見附錄C （規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表 和相應(yīng)的程序文件。4.

26、2.2.4 各部門應(yīng)按照適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種 控制程序）的要求實(shí)施信息安全控制措施。監(jiān)督與評(píng)審信息安全管理體系4.2.3.1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān) 控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗(yàn)。4.23.2根據(jù)以上活動(dòng)的結(jié)果以及來

27、自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次 對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控 制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和 反饋。管理評(píng)審的具體要求，見本手冊(cè)第 7章。4.23.3 行政中心應(yīng)組織有關(guān)部門按照信息安全風(fēng)險(xiǎn)評(píng)估管理程序的要求，對(duì)風(fēng)險(xiǎn)處理 后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況 應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a）組織;b）技術(shù)；C）業(yè)務(wù)目標(biāo)和過程;d）已識(shí)別的威脅；e）實(shí)施控制的有效性；f）外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。4

28、.2.3.4按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本 手冊(cè)第6章。4.2.3.5定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7章。4.2.3.6考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。4.2.3.7記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。保持與持續(xù)改進(jìn)信息安全管理體系我公司開展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：a）實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；b）按照內(nèi)部審核管理程序、糾正措施管理程序、預(yù)防措施管理程序的要 求采取適當(dāng)?shù)募m正和預(yù)

29、防措施；吸取其他組織及本公司安全事故（事件）的經(jīng)驗(yàn)教訓(xùn)，不斷 改進(jìn)安全措施的有效性；C）通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括 獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的 要求等；d）對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。文件要求總則本公司信息安全管理體系文件包括：a）文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊(cè)中描述；b）信息安全管理手冊(cè)（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）;C）本手冊(cè)要求的信息安全風(fēng)險(xiǎn)評(píng)估管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正 措施管理程序等支持性程序；d）信息安全管理

30、體系引用的支持性程序。如：文件和資料管理程序、記錄管理 程序、內(nèi)部審核管理程序等；e）為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；f）信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告、信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃以及信息安全管理 體系要求的記錄類文件；g）相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h）適用性聲明（SOA） o文件控制行政中心制定并實(shí)施文件和資料管理程序，對(duì)信息安全管理體系所要求的文件進(jìn)行管 理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有 效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回 收等管理工作做出規(guī)定，以確保在使用場(chǎng)所能夠

31、及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：a）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；b）必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；C）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d）確保在使用時(shí)，可獲得相關(guān)文件的最新版本；e）確保文件保持清晰、易于識(shí)別；f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最 終的銷毀；g）確保外來文件得到識(shí)別；h）確保文件的分發(fā)得到控制；i）防止作廢文件的非預(yù)期使用；j）若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。記錄控制4.3.3.1信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。行政中心 負(fù)責(zé)制定并維持易讀、易識(shí)別、

32、可方便檢索又考慮法律、法規(guī)要求的記錄管理程序， 定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。ISMS4.3.3.2 信息安全體系的記錄應(yīng)包括本手冊(cè)第 4.2條中所列出的所有過程的結(jié)果及與 相關(guān)的安全事故（事件）的記錄。4.33.3各部門應(yīng)根據(jù)記錄管理程序的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗洝SMS職能分配表注：主要責(zé)任次要責(zé)任管部門手冊(cè)條前廠總經(jīng)理管理者代表行政屮心項(xiàng)目中客服中心4信息安 全管理 體系總體要求建立IS MS實(shí)施ISMS監(jiān)視和評(píng)審ISMS保持和改進(jìn)ISMS文件控制1 記錄控制5管理職責(zé)管理承諾資源提供培訓(xùn)意識(shí)和能力6ISMS內(nèi)部審計(jì)7ISMS管理評(píng)審8改進(jìn)持續(xù)改進(jìn)糾正

33、措施預(yù)防措施A5安全方針A6信息安全組織A7資產(chǎn)管理A8人力資源管理A9物理和環(huán)境安全A10通訊和操作管理All訪問控制A12信息系統(tǒng)的獲取，開發(fā)和維護(hù)A13信息安全事故管理A14業(yè)務(wù)持續(xù)性管理A15符合性管理職責(zé)管理承諾我公司管理者通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全 管理體系的承諾提供證據(jù)：a）建立信息安全方針（見本手冊(cè)第0.4章）；b）確保信息安全目標(biāo)得以制定（見本手冊(cè)第0.4章、適用性聲明、信息安全不可 接受風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄）;C）建立信息安全的角色和職責(zé)（見本手冊(cè)附錄 E）；d）向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重

34、 要性；e）提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理體 系（見本手冊(cè)第5.2章）；f）決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)（見信息安全風(fēng)險(xiǎn)評(píng)估管理程序及相關(guān) 記錄）；g）確保內(nèi)部信息安全管理體系審核（見本手冊(cè)第6章）得以實(shí)施；h）實(shí)施信息安全管理體系管理評(píng)審（見本手冊(cè)第7章）。資源管理資源的提供本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息 安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識(shí)別并指岀法律法規(guī)要求和合同安全責(zé)任；d）通過正確

35、應(yīng)用所實(shí)施的所有控制來保持充分的安全；e）必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；D需要時(shí)，改進(jìn)信息安全管理體系的有效性。培訓(xùn)、意識(shí)和能力行政中心制定并實(shí)施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a）確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c）評(píng)價(jià)所采取措施的有效性；d）保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如 何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)。內(nèi)部信息安全管理體系審核

36、總則行政中心負(fù)責(zé)建立并實(shí)施內(nèi)部審核管理程序，內(nèi)部審核管理程序應(yīng)包括策劃和 實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以 確定其信息安全管理體系的控制冃標(biāo)、控制措施、過程和程序是否：a）符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b）符合已識(shí)別的信息安全要求；c）得到有效地實(shí)施和維護(hù)；d）按預(yù)期執(zhí)行。內(nèi)審策劃6.2.1行政中心應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方 案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。6.2.2每次審核前，行政中心應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確

37、保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。 內(nèi)審實(shí)施6.3.1應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括："）進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；b）實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；C）進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審核意見和不 符合報(bào)告；d）審核組長(zhǎng)編制審核報(bào)告。6.3.2對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由行政中心組織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證。 6.3.3按照記錄管理程序的要求，保存審核記錄。6.3.4內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一。管理評(píng)審總則7.1.1行政中心負(fù)責(zé)每年下半年組織信息安全管理體系管理評(píng)審，以確保其持續(xù)的適宜性、 充分性和有效性。7.1.2管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安 全目標(biāo)。7.1.3管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。評(píng)審輸入管理評(píng)審的輸入要包括以下信息：a）信息安全管理體系審核和評(píng)審的結(jié)果；b）相關(guān)方的反饋；c）用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱性或威脅；f）有效性測(cè)量的結(jié)果；g）以往管理評(píng)審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改