1、信息安全管理手冊（依據 GB/T 22080-2016 idt ISO/IEC27001:2013 標準編制）編 號：ISMS-A-01版本號：VI. 0編制：日期：2021-8-3審核：日期：2021-8-3批準：日期：2021-8-3受控文件受控狀態修訂記錄版本編寫人審核人批準人修訂日期修訂說明VI. 02021-8-3創建 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 概述51. 1頒布令51. 2任命書61.3手冊說明71. 3. 1 總則71. 3. 2信息安全管理手冊的批準71. 3. 3信息安全管理手冊的發放、作廢與

2、銷毀71. 3. 4信息安全管理手冊的修改71. 3. 5信息安全管理手冊的換版81. 3. 6信息安全管理手冊的控制8 HYPERLINK l bookmark8 o Current Document 規范性引用文件9 HYPERLINK l bookmark10 o Current Document 術語和定義9 HYPERLINK l bookmark12 o Current Document 組織環境9 HYPERLINK l bookmark14 o Current Document 1理解組織及其環境9 HYPERLINK l bookmark16 o Current Docume

3、nt 2理解相關方的需求和期望9 HYPERLINK l bookmark18 o Current Document 3確定ISMS的范圍9 HYPERLINK l bookmark20 o Current Document 4信息安全管理體系104. 4. 1 總則104.2 ISMS體系過程方法10 HYPERLINK l bookmark22 o Current Document 領導作用11 HYPERLINK l bookmark24 o Current Document 5.1領導作用和承諾11 HYPERLINK l bookmark26 o Current Document 5

4、.2 ISMS管理方針11 HYPERLINK l bookmark32 o Current Document 3組織架構、職責和權限113. 1 ISMS管理體系組織架構圖113.2 ISMS管理職能分配113. 3 職責和權卩艮11 HYPERLINK l bookmark34 o Current Document 規劃12 HYPERLINK l bookmark36 o Current Document 1風險和機遇的應對措施12 HYPERLINK l bookmark40 o Current Document 支持127.1資源121. 1 總則131.2基礎設施131.3 ii程

5、環境131.4監視和測量設備137. 1. 5 知識14 HYPERLINK l bookmark42 o Current Document 2能力14 HYPERLINK l bookmark44 o Current Document 7. 3意識14 HYPERLINK l bookmark46 o Current Document 7. 4溝通14 HYPERLINK l bookmark48 o Current Document 7. 5文件記錄信息157. 5. 1文件體系結構157. 5. 2文件控制167. 5. 3記錄控制17 HYPERLINK l bookmark50 o

6、Current Document 運行17 HYPERLINK l bookmark52 o Current Document 1運行的策劃和控制171. 1 ISMS運行總要求182信息安全風險評估18& 2. 1風險評估的方法18& 2. 2識別風險188.2.3分析和評價風險18& 2. 4識別和評價風險處理的選擇18 HYPERLINK l bookmark54 o Current Document 3信息安全風險處置19 HYPERLINK l bookmark56 o Current Document & 3. 1相關文件19 HYPERLINK l bookmark58 o Cu

7、rrent Document 績效評價19 HYPERLINK l bookmark60 o Current Document 9.1監視、測量、分析和評價199.2內部審核19 HYPERLINK l bookmark62 o Current Document 3管理評審203. 1總則203. 2評審輸入203. 3評審輸岀2110改進21 HYPERLINK l bookmark64 o Current Document 1不符合和糾正措施21 HYPERLINK l bookmark66 o Current Document 10.2持續改進22 HYPERLINK l bookmar

8、k68 o Current Document 10.3糾正措施23 HYPERLINK l bookmark70 o Current Document 4預防措施23 HYPERLINK l bookmark72 o Current Document 附錄1-組織簡介24附錄2-組織架構圖25 HYPERLINK l bookmark74 o Current Document 附錄4-信息安全小組成員29附錄5-服務器拓撲圖29 HYPERLINK l bookmark78 o Current Document 附錄6-信息安全職責說明301概述1.1頒布令為提高我公司的信息安全管理水平，保障

9、公司業務活動的正常進行，防止由于信息 安全事件（信息系統的中斷、數據的丟失、敏感信息的泄密）導致的公司和客戶的損失, 我公司開展貫徹GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系 要求 標準工作，建立、實施和持續改進文件化的信息安全管理體系，制訂了深圳市XXX科 技有限公司信息安全管理手冊。信息安全管理手冊經評審后，現予以批準發布。信息安全管理手冊的發布，標志著我公司從現在起，必須按照信息安全管理體 系標準的要求和公司信息安全管理手冊所描述的規定，不斷增強持續滿足顧客要求、 相關方要求和法律法規要求的能力，全心全意為顧客和相關方提供優質、安全的自助

10、服 務終端軟硬件的研發及運行維護服務，以確立公司在社會上的良好信譽。信息安全管理手冊是公司規范內部管理的指導性文件，也是全體員工在向顧客 提供服務過程必須遵循的行動準則。信息安全管理手冊一經發布，就是強制性文件, 全體員工必須認真學習、切實執行。深圳市XXX科技有限公司總經理：2021-8-31. 2任命書任命書為貫徹執行GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系 要求， 加強對信息管理體系運行的領導，特任命*為公司管理者代表。授權信息安全管理者代表有如下職責和權限：1）確保按照標準的要求，進行資產識別和風險評估，全面建立、實施和保持信息安全管

11、理體系；2）負責與信息安全管理體系有關的協調和聯絡工作；3）確保在整個組織內提高信息安全風險的意識；4）審核風險評估報告、風險處理計劃；5）批準發布程序文件；6）主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；7）向最高管理者報告信息安全管理體系的業績和改進要求，包括信息安全管理 體系運行情況、內外部審核情況。本任命書自任命日起生效執行。深圳市XXX科技有限公司總經理：2021-8-31.3手冊說明3. 1總則信息安全管理手冊的編制，是用以證明已建立并實施了一個完整的文件 化的信息安全管理體系。通過對各項業務進行風險評估，識別出公司的關鍵資產， 并根據資產的不同級別風險采取與之相

12、對應的處理措施。信息安全管理手冊為審核信息安全管理體系提供了文件依據。信息安全管理手冊證明公司已經按照GB/T 22080-2016 idt IS0/IEC 27001:2013標準的要求建立并實際運行一套信息安全管理體系。信息安全管理 手冊的編制及頒布可以對公司信息安全管理各項活動進行控制，指導公司開展 各項業務活動，并通過不斷的持續改進來完善信息安全管理體系。1. 3. 2信息安全管理手冊的批準管理者代表負責組織信息安全小組編制信息安全管理手冊及其相關規章 制度，總經理負責批準。1.3.3信息安全管理手冊的發放、作廢與銷毀（1）綜合管理部負責按文件控制程序的要求，進行信息安全管理手 冊的登

13、記、發放、回收、歸檔、作廢與銷毀工作。（2）各相關部門按照受控文件的管理要求對收到的信息安全管理手冊 進行使用和保管。（3）綜合管理部按照規定發放修改后的信息安全管理手冊，并收回失 效的文件做出標識統一處理，確保有效文件的唯一性。（4）綜合管理部保留信息安全管理手冊修改內容的記錄。1. 3. 4信息安全管理手冊的修改信息安全管理手冊如根據實際情況發生變化時，應用信息安全體系相關 部門提出申請，經綜合管理部討論、商議，信息安全代表審核、總經理批準后方 可進行修改。為保證修改后的手冊能夠及時發放給相關人員，綜合管理部對手冊 實施修改后，應及時發布修改信息，通知相關人員。信息安全管理手冊的修改分為兩

14、種：一是少量的文字性修改。此種修改不改變手冊的版本號，只需在本手冊的“文 檔修改記錄”如實記錄即可，不需保存手冊修改前的文檔原件。二是大范圍的信息安全管理體系版本升級，即改版。在本手冊經過多次修改、 信息安全管理體系建立依據的標準發生變化、公司的業務范圍有較大調整的情況 下，需要對本手冊進行改版。本手冊的改版應該對改版前的信息安全管理手冊 原件進行保存。在出現下列情況時，信息安全管理手冊可以進行修改：信息安全管理體系運行過程中發現問題或信息安全管理體系需進一步改 進內部信息安全提出新的需求組織機構和職能發生變化經營環境和產品結構有調整發現本手冊中存在差錯或不明確之處引用的法規或體系標準有修改體

15、系審核或管理評審提出改進要求本手冊的更改控制按文件管理程序執行1.3.5信息安全管理手冊的換版信息安全管理手冊進行換版，換版應在管理評審時形成決議，重新編制、 審批工作。 當依據的GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理體系有 重大變化時，如組織結構、內外部環境、開發技術、信息安全風險等發生重大改 變的。相應的法律法規發生重大變化時，如國家法律法規、政策、標準等發生 改變的。信息安全管理手冊發生需修改部分超過1/3時。信息安全管理手冊執行已滿三年時。1.3.6信息安全管理手冊的控制（1）信息安全管理手冊標識分受控文件和非受控文件：受控文件發放范圍

16、為公司領導、各相關部分的負責人、審計部或者內審員。 非受控文件印制成單行本，作為投標書的資料、銷售目的等發給受控范圍以外的其他相關人員。（2）信息安全管理手冊分為書面文件和電子文件兩種。2規范性引用文件GB/T 22080-2016信息技術 安全技術信息安全管理體系要求；GB/T 22081-2016信息安全管理實用規則；與公司運營相關的法律法規和技術標準。3術語和定義本手冊采用GB/T 22080-2016 idt IS0/IEC 27001:2013標準的術語和定義，并根 據需要在相應章節所描述的要求中，增補了所涉及的術語和定義；本手冊出現的術語“產品”指的是公司提供的產品和服務； ISM

17、S-Integrated Management System的縮寫，代表信息安全管理體系；4組織環境4.1理解組織及其環境公司定期識別和信息安全管理目標相關，并影響實現信息安全管理預期結果的內外 部問題。2理解相關方的需求和期望本公司確定：a）與ISMS有關的相關方；b）這些相關方與信息安全有關的要求。3確定ISMS的范圍應用范圍：本信息安全管理手冊規定了深圳市XXX科技有限公司信息安全管理體系 涉及的開發和維護信息安全管理、職責管理、內部審核、管理評審和信息安全管理 體系持續改進等方面內容。產品和服務范圍：與計算機應用軟件的設計、開發及售后服務相關的信息安全管理 活動區域范圍：廣東省深圳市八

18、卦嶺八卦路31號眾鑫科技大廈1310室 組織機構范圍：管理層、技術部、銷售部、綜合管理部4信息安全管理體系4. 1總則為了建立、實施、運行、監視、評審、持續改進信息管理管理體系，提高全 員的信息安全意識，對信息安全風險進行有效管理，使全公司貫徹落實安全方針 和各項安全措施，保護用戶信息和資料，保證的信息資產免遭破壞，降低可能影 響到信息安全的各種風險，防止安全事故的發生。同時確保全體員工理解并遵守 執行信息安全管理體系文件，持續改進信息安全管理體系的有效性，樹立公司良 好的服務形象，增強用戶對公司的技術和管理水平的信心，保證公司業務可持續 開展，特制定本信息安全管理手冊。4. 2 ISMS體系

19、過程方法計劃并建立相關方/第三方相關方/第三方監控并評審實施并運行信息安全管理5領導作用5.1領導作用和承諾總經理領導信息安全工作，并確定相應的職責和作用。制定信息安全方針和信息安全目標，建立和完善公司的信息安全管理體系。向公司傳達滿足信息安全目標以及信息安全方針，以及法律責任和持續改進的重 要性。提供足夠的資源建立、實施、運行、監控、評審、為何和改進ISMS；決定可接受風險的標準和可接受風險的等級；確保按照標準嚴格執行ISMS內部審核并進行管理評審。5.2 ISMS管理方針一、信息安全管理方針為了滿足適用法律法規及相關方要求，維持ISMS范圍內的業務正常進行， 實現業務可持續發展，本公司根據

20、組織的業務特征、組織結構、地理位置、資產 和技術確定了信息安全管理體系方針：滿足客戶要求，保障信息安全，遵守法律法規，持續改進管理。二、信息安全管理目標針對客戶信息安全事件的投訴每年不超過1次重要信息設備丟失每年不超過1起機密和絕密信息泄漏事件每年不超過1次三、信息安全管理適用范圍本信息安全管理方針適用于公司全體員工、業務合作伙伴、外聘人員及第三 方的工作人員等所有與信息資產相關的部門與人員。3組織架構、職責和權限3. 1 ISMS管理體系組織架構圖附錄2-組織架構圖3.2 ISMS管理職能分配見附錄3-職能分配表3. 3職責和權限見附錄8-信息安全職責說明6規劃1風險和機遇的應對措施信息安全

21、小組組織有關部門根據風險評估結果，形成風險處理計劃，該 計劃明確了風險處理責任部門、負責人、處理方法及完成時間。對于信息安全風險和給予，應考慮控制措施與費用的平衡原則，選用以下適 當的措施：控制風險，采用適當的內部控制措施。接受風險（不可能將所有風險降低為零）；避免風險（如物理隔離）；轉移風險（如將風險轉移給保險者、供方、分包商）。2信息安全目標及其實現規劃2. 1公司在相關職能、層次和信息安全管理體系所需的過程建立信息安全目標。信息安全目標應：a）與信息安全方針保持一致b）可測量；c）考慮適用的要求，以及風險評估和風險處置的結果；d）得到溝通；e）適時更新。組織應保持有關信息安全目標的文件化

22、信息。2.2在策劃信息安全目標的實現時，公司確定：a）采取的措施；b）所需的資源（見7.1）；c）責任人；d）完成的時間表；e）如何評價結果。7支持7.1資源1. 1總則總經理以及部門經理應確定、提供為建立、實施、保持和改進ISMS管理體系所需的 資源，應考慮現有的資源、能力、局限；1.2基礎設施組織應識別、提供并保持實現產品/服務符合性所需的基礎設施，這些設施包括：工作場所相應的設施（辦公電腦、服務器、軟硬件、機房等）；服務過程設備，如各種通訊設備、監控設備和客戶服務管理系統、業務系統（軟 件）等；維修保養和保障設施（各種輔助設施、安全防護設施等）；支持性服務，如運輸、通訊信息系統等。1.

23、3過程環境公司各部門應識別提供產品/服務所需環境中人和物的因素，并對其加以有效的控 制，保證提供產品/服務過程中的人員、財產安全。過程環境可包括物理的、社會的、心理的和環境的因素。1. 4監視和測量設備對照國際或國家的測量標準，在規定的時間間隔或在使用前進行校準和檢定，如果 沒有上述標準的，應記錄校準或檢定（驗證）的依據，以確保下列設備處于正常狀態：開發用途的電腦設備；測試用途的電腦設備；開發用途的軟件；測試用途的軟件；集成項目使用的設備。處于正常狀態的設備應具備下列特征：設備的型號能夠符合預期的使用目的；無論設備處于待用狀態還是處于使用狀態，設備均是正常的；設備得到周期性的養護和校正，并標識

24、其校準狀態；必要時，各部門使用設備進行測量前，應再次校準設備；測試軟件應確認其具有滿足預期用途的能力，初次使用前應進行確認，必要時 可以進行重新確認。當發現軟件或設備不符合要求時，應對以往的測量結果進行有效性評價和記錄，并 對受影響的產品采取適當的措施。校準和檢定結果的記錄應予保存。7. 1. 5知識公司應確保ISMS管理體系運行過程中，提供產品/服務的符合性和顧客滿意所需的 知識。這些知識應得到保持、保護、需要時便于獲取。在應對變化的需求和趨勢時，組織應考慮現有的知識基礎，確定如何獲取必需的更 多知識。7. 2能力公司應根據崗位所需的教育、培訓、技能和經驗要求，安排人員，以確保影響產品 /服

25、務質量和信息安全的人員素質滿足崗位的需要，能勝任其工作。對于人員的配置，公司人事行政部應定崗定編并制定完善的崗位說明文件。公司在員工培訓管理程序中對在職培訓、人員的意識的灌輸和工作能力的增長 作了要求，以便：確定從事影響產品/服務質量和信息安全的人員（包含營銷、服務提供、質量檢 查、IT開發、顧客溝通、顧客信息反饋等）所必須的工作能力及培訓需求；提供培訓或采取其他措施，以滿足所確定的需求并確保達成必須的能力；對培訓的有效性進行評價；確保員工能意識到他們工作的相關性和重要性，以及他們如何為達到ISMS目標 做出努力；保存有關教育、經驗、培訓、資格的適當的記錄。7. 3意識公司應確保工作的人員意識

26、到： ISMS管理方針；相關的信息安全目標；他們對信息安全管理體系有效性的貢獻，包括改進績效的益處；偏離信息安全管理體系要求的后果。7. 4溝通管理者代表為信息安全溝通交流主管部門，負責內、外部信息的交流與管理，及時 將信息進行處理傳遞給有關部門。各部門負責涉及自身職責范圍內的信息安全信息的溝 通交流工作，收集與外部相關方的信息資料，并保存回復的證據。7. 4. 1內部信息信息安全方針、目標及實施方案資產識別與風險評估職責與權限的傳達與落實培訓教育的實施與效果監控與測量結果的反饋及法律、法規的符合情況不符合的糾正和預防措施的執行情況緊急狀態下的信息等7. 4. 2外部信息信息安全方針通報相關方

27、，對外宣傳；法律、法規的獲取與監測及執法部門的聯絡；監控、檢測結果的外部聯絡和接受、答復；認證與監督審核；7. 4.3管理者代表應與相關方就影響他們的信息安全的變更進行協商。公司制定信 息安全溝通協調管理程序規范信息安全溝通過程，必要時，保留信息交流相關證據。7. 5文件記錄信息7. 5. 1文件體系結構信息安全管理體系的文件由上而下分為四個層次，如下圖所示：表單記錄信息安全管理體系文件包括：（1）管理手冊（信息安全手冊、信息安全策略）：規定信息安全管理體系的文件, 是公司內部的信息安全法規，闡述了信息安全管理體系的方針、目標、范圍、組織結構 和職責權限，同時描述了信息安全管理體系的主體文件（

28、程序文件），是信息安全管理 體系的綱領性文件。（2）程序文件：是信息安全手冊的支持性文件，規定了實施與信息安全管理體系 有關的各項活動的途徑和方法，是各項活動得以有效實施的保障。與信息安全管理體系 有關的各項活動必須按照程序文件規定實施，并定期對其進行評審，保持其有效性。（3）作業指導、規范規章制度、計劃等：是現場或崗位使用的詳細工作文件，是 程序文件的支撐和補充性文件，是信息安全管理體系過程得以有效策劃、運行、控制所 需要的文件，也是信息安全活動的基礎文件。（4）表單記錄：通過表單模板，對信息安全管理體系實施的一系列活動進行規范, 形成記錄文件，用于作為管理評審、內部審核、外部審核、持續改進

29、的客觀證據。信息安全手冊、程序文件和作業指導、規范規章制度、表單記錄等四層文件由信息 安全小組組織協調各相關部門共同完成編寫。支持文件：文件控制程序7. 5. 2文件控制綜合管理部組織編制文件控制程序，確保信息安全管理體系的文件在以下幾個 方面得到控制：（1）文件發布前得到批準，以確保文件是充分與適宜的。（2）管理體系文件應定期進行評審、修訂完善，并再次批準以保持文件要求與實 際運作的一致性，充分保障文件的有效性、充分性和適宜性。（3）確保文件的更改和現行修訂狀態得到識別。（4）確保在使用處可獲得適用文件的有關版本。（5）確保文件保持清晰、易于識別。（6）確保綜合管理部確定的體系所需的外來文件

30、得到識別，并控制其分發。（7）防止作廢文件的非預期使用，若因任何原因而保留作廢文件時，對這些文件 進行適當的標識。（8）具體執行按文件控制程序的規定，對文件的審核、批準、發布、變更、 修改、廢止等環節進行控制。支持文件：文件控制程序7. 5. 3記錄控制信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的依據，對記錄的 標識、儲存、保護、檢索、保管、廢棄等事項進行了規定，各部門應根據記錄控制程 序的要求采取適當的方式妥善保管信息安全記錄，具體記錄如下：（1）建立并保持記錄，以提供符合要求和信息安全管理體系有效運行的證據。（2）保護并控制記錄。信息安全管理體系應考慮相關的法律要求和合同責任

31、。記 錄應保持合法，易于識別和檢索。（3）編制形成文件的程序，以規定記錄的標識、儲存、保護、檢索、保存期限和 處置所需的控制。（4）記錄的要求和管理：真實、完整、字跡清晰，可識別是何種產品或項目的何種活動。填寫及時、禁止未經許可的更改。各部門應對本部門的記錄自行歸檔保存，保存環境應適宜，以防止記錄損壞、 變質和丟失，保管方式便于存取和檢索。記錄的保存期限應根據產品的特點、法規要求及合同要求來決定，見“記錄清 單”。超過保存期的質量記錄處理應按審批規定進行處置。支持文件：記錄控制程序8運行& 1運行的策劃和控制公司規定了實現與計算機應用軟件的設計、開發及售后服務所需的過程，這些過程 與公司ISM

32、S管理體系中的其他要求相一致并對其順序和相互作用予以確定。公司識別 每一過程對滿足客戶服務要求的能力的影響，并確保營運活動中每個質量特性都受到有 效控制。1. 1 ISMS運行總要求實現過程的策劃中應明確：質量目標和要求；明確各崗位的信息安全職責；服務標準明確過程控制的準則和方法，制定必要的作業指導文件，為產品和服務實現提供 資源和設施，保證其所需的工作環境；保留服務過程提供及過程測量和檢查結果的記錄。經識別公司沒有外包過程。對于公司的服務商，綜合管理部按照第三方服務管理程 序進行管理。& 2信息安全風險評估2. 1風險評估的方法信息安全小組負責組織編制信息安全風險管理程序，建立識別適用于信息

33、安全 管理體系和已經識別的業務信息安全、法律法規要求的風險評估方法，在決定風險的可 接受范圍內，采取適當的風險控制措施。2. 2識別風險在信息安全管理體系范圍內，對所有信息資產進行識別評價，識別資產面臨的威脅 以及脆弱性、識別保密性完整性和可用性對資產造成的影響程度、識別資產面臨的風險, 并通過這些項目的風險標識推算出對重要資產造成的影響。2. 3分析和評價風險針對每一項信息資產，識別出其面臨的所有威脅，并考慮現有的控制措施，識別出 被該威脅可能利用的薄弱點。針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判斷安全失 效發生的可能性。根據信息安全風險管理程序計算風險等級以及風險接

34、受準則，判斷風險為可接 受或需要處理。8. 2. 4識別和評價風險處理的選擇項目風險的識別貫穿整個業務活動過程，明確哪些風險可能影響項目造成影響、記 錄這些風險的各方面特征。在記錄風險的基礎上對項目進行初步分析，依據影響對項目風險進行優先級排序。綜合管理部根據風險評估的結果，形成信息安全風險評估表(含風險處理計劃)，該計劃明確了風險處理責任部門、負責人、目的、范圍以及處理策略，具體 措施如下：適時適當的控制措施。(2)規避風險,采取有效的控制措施避免風險的發生。(3)接受風險,在一定程度上有意識、有目的地接受風險。(4)風險轉移,轉移相關業務風險到其他方面。(5)消減風險,通過適當的控制措施降

35、低風險發生的可能性。& 3信息安全風險處置組織應實施信息安全風險處置計劃。保留信息安全風險處置結果的文件記錄信息。詳見信息安全風險管理程序& 3. 1相關文件信息安全風險管理程序9績效評價9.1監視、測量、分析和評價為了保證服務的符合性及實施必要的改進，應規定、策劃和實施所需的測量和監視 活動。在策劃時，應確定統計技術及其他適用的方法的需要和使用。需要監視和測量的 過程和措施包括：客戶滿意度測量、過程的監視和測量、產品的監視和測量。綜合管理部應組織相關部門，對質量服務信息安全措施的績效和體系的有效性進行 評價。綜合管理部應與各部門協調，根據公司管理的實際需要，建立恰當的度量體系，以 度量員工、

36、項目組的工作業績。由綜合管理部組織實施監視和測量，每年至少一次對對監視和測量的結果進行分析 和評價，由總經理以及各部門經理分析和評價這些結果，保留相關的監視和測量證據。 9.2內部審核公司應按計劃的時間要求進行ISMS內部審核，以確定控制目標、控制措施、過程 和程序是否:符合標準及相關法律法規的要求；符合確定的信息安全要求；得到有效地實施和維護；按期望運行。內部審核程序應進行計劃，并考慮受審核的狀況、重要性和受審核的區域以及上次 審核結果，應規定審核準則、范圍、頻次和方式，審核員的選擇和審核活動應保證審核 過程的客觀和公正，審核員不能審核自己的工作。3管理評審3. 1總則為確保信息安全管理體系

37、持續運行，具體如下：（1）管理者代表組織并編制管理評審程序，指導管理評審工作的執行。（2）管理評審由最高管理者或其授權人員組織，每年至少一次。一般情況下，采 取會議的形式，安排在內部審核之后。當出現下列情況之一時，應及時進行管理評審：公司管理體系發生重大變化。國家法律法規、相關標準發生重大變化。外審之前。其他認為需要評審時。（3）各部門負責均需參加管理評審活動，需要時，由總經理或其授權人員決定具 體的參加人員。（4）管理評審會議的決議事項以會議紀要形式體現，由各相關部門負責配合執行, 并對執行狀況予以跟蹤評估。3. 2評審輸入在管理評審時，管理者代表應組織各相關部門提供以下資料，以供評審：a）

38、以往管理評審的措施的狀態；b）與信息安全管理體系相關的外部和內部問題的變更；c）信息安全績效的反饋，包括下列方面的趨勢：1）不符合和糾正措施；2）監視和測量結果；3）審核結果；4）信息安全目標的實現；d）相關方的反饋；e）風險評估的結果和風險處置計劃的狀態；f）持續改進的機會。3. 3評審輸出按照信息安全管理與安全方針和目標對上述信息進行全面的討論、評價、分析，管 理評審輸出包括以下方面有關的任何決定和措施：（1）信息安全管理體系有效性的改進，應考慮業務需求、安全需求、影響已有業 務需求的業務過程、法律法規環境、合同責任義務、風險以及風險接受等級等。（2）信息安全管理方針和目標的修訂。（3）與

39、相關方/第三方有關的改進措施等。（4）風險的等級或可接受風險的水平，更新風險評估和風險評估表等。（5）業務需求的變更。（6）安全需求的變更。（7）資源需求以及影響現有業務需求的業務過程；（8）法律法規的環境。（9）改進測量控制措施有效性的方式。（10）對現有信息安全管理體系的評價結論以及對現有服務是否符合要求的評價。 以上內容的詳細規定見管理評審程序。公司應保留文件記錄作為管理評審結果的證據。10.1不符合和糾正措施當發生不符合時，應：對不符合作出反應，采取措施控制并糾正不符合；處理不符合造成的后果；評價消除不符合原因的措施的需求，通過采取以下措施防止不符合再次發生或在其他區域發生：評審不符合

40、;確定不符合的原因；確定類似不符合是否存在，或可能潛在發生實施所需的措施；評審所采取糾正措施的有效性； 必要時，對體系實施變更。應將以下信息形成文件：不符合的性質及隨后采取的措施 糾正措施的結果上述要求參見糾正措施控制程序。2持續改進通過制定和改進管理方針和管理目標、進行管理評審、進行內部/外部審核、落實 糾正與預防措施工作、對信息安全事件和服務異常事件的監控分析等方式開展信息安全 管理體系的改進工作，必要時征求所有相關方對管理體系的意見，從而保證管理體系的 持續有效性和運行效率。關注客戶的投訴、抱怨、記錄、評估服務改進建議，制定服務改進計劃，評估服務 改進情況，確保各項服務改進措施均已落實執

41、行，并實現預期的目標，從而改進完善服 務過程，提升服務質量，提高客戶的滿意度。規定各部門在持續改進活動中的角色和職責，并從服務過程的所有方面考慮服務改 進要求。計劃通過以下途徑持續改進信息安全管理的有效性：（1）通過信息安全管理體系方針的建立與實施，對持續改進做出正式的承諾。（2）通過信息安全管理體系目標的建立與實施，對持續改進進行評價。（3）通過內部審核不斷發現問題，尋找體系改進的機會并予以實施。（4）通過數據分析不斷尋求改進的機會，并做出適當的改進活動安排。（5）通過實施糾正和預防措施實現改進的活動。（6）監控安全事件并對事件進行分析。（7）確定糾正措施和預防措施的有效性。（8）根據管理評

42、審的結果尋求改進體系的機會。（9）根據客戶滿意度調查尋求改進體系的機會。支持文件:糾正措施控制程序預防措施控制程序內部審核管理程序3糾正措施對于發現的不合格項，不僅要求責任人要糾正不合格行為，而且為了消除不合格項、 與實施和運行信息安全管理體系有關的原因，人事行政部要求責任人應該制定糾正措 施，以便防止不合格的再次發生。糾正措施的控制應該滿足如下要求：（1）識別實施和運行信息安全管理體系的不合格事件。（2）分析并確定不合格的原因。（3）評價確保不合格不再發生的相關因素。（4）確定和實施所需的糾正措施。（5）檢查、驗證糾正措施的結果。（6）評審所采取的糾正措施的有效性。支持文件：糾正措施控制程序

43、預防措施控制程序內部審核管理程序4預防措施在信息安全管理體系運行的過程中，通過日常的過程控制、結果驗證、體系審核等 方式發現的一些可能影響體系運行的、不受控制將會導致不合格產生的安全事件，應該 及時采取預防措施控制事態的進一步擴大。預防措施應該滿足如下幾方面的要求：（1）識別潛在的信息安全事件及其原因，并確定。（2）評價預防不合格發生的措施的需求。（3）確定和實施所需的預防措施。（4）評價預防措施的有效性，并對所采取措施的結果進行記錄。（5）識別并控制重大的已變更的防線。支持文件：糾正措施控制程序預防措施控制程序附錄1-組織簡介深圳市X X X科技有限公司是一家總部位于中國深圳的全方位IT及解

44、決方案服務 提供商。主要致力于航空領域，提供航空IT產品、IT服務及解決方案、航空教育的一 體化專業公司。依靠與多家航空領域的企事業單位建立的良好合作關系，不斷吸取各方 先進技術與管理經驗，打造了一支經驗豐富的管理團隊。在堅持高品質的產品質量、雄 厚的技術力量的支持下，研發了多項擁有自主知識產權的產品，同時具備了向市場提供 綜合化服務的實力。我們的服務：公司一直堅持“滿足客戶的需求就是我們的追求的服務”宗旨，我們 將以最優質的服務為客戶提供全方位的IT服務，提升客戶的企業價值，提高客戶的市 場競爭力。技術實力：公司擁有蓬勃向上，充滿朝氣的創業型領導核心，海外留學背景, 多年IT研發、管理經濟的

45、高層管理團隊；經驗豐富的研發團隊一為客戶提供專業的IT 只是支持。發展戰略：提供自主研發的一流軟件和服務，持續為客戶創造最大價值核心價值觀 公司理念：幫助客戶創造價值，幫助員工實現夢想誠信：最重要的無形資產，是我們贏得客戶信任的基礎專注：建立核心競爭力的關鍵創新：企業持續性發展的必備基因是我們贏得客戶信任的基礎附錄2-組織架構圖附錄3-職能分配表管理單位體系要求信息安全小組總經理管理者代表綜合管理部技術部銷售部4.組織環境4. 1理解組織及其環境4.2理解相關方的需求和期望4.3明確信息安全管理體系的范圍4. 4信息安全管理體系5領導5. 1領導和承諾5. 2方針5.3組織角色、職責和權力6計

46、劃6. 1處置風險和機遇6.2信息安全目標的計劃和實現7支持7.1資源7.2能力7. 3意識7. 4溝通7. 5文檔要求8實施8. 1運行計劃和控制& 2信息安全風險評估& 3信息安全風險處置9績效評價9. 1監視、測量、分析和評價9.2內部審核9.3管理評審10改進10. 1不符合項和糾正措施10.2持續改進A. 5信息安全策略A. 5. 1信息安全管理指導A.6信息安全組織A. 6.1內部組織A. 6. 2移動設備和遠程辦公A. 7人力資源安全A. 7. 1任用前A. 7. 2任用中A. 7.3任用終止和變更A. 8資產管理A. 8. 1資產的責任A. 8. 2信息分類A. 8. 3介質處

47、理A. 9訪問控制A. 9. 1訪問控制的業務需求A. 9.2用戶訪問管理A. 9. 3用戶責任A. 9. 4系統和應用訪問控制A. 10加密技術A. 10. 1加密控制A. 11物理和環境安全A. 11. 1安全區域A. 11.2設備安全A. 12操作安全A. 12. 1操作程序及職責A. 12. 2防范惡意軟件A. 12. 3備份A. 12.4日志記錄和監控A. 12. 5操作軟件的控制A. 12. 6技術脆弱性管理A. 12. 7信息系統審計的考慮因素A. 13通信安全A. 13. 1網絡安全管理A. 13. 2信息傳輸A. 14系統的獲取、開發及維護A. 14. 1信息系統安全需求A.

48、 14. 2開發和支持過程的安全A. 14. 3測試數據A. 15供應商關系A. 15. 1供應商關系的信息安全A. 15. 2供應商服務交付管理A. 16信息安全事件管理A. 16. 1信息安全事件的管理和改進A. 16. 1. 1職責和程序A. 16. 1. 2報告信息安全事態A. 16. 1. 3報告信息安全弱點A. 16. 1. 4評估和決策信息安全事件A. 16. 1. 5響應信息安全事故A. 16. 1.6從信息安全事故中學習A. 16. 1. 7收集證據A. 17業務連續性管理中的信息安全A. 17. 1信息安全的連續性A. 17.2冗余A. 18符合性A. 18. 1法律和合同規定的符合性A. 1& 2信息安全評審*注：負責部門以“”表示；相關部門以“”表示。附錄4-信息安全小組成員為確保本公司信息安全管理體系的有效運行，認真貫徹信息安全管理方針，特授權 以下人員組成信息安全管理小組。成員名單如下：組長：* （總經理）執行組長：*成 員：綜合管理部：*、銷售部：*、技術部：*。附錄5-服務器拓撲圖服務器拓撲圖附錄6-信息安全職責說明一、總經理1、負責主持制定本公司的信息安全體系方針和目標，確保員工貫徹執行；2、制定公司戰略，進行經營、營銷、項目管理規劃，承擔公司的全面經營管理工作， 包括人事、行政、財務、采購、管理等。3、確保實現方針和目標的