手冊控制

本手冊由我公司體系管理小組根據IS027001:2013《信息安全管理體系規范》要求，結

合我公司現狀和發展需求制定而成，并經體系管理委員會審核，最終由最高管理者批準頒布

開始執行的。

當下列情況發生時，應對木手冊進行評審，必要時進行修改。手冊修改時，同樣應經以

上權責人員審查、核準后方可生效：

1）在管理體系運行過程中發現手冊存在差錯或條文要求不明時；

2）當我公司組織結構發生變化時；

3）當我公司信息安全管理活動發生重大變化時；

4）當引用的1S027001標準版本修W時;

5）管理評審對體系提出改進要求時；

6）我公司高層領導認為需要進行修改時。

經核準后的手冊，依照《文件控制程序》進行分發和使用控制。當文件修改時，也按照

《文件控制程序》要求回收舊版文件、發行新文件。管理手冊允許進行單頁版本修訂，修訂

時，應在修W頁中注明修止情形。當本手冊其中一頁修止次數超過10次時，則應對手冊進行

整本改版。

如需要對外發布本手冊，可依照相關規定進行發布控制。

頒布令

為了加強技術管理并與國際標準接軌，按照IS027001：2013信息安全管理標準要求，并

結合我公司（以下簡稱“公司”）實際情況，編寫了我公司的管理體系文件。

管理體系文件中的《信息安全管理手冊》是綱領性文件，《程序文件》是《信息安全管

理手冊》的支持性文件，作業指導書是《信息安全管理手冊》和《程序文件》的支持性文件。

管理體系文件是公司管理體系運行所遵循的規則，是質量/服務管理的依據，具有指令性、

政策性和制度性的效能?！缎畔踩芾硎謨浴吠瑫r還是公司對外做出的承諾。為此，要求

全公司人員自發布之日起認真組織學習、試行，正式生效后必須嚴格貫徹執行。

管理體系文件2021年1月30日發布，2021年1月30日起正式生效。

特此發布！

XX公司：

二0二一年一月三十日

任命書

為了確保公司按照ISO27OO1：2013國際標準建立、實施、完善信息安全管理體系，并將

信息安全管理體系納入公司管理體系，實現產品及服務質量與效益相結合的持續發展目標，

茲任命：我公司XX為信息安全管理體系負責人

管理體系負責人直接向公司負責人匯報，并在管理體系推進過程中行使以下職責：

全面負責公司按照ISO27OO1：2013國際標準建立、實施管理體系，并確保管理體系持續

有效運行；

在職責范圍內保障建立、實施管理體系所必要的資源配置（包括人力、財力、物力等）,

并向公司負責人匯報管理體系運行績效，為持續改進提供依據：

全面負責處理管理體系中內部、外部的信息傳遞與溝通，并負責處理質量或服務事故。

本任命書自即日起生效。

特此任命！

XX公司：

二。二一年一月三十日

1.范圍

為建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系，確定信息

安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執行信息安全管

理體系文件、持續改進信息安全管理體系的有效性，特制定本手冊。

本《信息安全管理體系手冊》采用了IS0/IEC2700l:2013標準正文的全部內容，對附錄A

的刪減及理由詳見《信息安全適用性聲明》。

2.規范性引用文件

下列文件的全部或部分內容在本文件中進行了規范引用，對于其應用是必不可少的。凡

是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版

本（包括任何修改）適用于本標準。

ISO/IEC27000,信息技術一安全技術一信息安全管理體系一概述和詞匯

3.術語和定義

IS0/IEC27000中的術語和定義適用于本標準。

4.組織環境

4.1理解組織及其環境

本公司依據《信息安全風險評估管理程序》，建立組織的外部和內部環境，確定與其目

標相關并影響其實現信息安全管理體系預期結果的能力的外部和內部問題，形成外部和內部

問題清單。

4.24.2理解相關方的需求和期望

本公司通過建立組織的外部和內部環境確定如下內容：

a）與信息安全管理體系有關的相關方；

b）這些相關方與信息安全有關的要求。

注：相關方的要求可能包括法律法規要求和合同義務。

4.34.3確定信息安全管理體系的范圍

本公司充分考慮如下內容：

a）在4.1中提及的外部和內部問題：

b）在4.2中提及的要求；

c）組織所執行的活動之間以及與其它組織的活動之間的接口和依賴性。

確定信息安全管理體系的邊界和適用性，建立信息安全管理體系的范圍和邊界：

a）ISMS的范圍是：計算機信息系統集成、應用軟件開發

b）ISMS的邊界是：

4.44.4信息安全管理體系

公司依據ISO/IEC27091:2013《信息技術安全技術信息安全管理體系要求》建立、

實施、保持和持續改進信息安全管理體系。

5.領導

5.1領導和承諾

高層管理者應通過下列方式展示其關于信息安全管理體系的領導力和承諾：

a）確保建立信息安全方針和信息安全目標，并與組織的戰略方向保持一致；

b）確保將信息安全管理體系要求整合到組織的業務過程中；

c）確保信息安全管理體系所需資源可用；

d）傳達信息安全管理有效實施、符合信息安全管理體系要求的重要性；

e）確保信息安全管理體系實現其預期結果；

f）指揮并支持人員為信息安全管理體系的有效實施作出貢獻；

g）促進持續改進；

h）支持其他相關管理角色在其職貴范圍內展示他們的領導力。

5.2方針

為了滿足適用法律法規及相關方要求，維持ISMS范圍內的業務正常進行，實現業務可持

續發展，公司高層管理者建立信息安全方針：

提供滿足客戶要求的服務。

信息安全方針滿足以下要求：

a）適于組織的目標；

b）包含信息安全目標（見6.2）或設置信息安全目標提供框架；

c）包含滿足適用的信息安全相關要求的承諾；

d）包含信息安全管理體系持續改進的承諾。

公司文件化信息安全方針，保持可用性，并在組織內部進行傳達，適當時，對相關方可

用O

5.3組織角色、職責和權限

高層管理者應確保分配并傳達了信息安全相關角色的職責和權限。

高層管理者應分配下列職責和權限：

a）確保信息安全管理體系符合本標準的要求；

b）將信息安全管理體系的績效報告給高層管理者。

注：高層管理者可能還要分配在組織內部報告信息安全管理體系績效的職責和權限。

5.3.1信息安全組織機構

本公司成立信息安全領導機構一一信息安全管理小組的職責是實現信息安全管理體系

方針和本公司承諾。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信息

安全方針、目標、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的

有效運行提供必要的資源。

本公司的信息安全職能由信息安全管理小組承擔，其主要職責是：負責制訂、落實信息

安全工作計劃，對單位、部門信息安全工作進行檢查、指導和協調，建立健全企業的信息安

全管理體系，保持其有效、持續運行。

本公司采取相關部門代表組成的協調會的方式，進行信息安全協調和協作，履行“5.1

領導和承諾”中的相關職責。

信息安全小組由公司負責人、市場部、采購中心、研發中心、交付中心、運維中心、綜

合管理部、財務部總監組成。

5.3.2信息安全職責和權限

本公司總經理為信息安全最高責任者?？偨浝碇付ㄐ畔踩芾碚叽恚瑹o論信息安全

管理者代表其他方面的職責如何，對信息安全負有以下職責：

建立并實施信息安全管理體系必要的程序并維持其有效運行；

對信息安全管理體系的運行情況和必要的改善措施向信息安全管理小組或最高責任者

報告。

各部門負責人為本部門信息安全管理責任者，全體員工都應按保密承諾的要求自覺履行

信息安全保密義務。

各部門、人員有關信息安全職責分配見《附錄3-信息安全職能分配表》和相應的程序文

件（管理標準）、規定及崗位說明書。

6.規劃

6.1應對風險和機會的措施

6.1.1總則

當規劃信息安全管理體系時，公司應考慮4.1中提及的問題和4.2中提及的要求，確定需

要應對的風險和機會，以：

a）確保信息安全管理體系能實現其預期結果；

b）防止或減少意外的影響；

c）實現持續改進。

公司應規劃：

d）應對這些風險和機會的措施;

e）如何

1）整合和實施這些措施并將其納入信息安全管理體系過程；

2）評價這些措施的有效性。

6.1.2信息安全風險評估

公司通過建立公司外部和內部環境，制定《信息安全風險評估管理程序》，定義并應用

風險評估過程。信息安全管理小組建立識別適用于信息安全管理體系和已經識別的業務信息

安全、法律和法規要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。按

信息安全風險評估執行《信息安全風險評估管理程序》進行，以保證所選擇的風險評估方法

應確保風險評估能產生可比較的和可重復的結果。

6.1.2.1建立并保持信息安全風險準則

建立并保持信息安全風險準則，包括

1）風險接受準則；

2）執行信息安全風險評估的準則；

定義風險評估的方法，確保重復性的信息安全風險評估可產生一致的、有效的和可比較

的結果。

6.1.2.2識別信息安全風險

由信息安全管理小組組建風險評估小組，風險評估小組應：

1）應用信息安全風險評估過程來識別信息安全管理體系范圍內的信息喪失保密性、完

整性和可用性的相關風險；

2）識別風險負責人；

通過風險識別，形成信息安全風險清單。

6.1.2.3分析信息安全風險：

1）評估6.1.2.2中所識別風險發生后將導致的潛在影響；

2）評估6.1.2.2中所識別風險發生的現實可能性;

3）確定風險級別;

6.1.2.4評價信息安全風險；

1）將風險分析結果同6.1.2.1建立的風險準則進行比較；

2）為實施風險處置確定已分析風險的優先級。

公司應保留信息安全風險評估過程的文件記錄信息。

6.1.3信息安全風險處置

公司定義并應用信息安全風險處置過程，以：

a）在考慮風險評估結果的前提下，選擇適當的信息安全風險處置選項；

b）為實施所選擇的信息安全風險處置選項，確定所有必需的控制措施；

注：組織可按要求設計控制措施，或從其他來源識別控制措施。

c）將6.1.3b）所確定的控制措施與附錄A的控制措施進行比較，以核實沒有遺漏必要

的控制措施；

注1：附錄A包含了一份全面的控制目標和控制措施的列表。本標準用戶可利月附錄A以

確保不會遺漏必要的控制措施。

注2：控制目標包含于所選擇的控制措施內。附錄A所列的控制目標和控制措施并不是所

有的控制目標和控制措施，組織也可能需要另外的控制目標和控制措施。

d）產生《信息安全適用性聲明》。適用性聲明要包含必要的控制措施（見6.1.3b）和c）、

對包含的合理性說明（無論是否已實施）以及對附錄A控制措施刪減的合理性說明；

0）制定信息安全風險處置計劃；

f）獲得風險負責人對信息安全風險處置計劃以及接受信息安全殘余風險的批準。

6.2信息安全目標和規劃實現

公司在相關職能和層次上建立信息安全目標。

信息安全目標應：

a）與信息安全方針一致;

b）可測量（如可行）；

c）考慮適用的信息安全要求以及風險評估和風險處置結果；

d）被傳達；

e）適當時進行更新。

公司信息安全目標見《信息安全目標》：

公司建立《信息安全目標B4》，明確管理和測量信息安全目標的職責，明確測量的內容

和頻率要求，并對測量的結果進行評價，識別改進的機會。

7.支持

7.1資源

公司確定并提供建立、實施、保持和持續改進信息安全管理體系所需的資源，包括資金、

人力、設施和技術等資源。

7.2能力

信息安全管理小組制定并實施《人力資源管理程序》文件，確保被分配信息安全管理體

系規定職責的所有人員，都必須有能力執行所要求的任務?？梢酝ㄟ^：

a）確定從事影響信息安全執行工作的人員在組織的控制下從事其工作的必要能力；

b）確保人員在適當教育，培訓和經驗的基礎上能夠勝任工作；

c）適用時，采取措施來獲得必要的能力，并評價所采取措施的有效性：

d）保留適當的文件記錄信息作為能力方面的證據。

注：例如適當措施可能包括為現有員工提供培訓、對其進行指導或重新分配工作；雇用

或簽約有能力的人員。

7.3意識

公司通過教育、培訓等手段，使員工在組織的控制下從事其工作時應意識到：

a）信息安全方針;

b）他們對有效實施信息安全管理體系的貢獻，包括信息安全績效改進后的益處；

C）不符合信息安全管理體系要求可能的影響。

7.4溝通

公司確定有關信息安全管理體系在內部和外部進行溝通的需求，明確以下內容：

a）什么需要溝通；

b）什么時候溝通；

C）跟誰進行溝通；

d）由誰負責溝通；

e）影響溝通的過程。

7.5文件化信息

7.5.1總則

公司制定《文件控制程序》和《記錄控制程序》對文件化信息進行控制，公司的信息安

全管理體系應包括：

a）本標準要求的文件化信息；

b）組織為有效實施信息安全管理體系確定的必要的文件化信息。

7.5.2創建和更新

創建和更新文件化信息時，應確保適當的：

a）標識和描述（例如：標題、日期、作者或參考編號）；

b）格式（例如：語言，軟件版本，圖表）和介質（例如：紙質介質，電子介質）；

c）評審和批準其適用性和充分性。

7.5.3文件記錄信息的控制

信息安全管理體系和本標準所要求的文件化信息應予以控制，以確保：

a）無論何時何地需要，它都是可用并適合使用的;

b）它被充分保護（例如避免喪失保密性、使用不當或喪失完整性）

對于文件化信息的控制，適用時，組織應處理下列問題：

C）分發、訪問、檢索和使用：

d）存儲和保存，包括可讀性的保持：

e）變更控制（例如版本控制〉；

f）保留和處置。

組織為規劃和實施信息安全管理體系確定的必要的外部原始文件記錄信息，適當時應予

以識別并進行控制。訪問隱含一個權限決策：僅能查看文件記錄信息，或有權去查看和變更

文件記錄信息等。

8.運行

8.1運行的規劃和控制

公司應規劃、實施和控制滿足信息安全要求所需的過程，并實施6.1中確定的措施（詳

見《信息安全適用性聲明》）。組織還應實施這些規劃來實現6.2中所確定的信息安全目標。

公司應控制計劃了的變更，評審非預期變更的后果，必要時采取措施減緩負面影響。

組織應確保外包的過程已確定，并處于可控狀態。

8.2信息安全風險評估

公司依據《信息安全風險評估管理程序》、《糾正和預防措施控制流程》及6.1.2中建立

的風險評估執行準則，每年定期執行一次信息安全風險評估，當重大變更被提出或發生時，

應不定期執行信息安全風險評估。

組織應保留信息安全風險評估結果的文件記錄信息。

8.3信息安全風險處置

公司應實施6.1.2中制定的信息安全風險處置計劃，并執行變更了的處置計劃，

組織應保留信息安全風險處置結果的文件記錄信息。

9.績效評價

9.1監視、測量、分析和評價

公司建立《信息安全目標》，定義測量和評價的方法，明確相關職責，定期評價信息安

全績效和信息安全管理體系的有效性。滿足以下要求：

a）什么需要監視和測量，包括信息安全過程和控制措施；

b）監視、測量、分析和評價的方法，適用時，確保結果有效；

c）什么時候應執行監視和測量；

d）誰應實施監視和測量；

e）什么時候應對監視和測量的結果進行分析和評價；

f）誰應分析和評價這些結果。

組織應保留適當的文件記錄信息作為監視和測量結果的證據。

9.2內部審核

公司信息安全管理小組按《內部審核管理程序》的要求策劃和實施信息安全管理體系內

部審核以及報告結果和保持記錄。

公司每年進行一次內部審核，以提供信息確定信息安全管理體系是否：

a）符合

1）組織自身信息安全管理體系的要求；

2）本標準的要求；

b）得到有效的實施和保持。

公司應按《內部審核管理程序》執行如下活動：

c）規劃、建立、實施和保持審核方案，包括頻次、方法、職責、計劃要求和報告。審

核方案應考慮所關注過程的重要性以及以往審核的結果；

d）為每次審核定義審核準則和審核范圍；

e）審核員的選擇和審核的實施應確保審核過程的客觀性和公正性;

f）確保審核結果報告給相關的管理者;

g）保留文件記錄信息作為審核方案和審核結果的證據。

9.3管理評審

綜合管理部應每半年組織進行一次管理評審并召開安全會議，以確保信息安全管理體系

持續的