信息安全管理手冊(cè)

編號(hào)XX-ISMS-01編號(hào)XX-ISMS-01版本A/0密級(jí)內(nèi)部限制受控是信息安全治理手冊(cè)生效日期 核準(zhǔn) 審查 制訂修改記錄序號(hào) 修改緣由 修改內(nèi)容 修改人/時(shí)間 批準(zhǔn)人/時(shí)間 備注、信息安全治理手冊(cè)公布令、治理者代表任命書(shū)、公司簡(jiǎn)介、信息安全方針1、范圍2、引用標(biāo)準(zhǔn)3、術(shù)語(yǔ)和定義組織環(huán)境理解相關(guān)方的需求和期望明確信息安全治理體系的范圍信息安全治理體系5、領(lǐng)導(dǎo)領(lǐng)導(dǎo)和承諾方針組織角色、職責(zé)和權(quán)力6、打算處置風(fēng)險(xiǎn)和機(jī)遇信息安全目標(biāo)的打算和實(shí)現(xiàn)7、支持溝通文檔要求8、實(shí)施運(yùn)行打算和掌握信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)處置9、績(jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)內(nèi)部審核治理評(píng)審10、改進(jìn)不符合項(xiàng)和訂正措施持續(xù)改進(jìn)附件：附件一：信息安全職能安排表附件二：信息安全職責(zé)附件三：信息安全治理體系程序文件清單附件四：信息安全治理體系作業(yè)指導(dǎo)書(shū)文件清單信息安全治理手冊(cè)公布令為提高江蘇XXXX活動(dòng)，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的喪失、敏感信息的泄密所導(dǎo)致的業(yè)務(wù)中斷或安全事故，公司開(kāi)展貫徹ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全治理體系XXXX〔以下簡(jiǎn)稱(chēng)手冊(cè)。本手冊(cè)是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全治理體系的綱領(lǐng)和行動(dòng)準(zhǔn)則，用于貫徹企業(yè)的信息安全治理方針、治理目標(biāo)，實(shí)現(xiàn)信息安全治理體系有效運(yùn)行、持續(xù)改進(jìn)，是江蘇XXXX全體職工必需嚴(yán)格依據(jù)手冊(cè)的要求，自覺(jué)執(zhí)行治理方針，貫徹實(shí)施本手冊(cè)的各項(xiàng)規(guī)定，努力實(shí)現(xiàn)江蘇XXXX本手冊(cè)自公布之日起生效執(zhí)行。江蘇XXXX二〇一六年三月一日治理者代表任命書(shū)茲委任代表。

XXXXISO27001他將履行以下職責(zé)及權(quán)限：1ISO27001和維持，確保公司的信息安全治理體系運(yùn)作符合信息安全治理體系標(biāo)準(zhǔn)；234總經(jīng)理：日期：二〇一六年三月一日公司組織架構(gòu)如以下圖所示：

、公司簡(jiǎn)介總經(jīng)理治理者代表 信息安全委員銷(xiāo) 技 研 綜 財(cái)售 術(shù) 發(fā) 合 務(wù)部 部 部 部 部信息安全方針信息安全方針含義:依據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)承受準(zhǔn)則。定期進(jìn)展風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)在日常企業(yè)生產(chǎn)和治理中，對(duì)信息安全予以重視，全面識(shí)別和分析全部信息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點(diǎn)、可能存在的威逼，考慮本錢(qián)、利益、風(fēng)險(xiǎn)的綜合平衡，對(duì)資產(chǎn)進(jìn)展分類(lèi)保護(hù)，以適宜的本錢(qián)到達(dá)系統(tǒng)保護(hù)的要求。建立健全信息安全監(jiān)視和保證體系，明確各級(jí)、各崗位的信息安全責(zé)任，以人為本，堅(jiān)持全員、全方位、全過(guò)程信息安全治理。通過(guò)測(cè)量和監(jiān)控，持續(xù)改進(jìn)，保證信息安全治理體系的有效運(yùn)行，做到制度執(zhí)行有記錄、記錄記載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營(yíng)、治理和效勞的持續(xù)和安全，實(shí)現(xiàn)企業(yè)進(jìn)展目標(biāo)。、信息安全目標(biāo)：本公司信息安全目標(biāo)：1)安全大事發(fā)生次數(shù)：4/年；一8/年。2)信息泄密次數(shù)：保證各種需要保密的資料〔包括電子文檔、光盤(pán)等〕不被泄密，確保隱秘、機(jī)密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0/年各部門(mén)信息安全目標(biāo)：部門(mén) 部門(mén)信息安全目標(biāo) 統(tǒng)計(jì)方式 、人員聘請(qǐng)手續(xù)辦理完100%；、人員教育或培訓(xùn)實(shí)施100%；、人員離職手續(xù)辦理完100%；、辦公環(huán)境消防設(shè)施配100%；、辦公環(huán)境消防設(shè)施點(diǎn)100%；綜合部6、每年至少組織實(shí)施完資料齊全；7、每年至少組織實(shí)施完1審，且資料齊全；息安全體系文件評(píng)審及更；、每年至少組織實(shí)施完11、網(wǎng)絡(luò)非正常中斷每月

1、查看全部員工入職手續(xù)辦理狀況；2、查看培訓(xùn)打算及培訓(xùn)實(shí)施狀況；3、查看實(shí)際人員離職及手續(xù)辦理狀況；4、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材配備狀況；；7進(jìn)，準(zhǔn)時(shí)整理信息安全內(nèi)審資料； 8依據(jù)信息安全治理評(píng)審打算執(zhí)行評(píng)審料；評(píng)審，必要時(shí)進(jìn)展更；、每年組織各相關(guān)部門(mén)進(jìn)展風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估。門(mén)

≤1、主機(jī)系統(tǒng)非正常中斷每月≤1重要文檔及數(shù)據(jù)被正確0

1、以每月的網(wǎng)絡(luò)中斷大事為依據(jù) 每半2、以每月的主機(jī)系統(tǒng)中斷大事為依據(jù) 年每半年檢查一次日常工作文件及數(shù)據(jù)是否被正確保管及使用，以及機(jī)密信息泄每年露相關(guān)大事。1、范圍總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全治理體系〔簡(jiǎn)稱(chēng)ISMS，確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)展有效治理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全治理體系文件、持續(xù)改進(jìn)信息安全治理體系的有效性，特制定本手冊(cè)。應(yīng)用本信息安全治理手冊(cè)規(guī)定了江蘇XXXX、治理職責(zé)、內(nèi)部審核、治理評(píng)審和體系持續(xù)改進(jìn)等方面內(nèi)容。ISO/IEC27001:2013A的刪減見(jiàn)《適用性聲明SoA2、標(biāo)準(zhǔn)性引用文件ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全治理體系要求》ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全治理實(shí)施細(xì)則》3、術(shù)語(yǔ)和定義ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全治理體系要求》、ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全治理實(shí)施細(xì)則》規(guī)定的術(shù)語(yǔ)和定義適用本組織、本公司、我司：指江蘇XXXX4、信息安全治理體系組織環(huán)境組織外部環(huán)境包括如下幾個(gè)方面，但并不局限于此：——文化、政治、法律、規(guī)章、金融、技術(shù)、經(jīng)濟(jì)、自然環(huán)境以及競(jìng)爭(zhēng)環(huán)境，無(wú)論是國(guó)際、國(guó)內(nèi)、區(qū)域或地方；——影響組織目標(biāo)的主要驅(qū)動(dòng)因素和進(jìn)展趨勢(shì)；——外部利益相關(guān)者的觀點(diǎn)和價(jià)值觀。組織內(nèi)部環(huán)境包括如下幾個(gè)方面，但并不局限于此：——資源與學(xué)問(wèn)的理解力量〔如：資本、時(shí)間、人力、流程、系統(tǒng)和技術(shù)；——信息系統(tǒng)、信息流淌以及決策過(guò)程〔包括正式和非正式的；——內(nèi)部利益相關(guān)者；——政策，為實(shí)現(xiàn)的目標(biāo)及戰(zhàn)略；——觀念、價(jià)值觀、文化；——組織通過(guò)的標(biāo)準(zhǔn)以及參考模型；以上相關(guān)因素將影響公司實(shí)現(xiàn)信息安全治理體系的預(yù)期成果。理解相關(guān)方的需求和期望與本公司信息安全治理體系有關(guān)的相關(guān)方有：供方、合同方、顧客及其他第三方訪(fǎng)問(wèn)者。定的義務(wù)。本公司信息安全治理體系的范圍和邊界本公司依據(jù)業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全治理體系的范圍包括：。。信息系統(tǒng)范圍：所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；組織范圍：與所述業(yè)務(wù)有關(guān)的部門(mén)和全部員工；。本公司依據(jù)ISO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全治理體系-要求》實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全治理體系。5領(lǐng)導(dǎo)領(lǐng)導(dǎo)和承諾本公司通過(guò)以下行動(dòng)證明公司實(shí)施了與信息安全治理體系有關(guān)的領(lǐng)導(dǎo)工作與承諾：確保建立與組織戰(zhàn)略目標(biāo)全都的信息安全方針和信息安全目標(biāo)；確保信息安全治理體系要求集成到組織的治理流程；確保供給信息安全治理體系需要的各項(xiàng)資源；傳達(dá)信息安全治理的重要性及信息安全治理體系要求；確保信息安全治理體系實(shí)現(xiàn)其預(yù)期目標(biāo)；指導(dǎo)和支持信息安全團(tuán)隊(duì)；促使持續(xù)改進(jìn)；支持其他相關(guān)的治理者在其職責(zé)范圍內(nèi)履行治理職責(zé)。方針為了滿(mǎn)足適用法律法規(guī)及相關(guān)方要求，維持公司經(jīng)營(yíng)和治理的正常進(jìn)展，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)進(jìn)展的目的。本公司依據(jù)組織的業(yè)務(wù)特征、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定ISMS為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；與組織戰(zhàn)略和風(fēng)險(xiǎn)治理相全都的環(huán)境下，建立和保持ISMS；建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；經(jīng)最高治理者批準(zhǔn)。組織角色、職責(zé)和權(quán)力本公司成立了由最高治理者、治理者代表及各部門(mén)負(fù)責(zé)人組成的信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全治理體系方針和本公司承諾，負(fù)責(zé)制訂、落實(shí)信息安全治理工作打算，建立健全企業(yè)的信息安全治理體系，保持其有效、持續(xù)運(yùn)行。本公司實(shí)行相關(guān)部門(mén)代表組成的運(yùn)行分析會(huì)議的方式，進(jìn)展信息安全協(xié)調(diào)和協(xié)作，以：確保安全活動(dòng)的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準(zhǔn)信息安全的方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估、信息分類(lèi)；信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高治理者，對(duì)信息安全全面負(fù)責(zé)，主要包括：a)組織制定信息安全方針及目標(biāo)，任命治理者代表，明確治理者代表的職責(zé)和權(quán)限。b〕確保在內(nèi)部傳達(dá)滿(mǎn)足客戶(hù)、法律法規(guī)和公司信息安全治理要求的重要性。c〕為信息安全治理體系配備必要的資源。履行信息安全保密義務(wù)；各部門(mén)有關(guān)信息安全職責(zé)安排見(jiàn)《信息安全治理職能安排表各部門(mén)應(yīng)依據(jù)《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、掌握措施〔包括安全運(yùn)行的各種掌握程序〕的要求實(shí)施信息安全掌握措施。處置風(fēng)險(xiǎn)和機(jī)遇需求和，來(lái)打算需要被處置的風(fēng)險(xiǎn)和機(jī)遇：確保信息安全治理體系可以實(shí)現(xiàn)其預(yù)期目標(biāo)；避開(kāi)或削減不良影響；實(shí)現(xiàn)持續(xù)改進(jìn)。公司對(duì)以下方面進(jìn)展規(guī)劃：處置風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)；如何將實(shí)施行動(dòng)整合到信息安全治理體系流程中；評(píng)價(jià)行動(dòng)的有效性。經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立承受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別結(jié)果。2.風(fēng)險(xiǎn)評(píng)估流程圖。公司實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估流程，從而：建立和維護(hù)信息安全風(fēng)險(xiǎn)標(biāo)準(zhǔn)，包括：風(fēng)險(xiǎn)承受標(biāo)準(zhǔn)；實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)；確保信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)產(chǎn)生全都性，產(chǎn)生有效的和可比較的結(jié)果；識(shí)別信息安全風(fēng)險(xiǎn)：在信息安全治理體系范圍內(nèi)，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估流程，識(shí)別由于信息的機(jī)密性、完整性和可用性的喪失帶來(lái)的風(fēng)險(xiǎn)；識(shí)別風(fēng)險(xiǎn)的屬主；分析信息安全風(fēng)險(xiǎn)：評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)產(chǎn)生的潛在后果；評(píng)估在信息安全風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)轉(zhuǎn)化為大事的可能性；確定風(fēng)險(xiǎn)的等級(jí)；評(píng)價(jià)信息安全風(fēng)險(xiǎn)：將風(fēng)險(xiǎn)分析結(jié)果與在信息安全風(fēng)險(xiǎn)評(píng)估中所定義的風(fēng)險(xiǎn)標(biāo)準(zhǔn)進(jìn)展比較；依據(jù)風(fēng)險(xiǎn)等級(jí)確定風(fēng)險(xiǎn)處置的優(yōu)先級(jí)。組織保存有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程文檔。信息安全風(fēng)險(xiǎn)處置負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮掌握措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴)承受適當(dāng)?shù)膬?nèi)部掌握措施；b)承受風(fēng)險(xiǎn)〔不行能將全部風(fēng)險(xiǎn)降低為零c)避開(kāi)風(fēng)險(xiǎn)〔如物理隔離；d)轉(zhuǎn)移風(fēng)險(xiǎn)〔如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商。掌握目標(biāo)及掌握措施的選擇原則來(lái)源于ISO/IEC27001:2013A，具體掌握措施參考ISO/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全治理有用規(guī)章》組織保存信息安全風(fēng)險(xiǎn)處置的過(guò)程文檔。信息安全目標(biāo)的打算和實(shí)現(xiàn)本公司建立不同職能及層級(jí)的信息安全目標(biāo)。詳見(jiàn)本手冊(cè)章內(nèi)容。此信息安全目標(biāo)應(yīng)：與信息安全方針全都；可度量〔假設(shè)可操作；考慮適用的信息安全要求,以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；得到溝通；準(zhǔn)時(shí)更。信息安全目標(biāo)以文檔化形式保存。在規(guī)劃如何實(shí)現(xiàn)信息安全目標(biāo)時(shí)，公司明確：要做什么；需要什么資源；誰(shuí)來(lái)負(fù)責(zé)；什么時(shí)候完成；如何評(píng)價(jià)結(jié)果。資源本公司確定并供給實(shí)施、保持信息安全治理體系所需資源；實(shí)行適當(dāng)措施，使影響信息安全治理體系工作的員工的力量是勝任的，以保證：建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全治理體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)別并指出法律法規(guī)要求和合同安全責(zé)任；通過(guò)正確應(yīng)用所實(shí)施的全部掌握來(lái)保持充分的安全；必要時(shí)進(jìn)展評(píng)審，并對(duì)評(píng)審的結(jié)果實(shí)行適當(dāng)措施；需要時(shí)，改進(jìn)信息安全治理體系的有效性。力量公司制定并實(shí)施《人力資源安全治理程序》文件，確保被安排信息安全治理體系規(guī)定職責(zé)的全部人員，都必需有力量執(zhí)行所要求的任務(wù)?？梢酝ㄟ^(guò)：確定擔(dān)當(dāng)信息安全治理體系各工作崗位的職工所必要的力量；供給職業(yè)技術(shù)教育和技能培訓(xùn)或?qū)嵭衅渌拇胧﹣?lái)滿(mǎn)足這些需求；c)評(píng)價(jià)所實(shí)行措施的有效性；d)保存教育、培訓(xùn)、技能、閱歷和資格的記錄。本公司還確保全部相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全治理體系目標(biāo)做出奉獻(xiàn)。意識(shí)公司員工應(yīng)理解：信息安全方針；個(gè)人對(duì)于實(shí)現(xiàn)信息安全治理的重要性，提高組織信息安全績(jī)效的收益；不符合信息安全治理體系要求所造成的影響。溝通公司制定《信息溝通協(xié)調(diào)治理標(biāo)準(zhǔn)通需求，包括：溝通什么；何時(shí)溝通；和誰(shuí)溝通；誰(shuí)應(yīng)當(dāng)溝通；哪種溝通過(guò)程有效。文檔要求綜述組織的信息安全治理體系包括：符合ISO/IEC27001:2013規(guī)定、作業(yè)指導(dǎo)書(shū)和為保證信息安全治理體系有效籌劃、運(yùn)行和掌握所需的受控文件；組織所明確的，說(shuō)明信息安全治理體系有效性的必要的記錄文檔。公司制定并實(shí)施《文件掌握程序確定：a〕識(shí)別和描述〔例如：標(biāo)題、日期、作者和版本號(hào)；b〕格式〔例如：語(yǔ)言、軟件版本和圖形〕與介質(zhì)〔例如：紙質(zhì)、電子c〕適宜性和充分性經(jīng)過(guò)評(píng)審。公司制定并實(shí)施《文件掌握程序確保：a)在需要的時(shí)間和場(chǎng)合可用；b〕文檔得到充分保護(hù)〔例如：防止泄密、不當(dāng)使用或喪失完整性。文檔掌握應(yīng)保證：a)文件公布前得到批準(zhǔn)，以確保文件是充分的；b)必要時(shí)對(duì)文件進(jìn)展評(píng)審、更并再次批準(zhǔn)；c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d)確保在使用時(shí)，可獲得相關(guān)文件的最版本；e)確保文件保持清楚、易于識(shí)別；確保文件可以為需要者所獲得，并依據(jù)適用于他們類(lèi)別的程序進(jìn)展轉(zhuǎn)移、存儲(chǔ)和最終的銷(xiāo)毀；確保外來(lái)文件得到識(shí)別；h)確保文件的分發(fā)得到掌握；防止作廢文件的非預(yù)期使用；假設(shè)因任何目的需保存作廢文件時(shí)，應(yīng)對(duì)其進(jìn)展適當(dāng)?shù)臉?biāo)識(shí)。實(shí)施運(yùn)行打算和掌握為確保信息安全治理體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)展有效處理，本公司開(kāi)展以下活動(dòng)：b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理打算c)實(shí)施所選擇的掌握措施，以實(shí)現(xiàn)掌握目標(biāo)的要求；確定如何測(cè)量所選擇的掌握措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估掌握的有效性以得出可比較的、可重復(fù)的結(jié)果；進(jìn)展信息安全培訓(xùn)，提高全員信息安全意識(shí)和力量；f)對(duì)信息安全體系的運(yùn)作進(jìn)展治理；對(duì)信息安全所需資源進(jìn)展治理；實(shí)施掌握程序，對(duì)信息安全事故〔或征兆〕進(jìn)展快速反響。公司保存以上必要的過(guò)程文檔信息，以說(shuō)明相關(guān)過(guò)程已依據(jù)打算執(zhí)行。掌握打算更改，并審核打算變更的影響，如有必要實(shí)行措施削減不利影響。確保外包過(guò)程受控。信息安全風(fēng)險(xiǎn)評(píng)估在已確定的信息安全治理體系范圍內(nèi)，依據(jù)打算，或者在重大轉(zhuǎn)變提出或發(fā)生時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，本公司執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估掌握程序表識(shí)別，并識(shí)別這些資產(chǎn)的全部者。資產(chǎn)包括硬件與設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、效勞及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類(lèi)、保密性、完整性、法律法規(guī)符合性要求進(jìn)展了量化賦值，形成《資產(chǎn)清單同時(shí)，依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估掌握程序用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。本公司按《信息安全風(fēng)險(xiǎn)評(píng)估掌握程序針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)展賦值；針對(duì)每一項(xiàng)威逼、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的掌握措施，判定安全失效發(fā)生的可能性，并進(jìn)展賦值；依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估掌握程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估掌握程序》中的《風(fēng)險(xiǎn)承受準(zhǔn)則需要處理。信息安全風(fēng)險(xiǎn)處置公司依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成了《風(fēng)險(xiǎn)處理打算門(mén)、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。公司依據(jù)打算進(jìn)展了處置，并保持處置的記錄。對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)，得到了治理者的批準(zhǔn)?？?jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)本公司通過(guò)實(shí)施《監(jiān)視、測(cè)量、分析和評(píng)價(jià)掌握程序》以監(jiān)視、測(cè)量、分析和評(píng)價(jià)公司信息安全治理狀況結(jié)果，以實(shí)現(xiàn)：準(zhǔn)時(shí)覺(jué)察處理結(jié)果中的錯(cuò)誤、信息安全體系的事故和隱患；準(zhǔn)時(shí)了解識(shí)別失敗的和成功的安全破壞和大事、信息處理系統(tǒng)患病的各類(lèi)攻擊；使治理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)到達(dá)預(yù)期的結(jié)果；使治理者把握信息安全活動(dòng)和解決安全破壞所實(shí)行的措施是否有效；e)積存信息安全方面的閱歷；內(nèi)部審核告結(jié)果和保持記錄的職責(zé)和要求。并依據(jù)籌劃的時(shí)間間隔〔兩次內(nèi)部審核的間隔不得超12〕進(jìn)展內(nèi)部信息安全治理體系審核，以確定其信息安全治理體系的掌握目標(biāo)、掌握措施、過(guò)程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識(shí)別的信息安全要求；得到有效地實(shí)施和維護(hù)；按預(yù)期執(zhí)行。內(nèi)部審核的過(guò)程文檔應(yīng)清楚地形成記錄，并加以保持。治理評(píng)審公司建立并實(shí)施《治理評(píng)審掌握程序的時(shí)間間隔〔兩次治理評(píng)審的間隔不得超過(guò)12〕評(píng)審信息安全治理體系，以確保其持續(xù)的適宜性、充分性和有效性。治理評(píng)審應(yīng)包括評(píng)價(jià)信息安全治理體系改進(jìn)的時(shí)機(jī)和變更的需要，包括安全方針和安全目標(biāo)。治理評(píng)審的結(jié)果應(yīng)清楚地形成文件，記錄應(yīng)加以保持。改進(jìn)不符合和訂正措施公司建立并實(shí)施《訂正與預(yù)防掌握程序?qū)Σ环蠣顩r實(shí)行措施，如：實(shí)行措施，以掌握和改正它；處置影響；明確必要的掌握措施，以消退不符合狀況產(chǎn)生的緣由，確保它不會(huì)再發(fā)生或在其評(píng)審不符合項(xiàng)；明確不符合項(xiàng)產(chǎn)生的緣由；明確是否存在或可能發(fā)生類(lèi)似的不符合項(xiàng)；實(shí)行必要的措施；評(píng)審已實(shí)行的改正措施的有效性；必要時(shí)改進(jìn)信息安全治理體系。據(jù)：不符合狀況的性質(zhì)和所實(shí)行的后續(xù)行動(dòng)；訂正措施的結(jié)果。持續(xù)改進(jìn)本公司通過(guò)使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控大事的分析、訂正和預(yù)防措施以及治理評(píng)審，不斷完善信息安全治理體系的適宜性、充分性和有效性。附件一：信息安全職能安排表〔注：附件一：信息安全職能安排表〔注：〕：治理單位信息安全治理者總經(jīng)理 研發(fā)部技術(shù)部財(cái)務(wù)部銷(xiāo)售部體系要求 委員會(huì) 代表4.組織環(huán)境理解組織及其環(huán)境▲▲△△△△△△理解相關(guān)方的需求和期望▲▲△△△△△△明確信息安全治理體系的范圍▲▲▲△△△△△信息安全治理體系▲△▲△△△△△5領(lǐng)導(dǎo)領(lǐng)導(dǎo)和承諾△▲△△△△△△方針△▲△△△△△△組織角色、職責(zé)和權(quán)力6打算△▲△△△△△△處置風(fēng)險(xiǎn)和機(jī)遇▲▲△△▲△△△信息安全目標(biāo)的打算和實(shí)現(xiàn)▲△△△△△△△7支持資源△▲△△△△△△力量△△△▲△△△△意識(shí)△△△▲△△△△溝通▲▲▲△△△△△文檔要求8實(shí)施△△△▲△△△△運(yùn)行打算和掌握▲△△△▲△△△信息安全風(fēng)險(xiǎn)評(píng)估▲△△△▲△△△信息安全風(fēng)險(xiǎn)處置9績(jī)效評(píng)價(jià)▲△△△▲△△△監(jiān)視、測(cè)量、分析和評(píng)價(jià)▲△△△△△△△內(nèi)部審核△△▲△△△△△治理評(píng)審10改進(jìn)△▲△△△△△△不符合項(xiàng)和訂正措施△△△▲△△△△持續(xù)改進(jìn)△△△▲△△△△信息安全方針信息安全治理指引▲△▲△△△△△信息安全組織內(nèi)部組織▲△▲△△△△△移動(dòng)設(shè)備和遠(yuǎn)程辦公△△△△▲▲△△人力資源安全△任用前△△△▲△△△△任用中△△△▲△△△△任用終止和變更△△△▲△△△△資產(chǎn)治理資產(chǎn)的責(zé)任△△△▲▲▲▲▲信息分類(lèi)▲△△▲△△△△介質(zhì)處理△△△△△▲△△訪(fǎng)問(wèn)掌握訪(fǎng)問(wèn)掌握的業(yè)務(wù)需求△△△△△▲△△用戶(hù)訪(fǎng)問(wèn)治理△△△△△▲△△用戶(hù)責(zé)任△△△△△▲△△系統(tǒng)和應(yīng)用訪(fǎng)問(wèn)掌握△△△△△▲△△加密技術(shù)加密掌握▲△△△△▲△△物理和環(huán)境安全安全區(qū)域△△△▲△△△△設(shè)備安全△△△▲△▲△△操作安全操作程序及職責(zé)△△△△▲△△△防范惡意軟件△△△△△▲△△備份△△△△△▲△△日志記錄和監(jiān)控△△△△△▲△△操作軟件的掌握△△△△△▲△△技術(shù)脆弱性治理△△△△△▲△△信息系統(tǒng)審計(jì)的考慮因素△△△△△▲△△通信安全網(wǎng)絡(luò)安全治理△△△△△▲△△信息傳輸△△△▲△▲△△系統(tǒng)的獵取、開(kāi)發(fā)及維護(hù)信息系統(tǒng)安全需求△△△△▲△△△開(kāi)發(fā)和支持過(guò)程的安全△△△△▲△△△測(cè)試數(shù)據(jù)△△△△▲△△△供給商關(guān)系供給商關(guān)系的信息安全△△△▲△△△△供給商效勞交付治理△△△▲△△△△信息安全大事治理信息安全大事的治理和改進(jìn)△△△△▲△△△△△△△▲△△△△△△▲▲▲▲▲△△△▲▲▲▲▲△△△△▲△△△△△△△▲△△△△△△△▲△△△業(yè)務(wù)連續(xù)性治理中的信息安全△△△△▲△△△信息安全的連續(xù)性▲△△△△△△△冗余符合性▲△△△△△△△法律和合同規(guī)定的符合性△△△▲△△△△信息安全評(píng)審△△△▲△△△△附件二：信息安全職責(zé)序號(hào) 架構(gòu)/部門(mén)

成員

成員及職能XXX、XX〔技術(shù)部、XX〔研發(fā)部、XXX〔綜合部、XX〔財(cái)務(wù)部〕信息安全 安全最高組織機(jī)構(gòu)，負(fù)責(zé)公司整體信息安全治理工作，推動(dòng)信息安全委員會(huì) ；制定信息安全方針、信息安全治理目標(biāo)；負(fù)責(zé)審核信息安全小組提交的信息安全治理體系、標(biāo)準(zhǔn)及治理方法；負(fù)責(zé)決策與信息安全治理相關(guān)的重大處理與改進(jìn)；定期組織信息安全治理體系〔ISMS〕評(píng)審等。組織并制定信息安全方針策略。任命治理者代表，明確治理者代表的職責(zé)和權(quán)限。人綜合部研發(fā)部

確保在內(nèi)部傳達(dá)滿(mǎn)足客戶(hù)、法律法規(guī)和公司信息安全治理要求的重要性。為信息安全治理體系配備必要的資源。主持治理評(píng)審。對(duì)信息安全全面負(fù)責(zé)。幫助最高治理者建立、實(shí)施、檢查、改進(jìn)信息安全治理體系。運(yùn)行。組織公司信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)治理。組織開(kāi)展信息安全內(nèi)部審核、安全檢查工作。負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求。負(fù)責(zé)就信息安全治理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。監(jiān)控信息安全大事和確保安全掌握措施得到執(zhí)行。負(fù)責(zé)公司信息安全方針、目標(biāo)、政策在部門(mén)內(nèi)部的有效執(zhí)行、監(jiān)視、檢查。參與公司信息安全工作的爭(zhēng)論和決策。的訂正預(yù)防措施進(jìn)展審核和確認(rèn)。負(fù)責(zé)治理和維護(hù)部門(mén)公布的信息安全治理體系相關(guān)文件。負(fù)責(zé)信息安全大事的調(diào)查及協(xié)調(diào)處理。做好本崗位信息安全相關(guān)的保密工作負(fù)責(zé)監(jiān)控信息安全治理體系的日常運(yùn)行。負(fù)責(zé)信息安全治理體系文件的掌握。負(fù)責(zé)本公司信息安全治理體系的推行落實(shí)。負(fù)責(zé)公司員工聘請(qǐng)、聘用及離職全過(guò)程的安全治理。負(fù)責(zé)公司內(nèi)部人事檔案等重要文件資料的安全管控。負(fù)責(zé)公司日常行政安全的治理。負(fù)責(zé)公司辦公環(huán)境的物理安全，包括人員及物品出入掌握、門(mén)禁治理等。負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷(xiāo)售治理。同、投標(biāo)文件等重要文件的安全管控。負(fù)責(zé)公司及部門(mén)重要文件資料的安全管控。信息安全大事的報(bào)告及幫助處理。負(fù)責(zé)公司信息系統(tǒng)的安全規(guī)劃設(shè)計(jì)及實(shí)施。負(fù)責(zé)公司機(jī)房及軟硬件系統(tǒng)的安全運(yùn)行維護(hù)。

全管控。負(fù)責(zé)信息安全大事的調(diào)查及協(xié)調(diào)處理。負(fù)責(zé)對(duì)公司客戶(hù)懇求的樂(lè)觀響應(yīng)，妥當(dāng)處理顧客的投訴等。信息安全大事的報(bào)告及幫助處理。做好本崗位信息安全相關(guān)的保密工作負(fù)責(zé)公司業(yè)務(wù)相關(guān)的銷(xiāo)售工作。負(fù)責(zé)本人接觸到的重要信息的安全保密管控，包括客戶(hù)信息、商務(wù)文檔、項(xiàng)銷(xiāo)售部 目合同、投標(biāo)文件等重要文件的安全管控。信息安全大事的報(bào)告及幫助處理。做好本崗位信息安全相關(guān)的保密工作負(fù)責(zé)公司的財(cái)務(wù)治理工作。的重要信息的安全保密管控，包括財(cái)務(wù)憑證、財(cái)務(wù)報(bào)表、工資單財(cái)務(wù)部 等重要文件的安全管控。信息安全大事的報(bào)告及幫助處理。做好本崗位信息安全相關(guān)的保密工作負(fù)責(zé)公司信息系統(tǒng)建設(shè)及運(yùn)行維護(hù)。師/網(wǎng)絡(luò)治理員

負(fù)責(zé)公司機(jī)房安全治理。負(fù)責(zé)公司各部門(mén)辦公電腦的維護(hù)及安全治理。按時(shí)記錄網(wǎng)絡(luò)機(jī)房運(yùn)行日志信息安全大事的報(bào)告、響應(yīng)及協(xié)調(diào)處理。做好本崗位信息安全相關(guān)的保密工作負(fù)責(zé)公司財(cái)務(wù)記帳、報(bào)帳、應(yīng)收及應(yīng)付、資產(chǎn)盤(pán)點(diǎn)等日常工作。負(fù)責(zé)本崗位的重要信息的安全保密管控，包括財(cái)務(wù)報(bào)表、各類(lèi)憑證等重要文會(huì)計(jì)及出納 件的安全管控。信息安全大事的報(bào)告及幫助處理。做好本崗位信息安全相關(guān)的保密工作負(fù)責(zé)效勞工程的具體實(shí)施及治理。工程專(zhuān)員全部員工

打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。信息安全大事的報(bào)告及幫助處理。做好本崗位信息安全相關(guān)的保密工作嚴(yán)格遵守國(guó)家及行業(yè)的法律法規(guī)和政策。嚴(yán)格遵守公司的各項(xiàng)信息安全政策。正確、安全的使用及保管公司及客戶(hù)的各類(lèi)信息資產(chǎn)。樂(lè)觀參與信息安全教育與培訓(xùn)，提高信息安全意識(shí)。信息安全大事的報(bào)告及幫助處理。附件三：信息安全治理體系程序文件清單序號(hào)附件三：信息安全治理體系程序文件清單序號(hào)文件名稱(chēng)文件編號(hào)版本號(hào)制定/修訂制定部門(mén)備注1文件掌握程序XX-QP-01A/0日期綜合部受控文件