文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

XXXX有限公司

信息安全管理管控手冊

密級口機密口保密■內部使用口公開信息受控狀態■受控口非受控

2011-12?01頒布封面2011-01-01實施

深圳市xxxx有限公司信息中心發布

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

文件歷史控制記錄

文件名稱信息安全管理管控手冊

文件編號IT-IT-M-OOO3

對應0A文號

版次編制與修訂概要完成日期狀態

角色人員

編寫

初審

會簽

審核

批準

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

第一章前言

隨著XXXX有限公司業務發展日益增長，信息交換互連面也隨之

增大，信息業務系統依賴性擴大，所帶來的信息安全風險和信息脆弱

點也逐漸呈現，原有信息安全技術和管理管控手段很難滿足目前和未

來信息化安全的需求，為確保XXXX有限公司信息及信息系統的安全,

使之免受各種威脅和損害，保證各項信息系統業務的連續性，使信息

安全風險最小化，XXXX有限公司每年開展網絡與信息系統安全風險

評估及等級保護測評，定期對等級保護測評與風險評估活動過程中的

風險漏洞進行全面整改，分析了信息安全管理管控上的不足與缺陷,

編制了差距測評報告。通過開展信息安全風險評估和等級保護測評,

了解XXXX有限公司信息安全現狀和未來需求，為建立XXXX有限公司

信息安全管理管控體系奠定了基礎。

2011年7月開展信息安全管理管控體系持續改進建設，依據信

息安全現狀和未來信息安全需求及

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系的標準

要求，建立了符合XXXX有限公司信息安全管理管控現狀和管理管控

需求的信息安全管理管控體系，該體系覆蓋了

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系的標準

耍求12個控制領域、39個控制目標和133個控制措施。

本手冊是xxxx有限公司信息安全管理管控體系的綱領性文件，

由信息中心歸口負責解釋。

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

第二章信息安全管理管控手冊頒布令

XXXX有限公司（以下簡稱公司）依據

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標準要

求，結合限公司實際情況，在原有的各項管理管控制度的基礎上編制

完成了《XXXX有限公司信息安全管理管控體系手冊》第一版，現予

以批準實施。

《XXXX有限公司信息安全管理管控體系手冊》是公司在信息及

信息系統安全方面的規范性文件，手冊闡述了限公司信息安全服務方

針，信息安全目標及信息安全管理管控體系的過程方法和策略，是公

司信息安全管理管控體系建設實施的綱領和行動準則，是公司開展各

項服務活動的基本依據；是對社會各界證實我公司有能力穩定地提供

滿足國際標準信息安全要求以及客戶和法律法規相關要求的有效證

據。適合公司信息化目前發展趨勢需求，且合適的內容充分、表達準

確，現予頒布。

本手冊定于2011年8月1日起實施，屬強制性文件，要求各部

門所有人員必須正確理解并嚴格貫徹全面執行。

XXXX有限公司

總經理簽名：

日期：2011年01月01日

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

第三章公司介紹

1.企業簡介

xxxx有限公司(以下笥稱xxxx)始創于2002年4月，大致經過三個發展階

段：第一階段，2002年—2004年，為創業期，全力開拓市場，實現在競爭激烈

的行業中立足；第二階段，2004—2006年，為整合期，整合一切有效資源，重

力推出新產品，奠定以優質產品占據市場的方向，梳理并確立了經營理念、發展

愿景、經營方針，完成了股份制改革；第三階段，2006—至今，為蛻變期，立足

電氣傳動、工業控制領域，為全球用戶提供專業化產品和服務，于2010年在深

交所A股上市，股票代碼：002334,步入不斷提升企業核心競爭力，并實現飛躍

的階段。

目前xxxx設有國內辦事處30多個，海外辦事處2個，擁有海內外經銷合作

伙伴上百家，用戶遍布全球50多個國家和地區。

xxxx是國家級高新技術企業，擁有深圳市唯一的“變頻器工程技術研究開

發中心”。

在吸收國外先進技術的基礎上，結合近十年變頻推廣應用經驗和當今電力電

子最新控制技術，研制出高、中、低壓通用及各行業專用變頻器、交流伺服系統、

制動單元、能量回饋單元等產品。并在市政、建材、塑膠、油田、機械、化工、

冶金、紡織、印刷、機床、礦山等行業廣泛應用。

xxxx變頻器產品包括低壓CHA/CHV/CHE/CHF/各行業專用系列、中壓

660V/1140V系列、高壓CIE(3KV/6KV/10KV)系列等，功率范圍涵蓋。4?8000kW,

滿足不同行業不同場合的冬種變頻控制應用需求。

成熟矢量控制技術、各行業專用變頻控制技術的掌握以及國際領先四象限控

制技術的突破使xxxx的發展持續領先,成為中國變頻器行業的領導者。高性能

交流伺服系統的開發與成功應用標志著xxxx向運動控制領域的拓展與延伸。

xxxx在“眾誠德厚、業精志遠”的經營理念指導下，堅持在不斷創新、精

益求精中與包括員工、股東、供應商、客戶等廣大合作伙伴共同發展，公司的自

主創新及品牌美譽度在行業中已經占有重要地位，并得到社會的廣泛認同。

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

2.企業文化

經營理念：眾誠德厚業精志遠

愿景：成為全球領先、受人尊敬的電氣傳動、工業芯制領域的產品和服務供

應商。

使命：竭盡全力提供物超所值的產品和服務，讓客戶更有競爭力。

經營方針：創新品質標準化共同發展

核心價值觀：眾誠德厚拼搏創新

人才理念：人才是企業第一資本尊重人才，經營人才

質量方針：提供不斷優化的產品和服務，提高客戶滿意度。

3.企業標識：

標識釋義：

xxxx企業標徽有兩種色彩:xxxx紅(M100Y80)、xxxx藍(C100M80K40),

紅色體現進取和活力，藍色象征包容和專注的鉆研精神。字體設計簡潔、凝聚、

渾厚、擴張，傳達xxxx通過與合作伙伴和員工的合力凝聚堅固產品品質，厚重

企業誠信、拼搏創新、走向國際、再創新高的思想。

>“INVT”是變頻器(inverter),也是創新(innovation)和美德(virtue)

的結合，是xxxx核心價值觀“眾誠德厚，拼搏創新”的標識承載；

>首字母“i”色彩紅藍結合，強調xxxx企業一一個人與團隊、個人與公

司、xxxx與客戶、供應商的相互信賴，共同發展；

>紅色圓點是旭日也是星球，藍色體現企業所在地域一一濱海城市深圳，

體現xxxx電氣立足本土,致力于成為全球領先、受人尊敬的電氣傳動、

工業控制領域產品/服務供應商的遠景目標。

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

第四章信息安全管理管控目標

根據國家信息安全等級保護要求、公司下達的目標與指標、公司

信息化發展戰略目標、信息安全風險評估結果、信息用戶的滿意度,

結合公司實現目標所需的資源，識別公司的信息安全目標與指標。

公司每年年底制定下一年度的信息安全目標與指標，公司制定完

成信息安全目標與指標的工作相關計劃，將目標、指標的層層分解,

并落實完成。下列是詳細的信息安全目標：

目標統計

目標類別目標項目標換算方法

值周期

（不可接受風險數處理數/不可受風險總數）年

不可接受風險處理率100%

XI00%

年

機密信息泄密事件0次按實際發生次數統計

年

秘密信息泄密事件。次按實際發生次數統計

年

特別重大突發事件（I級）0次按實際發生次數統計

信

息年

重大突發事件（II級）0次按實際發生次數統計

安

全年

目較大突發事件（IH級）。次按實際發生次數統計

標

年

一般突發事件（IV級）。次按實際發生次數統計

內部審核及管理管控評審實年

100%按相關計劃實施

施及時率

（入職員工參訓人數/入職員工總數）X年

員工入職培訓完成率100%

100%

信息安全培訓相關計劃完成（實際培訓次數/相關計劃培訓次數）X年

100%

率100%

信

息年

大面積感染計算機病毒次數。次按實際發生次數統計

安

全

運由于網絡故障導致關鍵業務年

。次按實際發生次數統計

行中斷次數

指

標年

一員工保密協議簽訂率100%（實際簽訂人數/入職總人數）X100%

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

目標統計

目標類別目標項目標換算方法

值周期

年

重要信息備份及時率100%（實際備份數/相關計劃備份數）X100%

（不符合項整改完成數/不符合項總數）X年

內部審核不符合項整改率290%

100%

年

計算機故障處理完成率100%（實際處理數/故障總數）X100%

年

容量不足導致業務故障次數W3按實際發生次數統計

年

計算機口令強度符合率100%（帳號符合數/帳號總數）X100%

注：公司的信息安全目標不限此，可根據各部門的實際業務進行調整或分解。

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

第五章信息安全會議

1.信息安全會議要求

1.1.公司應在每年一次的信息化工作會議上，總結匯報本年度的信

息安全工作情況。

1.2.公司應在每季度召開的計算機管理管控會議中，總結本季度的

信息安全工作情況。

1.3.公司信息中心應在每月召開的信息管理管控工作例會中，總結

本月的信息安全工作情況。

1.4.公司應根據風險變化的需要或在重大活動期間，不定期召開信

息安全專題會。

2.信息安全會議記錄管理管控

2.1.公司應及時制定相關的信息安全管理管控文件、信息安全數據與

記錄。

2.2.信息安全管理管控數據與記錄包括：

1）信息安全會議紀要

2）信息安全事故調查報告

3）信息安全事件整改報告

4）信息安全檢查整改合適的方案

5）信息安全審計記錄

6）技術檔案資料

7）培訓記錄

文件編號IT-IT-M-OOO3

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

8）信息安全作業活動數據與記錄

9）信息安全事件通報、整改活動

10）信息安全檢查活動

11）應急演練活動

12）信息系統定級備案活動

13）信息安全審計活動

14）信息安全風險評估活動

15）數據與記錄要求：真實、完整、齊全、準確、及時。

3.信息文件的管理管控

3.1.根據精簡、高效的原則，制定公司信息安全工作和管理管控流程，

包括：

1）信息安全管理管控流程

2）信息安全事件處理流程

3）信息安全應急流程

4）其它相關流程

3.2.每年回顧流程的效率，必要時修訂、增加或廢除不必要的流程或

環節。

3.3.信息安全管理管控流程和信息安全事件處理流程納入信息安全管

理管控體系中管理管控

3.4.信息安全應急流程納入《xxxx有限公司網絡與信息安全專項應急

預案》中管理管控。

文件編號IT-IT-M-0003

一級文件版本V1.0

保密等級內部使用

標題信息安全管理手冊生效日期2011年01月01日

35根據管理管控變化、技術變化，公司定期修訂如下：

1）更新管理管控手冊、程序文件、作業指導書或管理管控制

度、辦法；

2）更新培訓要求；

3）更新應急處置程序；

3.6.對涉及到的所有信息安全風險進行回顧分析；

3.7.變化管理管控需文件化，并保存變化過程的相關記錄。

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第12頁共71頁

第六章信息安全管理管控體系

1.總則

1.1.為了加強XXXX有限公司(以下簡稱“XXXX有限公司或公司”)信息安全管理

管控工作，保護信息系統的安全，促進信息系統的應用和發展，根據國家有關法

律法規，以及變頻器行業的管理管控規范、行業標準，并遵照公司信息系統安全

的有關規定，特制定本手冊。

1.2.信息系統的安全保護范圍包括各信息系統相關的和配套的軟件、硬件、信息、

網絡和運行環境的安全。

1.3.xxxx有限公司信息系統安全管理管控應遵循“統一規劃、預防為主、集中管

理管控、分層保護、明確責任”的原則。

1.4.xxxx有限公司運行中的信息系統是支撐生產的運行設備，各級安全生產責任

人時其職責范圍內的信息系統安全運行負有安全管理管控責任。

15任何人不得利用信息系統從事危害國家利益、集體利益和其他公民權益的活

動，不得從事危害xxxx有限公司信息系統安全的活動。

1.6.本手冊適用于公司本部、各基層單位的信息系統的安全保護工作。公司多經

企業參照執行。

2.規范性引用標準

2.1.《信息安全等級保護管理管控辦法》(公通字[2007]43號)

2.2.《信息安全技術信息系統安全等級保護基本要求》(GB/T22239-2008)

2.3.《信息安全技術信息系統安全等級保護定級指南》(GB/T22240-2008)

2.4.《信息安全技術信息安全管理管控實用規則》(GB/T22081-2008)

2.5.《信息安全技術信息安全風險評估規范》(GB/T20984-2007)

2.6.國家相關法律、法規及合同合約的要求。

第12頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第13頁共71頁

3.術語與定義

3.1.資產asset

任何對組織有價值的東西。

3.2.可用性availabi1ity

根據授權實體的要求可訪問和利用的特性。

3.3.保密性confidenliality

信息不能被未授權的個人、實體或者過程利用或知悉的特性。

3.4.信息安全informationsecurity

保證信息的保密性、完整性、可用性；另外也可包括諸如真實性，可核查性，

不可否認性和可靠性等特性。

3.5.信息安全事態informationsecurityevent

信息安全事態是指系統、服務或網絡的?種可識別的狀態的發生，它可能是

對信息安全策略的違反或防護措施的失效，或是和安全關聯的?個先前未知的狀

態。

3.6.信息安全事件informationsecurityincident

一個信息安全事件由單個的或一系列的有害或意外信息安全事態組成，它們

具有損害業務運作和威脅信息安全的極大的可能性。

3.7.信息安全管理管控體系informationsecuritymanagementsystem

是整個管理管控體系的一部分。它是基于業務風險方法，來建立、實施、運

行、監視、評審、保持和改進信息安全的。

注：管理管控體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、

過程和資源。

3.8.完整性integrity

第13頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第14頁共71頁

保護資產的準確和完整的特性。

3.9.殘余風險residualrisk

經過風險處理后遺留的風險。

3.1().風險接受riskacceptance

接受風險的決定。

3.11.風險分析riskanalysis

系統地使用信息來識別風險來源和估計風險。

3.12.風險評估riskassessment

風險分析和風險評價的整個過程。

3.13.風險評價riskevaluation

將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程。

3.14.風險管理管控riskmanagement

指導和控制一個組織相關風險的協調活動。

3.15.風險處理risktreatment

選擇并且執行措施來更改風險的過程。

注：在本標準中，術語“控制措施”被用作“措施”的同義詞。

3.16.適用性聲明statementofapplicability

描述與組織的信息安全管理管控體系相關的和適用的控制目標和控制措施

的文檔。

3.17.信息系統

是指由計算機及其相關配套的設備、設施(含網絡)構成的，按照一定的應

用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統，包

第14頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第15頁共71頁

括管理管控信息系統和生產控制系統。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括諸如真實性，可核查性，

不可否認性和可靠性等。

3.19.信息系統運行單位

是指信息系統資產歸屬單位，對于托管的信息系統有另行約定的除外。

3.20.信息安全工作人員

是指包括信息安全管理管控人員、信息安全技術人員（包括防火墻、入侵檢

測系統、漏洞掃描系統、防病毒系統等信息安全相關設備的管理管控員）和信息

安全審計員。

3.21.信息工作人員

是指與關鍵信息系統（涉及公司生產、建設與經營、管理管控等核心業務且

有保密要求的信息系統）直接相關的系統管理管控人員、網絡管理管控人員、關

鍵業務信息系統開發人員、系統維護人員、關鍵業務信息系統操作人員等。

3.22.第三方

是指軟件開發商、硬件供應商、系統集成商、設備維護商、服務提供商以及

其它外協單位。

3.23.第三方人員

是指包括軟件開發商出、硬件供應商、系統集成商、設備維護商、服務提供

商及其它外協服務單位的工作人員，以及實習學生和其他臨時工作人員。

3.24.信息資產

是指公司在生產、經營和管理管控過程中，所需要的以及所產生的，用以支

持（或指導、或影響）公司生產、經營和管理管控的--切有用的數據和資料等非

財務的無形資產，其范圍包括現在的和歷史的。

第15頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第16頁共71頁

3.25.信息系統運行維護單位

是指與信息系統運行單位簽訂維護合同合約的專業服務提供商。

3.26.信息安全等級保護

是指根據國家信息安全等級保護相關管理管控文件，確定信息系統的安全保

護等級，并開展相應的信息系統安全等級保護，作。

3.27.信息安全評估

是指，按照《管理管控辦法》和有關技術標準，開展信息系統安全等級保護

的自杳自糾、差距評測、安全整改等續工作。

3.28.安全風險管理管控

是指采用風險管理管控的理念與方法來識別、評估信息系統面臨的風險，制

定風險控制措施，并將風險降低到可接受的程度，安全風險管理管控包括風險評

估和風險控制。

注：基于風險評估和風險處理過程的結果和結論、法律法規的要求、合同合

約義務以及組織對于信息安全的業務要求，制定控制目標和控制措施。

3.29.標準縮寫

ISMS：信息安全管理管控體系(InformationSecurityManagementSystems)；

SoA：適用性聲明(StatementofApplicability)；

PDCA：建立、實施和運行、監視和評審、保持和改進(Plan、Do、Check.

Act)o

4.信息安全管理管控體系

4.1.總要求

根據GB/T22080-2008/1SO/1EC27001:2005信息安全管理管控體系要求標

準在整體業務活動和所面臨風險的環境下建立、實施、運行、監視、評審、保持

和改進文件化的信息安全管理管控體系。ISMS所涉及的過程基于以下PDCA模式：

第16頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第17頁共71頁

策劃

檢查

圖4-1PDCA模型

規劃（建立ISMS）建立與管理管控風險和改進信息安全有關的ISMS方

針、目

標、過程和程序，以提供與組織總方針和總目標相一致

的結果。

實施（實施和運行ISMS）實施和運行ISMS方針、控制措施、過程和程序。

檢查（監視和評審ISMS）對照ISMS方針、目標和實踐經驗，評估并在適當時，

測量過程的執行情況，并將結果報告管理管控者以供評

審。

處置（保持和改進ISMS）基于ISMS內部審核和管理管控評審的結果或者其他相

關信息，采取糾正和預防措施，以持續改進ISMS。

本手冊中提出的用于信息安全管理管控的過程方法鼓勵其用戶強調以下方

面的重要性：

a）理解xxxx有限公司的信息安全要求和建立信息安全方針與目標的需要；

b）從組織整體業務風險的角度.實施利運行控制.措施,以管理管控xxxx

有限公司的信息安全風險；

c）監視和評審ISMS的執行情況和有效性；

d）基于客觀測量的持續改進。

第”頁共71頁

編號：

時值：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第18頁共71頁

本標準采用了“規劃(Plan)-實施(Do)-檢查(Check)-處置(Act本(PDCA)

模型，該模型可應用于所有的ISMS過程。圖1說明了ISMS如何把相關方的信息

安全要求和期望作為輸入，并通過必要的行動和過程，產生滿足這些要求和期望

的信息安全結果。圖4-1描述了4、5、6、7和8章所提出的過程間的聯系。

采用PDCA模型還反映了治理信息系統和網絡安全的OECD指南(2002版)

中所設置的原則。本標準為實施OECD指南中規定的風險評估、安全設計和實施、

安全管理管控和再評估的原則提供了一個強健的模型。

421sMs的建立、實施和運作、監督和評審、保持和改進

4.2.1.建立ISMS

.xxxx有限公司ISMS的范圍和邊界

根據業務、組織、資產、位置等方面的特性，確定ISMS的范圍和邊界。xxxx

有限公司信息安全管理管控體系的范圍和邊界包括：

(1)業務邊界：xxxx有限公司為開展供電業務，在管理管控信息大區范圍內

實施的信息安全管理管控，

(2)組織邊界：xxxx有限公司信息中心；

(3)資產邊界：xxxx有限公司負責管理管控的信息資產；

(4)物理邊界；廣東省廣州市天河區天南二路239號和梅花路機房

.確定xxxx有限公司ISMS方針應滿足以下要求

(I)確保為ISMS方針建立一個框架并為信息安全實施和運作、監督和評審、

保持和改進的活動建立系統的方向與原則；

(2)確定業務發展、法律法規要求及其它相關方合同合約涉及的信息安全要

求；

(3)在組織的戰略和風險管理管控下，建立和保持ISMS；

(4)建立風險評價的準則和機團隊；

(5)獲得信息安全領導小組批準。

4.2.13風險評估的系統方法

第18頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第19頁共71頁

XXXX有限公司信息中心負責建立信息安全風險評估控制程序并組織實施。

風險評估控制程序包括可接受風險準則和可接受水平，所選擇的評估方法應確保

風險評估能產生可比較的和可重復的結果。具體的風險評估過程控制執行《信息

安全風險評估程序》，以下是風險評估流程圖；

風險評估流程圖

4.2.1.4.風險識別

在已確定的ISMS范圍內，對所有的信息資產進行列表識別.信息資產包括

軟件/系統、數據/文檔、硬件/設施、服務、人力資源。對每一項信息資產，根據

重要信息資產判斷依據確定是否為重要信息資產，形成《重要信息資產清單》。

4.2.1.5.評估風險

第19頁共71頁

編號：

時瓦2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第20頁共71頁

(1)針對每一項重要信息資產，參考《信息安全威脅列表》及以往的安全事

故(事件)記錄、信息資產所處的環境等因素，識別出所有重要信息資產所面臨

的威脅；

(2)針對每一項威肋，，考慮現有的控制措施，參考《信息安全薄弱點列表》

識別出可能被該威脅利用的薄弱點；

(3)綜合考慮以上2點，按照《威脅發生可能性等級表》中的判定準則對每

一個威脅發生的可能性進行賦值；

(4)根據《威脅影響程度判斷準則》，判斷一個威脅發生后對信息資產在保

密性(C)、完整性⑴和可用性(A)方面的損害及對公司、業務的威脅影響程度，對其

威脅影響程度進行賦值；

(5)進行風險大小計算時，考慮威脅產生安全故障的可能性及其所造成影響

程度兩者的結合，根據風險計算公式來計算風險等級；

(6)對于信息安全風險，在考慮控制措施與費用平衡的原則下制定風險接受

準則，按照該準則確定何種等級的風險為不可接受風險。

4.2.16風險處理方法的識別與評價

XXXX有限公司信息中心組織有關部門根據風險評估的結果，形成《風險處

理相關計劃》，該相關計劃應明確風險處理責任部門、方法及時間。對于信息安

全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施；

(1)采用適當的內部控制措施；

(2)接受某些風險(不可能將所有風險降低為零)；

(3)規避某些風險(如物理隔離)；

(4)轉移某些風險(如將風險轉移給保險公司、供應方)。

.選擇控制目標與控制措施

(1)信息中心根據信息安全方針、業務發展要求及風險評估的結果，組織

有關部門制定信息安全目標，并將目標分解到有關部門。信息安全目標應獲得信

息安全領導小組的批準。

第20頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第21頁共71頁

(2)控制目標及控制措施的選擇原則來源于

GB/T22080-2008/ISG/IEC27001:2005信息安全管理管控體系要求標準附錄A,

具體控制措施可以參考GB/T22()81-2()()8/ISO/IEC27()02:2()()5《信息技術一安全技

術一信息安全管理管控實施細則》。xxxx有限公司根據信息安全管理管控的需

要，可以選擇標準之外的其他控制措施。

.適用性聲明

信息中心負責《信息安全管理管控體系適用性聲明》(SoA)編制，由信息中

心歸口管理管控。該聲明包括以下方面的合適的內容：

(1)所選擇控制目標與控制措施的概要描述；

(2)當前已經實施的控制；

(3)對GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系要求附錄

A中未選用的控制目標及控制措施的說明。

注：該聲明的詳細合適的內容見《信息安全管理管控體系適用性聲明》。

4.2.2.ISMS實施及運行

4.2.2.LISMS崗位職責和權限

(1)信息安全領導小蛆組長為公司信息安全最高管理管控者。領導小組主要

職責；

a)國家有關信息安全的政策、法律和法規，以及南方電網公司和公司的

統?部署要求，審查、批準xxxx有限公司信息安全策略、管理管控

規范和技術標準；

b)部署信息安全總體工作，審定信息安全投資策略，建立工作考評機制；

c)指導信息安全保障體系建設和應急管理管控C

(2)信息安全工作小組主要職責：

a)根據信息安全領導小組的工作部署，對信息安全工作進行具體安排、

落實；

b)貫徹執行信息安全領導小組的決議，協調、督促各部門、各單位的信

息安全工作;

第21頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第22頁共71頁

C)制訂信息安全策略和投資策略，組織對信息安全工作制度和技術操作

策略的審查，并監督執行；

d)接受各單位的緊急信息安全事件報告，組織信息安全應急處置工作，

并開展事件調查、分析原因、涉及范圍和評估安全事件的嚴重程度，

提出信息安全事件防范措施：

e)及時向信息安全領導小組和上級有關部門、單位報告信息安全事件：

0跟進先進的信息安全技術，組織信息安全知識的培訓和宣傳工作。

(3)信息安全管理管控體系的管理管控者代表對公司信息安全負有以下職責:

a)建立并實施信息安全管理管控體系必要的程序并維持其有效運行；

b)對信息安全管理管控體系的運行情況和必要的改善措施向信息安全

領導小組報告。

(4)各部門負責人為本部門信息安全管理管控者，全體員工都應按保密承諾

的要求自覺履行信息安全保密義務；

422.2.各部門應按照《信息安全管理管控體系適用性聲明》中選擇的控制目

標與目標的控制措施，確保ISMS有效實施與運行，并開展以下活動：

(1)確保信息安全風險的有效管理管控，制定《風險處理相關計劃》，以便

明確管理管控措施、所需資源、工作職責及識別活動的優先順序；保證

己識別的控制目標實施《風險處理相關計劃》；

(2)確保處理風險所選擇的控制措施，以滿足控制目標；

(3)確保所選控制措施有效測量；

(4)制定《信息安全培訓相關計劃》并加以實施，提高全員信息安全意識和

能力;

(5)管理管控ISMS的運行；

(6)管理管控ISMS的資源；

(7)制定信息安全事件或事故的程序控制措施，以便迅速的檢測安全事件與

安全事故的響應。

422.3ISMS的監督檢查與評審

第22頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第23頁共71頁

通過實施不定期安全檢查、內部審核、事故報告調查處理、電子監控、定期

技術檢查(如R志審核)等控制措施并報告結果以實現：

(1)及時發現信息安全體系的事故和隱患；

(2)及時了解信息處理系統遭受的各類攻擊；

(3)使管理管控者掌握信息安全活動是否有效，并根據優先級別確定所要采

取的措施；

(4)積累信息安全方面的經驗。

4.224.根據以上活動的結果以及來自相關方的建議和反饋，由信息安全工作

小組組長主持，定期(每年至少一次)對ISMS的有效性進行評審，其中包括信

息安全范圍、方針、目標及控制措施有效性的評審。管理管控評審的具體要求，

見本手冊第7章。

4.2.25信息中心應組織有關部門按照《信息安全風險管理管控程序》的要求

對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平,

對以下方面變更情況應及時進行風險評估：

(1)組織機構發生重大變更時；

(2)信息處理技術發生重大變更時；

(3)xxxx有限公司業務目標及流程發生重大變更時。；

(4)發現信息資產面臨重大威脅時；

(5)外部環境，如法律法規或信息安全標準發生重大變更時。

4.2.26保持上述活動和措施的記錄。

4.2.3.ISMS保持與改進

xxxx有限公司開展以下活動，以確保ISMS的持續改進：

4.2.3.1.實施每年安全檢查、內部審核、管理管控評審等活動以確定需改進的

相關項目；

4.2.32按照《內部審核管理管控程序》、《糾正與預防措施控制程序》的要

求采取適當的糾正和預防措施；吸取其他組織及xxxx有限公司安全事故的經驗

第23頁共71頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第24頁共71頁

教訓，不斷改進現有安全措施。

4.233.對信息安全目標及分解進行適當的管理管控，確保改進達到預期的效

果。

4.2.34為了確保信息安全管理管控體系的持續有效，各級管理管控者應通過

適當的手段對信息安全措施的執行情況與結果進行有效的交流與溝通八與外部信

息安全專家、信息安全機構、政府行政主管部門、電信運營商等組織保持聯系。

與外部專家、服務商等外部機構的聯系方式見《對外聯系表》。

43文件要求

4.3.1.總則

根據GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控體系標準要求

并結合xxxx有限公司實際情況建立xxxx有限公司信息安全管理管控體系文件結

構，體系文件分為四級，分別為一級文件、二級文件、三級文件及四級記錄性文

件。

(1)一級文件為信息安全管理管控體系手冊(包含信息安全方針、目標)和

適用性聲明等；

(2)二級文件為信息安全管理管控體系建立實施的相關程序文件：

(3)三級文件為信息安全管理管控體系建立實施的相關制度、辦法和規程等；

(4)四級文件為信息安全管理管控體系實施運行過程中的記錄類文件。

4.3.2.文件控制

為確保文件的修訂得到控制，使用現場得到有效版本的文件，防止作廢文件

的非預期使用，在《文件控制程序》中明確規定了文件的編制、評審、批準、發

放、使用、更改、再次批準、標識、回收、作廢和保存期限等管理管控。

注：以上程序詳細合適的內容見《文件控制程序》。

4.3.3.記錄控制

為提供有效的信息安全管理管控體系運行的符合性證據，并具有追溯、證實

第24頁共71頁

編號：

時間：2021年X月X