IT-IT-M-0003信息安全管理体系手册.docx

《IT-IT-M-0003信息安全管理体系手册.docx》由会员分享，可在线阅读，更多相关《IT-IT-M-0003信息安全管理体系手册.docx（86页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、xxxxx有限公公司信息安全全管理手手册密级机密保密内部使使用公开信信息受控状态态受控非受控控2011-12-01颁布 封面 2011-01-01 实施 深圳市xxxx有限公司 信息中心 发布文件历史史控制记记录文件名称称信息安全全管理手手册文件编号号IT-IIT-MM-00003对应OAA文号版次编制与修修订概要要完成日期期状态角色人员编写初审会签审核批准第一章 前言随着xxxxx有有限公司司业务发发展日益益增长，信息交交换互连连面也随随之增大大，信息息业务系系统依赖赖性扩大大，所带带来的信信息安全全风险和和信息脆脆弱点也也逐渐呈呈现，原原有信息息安全技技术和管管理手段段很难满足足目前和和未

2、来信信息化安全的的需求，为确保保xxxxx有限限公司信信息及信信息系统统的安全全，使之之免受各各种威胁胁和损害害，保证证各项信信息系统统业务的的连续性性，使信信息安全全风险最最小化，xxxxx有限限公司每每年开展展网络与与信息系系统安全全风险评评估及等等级保护护测评，定期对对等级保保护测评评与风险险评估活活动过程程中的风风险漏洞洞进行全全面整改改，分析析了信息息安全管管理上的的不足与与缺陷，编制了了差距测测评报告告。通过过开展信信息安全全风险评评估和等等级保护护测评，了解xxxxxx有限公公司信息息安全现现状和未未来需求求，为建建立xxxxx有有限公司司信息安安全管理理体系奠奠定了基基础。20

3、111年7月开展展信息安安全管理理体系持持续改进进建设，依据信信息安全全现状和和未来信信息安全全需求及及GB/T2220800-20008/ISOO/IEEC2770011:20005信信息安全全管理体体系的标标准要求求，建立立了符合合xxxxx有限限公司信信息安全全管理现现状和管管理需求求的信息息安全管管理体系系，该体体系覆盖盖了GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理体系的的标准要要求122个控制制领域、39个控控制目标标和133个控控制措施施。本手册是是xxxxx有限限公司信信息安全全管理体体系的纲纲领性文文件，由由信息中中心

4、归口口负责解解释。第二章 信息安全全管理手手册颁布布令xxxxx有限公公司（以以下简称称公司）依据GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理体系标标准要求求，结合合限公司司实际情情况，在在原有的的各项管管理制度度的基础础上编制制完成了了xxxxx有有限公司司信息安安全管理理体系手手册第第一版，现予以以批准实实施。xxxxx有限限公司信信息安全全管理体体系手册册是公公司在信信息及信信息系统统安全方方面的规规范性文文件，手手册阐述述了限公公司信息息安全服服务方针针，信息息安全目目标及信信息安全全管理体体系的过过程方法法和策略略，是公司信息

5、息安全管管理体系系建设实实施的纲纲领和行行动准则则，是公司开开展各项项服务活活动的基基本依据据；是对对社会各各界证实实我公司司有能力力稳定地地提供满满足国际际标准信信息安全全要求以以及客户户和法律律法规相相关要求求的有效效证据。适合公公司信息息化目前前发展趋趋势需求求，且内内容充分分、表达达准确，现予颁颁布。本手册定定于20011年8月1日起实实施，属属强制性性文件，要求各各部门所所有人员员必须正正确理解解并严格格贯彻全全面执行行。xxxxx有限公公司总经理签签名：日期： 20111年01月01日第三章 公司介绍绍1. 企业简介介xxxxx有限公公司（以以下简称称xxxxx）始始创于22002

6、2年4月，大大致经过过三个发发展阶段段：第一一阶段，20002年20004年年，为创创业期，全力开开拓市场场，实现现在竞争争激烈的的行业中中立足；第二阶阶段，22004420006年年，为整整合期，整合一一切有效效资源，重力推推出新产产品，奠奠定以优优质产品品占据市市场的方方向，梳梳理并确确立了经经营理念念、发展展愿景、经营方方针，完完成了股股份制改改革；第第三阶段段，20006至今，为蜕变变期，立立足电气气传动、工业控控制领域域，为全全球用户户提供专专业化产产品和服服务，于于20110年在在深交所所A股上市市，股票票代码：00223344，步入入不断提提升企业业核心竞竞争力，并实现现飞跃的的

7、阶段。目前xxxxx设设有国内内办事处处30多个个，海外外办事处处2个，拥拥有海内内外经销销合作伙伙伴上百百家，用用户遍布布全球550多个个国家和和地区。xxxxx是国家家级高新新技术企企业，拥拥有深圳圳市唯一一的“变频器器工程技技术研究究开发中中心”。在吸收国国外先进进技术的的基础上上，结合合近十年年变频推推广应用用经验和和当今电电力电子子最新控控制技术术，研制制出高、中、低低压通用用及各行行业专用用变频器器、交流流伺服系系统、制制动单元元、能量量回馈单单元等产产品。并并在市政政、建材材、塑胶胶、油田田、机械械、化工工、冶金金、纺织织、印刷刷、机床床、矿山山等行业业广泛应应用。xxxxx变频

8、器器产品包包括低压压CHAA/CHHV/CCHE/CHFF/各行行业专用用系列、中压6660VV/11140VV系列、高压CCHH（3KVV/6KKV/110KVV）系列列等，功功率范围围涵盖00.480000kWW，满足足不同行行业不同同场合的的各种变变频控制制应用需需求。成熟矢量量控制技技术、各各行业专专用变频频控制技技术的掌掌握以及及国际领领先四象象限控制制技术的的突破使使xxxxx的发发展持续续领先，成为中中国变频频器行业业的领导导者。高高性能交交流伺服服系统的的开发与与成功应应用标志志着xxxxx向向运动控控制领域域的拓展展与延伸伸。xxxxx在“众诚德德厚、业业精志远远”的经营营理

9、念指指导下，坚持在在不断创创新、精精益求精精中与包包括员工工、股东东、供应应商、客客户等广广大合作作伙伴共共同发展展，公司司的自主主创新及及品牌美美誉度在在行业中中已经占占有重要要地位，并得到到社会的的广泛认认同。2. 企业文化化经营理念念：众诚诚德厚业精志志远愿景：成成为全球球领先、受人尊尊敬的电电气传动动、工业业控制领领域的产产品和服服务供应应商。使命：竭竭尽全力力提供物物超所值值的产品品和服务务，让客客户更有有竞争力力。经营方针针：创新新品质标准准化共同同发展核心价值值观：众众诚德厚厚拼搏搏创新人才理念念：人才才是企业业第一资资本尊重重人才，经营人人才质量方针针：提供供不断优优化的产产品

10、和服服务，提提高客户户满意度度。3. 企业标识识：标识释义义：xxxxx企业标标徽有两两种色彩彩：xxxxx红红（M1100 Y880）、xxxxx蓝（C1000 M800 K400），红红色体现现进取和和活力，蓝色象象征包容容和专注注的钻研研精神。字体设设计简洁洁、凝聚聚、浑厚厚、扩张张，传达达xxxxx通过过与合作作伙伴和和员工的的合力凝凝聚坚固固产品品品质，厚厚重企业业诚信、拼搏创创新、走走向国际际、再创创新高的的思想。 “INVVT”是变频频器（iinveerteer），也是创创新（iinnoovattionn）和美美德（vvirttue）的结合合，是xxxxxx核心价价值观“众诚德德

11、厚，拼拼搏创新新”的标识识承载； 首字母“i”色彩红红蓝结合合，强调调xxxxx企业业个人人与团队队、个人人与公司司、xxxxx与与客户、供应商商的相互互信赖，共同发发展； 红色圆点点是旭日日也是星星球，蓝蓝色体现现企业所所在地域域滨海海城市深深圳，体体现xxxxx电电气立足足本土，致力于于成为全全球领先先、受人人尊敬的的电气传传动、工工业控制制领域产产品/服务供供应商的的远景目目标。第四章 信息安全全管理目目标根据国家家信息安安全等级级保护要要求、公公司下达达的目标标与指标标、公司司信息化化发展战战略目标标、信息息安全风风险评估估结果、信息用用户的满满意度，结合公公司实现现目标所所需的资资源

12、，识识别公司司的信息息安全目目标与指指标。公司每年年年底制制定下一一年度的的信息安安全目标标与指标标，公司司制定完完成信息息安全目目标与指指标的工工作计划划，将目目标、指指标的层层层分解解，并落落实完成成。下列列是详细细的信息息安全目目标：目标类别别目标项目标值目标换算算方法统计周期信息安全全目标不可接受受风险处处理率100%（不可接接受风险险数处理理数/不可受受风险总总数）1000%年机密信息息泄密事事件0次按实际发发生次数数统计年秘密信息息泄密事事件0次按实际发发生次数数统计年特别重大大突发事事件（级）0次按实际发发生次数数统计年重大突发发事件（级）0次按实际发发生次数数统计年较大突发发事

13、件（级）0次按实际发发生次数数统计年一般突发发事件（级）0次按实际发发生次数数统计年内部审核核及管理理评审实实施及时时率100%按计划实实施年员工入职职培训完完成率100%（入职员员工参训训人数/入职员员工总数数）1000%年信息安全全培训计计划完成成率100%（实际培培训次数数/计划培培训次数数）1000%年信息安全全运行指指标大面积感感染计算算机病毒毒次数0次按实际发发生次数数统计年由于网络络故障导导致关键键业务中中断次数数0次按实际发发生次数数统计年员工保密密协议签签订率100%（实际签签订人数数/入职总总人数）1000%年重要信息息备份及及时率100%（实际备备份数/计划备备份数）10

14、00%年内部审核核不符合合项整改改率90%（不符合合项整改改完成数数/不符合合项总数数）1000%年计算机故故障处理理完成率率100%（实际处处理数/故障总总数）1000%年容量不足足导致业业务故障障次数3按实际发发生次数数统计年计算机口口令强度度符合率率100%（帐号符符合数/帐号总总数）1000%年注：公司司的信息息安全目目标不限限此，可可根据各各部门的的实际业业务进行行调整或或分解。第五章 信息安全全会议1. 信息安全全会议要要求1.1. 公司应在在每年一一次的信信息化工工作会议议上，总总结汇报报本年度度的信息息安全工工作情况况。1.2. 公司应在在每季度度召开的的计算机机管理会会议中，

15、总结本本季度的的信息安安全工作作情况。1.3. 公司信息息中心应应在每月月召开的的信息管管理工作作例会中中，总结结本月的的信息安安全工作作情况。1.4. 公司应根根据风险险变化的的需要或或在重大大活动期期间，不不定期召召开信息息安全专专题会。2. 信息安全全会议记记录管理理2. 信息安全全管理文文件与数数据的管管控2.1. 公司应及及时制定定相关的的信息安安全管理理文件、信息安安全数据据与记录录。2.2. 信息安全全管理数数据与记记录包括括：1) 信息安全全会议纪纪要2) 信息安全全事故调调查报告告3) 信息安全全事件整整改报告告4) 信息安全全检查整整改方案案5) 信息安全全审计记记录6)

16、技术档案案资料7) 培训记录录8) 信息安全全作业活活动数据据与记录录9) 信息安全全事件通通报、整整改活动动10) 信息安全全检查活活动11) 应急演练练活动12) 信息系统统定级备备案活动动13) 信息安全全审计活活动14) 信息安全全风险评评估活动动15) 数据与记记录要求求：真实实、完整整、齐全全、准确确、及时时。3. 信息文件件的管理理3. 信息安全全管理流流程与变变化管理理3.1. 根据精简简、高效效的原则则，制定定公司信息息安全工工作和管管理流程程，包括括：1) 信息安全全管理流流程2) 信息安全全事件处处理流程程3) 信息安全全应急流流程4) 其它相关关流程3.2. 每年回顾顾

17、流程的的效率，必要时时修订、增加或或废除不不必要的的流程或或环节。3.3. 信息安全全管理流流程和信信息安全全事件处处理流程程纳入信信息安全全管理体体系中管管理3.4. 信息安全全应急流流程纳入入xxxxx有限公公司网络络与信息息安全专专项应急急预案中管理理。3.5. 根据管理理变化、技术变变化，公公司定期期修订如如下：1) 更新管理理手册、程序文文件、作作业指导导书或管管理制度度、办法法；2) 更新培训训要求；3) 更新应急急处置程程序；3.6. 对涉及到到的所有有信息安安全风险险进行回回顾分析析；3.7. 变化管理理需文件件化，并并保存变变化过程程的相关关记录。第六章 信息安全全管理体体系

18、1. 总则1.1. 为了加强强xxxxx有限限公司（以下简简称“xxxxx有限限公司或或公司”）信息息安全管管理工作作，保护护信息系系统的安安全，促促进信息息系统的的应用和和发展，根据国国家有关关法律法法规，以以及变频频器行业业的管理理规范、行业标标准，并并遵照公公司信息息系统安安全的有有关规定定，特制制定本手手册。1.2. 信息系统统的安全全保护范范围包括括各信息息系统相相关的和和配套的的软件、硬件、信息、网络和和运行环环境的安安全。1.3. xxxxx有限公公司信息息系统安安全管理理应遵循循“统一规规划、预预防为主主、集中中管理、分层保保护、明明确责任任”的原则则。1.4. xxxxx有限

19、公公司运行行中的信信息系统统是支撑撑生产的的运行设设备，各各级安全全生产责责任人对对其职责责范围内内的信息息系统安安全运行行负有安安全管理理责任。1.5. 任何人不不得利用用信息系系统从事事危害国国家利益益、集体体利益和和其他公公民权益益的活动动，不得得从事危危害xxxxx有有限公司司信息系系统安全全的活动动。1.6. 本手册适适用于公公司本部部、各基基层单位位的信息息系统的的安全保保护工作作。公司司多经企企业参照照执行。2. 规范性引引用标准准2.1. 信息安安全等级级保护管管理办法法（公公通字20007443 号号）2.2. 信息安安全技术术信息系系统安全全等级保保护基本本要求（GBB/T

20、 222239-20008）2.3. 信息安安全技术术信息系系统安全全等级保保护定级级指南（GBB/T 222240-20008）2.4. 信息安安全技术术信息安安全管理理实用规规则（GB/T 2220881-220088）2.5. 信息安安全技术术信息安安全风险险评估规规范（GB/T 2209884-220077）2.6. 国家相关关法律、法规及及合同的的要求。3. 术语与定定义3.1. 资产 aasseet任何对组组织有价价值的东东西。3.2. 可用性 avaailaabillityy根据授权权实体的的要求可可访问和和利用的的特性。3.3. 保密性cconffideentiialiity信

21、息不能能被未授授权的个个人、实实体或者者过程利利用或知知悉的特特性。3.4. 信息安全全infformmatiion seccuriity保证信息息的保密密性、完完整性、可用性性；另外外也可包包括诸如如真实性性，可核核查性，不可否否认性和和可靠性性等特性性。3.5. 信息安全全事态 infformmatiion seccuriity eveent信息安全全事态是是指系统统、服务务或网络络的一种种可识别别的状态态的发生生，它可可能是对对信息安安全策略略的违反反或防护护措施的的失效，或是和和安全关关联的一一个先前前未知的的状态。3.6. 信息安全全事件 infformmatiion seccuri

22、ity inccideent一个信息息安全事事件由单单个的或或一系列列的有害害或意外外信息安安全事态态组成，它们具具有损害害业务运运作和威威胁信息息安全的的极大的的可能性性。3.7. 信息安全全管理体体系 iinfoormaatioon ssecuuritty mmanaagemmentt syysteem是整个管管理体系系的一部部分。它它是基于于业务风风险方法法，来建建立、实实施、运运行、监监视、评评审、保保持和改改进信息息安全的的。注：管理理体系包包括组织织结构、方针策策略、规规划活动动、职责责、实践践、程序序、过程程和资源源。3.8. 完整性iinteegriity保护资产产的准确确和完

23、整整的特性性。3.9. 残余风险险 reesidduall riisk经过风险险处理后后遗留的的风险。3.10. 风险接受受rissk aacceeptaancee接受风险险的决定定。3.11. 风险分析析rissk aanallysiis系统地使使用信息息来识别别风险来来源和估估计风险险。3.12. 风险评估估rissk aasseessmmentt风险分析析和风险险评价的的整个过过程。3.13. 风险评价价rissk eevalluattionn将估计的的风险与与给定的的风险准准则加以以比较以以确定风风险严重重性的过过程。3.14. 风险管理理rissk mmanaagemmentt指导和

24、控控制一个个组织相相关风险险的协调调活动。3.15. 风险处理理rissk ttreaatmeent选择并且且执行措措施来更更改风险险的过程程。注：在本本标准中中，术语语“控制措措施”被用作作“措施”的同义义词。3.16. 适用性声声明sttateemennt oof aappllicaabillityy描述与组组织的信信息安全全管理体体系相关关的和适适用的控控制目标标和控制制措施的的文档。3.17. 信息系统统是指由计计算机及及其相关关配套的的设备、设施（含网络络）构成成的，按按照一定定的应用用目标和和规则对对信息进进行采集集、加工工、存储储、传输输、检索索等处理理的人机机系统，包括管管理信

25、息息系统和和生产控控制系统统。3.18. 信息安全全保持信息息的保密密性、完完整性和和可用性性，另外外也可包包括诸如如真实性性，可核核查性，不可否否认性和和可靠性性等。3.19. 信息系统统运行单单位是指信息息系统资资产归属属单位，对于托托管的信信息系统统有另行行约定的的除外。3.20. 信息安全全工作人人员是指包括括信息安安全管理理人员、信息安安全技术术人员（包括防防火墙、入侵检检测系统统、漏洞洞扫描系系统、防防病毒系系统等信信息安全全相关设设备的管管理员）和信息息安全审审计员。3.21. 信息工作作人员是指与关关键信息息系统（涉及公公司生产产、建设设与经营营、管理理等核心心业务且且有保密密

26、要求的的信息系系统）直直接相关关的系统统管理人人员、网网络管理理人员、关键业业务信息息系统开开发人员员、系统统维护人人员、关关键业务务信息系系统操作作人员等等。3.22. 第三方是指软件件开发商商、硬件件供应商商、系统统集成商商、设备备维护商商、服务务提供商商以及其其它外协协单位。3.23. 第三方人人员是指包括括软件开开发商出出、硬件件供应商商、系统统集成商商、设备备维护商商、服务务提供商商及其它它外协服服务单位位的工作作人员，以及实实习学生生和其他他临时工工作人员员。3.24. 信息资产产是指公司司在生产产、经营营和管理理过程中中，所需需要的以以及所产产生的，用以支支持（或或指导、或影响响

27、）公司司生产、经营和和管理的的一切有有用的数数据和资资料等非非财务的的无形资资产，其其范围包包括现在在的和历历史的。3.25. 信息系统统运行维维护单位位是指与信信息系统统运行单单位签订订维护合合同的专专业服务务提供商商。3.26. 信息安全全等级保保护是指根据据国家信信息安全全等级保保护相关关管理文文件，确确定信息息系统的的安全保保护等级级，并开开展相应应的信息息系统安安全等级级保护工工作。3.27. 信息安全全评估是指，按按照管管理办法法和有有关技术术标准，开展信信息系统统安全等等级保护护的自查查自纠、差距评评测、安安全整改改等续工工作。3.28. 安全风险险管理是指采用用风险管管理的理理

28、念与方方法来识识别、评评估信息息系统面面临的风风险，制制定风险险控制措措施，并并将风险险降低到到可接受受的程度度，安全全风险管管理包括括风险评评估和风风险控制制。注：基于于风险评评估和风风险处理理过程的的结果和和结论、法律法法规的要要求、合合同义务务以及组组织对于于信息安安全的业业务要求求，制定定控制目目标和控控制措施施。3.29. 标准缩写写ISMSS：信息息安全管管理体系系（Innforrmattionn Seecurrityy Maanaggemeent Sysstemms）；SoA：适用性性声明（Staatemmentt off Apppliicabbiliity）；PDCAA：建立立

29、、实施施和运行行、监视视和评审审、保持持和改进进（Pllan、Do、Cheeck、Actt）。4. 信息安全全管理体体系4.1. 总要求根据GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理体系要要求标准准在整体体业务活活动和所所面临风风险的环环境下建建立、实实施、运运行、监监视、评评审、保保持和改改进文件件化的信信息安全全管理体体系。IISMSS所涉及及的过程程基于以以下PDDCA模模式：建立ISMS保持和改进ISMS实施和运作ISMS监控&评审 ISMS相关方已被管理的信息安全相关方信息安全要求&期望、法律法规策划（D）措施实施检查 图

30、4-1 PPDCAA模型规划（建建立ISSMS）建立与管管理风险险和改进进信息安安全有关关的ISSMS方方针、目目标、过程程和程序序，以提提供与组组织总方针和和总目标相相一致的的结果。实施（实实施和运运行ISSMS）实施和运运行ISSMS方方针、控控制措施施、过程程和程序序。检查（监监视和评评审ISSMS）对照ISSMS方方针、目目标和实实践经验验，评估估并在适适当时，测量过过程的执执行情况况，并将将结果报报告管理理者以供供评审。处置（保保持和改改进ISSMS）基于ISSMS内内部审核核和管理理评审的的结果或或者其他他相关信信息，采采取纠正正和预防防措施，以持续续改进IISMSS。本手册中中提

31、出的的用于信信息安全全管理的的过程方方法鼓励励其用户户强调以以下方面面的重要要性：a) 理解xxxxx有有限公司司的信息息安全要要求和建建立信息息安全方方针与目目标的需需要；b) 从组织整整体业务务风险的的角度，实施和和运行控控制措施施，以管管理xxxxx有有限公司司的信息息安全风风险；c) 监视和评评审ISSMS的的执行情情况和有有效性；d) 基于客观观测量的的持续改改进。本标准采采用了“规划（Plaan）-实施（Do）-检查（Cheeck）-处置（Actt）”（PDCCA）模型，该模型型可应用用于所有有的ISSMS过过程。图图1说明了了ISMMS如何何把相关关方的信信息安全全要求和和期望作

32、作为输入入，并通通过必要要的行动动和过程程，产生生满足这这些要求求和期望望的信息息安全结结果。图图4-11描述了了4、5、6、7和8章所提提出的过过程间的的联系。采用PDDCA模模型还反反映了治治理信息息系统和和网络安安全的OOECDD指南（20002版）中所设设置的原原则。本本标准为为实施OOECDD指南中中规定的的风险评评估、安安全设计计和实施施、安全全管理和和再评估估的原则则提供了了一个强强健的模模型。4.2. ISMSS的建立立、实施施和运作作、监督督和评审审、保持持和改进进4.2.1. 建立ISSMS4.2.1.1. xxxxx有限公公司ISSMS的的范围和和边界根据业务务、组织织、

33、资产产、位置置等方面面的特性性，确定定ISMMS的范范围和边边界。xxxxxx有限公公司信息息安全管管理体系系的范围围和边界界包括：(1) 业务边界界：xxxxx有限公公司为开开展供电电业务，在管理理信息大大区范围围内实施施的信息息安全管管理。(2) 组织边界界：xxxxx有有限公司司信息中中心；(3) 资产边界界：xxxxx有有限公司司负责管管理的信信息资产产；(4) 物理边界界：广东东省广州州市天河河区天南南二路2239号号和梅花花路机房房4.2.1.2. 确定xxxxx有有限公司司ISMMS方针针应满足足以下要要求(1) 确保为IISMSS方针建建立一个个框架并并为信息息安全实实施和运运

34、作、监监督和评评审、保保持和改改进的活活动建立立系统的的方向与与原则；(2) 确定业务务发展、法律法法规要求求及其它它相关方方合同涉涉及的信信息安全全要求；(3) 在组织的的战略和和风险管管理下，建立和和保持IISMSS；(4) 建立风险险评价的的准则和和机团队队；(5) 获得信息息安全领领导小组组批准。4.2.1.3. 风险评估估的系统统方法xxxxx有限公公司信息息中心负负责建立立信息安安全风险险评估控控制程序序并组织织实施。风险评评估控制制程序包包括可接接受风险险准则和和可接受受水平，所选择择的评估估方法应应确保风风险评估估能产生生可比较较的和可可重复的的结果。具体的的风险评评估过程程控

35、制执执行信信息安全全风险评评估程序序，以以下是风风险评估估流程图图；确定ISMS范围资产识别与重要信息资产确定威胁识别与评价已有控制措施确认薄弱点识别与评价风险评估（测量）是否接受保持已有的控制措施施 施选择安全目标及控制措施实 施残余风险评审YESNO风险评估估流程图图4.2.1.4. 风险识别别在已确定定的ISSMS范范围内，对所有有的信息息资产进进行列表表识别。信息资资产包括括软件/系统、数据/文档、硬件/设施、服务、人力资资源。对对每一项项信息资资产，根根据重要要信息资资产判断断依据确确定是否否为重要要信息资资产，形形成重重要信息息资产清清单。4.2.1.5. 评估风险险(1) 针对每

36、一一项重要要信息资资产，参参考信信息安全全威胁列列表及及以往的的安全事事故（事事件）记记录、信信息资产产所处的的环境等等因素，识别出出所有重重要信息息资产所所面临的的威胁；(2) 针对每一一项威胁胁，考虑虑现有的的控制措措施，参参考信信息安全全薄弱点点列表识别出出可能被被该威胁胁利用的的薄弱点点；(3) 综合考虑虑以上22点，按按照威威胁发生生可能性性等级表表中的的判定准准则对每每一个威威胁发生生的可能能性进行行赋值；(4) 根据威威胁影响响程度判判断准则则，判判断一个个威胁发发生后对对信息资资产在保保密性(C)、完整性性(I)和可用用性(AA)方面面的损害害及对公公司业务务的威胁胁影响程程度

37、，对对其威胁胁影响程程度进行行赋值；(5) 进行风险险大小计计算时，考虑威威胁产生生安全故故障的可可能性及及其所造造成影响响程度两两者的结结合，根根据风险险计算公公式来计计算风险险等级；(6) 对于信息息安全风风险，在在考虑控控制措施施与费用用平衡的的原则下下制定风风险接受受准则，按照该该准则确确定何种种等级的的风险为为不可接接受风险险。4.2.1.6. 风险处理理方法的的识别与与评价xxxxx有限公公司信息息中心组组织有关关部门根根据风险险评估的的结果，形成风险处处理计划划，该该计划应应明确风风险处理理责任部部门、方方法及时时间。对对于信息息安全风风险，应应考虑控控制措施施与费用用的平衡衡原

38、则，选用以以下适当当的措施施：(1) 采用适当当的内部部控制措措施；(2) 接受某些些风险（不可能能将所有有风险降降低为零零）；(3) 规避某些些风险（如物理理隔离）；(4) 转移某些些风险（如将风风险转移移给保险险公司、供应方方）。4.2.1.7. 选择控制制目标与与控制措措施(1) 信息中心心根据信信息安全全方针、业务发发展要求求及风险险评估的的结果，组织有有关部门门制定信信息安全全目标，并将目目标分解解到有关关部门。信息安安全目标标应获得得信息安安全领导导小组的的批准。(2) 控制目标标及控制制措施的的选择原原则来源源于GBB/T2220880-220088/ISSO/IIEC22700

39、01:220055信息安安全管理理体系要要求标准准附录AA，具体体控制措措施可以以参考GGB/TT220081-20008/IISO/IECC270002:20005信信息技术术安全技技术信息安安全管理理实施细细则。xxxxx有限限公司根根据信息息安全管管理的需需要，可可以选择择标准之之外的其其他控制制措施。4.2.1.8. 适用性声声明信息中心心负责信息安安全管理理体系适适用性声声明（SoAA）编制制，由信信息中心心归口管管理。该该声明包包括以下下方面的的内容：(1) 所选择控控制目标标与控制制措施的的概要描描述；(2) 当前已经经实施的的控制；(3) 对GB/T2220800-20008/

40、ISOO/IEEC2770011:20005信信息安全全管理体体系要求求附录AA中未选选用的控控制目标标及控制制措施的的说明。注：该声声明的详详细内容容见信信息安全全管理体体系适用用性声明明。4.2.2. ISMSS实施及及运行4.2.2.1. ISMSS岗位职职责和权权限(1) 信息安全全领导小小组组长长为公司司信息安安全最高高管理者者。领导导小组主主要职责责：a) 国家有关关信息安安全的政政策、法法律和法法规，以以及南方方电网公公司和公公司的统统一部署署要求，审查、批准xxxxxx有限公公司信息息安全策策略、管管理规范范和技术术标准；b) 部署信息息安全总总体工作作，审定定信息安安全投资资

41、策略，建立工工作考评评机制；c) 指导信息息安全保保障体系系建设和和应急管管理。(2) 信息安全全工作小小组主要要职责：a) 根据信息息安全领领导小组组的工作作部署，对信息息安全工工作进行行具体安安排、落落实；b) 贯彻执行行信息安安全领导导小组的的决议，协调、督促各各部门、各单位位的信息息安全工工作；c) 制订信息息安全策策略和投投资策略略，组织织对信息息安全工工作制度度和技术术操作策策略的审审查，并并监督执执行；d) 接受各单单位的紧紧急信息息安全事事件报告告，组织织信息安安全应急急处置工工作，并并开展事事件调查查、分析析原因、涉及范范围和评评估安全全事件的的严重程程度，提提出信息息安全事

42、事件防范范措施；e) 及时向信信息安全全领导小小组和上上级有关关部门、单位报报告信息息安全事事件；f) 跟进先进进的信息息安全技技术，组组织信息息安全知知识的培培训和宣宣传工作作。(3) 信息安全全管理体体系的管管理者代代表对公公司信息息安全负负有以下下职责：a) 建立并实实施信息息安全管管理体系系必要的的程序并并维持其其有效运运行；b) 对信息安安全管理理体系的的运行情情况和必必要的改改善措施施向信息息安全领领导小组组报告。(4) 各部门负负责人为为本部门门信息安安全管理理者，全全体员工工都应按按保密承承诺的要要求自觉觉履行信信息安全全保密义义务；4.2.2.2. 各部门应应按照信息安安全管

43、理理体系适适用性声声明中中选择的的控制目目标与目目标的控控制措施施，确保保ISMMS有效效实施与与运行，并开展展以下活活动：(1) 确保信息息安全风风险的有有效管理理，制定定风险险处理计计划，以便明明确管理理措施、所需资资源、工工作职责责及识别别活动的的优先顺顺序；保保证已识识别的控控制目标标实施风险处处理计划划；(2) 确保处理理风险所所选择的的控制措措施，以以满足控控制目标标；(3) 确保所选选控制措措施有效效测量；(4) 制定信信息安全全培训计计划并并加以实实施，提提高全员员信息安安全意识识和能力力；(5) 管理ISSMS的的运行；(6) 管理ISSMS的的资源；(7) 制定信息息安全事

44、事件或事事故的程程序控制制措施，以便迅迅速的检检测安全全事件与与安全事事故的响响应。4.2.2.3. ISMSS的监督督检查与与评审通过实施施不定期期安全检检查、内内部审核核、事故故报告调调查处理理、电子子监控、定期技技术检查查（如日日志审核核）等控控制措施施并报告告结果以以实现：(1) 及时发现现信息安安全体系系的事故故和隐患患；(2) 及时了解解信息处处理系统统遭受的的各类攻攻击；(3) 使管理者者掌握信信息安全全活动是是否有效效，并根根据优先先级别确确定所要要采取的的措施；(4) 积累信息息安全方方面的经经验。4.2.2.4. 根据以上上活动的的结果以以及来自自相关方方的建议议和反馈馈，

45、由信信息安全全工作小小组组长长主持，定期（每年至至少一次次）对IISMSS的有效效性进行行评审，其中包包括信息息安全范范围、方方针、目目标及控控制措施施有效性性的评审审。管理理评审的的具体要要求，见见本手册册第7章。4.2.2.5. 信息中心心应组织织有关部部门按照照信息息安全风风险管理理程序的要求求对风险险处理后后的残余余风险进进行定期期评审，以验证证残余风风险是否否达到可可接受的的水平，对以下下方面变变更情况况应及时时进行风风险评估估：(1) 组织机构构发生重重大变更更时；(2) 信息处理理技术发发生重大大变更时时；(3) xxxxx有限公公司业务务目标及及流程发发生重大大变更时时；(4) 发现信息息资产面面临重大大威胁时时；(5) 外部环境境，如法法律法规规或信息息安全标标准发生生重大变变更时。4.2.2.6. 保持上述述活动和和措施的的记录。4.2.3.