信息安全管理手冊(cè)

深圳市甲易科技有限公司信息安全管理手冊(cè)文件編號(hào)：JY-ISMS-2016狀態(tài)：受控編寫：黃建明2016年01月20日審核：李鵬堯2015年01月20日批準(zhǔn)：楊煜2015年01月20日發(fā)布版次：A/0版2015年01月20日生效日期：2016/01/202015年01月20日分發(fā)：各部門接受部門：各部門01頒布令為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO27OO1:2O13《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》國(guó)際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了深圳市甲易科技有限公司有限公司《信息安全管理手冊(cè)》?！缎畔踩芾硎謨?cè)》是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對(duì)社會(huì)的承諾?！缎畔踩芾硎謨?cè)》符合有關(guān)信息安全法律IS027001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2016年01月20日起實(shí)施。企業(yè)全體員工必須遵照?qǐng)?zhí)行。全體員工必須嚴(yán)格按照《信息安全管理手冊(cè)》的要求，自覺遵循信息安全管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)。深圳市甲易科技有限公司總經(jīng)理：楊煜2016年01月20日02管理者代表授權(quán)書為貫徹執(zhí)行信息安全管理體系，滿足ISO27OO1:2O13《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命李鵬堯?yàn)槲夜拘畔踩芾碚叽?。授?quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1．確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系；2．負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3．確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)；4．審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5．批準(zhǔn)發(fā)布程序文件；6．主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告；7．向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。本授權(quán)書自任命日起生效執(zhí)行。深圳市甲易科技有限公司總經(jīng)理：楊煜2016年01月20日03企業(yè)概況深圳市甲易科技有限公司于2013年,研發(fā)與銷售網(wǎng)上行為審計(jì)系統(tǒng)、公共信息安全采集系統(tǒng)的知名企業(yè);專注于公安部監(jiān)管的網(wǎng)絡(luò)安全系統(tǒng)服務(wù)商。公司以為行業(yè)提供專業(yè)網(wǎng)上行為審計(jì)系統(tǒng)、公共信息安全采集系統(tǒng)作為公司的發(fā)展方向,投入大量人力、物力、財(cái)力從網(wǎng)絡(luò)公共安全等領(lǐng)域的研究開發(fā)工作,并取得了一定成績(jī).公司目前在為客戶提供專業(yè)音系統(tǒng)集成服務(wù)領(lǐng)域已經(jīng)和行業(yè)一流企業(yè)并駕齊驅(qū).同時(shí)在多網(wǎng)絡(luò)審計(jì)、安全研究領(lǐng)域也一直默默耕耘,在系統(tǒng)集成領(lǐng)域,司則專注于公檢法、安保等行業(yè)市場(chǎng),發(fā)揮自己在系統(tǒng)集成方面技術(shù)優(yōu)勢(shì)和服務(wù)經(jīng)驗(yàn),同時(shí),也參與各行業(yè)客戶的數(shù)據(jù)網(wǎng)絡(luò)、圖像傳輸、音視頻處理、網(wǎng)絡(luò)安全、數(shù)據(jù)存儲(chǔ)等的信息化建設(shè),并提供專業(yè)的信息技術(shù)服務(wù).立志做到同行的佼佼者,為用戶提供最優(yōu)的解決方案.在售后服務(wù)領(lǐng)域,公司有一套專業(yè)服務(wù)機(jī)制和流程,員工先后取得相關(guān)部門頒發(fā)的服務(wù)證書.公司專業(yè)技術(shù)人員占70％,市場(chǎng)和銷售人員20％,全公司95％的員工具有大學(xué)本科學(xué)歷.企業(yè)成功公司一貫秉承“尊重知識(shí),重視人才,公平競(jìng)爭(zhēng)”的人才策略,為員工創(chuàng)造良好的學(xué)習(xí)成長(zhǎng)機(jī)會(huì)的學(xué)習(xí),成長(zhǎng)機(jī)會(huì)和環(huán)境以及事業(yè)發(fā)展空間.公司實(shí)行人才動(dòng)態(tài)管理,推行“公平、平等、競(jìng)爭(zhēng)、擇優(yōu)”的用人機(jī)制,通過(guò)競(jìng)爭(zhēng)上崗和雙向選擇,實(shí)現(xiàn)人盡其才、人事相宜、優(yōu)勝劣汰;公司構(gòu)建和采用以技能和業(yè)績(jī)?yōu)橹饕笜?biāo)的薪酬及考核體系,并配有完善的福利政策,解決員工的后顧之憂;同時(shí)公司積極組織豐富的業(yè)余活動(dòng),提高員工的生活品質(zhì),營(yíng)造愉悅的企業(yè)文化氛圍,增強(qiáng)企業(yè)的凝聚力,使每一位員工都能體會(huì)到與公司共同成長(zhǎng)的樂(lè)趣.04信息安全管理方針目標(biāo)為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。信息安全管理方針如下：強(qiáng)化意識(shí)規(guī)范行為數(shù)據(jù)保密信息完整本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機(jī)制公司采用系統(tǒng)的方法，按照對(duì)ISO27OO1:2O13建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、 信息安全管理組織1．公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。2．公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3．在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。4．與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。三、 人員安全1．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2．對(duì)本公司的相關(guān)方針，要明確安全要求和安全職責(zé)。3．定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。4．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、 識(shí)別法律、法規(guī)、合同中的安全及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿足安全要求。五、風(fēng)險(xiǎn)評(píng)估1．根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2．采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。3．應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。六、報(bào)告安全事件1．公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。2．全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3．接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、違反信息安全要求的懲罰對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)如下：1）確保每年重大信息安全事件（事故）發(fā)生次數(shù)為零。2）確保單個(gè)重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過(guò)1次，每次中斷時(shí)間不超過(guò)2小時(shí)。3）確保信息安全事件發(fā)現(xiàn)率99%、上報(bào)和處理率100%。05手冊(cè)的管理信息安全管理手冊(cè)的批準(zhǔn)技術(shù)部負(fù)責(zé)組織編制《信息安全管理手冊(cè)》，總經(jīng)理負(fù)責(zé)批準(zhǔn)。信息安全管理手冊(cè)的發(fā)放、更改、作廢與銷毀a） 技術(shù)部負(fù)責(zé)按《文件和資料管理程序》的要求，進(jìn)行《信息安全管理手冊(cè)》的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作；b） 各相關(guān)部門按照受控文件的管理要求對(duì)收到的《信息安全管理手冊(cè)》進(jìn)行使用和保管；c） 技術(shù)部按照規(guī)定發(fā)放修改后的《信息安全管理手冊(cè)》，并收回失效的文件做出標(biāo)識(shí)統(tǒng)一處理，確保有效文件的唯一性；d） 技術(shù)部保留《信息安全管理手冊(cè)》修改內(nèi)容的記錄。信息安全管理手冊(cè)的換版當(dāng)依據(jù)的ISO27OO1:2O13標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及《信息安全管理手冊(cè)》發(fā)生需修改部分超過(guò)1/3時(shí)，應(yīng)對(duì)《信息安全管理手冊(cè)》進(jìn)行換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編制、審批工作。信息安全管理手冊(cè)的控制a） 本《信息安全管理手冊(cè)》標(biāo)識(shí)分受控文件和非受控文件兩種：——受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的負(fù)責(zé)人、內(nèi)審員；——非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。b） 《信息安全管理手冊(cè)》有書面文件和電子文件。信息安全管理手冊(cè)范圍總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱ISMS）,確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。應(yīng)用覆蓋范圍：本信息安全管理手冊(cè)規(guī)定了深圳市甲易科技有限公司的信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全管理體系改進(jìn)等方面內(nèi)容。本信息安全管理手冊(cè)適用于深圳市甲易科技有限公司業(yè)務(wù)活動(dòng)所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動(dòng)。刪減說(shuō)明本信息安全管理手冊(cè)采用了ISO27001:2013標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A的刪減見《適用性聲明》。規(guī)范性引用文件下列文件中的條款通過(guò)本《信息安全管理手冊(cè)》的引用而成為本《信息安全管理手冊(cè)》的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，技術(shù)部應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊(cè)。IS027001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》IS027002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》術(shù)語(yǔ)和定義IS027001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、IS027002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》規(guī)定的術(shù)語(yǔ)和定義適用于本《信息安全管理手冊(cè)》。本公司指深圳市甲易科技有限公司。信息系統(tǒng)指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績(jī)效有利益關(guān)系的組織和個(gè)人。主要為：政府、供方、銀行、用戶、電信等。4.組織環(huán)境4.1理解組織及其環(huán)境本公司應(yīng)確定與目標(biāo)相關(guān)并影響其實(shí)現(xiàn)的信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問(wèn)題4.2理解相關(guān)方要求本公司應(yīng)確定：4.2.1與本公司信息安全有關(guān)的相關(guān)方4.2.2這些相關(guān)方對(duì)信息安全方面的要求4.3確定信息安全的范圍：本公司應(yīng)確定信息安全管理體系的邊界和適用性，以建立其范圍。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊(cè)附錄F（規(guī)范性附錄）《信息安全管理體系組織機(jī)構(gòu)圖》。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于位于廣州市越秀區(qū)東風(fēng)中路268號(hào)廣州交易廣場(chǎng)25層2508-09室，安全邊界詳見附錄B（規(guī)范性附錄）《辦公場(chǎng)所平面圖》。4.4信息安全管理體系4.4.1本公司在產(chǎn)品開發(fā)、生產(chǎn)、服務(wù)和日常管理活動(dòng)中，按IS027001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》規(guī)定，參照ISO27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系。4.4.2信息安全管理體系使用的過(guò)程基于圖1所示的PDCA模型。圖1信息安全管理體系模型5領(lǐng)導(dǎo)：5.1領(lǐng)導(dǎo)和承諾我公司管理者通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：建立信息安全方針和信息安全目標(biāo)，并確保其與公司戰(zhàn)略保持一致確保將信息安全體系要求整合到組織的業(yè)務(wù)活動(dòng)中；確保提信息安全體系所需資源可用向組織傳達(dá)滿足信息安全體系有效實(shí)施、符合信息安全體系村求的重要性。確保信息安全體系實(shí)現(xiàn)其預(yù)期結(jié)果指揮并支持信息安全管理人員為信息安全管理體系的有效實(shí)施作出貢獻(xiàn)。促進(jìn)持續(xù)改進(jìn)支持其它管理角色在其職責(zé)范圍內(nèi)展示其領(lǐng)導(dǎo)力。5.2方針本公司總經(jīng)理負(fù)責(zé)制定信息安全方針，以適用于甲易科技的目標(biāo)包含信息安全目標(biāo)或設(shè)置信息安全目標(biāo)提供框架；包含適用的信息安全相關(guān)要求的承諾包含信息安全體系持續(xù)改善的承諾。并形成文件化的信息安全方針。在公司內(nèi)部進(jìn)行傳達(dá)。適用時(shí)，相關(guān)方適用5.3組織角色、職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理應(yīng)分配并確保信息安全相關(guān)角色的職責(zé)和權(quán)限：確保信息安全符合本標(biāo)準(zhǔn)要求；對(duì)信息安全管理體系的運(yùn)行的績(jī)效向信息安全委員會(huì)或最高責(zé)任者報(bào)告。6規(guī)劃6.1技術(shù)部負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。6.2識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、人員、服務(wù)、文檔。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、可用性、法律法規(guī)符合性要求進(jìn)行了量化賦值，形成了《資產(chǎn)識(shí)別清單》。同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。6.3分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，采用人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a） 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b） 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c） 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；d） 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇技術(shù)部組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處置策略。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴） 消減風(fēng)險(xiǎn)（通過(guò)適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性）；b） 接受風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者處理的代價(jià)高于風(fēng)險(xiǎn)引起的損失，公司決定接受該風(fēng)險(xiǎn)/殘余風(fēng)險(xiǎn)）；c） 規(guī)避風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)，從而避免風(fēng)險(xiǎn)）；d） 轉(zhuǎn)移風(fēng)險(xiǎn)（通過(guò)購(gòu)買保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。選擇控制目標(biāo)與控制措施技術(shù)部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《適用性聲明》）：a） 信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b） 控制目標(biāo)及控制措施的選擇原則來(lái)源于GIS027001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A,具體控制措施參考ISO27OO2:2OO5《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》。c） 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。7支持資源：本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；能力行政部制定并實(shí)施《人力資源管理程序》文件，確保被分配信息安全管理體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^(guò)：a） 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b） 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來(lái)滿足這些需求；c） 評(píng)價(jià)所采取措施的有效性；來(lái)自,d） 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資歷的記錄。意識(shí)人員在組織的控制下從事工作時(shí)應(yīng)意識(shí)到：a） 信息安全方針b） 本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做出貢獻(xiàn)c） 不符合信息安全管理體系要求可能的影響溝通本公司應(yīng)確定信息安全管理體系在公司內(nèi)外和外部進(jìn)行溝通的需求，包括：a） 什么需要溝通b） 什么時(shí)侯溝通c） 跟誰(shuí)溝通d） 由誰(shuí)負(fù)責(zé)溝通e） 影響溝通的過(guò)程文件記錄信息文件要求總則本公司信息安全管理體系文件包括：a） 文件化的信息安全方針、控制目標(biāo)，在《信息安全管理手冊(cè)》中描述；《信息安全管理手冊(cè)》(本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn))；本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《糾正預(yù)防措施控制程序》等支持性程序；信息安全管理體系引用的支持性程序。如：《文件和資料管理程序》、《記錄管理程序》、《內(nèi)部審核管理程序》等；為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序；《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》以及信息安全管理體系要求的記錄類文件；相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；適用性聲明(SOA)。創(chuàng)建和更新技術(shù)部制定并實(shí)施《文件和資料管理程序》，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)《信息安全管理手冊(cè)》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用時(shí)，可獲得相關(guān)文件的最新版本；來(lái)自,確保文件保持清晰、易于識(shí)別；確保文件可以為需要者所獲得,并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀；確保外來(lái)文件得到識(shí)別；確保文件的分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的需保留作廢文件時(shí),應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。文件記錄信息的控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。技術(shù)部負(fù)責(zé)制定并維持易讀、易識(shí)別、可方便檢索又考慮法律、法規(guī)要求的《記錄管理程序》，規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。信息安全體系的記錄應(yīng)包括本手冊(cè)第4.2條中所列出的所有過(guò)程的結(jié)果及與ISMS相關(guān)的安全事故（事件）的記錄。各部門應(yīng)根據(jù)《記錄管理程序》的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?。運(yùn)行運(yùn)行的規(guī)劃和控制為確保信息安全管理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a） 形成《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧⒙氊?zé)及安全控制措施的優(yōu)先級(jí)；b） 為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；來(lái)自，c） 實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d） 確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e） 進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f） 對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g） 對(duì)信息安全所需資源進(jìn)行管理；h） 實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。信息安全風(fēng)險(xiǎn)評(píng)評(píng)估本公司按《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，采用人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a） 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b） 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c） 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；d） 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。信息安全風(fēng)險(xiǎn)處置技術(shù)部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《適用性聲明》）：a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)?？刂颇繕?biāo)及控制措施的選擇原則來(lái)源于GIS027001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A,具體控制措施參考ISO27OO2:2OO5《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》。本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施?？?jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)本公司管理者代表負(fù)責(zé)對(duì)信息安全管理體系的績(jī)效和有效性進(jìn)行評(píng)價(jià)管理者代表應(yīng)編制《信息安全管理體系管理方案》，并明確以下事項(xiàng)：什么需要監(jiān)視和測(cè)量，包括信息安全過(guò)程和控制措施。測(cè)視、測(cè)量、分析和評(píng)價(jià)的方法什么時(shí)侯進(jìn)行監(jiān)視和測(cè)量誰(shuí)應(yīng)執(zhí)行監(jiān)視和測(cè)量什么時(shí)侯應(yīng)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)誰(shuí)應(yīng)分析和評(píng)價(jià)這些結(jié)果，并記錄分析和評(píng)價(jià)的結(jié)果內(nèi)部審核總則技術(shù)部負(fù)責(zé)建立并實(shí)施《內(nèi)部審核管理程序》，《內(nèi)部審核管理程序》應(yīng)包括策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識(shí)別的信息安全要求；得到有效地實(shí)施和維護(hù)；按預(yù)期執(zhí)行。內(nèi)審策劃技術(shù)部應(yīng)考慮擬審核的過(guò)程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，技術(shù)部應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。內(nèi)審實(shí)施應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審核意見和不符合報(bào)告；審核組長(zhǎng)編制審核報(bào)告。對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由技術(shù)部組織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證。按照《記錄管理程序》的要求，保存審核記錄。內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一。9.3管理評(píng)審管理評(píng)審總則技術(shù)部負(fù)責(zé)每年下半年組織信息安全管理體系管理評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。評(píng)審輸入管理評(píng)審的輸入要包括以下信息：信息安全管理體系審核和評(píng)審的結(jié)果；相關(guān)方的反饋；用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱性或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；任何可能影響信息安全管理體系的變更；改進(jìn)的建議。評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：信息安全管理體系有效性的改進(jìn)；更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃；必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：1)業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程；法律法規(guī)要求；合同責(zé)任；風(fēng)險(xiǎn)等級(jí)和(或)風(fēng)險(xiǎn)接受準(zhǔn)則。資源需求；改進(jìn)測(cè)量控制措施有效性的方式。評(píng)審程序技術(shù)部根據(jù)信息安全管理體系運(yùn)行情況和內(nèi)、外審的結(jié)果，針對(duì)評(píng)審輸入信息要求，制定《管理評(píng)審計(jì)劃》，送交總經(jīng)理批準(zhǔn)后，通知相關(guān)職能部門準(zhǔn)備及提供評(píng)審資料。相關(guān)部門按《管理評(píng)審計(jì)劃》，準(zhǔn)備相關(guān)的信息、資料，對(duì)信息安全管理體系文件的適宜性、充分性及有效性做出評(píng)價(jià)，提出改進(jìn)措施。最高管理者主持召開管理評(píng)審會(huì)議，并根據(jù)評(píng)審結(jié)果，做出管理評(píng)審結(jié)論性評(píng)價(jià)，對(duì)信息安全管理體系中存在主要問(wèn)題確定糾正和預(yù)防措施責(zé)成有關(guān)部門落實(shí)整改。管理評(píng)審應(yīng)形成《管理評(píng)審報(bào)告》，《管理評(píng)審報(bào)告》由管理者代表審核，最高管理者批準(zhǔn)。根據(jù)“管理評(píng)審報(bào)告”提出的要求，管理者代表組織各相關(guān)部門制定糾正、預(yù)防措施，并對(duì)實(shí)施情況進(jìn)行協(xié)調(diào)、監(jiān)督、檢查。改進(jìn)10.1不符合糾正措施10.1.1技術(shù)部負(fù)責(zé)建立并實(shí)施《糾正預(yù)防措施控制程序》，采取糾正措施并糾正與信息安全管理體系要求不符合的原因，以防止再發(fā)生。《糾正預(yù)防措施控制程序》應(yīng)規(guī)定以下方面的要求：識(shí)別存在的不符合；評(píng)審和確定不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施要求；確定和實(shí)施所需的糾正措施；記錄所采取措施的結(jié)果；評(píng)審所采取的糾正措施。必要進(jìn)對(duì)信息安全體系時(shí)行變更h不符合的性質(zhì)和需要采取的后續(xù)措施。i所有措施的結(jié)果10.2持續(xù)改進(jìn)本公司制定和實(shí)施《糾正預(yù)防措施控制程序》《內(nèi)部審核管理程序》等文件，通過(guò)下列途徑持續(xù)改進(jìn)信息安全管理體系的有效性：通過(guò)信息安全管理體系方針的建立與實(shí)施，對(duì)持續(xù)改進(jìn)做出正式的承諾；通過(guò)建立信息安全管理體系目標(biāo)明確改進(jìn)的方向；通過(guò)內(nèi)部審核不斷發(fā)現(xiàn)問(wèn)題，尋找體系改進(jìn)的機(jī)會(huì)并予實(shí)施，詳見《內(nèi)部審核管理程序》；通過(guò)數(shù)據(jù)分析不斷尋求改進(jìn)的機(jī)會(huì)，并做出適當(dāng)?shù)母倪M(jìn)活動(dòng)安排，詳見《糾正預(yù)防措施控制程序》；通過(guò)實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn)，詳見《糾正預(yù)防措施控制程序》通過(guò)管理評(píng)審輸出的有關(guān)改進(jìn)措施的實(shí)施實(shí)現(xiàn)改進(jìn)。附錄A（規(guī)范性附錄）信息安全管理組織結(jié)構(gòu)圖附錄B（規(guī)范性附錄）辦公室平面圖3512.15前臺(tái)5.2312/茶水咼第22頁(yè)共26頁(yè)附錄C（規(guī)范性附錄）信息安全管理職責(zé)明細(xì)表部門/職位職責(zé)信息安全管理委員會(huì)>建立信息安全管理體系的策略。>負(fù)責(zé)信息安全方針和目標(biāo)的建立。>負(fù)責(zé)分配信息安全的角色和相關(guān)職責(zé)。>負(fù)責(zé)公司信息安全組織結(jié)構(gòu)的批準(zhǔn)。>負(fù)責(zé)信息安全管理體系管理者代表的任命。>確保信息安全管理體系內(nèi)部審核的實(shí)施。>定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審。>確保公司信息安全教育的落實(shí)。>決定接受風(fēng)險(xiǎn)準(zhǔn)則和風(fēng)險(xiǎn)的可接受的等級(jí)。>為信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視保持和改進(jìn)配備必要的資源。管理者代表>監(jiān)督信息安全管理體系的實(shí)施，監(jiān)控公司的信息安全情況，并定期向最高管理者匯報(bào)。>向公司傳達(dá)實(shí)現(xiàn)信息安全目標(biāo)、符合信息安全策略、法律責(zé)任的重要性以及持續(xù)改進(jìn)的需