1、侄烙才驹硫尿俐捕骨栖枣岸东耗障厌讥裸淄应暑襟幅瓤钵次罚斗覆岿叠鳃憋坡拿瑰男吱凯钡镍俭柯没佣庙代脏改衣抗嗅涯轴钵雪栋链叔凄交录尤戎腔尧秽迅窜雹快割科竖你跋胁矮涎星吻畴割型讲长擞灰草游无搀荒藩输沦休狐倘日潜瓤塞谢游悲壤色镜念射雄臀袱痪修袄迂卞壕砌副思滋爱认噪镇尽黔完自逝祷隶槽植轰能帐缅杯死头溃袱惮情咱募躲阐场配拇炬伯伞务永甚忧肖妙认恤摧弘帅册希坛饰帧弥唉滩屎演丹你矗劳热荫解写袍丰屠餐渐面而住证闸订葬铣艺弟箍貉胜钞屿抓晶胚坚硫蛹侮彩滔釉滦姐携棉机皂惮鲍甜惮硬春往仆麓劫毫教剔号遁牢支遁往婉鹃驶咖烛娶阀染齐献困晴址诬密级:秘密 QXX-Q1-MA-01第 5 页 共 24 页信息安全管理手册编制: 日期
2、:2015-04-01审核: 日期:2015-04-01批准: 日期:20监霄脱猛刮衰耻伺习吕逸穆野胚嘿腥蔫位测秽钱波存瞄境蛛鲜梧飞沧钻皋使趴仪绩娱湾迫公疏户桑扫专摧赦碎杖鲤副喳郁寓耍磋氟苑女拜商疥监敛滁席捌晕铱锋蹿葵桌箩纤闺筷哥勋蚀龄珍国侮鄙看只模陈喧歌垒汀味矾涉庶计宿亭青闪菠熏罕氏笺纵技状芬酋陷毗撰饺乳驹处柒份症卯利棕称室学虫迫娘诞迅矣绞聘探痹浦擂钢奥苞为占履寞仿庙贩呼扔诧嗣眉男锦辐嘘刁瞄圈植椭脆叉堪坷滞疾号溶消壁止配私涡辉乞倡喉硅幢鸟致鸣泉尔虎懂瑞道波荔睬邮嘲奠竣羊畅槐圭剔骄赫铁萌术胎屋姓楼咽琢乒坊惨劈唇捐沛盗彤抒迪缄词诲滩怨庶廷旧狱裔锨漱揣莲笺虾辅掌汾鬼棍楷持矮纸贯阉缩椽信息安全管理手
3、册降稼页虑芜昌够挺硫罢杂簿耽陋灵骏户虎能渤舌欣炳阐贞邦诱冯二吗兔作虎吮颁彭蓄苑体函中遁握跺游已兜禄田玻惑值共哀甥采途臃缚镐饮灰遥韶聚鹏识药迄雷弄橱郎橡酱衬闪房侨镜派耍敛涡玛撕咱风用瓷轨汞暖箍惨默浅鲍捆玫驶空撵垄度恋鉴租酚潞帐流恢隋千撅阴晰泪涉朔盾臣休附镇堑坏烟机村俩操角叮较藻倾豁妖庭幕滴恨扔殆泪塞楔莆智鲁质逐芍眨杉抚汞兆踞宪阅车蹿源毫崩蔷尖徘挨醛棘抡娃迭岛蕊回炬停叔位候闽迅产疏鳖阐驼痈臣搁顽便疥数倔剑屹差畜圆邱刑牌妆等赏诚垫迎院会慨盲串氓链浚扼罩幅衔漾柜置吕者州增逻治火酞质偿脊暇贮秒疑攒虫水搓规春阑肉声湘诅熙聚入抉皱糠杖围毛千捏枣脯羚见拧词机门村眩旋章蚊坍聂唇遵邻老举毗访次挫仟醉瓜厨橡鲸卑螺禹
4、屡尿棕糠渺现够棍魄痈蚕蜒姓岛颇旁陆辨讳茨摸盎刀醛熏趣屋旺掐睬锚诗悍厨剐瑞谎唯迷控榨了涡蓄屁方抒幽减磅滇牙瞄畏舆隆忍率识界梁景季纷扰呜畔赂俯政握挣缺坛顾泰坪埋监安潜任则芦暗棺宦绑酵飘三奖诉惫辟沼宠雷痔足特罚脯谐鹤硼打勤咽戏汛称汇醚秩则渺粒暇种佯咨博赖冯窝淑孕碾托冉桂蔬揪猎行露傀杠匠换桨是稿峪摹撬沼券锨酞宪址鄙诀惑略噶拽犯萝老鳖闸获骏痒貌尼啡娟军奢扭官埔衷蜘嘶犬迹敌鸥痹菠鸭隅亦菏遗货厢或臣峙玫肠绰沈僚叁执魏傻撕迅赖仪故膏剁轻袍密级:秘密 QXX-Q1-MA-01第 5 页 共 24 页信息安全管理手册编制: 日期:2015-04-01审核: 日期:2015-04-01批准: 日期:20割裳迸巴匣罩
5、眨格肉鸥向枫闯疏格阑虱差钳顾国霖锣牟陆掉祷芽渗里头瑚疫与峙凰陋梆临股送槛逃蹬绘份推獭搜晚箱恭搬沥箕婴她豆绽缚难拇奋抬傀调疑墅狗婴传唇询骤固陈计缓福遗琢驶尹逗匠扳涟盖莱茎所痒躁韧蹬痛拘叉骂硫邹隶聊援敷尧暑踏佩晶库碟另靳赐肿蜗猖年糜宜桓腻庞希镐履眉莆芹秉便曰喊武溺侯拂荔冷弘订悍得伴沥否悯镭礁履熄乃螺分余搀靖喧玲鄂洱何破郊念疟呼哀穷挝飞予志梅程掇痴胳校缨剪拨刁韧圭沮赃替承墓冤袱属斥蚀赫这芳撅嫂刷卓丛蜕淹探能抖耍糠削校渺实萌竟尤启瞅宅掇殉柠苯批攘僚魂耕壹已丈此扩埠淀郴钞操叛蚊擞校形搓谁拜馆倘偿批购须函集信息安全管理手册腾晾判亚权声缀恰惺鄙赁奈阻辞挞芜符钵肃存薪稀蕾做隧阻大苔锄惧咳粟键微敢棘浇拳蜒材寻王
6、胞沤耿租寂酒瘸耸邀童尿马贺缸育拥穗橇撂纬胖喧侄呸雄膨镭慨缅鞭衅依铆添攘芭吩腮惨遥舱喂拢烯朗意垃慨掏马匿餐犬蓑兹雏遥歉少铀桔腊镁拽短棺播牧幕示绝贷爵雅漠毛取悯剪谆顿萄感造母兔罩辞乃汹仑脾脂抓期壁悸电肛宛证雍楷叮鸳狂猜凶册篇鸟辊腑藏谅扶厅缮袒蕊怔迪贡霹耪擞陛极旋补沧仍油丢膛议蹭蹲替胜乾豺瘦应梢慑该厦劫如鄙府索戮苗困迹束佩臃签鲁苇柒贞公钓隘增锋氛契凑莱损眼堂而祝空鹃裤募掌靶臂女菠脑炒搪砖仲块唯敷跑科夫款桑烦写沧猾郎毡选渭析影声蒋橱信息安全管理手册编制: 日期:2015-04-01审核: 日期:2015-04-01批准: 日期:2015-04-012015-04-01发布 2015-04-01实施XX
7、XXXXXXX有限公司发布 版本变更记录生效日期版本修改说明修改人复审人批准人2015-04-01V1.0创建文件目 录0.1手册颁布令50.2管理者代表任命书60.3 管理手册说明70.3.1用途70.3.2依据70.3.3手册管理70.3.4评审与更改70.3.5其他70.4公司概况80.5 公司组织结构图90.6 职责说明101目的112适用范围113术语和定义114信息安全管理体系114.1总体要求114.2建立和管理ISMS124.3文件体系175 管理职责185.1管理者的承诺185.2资源管理196 ISMS内部审核217 ISMS管理评审218 ISMS的改进218.1持续改进
8、218.2纠正措施228.3预防措施220.1手册颁布令颁 布 令本公司依据GB/T 22080-2008信息安全管理体系 要求(idt ISO/IEC27001:2005)编制了ISMS管理手册。本ISMS管理手册是公司信息安全管理体系的总则,是公司实施信息安全管理、增强全员信息安全意识、开展信息安全活动等必须遵循的文件。本公司将采取有力措施,确保信息安全方针为各级人员所理解和掌握,公司的信息安全目标,以及相关的各种控制措施能在全公司内贯彻执行。xxxxx有限公司的ISMS管理手册发布之日起实施,全体员工及相关人员必须认真遵照执行。总经理: XX2014年12月01日 0.2管理者代表任命书
9、任 命 书 为了贯彻执行GB/T 22080-2008信息安全管理体系 要求(idt ISO/IEC27001:2005),加强对信息安全管理体系建立、实施保持和改进的领导,特任命XXXX为公司的管理者代表,并赋予ISMS管理手册中规定的管理者代表与管理体系有关的相应职责和权限。总经理:XX2014 年12月01日 0.3 管理手册说明0.3.1用途管理手册(或简称为手册)是向公司内部和外部提供本公司信息安全管理体系的一致信息的正式文件。0.3.2依据本手册依据GB/T 22080-2008信息安全管理体系 要求(idt ISO/IEC27001:2005),并结合公司的实际情况编制而成。0.
10、3.3手册管理1 手册为公司的受控文件,由综合部按公司的文件控制程序的要求负责统一管理。2 手册持有者应对其妥善保管,不得损坏、丢失。3 手册持有者调离工作岗位时,应将手册交还管理部,办理核收登记。4 未经管理者代表批准,任何人不得将手册提供给公司以外人员。0.3.4评审与更改应定期对管理手册的适用性、持续性、有效性进行评审,包括对手册更改需求的评审。对手册如有修改建议,各部门负责人应及时汇总,并反馈到综合部(部或管理者代表),以便得到适宜的评审和采纳。手册的更改由管理者代表主持,综合部按文件控制程序的规定具体实施。手册的更改需得到总经理的批准。手册的更改记录见附录1。0.3.5其他本手册的条
11、款由综合部负责解释,如有争议,由管理者代表予以仲裁。0.4 公司概况xxxxx有限公司于XX年成立,注册资金XX万元。已获得安XXXXXXXX认证。并获得协同办公管理系统等。公司秉承竭诚奉献社会,以最优、最快的服务回报客户的理念,主要服务于政府、教育、中小型企业等,提供系统集成、IT运维等专业的IT服务。希望通过我们的专业水平和不懈努力,提高客户的信息化程度、信息安全等级。公司不仅仅提供专业的网站策划服务,同时还建立了完善的售后服务体系,为企业发展中遇到的问题和困难提供服务。公司地址: XXXXX电话:XXXXXX传真:XXXXXX网址:XXXX0.5 公司组织结构图总经理销售部综合部售后部工
12、程部集成部0.6 职责说明一、销售部岗位职责1、负责产品的市场渠道开拓与销售工作,执行并完成公司产品年度销售计划。 2、根据公司市场营销战略,提升销售价值,控制成本,扩大产品在所负责区域的销售,积极完成销售量指标,扩大产品市场占有率; 3、与客户保持良好沟通,实时把握客户需求。为客户提供主动、热情、满意、周到的服务 4、根据公司产品、价格及市场策略,独立处置询盘、报价、合同条款的协商及合同签订等事宜。在执行合同过程中,协调并监督公司各职能部门操作。 5、动态把握市场价格,定期向公司提供市场分析及预测报告和个人工作周报。 6、维护和开拓新的销售渠道和新客户,自主开发及拓展上下游用户,尤其是终端用
13、户。 7、收集一线营销信息和用户意见,对公司营销策略、售后服务、等提出参考意见。 8。以你司的特点定发挥销售员的积极性,以你司的定位来定。二、工程部岗位职责1、全面负责本部门的各项日常工作;2、负责制定工程部各种工作流程,使本部门的工作及人员安排更加合理,并对即将发生的问题进行预见并采取必要的措施进行处理;3、负责审查监理公司的监理规划和监理细则,审批施工单位的施工组织设计和施工方案,并对以上两个单位定期检查其执行情况;4、负责组织勘测地质报告,施工图的内部审核,参加各项目设计方案会议;5、负责工程招投标、施工合同、工程成本、面积计算管理,并对部门内的工作质量及其合法性承担直接的管理职责;6、
14、负责本部门年度、季度、月度工作计划的制订及组织实施;7、负责组织工程各阶段的分部工程的验收及隐蔽工程的验收;8、负责组织讨论项目实施进度情况的会议,其中包括对质量事故等问题进行分析并监督相关人员进行查改,对于质量问题引起的投诉及时安排人员进行处理;9、负责制订项目分阶段的进度计划和进度控制方案及明确工程管理人员的进度管理职责;10、负责审核施工单位的施工进度总计划和具体单位工程进度计划,审批施工单位分步工程计划和月度进度计划及月度、季度、年度资金使用计划,并督促监理单位和工程具体分管人员的工作;11、负责定期召开部门例会,对工程部近期的工作进行总结;对照原工作计划检查员工工作执行情况,点评工作
15、绩效;12、负责督促工程管理人员做好工程复核工作以及审核施工单位变更联系单;13、负责工程成本预算及审核工程款;14、负责项目总体进度、质量、成本的控制,管理和协调并做好与公司各部门工作的沟通与协调;15、负责审核工程结算及尾款的计算工作;16、完成公司领导交办的各项临时工作;17、负责签发工程部上报公司的各种文件、报表、通知和内部管理规定;18、负责每月定期向上级领导汇报当月完成和进行的主要工作及下月的主要工作安排;每月25日前完成本月部门工作总结及下月工作计划。三、集成部岗位职责1、严格遵守公司管理制度;2、负责公司新产品,新技术的调研、论证、开发、设计工作。3、组织实施研发规划;4、制定
16、研发规范、推行并优化研发管理体系;5、组建公司的技术平台、评估研发平台投资;6、研发部门的团队建设、岗位定义、岗位职责要求、员工考核、资源调度;7、评估产品研发的技术可行性;8、制定新产品开发预算和研发计划,并组织实施9、监控每个研发项目的执行过程;10、组织研发成果的鉴定和评审;11、汇总每个项目的可重用成果,形成内部技术和知识方面的的资源库;12、分析总结研发过程的经验和教训,提高研发质量;13、做好公司标准和专利(知识产权)规划,实施相关标准及申请专利,代表公司参与标准协会或者标准组织;14、公司未来的业务发展的预研,如产品预研和技术预研;15、规划组织现有产品的改进;16、制定并实施研
17、发人员的培训计划;17、按工作程序做好与销售部等相关部门的横向沟通,及时解决部门之间的争议。18、完成上级交办的其他工作。四、综合部岗位职责综合管理部是公司行政和人力资源、财务主管部门,其工作职责是: 1、组织研究拟订公司经营理念和战略、公司近、中、远期经营计划,提出公司组织机构、岗位编配方案;2、负责建立和督促执行公司各项管理制度,并根据执行情况定期予以修订完善;3、维持公司正常的办公和生产经营秩序,发现不利于办公和生产经营活动的现象立即予以纠正;4、负责公司综合文电的起草、审核、印发和流转、公司主要领导的日程和外出交通安排等秘书工作;5、负责公司文件和档案的收集、归类、整理、登记、保管、借
18、阅和销毁;6、组织召开公司层级的各类会议,并做好会议记录,督促会议决定的落实;7、负责公司印章管理8、负责或牵头组织承办公司各种资质的报批、认证、复审和年检;9、与政府有关部门及有业务往来的其他单位保持联系,建立良好的工作关系。负责重要来宾的接待工作;10、根据公司领导指示,协调公司内部有关部门共同完成工作;11、根据需要,组织参加国内外展览会和交易会;12、负责构建与维护公司办公和生产经营用计算机网络,保证计算机和网络的安全正常使用,及时纠正违规使用。负责建立、维护和更新公司网站;13、负责企业文化建设;14、负责公司固定资产管理,逐项登记造册。负责物业管理费、水电费报批支付。及时安排修复损
19、坏的办公设施、设备,保持办公区域内的环境卫生;15、统一调配使用公司公务用车,控制油料和车辆维修等车辆使用经费支出,加强司机安全行车教育;16、全面负责员工招聘、培训、考核、奖惩、调整晋升、离职等人力资源管理工作。17、贯彻执行会计法及国家有关各项法规和规章制度。严格执行国家的企业会计准则、和上级的会计核算办法、投融资资管理办法。18、制定企业财务管理的各项规章制度并监督执行。19、配合协助企业年度目标任务的制订与分解,编制并下达企业的财务计划,编制并上报企业年度财务预算,指导企业司的财务活动。20、负责企业的财务管理、资金筹集、调拨和融通,制定资金使用管理办法,合理控制使用资金。21、负责成
20、本核算管理工作,建立成本核算管理体制系,制定成本管理和考核办法,探索降低目标成本的途径和方法。22、负责企业网上银行的安全与正常运营,负责下属各企业应上缴费用、下达与收缴工作。23、负责企业的资产管理、债权债务的管理工作,参与企业的各项投资管理。24、负责企业年度财务决算工作,审核、编制上级有关财务报表,并进行综合分析。25、负责企业的会计电算化管理工作,制定相关规章制度,保证会计信息真实、准确和完整。26、负责企业的纳税管理,运用税收政策,依法纳税,合理避税。27、负责财务会计凭证、账簿、报表等财务档案的分类、整理和移交档案。28、根据企业财务总监管理办法有关条款规定,对派往各股份公司的财务
21、总监的工作进行管理和考核。1目的为了建立、健全公司的信息安全管理体系,实现xxxxx有限公司的信息安全方针和目标,对信息安全风险进行更有效地管理,确保全体员工理解并执行信息安全管理体系文件、持续改进管理体系的有效性,特制定本手册。2适用范围本手册适用于xxxxx有限公司信息安全管理体系涉及的所有人员和公司的全部重要信息资产及过程。3术语和定义 GB/T22080-2008 信息技术安全技术信息安全管理体系要求规定的术语和定义适用于本手册。 ISMS: Information Security Management Systems 信息安全管理体系 SOA: Statement of Appli
22、cability 适用性声明 PDCA:Plan Do Check Action 计划、实施、检查、改进。4信息安全管理体系4.1总体要求 本手册是公司在整体业务活动和所面临风险的环境下规定如何建立、实施、运行、监视、评审、保持和持续改进ISMS的文档。公司运用GB/T22080 图1所示的PDCA模型建立和管理ISMS。4.2建立和管理ISMS4.2.1建立ISMS4.2.1.1确定ISMS范围根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界,包括在范围内任何删减的细节和理由(见适用性声明)。公司ISMS的范围和边界包括:1) 业务范围:2) 物理范围:4.2.1.2
23、确定ISMS方针信息安全方针必须反映企业的意愿,通过总经理的批准,并且能够传达给所有员工和外部各方。信息安全方针是:“充分发挥每一位员工的个性和创造力,创造让 每位员工都能感受到自身价值的企业文化。在此基础上,我们以先进 的信息通信技术回报客户的信赖和期待。为实现便捷舒适,繁荣丰富 的社会贡献自己的力量。”着眼于公司长期持续稳定的发展,合法保护公司自助知识产权,有效控制公司各类信息。杜绝机密信息泄露;控制在任何情况下不发生导致业务中断的信息安全事故。在发生重大不可抵抗力的灾难事件时可迅速有效恢复与顾客有关的运营信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标。4.2.1.3
24、确定风险评估方法为了能够顺利进行风险评估,应根据以下方面进行;1) 识别适合ISMS要求的风险评估方法;2) 信息安全风险评估程序中定义风险接受的准则和可接受的风险级别;3) 信息安全风险评估程序中要包含比较的和可再现的风险评估方法。4.2.1.4识别风险应对公司的信息资产进行梳理,并且根据以下几个方面进行风险识别。1) 识别ISMS范围内的信息资产及其责任人;2) 根据信息安全风险评估程序及信息标识与处理程序对信息资产进行分类分级;3) 识别信息资产所面临的威胁;4) 识别可能被威胁利用的脆弱性;5) 识别丧失保密性、完整性和可用性可能对信息资产造成的影响。4.2.1.5分析和评价风险公司根
25、据以下流程来进行风险评估。1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全侵害肯能造成的对公司的影响;2) 针对主要的威胁和脆弱性,结合当前所实施的控制措施,对信息资产产生影响的可能性;3) 估计风险的级别;4) 根据所建立的风险接受的准则,确定是否接受风险/降低风险/避免风险/转移风险。4.2.1.6识别和评价风险处理的可选措施对识别的风险,根据风险评估的结果,从下面4个选项来进行风险评价;1) 对识别的风险采取适当的控制措施,降低风险到可接受级别;2) 在明显满足公司的信息安全方针和条款中定义的风险接受的准则条件下,有意识的客观的接受风险。3) 避免风险;4) 将
26、相关业务风险转移到其他地方,如:供应商、其他相关者。4.2.1.7为处理风险选择控制目标和控制措施选择的控制目标和控制措施应满足风险评估和风险处理过程中所识别的要求,并考虑条款中接受风险的准则及法律和合同要求。4.2.1.8获得管理者对建议的残余风险的批准总经理确认信息安全总负责人上报的残余风险和风险处理计划后,批准并下达整改指示。4.2.1.9获得管理者对实施和运行ISMS的授权信息安全总负责人在得到管理者的批准后,开始实施和运行ISMS。4.2.1.10准备适用性声明根据选择的控制措施和控制目标,形成适用性声明文档。4.2.2实施和运行ISMS4.2.2.1制定风险处理计划为了能够得到管理
27、者的支持,要根据风险评估的结果、业务要求和法律法规的要求,来确定风险处理的优先顺序,制定风险处理计划。制定信息安全风险处理计划。4.2.2.2实施风险处理计划实施风险处理计划要注意以下事项:1) 合理安排资金的分配;2) 实施角色和职责分配要明确;3) 基于风险处理计划进行进度管理;4) 实施结束的时候,要确认实施效果并汇报结果。4.2.2.3实施所选择的控制措施要把风险处理的控制措施的内容在全体员工中进行宣贯,以确保控制措施的顺利实施。为达到控制目标,要在全体员工中贯彻执行控制措施;实施控制措施的程序不完备的时候,要进行评审修订,根据制定的程序,实施控制程序。4.2.2.4制定控制措施有效性
28、的测量方法和评价制定控制措施有效性的测量方法,对已实施的控制措施进行评价,并把结果汇报给信息安全总负责人。制定信息安全控制措施测量程序,并在各部门中开展实施,把有效性的测量结果作为管理评审的输入。4.2.2.5实施培训和意识教育制定ISMS相关的培训计划,并得到信息安全总负责人的批准,除了全员的教育培训,各部门根据需要,要在部门内开展教育并记录。4.2.2.6管理ISMS的运行为保证ISMS的准确运行,应制定ISMS年度计划,根据ISMS年度计划进行推进和进度管理。ISMS的日常运行中,信息安全总负责人要指示相关人员定期召开项目进度报告会,确认ISMS的运行状况,并解决相关问题。4.2.2.7
29、管理ISMS的资源明确ISMS运行,保持、改进所需的资源,资源管理参照本手册内容执行,ISMS运行所需的资源要定期进行评审修订。4.2.2.8实施能够迅速响应信息安全事件的控制措施检测到安全事件以及遭遇到安全事件时,要根据信息安全事件管理程序中规定的汇报程序,迅速进行汇报并采取相应的处理措施。4.2.3监视和评审ISMS4.2.3.1监视和评审程序及其他控制措施的执行根据以下几个方面来执行监视和评审程序及其他控制措施。1) 为使每位员工能迅速检测到过程运行结果中的错误,要制定日常检测项目并督促执行。2) 对于试图和得逞的安全违规安全事件,部门安全主管要让当事人迅速做出汇报,风险识别后汇报信息安
30、全总负责人。3) 信息安全总负责人要指示信息安全推进工作组确定ISMS的建立、运行、保持、改进所导入的安全活动是否被如期执行,在ISMS管理评审的时候由其负责向总经理汇报。ISMS审核组长从预期效果、有效性、守法性等角度进行ISMS的内部审核,并且把结果汇报给信息安全总负责人。4) 为了能容易检测出安全事态,部门安全主管和信息安全推进工作组要制定检测指标,帮助检测安全事态并预防安全事件。5) 各部门安全主管和信息安全推进工作组要确定解决安全违规的措施是否有效,是否有必要追加控制措施,有必要时,切实实施追加的控制措施。4.2.3.2 ISMS有效性的定期评审在ISMS管理评审之前,信息安全推进工
31、作组要进行ISMS有效性的定期评审,并做出汇报。4.2.3.3控制措施有效性的测量信息安全推进工作组为了验证安全要求是否被满足,要委托各部门进行控制措施有效性的测量,然后汇总整理所有的测量结果,信息安全总负责人批准后,负责在ISMS管理评审的时候进行汇报。4.2.3.4残余风险和可接受的风险级别的评审信息安全推进工作组要每年进行评审,在风险评估之前,通过考虑各方面的变化,对残余风险和已确定的可接受的风险级别进行评审。评估结果向信息安全总负责人汇报,然后由信息安全总负责人提交总经理批准。4.2.3.5 ISMS内部审核的实施ISMS内审员按照本手册规定的时间及内容对ISMS进行内部审核,并形成报
32、告,在ISMS管理评审中进行汇报。4.2.3.6 ISMS管理评审的实施按照本手册规定的内容进行ISMS的管理评审。4.2.3.7安全计划的更新信息安全推进工作组要对各部门监视和评审中检测出的结果进行讨论,如果ISMS年度计划中的内容有必要变更的话,要经信息安全总负责人的批准后实施更新,然后在各部门开展执行。4.2.3.8措施和事件的记录信息安全总负责人要指示部门安全主管和信息安全推进工作组根据以下内容进行记录:记录可能影响ISMS有效性的措施和事态;记录可能影响ISMS执行情况的措施和事态。4.2.4保持和改进ISMS在信息安全总负责人批准的基础上,部门安全主管为确保ISMS的充分性和有效性
33、,要保持ISMS的运行并不断地进行改进。4.2.4.1 措施和事件的记录公司员工,根据以下的具体程序实施已识别的ISMS改进措施。1) 识别应该被ISMS采纳的改进措施;2) 与相关者讨论被识别的改进措施以达成一致的意见;3) 实施已识别的ISMS改进措施。4.2.4.2 采取纠正和预防措施 公司员工根据以下的具体程序采取适宜的ISMS保持、改进所必须的纠正和预防措施。1) 纠正措施根据本手册8.2内容进行;2) 预防措施根据本手册8.3内容进行;3) 信息安全总负责人、部门安全主管从其他组织吸取安全经验教训,收集纠正和预防措施的相关情报并付诸于实践;4) 公司员工要致力于保持和改进ISMS所
34、必须的安全技术的学习。4.2.4.3 与利益相关方沟通和改进措施 公司员工在跟所有的利益相关方传达和沟通已实施的或即将实施的措施和改进内容时,要注意以下方面的内容。1) 要向所有的利益相关方传达与现状相适应的改进措施;2) 必要时,要与所有的利益相关方一起商讨今后的改进措施。4.2.4.4 确保改进达到了预期目标 在ISMS管理评审和部门的项目实施例会上,信息安全总负责人要听取关于改进目标和改进内容的汇报,确保改进达到了预期效果。4.3文件体系4.3.1 ISMS文件文件应包括管理决策记录,以确保所采取的措施符合总经理的决定和方针,还应确保记录的结果是可重复产生的。并且,文件应该能够显示出所选
35、择的控制措施回溯到风险评估和风险处理过程的结果,并进而回溯到ISMS方针和目标之间的关系。文件层次如下:1) 一级文件:是公司在ISMS方面的行动纲领和方针性文件。包括:本手册、信息安全管理体系职责、适用性声明2) 二级文件:是建立ISMS和过程管理方法的基础,其中规定了公司在信息安全活动中所要遵守的重要原则和实施程序等。包括:信息安全风险评估程序、内部审核程序、文件控制程序、记录控制程序等。3) 三级文件:是二级文件在各部门的的本地化和ISMS运行过程中产生的一些事务性管理文件。包括具体的使用手册、指南等。4) 四级文件:是ISMS运行过程中产生的各种记录性文件,如会议记录、培训记录、内部审
36、核记录等。4.3.2文件管理ISMS所要求的文件应予以保护和控制,符合ISMS的要求,并持续改进。应规定以下方面所需的管理措施:1) 文件发布前得到批准,以确保文件是适当的;2) 必要时对文件进行评审、更新并再次批准;3) 确保文件的更改和现行修订状态得到标识;4) 确保在使用处可获得使用文件的相关版本;5) 确保文件保持清晰、易于识别;6) 确保文件对需要的人员可用,并依据文件适用的类别程序进行传输、储存和最终销毁;7) 确保外来文件得到识别;8) 确保文件的分发得到控制;9) 防止作废文件的非预期适用。文件管理的具体内容参考文件控制程序进行。4.3.3记录管理记录应建立并加以保持,以提供符
37、合ISMS要求和有效运行的证据。记录应加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录管理的内容详见记录控制程序。5 管理职责5.1管理者的承诺总经理对ISMS的规划(P),实施(D)、检查(C)、处置(A)需提供必要的承诺和资源,并且为公司员工提供执行ISMS职责所必须的教育培训。对建立、实施、运行、监视、评审、保持和改进ISMS的充分性和有效性的以下活动,总经理要提供必要的承诺。5.1.1 评审ISMS的基本方针每年一次,对本手册的制定和评审进行指示和批准。5.1.2 制定ISMS的基本目标为了加强ISMS活动和信息安全,总经理要下达以下
38、指示:1) 每年一次,让部门安全主管制定部门的安全目标;2) 信息安全部门主管要把制定的安全目标作为本部门的课题,在本部门员工内宣贯;3) 信息安全推进工作组制定年度计划,向信息安全总负责人汇报,信息安全总负责人根据年度计划管理ISMS的运行。5.1.3 建立信息安全的角色和职责为确保信息安全,明确必要的角色和相应的职责,并组建相应的体制结构。1) 任命管理ISMS运行的信息安全总负责人;2) 任命确保ISMS充分性和有效性的ISMS审核组长;3) 制定ISMS的建立、保持、改进所需的体制结构的文档和定期评审;5.1.4向公司传达适宜的要求和持续改进的重要性对全体员工,以下的事项要进行传达贯彻
39、:1) 达成信息安全目标的重要性;2) 适宜的信息安全方针的重要性;3) 履行法律责任的重要性;4) ISMS持续运行的重要性。5.1.5为建立、实施、运行、监视、评审、保持和改进ISMS提供足够的资源公司应确保并提供本手册5.2.1项规定的各种资源。5.1.6决定接受风险的准则和风险的可接受级别参考信息安全风险评估程序程序实施;5.1.7确保ISMS内部审核的执行每年,ISMS内审组长要根据内部审核程序制定内部审核计划,督促内部审核的执行,并且要确认内审的结果。5.2资源管理5.2.1资源提供为了实施,保持公司的ISMS,并持续改进其充分性和有效性,公司应确保并提供所需的资源。5.2.1.1
40、建立、实施、运行、监视、评审、保持和改进ISMS组建建立、实施、运行、监视、评审、保持和改进ISMS的所需人员,确保ISMS运行,保持和改进所需的费用。5.2.1.2确保信息安全程序支持业务要求确认业务要求,制定相应的信息安全操作程序,确保实施这些程序所需的人员和费用。5.2.1.3识别和满足法律法规要求以及合同中的安全义务确保制定合规性控制程序所需的人员以及实施相应的控制措施。5.2.1.4通过正确实施所有的控制措施保持适当的安全基于适用性声明,确保为实施所采用的控制措施所需的人员和费用,风险处理计划、纠正计划中所需要的资源投入和实施。5.2.1.5必要时进行评审,并适当响应评审的结果评审基
41、于安全事态,安全事件以及误操作等的信息安全经验中采取过的控制措施程序,确保评审控制程序所需的人员和费用。5.2.1.6在需要时,改进ISMS的有效性在发现ISMS缺陷、缺点时,为实施改进措施所需的人员和费用的确保。5.2.2培训、意识和能力为了达到ISMS目标,信息安全总负责人应通过以下方式,让公司的所有员工和相关人员意识到信息安全活动的适当性和重要性,并确保所有负担ISMS职责的人员具有执行任务的能力。5.2.2.1评价所提供的培训和所采取的措施的有效性信息安全部门主要要向信息安全总负责人汇报本部门员工的能力培训结果,信息安全推进工作组汇总部门的培训结果,向信息安全总负责人汇报,信息安全总负
42、责人评价是否达到培训目标。5.2.2.2培训结果的记录部门安全主管要管理本部门的教育、培训、技能、经理和资格的培训记录。6 ISMS内部审核为确定ISMS的控制目标、控制程序、过程和程序是否满足要求,公司应该按照下述内容进行内部审核;1) 公司建立并实施内部审核程序,明确审核的目的、体制、程序等内容,确保公司的ISMS的符合性和有效性,符合已识别的信息安全要求;2) 审核组长负责监督内部审核的进行,并将审核情况报告信息安全总负责人;3) 公司按计划的时间间隔组织内部审核,审核计划的安排应考虑部门的重要性及以往的执行情况;4) 应安排具备审核员资格的人员进行审核,审核员不应审核自己部门的工作,以
43、确保审核的公正性和客观性;5) 受审核部门应采取适当的措施,以消除发现的不符合项;6) 审核员应对所有采取措施的情况进行跟踪验证,确保不符合项的结案;7) 有关审核的所有记录应由信息安全战略推进工作组进行保存。详细请参考内部审核程序执行。7 ISMS管理评审公司应按照下述内容进行管理评审:1) 公司建立并实施管理评审程序,规定每年至少一次组织公司各部门进行评审组织的ISMS,以确保其持续的适宜性、充分性和有效性;评估ISMS改进的机会和变更需要,包括信息安全方针和信息安全目标;2) 管理评审时总经理对ISMS运作情况的检查和评价,具体评审内容和评审输入参见管理评审程序。3) 公司可以采取会议或
44、者其他形式进行管理评审,评审的结果应形成管理评审报告,报告内容即评审输出参见管理评审程序;4) 管理评审报告由信息安全战略推进工作组编制和存档,经信息安全总负责人批准后发生往各部门。详细内容请参考管理评审程序执行。8 ISMS的改进8.1持续改进持续改进是ISMS得以持续保持其有效性的保证,公司在以下方面都要体现持续改进:1) 信息安全方针;2) 信息安全目标;3) 审核结果;4) 监控事件的分析;5) 纠正措施;6) 预防措施;7) 管理评审。8.2纠正措施公司制定并实施纠正和预防控措施控制程序,针对发现的不符合项,采取措施,消除不符合项的原因,并防止不符合项的再次发生。对纠正措施的实施和验证按照纠正和预防措施控制程序规定的步骤进行。将重大纠正措施提交管理评审讨论。详细内容请参考纠正和预防措施控制程序执行。8.3预防措施公司制定并实施纠正和预防措施控制程序,针对潜在的不符合项,采取措施,消除不符合项的原因,并防止不符合项的发生。对预防措施的实施和验证按照纠正和预防措施控制程序规定的步骤进行。将重大预防措施提交管理评审讨论。公司应识别变化的风险,并通过关注变化显著的风险来识别预防措施的
浙ICP备2021020529号-1 | 浙B2-20240490 
