保障信息安全：管理體系手冊完善計(jì)劃

信息安全管理體系

手冊

根據(jù)ISO/IEC27001:2023原則規(guī)定

XX企業(yè)

2023年10月25日

文檔信息

文檔闡明

本文檔是ISO/IEC27001:2023信息安全管理體系口勺信息安全管理體系手冊。本文檔闡明

了XX企業(yè)信息安全管理體系於J構(gòu)造與內(nèi)容。

版權(quán)闡明

本文獻(xiàn)中出現(xiàn)的任何文字論述、文檔格式、插圖、照片、措施、過程等內(nèi)容，除另有尤

其注明，版權(quán)均屬XX企業(yè)所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)XX企

業(yè)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文獻(xiàn)的J任何片斷。

文獻(xiàn)修改記錄

編號版本修改內(nèi)容修改日期同意人

11.0新建文檔2023-10-26查正朋

目錄

文檔信息......................................................................錯(cuò)誤!未定義書簽。

文檔闡明..................................................................錯(cuò)誤!未定義書簽。

版權(quán)闡明..................................................................錯(cuò)誤!未定義書簽。

文獻(xiàn)修改記錄..............................................................錯(cuò)誤!未定義書簽。

目錄.........................................................................錯(cuò)誤!未定義書簽。

0.1同意公布令........................................................錯(cuò)誤!未定義書簽。

0.2信息安全管理者代表任命書.........................................錯(cuò)誤!未定義書簽。

0.3企業(yè)簡介..........................................................錯(cuò)誤!未定義書簽。

0.4信息安全方針......................................................錯(cuò)誤!未定義書簽。

0.5信息安全目的......................................................錯(cuò)誤!未定義書簽。

0.6信息安全管理體系手冊的管理.......................................錯(cuò)誤!未定義書簽。

1總則.......................................................................錯(cuò)誤!未定義書簽。

1.1月的..............................................................錯(cuò)誤!未定義書簽。

1.2合用范圍..........................................................錯(cuò)誤!未定義書簽。

2引用原則...................................................................錯(cuò)誤!未定義書簽。

3定義.......................................................................錯(cuò)誤!未定義書簽。

4信息安全管理體系..........................................................錯(cuò)誤!未定義書簽。

4.1總規(guī)定............................................................錯(cuò)誤!未定義書簽。

4.2建立并管理ISMS......................................................................................................錯(cuò)誤!未定義書簽。

4.3文獻(xiàn)規(guī)定..........................................................錯(cuò)誤!未定義書簽。

5管理職責(zé)...................................................................錯(cuò)誤!未定義書簽。

5.1管理層的承諾......................................................錯(cuò)誤!未定義書簽。

5.2資源管理..........................................................錯(cuò)誤!未定義書簽。

6ISMS內(nèi)部審計(jì).............................................................錯(cuò)誤!未定義書簽。

6.1總則..............................................................錯(cuò)誤!未定義書簽。

7ISMS管理評審.............................................................錯(cuò)誤!未定義書簽。

7.1總則..............................................................錯(cuò)誤!未定義書簽。

7.2評審輸入..........................................................錯(cuò)誤!未定義書簽。

7.3評審輸出..........................................................錯(cuò)誤!未定義書簽。

8ISMS改善..................................................................錯(cuò)誤!未定義書簽。

8.1持續(xù)改善..........................................................錯(cuò)誤!未定義書簽。

8.2糾正措施..........................................................錯(cuò)誤!未定義書簽。

8.3防止措施..........................................................錯(cuò)誤!未定義書簽。

0.1同意公布令

我司根據(jù)ISO/IEC27001:2023原則編制口勺《信息安全管理體系手冊》規(guī)定

了信息安全管理體系H勺范圍和我司對信息安全管理體系H勺規(guī)定。本手冊作為信息

安全管理的指導(dǎo)性文獻(xiàn)，重要作用是：

1.強(qiáng)化員工日勺信息安全意識，規(guī)范企業(yè)時(shí)信息安全行為；

2.對企業(yè)H勺關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；

3.當(dāng)信息系統(tǒng)受到侵害時(shí)，保證業(yè)務(wù)持續(xù)開展并將損失降到最低程度；

4.使合作伙伴和客戶對企業(yè)充斥信心。

在廣泛征求意見日勺基礎(chǔ)上通過多次修訂，現(xiàn)予以公布，并于2023年2月1

日正式實(shí)行。望企業(yè)各部門及各級人員認(rèn)真學(xué)習(xí)本手冊內(nèi)容，嚴(yán)格遵守并執(zhí)行本

手冊的各項(xiàng)規(guī)定和規(guī)定。

《信息安全管理體系手冊》以《質(zhì)量手冊》為基準(zhǔn)，在編制過程中堅(jiān)持符

合性、合適性和有效性的統(tǒng)一。同步，本手冊將根據(jù)內(nèi)、外部環(huán)境的變化進(jìn)行評

審、修改和完善。

總經(jīng)理:

2023年10月25日

0.2信息安全管理者代表任命書

為了貫徹實(shí)行ISO/IEC27001:2023《信息安全管理體系?規(guī)定》國際原則，

保證企業(yè)信息安全管理體系H勺建立、實(shí)行、運(yùn)作、監(jiān)視、評審、保護(hù)和改善，現(xiàn)

經(jīng)企業(yè)總經(jīng)理同意任命為信息安全管理者代表，行使如下的職責(zé)并擁有

如下權(quán)限：

1.代表總經(jīng)理負(fù)責(zé)按原則規(guī)定建立、實(shí)行、運(yùn)作、監(jiān)視、評審、保護(hù)并持續(xù)

改善企業(yè)的信息安全管理體系，實(shí)現(xiàn)企業(yè)口勺信息安全方針和口的；

2.負(fù)責(zé)組織企業(yè)《信息安全管理體系手冊》的編寫、修計(jì)和審核工作；

3.協(xié)助總經(jīng)理開展管理評審，并向總經(jīng)理匯報(bào)信息安全管理體系業(yè)績和改善

需求；

4.保證企業(yè)提高信息安全保密意識；

5.負(fù)責(zé)企業(yè)信息安全管理體系有關(guān)事宜與外界聯(lián)絡(luò)的工作。

總經(jīng)理:

2023年10月25日

0.3企業(yè)簡介

0.4信息安全方針

保障業(yè)務(wù)正常和安全運(yùn)行，保證業(yè)務(wù)的持續(xù)性；

保護(hù)客戶隱私及客戶資料的機(jī)密性，維護(hù)客戶的利益；

保護(hù)企業(yè)的商業(yè)秘密和技術(shù)機(jī)密，維護(hù)企業(yè)的利益；

建立企業(yè)的安全品牌，保證客戶的信心。

信息安全方針經(jīng)企業(yè)最高領(lǐng)導(dǎo)層制定頒布，企業(yè)全體員工應(yīng)能理解并執(zhí)行信

息安全方針，并就信息安全方針進(jìn)行交流。

0.5信息安全目的

建立國際一流、國內(nèi)領(lǐng)先的信息安全保障體系。建立和完善信息安全組織體

系、管理體系和技術(shù)體系，到達(dá)國際一流、國內(nèi)領(lǐng)先口勺信息安全保障水平，同步

或領(lǐng)先企業(yè)的信息化水平，保障和增進(jìn)企業(yè)業(yè)務(wù)發(fā)展和業(yè)務(wù)目的的實(shí)現(xiàn)。

0.6信息安全管理體系手冊的管理

企業(yè)口勺《信息安全管理體系手冊》分為受控原本、受控副本及非受控副本。

受控原本由xx企業(yè)存檔，作為原則文獻(xiàn)；受控副本是受控原版的復(fù)印件，發(fā)至

我司內(nèi)使用者或認(rèn)證中心手中加蓋紅色“受控”印章并編制發(fā)放號碼，作為有效文

獻(xiàn)使用。向我司以外的J有關(guān)人員提供本手冊時(shí)，須經(jīng)管理者代表同意，且必須加

蓋藍(lán)色“非受控”印章。該文獻(xiàn)作為非受控副本，不受文獻(xiàn)修改H勺控制。

《信息安全管理體系手冊》受控副本根據(jù)文獻(xiàn)持有者名單由XX企業(yè)發(fā)至有

關(guān)人員，并按文獻(xiàn)控制程序予以培訓(xùn)。

《信息安全管理體系手冊》在如下狀況應(yīng)進(jìn)行修改：

?我司組織構(gòu)造有較大變動時(shí)

?外部環(huán)境有重大變化時(shí)

?國家法律、法規(guī)有重大變化時(shí)

?我司信息安全方針有重大變化時(shí)

《信息安全管理體系手冊》的修改由管理者代表負(fù)責(zé)組織有關(guān)人員實(shí)行，經(jīng)

管理者代表審核后，報(bào)總經(jīng)理同意，同步更改《信息安全管理體系手冊》修改狀

態(tài)或版本號。

1總則

1.1目的

1.1.1通過編制和公布本《信息安全管理體系手冊》，向客戶證明企業(yè)具

有穩(wěn)定的提供滿足客戶需求和使使用方法律法規(guī)規(guī)定的交付平臺日勺設(shè)計(jì)、開發(fā)、

服務(wù)的能力。

1.1.2通過信息安全管理體系口勺有效運(yùn)行和不停的持續(xù)改善，增強(qiáng)客戶滿

意度。

1.2合用范圍

1.2.1本手冊合用于波及交付平臺設(shè)計(jì)、開發(fā)和維護(hù)；與上述有關(guān)H勺基礎(chǔ)

設(shè)施和人員。與最新版本H勺合用性申明相一致。

1.2.2本手冊可作為內(nèi)審和外審口勺根據(jù)。

2引用原則

ISO/IEC27001:2023信息技術(shù)-安全技術(shù)-信息安全管理體系-規(guī)定

ISO/IEC17799:2023信息技術(shù)?安全技術(shù)?信息安全管理實(shí)行指南

ISO/EC13335:2023IT安全管理

3定義

資產(chǎn)：任何對組織有價(jià)值的事物。

可用性：需要時(shí)，授權(quán)實(shí)體可以訪問和使用H勺特性。

保密性：信息不可用或不被泄露給未授權(quán)的個(gè)人、實(shí)體和過程的特性。

信息安全：保護(hù)信息的保密性、完整性、可用性及其他屬性，如：真實(shí)性、

可核查性、可靠性、防抵賴性。

信息安全事件：信息安全事件是指識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)事件

表明也許違反信息安全方略或防護(hù)措施失效；或此前未知的與安全有關(guān)的

狀況。

信息安全事故：信息安全事故是指一種或系列非期望的或非預(yù)期口勺信息安

全事件，這些信息安全事件也許對業(yè)務(wù)運(yùn)行導(dǎo)致嚴(yán)重影響或威脅信息安全。

信息安全管理體系：信息安全管理體系是整體管理體系的一部分，基于業(yè)

務(wù)風(fēng)險(xiǎn)措施以建立、實(shí)行、運(yùn)行、監(jiān)視、評審、保持和改善信息安全。

完整性：保護(hù)資產(chǎn)的對的和完整的特性。

殘存風(fēng)險(xiǎn)：實(shí)行風(fēng)險(xiǎn)處置后仍舊殘留的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)接受：接受風(fēng)險(xiǎn)的決策。

風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息以識別來源和估計(jì)風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的全過程。

風(fēng)險(xiǎn)評價(jià)：將估計(jì)的風(fēng)險(xiǎn)與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險(xiǎn)的過

程。

風(fēng)險(xiǎn)管理：指導(dǎo)和控制一種組織的風(fēng)險(xiǎn)啊協(xié)調(diào)啊活動.

風(fēng)險(xiǎn)處置：選擇和實(shí)行措施以變化風(fēng)險(xiǎn)的過程。

合用性申明：與組織信息安全管理體系有關(guān)并合用于信息安全管理體系的

控制目的和控制措施的文獻(xiàn)化的陳說。

4信息安全管理體系

4.1總規(guī)定

企業(yè)在建立信息安全管理體系的過程中，充足遵照ISO/IEC27001:2023信

息技術(shù)-安全技術(shù)-信息安全管理體系-規(guī)定，采用PDCA模式建立信息安全管理

體系，并加以實(shí)行、保持和改善其有效性。

我司建立健全信息安全管理體系的過程模式如下圖所示。

建立ISMS維持及改苒ISMS

?設(shè)定環(huán)境?實(shí)施ISMS改善計(jì)劃

?設(shè)定ISMS的范盼■推行適當(dāng)?shù)男拚邦A(yù)防措施

?擬定安全政策?將成效及活動等信息

?識別及評估風(fēng)險(xiǎn)傳達(dá)給相關(guān)人士

-選擇適合的控制措施以處理風(fēng)險(xiǎn)-確定改善成效

?預(yù)備適用性報(bào)告

實(shí)施及推行ISMS檢查及檢討ISMS

?闡明預(yù)知的風(fēng)險(xiǎn)?推行監(jiān)察程序

?實(shí)施風(fēng)險(xiǎn)處理計(jì)劃?執(zhí)行定期檢討以驗(yàn)證

?實(shí)施可實(shí)現(xiàn)控制目標(biāo)的措施ISMS的效能

-定期進(jìn)行內(nèi)部審垓

信息安全管理體系的建立、實(shí)行、運(yùn)作、監(jiān)視、評審、保持和改善的籌劃活

動包括：

?信息安全管理體系的籌劃與準(zhǔn)備。

籌劃與準(zhǔn)備階段重要是做好建立信息安全管理體系的多種前期工

作。內(nèi)容包括教育培訓(xùn)、確定計(jì)劃、信息安全管理現(xiàn)實(shí)狀況調(diào)杳與

風(fēng)險(xiǎn)評估，及信息安全管理體系設(shè)計(jì)。

?信息安全管理體系文獻(xiàn)的編制。

為實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評價(jià)和改善信息安全管理體系、實(shí)現(xiàn)持續(xù)改善提

供不可或缺H勺根據(jù)。

?信息安全管理體系運(yùn)行。

信息安全管理體系文獻(xiàn)編制完畢后來，按照文獻(xiàn)的控制規(guī)定進(jìn)行審

核與同意并公布實(shí)行。在體系運(yùn)行試運(yùn)行期間（為期3個(gè)月），及時(shí)

發(fā)現(xiàn)體系籌劃自身存在的問題，找出問題本源，采用糾正措施，糾

正多種不符合，并按照更改控制程序規(guī)定對體系予以更改，以到達(dá)

深入完善信息安全管理體系口勺目口勺。

?信息安全管理體系審核與評審。

企業(yè)為驗(yàn)證所有安全程序H勺對H勺實(shí)行，以及檢查信息系統(tǒng)與否符合

安全實(shí)行原則，將進(jìn)行系統(tǒng)口勺、獨(dú)立的J檢查和評價(jià)。企業(yè)把審核與

評審作為一種自我改善H勺機(jī)制，保持信息安全管理體系持續(xù)有效性,

并不停的改善與完善。

4.2建立并管理ISMS

4.2.1建立ISMS

企業(yè)根據(jù)ISO/IEC27001:2023日勺規(guī)定，按如下環(huán)節(jié)建立ISMS：

1.根據(jù)業(yè)務(wù)特性、組織構(gòu)造、地理位置、資產(chǎn)、技術(shù)確定ISMSH勺

范圍涵蓋XX企業(yè)等部門;

2.根據(jù)實(shí)際狀況確定ISMS方略；

3.定義合用于企業(yè)H勺風(fēng)險(xiǎn)評估措施；

4.識別企'也信息系統(tǒng)波及日勺資產(chǎn)面臨的多種風(fēng)險(xiǎn)；

5.對多種風(fēng)險(xiǎn)加以評估，判斷風(fēng)險(xiǎn)與否可以接受或需要進(jìn)行必要的

處置；

6.識別風(fēng)險(xiǎn)處置H勺多種措施；

7.選擇風(fēng)險(xiǎn)處置H勺控制目日勺和控制方式；

8.根據(jù)企業(yè)內(nèi)信息安全方針，處置不可接受的風(fēng)險(xiǎn)。管理層同意可

接受的殘留風(fēng)險(xiǎn)；

9.管理層授權(quán)實(shí)行并運(yùn)作ISMS；

10,準(zhǔn)備合用性申明。

4.2.2實(shí)行和運(yùn)作ISMS

企業(yè)在信息安全管理體系文獻(xiàn)編制完畢后來，提成兩個(gè)階段來實(shí)行

并運(yùn)作ISMS：

1.按照文獻(xiàn)的控制規(guī)定對信息安全管理體系文獻(xiàn)進(jìn)行審核與同意，

并公布實(shí)行，進(jìn)入試運(yùn)行期。在試運(yùn)行期間，企業(yè)充足發(fā)揮體

系自身H勺各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系籌劃自身存在的問題，找出

問題本源，采用糾正措施，糾正多種不符合，并按照更改控制

程序規(guī)定體系予以更改，深入完善信息安全管理體系H勺RH勺o(hù)

這?階段H勺重要工作是：

a）公布風(fēng)險(xiǎn)處置計(jì)劃;

b）實(shí)行風(fēng)險(xiǎn)處置計(jì)劃以到達(dá)確定的控制目的I；

c）評估控制措施H勺有效性；

d）對全體員工進(jìn)行培訓(xùn)。

2.試運(yùn)行期滿，企業(yè)正式實(shí)行ISMS,工作的重點(diǎn)是應(yīng)用PDCA模

式，保持信息安全管理體系口勺持續(xù)有效。這一階段的重要工作

是：

a）管理ISMS的運(yùn)作；

b）管理ISMS資源：

c）實(shí)行程序及其他控制以及時(shí)檢測、響應(yīng)安全事故。

4.2.3監(jiān)視和評審ISMS

企業(yè)為驗(yàn)證所有安全程序和對的實(shí)行，并險(xiǎn)查信息系統(tǒng)與否符合安

全實(shí)行原則，將

1.執(zhí)行監(jiān)視程序和其他控制；

a）及時(shí)檢測過程、成果中H勺錯(cuò)誤；

b）及時(shí)識別失敗口勺或成功的安全逅規(guī)和事故；

c）使管理層能確定與否將安全活動授權(quán)給人，或由信息技

術(shù)實(shí)行的H勺安全活動與否按期望口勺實(shí)行；

d）決定反應(yīng)業(yè)務(wù)優(yōu)先級口勺安全違規(guī)的處理措施。

2.定期評審ISMS的有效性，包括到達(dá)安全方針和目H勺和評審安全

控制考慮安全審核事故以及有關(guān)方提議和反饋的成果；

3.評審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)時(shí)等級考慮如下方面日勺變化:

a）企業(yè)

b）技術(shù)

c）業(yè)務(wù)Fl附和過程

d）已識別的威脅

e）外部事件如法律法規(guī)環(huán)境口勺變化社會風(fēng)氣的I變化

4.按計(jì)劃H勺時(shí)間間隔進(jìn)行ISMS內(nèi)部審核；

5.定期進(jìn)行ISMS管理評審，至少一年?次，保證仍然充足識別了

ISMS過程的改善；

6.記錄也許影響ISMS有效性或業(yè)績的措施和事件。

4.2.4保持和改善ISMS

建立、實(shí)行和保持ISMSH勺目時(shí)是不停改善企業(yè)時(shí)信息安全管理績

效，減少安全風(fēng)險(xiǎn)，保護(hù)組織關(guān)鍵的信息資產(chǎn)，保持企業(yè)商務(wù)可持

續(xù)性發(fā)展，因此，企業(yè)將：

1.實(shí)行ISMS已識別的改善；

2.按照規(guī)定采用合適的糾正和防止措施，總結(jié)從其他企業(yè)或企業(yè)自

身的安全經(jīng)驗(yàn)得到日勺教訓(xùn)；

3.溝通成果和措施并與所有有關(guān)方到達(dá)一致；

4.保證改善活動到達(dá)了預(yù)期的|目的。

4.3文獻(xiàn)規(guī)定

4.3.1我司的信息安全管理體系文獻(xiàn)包括如下內(nèi)容:

?ISMS方略和控制目H勺II勺陳說;

?ISMS范圍；

?ISMS時(shí)支持程序和控制；

?風(fēng)險(xiǎn)評估措施H勺描述；

?風(fēng)險(xiǎn)評估匯報(bào)；

?風(fēng)險(xiǎn)處置計(jì)劃；

?其他H勺程序文獻(xiàn)；

?本原則所規(guī)定口勺記錄；

?合用性申明。

4.3.2文獻(xiàn)控制

4.3.2.1總則

為保證信息安全管理體系文獻(xiàn)的I合用性、系統(tǒng)性和完整性，保證對

信息安全管理體系有效運(yùn)行起重要作用的J各個(gè)活動場所都能得到

對應(yīng)文獻(xiàn)於J有效版本，防止誤用失效文獻(xiàn)，企業(yè)建立并保持《文獻(xiàn)

控制程序》。文獻(xiàn)控制由XX企業(yè)負(fù)責(zé)。

4.3.2.2我司的信息安全管理體系文獻(xiàn)包括在節(jié)中。

4.3.2.3文獻(xiàn)的審批、公布

a）各類文獻(xiàn)按程序文獻(xiàn)的職責(zé)權(quán)限進(jìn)行審批，保證文獻(xiàn)的充足

性、合適性；

b）企業(yè)文獻(xiàn)以書面形式予以公布,并在企業(yè)內(nèi)部網(wǎng)站上公布。

4.3.2.4文獻(xiàn)的管理

a）所有文獻(xiàn)口勺發(fā)放均由XX企業(yè)統(tǒng)一負(fù)責(zé)，按授權(quán)同意口勺發(fā)放

范圍登記發(fā)放，保證發(fā)放到有效的使用場所：

b）各類文獻(xiàn)H勺原稿由XX企業(yè)負(fù)責(zé)保管，建立歸檔手續(xù)；

c）各部門指定專人負(fù)責(zé)文獻(xiàn)的保管，建立文獻(xiàn)清單，保證文獻(xiàn)

便于檢索；

d）按程序規(guī)定對文獻(xiàn)的編號，受控狀態(tài)、作廢和保留狀態(tài)進(jìn)行

標(biāo)識，保證使用有效文獻(xiàn)；

e）外來文獻(xiàn)由管理者代表閱批，保證使用文獻(xiàn)的最新有效版

本，井保證分發(fā)到對應(yīng)口勺使用場所，外來文獻(xiàn)由XX企業(yè)管

理；

f）所有文獻(xiàn)均應(yīng)做到防潮、防火、防蟲蛀、防丟失，嚴(yán)禁亂放、

亂畫、有臟污出現(xiàn)。電子版文獻(xiàn)應(yīng)做到版本一致性、存儲安

全、訪問控制安全。

4.3.2.5文獻(xiàn)的評審、修改

每次管理評審應(yīng)對文獻(xiàn)日勺有效性進(jìn)行評審.當(dāng)發(fā)生《文獻(xiàn)控制程序》

中規(guī)定的有關(guān)狀況時(shí)，文獻(xiàn)主管部門應(yīng)及時(shí)組織對文獻(xiàn)H勺合適性進(jìn)

行評審并做好記錄。當(dāng)決定修改時(shí)，按程序規(guī)定實(shí)行修改，并按授

權(quán)進(jìn)行審批；

4.3.3記錄控制

4.3.3.1總則

為保持信息管理體系有效運(yùn)行，并為信息安全管理體系改善活動提

供根據(jù)，我司建立并保持《記錄控制程序》，對記錄進(jìn)行管理。

4.3.3.2記錄范圍和編制規(guī)定

a）記錄范圍包括：執(zhí)行過程中的有關(guān)記錄，信息安全管理體系

運(yùn)行記錄，以及與ISMS有關(guān)的重大安全事件的記求等；

b）記錄采用書面、磁盤等形式；

c）記錄盡量以表格形式編制，以編號作為標(biāo)識；

d）記錄必須真實(shí)完整，數(shù)據(jù)可靠、字跡清晰，簽字齊全。

4.3.3.3記錄的搜集、整頓、歸檔

a）各部門編制本部門口勺《記錄清單》，明保證存期限，經(jīng)各部

門經(jīng)理審批后留存，并報(bào)XX企業(yè)一份立案,XX企業(yè)提供《記

錄總清單》；

b）各部門指定專人負(fù)責(zé)本部門記錄的I搜集、整頓，同一類的J記

錄按項(xiàng)目或序號裝訂成冊，編制歸檔目錄，妥善保留，以便

存取和檢查。

4.3.3.4記錄的存貯、保管

a）記錄應(yīng)寄存在合適的環(huán)境，做到防潮、防火、防蟲蛀、防盜;

b）記錄的保留期限一般不少于一年，其中信息安全管理體系運(yùn)

行記錄不少于三年。

4.3.3.5記錄的查閱、借閱

a）記錄借閱須由部門經(jīng)理或授權(quán)負(fù)責(zé)人同意后并填寫《記錄借

閱登記表》，因工作原因需借閱其他部門的記錄時(shí)，應(yīng)同步

經(jīng)本部門經(jīng)理及對方部門經(jīng)理同意：

b）一般不準(zhǔn)許外部人員查閱，特殊狀況下，須經(jīng)管理者代表同

意，并做好借閱記錄；

c）借閱人不得在記錄案卷中有涂改、勾劃、拆散、抽換等現(xiàn)象,

違反者將追究個(gè)人責(zé)任。償還時(shí)部門記錄保管人要認(rèn)真查

對，以保證案卷的齊全、完整。

4.3.3.6記錄的處理

對已超過保留期限H勺記錄，需經(jīng)部門經(jīng)理審批后處理，并做好銷毀

記錄。信息安全管理體系運(yùn)行記錄須經(jīng)管理者代表同意后處理。

5管理職責(zé)

5.1管理層的承諾

我司總經(jīng)理在建立信息安全管理體系，保持和改善信息安全管理體系有

效性H勺過程中，應(yīng)保證開展如下活動：

a）企業(yè)成立信息安全管理小組，由其領(lǐng)導(dǎo)信息安全工作。

b）制定信息安全方針和信息安全目的J,建立和完善企業(yè)的信息安全

管理體系。

c）提供充足的資源以保證信息安全管理體系日勺制定、實(shí)行、運(yùn)作、

維護(hù)和不停改善。

d）對企業(yè)信息資產(chǎn)實(shí)行有效管理，保證信息的機(jī)密性，維持信息的

完整性和可用性，防備對信息H勺未經(jīng)授權(quán)訪問。對企業(yè)信息資產(chǎn)

進(jìn)行風(fēng)險(xiǎn)評估，制定風(fēng)險(xiǎn)可接受原則，對企業(yè)不能接受時(shí)風(fēng)險(xiǎn)進(jìn)

行處置。

e）建立業(yè)務(wù)持續(xù)性管理體系。進(jìn)行業(yè)務(wù)影響分析，編寫、實(shí)行業(yè)務(wù)

持續(xù)性計(jì)劃和劫難恢免計(jì)劃.以保訐企業(yè)重要'II/務(wù)的持續(xù)，不受

重大故障和劫難的I影響。

f）企業(yè)所有員工必須接受信息安全的教育培訓(xùn)，提高信息安全意

識。

g）保護(hù)企業(yè)、客戶、有關(guān)政府部門和合作伙伴H勺信息安全。

h）建立企業(yè)信息安全組織架構(gòu)，明確信息安全責(zé)任，確定匯報(bào)可疑

H勺和發(fā)生的信息安全事故的流程，對違反安全制度H勺人員進(jìn)行懲

罰。

i）建立物理安全和網(wǎng)絡(luò)安全管理制度，以保證信息H勺安全性。

j）保護(hù)企業(yè)軟件和信息的完整性，防止病毒與多種惡意軟件的入

侵。

k）任何人在未經(jīng)審批的狀況下，嚴(yán)禁將信息資產(chǎn)帶離企業(yè)。

I）企業(yè)所有員工都要嚴(yán)格遵守企業(yè)的安全方針、程序和制度。

m）控制對內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問，保護(hù)網(wǎng)絡(luò)化服務(wù)日勺安全性與可用

性

n）對顧客賬號、口令和權(quán)限進(jìn)行嚴(yán)格管理，防止對信息系統(tǒng)的非授

權(quán)訪問。

o）對重要信息進(jìn)行備份保護(hù)，以保證信息日勺可用性。

P）定期對信息安全管理體系進(jìn)行內(nèi)審和管理評審。

5.2資源管理

5.2.1資源提供

1.我司通過信息安全管理體系的全面籌劃，為建立、實(shí)行、運(yùn)作、監(jiān)視、

評審、保持和改善ISMS提供必要H勺資源，包括：

a）人力資源：保證從事信息安全工作的人員都可以勝任，全體員工

都具有安全保密意識；

b）基礎(chǔ)設(shè)施：提供為保證信息安全規(guī)定所必需時(shí)基礎(chǔ)設(shè)施，如生產(chǎn)

設(shè)備、生產(chǎn)場所、辦公場所、辦公設(shè)備等；

c）工作環(huán)境：保證滿足信息安全的I工作環(huán)境和工作秩序。

2.保證信息安全程序支持業(yè)務(wù)規(guī)定；

3.識別并指出法律法規(guī)規(guī)定和協(xié)議安全責(zé)任；

4.通過對H勺應(yīng)用所實(shí)行H勺所有控制的來保持足夠向安全；

5.必要時(shí)進(jìn)行評審對評審成果采用合適時(shí)對應(yīng)措施；

6.需要時(shí)改善ISMSH勺有效性。

5.2.2能力、意識和培訓(xùn)

5.2.2.1人力資源部組織各職能部門對與信息安全有關(guān)歐I、所有崗位

的人員所必需時(shí)能力。

5.2.2.2滿足需求的措施

a）外聘：在聘任人員時(shí)，招聘符合任職資格H勺人員；

b）我司對不夠條件的人員通過培訓(xùn)，使其到達(dá)任職規(guī)定；

c）通過教育使員工認(rèn)識到自己崗位的重要性，發(fā)揮主觀能動性，為

實(shí)現(xiàn)信息安全做出奉獻(xiàn)；

d）評估所提供培訓(xùn)和所采用措施的有效性。

5.2.2.3培訓(xùn)包拈：

a）入職培訓(xùn)

b）再提高培訓(xùn)

5.2.2.4培訓(xùn)計(jì)劃

每年XX企業(yè)根據(jù)信息安全建設(shè)的需求，結(jié)合企業(yè)實(shí)際需要，制定《培

訓(xùn)計(jì)劃》，規(guī)定對各類人員H勺基本培訓(xùn)規(guī)定和培訓(xùn)內(nèi)容，并對企業(yè)培

訓(xùn)計(jì)劃口勺執(zhí)行狀況進(jìn)行監(jiān)督檢查，保證計(jì)劃完畢。

5.2.2.5培訓(xùn)記錄

人力資源部負(fù)責(zé)建立員工的教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的記錄。

6ISMS內(nèi)部審計(jì)

6.1總則

通過內(nèi)部審核及時(shí)發(fā)現(xiàn)信息安全管理體系運(yùn)行中的問題并及時(shí)采用糾正措

施，以保證信息安全管理體系運(yùn)行的符合性、有效性，實(shí)現(xiàn)信息安全管理體系的J

持續(xù)改善，我司建立并保持《內(nèi)部審核控制程序》。

6.2每年年初由XX企業(yè)負(fù)責(zé)編制《年度內(nèi)部審核計(jì)劃》，確定年度內(nèi)審的時(shí)機(jī)

和范圍，報(bào)管理者代表審核、總經(jīng)理審批后實(shí)行。若發(fā)生特殊狀況，應(yīng)及

時(shí)增長內(nèi)審。

6.3管理者代表任命內(nèi)審組長，構(gòu)成內(nèi)審小組。內(nèi)審紅長編制《內(nèi)部審核算施

計(jì)劃》，組織內(nèi)審員學(xué)習(xí)《信息安全管理體系手冊》、程序文獻(xiàn)和有關(guān)的作

業(yè)指導(dǎo)書，為內(nèi)審的實(shí)行做好準(zhǔn)備。

6.4內(nèi)審實(shí)行由內(nèi)審員采用交談、提問、抽樣、查閱記錄、現(xiàn)場杳等方式，發(fā)

現(xiàn)不合格時(shí)，擴(kuò)大抽樣、增長調(diào)研深度，獲取更全面、更精確的客觀事實(shí)，

并規(guī)定受審部門確認(rèn)不合格事實(shí)。

6.5內(nèi)審組長組織匯總審核成果，對體系運(yùn)行狀況做出綜合分析由內(nèi)審組長

編制《內(nèi)部審核匯報(bào)》，經(jīng)管理者代表同意后，下發(fā)有關(guān)部門和有關(guān)領(lǐng)導(dǎo)。

6.6糾正措施的實(shí)行和驗(yàn)證

a)受審部門負(fù)責(zé)人組織調(diào)查分析產(chǎn)生不合格原因，針對原因制定糾正

措施，并明確完畢期限，經(jīng)審核組承認(rèn)，管理者代表同意后，由部

門負(fù)責(zé)人組織實(shí)行；

b)XX企業(yè)驗(yàn)證受審部門糾正措施實(shí)行的有效性。

6.7年度審核匯報(bào)

a）為對我司整個(gè)信息安全管理體系運(yùn)行狀況做出總體評價(jià)，在完畢年

度審核計(jì)劃后，由管理者代表組織年度審核成果的匯總分析，包括

糾正措施完畢狀況，對完不成或拖后的原因進(jìn)行分析，并編寫《年

度審核匯報(bào)》，

b）《年度審核匯報(bào)》由管理者代表提交管理評審，作為改善的根據(jù)。

7ISMS管理評審

7.1總則

為保證信息安全管理體系，包括信息安全方針、質(zhì)量目H勺持續(xù)的合適性、充

足性和有效性，我司建立并保持《管理評審控制程序》，評價(jià)信息安全管理體系

改善的機(jī)會和變更H勺需要°

7.1.1企業(yè)每年至少開展一次管理評審，兩次間隔不得超過十二個(gè)月。一

般狀況下，采用會議H勺形式，安排在內(nèi)部審核之后“當(dāng)出現(xiàn)下列狀況時(shí)，應(yīng)及時(shí)

進(jìn)行管理評審：

a）企業(yè)信息安全管理體系發(fā)生重大變化；

b）國家法律、法規(guī)、信息安全原則發(fā)生重大變化；

c）外審之前；

d）其他認(rèn)為需要評審時(shí)。

7.1.2XX企業(yè)組織有關(guān)部門實(shí)行管理評審，并對實(shí)行效果進(jìn)行跟蹤驗(yàn)證。

7.1.3管理評審由總經(jīng)理主持，管理評審的有關(guān)計(jì)劃、匯報(bào)、記錄由XX

企業(yè)保管，保留期為三年c

7.2評審輸入

7.2.1管理者代表組織XX企業(yè)編制《管理評審計(jì)劃》，安排評審H勺目的、

內(nèi)容、時(shí)間、參與人員及有關(guān)規(guī)定等。

7.2.2XX企業(yè)組織有關(guān)部門按計(jì)劃的J規(guī)定搜集整頓有關(guān)文獻(xiàn)和數(shù)據(jù)資料

提交管理評審，包括：

a）ISMS審核（包括內(nèi)審和外審）和管理評審的成果；

b）有關(guān)方（客戶、政府部門、供應(yīng)商、內(nèi)部員工等）的反饋；

c）企業(yè)用于改善ISMS業(yè)績和有效性H勺技術(shù)、產(chǎn)品或程序的發(fā)展及變

化；

d）糾正和防止措施的實(shí)行狀況；

e）上次風(fēng)險(xiǎn)評估未充足指出H勺脆弱性或威脅；

f）上次管理評審所采用措施的跟蹤驗(yàn)證；

g）影響信息安全管理體系H勺變更，如原則改版和信息安全組織架構(gòu)變

化等；

h）質(zhì)量/信息安全管理體系文獻(xiàn)H勺合用性，包括修改規(guī)定等；

i）改善的提議。

7.3評審輸出

按照信息安全方針、目的時(shí)上述信息進(jìn)行全面的討論、評價(jià)、分析,

決定所要采用口勺改善措施，包括:

a）ISMS有效性H勺改善;

b）更新風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處先計(jì)劃；

c）必要時(shí)修訂影響信息安全的程序，以反應(yīng)影響ISMS的內(nèi)外

事件包括如下變化：

1業(yè)務(wù)需求；

2安全需求；

3影響已經(jīng)有業(yè)務(wù)需求H勺業(yè)務(wù)過程；

4法律法規(guī)環(huán)境；

5協(xié)議責(zé)任；

6風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受等級。

d）資源需求；

e）改善測量控制措施有效性的方式。

8ISMS改善

8.1持續(xù)改善

為保證信息安全管理體系有效性的持續(xù)改善，提高信息安全管理體

系過程H勺有效性，我司將開展如下活動：

a）企業(yè)通過信息安全方針的J建立與實(shí)行，營造一種鼓勵(lì)改善的J

氣氛；

b）確立信息安全目口勺，明確改善方向：

c）通過內(nèi)審、風(fēng)險(xiǎn)分析，不停尋求改善機(jī)會，并作出合適改善

活動安排：

d）實(shí)行糾正和防止措施，實(shí)現(xiàn)改善；

e）在管理評審中評價(jià)改善效果，確定新的改善目的。

8.2糾正措施

8.2.1總則

為消除與ISMS規(guī)定不符合H勺原因，防止不符合情形再次發(fā)生，對

糾正措施的實(shí)行進(jìn)行有效控制，我司建立并保持《糾正措施控制程

序》。

8.2.2糾正措施的信息來源

a）風(fēng)險(xiǎn)評估；

b）員工及客戶的信息反饋（包括意見、提議和投訴）；

c）內(nèi)、外部審核提出的不合格項(xiàng)；

d）管理評審提出的改善決策。

8.2.3糾正措施的制定

a）XX企業(yè)組織有關(guān)人員對發(fā)現(xiàn)的天符合和各方反饋意見進(jìn)

行匯總，分析不合格原因；

b）評價(jià)保證不符合不再發(fā)生所需的措施；

c）制定糾正措施，填寫《糾正措施實(shí)行跟蹤表》，下發(fā)各有

關(guān)部門執(zhí)行。

8.2.4糾正措施的實(shí)行

各有關(guān)部門應(yīng)嚴(yán)格按糾正措施的內(nèi)容組織實(shí)行，做好實(shí)行記

錄，實(shí)行完畢后提交XX企業(yè)進(jìn)行驗(yàn)證。

8.2.5糾正措施的驗(yàn)證

XX企業(yè)負(fù)責(zé)糾正措施實(shí)行效果的跟蹤評審，并做好記錄，驗(yàn)

證內(nèi)容包括：

a）措施與否按期完畢；

b）與否按糾正措施內(nèi)容規(guī)定實(shí)行完畢；

c）措施成果與否到達(dá)預(yù)期用時(shí)，如未到達(dá)預(yù)期目的應(yīng)重新組

織分析，制定新的糾正措施；

d）實(shí)行成果與否保留記錄

8.2.6通過評審的糾止措施內(nèi)容可納入信息安全管理體系文獻(xiàn)，由此產(chǎn)生

的信息安全管理體系文獻(xiàn)的修改，應(yīng)按《文獻(xiàn)控制程序》執(zhí)行。

8.3防止措施

8.3.1總則

為消除與ISMS規(guī)定潛在不符合叫原因，防止不期望情形的發(fā)生，

對防止措施的實(shí)行進(jìn)行有效控制，我司建立并保持《防止措施控制

程序》。

8.3.2防止措施的信息來源

a）風(fēng)險(xiǎn)評估；

b）員工及客戶的信息反饋（包括意見、提議和投訴）；

c）內(nèi)、外部審核提出時(shí)不合格項(xiàng)：

d）管理評審提出的改善決策。

8.3.3防止措施的制定

a）XX企業(yè)每六個(gè)月組織有關(guān)部門對也許存在的、潛在H勺不

符合情形進(jìn)行匯總，分析不符合原因，制定防止措施，填

寫《防止措施實(shí)行跟蹤表》，下發(fā)各有關(guān)部門執(zhí)行；

b）各部門及有關(guān)人員分析原因后，認(rèn)為原因較復(fù)雜，無力處

理和實(shí)行時(shí)，上報(bào)管理者代表，由管理者代表召開專題會

議，分析原因，制定措施，報(bào)總經(jīng)理審批；

c）同行業(yè)所發(fā)生的重大的信息安全問題，在我司也也許存

在，對于這種潛在的不符合情形，由XX企業(yè)組織有關(guān)人

員進(jìn)行討論.制定措施并實(shí)行，管理者代表同意：

d）防」二措施應(yīng)與潛在的不符合的影響程度相適應(yīng)。

8.3.4防止措施的實(shí)