X計(jì)算機(jī)網(wǎng)絡(luò)企業(yè)信息安全管理手冊(cè)范本

<佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司>信息安全管理管控手冊(cè)[SW-ISMS-A-01]Ver1.1發(fā)布日期2014年10月1日發(fā)布部門信息安全管理管控小組實(shí)施日期2014年10月1日佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司文件編號(hào)SW-ISMS-A-01信息安全管理體系手冊(cè)文件版本1.1密級(jí)秘密頁0前言<佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司>《信息安全管理管控體系手冊(cè)》（以下簡(jiǎn)稱本手冊(cè)）依據(jù)ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控體系-要求》，參照ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用規(guī)則》，結(jié)合本行業(yè)信息安全的特點(diǎn)編寫。本手冊(cè)對(duì)本公司信息安全管理管控體系作出了概括性描述，為建立、實(shí)施和保持信息安全管理管控體系提供框架。1范圍1.1總則為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理管控體系，確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理管控，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理管控體系文件、持續(xù)改進(jìn)信息安全管理管控體系的有效性，特制定本手冊(cè)。1.2應(yīng)用1.2.1覆蓋范圍應(yīng)用范圍：本《信息安全管理管控體系手冊(cè)》規(guī)定了<佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司>信息安全管理管控體系涉及的開發(fā)和維護(hù)信息安全管理管控、職責(zé)管理管控、內(nèi)部審核、管理管控評(píng)審和信息安全管理管控體系持續(xù)改進(jìn)等方面合適的內(nèi)容。具體見4.2.2.1條約條款規(guī)定。地址范圍：深圳市福田區(qū)景田商報(bào)路奧林匹克大廈26樓B、C、D號(hào)1.2.2刪減說明本《信息安全管理管控體系手冊(cè)》采用了ISO/IEC27001:2005標(biāo)準(zhǔn)正文的全部合適的內(nèi)容，對(duì)附錄A的刪減及理由詳見《信息安全適用性聲明SoA》。2規(guī)范性引用文件下列文件中的條約條款通過本《信息安全管理管控體系手冊(cè)》的引用而成為本《信息安全管理管控體系手冊(cè)》的條約條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘誤的合適的內(nèi)容）或修改版均不適用于本《信息安全管理管控體系手冊(cè)》，然而，信息安全管理管控小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理管控體系手冊(cè)》。ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控體系-要求》ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用規(guī)則》3術(shù)語和定義3.1術(shù)語ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控體系-要求》、ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用規(guī)則》規(guī)定的術(shù)語和定義以及下述定義適用于本《信息安全管理管控體系手冊(cè)》。本組織、本公司、我公司：指<佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司>。3.2縮寫ISMS：InformationSecurityManagementSystems信息安全管理管控體系；SoA:：StatementofApplicability適用性聲明；PDCA:：PlanDoCheckAction相關(guān)計(jì)劃、實(shí)施、檢查、改進(jìn)。4信息安全管理管控體系4.1總要求4.1.1要求本公司在軟件開發(fā)、經(jīng)營、服務(wù)和日常管理管控活動(dòng)中按ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控體系-要求》規(guī)定，參照ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用規(guī)則》標(biāo)準(zhǔn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理管控體系。4.1.2PDCA模型信息安全管理管控體系使用的過程基于圖1所示的PDCA模型。建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS相關(guān)方信息安全要求和期望相關(guān)方受控的信息安全規(guī)劃Plan檢查Check處置Act實(shí)施Do圖1信息安全管理管控體系PDCA模型4.2建立和管理管控信息安全管理管控體系4.2.1建立信息安全管理管控體系4.2.1.1信息安全管理管控體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：本公司信息安全管理管控體系的范圍包括：a)本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理管控的業(yè)務(wù)系統(tǒng)；b)與所述信息系統(tǒng)有關(guān)的活動(dòng)；c)與所述信息系統(tǒng)有關(guān)的部門和所有員工；d)所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。業(yè)務(wù)范圍：桌面軟、硬件運(yùn)維服務(wù)；服務(wù)器硬件運(yùn)維服務(wù)；網(wǎng)絡(luò)設(shè)備運(yùn)維服務(wù)的信息安全管理管控。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理管控體系的物理范圍和信息安全邊界。本公司信息安全管理管控體系的物理范圍為：佛山市禪城區(qū)江灣路三路28號(hào)廣東（佛山）軟件產(chǎn)業(yè)園A區(qū)10號(hào)樓首層103-105室安全邊界詳見附錄B（規(guī)范性附錄）《辦公場(chǎng)所平面圖》。ISMS的范圍是：計(jì)算機(jī)應(yīng)用軟件開發(fā)和維護(hù)、系統(tǒng)集成和后期維護(hù)；信息安全，IT資產(chǎn)服務(wù)外包，IT運(yùn)維服務(wù)本《信息安全管理管控體系手冊(cè)》采用了ISO/IEC27001:2005標(biāo)準(zhǔn)正文的全部合適的內(nèi)容，對(duì)附錄A的刪減及理由詳見《信息安全適用性聲明》；ISMS的邊界地理位置圖（詳見《附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖》）4.2.1.2信息安全管理管控體系的方針和目標(biāo)4.2.1.2.1方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理管控體系方針：信息安全，人人有責(zé)。4.2.1.2.1信息安全目標(biāo)客戶針對(duì)信息安全事件的投訴每年不超過1次重要信息設(shè)備丟失每年不超過1起機(jī)密和絕密信息泄漏事件每年不超過1次大規(guī)模病毒爆發(fā)每年不超過1次4.2.1.2.2要求本公司信息安全管理管控體系方針符合以下要求：為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向和原則；識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；與組織戰(zhàn)略和風(fēng)險(xiǎn)管理管控相一致的環(huán)境下，建立和保持信息安全管理管控體系；建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；經(jīng)總經(jīng)理批準(zhǔn)，并定期評(píng)審其適用性、充分性，必要時(shí)予以修訂。4.2.1.2.3承諾為實(shí)現(xiàn)信息安全管理管控體系方針，本公司承諾：在公司內(nèi)各層次建立完整的信息安全管理管控組織機(jī)構(gòu)，確定信息安全方針、安全目標(biāo)和控制措施，明確信息安全的管理管控職責(zé)；識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理管控體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共享；對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；制定并保持完善的業(yè)務(wù)連續(xù)性相關(guān)計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。4.2.1.3風(fēng)險(xiǎn)評(píng)估的方法信息安全管理管控小組制定《信息安全風(fēng)險(xiǎn)管理管控程序》，建立識(shí)別適用于信息安全管理管控體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。按信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)管理管控程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。4.2.1.4識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理管控體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理管控程序》對(duì)所有的資產(chǎn)和資產(chǎn)所有者進(jìn)行了識(shí)別；對(duì)每一項(xiàng)資產(chǎn)按重置成本級(jí)別、保密性、完整性、可用性和資產(chǎn)價(jià)值及重要性級(jí)別進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷準(zhǔn)則確定是否為重要資產(chǎn)，形成《重要資產(chǎn)清單》。同時(shí)根據(jù)《信息安全風(fēng)險(xiǎn)管理管控程序》識(shí)別對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的控制措施及現(xiàn)有控制措施的有效性，并通過對(duì)這些相關(guān)項(xiàng)目的賦值計(jì)算出在喪失保密性、完整性和可用性可能對(duì)重要資產(chǎn)造成的影響。4.2.1.5分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理管控程序》，采用人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：針對(duì)重要資產(chǎn)的自身價(jià)值、保密性、完整性和可用性、合規(guī)性和脆弱性嚴(yán)重程度，計(jì)算出風(fēng)險(xiǎn)發(fā)生的影響值；針對(duì)每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值，然后計(jì)算得出風(fēng)險(xiǎn)發(fā)生的可能性；根據(jù)《信息安全風(fēng)險(xiǎn)管理管控程序》計(jì)算風(fēng)險(xiǎn)等級(jí)，從而得出風(fēng)險(xiǎn)等級(jí)；根據(jù)《信息安全風(fēng)險(xiǎn)管理管控程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。4.2.1.6識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇信息安全管理管控小組和相關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《信息安全風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，該相關(guān)計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧嚎刂骑L(fēng)險(xiǎn)（采用適當(dāng)?shù)膬?nèi)部控制措施降低風(fēng)險(xiǎn)發(fā)生的可能性）；接受風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者處理的代價(jià)高于風(fēng)險(xiǎn)引起的損失，公司決定接受該風(fēng)險(xiǎn)/殘余風(fēng)險(xiǎn)）；避免風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)，從而避免風(fēng)險(xiǎn)）；轉(zhuǎn)移風(fēng)險(xiǎn)（通過購買保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。4.2.1.7選擇控制目標(biāo)與控制措施信息安全管理管控小組根據(jù)相關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門選擇和制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：信息安全控制目標(biāo)獲得總經(jīng)理的批準(zhǔn)。控制目標(biāo)及控制措施的選擇原則來源于ISO/IEC27001:2005附錄A，具體控制措施參考ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理管控實(shí)用規(guī)則》。本公司根據(jù)信息安全管理管控的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。4.2.1.8剩余風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)應(yīng)形成《信息安全剩余風(fēng)險(xiǎn)評(píng)估報(bào)告》并得到公司管理管控者的批準(zhǔn)。4.2.1.9授權(quán)管理管控者對(duì)實(shí)施和運(yùn)行信息安全管理管控體系進(jìn)行授權(quán)。4.2.1.10適用性聲明信息安全管理管控小組編制《信息安全適用性聲明（SoA）》。該聲明包括以下方面的合適的內(nèi)容：所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；對(duì)ISO/IEC27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說明。4.2.2實(shí)施及運(yùn)行信息安全管理管控體系4.2.2.1活動(dòng)為確保信息安全管理管控體系有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：形成《信息安全風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，以確定適當(dāng)?shù)墓芾砉芸卮胧⒙氊?zé)及安全控制措施的優(yōu)先級(jí)；為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》，明確各崗位的信息安全職責(zé)；實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；對(duì)信息安全體系的運(yùn)行進(jìn)行管理管控；對(duì)信息安全所需資源進(jìn)行管理管控；實(shí)施控制程序，對(duì)信息安全事故（或征兆）進(jìn)行迅速反應(yīng)。4.2.2.2信息安全組織機(jī)構(gòu)本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)——信息安全管理管控小組，其職責(zé)是實(shí)現(xiàn)信息安全管理管控體系方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作相關(guān)計(jì)劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理管控體系的有效運(yùn)行提供必要的資源。本公司的信息安全職能由信息安全管理管控小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作相關(guān)計(jì)劃，對(duì)單位、部門信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理管控體系，保持其有效、持續(xù)運(yùn)行。本公司采取相關(guān)部門代表組成的協(xié)調(diào)會(huì)的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：確保安全活動(dòng)的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準(zhǔn)信息安全的方法和過程，如風(fēng)險(xiǎn)評(píng)估、信息分類；識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?.2.2.3信息安全職責(zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理管控者代表,無論信息安全管理管控者代表其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：建立并實(shí)施信息安全管理管控體系必要的程序并維持其有效運(yùn)行；對(duì)信息安全管理管控體系的運(yùn)行情況和必要的改善措施向信息安全管理管控小組或最高責(zé)任者報(bào)告。各部門負(fù)責(zé)人為本部門信息安全管理管控責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。各部門、人員有關(guān)信息安全職責(zé)分配見附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的程序文件（管理管控標(biāo)準(zhǔn)）、規(guī)定及崗位說明書。4.2.2.4控制措施各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括信息安全運(yùn)行的各種管理管控標(biāo)準(zhǔn)、規(guī)章制度）的要求實(shí)施信息安全控制措施。4.2.3監(jiān)督與評(píng)審信息安全管理管控體系4.2.3.1活動(dòng)本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全管理管控體系的事故和隱患；及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；使管理管控者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；使管理管控者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；積累信息安全方面的經(jīng)驗(yàn)。4.2.3.2管理管控評(píng)審根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理管控體系的有效性進(jìn)行評(píng)審，其中包括信息安全管理管控體系的范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮信息安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理管控評(píng)審的具體要求，見本手冊(cè)第7章。4.2.3.3檢查和測(cè)量在管理管控標(biāo)準(zhǔn)中，對(duì)安全措施的實(shí)施規(guī)定了檢查和測(cè)量的要求。同時(shí)，信息安全管理管控小組應(yīng)定期的進(jìn)行信息安全檢查和信息安全技術(shù)監(jiān)督，通過對(duì)安全措施的實(shí)施檢查和信息安全技術(shù)監(jiān)督，保證安全措施得到滿足。4.2.3.4風(fēng)險(xiǎn)再評(píng)估信息安全管理管控小組組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理管控程序》的要求，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過程；已識(shí)別的威脅；實(shí)施控制的有效性；外部事件，例如法律或規(guī)章環(huán)境的變化、合同合約責(zé)任的變化以及社會(huì)環(huán)境的變化。4.2.3.5內(nèi)部審核按照相關(guān)計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理管控體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊(cè)第6章。4.2.3.6更新相關(guān)計(jì)劃考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新信息安全相關(guān)計(jì)劃。4.2.3.7記錄記錄可能對(duì)信息安全管理管控體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。4.2.4保持與持續(xù)改進(jìn)信息安全管理管控體系我公司開展以下活動(dòng)，以確保信息安全管理管控體系的持續(xù)改進(jìn)：實(shí)施每年管理管控評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的相關(guān)項(xiàng)目；按照本手冊(cè)第6章和第8章的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性；通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識(shí)別顧客對(duì)信息安全的要求等；對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾砉芸?，確保改進(jìn)達(dá)到預(yù)期的效果。4.3文件要求4.3.1總則本公司信息安全管理管控體系文件包括：文件化的信息安全方針，在《信息安全管理管控體系手冊(cè)》中描述,選擇的控制目標(biāo)在《信息安全適用性聲明SoA》中描述；《信息安全管理管控體系手冊(cè)》（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；ISO/IEC27001:2005標(biāo)準(zhǔn)中規(guī)定需文件化的程序；本手冊(cè)涉及的相關(guān)支持性程序性文件，例如《信息安全風(fēng)險(xiǎn)管理管控程序》；為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》以及信息安全管理管控體系要求的記錄類；相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；《信息安全適用性聲明SoA》。4.3.2文件控制4.3.2.1要求信息安全管理管控小組按《文件控制程序》的要求，對(duì)信息安全管理管控體系所要求的文件進(jìn)行管理管控。對(duì)《信息安全管理管控體系手冊(cè)》、程序文件、管理管控規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理管控體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。4.3.2.2文件控制信息安全管理管控小組制定并實(shí)施《文件和資料管理管控程序》，人事行政部對(duì)信息安全管理管控體系所要求的文件進(jìn)行管理管控。對(duì)《信息安全管理管控手冊(cè)》、程序文件、管理管控規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理管控體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理管控工作做出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。文件控制應(yīng)保證：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用時(shí)，可獲得相關(guān)文件的最新版本；確保文件保持清晰、易于識(shí)別；確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲(chǔ)和最終的銷毀；確保外來文件得到識(shí)別；確保文件的分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4.3.2.3外來文件管理管控外來文件包括信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按以下規(guī)定執(zhí)行：信息安全適用的法律法規(guī)按照《信息安全法律法規(guī)管理管控程序》規(guī)定執(zhí)行；外來的文件按照《文件控制程序》和其他相關(guān)規(guī)定執(zhí)行；外來標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理管控的相關(guān)規(guī)定進(jìn)行。4.3.3記錄控制4.3.3.1要求信息安全管理管控體系所要求的記錄是信息安全管理管控體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。4.3.3.2職責(zé)信息安全管理管控小組按《記錄控制程序》的要求，對(duì)記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等進(jìn)行管理管控。4.3.3.3記錄信息安全管理管控的記錄應(yīng)包括本手冊(cè)第4.2條中所列出的所有過程的結(jié)果及與信息安全管理管控體系相關(guān)的安全事故的記錄。4.3.3.4分類信息安全管理管控體系的記錄按出處可分為以下四類：程序文件所要求的記錄；工作標(biāo)準(zhǔn)和作業(yè)文件所要求的記錄；規(guī)章制度、規(guī)定所要求的記錄；其他證實(shí)信息安全管理管控體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的記錄。4.3.3.5形式信息安全管理管控記錄可以是表、單、卡、臺(tái)帳、記錄本、報(bào)告、紀(jì)要、證、圖等多種適用的形式，可以是書面的或電子媒體的。4.3.3.6歸檔需要?dú)w檔的記錄，按《記錄控制程序》執(zhí)行，屬于電子數(shù)據(jù)的記錄，按《重要信息備份管理管控程序》執(zhí)行。5管理管控職責(zé)5.1管理管控承諾我公司管理管控者通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理管控體系的承諾提供證據(jù)：建立信息安全方針；確保信息安全目標(biāo)和相關(guān)計(jì)劃得以制定（見《信息安全適用性聲明SoA》、《風(fēng)險(xiǎn)處理相關(guān)計(jì)劃》及相關(guān)記錄）；建立信息安全的角色和職責(zé)(見本手冊(cè)附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)的管理管控程序；向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持并改進(jìn)信息安全管理管控體系(見本手冊(cè)第5.2.1章)；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)(見《信息安全風(fēng)險(xiǎn)管理管控程序》及相關(guān)記錄)；確保內(nèi)部信息安全管理管控體系審核（見本手冊(cè)第6章）得以實(shí)施；實(shí)施信息安全管理管控體系管理管控評(píng)審（見本手冊(cè)第7章）。5.2資源管理管控5.2.1資源的提供本公司確定并提供實(shí)施、保持信息安全管理管控體系所需資源；采取適當(dāng)措施，使影響信息安全管理管控體系工作的員工是有能力勝任的，以保證：建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理管控體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)別并指出法律法規(guī)要求和合同合約安全責(zé)任；通過正確應(yīng)用所實(shí)施的所有控制來保持充分的安全；必要時(shí)，進(jìn)行評(píng)審，并對(duì)評(píng)審的結(jié)果采取適當(dāng)措施；需要時(shí)，改進(jìn)信息安全管理管控體系的有效性。5.2.2培訓(xùn)、意識(shí)和能力信息安全管理管控小組制定并實(shí)施《員工培訓(xùn)管理管控程序》文件，確保被分配信息安全管理管控體系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：確定承擔(dān)信息安全管理管控體系各工作崗位的職工所必要的能力；提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；評(píng)價(jià)所采取措施的有效性；保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄。本公司還確保所有相關(guān)人員意識(shí)到其所從事的信息安全活動(dòng)的相關(guān)性和重要性，以及如何為實(shí)現(xiàn)信息安全管理管控體系目標(biāo)做出貢獻(xiàn)。6內(nèi)部信息安全管理管控體系審核6.1總則6.1.1要求本公司信息安全管理管控小組按《內(nèi)部審核管理管控程序》的要求策劃和實(shí)施信息安全管理管控體系內(nèi)部審核以及報(bào)告結(jié)果和保持記錄。6.1.2活動(dòng)本公司每年進(jìn)行一次信息安全管理管控體系內(nèi)部審核，以確定其信息安全管理管控體系的控制目標(biāo)、控制措施、過程和程序是否：符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；符合已識(shí)別的信息安全要求；得到有效地實(shí)施和維護(hù)；按預(yù)期執(zhí)行。6.2內(nèi)審策劃信息安全管理管控小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對(duì)審核工作進(jìn)行策劃。應(yīng)編制《年度內(nèi)審相關(guān)計(jì)劃》，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，信息安全管理管控小組應(yīng)編制《內(nèi)部審核相關(guān)計(jì)劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作?！秲?nèi)部審核相關(guān)計(jì)劃》，經(jīng)信息安全管理管控者代表批準(zhǔn)，提前3天通知被審核部門，被審核部門到時(shí)應(yīng)選派有關(guān)人員配合審核。6.3內(nèi)審員內(nèi)部審核員必須是熟悉本公司信息安全管理管控情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。內(nèi)部審核員應(yīng)來自于不同的部門，審核人員應(yīng)與被審活動(dòng)無直接責(zé)任，以保持工作的獨(dú)立性。各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫《內(nèi)部審核員評(píng)定表》，經(jīng)信息安全管理管控者代表批準(zhǔn)，方取得內(nèi)部審核員資格。6.4內(nèi)審實(shí)施6.4.1活動(dòng)應(yīng)按審核相關(guān)計(jì)劃的要求實(shí)施審核，包括：進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)；對(duì)檢查合適的內(nèi)容進(jìn)行分析，對(duì)審核發(fā)現(xiàn)的問題在《不符合項(xiàng)報(bào)告及糾正報(bào)告單》中開出不符合項(xiàng)；審核組長編制《內(nèi)部審核報(bào)告》。6.4.2不符合處理對(duì)審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理管控小組對(duì)糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入《不符合項(xiàng)報(bào)告及糾正報(bào)告單》。6.4.3記錄內(nèi)部審核記錄由信息安全管理管控小組保存，并作為管理管控評(píng)審的輸入之一。7管理管控評(píng)審7.1總則總經(jīng)理應(yīng)每年進(jìn)行一次管理管控評(píng)審，以確保信息安全管理管控體系持續(xù)的適宜性、充分性和有效性，管理管控評(píng)審按《管理管控評(píng)審程序》進(jìn)行。管理管控評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理管控體系改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。管理管控評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。7.2評(píng)審輸入管理管控評(píng)審的輸入要包括以下信息：信息安全管理管控體系審核和評(píng)審的結(jié)果；相關(guān)方的反饋；用于改進(jìn)信息安全管理管控體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱性或威脅；有效性測(cè)量的結(jié)果；以往管理管控評(píng)審的跟蹤措施；任何可能影響信息安全管理管控體系的變更；改進(jìn)的建議。7.3評(píng)審輸出管理管控評(píng)審的輸出應(yīng)包括與下列合適的內(nèi)容相關(guān)的任何決定和措施：信息安全管理管控體系有效性的改進(jìn)；更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理相關(guān)計(jì)劃；必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理管控體系的內(nèi)外事件，包括以下方面的變化：業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；法律法規(guī)要求；合同合約責(zé)任；風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。資源需求；改進(jìn)測(cè)量控制措施有效性的方式。8信息安全管理管控體系改進(jìn)8.1持續(xù)改進(jìn)本公司依據(jù)《糾正措施控制程序》和《預(yù)防措施控制程序》的要求,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理管控評(píng)審（見本手冊(cè)第7章），持續(xù)改進(jìn)信息安全管理管控體系的有效性。8.2糾正措施本公司信息安全管理管控小組處理糾正措施，不符合事項(xiàng)的責(zé)任部門負(fù)責(zé)采取糾正措施，以消除與信息安全管理管控體系要求不符合的原因，以防止再發(fā)生。糾正措施的實(shí)施按《糾正措施控制程序》進(jìn)行。糾正措施的制定和實(shí)施程序如下：識(shí)別信息安全事件及不符合；確定信息安全事件及不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施要求；確定和實(shí)施所需的糾正措施；記錄所采取措施的結(jié)果；評(píng)審所采取的糾正措施。8.3預(yù)防措施本公司信息安全管理管控小組處理預(yù)防措施，潛在不符合事項(xiàng)的相關(guān)部門采取預(yù)防措施，以消除潛在與信息安全管理管控體系要求不符合或不期望事項(xiàng)發(fā)生的原因，防止其發(fā)生。所采取的預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的實(shí)施按《預(yù)防措施控制程序》進(jìn)行。預(yù)防措施的制定與實(shí)施程序要求如下：識(shí)別潛在的不符合及其原因；評(píng)價(jià)預(yù)防不符合發(fā)生的措施要求；確定并實(shí)施所需的預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)審所采取的預(yù)防措施。我公司信息安全管理管控小組定期組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求。預(yù)防措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來確定。

附錄1-組織概況佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司，為四川依米康環(huán)境科技XX（股票代碼：300249）控股的企業(yè)，是一家集動(dòng)力環(huán)境監(jiān)控、數(shù)據(jù)部基礎(chǔ)設(shè)施管理管控、物流監(jiān)控、醫(yī)療自動(dòng)化等信息系統(tǒng)的研究、咨詢、設(shè)計(jì)、開發(fā)、應(yīng)用、服務(wù)為一體的國家高新技術(shù)企業(yè)，在機(jī)房監(jiān)控、數(shù)據(jù)部智能化管理管控、物流監(jiān)管信息平臺(tái)、智能化卡口監(jiān)控、智能化手術(shù)室、節(jié)能等領(lǐng)域擁有多項(xiàng)軟硬件創(chuàng)新技術(shù)和系列自主知識(shí)產(chǎn)權(quán)產(chǎn)品。佛山三維以核心技術(shù)產(chǎn)品為基礎(chǔ)，為客戶提供優(yōu)異的技術(shù)解決合適的方案及優(yōu)質(zhì)的監(jiān)控和運(yùn)維服務(wù)。

佛山三維相關(guān)項(xiàng)目實(shí)施能力已通過ISO9001認(rèn)證。從2003年成立至今，已擁有5000余個(gè)成功案例，廣泛應(yīng)用于金融、保險(xiǎn)、通信、電力、醫(yī)院、學(xué)院、財(cái)稅、交通、廣電、機(jī)關(guān)事業(yè)單位等各個(gè)領(lǐng)域，具備幾百個(gè)相關(guān)項(xiàng)目同時(shí)實(shí)施的能力，贏得了客戶的普遍認(rèn)可和高度贊譽(yù)。附錄2-組織機(jī)構(gòu)圖公司組織架構(gòu):公司實(shí)行董事會(huì)領(lǐng)導(dǎo)下的總經(jīng)理(管理管控者代表)負(fù)責(zé)制,下設(shè)業(yè)務(wù)部、技術(shù)部、工程部、財(cái)務(wù)部、商務(wù)（培訓(xùn)部）等五大部門.二.組織架構(gòu)圖:公司部門職責(zé):1.商務(wù)部:制定并完善公司管理管控制度，并監(jiān)督落實(shí)。制定公司人力資源管理管控制度，負(fù)責(zé)公司的人力資源的規(guī)劃和管理管控。人員的招聘、考核與轉(zhuǎn)正。公司員工的培訓(xùn)。員工的薪酬、考勤與紀(jì)律。員工的檔案管理管控；負(fù)責(zé)建立和維護(hù)公司員工信息庫。員工福利、保險(xiǎn)的管理管控及辦理。負(fù)責(zé)公司文件資料的管理管控、歸檔、印刷、發(fā)放工作。負(fù)責(zé)公司后勤保障工作。負(fù)責(zé)管理管控公司合同合約。體系的管理管控評(píng)審，推動(dòng)內(nèi)部審核活動(dòng)。負(fù)責(zé)組織公司年度,月度工作會(huì)議，或不定期的部門協(xié)調(diào)溝通會(huì)，并對(duì)會(huì)議做出的決定進(jìn)行落實(shí)。對(duì)組織層的服務(wù)可用性、持續(xù)性、服務(wù)能力提供支持和資源保障。負(fù)責(zé)服務(wù)資源的統(tǒng)一規(guī)劃和配置。提供管理管控方面的信息和建議以改進(jìn)服務(wù)績(jī)效。服務(wù)回訪人員負(fù)責(zé)對(duì)所服務(wù)客戶進(jìn)行回訪，并對(duì)回訪的情況錄入到CRM管理管控系統(tǒng)。公司其它的行政管理管控及后勤保障工作，以及協(xié)調(diào)溝通公共關(guān)系等工作。2.財(cái)務(wù)部:負(fù)責(zé)公司的所有現(xiàn)金、銀行和財(cái)務(wù)帳目的管理管控.負(fù)責(zé)各部門成本相關(guān)項(xiàng)目、核算各部門預(yù)算完成情況;向上級(jí)財(cái)務(wù)主管部門、稅務(wù)部門、統(tǒng)計(jì)主管部門等提供財(cái)務(wù)報(bào)告、報(bào)表和統(tǒng)計(jì)報(bào)告，保持聯(lián)系并協(xié)調(diào)關(guān)系；負(fù)責(zé)公司記帳、算帳和報(bào)帳，出具內(nèi)部財(cái)務(wù)報(bào)告，進(jìn)行財(cái)務(wù)分析，提出財(cái)務(wù)建議;負(fù)責(zé)各部門預(yù)算與核算管理管控流程；根據(jù)公司中、長期管理管控經(jīng)營相關(guān)計(jì)劃，組織編制年度綜合財(cái)務(wù)相關(guān)計(jì)劃和控制標(biāo)準(zhǔn)，建立、健全財(cái)務(wù)管理管控體系;財(cái)務(wù)報(bào)表及財(cái)務(wù)預(yù)決算的編制工作，為公司決策提供及時(shí)有效的財(cái)務(wù)分析，保證財(cái)務(wù)信息對(duì)外披露的正常進(jìn)行，有效地監(jiān)督檢查財(cái)務(wù)制度、預(yù)算的執(zhí)行情況以及適當(dāng)及時(shí)的調(diào)整;對(duì)公司稅收進(jìn)行整體籌劃與管理管控，按時(shí)完成稅務(wù)申報(bào)以及年度審計(jì)工作;比較精確地監(jiān)控和預(yù)測(cè)現(xiàn)金流量，確定和監(jiān)控公司負(fù)債和資本的合理結(jié)構(gòu)，統(tǒng)籌管理管控和運(yùn)作公司資金并對(duì)其進(jìn)行有效的風(fēng)險(xiǎn)控制;對(duì)公司重大的投資、融資、并購等經(jīng)營活動(dòng)提供建議和決策支持，參與風(fēng)險(xiǎn)評(píng)估、指導(dǎo)、跟蹤和控制;與財(cái)政、稅務(wù)、銀行、證券等相關(guān)政府部門及會(huì)計(jì)師事務(wù)所等相關(guān)中介機(jī)構(gòu)建立并保持良好的關(guān)系。3.業(yè)務(wù)部:負(fù)責(zé)公司產(chǎn)品的銷售工作；重點(diǎn)負(fù)責(zé)企業(yè)客戶的開發(fā)及相關(guān)項(xiàng)目的跟蹤落實(shí);參與公司營銷策略的制訂；負(fù)責(zé)公司所有銷售產(chǎn)品的安裝調(diào)試及售后服務(wù);負(fù)責(zé)公司工程相關(guān)項(xiàng)目實(shí)施及售后服務(wù);負(fù)責(zé)跟蹤監(jiān)督售后服務(wù)情況,及時(shí)反饋客戶意見。4.工程部:負(fù)責(zé)公司產(chǎn)品的詢價(jià)和采購工作；負(fù)責(zé)公司商品的倉庫管理管控,做到進(jìn)出庫商品準(zhǔn)確無誤.與財(cái)務(wù)部一同進(jìn)行月度的庫存盤點(diǎn).參與公司營銷策略的制訂；負(fù)責(zé)跟蹤相關(guān)項(xiàng)目所采購商品的到貨情況；負(fù)責(zé)公司采購商品款的申請(qǐng)支付；負(fù)責(zé)合同合約評(píng)審管理管控；負(fù)責(zé)與上游供應(yīng)商的聯(lián)系溝通.5.技術(shù)部負(fù)責(zé)公司產(chǎn)品的設(shè)計(jì)、開發(fā)；負(fù)責(zé)公司開展業(yè)務(wù)的技術(shù)支持；參與公司技術(shù)發(fā)展規(guī)劃的制定負(fù)責(zé)解決產(chǎn)品的測(cè)試記錄并跟蹤客戶定制化開發(fā),及時(shí)通知客戶其請(qǐng)求的當(dāng)前狀況和最新進(jìn)展,并對(duì)客戶請(qǐng)求從提出直至驗(yàn)證和終止的整個(gè)過程進(jìn)行管理管控。附錄3-職能分配表部門要素高層管理管控/管理管控者代表信息安全小組商務(wù)部技術(shù)部工程部業(yè)務(wù)部財(cái)務(wù)部4.1總要求▲△△△△4.2.1建立ISMS▲▲△▲△△4.2.2實(shí)施和運(yùn)行ISMS▲▲▲△△4.2.3監(jiān)視和評(píng)審ISMS▲▲▲△△4.2.4保持和改進(jìn)ISMS▲▲▲△△4.3.1文件要求總則▲△△△△△4.3.2文件控制▲△△△△△4.3.3記錄控制▲△△△△△5.1管理管控職責(zé)管理管控承諾▲△△△△5.2.1資源管理管控資源提供▲△△△△△5.2.2培訓(xùn)，意識(shí)和能力▲△△△△6內(nèi)部ISMS審核▲△△△△7ISMS的管理管控評(píng)審▲△△△△△8ISMS改進(jìn)▲△△△△A.5安全方針▲△△△△A.6.1信息安全組織內(nèi)部組織▲△△△A.6.2外部各方▲△△△A.7資產(chǎn)管理管控▲△△A.7.1資產(chǎn)責(zé)任▲▲▲▲▲▲A.7.2信息分類▲△△A.8.1人力資源安全任用前▲△△A.8.2人力資源安全任用中▲△△A.8.3任用的終止或變化▲△A.9.1物理和環(huán)境安全安全區(qū)域▲△△△A.9.2設(shè)備安全▲△△△A.10.1通訊和操作管理管控操作程序和職責(zé)▲△△△A.10.2第三方服務(wù)交付管理管控▲△△△A.10.3系統(tǒng)規(guī)劃和驗(yàn)收▲△△△A.10.4防范惡意和移動(dòng)代碼