運(yùn)維實(shí)例文件-信息安全管理程序9

ITSS服務(wù)管理體系文件

信息安全管理程序

修改記錄

修改時(shí)間版本修改內(nèi)容簡(jiǎn)述修改人審核人

目錄

信息安全管理手冊(cè)...................................................3

1范圍................................................................3

2規(guī)范性引用文件.....................................................4

3術(shù)語和定義..........................................................4

3.1本公司...........................................................4

3.2信息系統(tǒng).........................................................4

3.3計(jì)算機(jī)病毒.......................................................4

3.4信息安全事件.....................................................4

3.5相關(guān)方...........................................................4

4組織環(huán)境............................................................4

4.1理解組織及其環(huán)境.................................................4

4.2理解相關(guān)方的需求和期望...........................................5

4.3確定信息安全管理體系的范圍.......................................5

4.4信息安全管理體系................................................5

5領(lǐng)導(dǎo)................................................................7

5.1領(lǐng)導(dǎo)和承諾......................................................7

5.2方針............................................................8

5.3組織角色、職責(zé)和權(quán)限............................................10

6規(guī)劃...............................................................11

6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施...........................................11

6.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃..........................................12

7支持...............................................................12

7.1資源............................................................12

7.2能力............................................................12

7.3意識(shí)............................................................13

7.4溝通............................................................13

7.5文件化信息......................................................13

8運(yùn)行...............................................................14

8.1運(yùn)行規(guī)劃和控制..................................................14

8.2信息安全風(fēng)險(xiǎn)評(píng)估...............................................15

8.3信息安全風(fēng)險(xiǎn)處置...............................................15

9績(jī)效評(píng)價(jià)...........................................................15

10改進(jìn)................................................................17

10.1.1不符合和糾正措施..............................................17

10.1.2持續(xù)改進(jìn)......................................................17

附錄A：信息安全管理組織結(jié)構(gòu)圖......................錯(cuò)誤!未定義書簽。

附錄B：信息安全職責(zé)分配表..........................錯(cuò)誤味定義書簽。

附錄C：信息安全管理職責(zé)表..........................................0

附錄D：信息安全管理程序文件清單....................錯(cuò)誤味定義書簽。

信息安全管理手冊(cè)

1范圍

從組織環(huán)境的角度考慮，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保

持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱ISMS）,確定信息安全方

針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照

執(zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性,

特制定本手冊(cè)。

本信息安全管理手冊(cè)從組織環(huán)境的角度規(guī)定了A公司信息安全管

理體系要求、管理職責(zé)、內(nèi)部審核、管理評(píng)審和信息安全管理體系改

進(jìn)等方面內(nèi)容。

本信息安全管理手冊(cè)適用于：與企業(yè)應(yīng)用管理軟件開發(fā)相關(guān)的信

息安全管理活動(dòng)。本信息安全管理手冊(cè)采用了IS027001:2013標(biāo)準(zhǔn)正

文的全部?jī)?nèi)容，其中對(duì)標(biāo)準(zhǔn)規(guī)范附錄A的刪減見《適用性聲明SOA》。

2規(guī)范性引用文件

下列文件中的條款通過本《信息安全管理手冊(cè)》的引用而成為本《信息安全

管理手冊(cè)》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單或修訂版均

不適用于本標(biāo)準(zhǔn)，然而，相關(guān)部門應(yīng)研究是否可使用這些文件的最新版本。凡是

不注日期的引用文件、其最新版本適用于本信息安全管理手冊(cè)。

ISO/TEC27000《信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯》

IS0/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》

IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》

3術(shù)語和定義

ISO/IEC27000《信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯》

中規(guī)定的術(shù)語和定義適用于本《信息安全管理手冊(cè)》0

3.1本公司

指A公司。

3.2信息系統(tǒng)

指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定

的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

3.3計(jì)算機(jī)病毒

指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算

機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

3.4信息安全事件

指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信

息系統(tǒng)從事的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系

統(tǒng)的破壞竊密事件。

3.5相關(guān)方

關(guān)注本公司信息安全或與本公司信息安全績(jī)效有利益關(guān)系的組織和個(gè)人。主

要為：政府、上級(jí)部門、供方、用戶等。

4組織環(huán)境

4.1理解組織及其環(huán)境

組織應(yīng)確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力

的外部和內(nèi)部問題

注：確定這些問題涉及到建立組織的外部和內(nèi)部環(huán)境。

4.2理解相關(guān)方的需求和期望

組織應(yīng)確定：

與信息安全管理體系有關(guān)的相關(guān)方；

這些相關(guān)方與信息安全有關(guān)的要求。

注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。

4.3確定信息安全管理體系的范圍

本公司根據(jù)組織環(huán)境、內(nèi)外部面臨的問題、相關(guān)方的需求和期望、組織所執(zhí)

行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴性定義了信息安全管理

體系的邊界和適用性，本公司信息安全管理體系的范圍包括：

a）與環(huán)境監(jiān)控軟件（開發(fā)）相關(guān)的信息安全管理活動(dòng)

b）與所述活動(dòng)相關(guān)的信息系統(tǒng)；

c）與所述活動(dòng)相關(guān)的各部門（包括人力行政部、市場(chǎng)部，技術(shù)部）的所有

員工；

d）所述活動(dòng)、系統(tǒng)及支特性系統(tǒng)包含的全部信息資產(chǎn)（不在體系覆蓋范圍

內(nèi)的相關(guān)部門，以公司內(nèi)部相關(guān)方形式出現(xiàn)）。

組織范圍：

本公司信息安全管理體系適用的組織范圍，見附錄A（規(guī)范性附錄）《組織

機(jī)構(gòu)圖》。

物理范圍：

本公司信息安全管理體系的物理范圍安全邊界詳見附錄B（規(guī)范性附錄）《辦

公區(qū)域平面圖》。

4.4信息安全管理體系

本公司在日常經(jīng)營管理活動(dòng)中，按ISO/IEC27001:2013《信息技術(shù)-安全技

術(shù)-信息安全管理體系-要求》規(guī)定，建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理

體系。

信息安全管理體系使用的過程基于圖1所示的PDCA模型。

本公司信息安全管理體系文件包括:

a）文件化的信息安全方針、控制目標(biāo)，在《信息安全管理手冊(cè)》中描述；

b）《信息安全管理手冊(cè)》（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）；

c）本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》、《業(yè)務(wù)持續(xù)性管

理程序》、《糾正預(yù)防措施管理程序》等支持性程序；

d）信息安全管理體系引用的支持性程序。如：《文件管理程序》、《記錄

管理程序》、《內(nèi)部審核管理程序》等；

e）為確保有效策劃、運(yùn)作和控制信息安全過程所制定的義件化操作程序；

f）《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理計(jì)劃》以及信息安全管理體系要求的記錄

類文件；

g）相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；

h）適用性聲明（SOA）o

4.4.2文件控制

人力行政部組織制定并實(shí)施《文件管理程序》，對(duì)信息安全管理體系所要求

的文件進(jìn)行管理。對(duì)《信息安全管理手冊(cè)》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書

和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、

批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使

用場(chǎng)所能夠及時(shí)獲得適用文件的有效版木。

文件控制應(yīng)保證：

a）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；

b）當(dāng)文件實(shí)施更改時(shí)，對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；

c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；

d）確保在使用時(shí)，可獲得相關(guān)文件的最新版本；

e）確保文件保持清晰、易于識(shí)別；

f）確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、

存儲(chǔ)和最終的銷毀；

g）確保外來文件（指與公司經(jīng)營有關(guān)的一切外部文件）得到識(shí)別；

h）確保文件的分發(fā)得到控制；

i）防止作廢文件的非預(yù)期使用；

j）若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。

4.4.3記錄控制

信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。人

力行政部負(fù)責(zé)組織制定并維持易讀、易識(shí)別、可方便檢索又考慮法律、法規(guī)要求

的《記錄管理程序》，規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。

信息安全管理體系的記錄應(yīng)包括本手冊(cè)第4.2條中所列出的所有過程的結(jié)

果及與ISMS相關(guān)的安全事件（事故）的記錄。

各部門應(yīng)根據(jù)《記錄管理程序》的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩?/p>

錄。

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

高層管理者應(yīng)通過以下方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾:

a）建立信息安全方針和信息安全目標(biāo)（見本手冊(cè)第04章）；

b）確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過程中；

c）確保信息安全管理體系所需資源可用（見本手冊(cè)第7.1章）；

d）傳達(dá)信息安全管理有效實(shí)施、符合信息安全管理體系要求的重要性；

e）確保信息安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；

f）指揮并支持人員為信息安全管理體系的有效實(shí)施做出貢獻(xiàn)；

g）促進(jìn)持續(xù)改進(jìn)；

h）支持其他相關(guān)角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。

5.2方針

為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和

客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信

息安全目標(biāo)。

信息安全管理方針：

顧客至上，安全第一；科學(xué)預(yù)防，全員參與；遵守法規(guī)，持續(xù)改進(jìn)

本公司信息安全管理策略包括內(nèi)容如下：

一、信息安全管理機(jī)制

公司采用系統(tǒng)的方法，按照ISO/IEC27001:2013建立信息安全管理體系，

全面保護(hù)本公司的信息安全。

二、信息安全管理組織

1.公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信

息安全要求，提供信息安全資源。

2.公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理

體系，保證信息安全管理體系的持續(xù)適宜性和有效性。

3.在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會(huì)，保證信息安

全管理體系的有效運(yùn)行。

4.與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安

全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。

三、人員安全

1.信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職

責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定

特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。

2.對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)。

3.定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)，以

提高安全意識(shí)。

4.全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全

措施。

四、識(shí)別法律、法規(guī)、合同中的安全

及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施,

保證滿足安全要求。

五、風(fēng)險(xiǎn)評(píng)估

1.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，

確定風(fēng)險(xiǎn)接受準(zhǔn)則。

2.采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變

化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。

3.應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

六、報(bào)告安全事件

1.公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。

2.全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)

信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。

3.接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處

理，并向報(bào)告人員反饋處理結(jié)果。

七、監(jiān)督檢查

定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、

內(nèi)部審核、管理評(píng)審等。

每年管理評(píng)審或發(fā)生重大變化時(shí)對(duì)信息安全方針的持續(xù)適宜性、充分性和有

效性進(jìn)行評(píng)價(jià)，必要時(shí)進(jìn)行修訂。

八、業(yè)務(wù)持續(xù)性

1.公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷

造成的影響，防止關(guān)鍵業(yè)務(wù)過:程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確

保能夠及時(shí)恢復(fù)。

2.定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。

九、違反信息安全要求的懲罰

對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。

信息安全目標(biāo)如下：

公司總體重大信息安全事件（事故）為零，各部門信息安全目標(biāo)如下:

需達(dá)

部

目標(biāo)要的資負(fù)責(zé)人到時(shí)評(píng)價(jià)方法

門

源間

每個(gè)季度收集相

技軟件數(shù)據(jù)，技術(shù)

部門經(jīng)關(guān)的安全事件并匯總，

術(shù)資料泄露或遺失類無個(gè)季

理與目標(biāo)比較看是否達(dá)

部安全事件為零度

到目標(biāo)

每個(gè)季度收集相

人人力資源泄密關(guān)的安全事件并匯總，

無部門經(jīng)理個(gè)季

力安全事件為零與目標(biāo)比較看是否達(dá)

度

行到目標(biāo)

政各類信息設(shè)施每個(gè)季度計(jì)算可

部門經(jīng)

部的可用性達(dá)到90%以無個(gè)季用性，與目標(biāo)比較看是

理

I-.度否達(dá)到目標(biāo)

客戶數(shù)據(jù)泄露、

部門經(jīng)每個(gè)季度收集相

遺失類安全事件為無個(gè)季

市理關(guān)的安全事件并匯總

零。度

場(chǎng)

每年收集客戶投

部每年客戶投訴部門經(jīng)年

無訴數(shù)據(jù)并匯總，與目標(biāo)

不得多于3次理末

比較看是否達(dá)到目標(biāo)

5.3組織角色、職責(zé)和權(quán)限

本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定了信息安全管理者代表。

無論信息安全管理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé):

a）建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；

b）對(duì)信息安全管理體系的運(yùn)行情況向總經(jīng)理報(bào)告。

c）對(duì)各部門的信息安全管理體系的運(yùn)行情況在公司內(nèi)部進(jìn)行通告。

各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按信息安全管理

體系的要求自覺履行信息安全義務(wù)；

各部門、人員有關(guān)信息安全職責(zé)分配見附錄C（規(guī)范性附錄）《信息安全管

理職責(zé)明細(xì)表》和相應(yīng)的程序文件。

6規(guī)劃

6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

6.L1總則

當(dāng)規(guī)劃信息安全管理體系時(shí)，要考慮公司面臨的內(nèi)外部問題、相關(guān)方的要求

和期望，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)會(huì)。

a）確保信息安全管理體系能實(shí)現(xiàn)其預(yù)期效果；

b）防止或減少意外的影響；

c）實(shí)現(xiàn)持續(xù)改進(jìn)。

組織應(yīng)規(guī)劃：

d）應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施；

e）如何

1）整合和實(shí)施這些措施并將其納入信息安全管理體系過程；

2）評(píng)價(jià)這些措施的有效性。

6.1.2信息安全風(fēng)險(xiǎn)評(píng)估

相關(guān)部門負(fù)責(zé)組織制定《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》，建立識(shí)別適

用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估

方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并設(shè)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)《信

息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)

險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。

1）識(shí)別風(fēng)險(xiǎn)

在己確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)

管理程序》識(shí)別與信息保密性、完整性和可用性損失有關(guān)的風(fēng)險(xiǎn)，并確定每個(gè)風(fēng)

險(xiǎn)的負(fù)責(zé)人。

2）分析和評(píng)價(jià)風(fēng)險(xiǎn)

本公司按《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》規(guī)定，分析風(fēng)險(xiǎn)發(fā)生的可能

性和可能導(dǎo)致的潛在后果，并計(jì)算風(fēng)險(xiǎn)等級(jí)。根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可

接受或需要處理。

6.1.3信息安全風(fēng)險(xiǎn)處置

組織相關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)風(fēng)險(xiǎn)進(jìn)行處置，確定風(fēng)險(xiǎn)控制措施。

對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇?/p>

施：

a）控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；

b）接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零，但可控制到可接受范圍內(nèi)）；

c）避免風(fēng)險(xiǎn)（如物理隔離）；

d）轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）C

控制措施的選擇原則來源于IS027001:2013《信息技術(shù)-安全技術(shù)-信息安全

管理體系-要求》附錄A。本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外

的其他控制措施。對(duì)風(fēng)險(xiǎn)處置計(jì)劃要得到風(fēng)險(xiǎn)負(fù)責(zé)人的批準(zhǔn)，風(fēng)險(xiǎn)處置后的剩余

風(fēng)險(xiǎn)，也要得到風(fēng)險(xiǎn)責(zé)任人的批準(zhǔn)。

相關(guān)部門負(fù)責(zé)組織編制《信息安全適用性聲明》（SOA）o該聲明包括以下

方面的內(nèi)容：

a）所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；

b）對(duì)1SO27OO1:2O13附錄A中未選用的控制目標(biāo)及控制措施理由的說明。

6.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃

公司在相關(guān)職能和層次上建立了與信息安全方針保持一致的信息安全目標(biāo)，

并在全公司發(fā)布，參見信息安全方針目標(biāo)文件。

7支持

7.1資源

本公司確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需資源。

7.2能力

公司相關(guān)部門組織制定并實(shí)施《人力資源管理程序》文件，達(dá)到以下要求:

a）確定在組織控制下從事會(huì)影響組織信息安全績(jī)效的工作人員的必要

能力；

b）確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作;

c）適用時(shí)，采取措瓶以獲得必要的能力，并評(píng)估所采取措施的有效性；

d）保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。

注：適用的措施可包括，例如針對(duì)現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配；雇

傭或簽約有能力的人員。

7.3意識(shí)

公司通過培訓(xùn)、教訓(xùn)等措施，保證工作人員了解：

a）信息安全方針；

b）其對(duì)信息安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)信息安全績(jī)效帶來

的益處；

c）不符合信息安全管理體系要求帶來的影響。

7.4溝通

公司制定了信息安全溝通管理程序，明確了信息安全管理體系相關(guān)的內(nèi)部和

外部的溝通需求，包括：

a）溝通內(nèi)容；

b）溝通時(shí)間；

c）溝通對(duì)象；

d）誰應(yīng)負(fù)責(zé)溝通；

e）影響溝通的過程。

7.5文件化信息

7.5.1總則

本公司信息安全管理體系文件包括：

a）文件化的信息安全方針目標(biāo)；

b）《信息安全管理手冊(cè)》（本手冊(cè)，包括信息安全適用范闈及引用的標(biāo)準(zhǔn)）：

c）本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》、《業(yè)務(wù)持續(xù)性管

理程序》、《糾正預(yù)防措施管理程序》等支持性程序；

d）信息安全管理體系引用的支持性程序。如：《文件管理程序》、《記錄

管理程序》、《內(nèi)部審核管理程序》等；

e）為確保有效策劃、運(yùn)作和控制信息安全過程所制定的文件化操作程序；

f）《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理計(jì)劃》以及信息安全管理體系要求的記錄

類文件；

g）相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn);

h）適用性聲明（SOA）o

7.5.2創(chuàng)建和更新

公司相關(guān)部門制定并實(shí)施《文件管理程序》，創(chuàng)建和更新文件化信息時(shí)，應(yīng)

確保適當(dāng)?shù)模?/p>

a）標(biāo)識(shí)和描述（例如標(biāo)題、日期、作者或編號(hào)）；

b）格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)、電子介質(zhì)）；

c）對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。

7.5.3文件化信息的控制

公司相關(guān)部門制定并實(shí)施《文件管理程序》，對(duì)信息安全管理體系所要求的

文件進(jìn)行控制。對(duì)《信息安全管理手冊(cè)》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和

為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、

批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使

用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。

文件化信息控制應(yīng)確保：

a）在需要的地點(diǎn)和時(shí)間，是可用和適宜的；

b）得到充分的保護(hù)（如避免保密性損失、不恰當(dāng)使生、完整性損失等）。

為控制文件化信息，適用時(shí)，組織應(yīng)開展以下活動(dòng)：

c）分發(fā)，訪問，檢索和使用；

d）存儲(chǔ)和保護(hù)，包括保持可讀性；

e）控制變更（例如版本控制）；

f）保留和處置。

組織確定的為規(guī)劃和運(yùn)行信息安全管理體系所必需的外來的文件化信息，應(yīng)

得到適當(dāng)?shù)淖R(shí)別，并予以控制。

注：訪問隱含著允許僅瀏覽文件化信息，或允許和授權(quán)瀏覽及更改文件化信

息等決定。

8運(yùn)行

8.1運(yùn)行規(guī)劃和控制

公司應(yīng)針對(duì)滿足信息安全要求及實(shí)施確定的控制措施制定相關(guān)的程序和規(guī)

章制度，所需的過程予以規(guī)劃、實(shí)施和控制。組織也應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)6.2中確

定的信息安全目標(biāo)。

公司應(yīng)詳細(xì)記錄信息安全管理體系運(yùn)行過程中的各種信息數(shù)據(jù)，以確保信息

安全管理體系是否正在按照計(jì)劃有效運(yùn)行。

當(dāng)公司信息安全方針、目標(biāo)、工作計(jì)劃和程序、控制措施等發(fā)生變更時(shí)，應(yīng)

進(jìn)行管理。計(jì)劃的變更要按照計(jì)劃進(jìn)行控制；非預(yù)期的變更要評(píng)審變更的影響,

確保變更沒有負(fù)面的影響，必要時(shí)采取措施減輕負(fù)面影響.

公司目前沒有外包過程。

8.2信息安全風(fēng)險(xiǎn)評(píng)估

相關(guān)部門按照6.1.2章的風(fēng)險(xiǎn)接受準(zhǔn)則和風(fēng)險(xiǎn)評(píng)估方法，每年至少進(jìn)行一次

風(fēng)險(xiǎn)評(píng)估，并產(chǎn)出風(fēng)險(xiǎn)評(píng)估報(bào)告。當(dāng)重大變更提出或發(fā)生時(shí)，也需要執(zhí)行信息安

全風(fēng)險(xiǎn)評(píng)估。

8.3信息安全風(fēng)險(xiǎn)處置

相關(guān)部門按照6.1.3章的信息安全風(fēng)險(xiǎn)處置計(jì)劃進(jìn)行實(shí)施，并按照風(fēng)險(xiǎn)接受

準(zhǔn)則評(píng)價(jià)實(shí)施效果，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)，得到風(fēng)險(xiǎn)負(fù)責(zé)人的批準(zhǔn)。

9績(jī)效評(píng)價(jià)

本公司通過實(shí)施不定期安全檢杳、內(nèi)部審核、事故（事件）報(bào)告調(diào)杳處理、

電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：

a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；

b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類

攻擊；

c）使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；

d）使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；

e）積累信息安全方面的經(jīng)驗(yàn)；

根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至

少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、

目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)

果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第9.3章。

組織應(yīng)記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情，并

進(jìn)行分析，分析結(jié)果上報(bào)管理者代表。

組織應(yīng)建立并實(shí)施《內(nèi)部審核管理程序》，《內(nèi)部審核管理程序》應(yīng)包括策

劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔進(jìn)

行內(nèi)部審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是

否：

a）符合本標(biāo)準(zhǔn)的要求;

b）組織自身對(duì)信息安全管理體系的要求；

C）得到有效地實(shí)施和保持

應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方

案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和方法。

每次審核前，內(nèi)審組長(zhǎng)應(yīng)策劃編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程

和審核組。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核

員不應(yīng)審核自己的工作。

應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：

a）進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；

b）實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；

c）進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審

核意見和不符合報(bào)告；

d）審核組長(zhǎng)編制審核報(bào)告。

對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由人力行政部組

織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證；

按照《記錄管理程序》的要求，保存審核記錄。

內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一。

總經(jīng)理為確認(rèn)信息安全管理體系的適宜性、充分性和有效性，每年對(duì)信息安

全管理體系進(jìn)行一次評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息安全管理體系是否需改進(jìn)或

變更的評(píng)價(jià)，以及對(duì)安全方針、安全目標(biāo)的評(píng)價(jià)。管理評(píng)審的結(jié)果應(yīng)形成書面記

錄。

在管理評(píng)審時(shí)，管理者代表應(yīng)組織相關(guān)部門提供以下資料，供最高責(zé)任者和

信息安全委員會(huì)進(jìn)行評(píng)審：

a）以往管理評(píng)審要求采取措施的狀態(tài)；

b）與信息安全管理體系相關(guān)的外部和內(nèi)部情況的變化；

c）信息安全績(jī)效有關(guān)的反饋，包括以下方面的趨勢(shì)：

1）不符合和糾正措施；

2）監(jiān)視和測(cè)量結(jié)果；

3）審核結(jié)果；

4）信息安全目標(biāo)完成情況；

d）相關(guān)方反饋；

e）風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；

f）持續(xù)改進(jìn)的機(jī)會(huì)。

管理評(píng)審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及變更信息安全管理體系

的任何需求。

10改進(jìn)

10.1.1不符合和糾正措施

組織應(yīng)建立并實(shí)施《糾正預(yù)防措施管理程序》，當(dāng)發(fā)生不符合時(shí)，組織應(yīng):

a）對(duì)不符合做出反應(yīng)，適用時(shí)：

1）采取措施控制并糾正不符合；

2）處理后果；

b）通過以下方法，評(píng)價(jià)采取消除不符合原因的措施的需求，防止不符

合再發(fā)生，或在其他地方發(fā)生：

1）評(píng)審不符合；

2）確定不符合的原因；

3）確定類似的不符合是否存在，或可能發(fā)生；

c）實(shí)施需要的措施；

d）評(píng)審所采取的糾正措施的有效性；

e）必要時(shí)，對(duì)信息安全管理體系進(jìn)行變更。

糾正措施應(yīng)與所遇到的不符合的影響程度相適應(yīng)。

10.1.2持續(xù)改進(jìn)

組織應(yīng)持續(xù)改進(jìn)信息安全