實(shí)用的 ISO27001 2013 信息安全管理體系

XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本VI.0發(fā)布日期2017年10月18日不變更記錄變更日期版本變更說(shuō)明修改內(nèi)容編制批準(zhǔn)2017-9-15VI.0初始版本XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-OOI文件版本VI.0發(fā)布日期2017年10月18B內(nèi)容信息安全管理手冊(cè)發(fā)布令管理者代表任命書(shū)組織簡(jiǎn)介手冊(cè)正文附錄1信息安全管理體系職能分配表附錄2信息安全部門(mén)工作職責(zé)描述附錄3信息安全小組成員名單總經(jīng)理：總經(jīng)理：總經(jīng)理：總經(jīng)理：XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-00I文件版本VI.0發(fā)布日期2017年10月18BXXXXXX有限公司信息安全管理手冊(cè)發(fā)布令為提高本公司的信息安全管理水平，保障公司業(yè)務(wù)活動(dòng)的正常運(yùn)行，防止由于信息安全事件導(dǎo)致公司和客戶(hù)的損失，本公司依據(jù)IS027001：2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》，結(jié)合公司的實(shí)際情況，在公司內(nèi)部建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全的管理體系，組織編寫(xiě)了《信息安全管理手冊(cè)》，經(jīng)審定符合國(guó)家、地方及行業(yè)的有關(guān)法律法規(guī)和本公司的實(shí)際情況，現(xiàn)予以發(fā)布。本手冊(cè)全面系統(tǒng)地闡述了公司信息安全管理體系的有關(guān)要求和過(guò)程，是公司的法規(guī)性文件，用于貫徹公司信息安全管理方針和目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)公司對(duì)社會(huì)的承諾。全體員工必須嚴(yán)格按照《信息安全管理手冊(cè)》的要求，自覺(jué)遵守信息安全管理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)?？偨?jīng)理簽字：2017年9月28日XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-00I文件版本VI.0發(fā)布日期2017年10月18Bxxxxxxx科技有限公司信息安全管理體系管理者代表任命書(shū)為貫徹執(zhí)行IS027001：2013《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》，加強(qiáng)對(duì)公司體系運(yùn)作的領(lǐng)導(dǎo)，特任命呂航為本公司的管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系：負(fù)貴與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作：確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)：審核風(fēng)險(xiǎn)評(píng)估報(bào)吿、風(fēng)險(xiǎn)處理計(jì)劃：負(fù)責(zé)組織編寫(xiě)和批準(zhǔn)發(fā)布程序文件，負(fù)責(zé)年度培訓(xùn)計(jì)劃、支持性文件的審批：主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告：向總經(jīng)理報(bào)告信息安全管理體系的運(yùn)行情況和所有改迸要求，包括內(nèi)外部審核情況。本授權(quán)書(shū)自任命日起生效執(zhí)行?？偨?jīng)理簽字:2017年9月28Hxxxxxx有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-00I文件版本VI.0發(fā)布日期2017年10月18B組織簡(jiǎn)介XXXXXX有限公司簡(jiǎn)介xxxxxx有限公司（以下簡(jiǎn)稱(chēng)“xxxx”）是一家專(zhuān)注于安全生產(chǎn)領(lǐng)域信息化建設(shè)的科技型公司。目前，是“國(guó)家高新技術(shù)企業(yè)”和''中關(guān)村高新技術(shù)企業(yè)”，并已取得xxxxxxx經(jīng)信委認(rèn)定的“雙軟認(rèn)定”資質(zhì)，并通過(guò)了IS09001質(zhì)量;管理體系認(rèn)證和CMMI三級(jí)認(rèn)證等。自成立以來(lái)，xxxxxxx主要致力于安全生產(chǎn)領(lǐng)域信息化技術(shù)研咒，主要從事安全生產(chǎn)行業(yè)咨詢(xún)、安全監(jiān)管應(yīng)用軟件研發(fā)、安全生產(chǎn)網(wǎng)絡(luò)化監(jiān)測(cè)技術(shù)研究、安全生產(chǎn)地理信息平臺(tái)研究、安全生產(chǎn)便攜式手持終端設(shè)備研發(fā)、安全生產(chǎn)資源平臺(tái)建設(shè)等業(yè)務(wù)。目前，已在該領(lǐng)域擁有十余項(xiàng)自主知識(shí)產(chǎn)權(quán)，研發(fā)并成熟應(yīng)用的市場(chǎng)化軟件產(chǎn)品和移動(dòng)終端硬件產(chǎn)品等取得了相關(guān)專(zhuān)利與商標(biāo)。xxxxxxx是一個(gè)具有朝氣和活力的初創(chuàng)型企業(yè)，擁有大專(zhuān)以上學(xué)歷的員工占比100%,研究生學(xué)歷員工占比19%,技術(shù)人員占全部員工的80%以上。其中，核心技術(shù)開(kāi)發(fā)人員均具備計(jì)算機(jī)及安全生產(chǎn)領(lǐng)域的專(zhuān)業(yè)資質(zhì)，擁有多年安全生產(chǎn)領(lǐng)域開(kāi)發(fā)項(xiàng)目經(jīng)驗(yàn)，掌握安全生產(chǎn)監(jiān)督管理業(yè)務(wù)。xxxxxxx以“先進(jìn)的科技手段、實(shí)用的軟硬件產(chǎn)品、高質(zhì)量的技術(shù)服務(wù)”為宗旨，以“專(zhuān)業(yè)化、高效率滿(mǎn)足客戶(hù)需求”為目標(biāo)，向用戶(hù)提供從終端設(shè)備到平臺(tái)架構(gòu)，從業(yè)務(wù)咨詢(xún)到技術(shù)支持的完善的信息化行業(yè)解決方案。xxxxxx有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本VI.0發(fā)布日期2017年10月18H1、目的和適用范圍1.1目的為了在本公司環(huán)境下建立、實(shí)施、運(yùn)行、保持和持續(xù)改進(jìn)信息安全管理體系的要求。以及根據(jù)公司需求而進(jìn)行的信息安全風(fēng)險(xiǎn)評(píng)估和處置的要求，特制定本手冊(cè)。1.2關(guān)于刪減條款由于本公司無(wú)外包開(kāi)發(fā)，因此對(duì)于信息安全管理體系標(biāo)準(zhǔn)附錄A.14.2.7共1條控制措施予以刪減，具體參照《適用性聲明》文件的內(nèi)容。這些刪減不影響本公司提供滿(mǎn)足適用的法律法規(guī)要求所確定的安全要求的能力和責(zé)任。2、 引用標(biāo)準(zhǔn)ISO/IEC27000:2013信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求ISO/IEC27002:2013信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則IS031000：2009風(fēng)險(xiǎn)管理原則和指南GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范3、 術(shù)語(yǔ)和定義可用性：保證被授權(quán)的使用者需要時(shí)能夠訪問(wèn)信息及相關(guān)資產(chǎn)。保密性：保證信息只被授權(quán)的人訪問(wèn)。信息安全：保持信息的保密性、完整性和可用性。信息安全管理體系（ISMS）：是整個(gè)管理體系的一部分，建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以開(kāi)發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息安全。［注意：管理體系包括組織的結(jié)構(gòu)、方針、計(jì)劃、活動(dòng)、責(zé)任、實(shí)踐、程序、過(guò)程和資源］完整性：保護(hù)信息和處理過(guò)程的準(zhǔn)確和完整。風(fēng)險(xiǎn)接受：接受一個(gè)風(fēng)險(xiǎn)的決定。風(fēng)險(xiǎn)分析：系統(tǒng)化地使用信息識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。風(fēng)險(xiǎn)評(píng)價(jià)：比較估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程。XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-00I文件版本VI.0發(fā)布日期2017年10月18B風(fēng)險(xiǎn)管理：指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)合行動(dòng)。風(fēng)險(xiǎn)處理：選擇和實(shí)施措施以更改風(fēng)險(xiǎn)的處理過(guò)程。適用性聲明：描述適用于組織的ISMS范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。本公司信息安全管理體系的范圍:本公司信息安全管理體系的范圍:與計(jì)算機(jī)信息系統(tǒng)集成及相關(guān)軟件的研發(fā)相關(guān)的信息安全是建立在風(fēng)險(xiǎn)評(píng)估和處理過(guò)程的結(jié)論和結(jié)果基礎(chǔ)上。4、組織環(huán)境4.1公司及相關(guān)環(huán)境本公司按照ISO/IEC27001:2013標(biāo)準(zhǔn)的要求建立一個(gè)文件化的信息安全管理體系。為此考慮了與本公司業(yè)務(wù)相關(guān)的內(nèi)部組織機(jī)構(gòu)和有影響的外部相關(guān)方與各級(jí)部門(mén)的聯(lián)系，本公司信息安全體系覆蓋范圍下的內(nèi)部組織機(jī)構(gòu)包括公司所有部門(mén)。組織機(jī)構(gòu)圖如下：信息安全管理體系組織結(jié)構(gòu)圖4.2理解相關(guān)方的需求和期望公司爭(zhēng)取從務(wù)方面理解相關(guān)方對(duì)信息安全管理的需求和期望，提岀以下要求:1、 確保項(xiàng)目實(shí)施的信息安全，承擔(dān)客戶(hù)托付的責(zé)任，滿(mǎn)足合同要求；2、 進(jìn)行公司【T環(huán)境的信息安全管理，提高系統(tǒng)的可用性；3、 對(duì)信息資產(chǎn)進(jìn)行分類(lèi)，有針對(duì)性的采取管理措施，提高安全管理能力：4、 規(guī)范信息安全管理措施，防范信息安全事故的發(fā)生。XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本V1.0發(fā)布日期2017年10月18日5、遵守相關(guān)的法律法規(guī)。4.3信息安全管理體系(ISMS)的覆蓋范圍管理;與此范圍相關(guān)的物理邊界為：XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.與此范圍相關(guān)的逝輯邊界包括本公司管理下的所有信息系統(tǒng)的邊界。4.4信息安全管理體系公司應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，開(kāi)發(fā)、實(shí)施、保持并持續(xù)改進(jìn)文件化的信息安全管理體系。使用的信息安全管理過(guò)程模式如下圖：5.領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力和承諾公司管理層關(guān)于ISMS的領(lǐng)導(dǎo)力和承諾：1、 建立信息安全方針：2、 確保建立信息安全目標(biāo)和計(jì)劃；3、 為信息安全分配角色和職責(zé)；4、 向公司傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、法律責(zé)任和持續(xù)改進(jìn)的賞要性:5、 提供足夠的資源以建立、實(shí)施、運(yùn)行、監(jiān)督、保持和改進(jìn)ISMS；6、 決定可接受的風(fēng)險(xiǎn)等級(jí)：7、 定期進(jìn)行ISMS的內(nèi)部審核及管理評(píng)審。XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本V1.0發(fā)布日期2017年10月18日5.2方針為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶(hù)的損失，本公信息安全管理方針:提高信急安全意識(shí).遵守信息安全法規(guī),

強(qiáng)化科學(xué)管理機(jī)制,錐護(hù)安全運(yùn)營(yíng)環(huán)境;

保護(hù)公司信息資產(chǎn),保障客戶(hù)值息安全。a）本公司ISMS方針的制定考慮了以下方面的要求：a） 考慮了公司信息安全管理體系的總體期望。b） 作為制定ISMS目標(biāo)的框架及為采取信息安全措施建立總的方向與原則：c） 考慮公司業(yè)務(wù)發(fā)展、法律法規(guī)要求及其他相關(guān)方信息安全的要求：d） 為ISMS的建立和維持，提供一個(gè)組織化的戰(zhàn)略和風(fēng)險(xiǎn)管理的基本環(huán)境：e） 提出了持續(xù)改進(jìn)的要求。上述方針的批準(zhǔn)、發(fā)布及修訂由公司管理層負(fù)責(zé)：通過(guò)培訓(xùn)、通知等方式使得本公司員工獲知內(nèi)容：通過(guò)文件公開(kāi)信息、E-mail或傳真等形式告知相關(guān)方、客戶(hù)群等，以提高安全意識(shí)及服務(wù)水平：并定期通過(guò)《管理評(píng)審控制程序》評(píng)審其適用性、充分性，必要時(shí)予以修訂。5.3組織的角色、職責(zé)和權(quán)限公司管理層應(yīng)確保與信息安全相關(guān)角色的職責(zé)和權(quán)限被分配和傳達(dá)。公司管理層應(yīng)分配職責(zé)和權(quán)限：確保ISMS符合本國(guó)際標(biāo)準(zhǔn)的要求；將ISMS績(jī)效報(bào)告給公司管理層。注：公司管理層也可以分配組織內(nèi)ISMS績(jī)效報(bào)吿的職責(zé)和權(quán)限。設(shè)立ISMSI作小組為專(zhuān)門(mén)的機(jī)構(gòu)，并任命其人員，使其負(fù)責(zé)ISMS的建立、實(shí)施、保持和改進(jìn)，明確所有相關(guān)人員在體系中的職責(zé)和義務(wù)（參見(jiàn)公司相關(guān)任命文件），確保體系運(yùn)行的有效性。XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-OOI文件版本VI.0發(fā)布日期2017年10月18B6策劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施6.1.1總則當(dāng)規(guī)劃信息安全管理體系時(shí)，公司充分考慮與本公司業(yè)務(wù)相關(guān)的內(nèi)部組織機(jī)構(gòu)和有影響的外部相關(guān)方與各級(jí)部門(mén)的聯(lián)系，以及相關(guān)方的期望和需求，包括法規(guī)要求，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：a） 確保信息安全管理體系能實(shí)現(xiàn)預(yù)期結(jié)果：b） 預(yù)防或減少意外的影響：c） 實(shí)現(xiàn)持續(xù)改進(jìn)。組織信息安全小組應(yīng)規(guī)劃：d） 應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；e） 如何：1） 將這些措施整合到信息安全管理體系過(guò)程屮，并予以實(shí)施：2） 評(píng)價(jià)這些措施的有效性。商務(wù)部負(fù)責(zé)按照IS031000標(biāo)準(zhǔn)和GB/T20984標(biāo)準(zhǔn)，將以上策劃內(nèi)容編寫(xiě)到《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，并組織實(shí)施。6.1.2信息安全風(fēng)險(xiǎn)評(píng)估《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平，定義并應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，規(guī)定系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和處置方法，以：a） 建立和維護(hù)信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括：1） 風(fēng)險(xiǎn)接受準(zhǔn)則：2） 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則。b） 確保重復(fù)的信息安全風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的、有效的和可比較的結(jié)果；c） 識(shí)別信息安全風(fēng)險(xiǎn)：1） 應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，以識(shí)別信息安全管理體系范圍內(nèi)與信息保密性、完整性和可用性損失有關(guān)的風(fēng)險(xiǎn)；2） 識(shí)別風(fēng)險(xiǎn)責(zé)任人；d） 分析信息安全風(fēng)險(xiǎn)：1）評(píng)估所識(shí)別的信息安全風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果；XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-OOI文件版本VI.0發(fā)布日期2017年10月18B2） 評(píng)估這些風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性；3） 確定風(fēng)險(xiǎn)級(jí)別：e）評(píng)價(jià)信息安全風(fēng)險(xiǎn)：1） 將鳳險(xiǎn)分析結(jié)果與己建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；2） 排列己分析風(fēng)險(xiǎn)的優(yōu)先順序，以便于風(fēng)險(xiǎn)處置。信息安全小組應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文件，形成完整的信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程材料。6.1.3信息安全風(fēng)險(xiǎn)處置6.1.3.1信息安全小組組織根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制訂《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門(mén)、風(fēng)險(xiǎn)責(zé)任人、方法及時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮風(fēng)險(xiǎn)與機(jī)會(huì)的平衡，風(fēng)險(xiǎn)處置的可能包括：實(shí)施適當(dāng)?shù)目刂拼胧阂越档惋L(fēng)險(xiǎn)。通過(guò)有事實(shí)依據(jù)的決策，保留風(fēng)險(xiǎn)。為尋求機(jī)會(huì)，接受或提高風(fēng)險(xiǎn)；在確保滿(mǎn)足公司方針和風(fēng)險(xiǎn)接受準(zhǔn)則的前提下，有意識(shí)地客觀地接受風(fēng)險(xiǎn)：規(guī)避風(fēng)險(xiǎn)；將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移給他方，例如保險(xiǎn)公司、供方；7.選擇風(fēng)險(xiǎn)處理的控制目標(biāo)和控制方式。參考15027001:2013標(biāo)準(zhǔn)附錄A,選擇并增加適當(dāng)?shù)目刂颇繕?biāo)和控制方式，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果和風(fēng)險(xiǎn)處理程序判斷選擇的合理性。6.13.2準(zhǔn)備適用性聲明應(yīng)在適用性聲明中寫(xiě)明選擇的控制目標(biāo)和控制方式的理由,適用性聲明也將記錄15027001:2013附錄A屮控制措施條款的刪減及其合理性。6.133獲得管理層對(duì)殘余風(fēng)險(xiǎn)的認(rèn)可，以及實(shí)施和運(yùn)行ISMS的授權(quán)。6.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃公司信息安全小組負(fù)責(zé)策劃在相關(guān)職能和層次上建立信息安全目標(biāo)。本公司的信息安全目標(biāo)是：XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-OOI文件版本VI.0發(fā)布日期2017年10月18B

。公司和客戶(hù)重要信息泄露事故為零；?客戶(hù)關(guān)于信息保密的投訴次數(shù)為零。?引起公司重要信息不可用的事故次數(shù)為零/年。信息安全目標(biāo)應(yīng)：a） 與信息安全方針一致：b） 可測(cè)量（如可行）：c） 考慮適用的信息安全要求，以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的結(jié)果；d） 得到溝通：e） 在適當(dāng)時(shí)更新。信息安全小組在策劃如何實(shí)現(xiàn)信息安全目標(biāo)時(shí)，應(yīng)確定：f） 要做什么：g） 需要什么資源；h） 由誰(shuí)負(fù)責(zé)：i） 什么時(shí)候完成；這些要求包括計(jì)算方法，應(yīng)形成考核要求，并定期對(duì)于目標(biāo)的實(shí)現(xiàn)情況進(jìn)行考核評(píng)價(jià)。7支持7.1資源為確保ISMS的有效運(yùn)行，公司管理層應(yīng)提供充足必要的資源，該資源包括資金、技術(shù)、人力等方面，以保證：建立、貫徹、運(yùn)行和保持ISMS確保信息安全程序支持業(yè)務(wù)要求識(shí)別和強(qiáng)調(diào)法律和法規(guī)的求和合同的安全義務(wù)正確地應(yīng)用所有實(shí)施的控制措施以保持充分的安全必要時(shí)進(jìn)行評(píng)審，并對(duì)評(píng)審結(jié)果做出適當(dāng)?shù)捻憫?yīng)需要時(shí)，改善ISMS的有效性要求。XXXXXX有限公司

信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本VI.0發(fā)布日期2017年10月18日7.2能力為有效地實(shí)施信息安全管理，貫徹信息安全管理方針，實(shí)現(xiàn)信息安全目標(biāo)，必須對(duì)ISMS涉及的所有人員進(jìn)行培訓(xùn)，以增強(qiáng)其信息安全意識(shí)，保證其勝任所在崗位的工作。按公司ISMS中的各級(jí)員工任職要求，商務(wù)部簽訂相關(guān)協(xié)議，并根據(jù)規(guī)定對(duì)人員進(jìn)行適當(dāng)?shù)呐嘤?xùn)。以上文件對(duì)以下方面做出了規(guī)定：確定人員有效地完成ISMS工作所必需的能力提供能力培訓(xùn)，必要時(shí)，可聘用有能力的人員以滿(mǎn)足需求評(píng)估培訓(xùn)和所采取行動(dòng)的效果保持員工的教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格記錄。7.3意識(shí)本公司控制措施下工作的人員應(yīng)意識(shí)到：信息安全方針：他們對(duì)ISMS有效性的頁(yè)獻(xiàn)，包括提高信息安全績(jī)效的收益；不符合ISMS要求所帶來(lái)的影響。7.4溝通溝通形式：高層管理層會(huì)議；郵件、通知或信件：?jiǎn)T工會(huì)議：公司內(nèi)部文件。7.5文件化信息7.5.1總則本公司信息安全管理體系文件經(jīng)考慮了公司的產(chǎn)品服務(wù)、人員機(jī)構(gòu)以及過(guò)程，包括以下類(lèi)別：a） 文件化的信息安全方針、目標(biāo)和適用性聲明：b） 信息安全管理體系手冊(cè)（包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；c） 本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《不符合及糾正措施管理程序》、《管理評(píng)審控制程序》等支持性程序；d） 本公司有關(guān)風(fēng)險(xiǎn)評(píng)估方法的描述；以及風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處置計(jì)劃：XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本VI.0發(fā)布日期2017年10月18Be）為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序；0ISMS要求的記錄類(lèi)；g）相關(guān)的法律、法規(guī)，信息安全標(biāo)準(zhǔn)和其他外來(lái)文件。注：相關(guān)的文件和記錄的媒體可能有：紙、電子載體等。所有文件應(yīng)該容易為需要使用的員工獲得。7.5.2文件控制運(yùn)營(yíng)部制定信息安全管理體系文件管理程序，保證信息安全管理體系文件得到以下所需的控制:a） 文件的編寫(xiě)、發(fā)布、分發(fā)、修訂、廢棄等事項(xiàng)得到相應(yīng)授權(quán)的査閱、批準(zhǔn)，確保文件是適宜的、充分的；文件發(fā)布管理部門(mén)負(fù)責(zé)決定文件的介質(zhì)形態(tài)和對(duì)文件的充分保護(hù)。b） 文件的標(biāo)識(shí)和修訂狀態(tài)清晰、易于識(shí)別，確保使用的文件是當(dāng)前的有效版本：c） 為了文件的有效性，要定期評(píng)審確認(rèn)記載內(nèi)容是否過(guò)時(shí)，根據(jù)需要決定保持或修改并再次得到相應(yīng)的批準(zhǔn)：d） 確保信息安全的外部標(biāo)準(zhǔn)、相應(yīng)法律、法規(guī)得到明確的標(biāo)識(shí)和管理：?以上規(guī)定的詳細(xì)內(nèi)容見(jiàn)《文件和資料管理程序》7.5.3記錄控制a） 信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。運(yùn)營(yíng)部負(fù)責(zé)制定并維持可讀、易識(shí)別、可方便檢索又考慮法律、法規(guī)要求的記錄管理規(guī)定。b） 該規(guī)定應(yīng)指定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄、載體等事項(xiàng)。c） 信息安全體系的記錄包括與ISMS相關(guān)的安全事項(xiàng)及所有過(guò)程的結(jié)果。各部門(mén)應(yīng)根據(jù)記錄管理規(guī)定的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?。d） 該程序詳細(xì)的規(guī)定見(jiàn)《記錄管理程序》。8運(yùn)行8.1運(yùn)行計(jì)劃及控制本公司應(yīng)策劃、實(shí)施和控制用來(lái)滿(mǎn)足信息安全要求過(guò)程。XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本VI.0發(fā)布日期2017年10月180本公司應(yīng)保存相關(guān)的文件信息，以保證過(guò)程已按照計(jì)劃完成。應(yīng)控制計(jì)劃內(nèi)的變更并評(píng)審非計(jì)劃變更的結(jié)果，必要時(shí)，采取措施以減輕任何不良影響。策劃文件應(yīng)確保外包過(guò)程被確定和受控。8.2信息安全風(fēng)險(xiǎn)評(píng)估本公司應(yīng)按計(jì)劃的時(shí)間間隔（W12個(gè)月）或重大變更被提出或發(fā)生時(shí)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。商務(wù)部應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的相關(guān)文件信息。8.3信息安全風(fēng)險(xiǎn)處置公司信息安全小組應(yīng)組織相關(guān)部門(mén)實(shí)施信息安全風(fēng)險(xiǎn)處置計(jì)劃。商務(wù)部應(yīng)保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)分析和評(píng)價(jià)商務(wù)部通過(guò)實(shí)施適當(dāng)時(shí)間間隔的安全檢査、內(nèi)部審核、事故報(bào)告調(diào)査處理、電子監(jiān)控、定期技術(shù)檢査等手段，對(duì)于信息安全過(guò)程和各種控制措施進(jìn)行監(jiān)視測(cè)量。監(jiān)視測(cè)量的方法包括日程檢査并記錄，安全事件分析，目標(biāo)考核，指標(biāo)分析等。并報(bào)告結(jié)果以實(shí)現(xiàn)：a） 及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患；b） 及時(shí)了解信息處理系統(tǒng)遭受的各類(lèi)攻擊；c） 使管理者掌握信息安全活動(dòng)是否有效，并根據(jù)優(yōu)先級(jí)別確定所要采取的措施；d） 積累信息安全方面的知識(shí)庫(kù)。根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋，由總經(jīng)理主持，管理層定期（每年至少一次）通過(guò)管理評(píng)審會(huì)議對(duì)監(jiān)視測(cè)量結(jié)果的有效性進(jìn)行分析和評(píng)審。信息安全小組應(yīng)按照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》的要求對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a） 組織機(jī)構(gòu)發(fā)生重大變更；b） 信息處理技術(shù)發(fā)生重大變更；c） 公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更；d） 發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅；XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-OOI文件版本VI.0發(fā)布日期2017年10月18Be）外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。商務(wù)部負(fù)責(zé)保持上述活動(dòng)和措施的記錄作為監(jiān)視和測(cè)房結(jié)果的證據(jù)。。以上活動(dòng)的詳細(xì)程序規(guī)定于以下文件中：?《記錄管理程序》?《信息安全職責(zé)權(quán)限》?《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》?《內(nèi)部審核管理程序》9.2內(nèi)部審核商務(wù)部制定內(nèi)審計(jì)劃并組織實(shí)施，以檢驗(yàn)ISMS規(guī)定的安全目標(biāo)、控制措施和程序是否：a） 符合ISO/IEC27001:2013標(biāo)準(zhǔn)和有關(guān)法律法規(guī)要求；b） 符合己識(shí)別的信息安全要求：c） 有效實(shí)施和保持；d） 完成預(yù)期的目標(biāo)。9.2.1內(nèi)部審核程序a） 商務(wù)部編寫(xiě)信息安全管理體系年度審核計(jì)劃，該計(jì)劃應(yīng)覆蓋整個(gè)ISMS體系并得到信息安全管理體系管理者代表的批準(zhǔn)。信息安全體系內(nèi)部審核每年至少進(jìn)行一次，兩次內(nèi)審間隔時(shí)間不得大于12個(gè)月。b） 內(nèi)部審核以本手冊(cè)、相應(yīng)的規(guī)程、作業(yè)文件為基準(zhǔn)。選定的內(nèi)審員應(yīng)是了解公司業(yè)務(wù)流程、熟悉安全體系標(biāo)準(zhǔn)并經(jīng)過(guò)培訓(xùn)取得信息安全內(nèi)審員授權(quán)資格的本公司員工。c） 內(nèi)審員資格需得到信息安全管理者代表的批準(zhǔn)。d） 進(jìn)行內(nèi)審時(shí)，管理者代表要有計(jì)劃的組織進(jìn)行以下的事項(xiàng)：。審核員的選定、教育與培訓(xùn)；?編寫(xiě)審核計(jì)劃，指定審核員（審核員應(yīng)與被審核對(duì)象無(wú)直接責(zé)任關(guān)系）；?準(zhǔn)備必要的相關(guān)文件。e） 審核中發(fā)現(xiàn)的不符合事項(xiàng)，由商務(wù)部明確糾正措施的實(shí)施計(jì)劃。0要對(duì)該糾正措施的實(shí)施計(jì)劃，進(jìn)行適宜的跟蹤，確認(rèn)是否有效實(shí)施。g） 以上的工作完成后，須經(jīng)管理者代表確認(rèn)后，審核結(jié)束。h） 如果發(fā)現(xiàn)信息安全重大不符合或征兆時(shí)，或者管理者代表判斷必要時(shí)，可調(diào)整年度審核計(jì)XXXXXX有限公司信息安全管理手冊(cè)文件編號(hào)ISMS-001文件版本V1.0發(fā)布日期2017年10月18日劃。i）對(duì)審核的結(jié)果進(jìn)行適當(dāng)?shù)膮R總整理，作為管理評(píng)審的輸入資料。9.2.2內(nèi)部審核需保留以下記錄作為審核方案和審核結(jié)果的證據(jù)?被審核對(duì)象范圍、審核日期、審核員、被審核方；?依據(jù)的文件、具體審核事項(xiàng)及其審査過(guò)程記錄和結(jié)果、不符合內(nèi)容和程度（嚴(yán)重或一般及觀察事項(xiàng)）、不符合事項(xiàng)的糾正措施和實(shí)施期限：?糾正措施的實(shí)施狀況及其效果，其他必要事項(xiàng)、審核結(jié)束的確鑿證據(jù)。以上程序詳細(xì)內(nèi)容見(jiàn)：《內(nèi)部審核管理程序》。9.31ISMS管理評(píng)審93.1總則管理層為確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每年至少對(duì)信息安全管理體系進(jìn)行一次評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息安全管理體系是否需改進(jìn)或變更的評(píng)價(jià)，以及對(duì)安全方針、安全目標(biāo)的評(píng)價(jià)。管理評(píng)審的結(jié)果應(yīng)形成書(shū)面記錄，并按要求進(jìn)行保存。93.2管理評(píng)審的輸入在管理評(píng)審時(shí)，管理者代表應(yīng)組織各相關(guān)部門(mén)提供以下資料，以供評(píng)審：a） 上次管理評(píng)審時(shí)決定事項(xiàng)的實(shí)施情況：b） 與信息安全管理體系相關(guān)的外部和內(nèi)部情況的變化；c） 信息安全績(jī)效有關(guān)的反饋，包括以下方面的趨勢(shì)：1） 不符合和糾正措施情況；2） 監(jiān)視和測(cè)量結(jié)果；3） ISMS體系內(nèi)、外部審核結(jié)果；4） 信息安全目標(biāo)完成情況；d） 相關(guān)方反饋：e） 風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；0持續(xù)改進(jìn)的機(jī)會(huì)。93.3管理評(píng)審的輸出總經(jīng)理對(duì)以下事項(xiàng)作出必要的指示：a） 信息安全管理體系有效性的改善事項(xiàng)：b） 信息安全方針適宜性的評(píng)價(jià)；XXXXXX有限公司文件編號(hào)ISMS-OOI文件版本VI.0信息安全管理手冊(cè) 發(fā)布日期 2017信息安全管理手冊(cè) 發(fā)布日期 2017年10月18日信息安全管理手冊(cè) 發(fā)布日期 2017信息安全管理手冊(cè) 發(fā)布日期 2017年10月18日C）必要時(shí)，對(duì)影響信息安全的控制流程進(jìn)行變更，以應(yīng)對(duì)包括以下變化的內(nèi)外部事件對(duì)信息安全體系的影響：?業(yè)務(wù)發(fā)展要求；?信息安全要求：?業(yè)務(wù)流程；?法律法規(guī)要求：?風(fēng)險(xiǎn)水平/可接受風(fēng)險(xiǎn)水平。d）對(duì)資源的需求。以上內(nèi)容的詳細(xì)規(guī)定見(jiàn)《管理評(píng)審控制程序》。10改進(jìn)10.1不符合及糾正措施按《糾正與預(yù)防措施控制程序》執(zhí)行，針對(duì)ISMS實(shí)施和運(yùn)行中出現(xiàn)的不符合原因采取糾正措施，以防止其再次發(fā)生。程序內(nèi)容應(yīng)包括：識(shí)別ISMS實(shí)施和運(yùn)行中的不符合確認(rèn)不符合的原因評(píng)估所需措施，應(yīng)確保不符合不再發(fā)生確定并實(shí)施所需的糾正措施記錄措施實(shí)施的結(jié)果評(píng)審己實(shí)施的糾正措施必要時(shí)，對(duì)信息安全管理體系進(jìn)行變更。糾正措施應(yīng)與所遇到的不符合的影響程度相適應(yīng)。商務(wù)部應(yīng)保留文件化信息作為以下方面的證據(jù)：不符合的性質(zhì)及所采取的后續(xù)措施；糾正措施的結(jié)果。10.2持續(xù)改進(jìn)本公司通過(guò)制定信息安全方針、安全目標(biāo)、實(shí)施內(nèi)外部審核、糾正和預(yù)防措施以及管理評(píng)審等XXXXXX有限公司文件編號(hào)ISMS-001文件版本VI.0活動(dòng)，持續(xù)改善信息安全體系的有效性。詳細(xì)的規(guī)定見(jiàn)《管理評(píng)審控制程序》、《內(nèi)部審核管理程序》及《糾正預(yù)防措施管理程序》屮。附錄1：信息安全職責(zé)分配表備注［▲:職能部門(mén)：△相關(guān)部門(mén)］條款部門(mén)項(xiàng)111部管理層及小組4.1了解組織現(xiàn)狀及背景△△▲4.2理解相關(guān)方的需求和期望△△▲▲4.3確定ISMS的范圍△△▲▲4.4ISMS△△▲▲5.1領(lǐng)導(dǎo)力和承諾△△▲▲5.2方針△△△▲5.3角色，責(zé)任和承諾△△▲6.1.1總則△△△▲6.1.2信息安全風(fēng)險(xiǎn)評(píng)估△△△▲6.1.3信息安全風(fēng)險(xiǎn)處置△△▲▲6.2町實(shí)現(xiàn)的信息安全目標(biāo)和計(jì)劃△△△▲7.1資源△△△▲7.2能力△▲△▲7.3意識(shí)△▲△▲7.4溝通△△△▲7.5.1總則△△▲▲7.5.2創(chuàng)建和更新△△▲▲7.5.3文檔化信息的控制△▲△△8.1運(yùn)行計(jì)劃及控制△△▲▲8.2信息安全風(fēng)險(xiǎn)評(píng)估△△▲▲8.3信息安全風(fēng)險(xiǎn)處置△△▲9.1監(jiān)控，度坦，分析和評(píng)價(jià)△△▲9.2內(nèi)部審核△△▲9.3管理評(píng)審△△△▲10.1不符合及糾正措施△△▲10.2持續(xù)改刈△△▲A.5.1.1信息安全方針應(yīng)定義信息安全方針?信息安全方針文件應(yīng)經(jīng)過(guò)管理層批準(zhǔn)，并向所有員工和相關(guān)方發(fā)布和溝通.△△△▲A.5.1.2信息安全方針的評(píng)審府定期或在發(fā)生函大的變化時(shí)評(píng)審方針文件，確保方針的持續(xù)性、穩(wěn)定性、充分性和有效性?！鳌鳌鳌鳤.6.1.1信嵐安全的角色和職責(zé)應(yīng)定義和分配所有信總安全職貴?！鳌鳌鰽.6.1.2職責(zé)分禹有沖突的職貴和貴任苑圍應(yīng)分離，以減少對(duì)組熾資產(chǎn)未經(jīng)授權(quán)訪問(wèn)、無(wú)意修改或誤用的機(jī)會(huì)?！鳌鳌鰽.6.1.3與監(jiān)管機(jī)構(gòu)的聯(lián)系府與相關(guān)監(jiān)管機(jī)構(gòu)保持適當(dāng)聯(lián)系?！鳌鳌鰽.6.1.4與特殊利益團(tuán)體、其他專(zhuān)業(yè)安全協(xié)會(huì)或行業(yè)協(xié)會(huì)險(xiǎn)?！鳌鳌?/p>

與特殊利益團(tuán)體的聯(lián)系持適當(dāng)聯(lián)系。A.6.1.5項(xiàng)目管理中的信息安全實(shí)施任何項(xiàng)目時(shí)劇考慮信息安全相關(guān)要求.▲△△△A.6.2.1移動(dòng)設(shè)備策略應(yīng)采取安全策略和配套的安全措施控制使用移動(dòng)設(shè)備帶來(lái)的風(fēng)險(xiǎn)，▲△△△A.6.2.2遠(yuǎn)程辦公應(yīng)實(shí)施安全策略和配套的安全措施以保障遠(yuǎn)程辦公時(shí)信息的訪問(wèn)、處理和存儲(chǔ)的安全?！鳌鳌鰽.7.1.1人員篩選根據(jù)相關(guān)法律、法規(guī)、道德規(guī)范，對(duì)員工、合同人員及承包商人員進(jìn)行背景調(diào)査，調(diào)査應(yīng)符合業(yè)務(wù)需求、訪問(wèn)的信息類(lèi)別及已知風(fēng)險(xiǎn).△▲△△A.7.1.2任用條款和條件與員工和承包商的合同協(xié)議應(yīng)當(dāng)規(guī)定他們對(duì)組織的信息安全責(zé)任.△▲△△A.7.2.1管理職貴管理層應(yīng)要求員工、合同方符合組織建立的信息安全策略和程序?！鳌鳌鰽.7.2.2信息安全意識(shí)、教育與培訓(xùn)組織內(nèi)所有員工、相關(guān)合同人員及合同方人員應(yīng)接受適當(dāng)?shù)囊庾R(shí)培訓(xùn)，并定期更新與他們工作相關(guān)的蛆編策略及程序?！鳌鳌鰽.7.2.3紀(jì)律處理過(guò)程應(yīng)建立并傳達(dá)正式的懲戒程序，據(jù)此對(duì)違反安全策略的員工進(jìn)行懲戒。△▲△△A.7.3.1任用終止或變更的責(zé)任應(yīng)定義信息安全責(zé)任和義務(wù)在雇用終止或變更后仍然有效，并向員工和合同方傳達(dá)并執(zhí)行?！鳌鳌鰽.8.1.1資產(chǎn)清單應(yīng)制定和維護(hù)信息資產(chǎn)和信息處理設(shè)施相關(guān)資產(chǎn)的資產(chǎn)清單?▲▲▲▲A.8.1.2資產(chǎn)責(zé)任人資產(chǎn)消単中的資產(chǎn)應(yīng)指定資產(chǎn)責(zé)任人（OWNER）?！鳤.8.1.3資產(chǎn)的合理使用應(yīng)識(shí)別信息和信息處理設(shè)精相關(guān)澆產(chǎn)的合理使用準(zhǔn)貝L形成文件并實(shí)施.△△▲△A.8.1.4資產(chǎn)的歸還在勞動(dòng)合同或協(xié)議終止后，所有員工和外部方人員應(yīng)退還所有他們使用的組織資產(chǎn)?！鳌鳌鰽.8.2.1信息分類(lèi)應(yīng)根據(jù)法規(guī)、價(jià)值、或要性和敏感性對(duì)信息進(jìn)行分類(lèi)，保護(hù)信息免受未授權(quán)泄露或篡改?！鳌鳌鳤.8.2.2信息標(biāo)識(shí)應(yīng)制定和實(shí)施合適的信息標(biāo)識(shí)程序，并與組織的信息分類(lèi)方案相匹配“△△▲A.8.2.3資產(chǎn)處理應(yīng)根據(jù)組織釆用的資產(chǎn)分類(lèi)方法制定和實(shí)施資產(chǎn)處理程序△△▲△A.8.3.1可移動(dòng)介質(zhì)管理應(yīng)實(shí)施移動(dòng)介質(zhì)的管理程序，并與組織的分類(lèi)方案相匹配.△▲△△A.8.3.2介質(zhì)處置當(dāng)介質(zhì)不再需要時(shí)，應(yīng)按照正式程序進(jìn)行可靠的、安全的處置?！鳌鳌鰽.8.3.3含有信息的介質(zhì)應(yīng)加以保護(hù)，防止未經(jīng)授權(quán)的訪△▲△△

物理介質(zhì)傳輸何、濫用或在運(yùn)輸過(guò)程中的損壞。A.9.1.1訪何控制策略應(yīng)建立文件化的訪何控制策略’并根據(jù)業(yè)務(wù)和安全要求對(duì)策略進(jìn)行評(píng)審?！鳌鳌鰽.9.1.2對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問(wèn)應(yīng)只允許用戶(hù)訪何被明確授權(quán)使用的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù).△▲△△A.9.2.1用戶(hù)注冊(cè)和注銷(xiāo)成實(shí)施正式的用戶(hù)注冊(cè)和注銷(xiāo)程序來(lái)分配訪何權(quán)限?！鳌鳌鰽.9.2.2用戸訪問(wèn)權(quán)限提供無(wú)論什么類(lèi)型的用戶(hù)，在對(duì)其授予或撤銷(xiāo)対所右系統(tǒng)和服務(wù)的權(quán)限時(shí),部應(yīng)實(shí)施個(gè)正式的用戶(hù)訪問(wèn)配置程序?△▲△△A.9.2.3特權(quán)管理應(yīng)限制及控制特權(quán)的分配及使用?！鳌鳌鰽.9.2.4用戶(hù)認(rèn)證信息的安全管理用戶(hù)鑒別信息的權(quán)限分配應(yīng)通過(guò)一個(gè)正式的管理過(guò)程進(jìn)行安全控制.△▲△△A.9.2.5用戶(hù)訪問(wèn)權(quán)限的評(píng)審資產(chǎn)所有者應(yīng)定期審査用戶(hù)訪問(wèn)權(quán)限?！鳌鳌鰽.9.2.6撤銷(xiāo)或調(diào)整訪問(wèn)權(quán)限在跟所有員工和承包商人員的就業(yè)合同或協(xié)議終止和調(diào)糧后，應(yīng)相應(yīng)得刪除或調(diào)整其信息和信息處理設(shè)施的訪問(wèn)權(quán)限?！鳌鳌鰽.9.3.1認(rèn)證信息的使用應(yīng)要求用戶(hù)遵循組織的做法使用其認(rèn)證信息?！鳌鳌鰽.9.4.1信息訪問(wèn)限制應(yīng)基于訪問(wèn)控制策略限制對(duì)信息和應(yīng)用系統(tǒng)功能的訪何.△▲△△A.9.4.2安全登錄程序在需要進(jìn)行訪問(wèn)控制時(shí).成通過(guò)安全的登錄程序.控制対系統(tǒng)和應(yīng)用的訪何?！鳌鳌鰽.9.4.3密碼管理系統(tǒng)應(yīng)使用交互式口令管理系統(tǒng)，確?？诹钯|(zhì)量.△▲△△A.9.4.4特權(quán)程序的使用對(duì)于可以覆蓋系統(tǒng)和應(yīng)用權(quán)限控制的工具程序的使用，應(yīng)限制和嚴(yán)格控制.△▲△△A.9.4.5對(duì)程序源碼的訪何控制對(duì)程序源代碼的訪何應(yīng)進(jìn)行限制?！鳌鳌鰽.10.1.1使用加密控制的策略應(yīng)開(kāi)發(fā)和實(shí)施加密控制措沌的策略以保護(hù)信息?！鳌鳌鰽.10.1.2密鑰管理對(duì)加密密鑰的使用、保護(hù)和有效期管理，應(yīng)開(kāi)發(fā)和實(shí)施一個(gè)貫穿密鑰全生命周期的策略“▲△△△A.11.1.1物理安全邊界應(yīng)定義安全邊界，用來(lái)保護(hù)包含敏感或關(guān)鍵信息和信息處理設(shè)施△▲△△A.11.1.2安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)入控制保護(hù)，以確保只有△▲△△

物理進(jìn)入控制授權(quán)的人員才允許訪問(wèn)A.11.1.3辦公室、房間及設(shè)施和安全應(yīng)設(shè)計(jì)和實(shí)施保護(hù)辦公室、房間及所及設(shè)備的物理安全?！鳌鳌鰽.11.1.4防范外部和環(huán)境威脅應(yīng)設(shè)計(jì)和應(yīng)用物理保護(hù)措施以應(yīng)対自然災(zāi)害、惡意攻擊或意外。△▲△△A.11.1.5在安全區(qū)域工作應(yīng)設(shè)計(jì)和應(yīng)用在安全區(qū)域工作的程序.△▲△△A.11.1.6送貨和裝卸區(qū)訪問(wèn)區(qū)域如裝卸區(qū)域，及其他未經(jīng)授權(quán)人員可能進(jìn)入的地點(diǎn)應(yīng)加以控制，如果可能的話(huà)，信息處理設(shè)施應(yīng)隔離以防止未授權(quán)的訪問(wèn)?△▲△△A.11.2.1設(shè)備安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備，以減少來(lái)自環(huán)境的威脅與危害，并減少未授權(quán)訪問(wèn)的機(jī)會(huì)?！鳌鳌鰽.11.2.2支持設(shè)施應(yīng)保護(hù)設(shè)備免于電力中斷及其它因支持設(shè)施失效導(dǎo)致的中斷?！鳌鳌鰽.11.2.3線(xiàn)纜安全應(yīng)保護(hù)傳輸數(shù)據(jù)或支持信息服務(wù)的電力及通訊電纜，免遭中斷或破壞。△▲△△A.11.2.4設(shè)備維護(hù)應(yīng)正確維護(hù)設(shè)備’以確保其持續(xù)的可用性及完整也△▲△△A.11.2.5資產(chǎn)轉(zhuǎn)移未經(jīng)授權(quán)，不得將設(shè)備、信息及軟件帶離?！鳌鳌鰽.11.2.6場(chǎng)外設(shè)備和資產(chǎn)安全應(yīng)對(duì)場(chǎng)外資產(chǎn)進(jìn)行安全防護(hù)，考慮在組織邊界之外工作的不同風(fēng)險(xiǎn)?！鳌鳌鰽.11.2.7設(shè)備報(bào)廢或重用含有.存儲(chǔ)介質(zhì)的所冇設(shè)備在報(bào)廢或重用前.應(yīng)逬行檢査，確保任何敏感數(shù)據(jù)和授權(quán)軟件被制除或被安全重寫(xiě)?！鳌鳌鰽.11.2.8無(wú)人值守的設(shè)備用戶(hù)應(yīng)確保無(wú)人值守的設(shè)備有適當(dāng)?shù)谋Ｗo(hù)?！鳌鳌鰽.11.2.9桌面清空及清屏策略應(yīng)采用淸除桌面紙質(zhì)和可移動(dòng)存?zhèn)浣橘|(zhì)的策略，以及清除信息處理設(shè)施屏幕的策略.△▲△△A.12.1.1文件化的操作程序成編制文件化的操作程序，并確保所在需要的用戶(hù)可以獲得.△▲△△A.12.1.2變更管理應(yīng)控制組織、業(yè)務(wù)流程、信息處理設(shè)施和影響信息安全的系統(tǒng)的變更?！鳌鳌鰽.12.1.3容址管理應(yīng)監(jiān)控、調(diào)整資源的使用,并反映將來(lái)容最的需求以確保系統(tǒng)性能.△▲△△A.12.1.4開(kāi)發(fā)、測(cè)試與運(yùn)行環(huán)境的分離應(yīng)分離開(kāi)發(fā)、測(cè)試和運(yùn)行環(huán)境，以降低未授權(quán)訪何或?qū)Σ僮鳝h(huán)境變更的貝險(xiǎn)?！鳌鳌?/p>

A.12.2.1控制惡意軟件應(yīng)實(shí)施檢測(cè)、預(yù)防和恢復(fù)措施以應(yīng)對(duì)惡意軟件，結(jié)合適當(dāng)?shù)挠脩?hù)意識(shí)程序?！鳌鳌鰽.12.3.1信息備份根據(jù)既定的備份策略備份信息，軟件及系統(tǒng)彼像，并定期測(cè)試?！鳌鳌鰽.12.4.1事件日志應(yīng)產(chǎn)生記錄用戶(hù)活動(dòng)、意外和信息安全事件的日志，保留日志并定期評(píng)審?！鳌鳌鰽.12.4.2日志信息保護(hù)應(yīng)保護(hù)日志設(shè)施和日志信息免受篡改和未授權(quán)訪問(wèn).△▲△△A.12.4.3管理員和操作者日志應(yīng)記錄系統(tǒng)管理員和系統(tǒng)操作者的活動(dòng)，進(jìn)行日志保護(hù)及定期評(píng)審。△▲△△A.12.4.4時(shí)鐘同步在組織內(nèi)或安全域內(nèi)的所有相關(guān)信息處理系統(tǒng)的時(shí)鐘成按照?個(gè)單?的參考時(shí)冋源保持冋步?！鳌鳌鰽.12.5.1運(yùn)營(yíng)系統(tǒng)的牧件安裝應(yīng)建立程序?qū)\(yùn)營(yíng)中的系統(tǒng)的軟件安裝進(jìn)行控制?！鳌鳌鰽.12.6.1管理技術(shù)漏澗應(yīng)及時(shí)獲得組織所使用的信息系統(tǒng)的技術(shù)漏洞的信息，對(duì)漏洞進(jìn)行評(píng)估，并采取適當(dāng)?shù)拇胧┤ソ鉀Q相關(guān)風(fēng)險(xiǎn)。△▲△△A.12.6.2軟件安裝限制應(yīng)建立并實(shí)施用戸軟件安裝規(guī)則。△▲△△A.12.7.1信息系統(tǒng)審核控制應(yīng)謹(jǐn)慎策劃對(duì)系統(tǒng)運(yùn)行驗(yàn)證所涉及的審核要求和活動(dòng)并獲得許可，以最小化中斷業(yè)務(wù)過(guò)程?！鳌鳌鰽.13.1.1網(wǎng)絡(luò)控制應(yīng)對(duì)網(wǎng)絡(luò)進(jìn)行管理和控制.以保護(hù)系統(tǒng)和應(yīng)用程序的信息。△▲△△A.13.1.2冋絡(luò)服務(wù)安全應(yīng)識(shí)別所冇網(wǎng)絡(luò)服務(wù)的安全機(jī)制、服務(wù)等級(jí)和管理要求，并包括在網(wǎng)絡(luò)服務(wù)協(xié)議中，無(wú)論這種服務(wù)是由內(nèi)部提供的還是外包的?！鳌鳌鰽.13.1.3網(wǎng)絡(luò)隔離應(yīng)在網(wǎng)絡(luò)中按蛆(GROUP)隔離信息服務(wù)、用戶(hù)和信息系統(tǒng)?！鳌鳌鰽.13.2.1信息傳輸策略和程序應(yīng)建立正式的傳輸策略、程序和控制.以保護(hù)通過(guò)通訊設(shè)施傳輸?shù)乃蓄?lèi)型信息的安全?！鳌鳌鰽.13.2.2信息傳輸協(xié)議建立組織和外部各方之間的業(yè)務(wù)信息的安全傳輸協(xié)議。△▲△△A.13.2.3電子消息應(yīng)適當(dāng)保護(hù)電子消息的信息。？△▲△△A.13.2.4保密或非擴(kuò)散協(xié)議應(yīng)制定并定期評(píng)市組織的信息安全保密協(xié)議或非擴(kuò)散協(xié)議(NDA).該協(xié)議應(yīng)反映織對(duì)信息保護(hù)的要求?！鳌鳌鰽.14.1.i信息安全需求分析和規(guī)范新建信息系統(tǒng)或改進(jìn)現(xiàn)有信息系統(tǒng)應(yīng)包括信息安全相關(guān)的要求。▲△△△A.14.1.2公共網(wǎng)絡(luò)應(yīng)用應(yīng)保護(hù)應(yīng)用服務(wù)中通過(guò)公共網(wǎng)絡(luò)傳輸?shù)男畔?，以防止欺詐、合同爭(zhēng)議、未授權(quán)的泄漏和修改。△▲△△

服務(wù)的安全A.14.1.3保護(hù)在線(xiàn)交易應(yīng)保護(hù)應(yīng)用服務(wù)傳輸中的信息，以防止不完整的傳輸、路由錯(cuò)誤、未授權(quán)的消息修改、未經(jīng)授權(quán)的泄漏、未授權(quán)的信息復(fù)制和重放。△▲△△A.14.2.1安全開(kāi)發(fā)策略應(yīng)建立蛆織內(nèi)部的軟件和系統(tǒng)開(kāi)發(fā)準(zhǔn)則?！鳌鳌鰽.14.2.2系統(tǒng)變更控制程序應(yīng)通過(guò)正式的變更控制程序，控制在開(kāi)發(fā)生命周期中的系統(tǒng)變更實(shí)施。▲△△△A.14.2.3操作平臺(tái)變更后的技術(shù)評(píng)審當(dāng)操作平臺(tái)變更后，應(yīng)評(píng)市并測(cè)試關(guān)鍵的業(yè)務(wù)應(yīng)用系統(tǒng)，以確保變更不會(huì)対組織的運(yùn)營(yíng)或安全產(chǎn)生負(fù)面影響。▲△△△A.14.2.4軟件包變更限制不鼓勵(lì)對(duì)軟件包進(jìn)行變更，對(duì)必要的更改需嚴(yán)格控制?！鳌鳌鰽.14.2.5安全的系統(tǒng)工程原則應(yīng)建立、記錄、維護(hù)和應(yīng)用安全系統(tǒng)的工程原則，并執(zhí)行于任何信息系統(tǒng)。▲△△△A.14.2.6開(kāi)發(fā)環(huán)境安全應(yīng)在整個(gè)系統(tǒng)開(kāi)發(fā)生命周期的系統(tǒng)開(kāi)發(fā)和集成工作，建立并妥善保障開(kāi)發(fā)環(huán)境的安全?！鳌鳌鰽.14.2.7外包開(kāi)發(fā)組織應(yīng)監(jiān)督和監(jiān)控系統(tǒng)外包開(kāi)發(fā)的活動(dòng)。A.14.2.8系統(tǒng)安全測(cè)試在開(kāi)發(fā)過(guò)程中，應(yīng)進(jìn)行安全性的測(cè)試，▲△△△A.14.2.9系統(tǒng)驗(yàn)收測(cè)試應(yīng)建立新信息系統(tǒng)、系統(tǒng)升級(jí)及新版本的驗(yàn)收測(cè)試程序和相關(guān)標(biāo)準(zhǔn)，▲△△△A.14.3.1測(cè)試數(shù)據(jù)的保護(hù)應(yīng)謹(jǐn)慎選擇測(cè)試數(shù)據(jù).并加以保護(hù)和控制?！鳌鳌鰽.15.1.1供應(yīng)商關(guān)系的信息安全策略為降低供應(yīng)商使用該組織的資產(chǎn)相關(guān)的風(fēng)險(xiǎn)的信息安全要求應(yīng)獲得許可并記錄?！鳌鳌鰽.15.1.2在供應(yīng)商協(xié)議中強(qiáng)調(diào)安全與毎個(gè)供應(yīng)商簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。如可能涉及對(duì)組織的IT基礎(chǔ)設(shè)施組件、信息的訪問(wèn)、處理、存偷、溝通。△▲△△A.15.1.3信息和通信技術(shù)的供應(yīng)鏈供應(yīng)商協(xié)議應(yīng)包括信息、通信技術(shù)服務(wù)和產(chǎn)品供應(yīng)鏈的相關(guān)信息安全風(fēng)險(xiǎn).△▲△△A.15.2.1供應(yīng)商IR務(wù)的監(jiān)督和評(píng)審組織應(yīng)定期監(jiān)控、評(píng)審和審核供應(yīng)商的服務(wù)交付。△▲△△A.15.2.2供應(yīng)商服務(wù)的變更管理應(yīng)管理供應(yīng)商服務(wù)的變更，包括保持和改進(jìn)現(xiàn)有信息安全策略、程序和控制措施，考由對(duì)業(yè)務(wù)信息、系統(tǒng)、過(guò)程的關(guān)鍵性和風(fēng)險(xiǎn)的再評(píng)估“△▲△△A.16.1.1職責(zé)和程序應(yīng)建立管理職責(zé)和程序.以快速、有效和有序的響應(yīng)信息安全事件.△△▲△

A.16.1.2報(bào)告信息安全事件應(yīng)通過(guò)話(huà)當(dāng)?shù)墓芾硗緩奖M快報(bào)告信息安全事件?！鳌鳌鰽.16.1.3報(bào)告信息安全弱點(diǎn)應(yīng)要求使用組織信息系統(tǒng)和服務(wù)的員工和承包商注意并報(bào)告系統(tǒng)或服務(wù)中任何己發(fā)現(xiàn)或疑似的信息安全弱點(diǎn)?！鳌鳌鰽.16.1.4評(píng)估和決策信息安全事件成評(píng)估信息安全事件.以決定其是否被認(rèn)定為信息安全事故。△△▲▲A.16.1.5響應(yīng)信息安全事故應(yīng)按照文件化程序響應(yīng)信息安全事故，△△▲△A.16.1.6從信息安全事故中學(xué)習(xí)分析和解決信息安全事故獲得的知識(shí)應(yīng)用來(lái)減少未來(lái)事故的可能性或影響。△△▲△A.16.1.7收集證據(jù)組織應(yīng)建立和釆取程序，識(shí)別、收集、采集和保存可以作為證據(jù)的信息.△△▲△A.17.1.1規(guī)劃信息安全的連續(xù)性組織應(yīng)確定其需求.以保證在不利情況下的信息安全和信息安全管理的連續(xù)性，如在危機(jī)或?yàn)?zāi)難時(shí).△▲△△A.17.1.2實(shí)現(xiàn)信息安全的連續(xù)性組織應(yīng)建立，記錄，實(shí)施，維護(hù)程序和控制過(guò)程，以確保-個(gè)不利的情況過(guò)程中所需的連續(xù)性的信息安全.△▲△△A.17.1.3驗(yàn)證，評(píng)審和評(píng)估信息安全的連續(xù)性組織應(yīng)定期驗(yàn)證已建立并實(shí)施的信息安全連續(xù)性控制，以確保它們是有效的，并在不利的情況下同樣有效。△▲△△A.17.2.1信息處理設(shè)施的可用性信息處理設(shè)施應(yīng)具備足夠的冗余，以満足可用性要求.△▲△△A.18.1.1識(shí)別適用的法律法規(guī)和合同要求應(yīng)清晰規(guī)定所右相關(guān)的法律、法規(guī)和合同要求以及組織滿(mǎn)足這些要求的方法并形成文件，并針對(duì)每個(gè)信息系統(tǒng)和組織進(jìn)行更新?！鳌鳌鰽.18.1.2知識(shí)產(chǎn)權(quán)應(yīng)實(shí)施適當(dāng)?shù)某绦颍源_保對(duì)知識(shí)產(chǎn)權(quán)軟件產(chǎn)品的使用符合相關(guān)的法律、法規(guī)和合同要求?！鳌鳌鰽.18.1.3保護(hù)記錄應(yīng)按照法律法規(guī)、合同和業(yè)務(wù)要求，保護(hù)記錄免受損壞、破壞、未授權(quán)訪何和未授權(quán)發(fā)布，或偽造篡改?！鳌鳌鰽.18.1.4個(gè)人信息和隱私的保護(hù)個(gè)人身份信息和隱私的保護(hù)應(yīng)滿(mǎn)足相關(guān)法律法規(guī)的要求。△▲△△A.18.1.5加密控制法規(guī)使用加密控制應(yīng)確保遵守相關(guān)的協(xié)議、法律法規(guī)。△△▲△A.18.2.1信息安全的獨(dú)應(yīng)在計(jì)劃的時(shí)間間隔或發(fā)生重大變化時(shí)，對(duì)組織的信息安全管理方法及其實(shí)施情況（如，信△△▲△

立評(píng)審息安全控制目標(biāo)、控制措施、策略、過(guò)程和程序）進(jìn)行獨(dú)立評(píng)審。A.18.2.2符合安全策略和標(biāo)準(zhǔn)管理層應(yīng)定期審核信息處理和程序符合他們的責(zé)任范圍內(nèi)適當(dāng)?shù)陌踩?、?biāo)準(zhǔn)和任何其他安全要求。△△▲△A.18.2.3技術(shù)符合性評(píng)審成定期評(píng)審信息系統(tǒng)與組織的信息安全策略、標(biāo)準(zhǔn)的符合程度.△△▲△附錄2信息安全職責(zé)描述總經(jīng)理負(fù)責(zé)制定公司的信息安全方針和目標(biāo)，批準(zhǔn)和頒布公司的信息安全手冊(cè)，對(duì)信息安全管理體系的建立、實(shí)施和持續(xù)改進(jìn)負(fù)責(zé)，對(duì)公司的經(jīng)營(yíng)業(yè)績(jī)負(fù)領(lǐng)導(dǎo)責(zé)任，負(fù)責(zé)批準(zhǔn)殘余風(fēng)險(xiǎn)及風(fēng)險(xiǎn)處置計(jì)劃。負(fù)責(zé)遵守政府和政府有關(guān)部門(mén)制定的信息安全管理和軟件行業(yè)的法律、法規(guī)，負(fù)責(zé)建立公司的組織職能機(jī)構(gòu)，并規(guī)定相應(yīng)職責(zé)、權(quán)限，負(fù)責(zé)領(lǐng)導(dǎo)公司各崗位人員開(kāi)展經(jīng)營(yíng)活動(dòng)。為信息安全管理體系的建立、實(shí)施和持續(xù)改進(jìn)配備必要的資源，負(fù)責(zé)任命管理者代表，負(fù)責(zé)主持管理評(píng)審工作，確保信息安全管理體系的有效性、適宜性和充分性，以滿(mǎn)足客戶(hù)的要求和期望，確保公司信息安全方針、目標(biāo)的實(shí)現(xiàn)。負(fù)責(zé)任命信息安全委員會(huì)成員，為發(fā)展、貫徹、運(yùn)行和保持ISMS提供充足的資源，為員工提供所需的資源、培訓(xùn)，并賦予其職責(zé)范圍內(nèi)的自主權(quán)，為信息安全管理體系有效運(yùn)行提供資源的保障。負(fù)責(zé)在公司建立有效的內(nèi)部溝通機(jī)制和與客戶(hù)溝通的渠道，確定市場(chǎng)及行業(yè)信息調(diào)査、收集和反饋的方法，確保正確、有效地識(shí)別、確定客戶(hù)當(dāng)前和未來(lái)的需求和期望，確保公司能持續(xù)地滿(mǎn)足客戶(hù)的要求和期望。負(fù)貴在公司內(nèi)部創(chuàng)立與實(shí)現(xiàn)信息安全方針、目標(biāo)相適宜的工作環(huán)境與氣氛：負(fù)責(zé)在公司各職能單位、層次上建立信息安全目標(biāo)，負(fù)責(zé)組織對(duì)公司信息安全方針、目標(biāo)實(shí)現(xiàn)程度及適宜性的評(píng)價(jià)。負(fù)責(zé)對(duì)公司各主要崗位人員的工作能力進(jìn)行識(shí)別、業(yè)績(jī)考評(píng)與崗位任免。負(fù)責(zé)公司重要經(jīng)濟(jì)合同的審批，負(fù)責(zé)財(cái)務(wù)收支計(jì)劃的審批和各類(lèi)重大財(cái)務(wù)收支費(fèi)用的審批。確保公司各崗位員工的工作能力能夠得到持續(xù)地的保持和提高，確保公司員工不斷提高滿(mǎn)足客戶(hù)要求的意識(shí)，并理解、認(rèn)識(shí)所從事崗位工作的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)公司信息安全方針、目標(biāo)作出貢獻(xiàn)。負(fù)責(zé)組織召開(kāi)公司重要例會(huì)及重大信息安全分析會(huì)、討論會(huì)，負(fù)賁組織處理客戶(hù)的重大投訴。管理者代表在總經(jīng)理領(lǐng)導(dǎo)下，貫徹國(guó)家的有關(guān)法律法規(guī)、標(biāo)準(zhǔn)和其他要求，負(fù)責(zé)信息安全管理體系建設(shè)工作，確保按標(biāo)準(zhǔn)要求建立、實(shí)施、保持和持續(xù)改進(jìn)管理體系：負(fù)責(zé)組織編寫(xiě)和審批程序文件，負(fù)責(zé)年度培訓(xùn)計(jì)劃、支持性文件的審批；定期向總經(jīng)理報(bào)告管理體系運(yùn)行業(yè)績(jī)，包括改進(jìn)需求；負(fù)責(zé)管理評(píng)審計(jì)劃的準(zhǔn)備工作，并組織內(nèi)審工作，任命內(nèi)審組長(zhǎng)；負(fù)竇識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、確定和評(píng)價(jià)提供處理風(fēng)險(xiǎn)的可選措施，并負(fù)責(zé)確認(rèn)殘余風(fēng)險(xiǎn)：協(xié)助建立內(nèi)部溝通的渠道、負(fù)責(zé)內(nèi)部溝通活動(dòng)實(shí)施；負(fù)責(zé)對(duì)與信息安全管理體系有關(guān)事宜的外部方進(jìn)行聯(lián)絡(luò)；信息安全小組1、 在總經(jīng)理領(lǐng)導(dǎo)下，貫徹國(guó)家的有關(guān)法律法規(guī)、標(biāo)準(zhǔn)和其他要求，負(fù)責(zé)信息安全管理體系建設(shè)工作，確保按標(biāo)準(zhǔn)要求建立、實(shí)施、保持和持續(xù)改進(jìn)管理體系；2、 負(fù)責(zé)組織相關(guān)人員編寫(xiě)程序文件、支持性文件；3、 在公司內(nèi)促進(jìn)全體員工在工作中保持信息安全的理念和意識(shí)的形成：4、 負(fù)責(zé)識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、確定和評(píng)價(jià)提供處理風(fēng)險(xiǎn)的可選措施，并負(fù)責(zé)確認(rèn)殘余風(fēng)險(xiǎn)：5、 協(xié)助總經(jīng)理建立內(nèi)部溝通的渠道、負(fù)責(zé)內(nèi)部溝通活動(dòng)實(shí)施：在公司內(nèi)促進(jìn)全體員工在工作中形成遵守法規(guī)、保持信息安全的理念和意識(shí)的形成；6、 負(fù)責(zé)對(duì)信息安全事件的處置和總結(jié)；7、負(fù)責(zé)確定風(fēng)險(xiǎn)可接受準(zhǔn)則。行政部：負(fù)責(zé)公司人力資源的管理負(fù)責(zé)策劃公司業(yè)務(wù)連續(xù)性演練方案，并組織公司相關(guān)人員參加業(yè)務(wù)連續(xù)性演練。負(fù)責(zé)供應(yīng)商的管理。負(fù)責(zé)行業(yè)法規(guī)、規(guī)范和標(biāo)準(zhǔn)的收集和管理。負(fù)責(zé)基礎(chǔ)設(shè)備設(shè)施的管理；網(wǎng)絡(luò)及設(shè)備的口常維護(hù)。負(fù)責(zé)組織公司級(jí)培訓(xùn)的實(shí)施及培訓(xùn)效果的評(píng)估，并監(jiān)督、檢査各部門(mén)培訓(xùn)工作的落實(shí)。負(fù)責(zé)公司管理體系文件和外來(lái)文件的整體管理。并負(fù)責(zé)日常辦公事務(wù)的管理。負(fù)責(zé)公司總部物理區(qū)域安全管理。來(lái)訪區(qū)域接待和控制。負(fù)責(zé)公司計(jì)算機(jī)及辦公設(shè)備的日常維護(hù)和公司全部計(jì)算機(jī)及辦公設(shè)備總體管理。負(fù)責(zé)對(duì)辦公設(shè)備設(shè)施的采購(gòu)、管理和辦公環(huán)境的管理。10.全面負(fù)責(zé)公司管理體系的建立、日常維護(hù)及過(guò)程的監(jiān)視和測(cè)員，負(fù)責(zé)反饋顧客對(duì)于本公司信息安全及產(chǎn)品安全性的意見(jiàn)。負(fù)責(zé)公司信息資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估過(guò)程的工作。在管理者代表領(lǐng)導(dǎo)下，組織內(nèi)部信息安全管理體系審核工作:負(fù)責(zé)公司對(duì)內(nèi)、對(duì)外與信息安全管理體系有關(guān)的信息溝通的收集、分析、傳遞與處理：負(fù)責(zé)報(bào)告信息安全事故事件、處理及改進(jìn)的管理工作；負(fù)責(zé)組織持續(xù)改進(jìn)、糾正措施和預(yù)防措施的控制：負(fù)責(zé)組織對(duì)信息安全體系運(yùn)作過(guò)程的監(jiān)視和測(cè)量的控制：對(duì)管理體系運(yùn)行中的問(wèn)題釆取糾正措施、預(yù)防措施，以消除管理中實(shí)際或潛在的不合格原因。負(fù)責(zé)編制公司年度內(nèi)部管理體系審核計(jì)劃、協(xié)助組織公司內(nèi)部審核。監(jiān)督檢査銷(xiāo)售服務(wù)質(zhì)量。確認(rèn)服務(wù)過(guò)程負(fù)責(zé)市場(chǎng)調(diào)研和市場(chǎng)開(kāi)發(fā)工作，對(duì)售前、售中、售后服務(wù)的全過(guò)程的質(zhì)雖進(jìn)行監(jiān)督。負(fù)責(zé)顧客的接洽，外部信息的接收和處置。負(fù)責(zé)顧客要求的調(diào)査、顧客投訴處理和回復(fù)。負(fù)責(zé)顧客滿(mǎn)意率的統(tǒng)計(jì)分析工作。1負(fù)責(zé)售后技術(shù)服務(wù)。技術(shù)部1） 負(fù)責(zé)系統(tǒng)維護(hù)工作，負(fù)責(zé)信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)工作。2） 為產(chǎn)品部門(mén)及項(xiàng)目實(shí)施提供前向及后向支持。3） 組織公司產(chǎn)品線(xiàn)規(guī)劃和產(chǎn)品的研發(fā)4） 通過(guò)組織相應(yīng)的決策評(píng)審活動(dòng)和技術(shù)評(píng)審活動(dòng)對(duì)開(kāi)發(fā)過(guò)程進(jìn)行控制：5） 負(fù)責(zé)本部門(mén)信息處理設(shè)備的安全防護(hù)。6） 對(duì)本部門(mén)信息和數(shù)據(jù)的安全防護(hù)負(fù)責(zé)。7） 負(fù)責(zé)系統(tǒng)訪問(wèn)和設(shè)備的管理。8） 負(fù)責(zé)本部門(mén)的信息資產(chǎn)識(shí)別和風(fēng)險(xiǎn)動(dòng)態(tài)控制管理。項(xiàng)目部9） 負(fù)責(zé)項(xiàng)目中的信息安全管理。10） 擬定本部門(mén)年度、月度目標(biāo)、工作計(jì)劃及總結(jié)。11） 負(fù)責(zé)本部門(mén)的成本控制工作以及本無(wú)門(mén)員工的績(jī)效考評(píng)及監(jiān)督、管理工作。12） 參與技術(shù)業(yè)務(wù)制定流程及其他部門(mén)的協(xié)調(diào)工作。13） 領(lǐng)導(dǎo)技術(shù)團(tuán)隊(duì)并組織實(shí)施年度工作計(jì)劃，完成年度任務(wù)日標(biāo)。14） 負(fù)責(zé)管理公司的整體核心技術(shù)，組織制定和實(shí)施重大技術(shù)決策和技術(shù)方案。15） 負(fù)責(zé)協(xié)調(diào)項(xiàng)目開(kāi)發(fā)或?qū)嵤┑母鱾€(gè)環(huán)節(jié)，把握項(xiàng)目的整體進(jìn)度。指導(dǎo)、審核項(xiàng)目總體技術(shù)方案，對(duì)各項(xiàng)目結(jié)果進(jìn)行最終質(zhì)量評(píng)估附錄3信息安全4信息安全管理小組成員名單組長(zhǎng)：組員:二

程序文件清單序號(hào)文件編號(hào)文件名稱(chēng)1.ISMS-2001信息安全風(fēng)險(xiǎn)評(píng)估管理程序2.ISMS-2002記錄管理程序3.ISMS-2003不符合與糾正措施控制程序4.ISMS-2004管理評(píng)審控制程序5.ISMS-2005文件和資料管理程序6.ISMS-2006信息安全事態(tài)、事件管理程序7.ISMS-2007人力資源管理程序8.ISMS-2008內(nèi)部審核管理程序9.ISMS-2009監(jiān)視和測(cè)量管理程序10.ISMS-2010信息安全業(yè)務(wù)持續(xù)性管理程序11.ISMS-2011法律法規(guī)及其他要求控制程序12.ISMS-2012供應(yīng)商信息安全管理程序信息安全風(fēng)險(xiǎn)評(píng)估管理程序文件編號(hào)：ISMS-20011適用本程序適用于本公司信息安全管理體系（ISMS〉范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。2目的本程序規(guī)定了本公司所采用的信息安全風(fēng)險(xiǎn)評(píng)估方法。迪過(guò)識(shí)別信息資產(chǎn)、風(fēng)險(xiǎn)等級(jí)評(píng)估，認(rèn)知本公司的信息安全風(fēng)險(xiǎn)，在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適控制目標(biāo)和控制方式將信息安全風(fēng)險(xiǎn)控制在可接受的水平，保持本公司業(yè)務(wù)持續(xù)性發(fā)展，以滿(mǎn)足本公司信息安全管理方針的要求。3范圍本程序適用于第一次完整的風(fēng)險(xiǎn)評(píng)估和定期的再評(píng)估。在辨識(shí)資產(chǎn)時(shí)，本著盡量細(xì)化的原則進(jìn)行，但在評(píng)估時(shí)我司又會(huì)把資產(chǎn)按照系統(tǒng)進(jìn)行規(guī)劃。4職責(zé)4.1成立風(fēng)險(xiǎn)評(píng)估小組信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)牽頭成立風(fēng)險(xiǎn)評(píng)估小組。4.2策劃與實(shí)施風(fēng)險(xiǎn)評(píng)估小組每年至少一次，或當(dāng)體系、組織、業(yè)務(wù)、技術(shù)、環(huán)境等影響企業(yè)的重大事項(xiàng)發(fā)生變更、重大事故事件發(fā)生后，負(fù)責(zé)編制信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，確認(rèn)評(píng)估結(jié)果，形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。43信息資產(chǎn)識(shí)別與風(fēng)險(xiǎn)評(píng)估活動(dòng)務(wù)部門(mén)負(fù)貴本部門(mén)使用或管理的信息資產(chǎn)的識(shí)別.并負(fù)責(zé)本部門(mén)所涉及的信息資產(chǎn)的具體安全控制工作。4.3.1各部門(mén)負(fù)責(zé)人負(fù)責(zé)本部門(mén)的信息資產(chǎn)識(shí)別。4.3.2行政部負(fù)責(zé)匯總、校對(duì)全公司的信息資產(chǎn)。4.3.3行政部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的策劃。4.3.4信息安全小組負(fù)責(zé)進(jìn)行第?次評(píng)估與定期的再評(píng)估。5程序本公司按照?ISO/IEC27001:2013信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)，總體風(fēng)險(xiǎn)管理框架，遵照《ISO3I000：2009風(fēng)險(xiǎn)管&原則和指南》的原則進(jìn)行.風(fēng)險(xiǎn)評(píng)價(jià)和處置過(guò)程.執(zhí)行CGBrr2(K)84—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，結(jié)合本公司實(shí)際業(yè)務(wù)狀況和背景，規(guī)定以下風(fēng)險(xiǎn)評(píng)估流程。本公司風(fēng)險(xiǎn)管理總體框架如下：信息安全小組根據(jù)風(fēng)險(xiǎn)原則.制定本公司風(fēng)險(xiǎn)管理方針:落實(shí)風(fēng)險(xiǎn)責(zé)任，切合公司實(shí)際，動(dòng)態(tài)管控風(fēng)險(xiǎn)，有效環(huán)境響應(yīng)。風(fēng)險(xiǎn)管理的PDCA過(guò)程，執(zhí)行相應(yīng)的程序文件。信息安全小組負(fù)貴在風(fēng)險(xiǎn)評(píng)價(jià)前，明確本公司的狀況，考慮業(yè)務(wù)背景，相關(guān)方要求，法規(guī)要求，公司的文化特點(diǎn)，進(jìn)行初期策劃，形成文件，將策劃內(nèi)容編入《風(fēng)險(xiǎn)評(píng)估報(bào)告》中。公司狀況分析，應(yīng)作為風(fēng)險(xiǎn)評(píng)價(jià)的輸入，體現(xiàn)在信息資產(chǎn)清單的范圍，風(fēng)險(xiǎn)要素的識(shí)別，風(fēng)險(xiǎn)處置等方面。風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，應(yīng)遵循風(fēng)險(xiǎn)管理方針的要求進(jìn)行。5.1風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備5.1.1信息安全小組牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員至少應(yīng)該包含：信息安全管理體系負(fù)責(zé)部門(mén)的成員、信息安全重要責(zé)任部門(mén)的成員。5.1.2風(fēng)險(xiǎn)評(píng)估小組制定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，下發(fā)各部門(mén)內(nèi)審員。5.13必要時(shí)應(yīng)對(duì)各部門(mén)內(nèi)審員進(jìn)行風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)和表格填寫(xiě)的培訓(xùn)。5.2信息資產(chǎn)的識(shí)別5.2.1本公司的資產(chǎn)范圍包括：5.2J.1信息資產(chǎn)1） 數(shù)據(jù)文檔：客戶(hù)數(shù)據(jù)，紙質(zhì)文件資料，公司各種數(shù)據(jù)2） 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開(kāi)發(fā)工具和適用程序。3） 物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通訊設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備。4） 服務(wù)：培訓(xùn)服務(wù)、租質(zhì)JK務(wù)、公用設(shè)施（能源、電力）。5） 人員：人員的資格、技能和經(jīng)驗(yàn)。6） 無(wú)形資產(chǎn)：組織的聲譽(yù)、商標(biāo)、形象、資質(zhì)、知識(shí)產(chǎn)權(quán)。5.3資產(chǎn)及其重要度53.1識(shí)別組織的資產(chǎn)識(shí)別在評(píng)估范圍內(nèi)的資產(chǎn)。對(duì)于在范圍內(nèi)的每一項(xiàng)資產(chǎn)都要恰當(dāng)統(tǒng)計(jì)：不在評(píng)估范圍內(nèi)的資產(chǎn)，也要進(jìn)行記錄：按一定的標(biāo)準(zhǔn)，將信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?lèi)，在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估工作。53.2評(píng)估資產(chǎn)的重要度對(duì)資產(chǎn)的等級(jí)進(jìn)行定義，并表示成相對(duì)等級(jí)的形式。識(shí)別出資產(chǎn)之后，必須對(duì)資產(chǎn)的重要度進(jìn)行評(píng)估。評(píng)估的依據(jù)是資產(chǎn)的保密性、完整性和可用性在這受損失之后的后果。不同資產(chǎn)的安全屬性的重要程度是不-樣的，例如：對(duì)財(cái)務(wù)數(shù)據(jù)來(lái)說(shuō)保密性和可核査性是最重要的安全屬性，而對(duì)操作軟件來(lái)說(shuō)更強(qiáng)調(diào)可用性。對(duì)資產(chǎn)評(píng)估的過(guò)程本身就是對(duì)資產(chǎn)安全屬性損失后果的分析。在本程序中雖然不按照安全屬性分別賦偵，但是評(píng)估過(guò)程中要充分考慮本節(jié)中列出的各種安全屬性。資產(chǎn)重要度描述如卜.表?等級(jí)描述重要度玳值3（高）對(duì)這些資產(chǎn)的保密性、完整性或可用性等安全屆性的影響（即發(fā)生5

泄露、損壞、丟失或無(wú)法使用等）將對(duì)組織造成極嚴(yán)重的或?yàn)?zāi)難性的損失，通常其直接或間接的影響范圍波及到公司整體“2（中〉對(duì)這些資產(chǎn)的保密性、完整性或可用性等安全屆性的影響（即發(fā)生泄露、損壞、丟失或無(wú)法使用等）將對(duì)組織造成較重要的損失，通常其直接或冋接的影響范圍波及到公司局部。31（低）對(duì)這些資產(chǎn)的保密性、完整性或可用性等安全屬性的影響（即發(fā)生泄螺、損壞、丟失或無(wú)法使用等）將對(duì)組織造成一定的損失，通常JI；?直接或間接的影響范圍僅波及到公司很少部門(mén)。1對(duì)于資產(chǎn)重要度評(píng)價(jià)的過(guò)程是對(duì)資產(chǎn)在保密性、完整性、可用性的賦值程度逬行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過(guò)程。2.保密性（C）賦值根據(jù)資產(chǎn)在保密性上的不同要求.將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在保密性上的應(yīng)達(dá)成的不同程度或者保密性缺失時(shí)對(duì)整個(gè)組織的影響。保密性分類(lèi)賦值方法級(jí)別價(jià)值分級(jí) I 描述1很低可對(duì)社會(huì)公開(kāi)的信息2低組織/部門(mén)內(nèi)公開(kāi)僅能在組織內(nèi)部或在組織某?部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散仃可能對(duì)組織的利益造成輕微損害3中等組織的一般性秘密其泄露會(huì)使組織的安全和利益受到損害4高包含組織的重要秘密其泄露會(huì)使組織的安全和利益遭受?chē)?yán)亟損擊3.完整性⑴賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上的達(dá)成的不同程度或者完整性缺失時(shí)對(duì)整個(gè)組織的影響。完整性（D賦值的方法級(jí)別價(jià)值分級(jí)描述■很低完整性?xún)r(jià)值非常低未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略.對(duì)業(yè)務(wù)沖擊可以忽略2低完整性?xún)r(jià)值較低未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)3中等完整性?xún)r(jià)值中等未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯4高完整性?xún)r(jià)值較高未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重,較難彌補(bǔ)4.可用性（A）賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度?？捎眯裕ˋ）斌值的方法描述分級(jí)訂用性?xún)r(jià)值較低訶用性?xún)r(jià)值中等可用性?xún)r(jià)值較高合法使川者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到2齡以丄，或系統(tǒng)允汗中斷時(shí)間小于合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到描述分級(jí)訂用性?xún)r(jià)值較低訶用性?xún)r(jià)值中等可用性?xún)r(jià)值較高合法使川者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到2齡以丄，或系統(tǒng)允汗中斷時(shí)間小于合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上.或系統(tǒng)允許中斷時(shí)間小于30min合法使用者對(duì)信息及信息系統(tǒng)的nJ■用度達(dá)到每天90先以I.,或系統(tǒng)允許中斷時(shí)間小于lOmin級(jí)別5,判定重要資產(chǎn)按照資產(chǎn)賦值的結(jié)果，經(jīng)過(guò)相乘法得出重要性值，從而得出重要性等級(jí).資產(chǎn)重要性劃分為3級(jí)，級(jí)別越高表示資產(chǎn)重要性程度越高。重要度等級(jí)分值=C*I*A信息資產(chǎn)的重要度等級(jí)依據(jù)以下區(qū)間劃分決定:6.編制信息資產(chǎn)淸單和重要信息資產(chǎn)清單。公司行政部負(fù)貴組織務(wù)部門(mén)編制以部門(mén)為單位的信息資產(chǎn)清單，匯總成為公司信息資產(chǎn)清單.本公司規(guī)定,中、高級(jí)重要度信息資產(chǎn)為重要信息資產(chǎn)，行政部負(fù)責(zé)編制《重要信息資產(chǎn)清單》5.4識(shí)別重要信息資產(chǎn)面臨的威脅本公司的風(fēng)險(xiǎn)評(píng)估和計(jì)算方法，對(duì)于低等級(jí)重要度的信息資產(chǎn)，只能得出低等級(jí)可接受風(fēng)險(xiǎn),故對(duì)于低重要度信息資產(chǎn)不進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估只針對(duì)重要信息資產(chǎn)。資產(chǎn)實(shí)施風(fēng)險(xiǎn)評(píng)估需要對(duì)要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅的識(shí)別。踐脅可以從資產(chǎn)的所有者、使用者、計(jì)劃書(shū)、信息專(zhuān)家、企業(yè)內(nèi)部及外部負(fù)責(zé)信息安全的組織等處獲得。通常，一個(gè)可能的威脅列表對(duì)完成威脅評(píng)估有所幫助。當(dāng)應(yīng)用威脅目錄（列表）或者以前的威脅評(píng)估結(jié)果時(shí)，必須意識(shí)到，威脅總是不斷變化的，尤其是在業(yè)務(wù)環(huán)境與信息發(fā)生變化時(shí)。分析本公司的信息系統(tǒng)存在的威脅種類(lèi)，確定威脅分類(lèi)的標(biāo)準(zhǔn)。綜合威脅來(lái)源、種類(lèi)和其他因素后得出威脅列表：針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出可能面臨的威脅。在識(shí)別資產(chǎn)所面臨的威脅時(shí).應(yīng)該考慮卜面三個(gè)方面的資料和信息來(lái)源：?通過(guò)歷史的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過(guò)的威脅和其發(fā)生頻率：?在評(píng)估對(duì)象的實(shí)際環(huán)境中，通過(guò)IDS等系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析,各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析；?過(guò)去一年或兩年來(lái)國(guó)際公司或機(jī)構(gòu)（例如：國(guó)內(nèi)外公司、機(jī)構(gòu)、負(fù)責(zé)信息安全的組織，以及專(zhuān)業(yè)的負(fù)責(zé)信息安全的組織及公司）、企業(yè)內(nèi)部負(fù)貴信息安全的組織、企業(yè)外部負(fù)責(zé)信息安全的組織（例如：病毒防范產(chǎn)品公司）、業(yè)務(wù)美聯(lián)公司發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)安全威脅及其發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù).5.5識(shí)別威脅可以利用的脆弱性這一步是評(píng)估容易被攻擊者（或威脅源）攻破（或破壞）的薄弱點(diǎn)，包括基礎(chǔ)設(shè)施中的弱點(diǎn)、控制中的弱點(diǎn)、員工意識(shí)上的弱點(diǎn)、系統(tǒng)中的弱點(diǎn)和設(shè)計(jì)上的弱點(diǎn)等。包括針對(duì)資產(chǎn)所關(guān)聯(lián)的物理環(huán)境、組織、人員、管理、硬件、軟件、程序、代碼、通信設(shè)備等多種口【能被威脅源所利用并可能導(dǎo)致危害的，由資產(chǎn)自身特性導(dǎo)致的弱點(diǎn)。系統(tǒng)脆弱性往往需要與對(duì)應(yīng)的威脅相結(jié)合時(shí)才會(huì)對(duì)系統(tǒng)的安全造成危害。一個(gè)沒(méi)有對(duì)應(yīng)威脅的脆弱性一般不會(huì)造成實(shí)在的風(fēng)險(xiǎn)，可以不采取相應(yīng)的防護(hù)措施，但是有必要密切監(jiān)視這種潛在的風(fēng)險(xiǎn)。注意，脆弱性不僅是由于最初購(gòu)置或制造時(shí)的原因產(chǎn)生的，資產(chǎn)的應(yīng)用方法、目的的不同、防護(hù)措施的不足都可能造成脆弱性。例如：E:PROM是一種可擦寫(xiě)的存儲(chǔ)設(shè)備，可擦寫(xiě)是其設(shè)計(jì)時(shí)的一項(xiàng)標(biāo)準(zhǔn)，但可擦寫(xiě)屬性意味著E'PROM所存儲(chǔ)的信息未經(jīng)授權(quán)的破壞成為可能，這就是一個(gè)脆弱性。有關(guān)威脅和脆弱性的分類(lèi)，本程序直接采用GBrT20984-2007中的相關(guān)內(nèi)容。5.6評(píng)估資產(chǎn)在威脅暴露度暴露度等級(jí)描述資產(chǎn)或資產(chǎn)安全屬性受損害的程度，以下簡(jiǎn)稱(chēng)暴露度。本評(píng)估方法將暴露度的等級(jí)定義為5級(jí).如下表所示：等級(jí)描述5資產(chǎn)被完全損害，或者極其嚴(yán)重4對(duì)資產(chǎn)的損害程度很大3對(duì)資產(chǎn)損害的程度中等2對(duì)資產(chǎn)的損害的程度很小1對(duì)資產(chǎn)損害的程度幾乎沒(méi)有表：暴露度的等級(jí)定義在評(píng)估時(shí)可參考下面兩個(gè)表的描述，即根據(jù)對(duì)資產(chǎn)的安全屬性（保密性、可用性、完整性）的損害及影響程度評(píng)價(jià)對(duì)應(yīng)的暴露等級(jí)。等級(jí)資產(chǎn)的保密性或完整性5資產(chǎn)嚴(yán)重或完全損吿，例如，從外部可接觸，并影響業(yè)務(wù)利澗或成敗4嚴(yán)重但對(duì)資產(chǎn)造成不完全損害，例如，影響業(yè)務(wù)利潤(rùn)或成敗，可從外部接觸到。3中等損壞或損失，例如影響內(nèi)部業(yè)務(wù)實(shí)施，導(dǎo)致運(yùn)作成本增加或利潤(rùn)減少2低損害或損失，例如，影響內(nèi)部業(yè)務(wù)實(shí)行，無(wú)法評(píng)定成本的増加1資產(chǎn)有輕微更改或無(wú)更改表：資產(chǎn)保密性/完整性暴露度的等級(jí)定義

5停工實(shí)質(zhì)性支持成本或業(yè)務(wù)承諾被取消4工作中斷支持成本或業(yè)務(wù)承諾延遲可量化増長(zhǎng)3工作延遲對(duì)支持成本或工作效率有顯著的影響，無(wú)可評(píng)定的業(yè)務(wù)影響2工作受干擾無(wú)可評(píng)定的影響，支持或基礎(chǔ)結(jié)構(gòu)成本仃少量增加1由正常業(yè)務(wù)操作吸收對(duì)支持成本/工作效率或業(yè)務(wù)承諾無(wú)可評(píng)定的影響等級(jí)可用性描述表：資產(chǎn)可用性暴露度的等級(jí)定義5.7評(píng)估威脅發(fā)生的可能性容易度描述的是威脅利用脆弱性而可能發(fā)生的容易程度。這里所說(shuō)的發(fā)生容易度與具體的信息系統(tǒng)沒(méi)有關(guān)系.當(dāng)與控制措施結(jié)合之后才形成影響的發(fā)生可能性。對(duì)于發(fā)生容易度的等級(jí)，需要根據(jù)資產(chǎn)不同的安全屬性分別定義。本公司將發(fā)生容易度的等級(jí)定義為5級(jí)。參見(jiàn)下表：等級(jí)描述5發(fā)生容易度高4發(fā)生容易度較高3發(fā)生容易度中2發(fā)生容易度較低1發(fā)生容易度低表：發(fā)生容易度等級(jí)定義5.8識(shí)別與分析目前控制手段的有效性控制措施可以減少風(fēng)險(xiǎn)發(fā)生可能性或者減輕發(fā)生后的影響。因此，必須識(shí)別出控制措施并對(duì)共?有效性進(jìn)行評(píng)估。根據(jù)控制措施的有效性對(duì)控制措施賦值，以下簡(jiǎn)稱(chēng)控制度。公司將控制度的等級(jí)劃分為1-5(5為基本無(wú)效)。毎個(gè)等級(jí)都要對(duì)應(yīng)相應(yīng)的仃效性系數(shù)之后參加風(fēng)險(xiǎn)的計(jì)算。如下表?？刂贫让枋?表示控制措施非常有效2表示控制措施有很大程度的效果3表示控制措施基本有效4表示控制措施有一定的效果5表示控制措施基本無(wú)效表：控制措施的控制度與控制措施仃效性對(duì)應(yīng)關(guān)系5.9分析資產(chǎn)在威脅脆弱性下發(fā)生的影響度影響是指威脅對(duì)脆弱性一次成功攻擊所產(chǎn)生的負(fù)面影響。影響等級(jí)（以下簡(jiǎn)稱(chēng)影響度）是資產(chǎn)重要度等級(jí)和暴露等級(jí)的乘積。確定影響度的定義，本公司采取以下定義和計(jì)算方式影響度=（資產(chǎn)重要度等級(jí)*暴露等級(jí)）*20%由資產(chǎn)重要度等級(jí)值＜1-5）與暴露等級(jí)（1-5）相乘，并乗以系數(shù)20%取整后，那么影響度等級(jí)為：l-5o5.10確定資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性資產(chǎn)發(fā)生風(fēng)險(xiǎn)的可能性以下簡(jiǎn)稱(chēng)發(fā)生可能性。發(fā)生可能性=（發(fā)生容易度等級(jí)，控制度）*20%由發(fā)生容易度等級(jí)值（1-5）與控制措施賊值（1-5）相乘，并乘以系數(shù)20%取整后，那么影響發(fā)生可能性等級(jí)為:1-5.5.11計(jì)算風(fēng)險(xiǎn)大小風(fēng)險(xiǎn)大小量化后稱(chēng)為風(fēng)險(xiǎn)等級(jí)，以下簡(jiǎn)稱(chēng)風(fēng)險(xiǎn)度。風(fēng)險(xiǎn)度=影響度*發(fā)生可能性本公司按照信息安全小組對(duì)風(fēng)險(xiǎn)的接受程度定義為高、中、低3個(gè)風(fēng)險(xiǎn)度的級(jí)別。風(fēng)險(xiǎn)度為15（含）以上時(shí)表示高，5（含）~15表示中，5以卜.表示低：這包括可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)的劃分，接受與不可接受的界限應(yīng)當(dāng)考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)（機(jī)會(huì)損失成本）的平衡；風(fēng)險(xiǎn)級(jí)別 對(duì)應(yīng)風(fēng)險(xiǎn)度 風(fēng)險(xiǎn)描述和必要行動(dòng)高>=15如果被評(píng)估為高風(fēng)險(xiǎn)，那么便強(qiáng)烈要求有糾正措施。一個(gè)現(xiàn)有系統(tǒng)可能要繼續(xù)運(yùn)行，但是必須盡快部罟針對(duì)性計(jì)劃。中>=5&&<15如果被評(píng)估為中風(fēng)險(xiǎn)，那么便要求有糾正行動(dòng)，必須在一個(gè)合理的時(shí)間段內(nèi)制定有關(guān)計(jì)劃來(lái)實(shí)施這些行動(dòng)。低<5如果被評(píng)估為低風(fēng)險(xiǎn)，須確定是否還需要釆取糾正行動(dòng)或者是否接受風(fēng)險(xiǎn)。5.12風(fēng)險(xiǎn)處理和接受準(zhǔn)則本公司要求對(duì)“高、中”風(fēng)險(xiǎn)度制定《風(fēng)險(xiǎn)處理計(jì)劃》，“低”風(fēng)險(xiǎn)規(guī)定屬于可以接受的風(fēng)險(xiǎn)。總經(jīng)理簫要決湼是否接受風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)并承認(rèn)《風(fēng)險(xiǎn)處理計(jì)劃私5.13不可接受風(fēng)隘的確定和處理各責(zé)任部門(mén)按照《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》的要求釆取有效安全控制措施后，原評(píng)估小組重新評(píng)估其計(jì)劃效果，降至殘余風(fēng)險(xiǎn)可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風(fēng)險(xiǎn)評(píng)估的輸入。殘余風(fēng)險(xiǎn)報(bào)告須經(jīng)總裁批準(zhǔn)。5.14評(píng)估時(shí)機(jī)5.14.1每年重新評(píng)估一次，以確定是否存在新的威脅或薄弱點(diǎn)及是否需要增加新的控制措施，對(duì)發(fā)生以卜情況需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：a） 當(dāng)發(fā)生重大信息安全事故時(shí)：b） 當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)：0信息安全管理小組確定有必要時(shí)。5.14.2各部門(mén)對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷(xiāo)毀的信息資產(chǎn)應(yīng)及時(shí)按照本程序在《信息資產(chǎn)識(shí)別評(píng)價(jià)表》、《重要信息資產(chǎn)清單》上予以添加或變更。6相關(guān)/支持性文件?！缎畔踩m用性聲明》今《信息安全管理手冊(cè)》今《文件和資料管理程序》。IS031000：2009風(fēng)險(xiǎn)管理原則和指南?GB仃20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范7記錄記錄名稱(chēng)保存部門(mén)保存期限《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》行政部3年《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》行政部3年《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》行政部3年《信息資產(chǎn)淸單》行政部3年《重要信息資產(chǎn)清單》行政部3年《殘余風(fēng)險(xiǎn)計(jì)算表》行政部3年《殘余風(fēng)險(xiǎn)報(bào)告表》行政部3年記錄管理程序文件編號(hào)：ISMS-2002適用本程序適用于本公司產(chǎn)生的記錄的管理。目的為支持信息安全體系的運(yùn)作而明確記錄的管理。職責(zé)公司行政部負(fù)責(zé)整個(gè)信息安全體系的記錄管理。行政部負(fù)責(zé)記錄的管理。管理程序本公司釆用四級(jí)層次文件編寫(xiě)法。所有信息安全管理的記錄均以ISMSHOXX作為開(kāi)頭，其后由2個(gè)數(shù)字XX構(gòu)成記錄順序編號(hào)?如：ISMS-401I記錄清單。其中“ISMS”表示信息安全類(lèi)文件：“4”表示記錄文件，即：表格：“11”代表自然序列號(hào)。ISMS—40XX記錄的順序號(hào)信息安全管理體系在每個(gè)記錄文件的頁(yè)眉右上角標(biāo)記出文件的編號(hào)及版本號(hào)。版本及修訂號(hào)的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。如：“ISMS—40XXA/0"以此類(lèi)推。I 第0次修定（按照數(shù)字自然順序號(hào)，依次使用I、2、3……）1 第A版（按照英文字母自然排序，依次使用B、C、D……）4.1保管方法（I）記錄由各保管部門(mén)在可快速檢索的條件下，決定保管場(chǎng)所，放在柜子、書(shū)架等適當(dāng)容器中保管。<2）對(duì)保管場(chǎng)所的環(huán)境，本程序沒(méi)有特別指定。由各保管部門(mén)考慮記錄媒體的特性做適當(dāng)處理。<3）以電子媒體保管的場(chǎng)合，為預(yù)防意外，需做適當(dāng)?shù)膫浞?。備份的安全要求?zhí)行《重要信息備份管理程序》。<4）記錄保管部門(mén)應(yīng)建立《記錄清單》，明確規(guī)定保管記錄類(lèi)別、記錄保存期限等?記錄的保存應(yīng)符合有關(guān)法律法規(guī)的要求，保存期限參考本規(guī)格書(shū)第4條款。<5）因工作需要，借閱其他部門(mén)的秘密記錄，應(yīng)獲得記錄保管部門(mén)負(fù)責(zé)人授權(quán)后方可借閱，并留下授權(quán)記錄和借閱記錄。借閱者在借閱期內(nèi)應(yīng)妥善保管記錄，并按期歸還；機(jī)密記錄只準(zhǔn)在現(xiàn)場(chǎng)查閱。<6）記錄的字跡應(yīng)清晰、真實(shí)、文字表達(dá)準(zhǔn)確、簡(jiǎn)練，記錄不得隨意修改。確需修改時(shí)，必須在修改處作標(biāo)識(shí)，并由修改人簽名確認(rèn)。4.2廢棄超過(guò)保管期限的記錄，由保管部門(mén)作為秘密文件處理廢棄。廢棄應(yīng)釆用安全可靠的處置方法（如書(shū)面記錄采用粉碎方法、電子媒體采用格式化方法等），處置記錄應(yīng)予以保存。但若保管部門(mén)認(rèn)為必要時(shí)，仍可繼續(xù)保管超出保管期限的記錄。5.記錄的分類(lèi)和保存年限記錄保管期限（年）保管部門(mén)會(huì)議簽到記錄公司領(lǐng)導(dǎo)層會(huì)議3年行政部公司全員大會(huì)3年行政部培訓(xùn)簽到3年行政部信息安全管理小組會(huì)議3年行政部?jī)?nèi)審會(huì)議3年行政部管理評(píng)審會(huì)議3年行政部其他管理會(huì)議2年各直屬負(fù)責(zé)部門(mén)關(guān)于合同內(nèi)容確認(rèn)的記錄質(zhì)量保證書(shū)合同結(jié)束后3年經(jīng)營(yíng)管理部顧客信息安全需求定單供應(yīng)商變更申請(qǐng)書(shū)購(gòu)買(mǎi)管理供應(yīng)商清單合同結(jié)束后3年經(jīng)營(yíng)管理部購(gòu)買(mǎi)需求單購(gòu)買(mǎi)合同購(gòu)買(mǎi)質(zhì)跟保證書(shū)供應(yīng)商評(píng)價(jià)表供應(yīng)商檢査表文件管理5年行政部?jī)?nèi)部審核5年行政部員工教育履歷2年行政部

信息安全管理評(píng)審會(huì)議記錄以及糾正措施記錄3年行政部信息安全目標(biāo)以及分解5年行政部預(yù)防措施影響分析報(bào)告2'1行政部業(yè)務(wù)持續(xù)管理業(yè)務(wù)持續(xù)性計(jì)劃10年信息安全管理小組業(yè)務(wù)持續(xù)性計(jì)劃測(cè)試報(bào)告10年信息安全管理小組業(yè)務(wù)持續(xù)性計(jì)劃評(píng)審報(bào)告3年信息安全管理小組信息資產(chǎn)識(shí)別表；T行政部資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估重要信息資產(chǎn)清單3年全公司各部門(mén)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表3年行政部風(fēng)險(xiǎn)評(píng)估報(bào)告3年信息安全管理小組風(fēng)險(xiǎn)處理計(jì)劃3年行政部調(diào)查報(bào)告3年信息安全管理小組信息事故、異常處理記錄糾正措施3年行政部信息設(shè)備更改申請(qǐng)書(shū)3年行政部變