信息安全管理手冊(cè)

手冊(cè)控制

本手冊(cè)由我公司體系管理小組根據(jù)IS027001:2013《信息安全管理體系規(guī)范》要求，結(jié)

合我公司現(xiàn)狀和發(fā)展需求制定而成，并經(jīng)體系管理委員會(huì)審核，最終由最高管理者批準(zhǔn)頒布

開(kāi)始執(zhí)行的。

當(dāng)下列情況發(fā)生時(shí)，應(yīng)對(duì)木手冊(cè)進(jìn)行評(píng)審，必要時(shí)進(jìn)行修改。手冊(cè)修改時(shí)，同樣應(yīng)經(jīng)以

上權(quán)責(zé)人員審查、核準(zhǔn)后方可生效：

1）在管理體系運(yùn)行過(guò)程中發(fā)現(xiàn)手冊(cè)存在差錯(cuò)或條文要求不明時(shí)；

2）當(dāng)我公司組織結(jié)構(gòu)發(fā)生變化時(shí)；

3）當(dāng)我公司信息安全管理活動(dòng)發(fā)生重大變化時(shí)；

4）當(dāng)引用的1S027001標(biāo)準(zhǔn)版本修W時(shí);

5）管理評(píng)審對(duì)體系提出改進(jìn)要求時(shí)；

6）我公司高層領(lǐng)導(dǎo)認(rèn)為需要進(jìn)行修改時(shí)。

經(jīng)核準(zhǔn)后的手冊(cè)，依照《文件控制程序》進(jìn)行分發(fā)和使用控制。當(dāng)文件修改時(shí)，也按照

《文件控制程序》要求回收舊版文件、發(fā)行新文件。管理手冊(cè)允許進(jìn)行單頁(yè)版本修訂，修訂

時(shí)，應(yīng)在修W頁(yè)中注明修止情形。當(dāng)本手冊(cè)其中一頁(yè)修止次數(shù)超過(guò)10次時(shí)，則應(yīng)對(duì)手冊(cè)進(jìn)行

整本改版。

如需要對(duì)外發(fā)布本手冊(cè)，可依照相關(guān)規(guī)定進(jìn)行發(fā)布控制。

頒布令

為了加強(qiáng)技術(shù)管理并與國(guó)際標(biāo)準(zhǔn)接軌，按照IS027001：2013信息安全管理標(biāo)準(zhǔn)要求，并

結(jié)合我公司（以下簡(jiǎn)稱(chēng)“公司”）實(shí)際情況，編寫(xiě)了我公司的管理體系文件。

管理體系文件中的《信息安全管理手冊(cè)》是綱領(lǐng)性文件，《程序文件》是《信息安全管

理手冊(cè)》的支持性文件，作業(yè)指導(dǎo)書(shū)是《信息安全管理手冊(cè)》和《程序文件》的支持性文件。

管理體系文件是公司管理體系運(yùn)行所遵循的規(guī)則，是質(zhì)量/服務(wù)管理的依據(jù)，具有指令性、

政策性和制度性的效能。《信息安全管理手冊(cè)》同時(shí)還是公司對(duì)外做出的承諾。為此，要求

全公司人員自發(fā)布之日起認(rèn)真組織學(xué)習(xí)、試行，正式生效后必須嚴(yán)格貫徹執(zhí)行。

管理體系文件2021年1月30日發(fā)布，2021年1月30日起正式生效。

特此發(fā)布！

XX公司：

二0二一年一月三十日

任命書(shū)

為了確保公司按照ISO27OO1：2013國(guó)際標(biāo)準(zhǔn)建立、實(shí)施、完善信息安全管理體系，并將

信息安全管理體系納入公司管理體系，實(shí)現(xiàn)產(chǎn)品及服務(wù)質(zhì)量與效益相結(jié)合的持續(xù)發(fā)展目標(biāo)，

茲任命：我公司XX為信息安全管理體系負(fù)責(zé)人

管理體系負(fù)責(zé)人直接向公司負(fù)責(zé)人匯報(bào)，并在管理體系推進(jìn)過(guò)程中行使以下職責(zé)：

全面負(fù)責(zé)公司按照ISO27OO1：2013國(guó)際標(biāo)準(zhǔn)建立、實(shí)施管理體系，并確保管理體系持續(xù)

有效運(yùn)行；

在職責(zé)范圍內(nèi)保障建立、實(shí)施管理體系所必要的資源配置（包括人力、財(cái)力、物力等）,

并向公司負(fù)責(zé)人匯報(bào)管理體系運(yùn)行績(jī)效，為持續(xù)改進(jìn)提供依據(jù)：

全面負(fù)責(zé)處理管理體系中內(nèi)部、外部的信息傳遞與溝通，并負(fù)責(zé)處理質(zhì)量或服務(wù)事故。

本任命書(shū)自即日起生效。

特此任命！

XX公司：

二。二一年一月三十日

1.范圍

為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系，確定信息

安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管

理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。

本《信息安全管理體系手冊(cè)》采用了IS0/IEC2700l:2013標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄A

的刪減及理由詳見(jiàn)《信息安全適用性聲明》。

2.規(guī)范性引用文件

下列文件的全部或部分內(nèi)容在本文件中進(jìn)行了規(guī)范引用，對(duì)于其應(yīng)用是必不可少的。凡

是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版

本（包括任何修改）適用于本標(biāo)準(zhǔn)。

ISO/IEC27000,信息技術(shù)一安全技術(shù)一信息安全管理體系一概述和詞匯

3.術(shù)語(yǔ)和定義

IS0/IEC27000中的術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

4.組織環(huán)境

4.1理解組織及其環(huán)境

本公司依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，建立組織的外部和內(nèi)部環(huán)境，確定與其目

標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問(wèn)題，形成外部和內(nèi)部

問(wèn)題清單。

4.24.2理解相關(guān)方的需求和期望

本公司通過(guò)建立組織的外部和內(nèi)部環(huán)境確定如下內(nèi)容：

a）與信息安全管理體系有關(guān)的相關(guān)方；

b）這些相關(guān)方與信息安全有關(guān)的要求。

注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。

4.34.3確定信息安全管理體系的范圍

本公司充分考慮如下內(nèi)容：

a）在4.1中提及的外部和內(nèi)部問(wèn)題：

b）在4.2中提及的要求；

c）組織所執(zhí)行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴(lài)性。

確定信息安全管理體系的邊界和適用性，建立信息安全管理體系的范圍和邊界：

a）ISMS的范圍是：計(jì)算機(jī)信息系統(tǒng)集成、應(yīng)用軟件開(kāi)發(fā)

b）ISMS的邊界是：

4.44.4信息安全管理體系

公司依據(jù)ISO/IEC27091:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》建立、

實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系。

5.領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

高層管理者應(yīng)通過(guò)下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：

a）確保建立信息安全方針和信息安全目標(biāo)，并與組織的戰(zhàn)略方向保持一致；

b）確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過(guò)程中；

c）確保信息安全管理體系所需資源可用；

d）傳達(dá)信息安全管理有效實(shí)施、符合信息安全管理體系要求的重要性；

e）確保信息安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；

f）指揮并支持人員為信息安全管理體系的有效實(shí)施作出貢獻(xiàn)；

g）促進(jìn)持續(xù)改進(jìn)；

h）支持其他相關(guān)管理角色在其職貴范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。

5.2方針

為了滿(mǎn)足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持

續(xù)發(fā)展，公司高層管理者建立信息安全方針：

提供滿(mǎn)足客戶(hù)要求的服務(wù)。

信息安全方針滿(mǎn)足以下要求：

a）適于組織的目標(biāo)；

b）包含信息安全目標(biāo)（見(jiàn)6.2）或設(shè)置信息安全目標(biāo)提供框架；

c）包含滿(mǎn)足適用的信息安全相關(guān)要求的承諾；

d）包含信息安全管理體系持續(xù)改進(jìn)的承諾。

公司文件化信息安全方針，保持可用性，并在組織內(nèi)部進(jìn)行傳達(dá)，適當(dāng)時(shí)，對(duì)相關(guān)方可

用O

5.3組織角色、職責(zé)和權(quán)限

高層管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。

高層管理者應(yīng)分配下列職責(zé)和權(quán)限：

a）確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求；

b）將信息安全管理體系的績(jī)效報(bào)告給高層管理者。

注：高層管理者可能還要分配在組織內(nèi)部報(bào)告信息安全管理體系績(jī)效的職責(zé)和權(quán)限。

5.3.1信息安全組織機(jī)構(gòu)

本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)一一信息安全管理小組的職責(zé)是實(shí)現(xiàn)信息安全管理體系

方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)；審定公司信息

安全方針、目標(biāo)、工作計(jì)劃和重要文件；為信息安全工作的有序推進(jìn)和信息安全管理體系的

有效運(yùn)行提供必要的資源。

本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息

安全工作計(jì)劃，對(duì)單位、部門(mén)信息安全工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安

全管理體系，保持其有效、持續(xù)運(yùn)行。

本公司采取相關(guān)部門(mén)代表組成的協(xié)調(diào)會(huì)的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，履行“5.1

領(lǐng)導(dǎo)和承諾”中的相關(guān)職責(zé)。

信息安全小組由公司負(fù)責(zé)人、市場(chǎng)部、采購(gòu)中心、研發(fā)中心、交付中心、運(yùn)維中心、綜

合管理部、財(cái)務(wù)部總監(jiān)組成。

5.3.2信息安全職責(zé)和權(quán)限

本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理者代表，無(wú)論信息安全

管理者代表其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：

建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；

對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全管理小組或最高責(zé)任者

報(bào)告。

各部門(mén)負(fù)責(zé)人為本部門(mén)信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺(jué)履行

信息安全保密義務(wù)。

各部門(mén)、人員有關(guān)信息安全職責(zé)分配見(jiàn)《附錄3-信息安全職能分配表》和相應(yīng)的程序文

件（管理標(biāo)準(zhǔn)）、規(guī)定及崗位說(shuō)明書(shū)。

6.規(guī)劃

6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

6.1.1總則

當(dāng)規(guī)劃信息安全管理體系時(shí)，公司應(yīng)考慮4.1中提及的問(wèn)題和4.2中提及的要求，確定需

要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)，以：

a）確保信息安全管理體系能實(shí)現(xiàn)其預(yù)期結(jié)果；

b）防止或減少意外的影響；

c）實(shí)現(xiàn)持續(xù)改進(jìn)。

公司應(yīng)規(guī)劃：

d）應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施;

e）如何

1）整合和實(shí)施這些措施并將其納入信息安全管理體系過(guò)程；

2）評(píng)價(jià)這些措施的有效性。

6.1.2信息安全風(fēng)險(xiǎn)評(píng)估

公司通過(guò)建立公司外部和內(nèi)部環(huán)境，制定《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，定義并應(yīng)用

風(fēng)險(xiǎn)評(píng)估過(guò)程。信息安全管理小組建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息

安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。按

信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法

應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。

6.1.2.1建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則

建立并保持信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括

1）風(fēng)險(xiǎn)接受準(zhǔn)則；

2）執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；

定義風(fēng)險(xiǎn)評(píng)估的方法，確保重復(fù)性的信息安全風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的、有效的和可比較

的結(jié)果。

6.1.2.2識(shí)別信息安全風(fēng)險(xiǎn)

由信息安全管理小組組建風(fēng)險(xiǎn)評(píng)估小組，風(fēng)險(xiǎn)評(píng)估小組應(yīng)：

1）應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程來(lái)識(shí)別信息安全管理體系范圍內(nèi)的信息喪失保密性、完

整性和可用性的相關(guān)風(fēng)險(xiǎn)；

2）識(shí)別風(fēng)險(xiǎn)負(fù)責(zé)人；

通過(guò)風(fēng)險(xiǎn)識(shí)別，形成信息安全風(fēng)險(xiǎn)清單。

6.1.2.3分析信息安全風(fēng)險(xiǎn)：

1）評(píng)估6.1.2.2中所識(shí)別風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響；

2）評(píng)估6.1.2.2中所識(shí)別風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性;

3）確定風(fēng)險(xiǎn)級(jí)別;

6.1.2.4評(píng)價(jià)信息安全風(fēng)險(xiǎn)；

1）將風(fēng)險(xiǎn)分析結(jié)果同6.1.2.1建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；

2）為實(shí)施風(fēng)險(xiǎn)處置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。

公司應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文件記錄信息。

6.1.3信息安全風(fēng)險(xiǎn)處置

公司定義并應(yīng)用信息安全風(fēng)險(xiǎn)處置過(guò)程，以：

a）在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩L(fēng)險(xiǎn)處置選項(xiàng)；

b）為實(shí)施所選擇的信息安全風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施；

注：組織可按要求設(shè)計(jì)控制措施，或從其他來(lái)源識(shí)別控制措施。

c）將6.1.3b）所確定的控制措施與附錄A的控制措施進(jìn)行比較，以核實(shí)沒(méi)有遺漏必要

的控制措施；

注1：附錄A包含了一份全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶(hù)可利月附錄A以

確保不會(huì)遺漏必要的控制措施。

注2：控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所

有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施。

d）產(chǎn)生《信息安全適用性聲明》。適用性聲明要包含必要的控制措施（見(jiàn)6.1.3b）和c）、

對(duì)包含的合理性說(shuō)明（無(wú)論是否已實(shí)施）以及對(duì)附錄A控制措施刪減的合理性說(shuō)明；

0）制定信息安全風(fēng)險(xiǎn)處置計(jì)劃；

f）獲得風(fēng)險(xiǎn)負(fù)責(zé)人對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃以及接受信息安全殘余風(fēng)險(xiǎn)的批準(zhǔn)。

6.2信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)

公司在相關(guān)職能和層次上建立信息安全目標(biāo)。

信息安全目標(biāo)應(yīng)：

a）與信息安全方針一致;

b）可測(cè)量（如可行）；

c）考慮適用的信息安全要求以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；

d）被傳達(dá)；

e）適當(dāng)時(shí)進(jìn)行更新。

公司信息安全目標(biāo)見(jiàn)《信息安全目標(biāo)》：

公司建立《信息安全目標(biāo)B4》，明確管理和測(cè)量信息安全目標(biāo)的職責(zé)，明確測(cè)量的內(nèi)容

和頻率要求，并對(duì)測(cè)量的結(jié)果進(jìn)行評(píng)價(jià)，識(shí)別改進(jìn)的機(jī)會(huì)。

7.支持

7.1資源

公司確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源，包括資金、

人力、設(shè)施和技術(shù)等資源。

7.2能力

信息安全管理小組制定并實(shí)施《人力資源管理程序》文件，確保被分配信息安全管理體

系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^(guò)：

a）確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力；

b）確保人員在適當(dāng)教育，培訓(xùn)和經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任工作；

c）適用時(shí)，采取措施來(lái)獲得必要的能力，并評(píng)價(jià)所采取措施的有效性：

d）保留適當(dāng)?shù)奈募涗浶畔⒆鳛槟芰Ψ矫娴淖C據(jù)。

注：例如適當(dāng)措施可能包括為現(xiàn)有員工提供培訓(xùn)、對(duì)其進(jìn)行指導(dǎo)或重新分配工作；雇用

或簽約有能力的人員。

7.3意識(shí)

公司通過(guò)教育、培訓(xùn)等手段，使員工在組織的控制下從事其工作時(shí)應(yīng)意識(shí)到：

a）信息安全方針;

b）他們對(duì)有效實(shí)施信息安全管理體系的貢獻(xiàn)，包括信息安全績(jī)效改進(jìn)后的益處；

C）不符合信息安全管理體系要求可能的影響。

7.4溝通

公司確定有關(guān)信息安全管理體系在內(nèi)部和外部進(jìn)行溝通的需求，明確以下內(nèi)容：

a）什么需要溝通；

b）什么時(shí)候溝通；

C）跟誰(shuí)進(jìn)行溝通；

d）由誰(shuí)負(fù)責(zé)溝通；

e）影響溝通的過(guò)程。

7.5文件化信息

7.5.1總則

公司制定《文件控制程序》和《記錄控制程序》對(duì)文件化信息進(jìn)行控制，公司的信息安

全管理體系應(yīng)包括：

a）本標(biāo)準(zhǔn)要求的文件化信息；

b）組織為有效實(shí)施信息安全管理體系確定的必要的文件化信息。

7.5.2創(chuàng)建和更新

創(chuàng)建和更新文件化信息時(shí)，應(yīng)確保適當(dāng)?shù)模?/p>

a）標(biāo)識(shí)和描述（例如：標(biāo)題、日期、作者或參考編號(hào)）；

b）格式（例如：語(yǔ)言，軟件版本，圖表）和介質(zhì)（例如：紙質(zhì)介質(zhì)，電子介質(zhì)）；

c）評(píng)審和批準(zhǔn)其適用性和充分性。

7.5.3文件記錄信息的控制

信息安全管理體系和本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制，以確保：

a）無(wú)論何時(shí)何地需要，它都是可用并適合使用的;

b）它被充分保護(hù)（例如避免喪失保密性、使用不當(dāng)或喪失完整性）

對(duì)于文件化信息的控制，適用時(shí)，組織應(yīng)處理下列問(wèn)題：

C）分發(fā)、訪問(wèn)、檢索和使用：

d）存儲(chǔ)和保存，包括可讀性的保持：

e）變更控制（例如版本控制〉；

f）保留和處置。

組織為規(guī)劃和實(shí)施信息安全管理體系確定的必要的外部原始文件記錄信息，適當(dāng)時(shí)應(yīng)予

以識(shí)別并進(jìn)行控制。訪問(wèn)隱含一個(gè)權(quán)限決策：僅能查看文件記錄信息，或有權(quán)去查看和變更

文件記錄信息等。

8.運(yùn)行

8.1運(yùn)行的規(guī)劃和控制

公司應(yīng)規(guī)劃、實(shí)施和控制滿(mǎn)足信息安全要求所需的過(guò)程，并實(shí)施6.1中確定的措施（詳

見(jiàn)《信息安全適用性聲明》）。組織還應(yīng)實(shí)施這些規(guī)劃來(lái)實(shí)現(xiàn)6.2中所確定的信息安全目標(biāo)。

公司應(yīng)控制計(jì)劃了的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)采取措施減緩負(fù)面影響。

組織應(yīng)確保外包的過(guò)程已確定，并處于可控狀態(tài)。

8.2信息安全風(fēng)險(xiǎn)評(píng)估

公司依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《糾正和預(yù)防措施控制流程》及6.1.2中建立

的風(fēng)險(xiǎn)評(píng)估執(zhí)行準(zhǔn)則，每年定期執(zhí)行一次信息安全風(fēng)險(xiǎn)評(píng)估，當(dāng)重大變更被提出或發(fā)生時(shí)，

應(yīng)不定期執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。

組織應(yīng)保留信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的文件記錄信息。

8.3信息安全風(fēng)險(xiǎn)處置

公司應(yīng)實(shí)施6.1.2中制定的信息安全風(fēng)險(xiǎn)處置計(jì)劃，并執(zhí)行變更了的處置計(jì)劃，

組織應(yīng)保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件記錄信息。

9.績(jī)效評(píng)價(jià)

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)

公司建立《信息安全目標(biāo)》，定義測(cè)量和評(píng)價(jià)的方法，明確相關(guān)職責(zé)，定期評(píng)價(jià)信息安

全績(jī)效和信息安全管理體系的有效性。滿(mǎn)足以下要求：

a）什么需要監(jiān)視和測(cè)量，包括信息安全過(guò)程和控制措施；

b）監(jiān)視、測(cè)量、分析和評(píng)價(jià)的方法，適用時(shí)，確保結(jié)果有效；

c）什么時(shí)候應(yīng)執(zhí)行監(jiān)視和測(cè)量；

d）誰(shuí)應(yīng)實(shí)施監(jiān)視和測(cè)量；

e）什么時(shí)候應(yīng)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)；

f）誰(shuí)應(yīng)分析和評(píng)價(jià)這些結(jié)果。

組織應(yīng)保留適當(dāng)?shù)奈募涗浶畔⒆鳛楸O(jiān)視和測(cè)量結(jié)果的證據(jù)。

9.2內(nèi)部審核

公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實(shí)施信息安全管理體系內(nèi)

部審核以及報(bào)告結(jié)果和保持記錄。

公司每年進(jìn)行一次內(nèi)部審核，以提供信息確定信息安全管理體系是否：

a）符合

1）組織自身信息安全管理體系的要求；

2）本標(biāo)準(zhǔn)的要求；

b）得到有效的實(shí)施和保持。

公司應(yīng)按《內(nèi)部審核管理程序》執(zhí)行如下活動(dòng)：

c）規(guī)劃、建立、實(shí)施和保持審核方案，包括頻次、方法、職責(zé)、計(jì)劃要求和報(bào)告。審

核方案應(yīng)考慮所關(guān)注過(guò)程的重要性以及以往審核的結(jié)果；

d）為每次審核定義審核準(zhǔn)則和審核范圍；

e）審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性;

f）確保審核結(jié)果報(bào)告給相關(guān)的管理者;

g）保留文件記錄信息作為審核方案和審核結(jié)果的證據(jù)。

9.3管理評(píng)審

綜合管理部應(yīng)每半年組織進(jìn)行一次管理評(píng)審并召開(kāi)安全會(huì)議，以確保信息安全管理體系

持續(xù)的