IT-IT-M-0003信息安全管理體系手冊

信息安全治理手冊

密級□隱秘口保密■內(nèi)部使用□公布信息受控狀態(tài)■受控口非受控

2020-12-01頒布封面2020-01-01實施

深圳市xxxx信息中1枚件隧操縱記錄

文件名稱信息安全治理手冊

文件編號IT-IT-M-0003

對應(yīng)0A文號

版次編制與修訂概要完成日期狀態(tài)

角色人員

編寫

初審

會簽

審核

批準

第一章前言

隨著XXXX業(yè)務(wù)進展日益增長，信息交換互連面也隨之增大，信

息業(yè)務(wù)系統(tǒng)依靠性擴大，所帶來的信息安全風(fēng)險和信息脆弱點也逐步

出現(xiàn)，原有信息安全技術(shù)和治理手段專門難滿足目前和以后信息化安

全的需求，為確保XXXX信息及信息系統(tǒng)的安全，使之免受各種威逼

和損害，保證各項信息系統(tǒng)業(yè)務(wù)的連續(xù)性，使信息安全風(fēng)險最小化，

XXXX每年開展網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險評估及等級愛護測評，定期

對等級愛護測評與風(fēng)險評估活動過程中的風(fēng)險漏洞進行全面整改，分

析了信息安全治理上的不足與缺陷，編制了差距測評報告。通過開展

信息安全風(fēng)險評估和等級愛護測評，了解XXXX信息安全現(xiàn)狀和以后

需求，為建立XXXX信息安全治理體系奠定了基礎(chǔ)。

2020年7月開展信息安全治理體系連續(xù)改進建設(shè)，依據(jù)信息安

全現(xiàn)狀和以后信息安全需求及GB/T22080-2020/ISO/IEC27001:2005

信息安全治理體系的標準要求，建立了符合xxxx信息安全治理現(xiàn)狀

和治理需求的信息安全治理體系，該體系覆蓋了

GB/T22()80-202()/ISO/IEC27001:2005信息安全治理體系的標準要求

12個操縱領(lǐng)域、39個操縱目標和133個操縱措施。

木手冊是xxxx信息安全治理休系的綱領(lǐng)性文件，由信息中心歸

口負責(zé)說明。

第二章信息安全治理手冊頒布令

xxxx(以下簡稱公司)依據(jù)GB/T22080-2020/ISO/IEC27001:2005

信息安全治理體系標準要求，結(jié)合限公司實際情形，在原有的各項治

理制度的基礎(chǔ)上編制完成了《xxxx信息安全治理體系手冊》第一版，

現(xiàn)予以批準實施。

?xxxx信息安全治理體系手冊》是公司在信息及信息系統(tǒng)安全方

面的規(guī)范性文件，手冊闡述了限公司信息安全服務(wù)方針，信息安全目

標及信息安全治理體系的過程方法和策略，是公司信息安全治理體系

建設(shè)實施的綱領(lǐng)和行動準那么，是公司開展各項服務(wù)活動的差不多依

據(jù)；是對社會各界證實我公司有能力穩(wěn)固地提供滿足國際標準信息安

全要求以及客戶和法律法規(guī)相關(guān)要求的有效證據(jù)。適合公司信息化目

前進展趨勢需求，且內(nèi)容充分、表達準確，現(xiàn)予頒布。

本手冊定于2020年8月1日起實施，屬強制性文件，要求各部

門所有人員必須正確明白得并嚴格貫徹全面執(zhí)行。

XXXX

總經(jīng)理簽名：

日期:2020年01月()1日

第三章公司介紹

1.企業(yè)簡介

XXXX［以下簡稱xxxx）始創(chuàng)于2002年4月，大致通過三個進展時期：第一

時期，2002年一2004年，為創(chuàng)業(yè)期，全力開拓市場，實現(xiàn)在競爭猛烈的行業(yè)中

立足；第二時期，2004—2006年，為整合期，整合一切有效資源，重力推出新

產(chǎn)品，奠定以優(yōu)質(zhì)產(chǎn)品占據(jù)市場的方向，梳理并確立了經(jīng)營理念、進展愿景、經(jīng)

營方針，完成了股份制改革；第三時期，2006—至今，為蛻變期，立足電氣傳動、

工業(yè)操縱領(lǐng)域，為全球用戶提供專業(yè)化產(chǎn)品和服務(wù)，于2020年在深交所A股上

市，股票代碼：002334,步入不斷提升企業(yè)核心競爭力，并實現(xiàn)飛躍的時期。

目前xxxx設(shè)有國內(nèi)辦事處30多個，海外辦事處2個，擁有海內(nèi)外經(jīng)銷合作

伙伴上百家，用戶遍布全球50多個國家和地區(qū)。

xxxx是國家級高新技術(shù)企業(yè)，擁有深圳市唯獨的''變頻器工程技術(shù)研究開

發(fā)中心〃。

在吸取國外先進技術(shù)的基礎(chǔ)上，結(jié)合近十年變頻推廣應(yīng)用體會和當今電力電

子最新操縱技術(shù)，研制出高、中、低壓通用及各行業(yè)專用變頻器、交流伺服系統(tǒng)、

制動單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機械、化工、

冶金、紡織、印刷、機床、礦山等行業(yè)廣泛應(yīng)用。

xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓

660V/1140V系列、高壓CHH13KV/6KV/10KV）系列等，功率范疇涵蓋0.4?8000kW,

滿足不同行業(yè)不同場合的各種變頻操縱應(yīng)用需求。

成熟矢量操縱技術(shù)、各行業(yè)專用變頻操縱技術(shù)的把握以及國際領(lǐng)先四象限操

縱技術(shù)的突破使xxxx的進展連續(xù)領(lǐng)先，成為中國變頻器行業(yè)的領(lǐng)導(dǎo)者。高性能

交流伺服系統(tǒng)的開發(fā)與成功應(yīng)用標志著xxxx向運動操縱領(lǐng)域的拓展與延伸。

xxxx在''眾誠德厚、業(yè)精志遠〃的經(jīng)營理念指導(dǎo)下，堅持在不斷創(chuàng)新、精

益求精中與包括職員、股東、供應(yīng)商、客戶等寬敞合作伙伴共同進展，公司的自

主創(chuàng)新及品牌美譽度在行業(yè)中差不多占有重要地位，并得到社會的廣泛認同。

2.企業(yè)文化

經(jīng)營理念，眾誠德厚也精志遠

愿景：成為全球領(lǐng)先、受人尊敬的電氣傳動、工業(yè)操縱領(lǐng)域的產(chǎn)品和服務(wù)供

應(yīng)商。

使命：竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶更有競爭力。

經(jīng)營方針：創(chuàng)新品質(zhì)標準化共同進展

核心價值觀：眾誠德厚拼搏創(chuàng)新

人才理念：人才是企業(yè)第一資本尊重人才，經(jīng)營人才

質(zhì)量方針：提供不斷優(yōu)化的產(chǎn)品和服務(wù)，提高客戶中意度。

3.企業(yè)標識：

標識釋義：

xxxx企業(yè)標徽有兩種色彩：xxxx紅(M10G￥80).xxxx藍(C100M80

K40),紅色表達進取和活力，藍色象征包容和用心的鉆研精神。字體設(shè)計簡潔、

凝聚、渾厚、擴張，傳達xxxx通過與合作伙伴和職員的合力凝聚牢固產(chǎn)品品質(zhì)，

厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思想。

＞''INVT"是變頻器(inverter),也是創(chuàng)新(innovation)和美德(virtue)

的結(jié)合，是XXXX核心價值觀''眾誠德厚，拼搏創(chuàng)新〃的標識承載；

＞首字母、'i〃色彩紅藍結(jié)合，強調(diào)XXXX企業(yè)一一個人與團隊、個人與公

司、XXXX與客戶、供應(yīng)商的相互信任，共同進展；

＞紅色圓點是旭才也是星球，藍色表達企業(yè)所在地域一一濱海都市深圳，

表達xxxx電氣立足本土，致力于成為全球領(lǐng)先、受人尊敬的電氣傳動、

工業(yè)操縱領(lǐng)域產(chǎn)品/服務(wù)供應(yīng)商的遠景目標。

第四章信息安全治理目標

依照國家信息安全等級愛護要求、公司下達的目標與指標、公司

信息化進展戰(zhàn)略目標、信息安全風(fēng)險評估結(jié)果、信息用戶的中意度，

結(jié)合公司實現(xiàn)目標所需的資源，識別公司的信息安全目標與指標。

公司每年年底制定下一年度的信息安全目標與指標，公司制定完

成信息安全目標與指標的工作打算，將目標、指標的層層分解，并落

實完成。以下是詳細的信息安全目標：

目標統(tǒng)計

目標類別目標項目標換算方法

值周期

（不可同意風(fēng)險數(shù)處理數(shù)/不可受風(fēng)險總數(shù)）年

不可同怠風(fēng)險處埋率100%

X100%

年

隱秘信總泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計

年

隱秘信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計

年

專門重大突發(fā)事件（1級）0次按實際發(fā)生次數(shù)統(tǒng)計

信

息年

重大突發(fā)事件（II級）0次按實際發(fā)生次數(shù)統(tǒng)計

安

全

目年

較大突發(fā)事件（山級）0次按實際發(fā)生次數(shù)統(tǒng)計

標

年

一樣突發(fā)事件（IV級）0次按實際發(fā)生次數(shù)統(tǒng)計

內(nèi)部審核及治理評審實施及年

100%按打算實施

時率

（入職職員參訓(xùn)人數(shù)/入職職員總數(shù)）X年

職員入職涪訓(xùn)完成率100%

100%

年

信息安全培訓(xùn)打算完成率100%（實際培訓(xùn)次數(shù)/打算培訓(xùn)次數(shù)）X100%

年

大面積感染運算機病毒次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計

由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)年

信0次按實際發(fā)生次數(shù)統(tǒng)計

中斷次數(shù)

息

安年

全職員保密辦議簽訂率100%（實際簽訂人數(shù)/入職總?cè)藬?shù)）X100%

運

行年

重要信息備份及時率100%（實際備份數(shù)/打算備份數(shù)）X100%

指

標

（不符合項整改完成數(shù)/不符合項總數(shù)）X年

內(nèi)部審核不符合項整改率290%

100%

年

運算機故障處理完成率100%（實際處理數(shù)/故障總數(shù)）XI00%

目標統(tǒng)計

目標類別目標項目標換算方法

值周期

年

容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)W3按實際發(fā)生次數(shù)統(tǒng)計

年

運算機口令強度符合率100%（帳號符合數(shù)/帳號總數(shù)）x100%

注：公司的信息安全目標不限此，可依照各部門的實際業(yè)務(wù)進行調(diào)整或分解。

第五章信息安全會議

1.信息安全會議要求

1.1.公司應(yīng)在每年一次的信息化工作會以上，總結(jié)匯報本年度的信

息安全工作情形。

1.2.公司應(yīng)在每季度召開的運算機治理會議中，總結(jié)本季度的信息

安全工作情形。

1.3.公司信息中心應(yīng)在每月召開的信息治理工作例會中，總結(jié)本月

的信息安全工作情形。

1.4.公司應(yīng)依照風(fēng)險變化的需要或在重大活動期間，不定期召開信

息安全專題會。

2.信息安全會議記錄治理

2.1.公司應(yīng)及時制定相關(guān)的信息安全治理文件、信息安全數(shù)據(jù)與記錄。

2.2.信息安全治理數(shù)據(jù)與記錄包括：

1）信息安全會議紀要

2）信息安全事故調(diào)查報告

3）信息安全事件整改報告

4）信息安全檢查整改方案

5）信息安全審計記錄

6）技術(shù)檔案資料

7）培訓(xùn)記錄

8）信息安全作業(yè)活動數(shù)據(jù)與記錄

9）信息安全事件通報、整改活動

10）信息安全檢查活動

11）應(yīng)急演練活動

12）信息系統(tǒng)定級備案活動

13）信息安全審計活動

14）信息安全風(fēng)險評估活動

15）數(shù)據(jù)與記錄要求：真實、完整、齊全、準確、及時。

3.信息文件的治理

3.1.依照精簡、高效的原那么，制定公司信息安全工作和治理流程，

包括：

1）信息安全治理流程

2）信息安全事件處理流程

3）信息安全應(yīng)急流程

4）其它相關(guān)流程

32每年回憶流程的效率，必要時修訂、增加或廢止不必要的流程或

環(huán)節(jié)。

3.3.信息安全治理流程和信息安全事件處理流程納入信息安全治理體

系中治理

3.4.信息安全應(yīng)急流程納入〈〈xxxx網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案》中治

理。

3.5.依照治理變化、技術(shù)變化，公司定期修訂如下：

1）更新治理手冊、程序文件、作業(yè)指導(dǎo)書或治理制度、方法;

2）更新培訓(xùn)要求；

3）更新應(yīng)急處置程序；

3.6.對涉及到的所有信息安全風(fēng)險進行回憶分析;

3.7.變化治理需義件化，并儲存變化過程的相關(guān)記錄。

第六章信息安全治理體系

1.總那么

1.1.為了加強XXXX(以下簡稱''xxxx或公司〃)信息安全治理工作，愛護信息系

統(tǒng)的安全，促進信息系統(tǒng)的應(yīng)用和進展，依照國家有關(guān)法律法規(guī)，以及變頻器行

業(yè)的治理規(guī)范、行業(yè)標準，并遵照公司佶息系統(tǒng)安全的有關(guān)規(guī)定，特制定本手冊。

1.2.信息系統(tǒng)的安全愛護范疇包括各信息系統(tǒng)相關(guān)的和配套的軟件、硬件、信息、

網(wǎng)絡(luò)和運行環(huán)境的安全。

1.3.xxxx信息系統(tǒng)安全治理應(yīng)遵循''統(tǒng)一規(guī)劃、預(yù)防為主、集中治理、分層愛護、

明確責(zé)任〃的原那么。

1.4.xxxx運行中的信息系統(tǒng)是支撐生產(chǎn)的運行設(shè)備，各級安全生產(chǎn)責(zé)任人對具職

責(zé)范疇內(nèi)的信息系統(tǒng)安全運行負有安全治理責(zé)任。

1.5.任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其他公民權(quán)益的活

動，不得從事危害xxxx信息系統(tǒng)安全的活動。

16本手冊適用于公司本部、各基層單位的信息系統(tǒng)的安全愛護工作。公司多經(jīng)

企業(yè)參照執(zhí)行。

2.規(guī)范性引用標準

2.1.?信息安全等級愛護治理方法》(公通字[2007]43號)

22?信息安全技術(shù)信息系統(tǒng)安全等級愛護差不多要求》(GB/T22239-2020)

2.3.?信息安全技術(shù)信息系統(tǒng)安全等級愛護定級指南》(GB/T22240-2020)

2.4.?信息安全技術(shù)信息安全治理有用規(guī)那么》(GB/T22081-2020)

2.5.?信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)

2.6.國家相關(guān)法律、法規(guī)及合同的要求。

3.術(shù)語與定義

3.1.資產(chǎn)asset

任何對組織有價值的東西。

3.2.可用性availability

依照授權(quán)實體的要求可訪問和利用的特性。

3.3.保密性confidentiality

信息不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。

3.4.信息安全informationsecurity

保證信息的保密性、完整性、可用性；另外也可包括諸如真實性，可核查性,

不可否認性和可靠性等特性。

3.5.信息安全事態(tài)informationsecurityevent

信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是

對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀

態(tài)。

3.6.信息安全事件informationsecurityincident

一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成，它們

具有損害業(yè)務(wù)運作和威逼信息安全的極大的可能性。

3.7.信息安全治理體系informationsecurity^managementsystem

是整個治理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運行、

監(jiān)視、評審、保持和改進信息安全的。

注：治理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實踐、程序、過

程和資源。

3.8.完整性integrity

愛護資產(chǎn)的準確和完整的特性。

3.9.殘余風(fēng)險residualrisk

通過風(fēng)險處理后遺留的風(fēng)險。

3.10.風(fēng)險同意riskacceptance

同意風(fēng)險的決定。

3.11.風(fēng)險分析riskanalysis

系統(tǒng)地使用信息來識別風(fēng)險來源和估量風(fēng)險。

3.12.風(fēng)險評估riskassessment

風(fēng)險分析和風(fēng)險評判的整個過程。

3.13.風(fēng)險評判riskevaluation

將估量的風(fēng)險與給定的風(fēng)險準那么加以比較以確定風(fēng)險嚴峻性的過程。

3.14.風(fēng)險治理riskmanagement

指導(dǎo)和操縱一個組織相關(guān)風(fēng)險的和諧活動。

3.15.風(fēng)險處理risktreatment

選擇同時執(zhí)行措施來更換風(fēng)險的過程。

注：在本標/中，術(shù)語''操縱措施〃被用作''措施〃的同義詞。

3.16.適用性聲明statementofapplicability

描述與組織的信息安全治理體系相關(guān)的和適用的操縱目標和操縱措施的文

檔。

3.17.信息系統(tǒng)

是指由運算機及其相關(guān)配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)

用目標和規(guī)那么對信息進行采集、加工、儲備、，專輸、檢索等處理的人機系統(tǒng)，

包括治理信息系統(tǒng)和生產(chǎn)操縱系統(tǒng)。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括諸如真實性，可核查性,

不可否認性和可靠性等。

3.19.信息系統(tǒng)運行單位

是指信息系統(tǒng)資產(chǎn)歸屬單位，關(guān)于托管的信息系統(tǒng)有另行約定的除外。

3.2（）.信息安全工作人員

是指包括信息安全治理人員、佶息安全技術(shù)人員（包括防火堵、入侵檢測系

統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關(guān)設(shè)備的治理員）和信息安全審計

員。

3.21.信息工作人員

是指與關(guān)鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設(shè)與經(jīng)營、治理等核心業(yè)務(wù)且有保

密要求的信息系統(tǒng)）直截了當相關(guān)的系統(tǒng)治理人員、網(wǎng)絡(luò)治理人員、關(guān)鍵業(yè)務(wù)信

息系統(tǒng)開發(fā)人員、系統(tǒng)愛護人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)操作人員等。

3.22.第三方

是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備愛護商、服務(wù)提供商以及

其它外協(xié)單位。

3.23.第三方人員

是指包括軟件開發(fā)商出、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備愛護商、服務(wù)提供

商及其它外協(xié)服務(wù)單位的工作人員，以及實習(xí)學(xué)生和其他臨時工作人員。

3.24.信息資產(chǎn)

是指公司在生產(chǎn)、經(jīng)營和治理過程中，所需要的以及所產(chǎn)生的，用以支持（或

指導(dǎo)、或阻礙）公司生產(chǎn)、經(jīng)營和治理的切有用的數(shù)據(jù)和資料等非財務(wù)的無形

資產(chǎn)，其范疇包括現(xiàn)在的和歷史的。

3.25.信息系統(tǒng)運行愛護單位

是指與信息系統(tǒng)運行單位簽訂愛護合同的專業(yè)服務(wù)提供商。

3.26.信息安全等級愛護

是指依照國家信息安全等級愛護相關(guān)治理文件，確定信息系統(tǒng)的安全愛護等

級，并開展相應(yīng)的信息系統(tǒng)安全等級愛護工作。

3.27.信息安全評估

是指，按照《治理方法》和有關(guān)技術(shù)標準，開展信息系統(tǒng)安全等級愛護的自查

自糾、差距評測、安全整改等續(xù)工作。

3.28.安全風(fēng)險治理

是指采納風(fēng)險治理的理念與方法來識別、評估信息系統(tǒng)面臨的風(fēng)險，制定風(fēng)

險操縱措施，并將風(fēng)險降低到可同意的程度，安全風(fēng)險治理包括風(fēng)險評估和風(fēng)險

操縱。

注：基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義

務(wù)以及組織關(guān)于信息安全的業(yè)務(wù)要求，制定操縱目標和操縱措施。

3.29.標準縮寫

TSMS：信息安全治理體系(InformationSecurityManagementSystems)；

SoA：適用性聲明(StatementofApplicability)；

PDCA：建立、實施和運行、監(jiān)視和評審、保持和改進(Plan.Do、Check、

Act)。

4.信息安全治理體系

41.總要求

依照GB/T22080-2020/IS0/IEC27001:2005信息安全治理體系要求標準在

整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改

進文件化的信息安全治理體系。ISMS所涉及的過程基于以下PDCA模式：

軍、法律

圖4-1PDCA模型

規(guī)劃(建立ISMS)建立與治理風(fēng)險和改進信息安全有關(guān)的ISMS方針、目

標、過程和程序，以提供與組織總方針和總目標相一致

的結(jié)果。

實施［實施和運行ISMS)實施和運行ISMS方針、操縱措施、過程和程序。

檢查［監(jiān)視和評審ISMS)對比ISMS方針、目標和實踐體會，評估并在適當時，

測量過程的執(zhí)行情形，并將結(jié)果報告治理者以供評審。

處置［保持和改進ISMS)基于ISMS內(nèi)部審核和治理評審的結(jié)果或者其他相關(guān)信

息，采取糾正和預(yù)防措施，以連續(xù)改進ISMS。

本手冊中提出的用于信息安全治理的過程方法鼓舞其用戶強調(diào)以下方面的

重要性：

a)明臼得xxxx的信息安全要求和建立信息安全方針與目標的需要：

b)從組織整體'業(yè)務(wù)風(fēng)險的角度，實施和運行操縱措施，以治理xxxx的信息

安全風(fēng)險；

c)監(jiān)視和評審ISMS的執(zhí)行情形和有效性；

d)基于客觀測量的連續(xù)改進。

本標準采納了''規(guī)劃(Plan)-實施(Do)-檢查(Check)-處置(Act)〃

(PDCA)模型，該模型可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相

關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些

要求和期望的信息安全結(jié)果。圖4T描述了4、5、6、7和8章所提出的過程問

的聯(lián)系。

采納PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南(2002板)

中所設(shè)置的原那么。本標準為實施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實

施、安全治理和再評估的原那么提供了一個強健的模型。

421sMs的建立、實施和運作、監(jiān)督和評審、保持和改進

4.2.1.建立ISMS

4.2.1.1.xxxxISMS的范疇和邊界

依照業(yè)務(wù)、組織、資產(chǎn)、位置等方面的特性，確定ISMS的范疇和邊界。xxxx

信息安全治理體系的范疇和邊界包括：

(1)業(yè)務(wù)邊界：xxxx為開展供電業(yè)務(wù)，在治理信息大區(qū)范疇內(nèi)實施的信息安

全治理。

(2)組織邊界：xxxx信息中心；

(3)資產(chǎn)邊界：xxxx負責(zé)治理的信息資產(chǎn)；

(4)物理邊界：廣東省廣州市天河區(qū)天南二路239號和梅花路機房

4.2.1.2.確定xxxxISMS方針應(yīng)滿足以下要求

(1)確保為ISMS方針建立一個框架并為信息安全實施和運作、監(jiān)督和評審、

保持和改進的活動建立系統(tǒng)的方向與原那么；

(2)確定業(yè)務(wù)進展、法律法規(guī)要求及其它相關(guān)方合同涉及的信息安全要求；

(3)在組織的戰(zhàn)略和風(fēng)險治理下，建立和保持ISMS；

(4)建立風(fēng)險評判的準那么和機團隊；

(5)獲得信息安全領(lǐng)導(dǎo)小組批準。

4.2.1.3.風(fēng)險評估的系統(tǒng)方法

xxxx信息中心負責(zé)建立信息安全風(fēng)險評估操縱程序并組織實施。風(fēng)險評估

操縱程序包括可同意風(fēng)險準那么和可同意水平，所選擇的評估方法應(yīng)確保風(fēng)險評

估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險評估過程操縱執(zhí)行《信息安全風(fēng)

險評估程序》,以下是風(fēng)險評估流程圖；

4.2.1.4.風(fēng)險識別

在已確定的ISMS范疇內(nèi)，對所有的信息資產(chǎn)進行列表識別。信息資產(chǎn)包括

軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、服務(wù)、人力資源。對每一項信息資產(chǎn)，依照

重要信息資產(chǎn)判定依據(jù)確定是否為重要信息資產(chǎn)，形成《重要信息資產(chǎn)清單》。

4.2.1.5.評估風(fēng)險

(1)針對每一項重要信息資產(chǎn)，參考《信息安全威逼列表》及以往的安全事故

(事件)記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有重要信息資產(chǎn)所面臨的

威逼；

(2)針對每一項威逼，考慮現(xiàn)有的操縱措施，參考《信息安全薄弱點列表》識

別出可能被該威逼利用的薄弱點:

(3)綜合考慮以上2點，按照《威逼發(fā)生可能性等級表》中的判定準那么對每

一個威逼發(fā)生的可能性進行賦值；

(4)依照《威逼阻礙程度判定準那么》,判定一個威逼發(fā)生后對信息資產(chǎn)在保

密性(C)、完整性⑴和可用性(A)方面的損害及對公司'業(yè)務(wù)的威逼阻礙程度，對其

威逼阻礙程度進行賦值；

(5)進行風(fēng)險大小運算時，考慮威逼產(chǎn)生安全故障的可能性及其所造成阻礙

程度兩者的結(jié)合，依照風(fēng)險運算公式來運算風(fēng)險等級；

(6)關(guān)于信息安全風(fēng)險，在考慮操縱措施與費用平穩(wěn)的原那么下制定風(fēng)險同

意準那么，按照該準那么確定何種等級的風(fēng)險為不可同意風(fēng)險。

4.2.1.6.風(fēng)險處理方法的識別與評判

xxxx信息中心組織有關(guān)部門依照風(fēng)險評估的結(jié)果，形成《風(fēng)險處理打算必

該打算應(yīng)明確風(fēng)險處理責(zé)任部門、方法及時刻。關(guān)于信息安全風(fēng)險，應(yīng)考慮操縱

措施與費用的平穩(wěn)原那么，選用以下適當?shù)拇胧?/p>

(1)采納適當?shù)膬?nèi)部操縱措施；

(2)同意某些風(fēng)險(不可能將所有風(fēng)險降低為零)；

(3)規(guī)避某些風(fēng)險(如物理隔離)；

(4)轉(zhuǎn)移某些風(fēng)險(如將風(fēng)險轉(zhuǎn)移給保險公司、供應(yīng)方)。

4.2.1.7.選擇操縱目標與操縱措施

(1)信息中心依照信息安全方針、業(yè)務(wù)進展要求及風(fēng)險評估的結(jié)果，組織

有關(guān)部門制定信息安全目標，并將目標分解到有關(guān)部門。信息安全目標應(yīng)獲得信

息安全領(lǐng)導(dǎo)小組的批準。

(2)操縱目標及操縱措施的選擇原那么來源于

GB/T22080-2020/ISO/IEC27001:2005信息安全治理體系要求標準附錄A,具體

操縱措施能夠參考GB/T22081-2020/ISO/IEC27002:2005?信息技術(shù)一安全技術(shù)一

信息安全治理實施細那么xxxx依照信息安全治理的需要，能夠選擇標準之外

的其他操縱措施。

4.2.1.8.適用性聲明

信息中心負責(zé)《信息安全治理體系適用性聲明》(SoA)編制，由信息中心歸

口治理。該聲明包括以下方面的內(nèi)容：

(1)所選擇操縱目標與操縱措施的概要描述；

(2)當前差不多實施的操縱；

(3)對GB/T22080-2020/ISQ/IEC27001:2005信息安全治理體系要求附錄A中

未選用的操縱目標及操縱措施的說明。

注：該聲明的詳細內(nèi)容見《信息安全治理體系適用性聲明》。

4.2.2.ISMS實施及運行

4.2.2.1.ISMS崗位職責(zé)和權(quán)限

(1)信息安全領(lǐng)導(dǎo)小組組長為公司信息安全最高治理者。領(lǐng)導(dǎo)小組要緊職責(zé):

a)國家有關(guān)信息安全的政策、法律和法規(guī)，以及南方電網(wǎng)公司和公司的

統(tǒng)一部署要求，審查、批準XXXX信息安全策略、治理規(guī)范和技術(shù)標

準；

b)部署信息安全總體工作，審定信息安全投資策略，建立工作考評機制;

C)指導(dǎo)信息安全保證體系建設(shè)和應(yīng)急治理。

(2)信息安全工作小組要緊職責(zé)：

a)依照信息安仝領(lǐng)導(dǎo)小組的工作部署，對信息安仝工作進行具體安排、

落實；

b)貫徹執(zhí)行信息安全領(lǐng)導(dǎo)小組的決議，和諧、督促各部門、各單位的信

息安全工作；

C)制訂信息安全策略和投資策略，組織對信息安全工作制度和技術(shù)操作

策略的審查，并監(jiān)督執(zhí)行；

U)同意各單位的緊急信息安全事件報告，組織信息安全應(yīng)急處置工作，

并開展事件調(diào)查、分析緣故、涉及范疇和評估安全事件的嚴峻程度，

提出信息安全事件防范措施；

e)及時向信息安全領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件；

0跟進先進的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

(3)信息安全治理體系的治理者代表對公司信息安全負有以下職責(zé):

a)建立并實施信息安全治理體系必要的程序并堅持其有效運行；

b)對信息安全治理體系的運行情形和必要的改善措施向信息安全領(lǐng)導(dǎo)

小組報告。

(4)各部門負責(zé)人為本部門信息安全治理者，全體職員都應(yīng)按保密承諾的要

求自覺履行信息安全保密義務(wù)；

4.222.各部門應(yīng)按照《信息安全治理體系適用性聲明》中選擇的操縱目標與R

標的操縱措施，確保ISMS有效實施與運行，并開展以下活動：

(1)確保信息安全風(fēng)險的有效治理，制定《風(fēng)險處理打算以以便明確治理措

施、所需資源、工作職責(zé)及識別活動的優(yōu)先順序；保證已識別的操縱目

標實施《風(fēng)險處理打算》;

(2)確保處理風(fēng)險所選擇的操縱措施，以滿足操縱目標；

(3)確保所選操縱措施有效測量；

(4)制定《信息安全培訓(xùn)打算》并加以實施，提高全員信息安全意識和能力；

(5)治理ISMS的運行；

(6)治理ISMS的資源；

(7)制定信息安全事件或事故的程序操縱措施，以便迅速的檢測安全事件與

安全事故的響應(yīng)。

422.3.ISMS的監(jiān)督檢查與評審

通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期

技術(shù)檢查(如口志審核)等操縱措施并報告結(jié)果以實現(xiàn)：

(1)及時發(fā)覺信息安全體系的事故和隱患；

(2)及時了解信息處理系統(tǒng)遭受的各類攻擊；

(3)使治理者把握信息安全活動是否有效，并依照優(yōu)先級別確定所要采取的

措施；

(4)積存信息安全方面的體會。

4.2.2.4,依照以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由信息安全工作

小組組長主持，定期(每年至少一次)對ISMS的有效性進行評審，其中包括信

息安全范疇、方針、目標及操縱措施有效性的評審。治理評審的具體要求，見本

手冊第7章。

4.2.25信息中心應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險治理程序》的要求對風(fēng)險

處理后的殘余風(fēng)險進行定期評審，以驗證殘余風(fēng)險是否達到可同意的水平，對以

下方面變更情形應(yīng)及時進行風(fēng)險評估：

(1)組織機構(gòu)發(fā)生重大變更時；

(2)信息處理技術(shù)發(fā)生重大變更時；

(3)xxxx業(yè)務(wù)目標及流程發(fā)生重大變更時；

(4)發(fā)覺信息資產(chǎn)面臨重大威逼時；

(5)外部環(huán)境，如法律法規(guī)或信息安全標準發(fā)生重大變更時。

4.2.26保持上述活動和措施的記錄。

4.2.3.1SMS保持與改進

xxxx開展以下活動，以確保ISMS的連續(xù)改進：

4.2.3.1.實施每年安全檢查、內(nèi)部審核、治理評審等活動以確定需改進的項目；

4.2.32按照《內(nèi)部審核治理程序》、《糾正與預(yù)防措施操縱程序》的要求采取適

當?shù)募m正和預(yù)防措施；吸取其他組織及xxxx安全事故的體會教訓(xùn)，不斷改進現(xiàn)

有安全措施。

423.3.對信息安全目標及分解進行適當?shù)闹卫恚_保改進達到預(yù)期的成效。

4.2.34為了確保信息安全治理體系的連續(xù)有效，各級治理者應(yīng)通過適當?shù)氖?/p>

段對信息安全措施的執(zhí)行情形與結(jié)果進行有效的交流與溝通。與外部信息安全專

家、信息安全機構(gòu)、政府行政主管部門、電信運營商等組織保持聯(lián)系。與外部專

家、服務(wù)商等外部機構(gòu)的聯(lián)系方式見《對外聯(lián)系表》。

4.3.文件要求

4.3.1.總那么

依照GB/T22080-2020/ISQ/IEC27001:2005信息安全治理體系標準耍求并結(jié)

合xxxx實際情形建立xxxx信息安全治理體系文件結(jié)構(gòu)，體系文件分為四級，分

別為一級文件、二級文件、三級文件及四級記錄性文件。

(1)一級文件為信息安全治理體系手冊(包含信息安全方針、目標)和適用

性聲明等；

(2)二級文件為信息安全治理體系建立實施的相關(guān)程序文件；

(3)三級文件為信息安全治理體系建立實施的相關(guān)制度、方法和規(guī)程等；

(4)四級文件為信息安全治理體系實施運行過程中的記錄類文件。

4.3.2.文件操縱

為確保文件的修訂得到操縱，使用現(xiàn)場得到有效版本的文件，防止作廢文件

的非預(yù)期使用，在《文件操縱程序》中明確規(guī)定了文件的編制、評審、批準、發(fā)放、

使用、更換、再次批準、標識、回收、作廢和儲存期限等治理。

注：以上程序詳細內(nèi)容見《文件操縱程序》。

4.3.3.記錄操縱

為提供有效的信息安全治理體系運行的符合性證據(jù)，并具有追溯、證實和依

據(jù)記錄采取糾正和預(yù)防措施的作用，在《記錄操縱程序》中明確規(guī)定了記錄的填寫

要求、標識、收集、儲存、檢索、防護、儲存期限和處理所需的操縱。

注：以上程序詳細內(nèi)容見《記錄操縱程序

5.治理職責(zé)

5.1.治理承諾

信息安全領(lǐng)導(dǎo)小組承諾按GB/T22080-2020/ISO/IEC27001:2005信息安全治

理體系標準要求建立、實施、運行、監(jiān)視和評審，并通過連續(xù)保持和改進，使體

系不斷進展和完善。通過以下活動，確保上述承諾得以實I見：

制定ISMS方針：

(1)制定ISMS目標和實施打算；

(2)建立信息安全組織機構(gòu)并明確職責(zé)；

(3)通過適當?shù)臏贤ǚ绞剑枚喾N方式向全體職員傳達并使他們認識到滿

足信息安全目標、符合信息安全方針以及法律、法規(guī)要求，連續(xù)改進信

息安全的重要性；

(4)提供適當?shù)馁Y源以滿足信息安全治理體系建立、實施、運行、監(jiān)視、評

審.、保持和改進的需要；

(5)對可同意風(fēng)險的等級進行判定；

(6)組織實施ISMS內(nèi)部審核；

(7)組織實施ISMS治理評審。

5.2.資源治理

5.2.1.資源提供

確保并提供實施、保持信息安全治理體系所需資源，并采取適當措施，以保

證：

(1)建立、實施、運作、監(jiān)視、評審、保持和改進ISMS；

(2)確保信息安全治理程序符合業(yè)務(wù)支持流程要求；

(3)識別和滿足法規(guī)要求以及合同中的安全義務(wù)；

(4)通過正確實施所有的操縱措施保持適當?shù)男畔踩?/p>

(5)必要時，應(yīng)對資源提供進行評審，并按評審結(jié)果執(zhí)行；

(6)在需要時，改進ISMS資源的有效性。

5.2.2.能力、意識和培訓(xùn)

為提高全員信息安全的意識，確保相關(guān)人員履行信息安全職責(zé)所需的能力，

應(yīng)采取并實施以下的治理活動：

(1)確保與ISMS有關(guān)工作人員具備必要的信息安全能力；

(2)實施信息安全意識和能力的教育及培訓(xùn)并評判其培訓(xùn)的有效性；

(3)通過宣傳和其池活動使職員普遍認識到信息安全職責(zé)的重要性，為實現(xiàn)

信息安全目標做出各自的奉獻；

(4)保持教育、培訓(xùn)、技能、經(jīng)歷和資格或其他活動的記錄；

注：以上程序詳細內(nèi)容見《教育培訓(xùn)操縱程序》

5.3.安全職責(zé)

5.3.1.信息安全治理組織機構(gòu)和人員職責(zé)

XXXX信息安全治理機構(gòu)有XXXX信息安全領(lǐng)導(dǎo)小組和XXXX信息安全工作小

組，并配置相應(yīng)的信息安全工作人員，包括信息安全治理人員、信息安全技術(shù)人

員、信息安全審計員。

5.3.2.xxxx信息安全領(lǐng)導(dǎo)小組

53.2.1.xxxx成立信息安全領(lǐng)導(dǎo)小組。xxxx信息安全領(lǐng)導(dǎo)小組是公司信息安全的

最高決策機構(gòu)。

5.3.22xxxx信息安全領(lǐng)導(dǎo)小組組長由分管生產(chǎn)安全的公司領(lǐng)導(dǎo)擔(dān)任。

5.323.信息安全領(lǐng)導(dǎo)小組要緊職責(zé)如下：

a）對公司信息安全領(lǐng)導(dǎo)小組負責(zé)。

b）依照國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準公司信息安全

總體策略規(guī)劃、治理規(guī)范和技術(shù)標準。

c）確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。

d）信息安全領(lǐng)導(dǎo)小組下設(shè)兩個信息安全工作小組（包括治理信息系統(tǒng)信息

安全工

e）作小組和生產(chǎn)操縱系統(tǒng)信息安全工作小組）和應(yīng)急處理工作小組，并負

責(zé)指導(dǎo)兩個工作組的工作。

5.3.3.xxxx信息安全工作小組

5.3.3.1.xxxx信息安全工作組隸屬xxxx信息安全領(lǐng)導(dǎo)小組，是領(lǐng)導(dǎo)小組決策的

執(zhí)行機構(gòu)，工作組的E常工作由xxxx信息中心承擔(dān)。

53.3.2.xxxx信息安全工作組組長由xxxx信息中心領(lǐng)導(dǎo)擔(dān)任。

533.3.xxxx信息安全工作組要緊職責(zé)如下：

a）貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，和諧和規(guī)范公司信息安全工作;

b）依照信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進行具體安排、落

實；

c）組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安

全總體策略規(guī)劃，并監(jiān)督執(zhí)行；

C1）負責(zé)和諧、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)

工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全

風(fēng)險的防范計策；

f）負責(zé)同意各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析緣

故、涉及范疇，并評估安全事件的嚴峻程度，提出信息安全事件防范措

施；

g）及時向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件。

h）跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

5.3.4.xxxx應(yīng)急處理工作小組

5.3.4.1.xxxx應(yīng)急處理工作小組組長由xxxx信息中心領(lǐng)導(dǎo)擔(dān)任。

5.3.42xxxx應(yīng)急處理工作小組要緊職責(zé)如下：

a）審定公司信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案。

b）決定相應(yīng)應(yīng)急預(yù)案的啟動，負責(zé)現(xiàn)場指揮，并組織相關(guān)人員排除故障，

復(fù)原系統(tǒng)。

c）每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進行測試和演練。

d）應(yīng)對公司內(nèi)發(fā)生的大規(guī)模信息安全事件，和諧指揮事故處理以及事故后

系統(tǒng)復(fù)原工作。

5.3.5.xxxx信息中心

xxxx信息中心是xxxx信息安全小組領(lǐng)導(dǎo)下的信息系統(tǒng)安全的職能和技術(shù)歸

口治理部門，并直截了當負責(zé)治理信息系統(tǒng)的安全治理和技術(shù)監(jiān)督工作，其職責(zé)

要緊包括：

535.1.組織制定xxxx信息安全愛護工作的總體目標和總體策略。同時依照信息

系統(tǒng)治理要求、運行環(huán)境的變化，以及系統(tǒng)本身的變化，及時更新信息安全愛護

工作的總體目標、策略、規(guī)劃、技術(shù)標準和治理制度。不斷提高信息安全治理的

技術(shù)水平和治理手段。

535.2.組織開展xxxx的信息安全等級愛護工作，并進行xxxx信息安全評估和

風(fēng)險治理工作，組織編寫信息安全愛護工作的總體技術(shù)規(guī)范、治理制度、技術(shù)方

案和實施打算，并負責(zé)組織實施。

5.353.負責(zé)同意各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析緣

故、涉及范疇，并評估安全事件的嚴峻程度，提出信息安全事件防范措施；

5.354.跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

535.5.監(jiān)督指導(dǎo)各治理信息系統(tǒng)的開發(fā)建設(shè)人員、運行人員、愛護人員、業(yè)務(wù)

使用人員執(zhí)行信息系統(tǒng)安全愛護的技術(shù)標準利治理制度。

535.6.組織對信息安全事故的調(diào)查取證工作，對其中涉及違紀違法、嚴峻違規(guī)

的事故配合人力資源部進行調(diào)查，并提出處理意見。

5.357.負責(zé)監(jiān)督治理數(shù)據(jù)中心及公司本部網(wǎng)絡(luò)、設(shè)備、運行環(huán)境，以及集中治

理的信息系統(tǒng)的安全愛護工作。

5.358.完成其他上級信息安全治理機構(gòu)交辦的信息治理系統(tǒng)安全防護工作。

5.3.6.各級安全責(zé)任人

各級安全生產(chǎn)責(zé)任人是其職責(zé)范疇內(nèi)的信息系統(tǒng)安全運行治理的責(zé)任人。各

級安全生產(chǎn)責(zé)任人職責(zé)：

5.3.6.1.負責(zé)監(jiān)督執(zhí)行xxxx制定的信息安全策略、治理制度和技術(shù)標準。

536.2.負責(zé)監(jiān)督治理其職責(zé)范疇內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、

運行環(huán)境的安全愛護工作。

5.363.負責(zé)監(jiān)督執(zhí)行xxxx信息安全愛護的其他工作。

5.3.7.基層單位運算機及網(wǎng)絡(luò)專責(zé)

基層單位運算機及網(wǎng)絡(luò)專責(zé)是本單位范疇內(nèi)治理信息系統(tǒng)安全運行工作的

責(zé)任人兼信息安全員。基層單位自動化專責(zé)是本單位范疇內(nèi)生產(chǎn)操縱系統(tǒng)信息安

全運行工作的責(zé)任人兼信息安全員。其安全職責(zé)：

53.7.1.負責(zé)執(zhí)行公司制定的信息安全策略、治理制度和技術(shù)標準。

5.372.負責(zé)執(zhí)行責(zé)任范疇內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運行

環(huán)境的安全愛護工作。

5.3.73定期向技術(shù)監(jiān)督部門報告本單位的信息安全情形，對安全缺陷和事故應(yīng)

及時匯報。治理信息系統(tǒng)類安全情形向信息中心匯報，生產(chǎn)操縱系統(tǒng)類安

53.7.4,全情形向調(diào)度中心匯報。組織本單位職員進行信息安全知識的培訓(xùn)和宣

傳工作。

5.3.75在職能治理部門指導(dǎo)下，完成xxxx信息安全等級愛護、安全評估、風(fēng)險

治理及其他工作。

5.3.8.信息安全工作人員

538.1.信息安全工作人員差不多要求

5.3.82信息安全工作人員應(yīng)由政治可靠、業(yè)務(wù)素養(yǎng)高、遵紀守法、恪盡職守的

人員擔(dān)任。

5.3.83信息安全工作人員應(yīng)有運算機專業(yè)工作三年以上經(jīng)歷，及具備本科以上

學(xué)歷。

5.3.84兼職信息安全人員應(yīng)有電力生產(chǎn)業(yè)務(wù)工作五年以上或?qū)Ｂ氝\算機治理工

作三年及以上經(jīng)歷，具備專科以上學(xué)歷。

5.3.85違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全相

關(guān)工作。

5.3.86信息安全工作人員在行使職責(zé)時，確因工作需要，經(jīng)批準，可了解涉及

電力生產(chǎn)、經(jīng)營與治理有關(guān)的信息系統(tǒng)的隱秘信息。

538.7.信息安全工作人員差不多職責(zé)：

a）信息安全工作人員發(fā)覺本單位重大信息安全隱患，有權(quán)向公司信息中心

報告。

b）信息安全工作人員發(fā)覺信息工作人員使用不當，應(yīng)及時建議有關(guān)單位、

部門進行調(diào)整。

c）信息安全工作人員必須嚴格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制

度，嚴守公司商業(yè)隱秘。

538.8.信息安全工作人員包括信息安全治理人員、信息安全技術(shù)人員、信息安

全審計員，其相應(yīng)的職責(zé)分別如下：

a）負責(zé)信息安全治理的日常工作。

b）組織開展信息安全檢查，對信息工作人員安全工作進行指導(dǎo)和監(jiān)督。

c）組織開展信息安全知識的培訓(xùn)和宣傳工作。

d）監(jiān)控信息安全總體狀況，提出信息安全分析報告。

e）及時向信息安全領(lǐng)導(dǎo)小組和有關(guān)部門、單位報告信息安全事件。

5.3.9.信息安全技術(shù)人員職責(zé)

a）負責(zé)信息安全相關(guān)設(shè)備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、

防病毒系統(tǒng)等I的日常運行愛護治理。

b）負責(zé)防火墻系統(tǒng)策略的安全配置。

c）負責(zé)定期查看入侵檢測系統(tǒng)日志，對入侵檢測系統(tǒng)發(fā)覺的惡意攻擊行為

進行跟蹤處理。

d）負責(zé)漏洞掃描軟件（包括漏洞庫）的治理、更新和公布。

e）負責(zé)對網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏

洞掃描。

f）負責(zé)設(shè)備、系統(tǒng)等補丁升級、安全加固。

g）負責(zé)定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行查殺病毒任務(wù)。

h）負責(zé)定期升級垃圾郵件網(wǎng)關(guān)特點庫、定期愛護垃圾郵件網(wǎng)關(guān)黑白名單和

規(guī)那么庫設(shè)置。

i）負責(zé)緊密注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、進展情形，關(guān)注和追蹤業(yè)界公

布的攻擊事件。

j）負責(zé)緊密注意最新漏洞的發(fā)生、進展情形，關(guān)注和追蹤業(yè)界公布的漏洞

疫情；

k）負責(zé)緊密關(guān)注雙威機構(gòu)最近公布的病毒分析報告、最新惡性病毒的防范

報警以及應(yīng)急處理方法。

5.3.10.信息安全審計員職責(zé)

a）負責(zé)監(jiān)督檢查單位內(nèi)部信息安全審計制度及事實上施情形。

b）定期檢查信息系統(tǒng)的用戶權(quán)限設(shè)置及安全配置是否與信息系統(tǒng)安全策規(guī)

定相符合，監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全治理工作。

c）監(jiān)督信息系統(tǒng)的運行情形，定期查看日志記錄，對信息系統(tǒng)資源的各種

非法訪問事件進行分析、提出安全風(fēng)險防范計策。

5.3.11.信息工作人員

信息工作人員包括系統(tǒng)治理員、系統(tǒng)愛護員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)治理

員、應(yīng)用系統(tǒng)治理員、網(wǎng)絡(luò)治理員、業(yè)務(wù)操作員，其相應(yīng)的安全責(zé)仟如下。

5.3.12.系統(tǒng)治理員安全責(zé)任

a）負責(zé)系統(tǒng)的運行治理，實施系統(tǒng)安全運行細那么。

b）嚴格用戶權(quán)限治理，愛護系統(tǒng)安全正常運行。

c）負責(zé)對所管轄的服務(wù)器操作系統(tǒng)進行安全配置，并定期對所管轄的服務(wù)

器操作系統(tǒng)進行安全檢查。

d）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件。

e）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

5.3.13.系統(tǒng)愛護員安全責(zé)任

a）負責(zé)系統(tǒng)愛護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行。

b）不得擅自改變系統(tǒng)配置和功能。

c）不得安裝與系統(tǒng)無關(guān)的運算機程序C

d）愛護過程中，發(fā)覺安全漏洞應(yīng)及時報告信息安全工作人員。

5.3.14.系統(tǒng)開發(fā)員安全責(zé)任

系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)。

a）系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。

b）不得對系統(tǒng)設(shè)置''后門〃或添加''惡意代碼〃。

c）對系統(tǒng)核心技術(shù)保密。

5.3.15.數(shù)據(jù)庫系統(tǒng)治理員安全責(zé)任

a）負責(zé)數(shù)據(jù)庫治理系統(tǒng)的安裝、備份和愛護，保證系統(tǒng)的安全、正常運行。

b）負責(zé)對所管轄的數(shù)據(jù)庫系統(tǒng)進行安全配置，并定期對所管轄的數(shù)據(jù)庫系

統(tǒng)進行安全檢查。

c）負責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)覺系統(tǒng)故障及時排除，

做好系統(tǒng)復(fù)原。

5.3.16.應(yīng)用系統(tǒng)治理員安全責(zé)任

a）應(yīng)依照顧用系統(tǒng)的安全策略，負責(zé)應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安

全配置。

b）緊密注意應(yīng)用系統(tǒng)運行中發(fā)生的系統(tǒng)故障、安全事件，關(guān)注應(yīng)用系統(tǒng)存

在的隱患，收集業(yè)務(wù)用戶的問題反映，及時報告信息治理部門和業(yè)務(wù)主

管部門。

C）應(yīng)依照顧用系統(tǒng)運行的實際情形，制定應(yīng)急處理預(yù)案，提交信息治理部

門審定。

5.3.17.網(wǎng)絡(luò)治理員安全員任

a）負責(zé)網(wǎng)絡(luò)的運行治理，實施網(wǎng)絡(luò)安全策略和安全運行細那么。

b）負責(zé)安全配置網(wǎng)絡(luò)參數(shù)，嚴格操縱網(wǎng)絡(luò)用戶訪問權(quán)限，愛護網(wǎng)絡(luò)安全正

常運行。

c）負責(zé)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及

時向信息安全工作人員報告安全事件。

d）負責(zé)對操作網(wǎng)絡(luò)治理功能的其他人員進行安全監(jiān)督。

5.3.18.業(yè)務(wù)操作員安全責(zé)任

a）嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全治理制度。

b）不得向他人提供自己的操作口令，不得把PKI數(shù)字證書介質(zhì)借給他人使

用。

c）及時向系統(tǒng)治理員報告系統(tǒng)各種專門事件。

5.3.19.一般職員

一般職員的安全責(zé)任如下：

a）每個職員須有責(zé)任愛護本單位的運算機資源、設(shè)備及數(shù)據(jù)信息。

b）每個職員有責(zé)任確保本機須符合信息安全措施要求，包括加入域、安裝

統(tǒng)的防病毒軟件、軟件補丁，并定期升級。

c）因工作需要訪問互聯(lián)網(wǎng)的職員，經(jīng)審批后只能使用本單位互聯(lián)網(wǎng)出口。

不得以任何設(shè)備（如手機、ADSL、MODEM等）私自將本單位運算機接入

互聯(lián)網(wǎng)。

d）離開辦公室或工作區(qū)域，須鎖定運算機屏幕或關(guān)閉運算機。在辦公室之

外的地點工作，須將筆記本電腦置于操縱之下。

e）嚴格遵守''涉密信息不上網(wǎng)，上網(wǎng)信息不涉密〃的紀律。未經(jīng)授權(quán)不準

制作、復(fù)制、公布、傳播任何可能泄漏國家隱秘、單位商業(yè)隱秘,、工作

隱秘的信息。

f）禁止通過本單位運算機及網(wǎng)絡(luò)訪問不良及政治敏銳網(wǎng)站，禁止傳播、擴

散不良或政治敏銳信息，嚴禁利用本單位運算機及網(wǎng)絡(luò)從事違法活動。

g）發(fā)覺緊急事件（如運算機感染病毒、非法入侵等）時，須第一斷開網(wǎng)絡(luò)

連接，并及時很告信息服務(wù)中心或本單位信息安全人員處理。

h）不得在單位掃瞄與工作無關(guān)的網(wǎng)站，不得運行與工作無關(guān)的軟件，不得

打開來歷不明的郵件，職員在單位網(wǎng)絡(luò)內(nèi)群發(fā)郵件僅能夠用于工作目的。

D未經(jīng)信息治理部門承諾，職員不得監(jiān)控網(wǎng)絡(luò)流量，不得針對單位內(nèi)的網(wǎng)

絡(luò)或服務(wù)器進行安全掃描程序，不得增加網(wǎng)絡(luò)設(shè)備（如HUB、交換機）到

本單位內(nèi)的網(wǎng)絡(luò)架構(gòu)中C

j）禁止職員在網(wǎng)絡(luò)上假裝為他人身份，禁止利用連網(wǎng)運算機從事危害單位

網(wǎng)絡(luò)與信息安全的行為，不得危害或侵入服務(wù)器、工作站，不得有網(wǎng)絡(luò)

攻擊行為。

k）禁止職員在網(wǎng)絡(luò)上傳播未經(jīng)證實信息、垃圾郵件和廣告等無關(guān)消息或在

網(wǎng)絡(luò)上以單位的名義表達私人的意見或看法。

1）職員應(yīng)妥善保管自身的帳號、口令、PKI數(shù)字證書介質(zhì)（如智能卡、USB

KEY）等，口令安全符合相關(guān)規(guī)定，丟失時須及時報告信息服務(wù)中心。

6.內(nèi)部ISMS審核

信息中心按打算的時刻定期組織內(nèi)部ISMS審核，以確定其ISMS的操縱目

標、操縱措施、過程和程序是否：

（1）符合GB/T22080-2020/ISO/IEC27001;2005信息安全治理體系要求

標準和相關(guān)法律法規(guī)要求：

（2）符合己識別確定的信息安全要求；

（3）有效實施和保持；

（4）完成預(yù)期的目標。

注：以上程序詳細內(nèi)容見《內(nèi)部審核操縱程序》。

7.ISMS治理評審

7.1.總那么

信息安全治理體系治理者代表應(yīng)按打算的時刻間隔(原那么上一年進行一次

評審，組織發(fā)生重大變更或信息安全顯現(xiàn)重大事