1、信息安全管理手冊GB/T 22080-2016/IS0/IEC 27001:2013編寫委員會信息安全管理手冊GLSC2020第A/0版編 寫:審 核:批 準:受控狀態:XXX網絡科技有限公司發布時間：2020年9月1日實施時間：2020年9月1日第 頁01目錄序號名稱頁碼01目錄102修訂頁303頒布令404任命書505方針、目標606企業簡介807管理手冊9第一章范圍11第二章規范性引用文件12第三章術語和定義13第四章組織環境164. 1理解組織及其環境164.2理解相關方的需求和期望164.3確定信息安全管理體系范圍174.4信息安全管理體系17第五章領導185. 1領導和承諾185.

2、2方針185.3組織的角色、職責和權限19第六章規劃226. 1應對風險和機會的措施226. 1. 1總則226. 1.2信息安全風險評估226. 1. 3信息安全風險處置226.2信息安全目的及其實現規劃23第七章支持257. 1資源257.2能力277.3意識277.4溝通277.5文件化信息287.5. 1總則287.5.2創建和更新287.5.3文件化信息的控制28第八章運行30& 1運行規劃和控制30& 2信息安全風險評估30& 3信息安全風險處置30第九章績效評價319. 1監視、測量、分析和評價31序號名稱頁碼9.2內部審核329.3管理評審32第十章改進3510. 1不符合及糾

3、正措施3510.2持續改進35F附錄36附錄一證照36附錄二組織機構圖37附錄三職能分配要素表38附錄四程序文件目錄3902修訂頁序號對應章、節、 條號修訂內容修改人及 時間批準人及 批準時間03頒布令為提高我公司的信息安全管理水平，保障公司和客戶信息安全，依據GB/T 2 2080-2016/IS0/IEC 27001：2013信息技術安全技術信息安全管理體系要求 結合本公司實際，特制定信息安全管理手冊（以下簡稱“管理手冊”）A/0版。管理手冊闡述了公司信息安全管理，并對公司管理體系提出了具體要求, 引用了文件化程序，是公司管理體系的法規性文件，它是指導公司建立并實施管 理體系的綱領和行動準

4、則，也是公司對所有社會、客戶的承諾。管理手冊是由公司管理者代表負責組織編寫，經公司總經理審核批準實 施。管理手冊A/0版于2020年9月1日發布，并自頒布日起實施。本公司全體員工務必認真學習，并嚴格貫徹執行，確保公司信息安全管理體 系運行有效，實現信息安全管理目標，促使公司信息安全管理工作得到持續改進 和不斷發展。在貫徹管理手冊中，如發現問題，請及時庾饋，以利于進一步 修改完善。授權綜合部為本管理手冊A/0版的管理部門。XXX網絡科技有限公司 總經理：2020年9月1日04任命書為了貫徹執行GB/T 22080-2016/IS0/IEC 27001:2013信息技術 安全技術 信息安全管理體系

5、要求，加強對管理體系運作的領導，特任命曲巧為本公司 的信息安全管理者代表。除履行原有職責外，還具有以下的職責和權限如下：（1）確保信息安全管理體系的建立、實施、保持和更新；進行資產識別和 風險評估。（2）向最高管理者報告管理體系的有效性和適宜性，并作為評審依據用于 體系的改進；（3）負責與信息安全管理體系有關的協調和聯絡工作；（4）負責確保管理手冊的宣傳貫徹工作；（5）負責管理體系運行及持續改進活動的日常督導；（6）負責加強對員工的思想教育和業務、技術培訓，提高員工信息安全風 險意識；（7）主持公司內部審核活動，任命內部審核人員；（8）代表公司就公司管理體系有關事宜與外部進行聯絡。本授權書自任

6、命日起生效執行。總經理：2020年9月1日05方針.目標為提高本公司的信息安全管理水平，保障公司和客戶信息安全，本公司建立 了信息安全管理制度，制定了信息安全方針和信息安全目標。1公司信息安全方針滿足客戶需求、強化風險管理、保障信息安全、遵守法律法規、實現持續改 進。滿足客戶需求：始終堅持以客戶為關注焦點，遵循著公司“竭盡全力提供物 超所值的產品和服務，讓客戶滿意的發展使命，滿足客戶的需求。強化風險管理：秉承預防為主，防治結合”的理念，優化信息安全策略和 信息安全管理流程，對運行的信息系統和重要信息資產進行全方位風險預防管 控，保護信息系統和重要信息免受各種威脅的損害，使信息安全風險最小化，以

7、 確保信息系統業務的連續性。保證信息安全：堅持“安全第一、預防為主”的安全管理方針，定期開展信 息安全風險評估，完善信息安全管理制度和管理信息系統災害的應急預案，及時 處理不可接受風險，杜絕可能出現的信息安全事故。遵守法律法規：嚴格遵守法律法規，自覺增強社會責任感，保障客戶和公司 的信息安全。實現持續改進：發揮全體員工的潛能，把質量預防機制構筑在每一個業務環 節中，進行全面的質量管理，并持續改進。2公司信息安全目標a）不可接受風險處理率二100%b）機密信息泄密事件二0次c）重大突發事件二0次d）客戶滿意度M90%3部門信息安全目標3.1信息安全管理委員會：a）不可接受風險處理率二100%2綜

8、合部：a）審核實施及時率290%b）員工入職培訓完成率=100%c）員工保密協議簽訂率二100%d）計劃培訓實施率295%e）文件有效率二100%f）文件按時發放率=100%3. 3技術部a）機密信息泄密事件二0次b）大面積感染病毒次數二0次c）成功防范黑客攻擊率二100%d）重要信息備份技術率二100%e）計算機故障處理完成率=100%f）產品及時完成率二100%3.4業務部a）客戶滿意度$90%b）產品退回二0c）投訴二0總經理：fran2020年9月1日06公司簡介XXX有限公司位于XX省XX市XXX街道XX號，成立于2019年1月，是一家 專注于軟件開發、企業信息化建設、網站建設、廣告

9、設計的專業型新型電子商務 公司。公司主營業務有：網站建設（包含手機端網站、PC端官網訂制、公共平 臺搭建等），訂制軟件（包含手機軟件和電腦軟件）、搭建企業信息化平臺、廣 告設計。作為一家專業服務于企業信息化建設的公司，公司擁有一只經驗豐富的行業 精英組成的的團隊，公司自成立一年以來，已經為多家企業完成了網站建設和推 廣，設計完成了 XXXXX,贏得了眾多客戶的一致好評。通信信息 公司名稱: 公司地址: 聯系人: 電 話: 傳 真: 電子信箱:07管理手冊1概述本管理手冊依據GB/T 22080-2016/ISO/IEC 27001:2013信息技術安 全技術信息安全管理體系要求以及公司實際情況

10、編制的，是本公司從事信息 安全管理有關的活動的綱領性文件，為保持其持續適應性和有效性，明確管理者 和持有者的責任，對管理手冊的編寫、修訂、發放等實行統一管理。2依據1 GB/T 22080-2016/ISO/IEC 27001 ：2013信息技術 安全技術 信息安全管理 體系要求3手冊的編寫和管理職責3.1管理者代表負責組織管理手冊編寫、會審、修訂并組織宣貫。3.2由總經理批準頒布實施。3.3資料管理員負責管理手冊發放、回收、登記、保管和控制。4管理手冊按“受控”和“非受控”兩種版本管理。“受控”版本正本由資料 管理員保管，非正本限于本公司內部使用；“非受控”版本對外發放，在對外發 放時必須經

11、經理批準并加蓋非受控”標識后方可對外發放。4手冊持有者的責任1管理手冊是本公司信息安全管理體系運行的綱領性文件，本公司人員必須認 真學習、了解信息安全管理管理工作等，熟悉各項規定并嚴格遵照執行。4.2管理手冊是公司的受控文件，限公司內部使用，應妥善保管，不得遺失、擅 自更改、翻印和外借，如有丟失應向資料管理員作書面報告，經管理者代表批準 后方可補發。4.3更改頁下發后，按更改內容要求貫徹執行。4.4持有者調離本公司，必須交回手冊，辦理回收手續后方可離開。5管理手冊的宣傳與貫徹1管理手冊是本公司活動管理的指導性文件，是開展管理活動的依據和規范， 全體人員必須認真學習和掌握管理手冊的規定和要求。5

12、.2管理者代表制定宣傳與貫徹計劃并組織全體人員學習，使全體人員了解信息 安全管理工作，對管理手冊中條款作必要的說明和解釋，以便在信息安全管理活 動中得以正確貫徹和執行。3新調入本公司工作人員，崗前培訓內容包含管理手冊的學習。6手冊的修訂1在管理體系活動中，員工有權以口頭或書面方式向管理者代表提出修改意見 或補充建議。6.2管理者代表負責收集修改意見和建議，一般在每年的內部評審或管理評審會 議上提岀修改意見并進行評審。3修訂稿由管理者代表組織起草，報總經理審批。修訂稿經總經理審核批準后 印制，手冊持有者更換修訂后的管理手冊，并對舊版手冊進行回收。7手卅的改版7.1當法律法規、標準發生變化時或本公

13、司職能、體制、組織結構等發生重大變 化，現行管理體系與之不相適應，或上級主管部門要求改版時，管理手冊予以改 版。7.2改版工作由管理者代表負責，組織人員編寫，新版本由總經理負責審核。新 版本自總經理批準頒布實施之日起，舊版本同時廢止并予以回收。第一章范圍1.1本手冊適用于本公司軟件開發、網站建設、企業信息化管理等活動涉及的信 息安全管理活動。1.2本手冊適用于相關方審核本公司信息安全管理能力的依據之一。1.3本手冊是信息安全管理體系文件，滿足公司內部管理體系需要。1.4本公司不進行外包，本手冊不適用于外包。第二章規范性引用文件下列文件對于本手冊的應用是必不可少的。凡是注日期的引用文件，僅注日

14、期的版本適用于本手冊。凡是不注日期的引用文件，其最新版本（包括所有的修 改單）適用于本手冊。1）GB/T 22080-2016/IS0/IEC 27001:2013信息技術 安全技術 信息安全 管理體系要求2）GB/T 29246/IS0/IEC 27000信息技術 安全技術 信息安全管理體系 概 述和詞匯第三章術語和定義GB/T 29246-2017/ISO/IEC 27000： 2016信息技術 安全技術 息安全管理 體系概述和詞匯界定的術語和定義適用于本手冊。1審核獲取審核證據并客觀地對其評價以確定滿足審核準則程度的，系統的、獨立 的和文檔化的過程。注1：審核可以是內部審核（第一方）或外

15、部審核（第二方或第三方），可 以是結合審核（結合兩個或兩個以上學科）。注2： “審核證據”和“審核準則”在ISO 19011中被定義。3.2審核范圍審核的程度和邊界。3.3能力應用知識和技能實現預期結果的才能。3.4保密性信息對為授權的個人、實體或過程不可用或不泄露的特性。5符合性對要求的滿足。6后果事態影響目標的結果。7持續改進為提高性能的反復活動。8控制改變風險的措施。3.9控制目標描述控制的實施結果所達到目標的聲明。10糾正消除已查明的不符合的措施。11整改措施消除不符合的措施。12文檔化信息組織需要控制和維護的信息及其載體。注1：文檔化信息可以采用任何格式，在任何載體中，出自任何來源。

16、注2：文檔化信息可能涉及一一管理體系，包括相關過程；一一為組織運作所創建的信息（文檔）；一一結果實現的證據（記錄）。13有效性實現所計劃活動和達成所計劃結果的程度。3. 14信息安全對信息的保密性、完整性和可用性的保持。3. 15信息安全持續性確保信息安全持續作用的過程和規程。3. 16信息安全事態識別到一種系統、服務或網絡狀態的發生，表明可能違法信息安全策略或控 制失效，或者一種可能與信息安全相關但還不為人知的情況。3. 17信息安全事件單一或一系列不希望或意外的，極有可能損害業務運行和威脅信息安全的信 息安全事態。3. 18信息安全事件管理發現、報告、評估、響應、處理和總結信息安全事件的過

17、程。3. 19信息系統應用、服務、信息技術資產或其他信息處理組件。3. 20管理體系組織中相互管理或相互作用的要素集，用來建立策略和目標以及達到這些目 標的過程。3.21測量確定一個值的過程。3. 22監視確定系統、過程或活動狀態的行為。3. 23不符合對要求的不滿足。3. 24過程將輸入轉換成輸岀的相互關聯或相關作用的活動集。3. 25評審針對實現所設立目標為主題，為確定其適宜性、充分性和有效性而采取的活 動。3. 26風險對目標不確定性影響。3. 27利益相關方對于一項決策或活動，可能對其產生影響，或被其影響，或認為自己受到影 響的人或組織。3. 28信息安全管理體系項目ISMS組織為實施

18、ISMS所開展的結構化項目。3. 29信息處理設施任何的信息處理系統、服務或基礎設施，或者其安置的物理位置。第四章組織環境4.1理解組織及其環境1.1公司通過收集信息、識別、分析和評價確認影響公司信息安全管理體系預 期結果的能力相關的外部和內部因素，外部、內部因素分析結果為確定以下事項 提供依據：a）確定管理體系范圍；b）建立管理體系；c）確定應對風險和機遇的措施；d）管理評審輸入。4.1.2評價公司外部因素可以包括，但不限于：a）社會和文化、政治、法律法規、財務、技術、經濟、自然和競爭環境， 無論國際、國內、區域和當地；b）影響公司目標的動力和趨勢；c）與外部利益相關方的關系，以及它們的感受

19、和價值觀。4.1.3評價組織內部因素可以包括，但不限于：a）管理方法、組織結構、作用和責任；b）方針、目標，以及為實現它們所制定的戰略；c）以資源和知識來理解的能力；d）信息系統、信息流和決策過程（正式或非正式）；e）與內部利益相關方的關系，以及它們的感受和價值觀；f）組織的文化；g）被組織采用的標準、指南和模型；h）合同關系的形式和范圍。1.4在確定這些相關要素時，公司通過實施、策劃應對風險的機遇和措施，通 過適宜的方法對這些內部和外部因素的相關信息進行監視和評審，確保充分識別 風險，消除風險，降低或減緩風險，充分利用可能的發展機遇，保證實現公司信 息安全管理體系預期結果。4.2理解相關方的

20、需求和期望2. 1公司確定與信息安全管理體系有關的相關方及相關方的要求，此類相關方 包括但不限于以下方面：客戶、最終使用者、主管部門、其他，如：股東、員工 等。2.2公司確定相關方，通過收集、詢問、調查等方式了解相關方的要求（要求 包含法律、法規和合同義務）。2. 3公司定期對這些相關方及其要求的相關信息進行監視和評審。2. 4相關方及其需求和期望的分析結果為以下方面提供輸入：a）確定管理體系范圍b）建立管理體系c）確定應對風險和機遇的措施d）管理評審輸入。2. 5公司定期更新確定的結果，以便于理解和滿足影響顧客要求和顧客滿意度 的需求和期望。2. 6公司要識別應對當前的和預期的未來需求可導致

21、改進和變革的機會。3確定信息安全管理體系范圍公司信息安全管理體系范圍包含公司活動中所有內容，范圍包括經營業務 （軟件開發、企業信息化建設、網站建設、廣告設計等）、公司場所、影響公司 信息安全管理的內部外部因素、相關方的要求。公司通過管理手冊、程序文件、 文件記錄、規章制度來有效維護公司信息安全管理體系。4信息安全管理體系本公司按照GB/T 22080-2016/IS0/IEC 27001:2013信息技術 安全技術 信 息安全管理體系要求的要求，建立、實現、維護和持續改進信息安全管理體 系。第五章領導5.1領導和承諾最高管理層通過以下活動，證實對信息安全管理體系的領導和承諾：a）建立了信息安全

22、方針和信息安全目標，并與公司戰略方向一致；b）將信息安全管理體系要求整合到了組織過程中；c）資源滿足公司信息安全管理體系；d）通過培訓教育、宣傳等方式傳達信息安全管理體系要求的重要性；e）確保信息安全管理體系達到預期結果；f）指導并支持相關人員為信息安全管理體系的有效性做出貢獻；g）促進持續改進；h）支持其他相關管理角色，以證實他們的領導按角色應用于其責任范圍。5. 2方針2.1為提髙本公司的信息安全管理水平，保障公司和客戶信息安全，本公司建 立了信息安全管理制度，制定了信息安全方針。2.2信息安全方針：滿足客戶需求、強化風險管理、保障信息安全、遵守法律 法規、實現持續改進。（見本手冊：05方

23、針、目標）2.3公司制定的信息安全方針：a）與公司意圖相適宜；b）包括信息安全目的或為設定信息安全目的提供框架；c）包括對滿足適用的信息安全相關要求的承諾；d）包括對持續改進信息安全管理體系的承諾。2. 3溝通信息安全方針a）信息安全方針以文件的形式進行了發布（見本手冊：05方針、目標）， 以便讓員工及時知曉。b）公司應將信息安全方針對全體員工進行宣講、教育，確保每個員工熟悉、 理解并貫徹執行。c）必要時，信息安全方針向相關方提供，告知相關方。d）公司應通過管理評審對信息安全方針進行適宜性評審和修訂，以反映不 斷變化的內部、外部條件和信息。3組織的角色、責任和權限3. 1總則為便于信息安全管理

24、體系的有效運行，公司明確規定各層次各部門人員的職 責和權限，并形成文件，以保證信息安全管理體系充分、有效地實施。管理者應 確保為信息安全管理體系的建立、實施、保持和改進提供必要的資源。資源包括 人力資源和信息處理設施以及技術和財力資源。3. 2組織框架公司組織機構由領導層、信息安全管理委員會、綜合部、業務部、技術部、 財務部組成，公司組織機構圖見附錄二。3. 3人員及部門職責和權限如下：3. 3. 1總經理a）擬訂公司中長期發展規劃、公司年度經營計劃、公司經營管理制度并負 責實施。b）領導公司建立各級組織機構，并按公司戰略規劃進行機構調整。c）領導公司制定各種規章制度，并深入貫徹實施。d）主持

25、公司日常經營管理；確定公司組織機構并確定部門職責，協調公司 內外關系。e）負責建立、實施、保持信息安全管理體系并持續改進其有效性，確認公 司信息安全管理方針、目標的建立和實施。f）決定各職能部門負責人的任免、報酬、獎懲。g）加強企業文化建設，搞好社會公共關系，樹立公司良好的社會形象。h）總經理是公司的第一責任人，對整個公司的經營業績負責。3. 3.2管理者代表a）確保信息安全管理體系的建立、實施、保持和更新；進行資產識別和風 險評估。b）向最高管理者報告管理體系的有效性和適宜性，并作為評審依據用于體 系的改進；c）負責與信息安全管理體系有關的協調和聯絡工作；d）負責確保管理手冊的宣傳貫徹工作；

26、e）負責管理體系運行及持續改進活動的日常督導；f）負責加強對員工的思想教育和業務、技術培訓，提高員工信息安全風險意識；g）主持公司內部審核活動，任命內部審核人員；h）代表公司就公司管理體系有關事宜與外部進行聯絡。3. 3. 3綜合部a）編制員工培訓計劃，組織員工技能培訓；b）負責公司員工檔案管理及人員招聘及簽署保密協議；c）編制員工手冊，對公司各部門人員的績效評估、獎懲及晉升之審核與呈報；d）負責公司文件記錄管理；e）公司辦公用品采購、發放；f）外部審核和內部審核的參與；g）負責供方評審；h）對信息安全日常工作實施動態考核，將信息安全管理作為企業管理的重要工作內容；i）負責收集信息安全方面相關

27、的法律法規及標準，并將相關信息及時傳達 到各部門，組織相關培訓。5. 3. 3. 4技術部a）負責技術部的日常工作，制定工作計劃和信息管理的有關辦法；b）組織制定信息安全管理工作的有關細則；c）負責公司網絡安全和信息安全工作；d）統籌軟件開發及應用；e）負責網站搭建；f）負責廣告設計；g）負責公司網站的安全和正常運行，技術指導、處理、協調和解決起點工 作網技術問題。5. 3. 3. 5業務部a）熟悉公司電子商務平臺的操作，開發新客戶，尋找合作機會；b）了解公司產品，及時回復客戶信息，接待上訪客戶，洽談訂單，完成銷售 業績;c）負責公司客戶反饋信息的搜集，定期對客戶回訪跟蹤。認真執行信息安全 方

28、針、標準、安全策略和規范，做好本部門職責范圍內的信息安全管理體系運行 工作。d）做好業務相關資料的整理和歸檔；e）進行客戶滿意度調查，并進行統計分析評審；f）組織合同評審工作，加強合同管理。5. 3. 3. 6財務部a）編制財務管理制度，設置會計科目、會計賬簿，處理一般會計事務如編 制會計憑證、會計報表、結賬、核帳、收款、報銷處理、薪資發放等；b）嚴格監控收支情況，辦理銀行結匯、外匯結算以及工商、稅務事項，做 到合法、合理交納稅款；c）進行會計核算，定期清查財產物資，發現問題及時上報、及時處理；d）整理、保存相關的各種會計資料和會計檔案；e）運用會計信息和資料做好成本管理工作，及時對成本、利潤

29、及資金需求 進行預測，為公司的經營管理提供決策依據；f）分析財務運行狀況，撰寫財務評價報告，向總經理報告財務情況和營運 狀況；g）遵守職業道德、嚴守公司機密，嚴格財經紀律，以身作則，奉公守法， 嚴格遵守公司各項規章制度，嚴格執行各項費用開支標準。5. 3. 3. 7信息安全管理委員會a）制定落實信息等級保護制度，對信息安全重大事項進行決策；b）制定信息安全管理制度；c）落實信息安全隱患整改事宜及事項的處理決定；d）對公司信息安全工作負責。第六章規劃6.1應對風險和機會的措施6.1.1總則建立、實施并保持應對風險和機會的措施程序，當規劃信息安全管理體 系時，公司考慮4.1提到的事項和4. 2中提

30、到的要求，并確定需要應對的風險和 機會，以：a）確保信息安全管理體系可達到預期結果；b）預防或減少不良影響；c）達到持續改進。公司應規劃：d）應對這些風險和機會的措施；e）如何：1）將這些措施整合到信息安全管理體系過程中，并予以實現；2）評價這些措施的有效性。6.1.2信息安全風險評估1建立、實施并保持信息安全風險控制程序，識別、分析、評價信息 安全風險，以建立并維護信息安全風險準則，包括風險接受準則；信息安全風險 評估實施準則。2. 2在已確定的信息安全管理體系范圍內，公司按照信息安全風險控制程 序識別與信息保密性、完整信息和可用性有關的風險，并識別風險責任人。1.2.3根據信息安全風險控制

31、程序對識別出的風險進行分析，評估與信息 保密性、完整信息和可用性有關的風險發生后，可能導致的潛在后果，和實際發 生的可能性，確定風險級別。4評價信息安全風險，將風險分析結果與建立的風險準則進行比較，將縫 隙處置排序已分析風險的優先級。1.2.5公司保留有關信息風險評估過程的信息安全風險評估記錄、信息 安全風險評估報告等文件化信息。&13信息安全風險處置1建立、實施并保持信息安全風險控制程序，對信息安全風險進行處 置。1.3.2對設別的信息安全風險進行評估，依據評估結果，選擇合適的風險處置 選項。1. 3. 3確定實現已選的信息安全風險處置選項所必需的所有控制。4將確定的控制與GB/T 2208

32、0-2016/ISO/IEC 27001:2013信息技術 安 全技術 信息安全管理體系要求附錄A的控制進行比較，并驗證沒有忽略必要 的控制。1.3.5制定信息安全適用性聲明，包含必要的控制及其選擇的合理性說明 （無論該控制是否已實現）,以及對GB/T 22080-2016/1 SO/1 EC 2 7001 ： 2013信 息技術安全技術信息安全管理體系要求附錄A控制刪減的合理性說明；1.3.6由綜合部制定信息安全風險處置計劃，經信息安全委員會審核，總 經理批準實施。1.3.7確定信息安全風險處置責任人，由總經理批準信息安全殘余風險的接 受。1.3.7公司保留信息安全風險處置計劃、信息安全風險

33、處置實施記錄 等有關信息安全風險處置過程的文件化信息。2信息安全目的及其實現的規劃1公司在相關職能和層級上建立了信息安全目標，（見本手冊05方針、目 標）。公司信息安全目標：a）與公司信息安全方針一致；b）可測量；c）考慮適當的信息安全要求，以及風險評估和風險處置的結果；d）得到溝通；e）適當時更新；公司將公司信息安全目標和部門信息安全目標在管理手冊中進行了發布。（見本手冊05方針、目標）2.2公司通過信息安全管理、定期和不定期的進行安全檢查、內部審核、管理 評審、信息安全風險評估等措施來達到信息安全的目標，在規劃如何達到信息安 全目的時，公司確定：a）要做什么；b）需要什么資源；c）由誰負責

34、；d）什么時候完成;e）如何評價結果。第七章支持71資源1. 1總則資源是確保管理體系有效運行，實現信息安全方針和信息安全目標的必要條 件，公司應確定并提供為建立、實施、保持和持續改進信息安全管理體系運行所 必需的資源，包括：人員、信息、供方、設備設施、工作環境及財務資源等，以 保證：a）實施和保持管理體系，并持續改進其有效性；b）滿足顧客、法律法規及其它相關方的要求，增強顧客滿意。公司應考慮：a）現有內部資源的能力和局限性；b）需要從外部供方獲得的資源。1.2人力資源1建立人力資源控制程序，并制定公司崗位職責及任職要求，應 確定并配備所需的人員，建立人員檔案，簽訂信息安全保密協議，定期識別

35、有效性，以有效實施信息安全管理體系運行過程的控制。1.2.2公司綜合部負責公司人員的配置管理，定期對在崗人員進行績效考核， 對不符合要求的進行換崗或采取培訓的方式提高職工的個人工作能力。1.3設備設施1公司應確定、提供并維護為實現產品所需要的設備設施，設備設施可包 括：a）建筑物和相關設施；b）設備、包括硬件和軟件；c）信息除了設施；d）信息和通迅技術。1.3.2公司建立、保持和實施設備設施控制程序，對公司擁有的設備設施 進行管理。1.4工作環境1建立、保持和實施工作環境控制程序。1.4.2公司應確定、提供并維護所需的環境，適當的運行環境可能是人為因素 與物理因素的結合，例如：a）社會因素（如

36、無歧視、和諧穩定、無對抗）；b）心理因素（如緩解緊張情緒、預防職業倦怠、保證情緒穩定）；c）物理因素（如溫度、照明、空氣流通、衛生、噪聲等）。由于部門職責不同，這些因素可能存在顯著差異，公司應對工作環境進行統 籌規劃，確保為職工提供適宜的、符合要求的工作環境并不斷改善。：a）適用的辦公場所，對辦公區域予以標識；b）確保職工勞動條件符合勞動法規的要求；c）工作場所應配備必要的通風、取暖、消防器材等設施，保持適宜的溫度、 濕度和職業健康安全條件；d）各級管理者要注意工作方法，關心職工生活、加強交流溝通，創造條件, 營造和諧的工作氛圍。保為職工提供適宜的、符合要求的工作環境并不斷改善。 7.1.5監

37、視和測量資源1.5. 1建立、保持和實施監視和測量資源控制程序1.5.2當利用監視或測量來驗證產品和服務符合要求時，公司應確定并提供所 需的資源，以確保結果有效和可靠，公司應確保所提供的資源；a）適合所開展的監視和測量活動的特定類型；b）得到維護，以確保持續適其用途。組織應保留適當的文件化信息，作為監視和測量資源適合其用途的證據。1.6組織的知識7. 1.6. 1由綜合部確定公司所需的知識，由綜合部對相關知識進行收集匯總。7. 1.6.2綜合部將這些知識以文件化和電子檔形式保存，并將知識通過培訓、宣 傳、放發等多種形式傳達到職工。7. 1.6.3為了應對不斷變化的需求和發展趨勢，公司應審視現有

38、的知識，確定如 何獲取或接觸更多必要的知識和知識更新。7.1.6. 4公司的知識是組織特有的知識，通常從其經驗中獲得，是以實現組織目 標所使用和共享的信息。7. 1.6.5公司的知識可以基于：a）內部來源（例如知識產權；從經驗獲得的知識；從失敗和成功項目吸取 的經驗教訓；獲取和分享未成文的知識和經驗，過程、產品和服務的改進結果）；b）外部來源（例如標準；學術交流；專業會議，從顧客或外部供方收集的 知識）。7. 2能力公司應：a）確定在公司控制下從事會影響公司信息安全績效的工作人員的必要能 力；b）確保上述人員在適當的教育、培訓或經驗的基礎上能夠勝任其工作；c）適用時，采取措施以獲得必要的能力，

39、并評估所采取措施的有效性；d）保留培訓考核記錄、能力確認記錄等文件化信息作為能力的證 據。注：適用的措施可包括，例如針對現有雇員提供培訓、指導或重新分配；雇 傭或簽約有能力的人員。7. 3意識公司通過培訓教育、宣傳等方式，使在公司控制下工作的人員意識到：a）信息安全方針；b）其對信息安全管理體系有效性的貢獻，包括改進信息安全績效帶來的 益處；c）不符合信息安全管理體系要求帶來的影響。7. 4溝通1建立、保持和實施信息交流控制程序，公司確定與信息安全管理體系 相關的內部和外部溝通，包括：a）溝通什么；b）何時溝通；c）與誰溝通；d）如何溝通；e）由誰溝通。f）影響溝通的過程。公司對信息安全管理體

40、系相關的信息交流做出響應，適當時，公司保留文件 化信息，作為其信息交流的證據。7. 4.2內部信息交流公司應：小在其各職能和層次間就信息安全管理體系的相關信息進行內部信息交流, 適當時，包括交流信息安全管理體系的變更；b）確保其信息交流過程能夠促使在其控制下工作的人員對持續改進做出貢 獻。7. 4.3外部信息交流公司應按其建立的信息交流過程的規定及其合規義務的要求，就信息安全管 理體系的相關信息進行外部信息交流。7. 5文件化信息7. 5.1總則建立、保持和實施文件控制程序、記錄控制程序。公司的信息安全管理體系包括：a）GB/T 22080-2016/ISO/IEC 27001:2013信息技

41、術安全技術信息安全 管理體系要求要求的文件化信息；b）公司實現信息安全管理體系有效性所必須的文件化信息。公司信息安全管理體系文件主要有：信息安全管理手冊、程序文件、 操作規范、員工手冊、內部審核報告、管理評審報告、其他各 類記錄表格報告和外來文件。7. 5. 2創建和更新在創建和更新成文信息時，組織應確保適當的：a）標識和說明（如：標題、日期、作者或引用編號）；b）格式（例如語言、軟件版本、圖表）和介質（例如紙質的、電子的）；c）評審和批準，以確保適宜性和充分性。7. 5.3文件化信息的控制7. 5. 3. 1公司編制文件控制程序，用以規范對管理體系文件的管理。綜合部 負責公司管理體系文件的歸

42、口管理，控制信息安全管理體系和標準所要求的形成 文件的信息，以確保：a）在需要的地點和時間，是可用的和適宜使用的；b）得到充分的保護（如避免保密性損失、不恰當使用、完整性損失等）。7. 5. 3. 2為控制形成文件的信息，適用時，公司綜合部應采取下列活動和措施,a）負責文件的分發、訪問、檢索和使用的控制；b）存儲和防護，包括保持可讀性；c）公司管理體系發生更改時，應保持更改控制，比如：版本控制。應對文 件進行必要的評審和修改。對修改的內容須再次審批；采用文件更改記錄及 版本和修改狀態標識的方式，識別所有文件的修訂狀態；d）保留和處置。7. 5. 3. 3對于公司確定的、策劃和運行信息安全管理體

43、系所必需的、來自外部的 形成文件的信息，適當識別，公司應予以控制。7. 5. 3. 4對所保留的作為符合性證據的形成文件的信息應予以保護，防止非預期 的更改。防止作廢文件的非預期使用，對作廢文件及時回收。因法律或其他原因 需保留作廢文件，要進行適當標識。7. 5. 3. 5對形成文件的信息的“訪問”可能意味著僅允許查閱，或者意味著允許 查閱并授權修改。第八章運行8.1運行規劃和控制為了滿足信息安全要求以及實現應對風險和機會的確定的措施，公司建立、 保持和實施應對風險和機會的措施程序，為了達到信息安全目標，公司制定 了內部審核計劃、管理評審計劃、風險處理計劃等一系列計劃。公司保持文件化信息達到必

44、要的程度，以確信這些過程按計劃得到執行。 公司控制計劃內的變更并評審非預期變更的后果，必要時采取措施減輕任何負面影響。&2信息安全風險評估在已確定的信息安全管理體系范圍內，考慮建立的準則，按計劃的時間間隔, 按信息安全風險管理程序，在范圍內進行信息安全風險識別。或當重大變更 提出或風險發生時，執行信息安全評估。公司保留信息安全風險評估報告的文件信息。&3信息安全風險處置綜合部根據風險評估的結果編制信息安全風險處置計劃，經信息安全委 員會審核，總經理批準后實施。各部門應保證計劃的實施。公司保留信息安全風險處理記錄的文件化信息。第九章績效評價9.1監視、測量、分析和評價1.1建立、保持和實施監視和

45、測量控制程序，評價信息安全績效以及信息 安全管理體系的有效性，公司應確定：a）需要被監視和測量的內容，包括信息安全過程和控制；b）適用的監視、測量、分析和評價的方法，以確保得到有效的結果。c）何時應執行監視和測量；d）誰應監視和測量；e）何時應分析和評價監視和測量的結果；f）誰應分析和評價這些結果。公司評價信息安全績效及信息安全管理體系的有效性。公司應確保使用監視 和測量設備，并對其予以維護。公司應按其建立的信息交流過程的規定，就有關 信息安全績效的信息進行內部和外部信息交流。公司保留適當的文件化信息，作 為監視、測量、分析和評價結果的證據。9.1.2信息安全管理體系績效的監視測量和評價公司策

46、劃并實施以下方面所需的監視測量、分析和改進過程：a）證實服務的符合性；b）確保信息安全管理體系的有效性；c）持續改進信息安全管理體系的有效性。公司采用有效方法對信息安全管理體系全過程進行監視和測量，以確保過程 能力滿足要求和管理體系的符合性。過程的監視和測量由管理者代表負責，綜合 部組織實施。通過對關鍵過程的過程參數（如：軟件技術參數、人員能力等）的測量，對 過程能力進行監視。通過內、外部審核、管理評審和日常的監督檢查，對信息安全管理體系的保 證能力和運行質量進行監視和測量。各部門應結合本部門工作的具體情況對公司的管理目標進行分解，轉化為與 本部門有關的具體目標，公司對各部門及公司管理目標的完

47、成情況按年度進行監 視和測量。為保證對上述內容進行監視和測量，公司釆用適宜的方法，包括統計技術的 應用。綜合部負責組織確定統計技術的使用方法及其應用程度。9.2內部審核1建立、保持和實施內部審核控制程序。公司按計劃的時間間隔進行內 部審核，每次內部審核時間間隔不超過12個月，每年至少進行1次內部審核， 當內部、外部環境發生重大變化時，管理者代表可以決定增加內部審核的次數， 通過內部審核，確定信息安全管理體系是否符合公司自身對信息安全管理體系的 要求和GB/T 22080-2016/IS0/IEC 27001:2013信息技術 安全技術 信息安全 管理體系要求標準的要求，是否得到有效實現和維護。

48、2.2由綜合部制定內部審核方案，內部審核方案包括審核頻次、方法、 責任、規劃要求和報告，并考慮相關過程的重要性和以往內部審核的結果。9. 2.3綜合部根據審核方案制定年度內部審核計劃。9. 2.4由管理者代表定義每次內部審核的準則和審核范圍。9. 2.5由管理者代表委任內審員實施內部審核，內審員做出審核過程客觀性和公 正性的聲明，內審員應經過培訓并取得了證書方可承擔審核工作。9.2.6公司按照年度內部審核計劃實施審核，實施程序：a）進行首次會議，明確審核目的、審核范圍、審核方法、審核程序和分組 情況。b）進行審核，采取聽取匯報、現場查看、提問、查閱資料等方式按照內 部審核檢查表對各部門的管理體

49、系和操作規程進行全面考核。C）出具不符合項記錄，各小組將審核記錄進行匯總，出具不符合項記錄。d）進行末次會議，對檢查中發現的不符合項進行討論、分析，提出糾正預 防措施和整改責任人。e）審核組長編制內審報告。9. 2.7內審報告發布后，發放至各部門負責人及公司領導層、9.2.8公司保留內部審核檢查表、內部審核報告等內部審核過程的文件 化信息作為審核方案和審核結果的證據。9.3管理評審1建立、保持和實施管理評審控制程序。管理層按計劃的時間間隔進行 管理評審，每次管理評審的時間間隔不超過12個月。當內、外部環境發生重大 變化時，公司總經理可決定增加管理評審的次數，以確保信息安全管理體系持續 的適宜性

50、、充分性和有效性。9. 3.2管理評審輸入內容：a）以往管理評審提出的措施的狀態；b）與信息安全管理體系相關的外部和內部事項的變化；c）有關信息安全績效的反饋，包括以下方面的趨勢：1）不符合和糾正措施；2）監視和測量結果；3）審核結果；4）信息安全目的完成情況；d）相關方庾饋；e）風險評估結果及風險處置計劃的狀態；f）持續改進的機會。9. 3.3管理評審準備：a）各部門負責人在管理評審會議前向管理者代表書面報告本部門信息安全 方面的績效、部門信息安全目標的實現情況；持續改進的機會；b）綜合部負責各部門目標完成情況及績效考核結果的匯總分析情況；并報 告至管理者代表；c）綜合部負責向管理者代表報告風險評估結果及風險處置計劃的狀態；d）業務部負責向管理者代表報告相關方反饋情況；e）管理者代表負責對以上資料進行匯總后編寫信息安全管理體系運行報 告，作為管理評審的輸入，由綜合部將報告稿分發給參加會議的人員。9. 3.4管理評審輸出內容：a）與持續改進機會相關的決定；b）變更信息安全管理體系的任何需求。9. 3.5管理評審會議9. 3. 5. 1管理評審會議由公司總經理主持。9. 3. 5. 2管理評審計劃a）綜合部負責編制管理評審計劃，經管理者代表審核，總經理批準后, 于召開評審會議前十天發放到各有關部門；b）計劃主要內容包括：評審目的、評審時間、評審內容、評審前準備