信息安全管理基础手册.doc

1、信息安全管理体系管理手册ISMS-M-yyyy版本号：A/1受控状态： 受 控 非受控 编 制审 核批 准编写组审核人A总经理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd日期： 1月8日 实行日期： 1月8日 修改履历版本制定者修改时间更改内容审核人审核意见变更申请单号A/0编写组-1-08定版审核人A批准A/1编写组-1-15定版审核人B批准00 目录00 目录301 颁布令502 管理者代表授权书603 公司概况704 信息安全管理方针目的905 手册管理1106 信息安全管理手册121 范畴121.1 总则121.2 应用122 规范性引用文献123 术语和定义123.1

2、 我司133.2 信息系统133.3 计算机病毒133.4 信息安全事件133.5 有关方134 组织环境134.1 组织及其环境134.2 有关方需求和盼望134.3 拟定信息安全管理体系范畴144.4 信息安全管理体系145 领导力145.1 领导和承诺145.2 方针155.3 组织角色、职责和权限156 规划156.1 应对风险和机会办法156.2 信息安全目的和规划实现187 支持187.1 资源187.2 能力197.3 意识197.4 沟通197.5 文献化信息198 运营208.1 运营规划和控制208.2 信息安全风险评估218.3 信息安全风险处置219 绩效评价219.1

3、 监视、测量、分析和评价219.2 内部审核229.3 管理评审2310 改进2310.1 不符合和纠正办法2310.2 持续改进24附录A 信息安全管理组织构造图25附录B 信息安全管理职责明细表26附录C 信息安全管理程序文献清单2801 颁布令 为提高*公司*信息安全管理水平，保障我公司业务活动正常进行，防止由于信息系统中断、数据丢失、敏感信息泄密所导致公司和客户损失，我公司开展贯彻ISO/IEC27001:信息技术-安全技术-信息安全管理体系规定国际原则工作，建立、实行和持续改进文献化信息安全管理体系，制定了*公司* 信息安全管理手册。信息安全管理手册是公司法规性文献，是指引公司建立并

4、实行信息安全管理体系大纲和行动准则，用于贯彻公司信息安全管理方针、目的，实现信息安全管理体系有效运营、持续改进，体现公司对社会承诺。信息安全管理手册符合关于信息安全法律、法规规定及ISO/IEC27001:信息技术-安全技术-信息安全管理体系-规定原则和公司实际状况，现正式批准发布，自1月8日 起实行。公司全体员工必要遵循执行。全体员工必要严格按照信息安全管理手册规定，自觉遵循信息安全管理方针，贯彻实行本手册各项规定，努力实现公司信息安全管理方针和目的。*公司* 总 经 理：总经理 1月8日 02 管理者代表授权书为贯彻执行信息安全管理体系，满足ISO/IEC27001:信息技术-安全技术-信

5、息安全管理体系-规定原则规定，加强领导，特任命 审核人B 为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1 保证按照原则规定，进行资产辨认和风险评估，全面建立、实行和保持信息安全管理体系；2 负责与信息安全管理体系关于协调和联系工作；3 保证在整个组织内提高信息安全风险意识；4 审核风险评估报告、风险解决筹划；5 批准发布程序文献；6 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7 向最高管理者报告信息安全管理体系业绩和改进规定，涉及信息安全管理体系运营状况、内外部审核状况。本授权书自任命日起生效执行。*公司* 总 经 理：总经理1月15日 03 公司概

6、况这里是公司状况简介哦这里是公司状况简介哦这里是公司状况简介哦这里是公司状况简介哦这里是公司状况简介哦单位地址：单位地址电 话：单位电话传 真：单位电话邮 编：邮编总经理 ： 总经理 管 代： 审核人A 04 信息安全管理方针目的为防止由于信息系统中断、数据丢失、敏感信息泄密所导致公司和客户损失，我司建立了信息安全管理体系，制定了信息安全方针，拟定了信息安全目的。信息安全管理方针：数据保密、信息完整、控制风险、持续改进、遵守法律。我司信息安全管理方针涉及内容如下：一、信息安全管理机制1公司采用系统办法，按照ISO/IEC27001:建立信息安全管理体系，全面保护我司信息安全。二、信息安全管理组

7、织2公司总经理对信息安全工作全面负责，负责批准信息安全方针，拟定信息安全规定，提供信息安全资源。3公司总经理任命管理者代表负责建立、实行、检查、改进信息安全管理体系，保证信息安全管理体系持续适当性和有效性。4在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系有效运营。5与上级部门、地方政府、有关专业部门建立定期经常性联系，理解安全规定和发展动态，获得对信息安全管理支持。三、人员安全6信息安全需要全体员工参加和支持，全体员工均有保护信息安全职责，在劳动合同、岗位职责中应包括对信息安全规定。特殊岗位人员应规定特别安全责任。对岗位调动或离职人员，应及时调节安全

8、职责和权限。7对我司有关方，要明确安全规定和安全职责。 8定期对全体员工进行信息安全有关教诲，涉及：技能、职责和意识。以提高安全意识。9全体员工及有关方人员必要履行安全职责，执行安全方针、程序和安全办法。四、辨认法律、法规、合同中安全10及时辨认顾客、合伙方、有关方、法律法规对信息安全规定，采用办法，保证满足安全规定。五、风险评估11依照我司业务信息安全特点、法律法规规定，建立风险评估程序，拟定风险接受准则。12采用先进风险评估技术，定期进行风险评估，以辨认我司风险变化。我司或环境发生重大变化时，随时评估。13应依照风险评估成果，采用相应办法，减少风险。六、报告安全事件14公司建立报告信息安全

9、事件渠道和相应主管部门。15全体员工有报告信息安全隐患、威胁、薄弱点、事故责任，一旦发现信息安全事件，应及时按照规定途径进行报告。16接受信息安全事件报告主管部门应记录所有报告，及时做出相应解决，并向报告人员反馈解决成果。七、监督检查17定期对信息安全进行监督检查，涉及：寻常检查、专项检查、技术性检查、内部审核等。八、业务持续性18公司依照风险评估成果，建立业务持续性筹划，抵消信息系统中断导致影响，防止核心业务过程受严重信息系统故障或者劫难影响，并保证可以及时恢复。19定期对业务持续性筹划进行测试和更新。九、违背信息安全规定惩罚20对违背信息安全方针、职责、程序和办法人员，按规定进行解决。信息

10、安全目的如下：1. 重大信息安全事件（损失达1万以上）为零。2. 公司发生网络中断时间不大于2小时每年。05 手册管理1 信息安全管理手册批准办公室负责组织编制信息安全管理手册，总经理负责批准。2 信息安全管理手册发放、更改、作废与销毁a）办公室负责按文献管理程序规定，进行信息安全管理手册登记、发放、回收、更改、归档、作废与销毁工作；b）各有关部门按照受控文献管理规定对收到信息安全管理手册进行使用和保管；c）办公室按照规定发放修改后信息安全管理手册，并收回失效文献作出标记统一解决，保证有效文献唯一性；d）办公室保存信息安全管理手册修改内容记录。3 信息安全管理手册换版当根据ISO/IEC270

11、01:或ISO/IEC27002:原则有重大变化、组织构造、内外部环境、生产技术、信息安全风险等发生重大变化及信息安全管理手册发生需修改某些超过1/3时，应对信息安全管理手册进行换版。换版应在管理评审时形成决策，重新实行编、审、批工作。4 信息安全管理手册控制a）本信息安全管理手册标记分受控文献和非受控文献两种：受控文献发放范畴为公司领导、各有关部门负责人、内审员；非受控文献指印制成单行本，作为投标书资料或为生产、销售目等发给受控范畴以外其她有关人员。b）信息安全管理手册有书面文献和电子文献，电子版本文献有效格式为.doc文档。06 信息安全管理手册1 范畴1.1 总则为了建立、实行、运营、监

12、视、评审、保持和改进文献化信息安全管理体系（简称ISMS），拟定信息安全方针和目的，对信息安全风险进行有效管理，保证全体员工理解并遵循执行信息安全管理体系文献、持续改进信息安全管理体系有效性，特制定本手册。1.2 应用1.2.1 覆盖范畴本信息安全管理手册规定了*公司*信息安全管理体系规定、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册合用于*公司*电磁屏蔽机房设计业务活动所涉及信息系统、资产及有关信息安全管理活动。1.2.2 删减阐明本信息安全管理手册采用了ISO/IEC27001:原则正文所有内容，对合用性声明SOA删减如下:A.14.2.7外包开发 删减

13、理由：公司无此业务2 规范性引用文献下列文献中条款通过本信息安全管理手册引用而成为本信息安全管理手册条款。凡是注日期引用文献，其随后所有修改单或修订版均不合用于本原则，然而，办公室应研究与否可使用这些文献最新版本。凡是不注日期引用文献、其最新版本合用于本信息安全管理手册。ISO/IEC27001:信息技术-安全技术-信息安全管理体系-规定ISO/IEC27002:信息技术-安全技术-信息安全管理实用规则3 术语和定义ISO/IEC27001:信息技术-安全技术-信息安全管理体系-规定、ISO/IEC27002:信息技术-安全技术-信息安全管理实用规则规定术语和定义合用于本信息安全管理手册。3.

14、1 我司指*公司*涉及*公司*所属各部门。3.2 信息系统指由计算机及其有关和配套设备、设施（含网络）构成，且按照一定应用目的和规则对信息进行采集、加工、存储、传播、检索等解决人机系统。3.3 计算机病毒指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制一组计算机指令或者程序代码。3.4 信息安全事件指引致信息系统不能提供正常服务或服务质量下降技术故障事件、运用信息系统从事反动有害信息和涉密信息传播事件、运用网络所从事对信息系统破坏窃密事件。3.5 有关方关注我司信息安全或与我司信息安全绩效有利益关系组织和个人。重要为：政府、上级部门、供方、银行、顾客等。4

15、组织环境4.1 组织及其环境我司依照业务特性、组织构造、地理位置、资产和技术定义了范畴和边界，我司信息安全管理体系范畴涉及：a) 我司涉及软件产品技术开发，设计管理业务系统（本次认证范畴：与信息管理软件设计开发有关信息安全管理活动）；b) 与所述信息系统关于活动；c) 与所述信息系统关于部门和所有员工；d) 所述活动、系统及支持性系统包括所有信息资产。e) 我司依照组织业务特性和组织构造定义了信息安全管理体系组织范畴，见附录A（规范性附录）组织机构图。f) 我司依照组织业务特性、组织构造、地理位置、资产和技术定义了信息安全管理体系物理范畴和信息安全边界。g）我司信息安全管理体系物理范畴为我司位

16、于单位地址。4.2 有关方需求和盼望重大信息安全事件（损失达1万以上）为零。公司发生网络中断时间不大于2小时每年。4.3 拟定信息安全管理体系范畴体系范畴：与信息管理软件设计开发、计算机系统集成有关信息安全管理活动我司涉及软件产品技术开发，设计管理业务系统（本次认证范畴：与电磁屏蔽机房设计有关信息安全管理活动）组织范畴：我司依照组织业务特性和组织构造定义了信息安全管理体系组织范畴，见附录A（规范性附录）组织机构图。物理范畴：我司依照组织业务特性、组织构造、地理位置、资产和技术定义了信息安全管理体系物理范畴和信息安全边界。我司信息安全管理体系物理范畴为我司位于单位地址。4.4 信息安全管理体系我

17、司在软件产品技术开发，设计管理活动中，按ISO/IEC27001:信息技术-安全技术-信息安全管理体系-规定规定，参照ISO/IEC27002:信息技术-安全技术-信息安全管理实用规则原则，建立、实行、运营、监视、评审、保持和改进文献化信息安全管理体系。信息安全管理体系使用过程基于图1所示PDCA模型。图1 信息安全管理体系模型建立ISMS实行和运营ISMS保持和改进ISMS监视和评审ISMS有关方信息安全规定和盼望有关方信息安全管理策划实行检查处置5 领导力5.1 领导和承诺我公司管理者通过如下活动，对建立、实行、运作、监视、评审、保持和改进信息安全管理体系承诺提供证据：a) 建立信息安全方

18、针(见本手册第0.4章)；b) 保证信息安全目的得以制定（见本手册第0.4章、合用性声明SoA、风险解决筹划及有关记录）；c) 建立信息安全角色和职责；d) 向组织传达满足信息安全目的、符合信息安全方针、履行法律责任和持续改进重要性；e) 提供充分资源，以建立、实行、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2章)；f) 决定接受风险准则和风险可接受级别(见信息安全风险管理原则及有关记录)；g) 保证内部信息安全管理体系审核（见本手册第9.2章）得以实行； h) 实行信息安全管理体系管理评审（见本手册第9.3章）。5.2 方针为防止由于信息系统中断、数据丢失、敏感信息泄密所导

19、致公司和客户损失，我司建立了信息安全管理体系，制定了信息安全方针，拟定了信息安全目的。信息安全管理方针：满足客户规定，遵守法律法规，实行风险管理，保证信息安全，实现持续改进。信息安全目的下：1. 重大信息安全事件（损失达1万以上）为零。2. 公司发生网络中断时间不大于2小时每年。5.3 组织角色、职责和权限详见附录B6 规划6.1 应对风险和机会办法6.1.1 总则为了满足合用法律法规及有关方规定，维持电力整流器开发和经营正常进行，实现业务可持续发展目。我司依照组织业务特性、组织构造、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.4条款。该信息安全方针符合如下规定：

20、a) 为信息安全目的建立了框架，并为信息安全活动建立整体方向和原则；b) 考虑业务及法律或法规规定，及合同安全义务；c) 与组织战略和风险管理相一致环境下，建立和保持信息安全管理体系；d) 建立了风险评价准则；e) 经最高管理者批准。为实现信息安全管理体系方针，我司承诺：a) 在各层次建立完整信息安全管理组织机构，拟定信息安全目的和控制办法；明确信息安全管理职责，详见附录B（规范性附录）信息安全管理职责明细表；b) 辨认并满足合用法律、法规和有关方信息安全规定； c) 定期进行信息安全风险评估，信息安全管理体系评审，采用纠正防止办法，保证体系持续有效性；d）采用先进有效设施和技术，解决、传递、

21、储存和保护各类信息，实现信息共享；e) 对全体员工进行持续信息安全教诲和培训，不断增强员工信息安全意识和能力；f) 制定并保持完善业务持续性筹划，实现可持续发展。6.1.2 信息安全风险评估6.1.2.1 风险评估办法办公室负责制定信息安全风险管理程序，建立辨认合用于信息安全管理体系和已经辨认业务信息安全、法律和法规规定风险评估办法，建立接受风险准则并辨认风险可接受级别。6.1.2.2辨认风险在已拟定信息安全管理体系范畴内，我司按信息安全风险管理程序，对所有资产进行了辨认，并辨认了这些资产所有者。资产涉及硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密

22、性、完整性、法律法规符合性规定进行了量化赋值，依照重要资产判断根据拟定与否为重要资产，形成了重要资产清单。同步，依照信息安全风险管理程序，辨认了对这些资产威胁、也许被威胁运用脆弱性、辨认资产价值、保密性、完整性和可用性、合规性损失也许对资产导致影响。6.1.2.3分析和评价风险我司按信息安全风险管理程序，采用FMEA分析办法，分析和评价风险：a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致后果进行赋值；b) 针对每一项威胁、薄弱点，对资产导致影响，考虑既有控制办法，鉴定安全失效发生也许性，并进行赋值；c) 依照信息安全风险管理程序计算风险级别；d) 依照信息安全风险管理程序及

23、风险接受准则，判断风险为可接受或需要解决。6.1.2.4辨认和评价风险解决选取办公室组织关于部门依照风险评估成果，形成风险解决筹划，该筹划明确了风险解决责任部门、负责人、解决办法及起始、完毕时间。对于信息安全风险，应考虑控制办法与费用平衡原则，选用如下恰当办法：a) 控制风险，采用恰当内部控制办法；b) 接受风险（不也许将所有风险减少为零）；c) 避免风险（如物理隔离）；d) 转移风险（如将风险转移给保险者、供方、分包商）。6.1.3 信息安全风险处置办公室依照信息安全方针、业务发展规定及风险评估成果，组织关于部门制定了信息安全目的，并将目的分解到关于部门（见信息安全合用性声明）：a) 信息安

24、全控制目的获得了信息安全最高责任者批准。b) 我司依照信息安全管理需要，可以选取原则之外其她控制办法c) 控制目的及控制办法选取原则来源于ISO/IEC27001:信息技术-安全技术-信息安全管理体系-规定附录A，详细控制办法参照ISO/IEC27002:信息技术-安全技术-信息安全管理实用规则。d) 合用性声明：办公室负责编制信息安全合用性声明（SoA），所选取控制目的与控制办法概要描述，以及选取因素；对ISO/IEC27001:附录A中未选用控制目的及控制办法理由阐明。e) 制定风险处置筹划。f) 对风险解决后剩余风险，得到了公司最高管理者批准6.2 信息安全目的和规划实现6.2.1我司通

25、过实行不定期安全检查、内部审核、事故（事件）报告调查解决、电子监控、定期技术检查等控制办法并报告成果以实现：a)及时发现解决成果中错误、信息安全体系事故（事件）和隐患；b)及时理解辨认失败和成功安全破坏和事件、信息解决系统遭受各类袭击；c)使管理者确认人工或自动执行安全活动达到预期成果；d)使管理者掌握信息安全活动和解决安全破坏所采用办法与否有效；e)积累信息安全面经验;6.2.2依照以上活动成果以及来自有关方建议和反馈，由总经理主持，每年至少一次对信息安全管理体系有效性进行评审，其中涉及信息安全范畴、方针、目的符合性及控制办法有效性评审，考虑安全审核、事件、有效性测量成果，以及所有有关方建议

26、和反馈。管理评审详细规定，见本手册第7章。6.2.3 办公室应组织关于部门按照信息安全风险管理程序规定，采用FMEA分析办法，对风险解决后残存风险进行定期评审，以验证残存风险与否达到可接受水平，对如下方面变更状况应及时进行风险评估：a) 组织； b) 技术；c) 业务目的和过程；d) 已辨认威胁；e) 实行控制有效性； f) 外部事件，例如法律或规章环境变化、合同责任变化以及社会环境变化。6.2.4按照筹划时间间隔进行信息安全管理体系内部审核。6.2.5定期对信息安全管理体系进行管理评审，以保证范畴充分性，并辨认信息安全管理体系过程改进，管理评审详细规定，见本手册第7章。6.2.6考虑监视和评

27、审活动发现，更新安全筹划。6.2.7记录也许对信息安全管理体系有效性或业绩有影响活动和事情。7 支持7.1 资源我司拟定并提供实行、保持信息安全管理体系所需资源；采用恰当办法，使影响信息安全管理体系工作员工能力是胜任，以保证：a) 建立、实行、运作、监视、评审、保持和改进信息安全管理体系；b) 保证信息安全程序支持业务规定；c) 辨认并指出法律法规规定和合同安全责任；d) 通过对的应用所实行所有控制来保持充分安全；e) 必要时进行评审，并对评审成果采用恰当办法；f) 需要时，改进信息安全管理体系有效性。7.2 能力组织应： a) 拟定员工为完毕其本职工作所所需安全技能； b) 保证员工具备完毕

28、工作所需教诲、培训和经验；c) 采用适当办法保证员工具备相应技能并对技能进行考核； d) 保存恰当文档信息作为证据。 注：恰当办法也许涉及，例如：提供培训、指引或重新分派既有员工，或雇用品备有关技能人士。7.3 意识组织员工应理解： a) 信息安全方针； b) 个人对于实现信息安全管理重要性，提高组织信息安全绩效收益； c) 不符合信息安全管理体系规定所导致影响。7.4 沟通办公室制定并实行人力资源管理程序文献，保证被分派信息安全管理体系规定职责所有人员，都必要有能力执行所规定任务。可以通过：a)拟定承担信息安全管理体系各工作岗位职工所必要能力；b)提供职业技术教诲和技能培训或采用其她办法来满

29、足这些需求；c)评价所采用办法有效性；d)保存教诲、培训、技能、经验和资历记录。我司还保证所有有关人员意识到其所从事信息安全活动有关性和重要性，以及如何为实现信息安全管理体系目的做出贡献。7.5 文献化信息7.5.1 总则我司信息安全管理体系文献涉及：a) 文献化信息安全方针、控制目的，在信息安全管理手册中描述；b) 信息安全管理手册（本手册，涉及信息安全合用范畴及引用原则）；c) 本手册规定信息安全风险管理程序、业务持续性管理程序、纠正办法管理程序等支持性程序；d) 信息安全管理体系引用支持性程序。如：文献管理程序、记录管理程序、内部审核管理程序等；e) 为保证有效策划、运作和控制信息安全过

30、程所制定文献化操作程序；f)风险评估报告、风险解决筹划以及信息安全管理体系规定记录类文献；g) 有关法律、法规和信息安全原则；h) 合用性声明（SoA）。7.5.2 创立和更新7.5.3 文献化信息控制办公室制定并实行文献管理程序，对信息安全管理体系所规定文献进行管理。对信息安全管理手册、程序文献、管理规定、作业指引书和为保证信息安全管理体系有效策划、运营和控制所需受控文献编制、评审、批准、标记、发放、使用、修订、作废、回收等管理工作作出规定，以保证在使用场合可以及时获得合用文献有效版本。文献控制应保证：a)文献发布前得到批准，以保证文献是充分；b)必要时对文献进行评审、更新并再次批准；c)保

31、证文献更改和现行修订状态得到辨认；d)保证在使用时，可获得有关文献最新版本；e)保证文献保持清晰、易于辨认；f) 保证文献可觉得需要者所获得，并依照合用于她们类别程序进行转移、存储和最后销毁；g)保证外来文献得到辨认；h)保证文献分发得到控制；i)防止作废文献非预期使用；j)若因任何目需保存作废文献时，应对其进行恰当标记。8 运营8.1 运营规划和控制按照PDCA对体系进行运营。在公司实际推动信息安全体系运营。8.2 信息安全风险评估8.2.1 辨认风险在已拟定信息安全管理体系范畴内，我司按信息安全风险管理程序，对所有资产进行了辨认，并辨认了这些资产所有者。资产涉及硬件、设施、软件与系统、数据

32、、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性规定进行了量化赋值，依照重要资产判断根据拟定与否为重要资产，形成了重要资产清单。同步，依照信息安全风险管理程序，辨认了对这些资产威胁、也许被威胁运用脆弱性、辨认资产价值、保密性、完整性和可用性、合规性损失也许对资产导致影响。8.2.2 分析和评价风险我司按信息安全风险管理程序，采用FMEA分析办法，分析和评价风险：a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致后果进行赋值；b) 针对每一项威胁、薄弱点，对资产导致影响，考虑既有控制办法，鉴定安全失效发生也许性，并进行赋值；c) 依照信息安

33、全风险管理程序计算风险级别；d) 依照信息安全风险管理程序及风险接受准则，判断风险为可接受或需要解决。8.3 信息安全风险处置办公室组织关于部门依照风险评估成果，形成风险解决筹划，该筹划明确了风险解决责任部门、负责人、解决办法及起始、完毕时间。对于信息安全风险，应考虑控制办法与费用平衡原则，选用如下恰当办法：a) 控制风险，采用恰当内部控制办法；b) 接受风险（不也许将所有风险减少为零）；c) 避免风险（如物理隔离）；d) 转移风险（如将风险转移给保险者、供方、分包商）。9 绩效评价9.1 监视、测量、分析和评价9.1.1我司通过实行不定期安全检查、内部审核、事故（事件）报告调查解决、电子监控

34、、定期技术检查等控制办法并报告成果以实现：a)及时发现解决成果中错误、信息安全体系事故（事件）和隐患；b)及时理解辨认失败和成功安全破坏和事件、信息解决系统遭受各类袭击；c)使管理者确认人工或自动执行安全活动达到预期成果；d)使管理者掌握信息安全活动和解决安全破坏所采用办法与否有效；e)积累信息安全面经验;9.1.2依照以上活动成果以及来自有关方建议和反馈，由总经理主持，每年至少一次对信息安全管理体系有效性进行评审，其中涉及信息安全范畴、方针、目的符合性及控制办法有效性评审，考虑安全审核、事件、有效性测量成果，以及所有有关方建议和反馈。管理评审详细规定，见本手册第7章。9.1.3 办公室应组织

35、关于部门按照信息安全风险管理程序规定，采用FMEA分析办法，对风险解决后残存风险进行定期评审，以验证残存风险与否达到可接受水平，对如下方面变更状况应及时进行风险评估：a) 组织； b) 技术；c) 业务目的和过程；d) 已辨认威胁；e) 实行控制有效性； f) 外部事件，例如法律或规章环境变化、合同责任变化以及社会环境变化。9.1.4按照筹划时间间隔进行信息安全管理体系内部审核，内部审核详细规定，见本手册第6章。9.1.5定期对信息安全管理体系进行管理评审，以保证范畴充分性，并辨认信息安全管理体系过程改进，管理评审详细规定，见本手册第7章。9.1.6考虑监视和评审活动发现，更新安全筹划。9.1

36、.7记录也许对信息安全管理体系有效性或业绩有影响活动和事情。9.2 内部审核9.2.1办公室应考虑拟审核过程和区域状况和重要性以及以往审核成果，对审核方案进行策划。应编制内审年度筹划，拟定审核准则、范畴、频次和办法。9.2.2每次审核前，办公室应编制内审筹划，拟定审核准则、范畴、日程和审核组。审核员选取和审核算施应保证审核过程客观性和公正性。审核员不应审核自己工作。9.2.3 应按审核筹划规定实行审核，涉及：a）进行初次会议，明确审核目和范畴，采用办法和程序；b）实行现场审核，检查有关文献、记录和凭证，与有关人员进行交流；c）进行对检查内容进行分析，召开内审小组初次会议、末次会议，宣布审核意见

37、和不符合报告；d）审核组长编制审核报告。9.2.4对审核中提出不符合项报告，责任部门应编制纠正办法，由办公室组织对受审部门纠正办法实行状况进行跟踪、验证；9.2.5按照记录管理程序规定，保存审核记录。9.2.6内部审核报告，应作为管理评审输入之一。9.3 管理评审管理评审输入要涉及如下信息：a) 信息安全管理体系审核和评审成果；b) 有关方反馈；c) 用于改进信息安全管理体系业绩和有效性技术、产品或程序；d) 防止和纠正办法状况；e) 风险评估没有充分强调脆弱性或威胁；f) 有效性测量成果；g) 管理评审跟踪办法；h) 任何也许影响信息安全管理体系变更；i) 改进建议。管理评审输出应涉及与下列

38、内容有关任何决定和办法：a) 信息安全管理体系有效性改进；b) 更新风险评估和风险解决筹划；c) 必要时，修订影响信息安全程序和控制办法，以反映也许影响信息安全管理体系内外事件，涉及如下方面变化：1) 业务规定；2) 安全规定；3) 影响既有业务规定业务过程；4) 法律法规规定；5) 合同责任； 6) 风险级别和（或）风险接受准则。d) 资源需求；e) 改进测量控制办法有效性方式。10 改进10.1 不符合和纠正办法10.1.1 办公室负责建立并实行纠正和防止控制程序，采用如下办法，消除与信息安全管理体系规定不符合因素，以防止再发生。10.1.2 纠正和防止控制程序应规定如下方面规定：a) 辨

39、认存在不符合；b) 拟定不符合因素；c) 评价保证不符合不再发生办法规定；d) 拟定并实行所需纠正和防止办法；e) 记录所采用办法成果；f) 评审所采用纠正和防止办法。10.1.3公司网络管理部应定期进行风险评估，以辨认变化风险，并通过关注变化明显风险来辨认防止办法规定。防止办法优先级应基于风险评估成果来拟定。10.2 持续改进我司制定和实行纠正和办法管理程序内部审核管理程序等文献，通过下列途径持续改进信息安全管理体系有效性：a) 通过信息安安全管理体系方针建立与实行，对持续改进做出正式承诺；b) 通过建立信息安全管理体系目的明确改进方向；c) 通过内部审核不断发现问题，寻找体系改进机会并予实

40、行，详见内部审核管理程序；e) 通过实行纠正和防止办法实现改进，详见纠正和办法管理程序；f) 通过管理评审输出关于改进办法实行实现改进。附录A 信息安全管理组织构造图（规范性附录）总经理 管理者代表商务部技术部销售部附录B 信息安全管理职责明细表（规范性附录）序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项决策和协调，并对全公司信息安全工作负责。2总经理信息安全第一负责人，制定信息安全方针，对信息安全全面负责。1. 组织制定并批准信息安全管理方针、信息安全目的和筹划。2. 为发展、贯彻、运营和保持ISMS提供充分资源

41、为员工提供所需资源、 培训，并赋予其职责范畴内自主权。3. 负责任命管理者代表，并定期进行管理评审。4. 决定风险可接受水平。5. 负责批准公司信息安全管理手册和管理评审筹划。3管理者代表负责建立、实行、检查、改进信息安全管理体系（详细见管理者代表授权书）。4商务部我公司信息安全管理体系归口管理部门。1. 负责管理体系建立、实行、保持、测量和改进。2. 负责文献控制、记录控制、内部审核组织、管理评审组织和体系改进。3. 负责我司保密工作管理。4. 负责安全区域管理。5. 负责涉密信息上网、涉密计算机运营、检修、报废监督管理。6. 对信息安全寻常工作实行动态考核，将信息安全管理作为公司管理重要工

42、作内容。7. 参加涉密及司法介入信息安全事件调查。8. 负责公司人员安全管理，涉及人员聘任管理，保密合同订立，员工能力、意识和培训，员工离职管理。9. 负责公司财务有关信息安全管理，涉及出纳、人员工资发放,以及代理 记帐公司管理。10. 负责公司客户反馈信息收集，定期对客户回访跟踪。认真执行信息安全方针、原则、安全方略和规范，做好本部门职责范畴内信息安全管理体系运营工作。5技术部1. 负责收集与本部门有关信息安全面法规及其她规定，并及时上报信息安全委员会，同步负责在本部门内传达，贯彻和实行与部门有关法规及其她规定。2. 协助在本部门内宣传公司信息安全管理体系文献规定，提高本部门员工信息安全意识

43、。3. 按照信息安全体系文献规定，在本部门遵循执行。4. 发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实行处置办法。5. 协助信息安全审计小组进行体系内部审查与外部评审。7销售部1. 负责收集与本部门有关信息安全面法规及其她规定，并及时上报信息安全委员会，同步负责在本部门内传达，贯彻和实行与部门有关法规及其她规定。2. 协助在本部门内宣传公司信息安全管理体系文献规定，提高本部门员工信息安全意识。3. 按照信息安全体系文献规定，在本部门遵循执行。4. 发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实行处置办法。5. 协助信息安全审计小组进行体系内部审查与外部评审。6. 对信息资产实行有效管理，保证信息机密性，维持信息完整性和可用性，防范对信息未经授权访问。