1、信息安全管理體系管理手冊ISMS-M-yyyy版本號：A/1受控狀態：受控非受控日期：2016年1月8日實施日期：2016年1月8日修改履歷版本制訂者修改時間更改內容審核人審核意見A/0編寫組2016-1-08定版審核人A同意A/1編寫組2017-1-15定版審核人同意變更申請單號00目錄00目錄301頒布令502管理者代表授權書 603企業概況704信息安全管理方針目標 805手冊的管理1006信息安全管理手冊 111范圍111.1總則111.2應用112規范性引用文件 113術語和定義113.1本公司123.2信息系統123.3計算機病毒123.4信息安全事件123.5相關方124組織環境

2、124.1組織及其環境124.2相關方的需求和期望 124.3確定信息安全管理體系的范圍 134.4信息安全管理體系 135領導力145.1領導和承諾145.2方針145.3組織角色、職責和權限 146規劃146.1應對風險和機會的措施 156.2信息安全目標和規劃實現 177支持187.1資源187.2能力187.3意識187.4溝通187.5文件化信息198運行208.1運行的規劃和控制 208.2信息安全風險評估 208.3信息安全風險處置 219績效評價219.1監視、測量、分析和評價 219.2內部審核229.3管理評審2210改進2310.1不符合和糾正措施 2310.2持續改進2

3、4附錄A信息安全管理組織結構圖 25附錄B信息安全管理職責明細表 26附錄C信息安全管理程序文件清單 2801頒布令為提高*公司*的信息安全管理水平，保障我公司業務活動的正常進行，防止由于信息系統的中斷、數據的丟失、敏感信息的泄密所導致的公司和客戶的損失，我公司開展貫徹 ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系要求國際標準工作，建立、 實施和持續改進文件化的信息安全管理體系，制定了*公司*信息安全管理手冊。信息安全管理手冊是企業的法規性文件，是指導企業建立并實施信息安全管理體系 的綱領和行動準則，用于貫徹企業的信息安全管理方針、目標，實現信息安全管理體系有效 運行

4、、持續改進，體現企業對社會的承諾。信息安全管理手冊符合有關信息安全法律、法規要求及 ISO/IEC27001:2013信息 技術-安全技術-信息安全管理體系-要求標準和企業實際情況，現正式批準發布，自 2016 年1月8日 起實施。企業全體員工必須遵照執行。全體員工必須嚴格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫 徹實施本手冊的各項要求，努力實現公司信息安全管理方針和目標。公司*總經理：總經理201602管理者代表授權書為貫徹執行信息安全管理體系，滿足ISO/IEC27001:2013信息技術-安全技術-信息安 全管理體系-要求標準的要求，加強領導，特任命審核人B為我公司信息安

5、全管理者代表。授權信息安全管理者代表有如下職責和權限：1 確保按照標準的要求，進行資產識別和風險評估，全面建立、實施和保持信息安全管 理體系；2負責與信息安全管理體系有關的協調和聯絡工作；3確保在整個組織內提高信息安全風險的意識；4審核風險評估報告、風險處理計劃；5. 批準發布程序文件；6. 主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；7. 向最高管理者報告信息安全管理體系的業績和改進要求，包括信息安全管理體系運 行情況、內外部審核情況。本授權書自任命日起生效執行公司*總經理：總經理2017年1月15日03企業概況這里是公司情況介紹哦 這里是公司情況介紹哦 這里是公司情況介紹

6、哦 這里是公司情況介紹哦 這里是公司情況介紹哦單位地址：單位地址 電 話：單位電話傳 真：單位電話郵編：郵編 總經理：總經理 管 代：審核人A04信息安全管理方針目標為防止由于信息系統的中斷、數據的丟失、敏感信息的泄密所導致的企業和客戶的損失， 本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：數據保密、信息完整、控制風險、持續改進、遵守法律。本公司信息安全管理方針包括內容如下：一、信息安全管理機制1 公司采用系統的方法，按照ISO/IEC27001:2013建立信息安全管理體系，全面保護 本公司的信息安全。二、信息安全管理組織2 公司總經理對信息安全工作

7、全面負責，負責批準信息安全方針，確定信息安全要求， 提供信息安全資源。3 公司總經理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證 信息安全管理體系的持續適宜性和有效性。4. 在公司內部建立信息安全組織機構，信息安全管理委員會和信息安全協調機構，保 證信息安全管理體系的有效運行。5. 與上級部門、地方政府、相關專業部門建立定期經常性的聯系，了解安全要求和發 展動態，獲得對信息安全管理的支持。三、人員安全6. 信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動 合同、崗位職責中應包含對信息安全的要求。特殊崗位的人員應規定特別的安全責任。對崗 位調動或離職人員

8、，應及時調整安全職責和權限。7. 對本公司的相關方，要明確安全要求和安全職責。8. 定期對全體員工進行信息安全相關教育，包括：技能、職責和意識。以提高安全意 識。9. 全體員工及相關方人員必須履行安全職責，執行安全方針、程序和安全措施。四、識別法律、法規、合同中的安全10. 及時識別顧客、合作方、相關方、法律法規對信息安全的要求，采取措施，保證滿 足安全要求。五、風險評估11. 根據本公司業務信息安全的特點、法律法規要求，建立風險評估程序，確定風險接 受準則。12. 采用先進的風險評估技術，定期進行風險評估，以識別本公司風險的變化。本公司 或環境發生重大變化時，隨時評估。13. 應根據風險評估

9、的結果，采取相應措施，降低風險。六、報告安全事件14. 公司建立報告信息安全事件的渠道和相應的主管部門。15. 全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發現信息安全事 件，應立即按照規定的途徑進行報告。16接受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的處理，并向報 告人員反饋處理結果。七、監督檢查17. 定期對信息安全進行監督檢查，包括：日常檢查、專項檢查、技術性檢查、內部審 核等。八、業務持續性18. 公司根據風險評估的結果，建立業務持續性計劃，抵消信息系統的中斷造成的影響, 防止關鍵業務過程受嚴重的信息系統故障或者災難的影響，并確保能夠及時恢復。19定期對業

10、務持續性計劃進行測試和更新。九、違反信息安全要求的懲罰20.對違反信息安全方針、職責、程序和措施的人員，按規定進行處理。信息安全目標如下：1. 重大信息安全事件（損失達1萬以上的）為零。2. 公司發生網絡中斷時間小于2小時每年。05手冊的管理1信息安全管理手冊的批準辦公室負責組織編制信息安全管理手冊，總經理負責批準。2信息安全管理手冊的發放、更改、作廢與銷毀a）辦公室負責按文件管理程序的要求，進行信息安全管理手冊的登記、發放、 回收、更改、歸檔、作廢與銷毀工作；b）各相關部門按照受控文件的管理要求對收到的信息安全管理手冊進行使用和保管；c ）辦公室按照規定發放修改后的信息安全管理手冊，并收回失

11、效的文件作出標識 統一處理，確保有效文件的唯一性；d）辦公室保留信息安全管理手冊修改內容的記錄。3信息安全管理手冊的換版當依據的ISO/IEC27001:2013或ISO/IEC27002:2013標準有重大變化、組織的結構、內外部環境、生產技術、信息安全風險等發生重大改變及信息安全管理手冊發生需修改部 分超過1/3時，應對信息安全管理手冊進行換版。換版應在管理評審時形成決議，重新 實施編、審、批工作。4信息安全管理手冊的控制a）本信息安全管理手冊標識分受控文件和非受控文件兩種：受控文件發放范圍為公司領導、各相關部門的負責人、內審員；非受控文件指印制成單行本，作為投標書的資料或為生產、銷售目的

12、等發給受控范 圍以外的其他相關人員。b） 信息安全管理手冊有書面文件和電子文件，電子版本文件的有效格式為.doc文 檔。06信息安全管理手冊1范圍1.1總則為了建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系（簡稱ISMS , 確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執行信 息安全管理體系文件、持續改進信息安全管理體系的有效性，特制定本手冊。1.2應用覆蓋范圍本信息安全管理手冊規定了 *公司*信息安全管理體系要求、管理職責、內部審核、管 理評審和信息安全管理體系改進等方面內容。本信息安全管理手冊適用于*公司*電磁屏蔽機房的設計業務活動所涉及的信

13、息系統、 資產及相關信息安全管理活動。刪減說明本信息安全管理手冊采用了 ISO/IEC27001:2013標準正文的全部內容，對適用性聲明 SOA的刪減如下：外包開發刪減理由：公司無此業務2規范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊 的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準，然而， 辦公室應研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊。ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求ISO/IEC27002:2013信息技術-安全技術-信息安全管理

14、實用規則3術語和定義ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求、ISO/IEC27002:2013 信息技術-安全技術-信息安全管理實用規則規定的術語和定義適用于本 信息安全管理 手冊。3.1本公司指*公司*包括*公司*所屬各部門。3.2信息系統指由計算機及其相關的和配套的設備、設施（含網絡）構成的，且按照一定的應用目標 和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。3.3計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。3.4信息安全事件指導致信息系統不能提供正常服務

15、或服務質量下降的技術故障事件、利用信息系統從事的反動有害信息和涉密信息的傳播事件、利用網絡所從事的對信息系統的破壞竊密事件。3.5相關方關注本公司信息安全或與本公司信息安全績效有利益關系的組織和個人。主要為：政府、上級部門、供方、銀行、用戶等。4組織環境4.1組織及其環境本公司根據業務特征、組織結構、地理位置、資產和技術定義了范圍和邊界，本公司信 息安全管理體系的范圍包括：a）本公司涉及軟件產品的技術開發，設計的管理的業務系統（本次認證范圍：與信息 管理軟件設計開發相關的信息安全管理活動）；b）與所述信息系統有關的活動；c）與所述信息系統有關的部門和所有員工；d）所述活動、系統及支持性系統包含

16、的全部信息資產。e）本公司根據組織的業務特征和組織結構定義了信息安全管理體系的組織范圍，見附 錄A （規范性附錄）組織機構圖。f）本公司根據組織的業務特征、組織結構、地理位置、資產和技術定義了信息安全管 理體系的物理范圍和信息安全邊界。g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.2相關方的需求和期望重大信息安全事件（損失達1萬以上的）為零。精品文檔公司發生網絡中斷時間小于2小時每年。4.3確定信息安全管理體系的范圍體系范圍：與信息管理軟件設計開發、計算機系統集成相關的信息安全管理活動 本公司涉及軟件產品的技術開發，設計的管理的業務系統（本次認證范圍：與電磁屏蔽機房的設計相關

17、的信息安全管理活動）組織范圍：本公司根據組織的業務特征和組織結構定義了信息安全管理體系的組織范圍，見附錄A（規范性附錄）組織機構圖。物理范圍：本公司根據組織的業務特征、組織結構、地理位置、資產和技術定義了信息安全管理體 系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于單位地址。4.4信息安全管理體系本公司在軟件產品的技術開發，設計的管理活動中，按ISO/IEC27001:2013信息技術- 安全技術-信息安全管理體系-要求規定，參照ISO/IEC27002:2013信息技術-安全技術- 信息安全管理實用規則標準，建立、實施、運行、監視、評審、保持和改進文件化的信息 安全

18、管理體系。信息安全管理體系使用的過程基于圖1所示的PDCA莫型。圖1信息安全管理體系模型5領導力5.1領導和承諾我公司管理者通過以下活動，對建立、實施、運作、監視、評審、保持和改進信息安全 管理體系的承諾提供證據：a）建立信息安全方針（見本手冊第0.4章）；b）確保信息安全目標得以制定（見本手冊第 0.4章、適用性聲明SoA、風險處理 計劃及相關記錄）；c）建立信息安全的角色和職責；d）向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續改進的重 要性；e）提供充分的資源，以建立、實施、運作、監視、評審、保持并改進信息安全管理體 系（見本手冊第5.2章）;f）決定接受風險的準則和風

19、險的可接受等級（見信息安全風險管理標準及相關記錄）；g）確保內部信息安全管理體系審核（見本手冊第9.2章）得以實施；h）實施信息安全管理體系管理評審（見本手冊第9.3章）。5.2方針為防止由于信息系統的中斷、數據的丟失、敏感信息的泄密所導致的企業和客戶的損失， 本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。信息安全管理方針：滿足客戶要求，遵守法律法規，實施風險管理，確保信息安全，實現持續改進。信息安全目標下：1. 重大信息安全事件（損失達1萬以上的）為零。2. 公司發生網絡中斷時間小于2小時每年。5.3組織角色、職責和權限詳見附錄B6規劃6.1應對風險和機會的措施總貝U

20、為了滿足適用法律法規及相關方要求， 維持電力整流器開發和經營的正常進行，實現業務可持續發展的目的。本公司根據組織的業務特征、組織結構、地理位置、資產和技術定義 了信息安全管理體系方針，見本信息安全管理手冊第0.4條款。該信息安全方針符合以下要求：a）為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b）考慮業務及法律或法規的要求，及合同的安全義務；c）與組織戰略和風險管理相一致的環境下，建立和保持信息安全管理體系；d）建立了風險評價的準則；e）經最高管理者批準。為實現信息安全管理體系方針，本公司承諾：a）在各層次建立完整的信息安全管理組織機構，確定信息安全目標和控制措施；明確 信

21、息安全的管理職責，詳見附錄 B （規范性附錄）信息安全管理職責明細表；b）識別并滿足適用法律、法規和相關方信息安全要求；c）定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保證體 系的持續有效性；d）采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現信息共享；e）對全體員工進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；f）制定并保持完善的業務連續性計劃，實現可持續發展。信息安全風險評估6.121 風險評估的方法辦公室負責制定信息安全風險管理程序，建立識別適用于信息安全管理體系和已經 識別的業務信息安全、法律和法規要求的風險評估方法，建立接受風險的

22、準則并識別風險的可接受等級。識別風險在已確定的信息安全管理體系范圍內，本公司按信息安全風險管理程序，對所有的 資產進行了識別，并識別了這些資產的所有者。資產包括硬件、設施、軟件與系統、數據、 文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規 符合性要求進行了量化賦值，根據重要資產判斷依據確定是否為重要資產，形成了重要資 產清單。同時，根據信息安全風險管理程序，識別了對這些資產的威脅、可能被威脅利用的 脆弱性、識別資產價值、保密性、完整性和可用性、合規性損失可能對資產造成的影響。6.123分析和評價風險本公司按信息安全風險管理程序，采用FME/分析方法，分析和評價

23、風險：a）針對重要資產自身價值、保密性、完整性和可用性、合規性損失導致的后果進行賦值；b）針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判定安全失效發生的可能性，并進行賦值；c）根據信息安全風險管理程序計算風險等級；d）根據信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。6.124識別和評價風險處理的選擇辦公室組織有關部門根據風險評估的結果，形成風險處理計劃，該計劃明確了風險 處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：a）控制風險，采用適當的內部控制措施；b）接受風險（不可能將所有風險降

24、低為零）；c）避免風險（如物理隔離）；d）轉移風險（如將風險轉移給保險者、供方、分包商）。信息安全風險處置辦公室根據信息安全方針、業務發展要求及風險評估的結果，組織有關部門制定了信息 安全目標，并將目標分解到有關部門（見信息安全適用性聲明）：a）信息安全控制目標獲得了信息安全最高責任者的批準。b）本公司根據信息安全管理的需要，可以選擇標準之外的其他控制措施c）控制目標及控制措施的選擇原則來源于ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求附錄A,具體控制措施參考ISO/IEC27002:2013信 息技術-安全技術-信息安全管理實用規則。d）適用性聲明：辦公室負責

25、編制信息安全適用性聲明（ SoA，所選擇控制目 標與控制措施的概要描述，以及選擇的原因；對ISO/IEC27001:2013附錄A中未 選用的控制目標及控制措施理由的說明。e）制定風險處置計劃。f）對風險處理后的剩余風險，得到了公司最高管理者的批準6.2信息安全目標和規劃實現本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調查處理、電子監控、 定期技術檢查等控制措施并報告結果以實現：a）及時發現處理結果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統遭受的各類攻擊；c）使管理者確認人工或自動執行的安全活動達到預期的結果；d）使管理者

26、掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經驗；根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持，每年至少一次對 信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制 措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反 饋。管理評審的具體要求，見本手冊第 7章。辦公室應組織有關部門按照信息安全風險管理程序的要求，采用 FMEA分析方法， 對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方 面變更情況應及時進行風險評估：a）組織；b）技術；c）業務目標和過程；d）已識

27、別的威脅；e）實施控制的有效性；f）外部事件，例如法律或規章環境的變化、合同責任的變化以及社會環境的變化。按照計劃的時間間隔進行信息安全管理體系內部審核。定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全管理 體系過程的改進，管理評審的具體要求，見本手冊第7章。626考慮監視和評審活動的發現，更新安全計劃。627記錄可能對信息安全管理體系有效性或業績有影響的活動和事情。 7支持7.1資源本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響信息 安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實施、運作、監視、評審、保持和改進信息安全管理體系；b）

28、確保信息安全程序支持業務要求；c）識別并指出法律法規要求和合同安全責任；d）通過正確應用所實施的所有控制來保持充分的安全；e）必要時進行評審，并對評審的結果采取適當措施；f）需要時，改進信息安全管理體系的有效性。7.2能力組織應：a）確定員工為完成其本職工作所所需的安全技能；b）確保員工具備完成工作所需的教育、培訓和經驗；c）采取合適的措施確保員工具備相應的技能并對技能進行考核；d）保留適當的文檔信息作為證據。注：適當的措施可能包括，例如：提供培訓、指導或重新分派現有員工，或雇用具備相 關技能的人士。7.3意識組織的員工應了解：a）信息安全方針；b）個人對于實現信息安全管理的重要性，提高組織信

29、息安全績效的收益；c）不符合信息安全管理體系要求所造成的影響。7.4溝通辦公室制定并實施人力資源管理程序文件，確保被分配信息安全管理體系規定職責 的所有人員，都必須有能力執行所要求的任務。可以通過：a）確定承擔信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業技術教育和技能培訓或采取其他的措施來滿足這些需求；c）評價所采取措施的有效性；d）保留教育、培訓、技能、經驗和資歷的記錄。本公司還確保所有相關人員意識到其所從事的信息安全活動的相關性和重要性，以及如何為實現信息安全管理體系目標做出貢獻。7.5文件化信息總則本公司信息安全管理體系文件包括：a）文件化的信息安全方針、控制目標，在信息安

30、全管理手冊中描述；b）信息安全管理手冊（本手冊，包括信息安全適用范圍及引用的標準）；c）本手冊要求的信息安全風險管理程序、業務持續性管理程序、糾正措施管理程序等支持性程序；d）信息安全管理體系引用的支持性程序。如：文件管理程序、記錄管理程序、內部審核管理程序等；e）為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f）風險評估報告、風險處理計劃以及信息安全管理體系要求的記錄類文件；g）相關的法律、法規和信息安全標準；h）適用性聲明（SoA。創建和更新文件化信息的控制辦公室制定并實施文件管理程序，對信息安全管理體系所要求的文件進行管理。對信息安全管理手冊、程序文件、管理規定、作業指導

31、書和為保證信息安全管理體系有效 策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發放、使用、修訂、作廢、 回收等管理工作作出規定，以確保在使用場所能夠及時獲得適用文件的有效版本。文件控制應保證：a）文件發布前得到批準，以確保文件是充分的；b）必要時對文件進行評審、更新并再次批準；c）確保文件的更改和現行修訂狀態得到識別；d）確保在使用時，可獲得相關文件的最新版本；e）確保文件保持清晰、易于識別；f）確保文件可以為需要者所獲得，并根據適用于他們類別的程序進行轉移、 存儲和最 終的銷毀；g）確保外來文件得到識別；h）確保文件的分發得到控制；i）防止作廢文件的非預期使用；j）若因任何目的需保

32、留作廢文件時，應對其進行適當的標識。8運行8.1運行的規劃和控制按照PDCA寸體系進行運行。在公司實際推動信息安全體系運行。8.28.3信息安全風險評估識別風險在已確定的信息安全管理體系范圍內，本公司按信息安全風險管理程序，對所有的 資產進行了識別，并識別了這些資產的所有者。資產包括硬件、設施、軟件與系統、數據、 文檔、服務及人力資源。對每一項資產按自身價值、信息分類、保密性、完整性、法律法規 符合性要求進行了量化賦值，根據重要資產判斷依據確定是否為重要資產，形成了重要資 產清單。同時，根據信息安全風險管理程序，識別了對這些資產的威脅、可能被威脅利用的 脆弱性、識別資產價值、保密性、完整性和可

33、用性、合規性損失可能對資產造成的影響。分析和評價風險本公司按信息安全風險管理程序，采用 FME/分析方法，分析和評價風險：a）針對重要資產自身價值、保密性、完整性和可用性、合規性損失導致的后果進行賦 值；b）針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判定安全失 效發生的可能性，并進行賦值；c）根據信息安全風險管理程序計算風險等級；d）根據信息安全風險管理程序及風險接受準則，判斷風險為可接受或需要處理。8.4信息安全風險處置辦公室組織有關部門根據風險評估的結果，形成風險處理計劃，該計劃明確了風險 處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施

34、與費用的平衡原則，選用以下適當的措施：a）控制風險，采用適當的內部控制措施；b）接受風險（不可能將所有風險降低為零）；c）避免風險（如物理隔離）；d）轉移風險（如將風險轉移給保險者、供方、分包商）。910績效評價10.1監視、測量、分析和評價本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調查處理、電子 監控、定期技術檢查等控制措施并報告結果以實現：a）及時發現處理結果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統遭受的各類攻擊；c）使管理者確認人工或自動執行的安全活動達到預期的結果；d）使管理者掌握信息安全活動和解決安全破壞所采

35、取的措施是否有效；e）積累信息安全方面的經驗；根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持，每年至少一 次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及 控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議 和反饋。管理評審的具體要求，見本手冊第 7章。辦公室應組織有關部門按照信息安全風險管理程序的要求，采用FME/分析方法，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對 以下方面變更情況應及時進行風險評估：a）組織；b）技術；c）業務目標和過程；d）已識別的威脅；e）實施控制的有效性；f）外

36、部事件，例如法律或規章環境的變化、合同責任的變化以及社會環境的變化。按照計劃的時間間隔進行信息安全管理體系內部審核，內部審核的具體要求，見 本手冊第6章。定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全 管理體系過程的改進，管理評審的具體要求，見本手冊第7章。考慮監視和評審活動的發現，更新安全計劃。記錄可能對信息安全管理體系有效性或業績有影響的活動和事情。10.2內部審核辦公室應考慮擬審核的過程和區域的狀況和重要性以及以往審核的結果，對審核 方案進行策劃。應編制內審年度計劃，確定審核的準則、范圍、頻次和方法。每次審核前，辦公室應編制內審計劃，確定審核的準則、范圍、日程和審

37、核組。 審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。審核員不應審核自己的工 作。應按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現場審核，檢查相關文件、記錄和憑證，與相關人員進行交流；c）進行對檢查內容進行分析，召開內審小組首次會議、末次會議，宣布審核意見和不 符合報告；d）審核組長編制審核報告。對審核中提出的不符合項報告，責任部門應編制糾正措施，由辦公室組織對受審 部門的糾正措施的實施情況進行跟蹤、驗證；按照記錄管理程序的要求，保存審核記錄。內部審核報告，應作為管理評審的輸入之一。10.3管理評審管理評審的輸入要包括以下信息：a

38、）信息安全管理體系審核和評審的結果；b）相關方的反饋；c）用于改進信息安全管理體系業績和有效性的技術、產品或程序;d）預防和糾正措施的狀況；e）風險評估沒有充分強調的脆弱性或威脅；f）有效性測量的結果；g）管理評審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改進的建議。管理評審的輸出應包括與下列內容相關的任何決定和措施：a）信息安全管理體系有效性的改進；b）更新風險評估和風險處理計劃；c）必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系 的內外事件，包括以下方面的變化：1）業務要求；2）安全要求；3）影響現有業務要求的業務過程；4）法律法規要求；5）合同責任

39、；6）風險等級和（或）風險接受準則。d）資源需求；e）改進測量控制措施有效性的方式。11改進11.1不符合和糾正措施辦公室負責建立并實施糾正和預防控制程序，采取以下措施，消除與信息 安全管理體系要求不符合的原因，以防止再發生。糾正和預防控制程序應規定以下方面的要求：a）識別存在的不符合；b）確定不符合的原因；c）評價確保不符合不再發生的措施要求；d）確定并實施所需的糾正和預防措施；e）記錄所采取措施的結果；f）評審所采取的糾正和預防措施。公司網絡管理部應定期進行風險評估， 以識別變化的風險，并通過關注變化顯著 的風險來識別預防措施要求。預防措施的優先級應基于風險評估結果來確定。11.2持續改進

40、本公司制定和實施糾正和措施管理程序內部審核管理程序等文件，通過下列途 徑持續改進信息安全管理體系的有效性：a）通過信息安安全管理體系方針的建立與實施，對持續改進做出正式的承諾；b）通過建立信息安全管理體系目標明確改進的方向；c）通過內部審核不斷發現問題，尋找體系改進的機會并予實施，詳見內部審核管理程序；e）通過實施糾正和預防措施實現改進，詳見糾正和措施管理程序；f）通過管理評審輸出的有關改進措施的實施實現改進。（規范性附錄）（規范性附錄）序號單位/部門信息安全職責1信息安全 管理委員會信息安全管理委員會是我公司信息安全取咼組織機構，負責本單位網絡與信息安全重大事項的決策和協調，并對全公司信息安

41、全工作負責。2總經理信息安全第一責任人，制定信息安全方針，對信息安全全面負責。1. 組織制定并批準信息安全管理方針、信息安全目標和計劃。2. 為發展、貫徹、運行和保持ISMS提供充足的資源為員工提供所需的資源、 培訓，并賦予其職責范圍內的自主權。3. 負責任命管理者代表，并定期進行管理評審。4. 決定風險的可接受水平。5. 負責批準公司信息安全管理手冊和管理評審計劃。3管理者代表負責建立、實施、檢查、改進信息安全管理體系（具體見管理者代表授權書）。4商務部我公司信息安全管理體系的歸口管理部門。1. 負責管理體系的建立、實施、保持、測量和改進。2. 負責文件控制、記錄控制、內部審核的組織、管理評

42、審的組織和體系的改進。3. 負責本公司保密工作的管理。4. 負責安全區域的管理。5. 負責涉密信息上網、涉密計算機運行、檢修、報廢的監督管理。6. 對信息安全日常工作實施動態考核，將信息安全管理作為企業管理的重要工作內容。7. 參與涉密及司法介入的信息安全事件的調查。8. 負責公司人員安全管理，包括人員聘用管理，保密協議簽署，員工的能力、 意識和培訓，員工離職管理。9. 負責公司財務相關的信息安全管理，包括出納、人員工資發放，以及代理記帳公司的管理。10. 負責公司客戶反饋信息的搜集，定期對客戶回訪跟蹤。認真執行信息安全方針、標準、安全策略和規范，做好本部門職責范圍內的信息安全管理體 系運行工作。5技術部1. 負責收集與本部門相關的信息安全方面的法規及其他要求，并及時上報信 息安全委員會，冋時負責在本部門內傳達，貫徹和實施與部門相關的法規 及其他要求。2. 協助在本部門內宣傳公司的信息安全管理體系文件的要求，提高本部門員 工的信息安全意識。3. 按照信息安全體系文件的要求，在本部門遵照執行。4. 發生信息安全事故后負責配合信息安全委員會工作，