2019ISO27001-2013信息安全管理体系文件(手册+适用性声明+程序文件).docx

《2019ISO27001-2013信息安全管理体系文件(手册+适用性声明+程序文件).docx》由会员分享，可在线阅读，更多相关《2019ISO27001-2013信息安全管理体系文件(手册+适用性声明+程序文件).docx（341页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2019 年最新 IS027001信息安全管理体系全套文件（手册+适用性声明+程序文件）手册、适用性声明、程序文件完配套已通过国际知名认证机构验证信息安全管理体系受控文件览表序号文件级别文件编号文件名称版本生效日期1级文件ABC-ISMS-A-001信息安全管理手册A02019/3/102级文件ABC-ISMS-A-002适用性声明A02019/3/102二级文件ABC-ISMS-B-001信息安全风险管理程序A02019/3/103二级文件ABC-ISMS-B-002文件控制程序A02019/3/104二级文件ABC-ISMS-B-003记录控制程序A02019/3/105二级文件ABC-I

2、SMS-B-004纠正措施控制程序A02019/3/106二级文件ABC-ISMS-B-005预防措施控制程序A02019/3/107二级文件ABC-ISMS-B-006内部审核管理程序A02019/3/108二级文件ABC-ISMS-B-007管理评审管理程序A02019/3/109二级文件ABC-ISMS-B-008信息分类管理控制程序A02019/3/1010二级文件ABC-ISMS-B-009商业秘密控制程序A02019/3/1011二级文件ABC-ISMS-B-010信息安全法律法规控制程序A02019/3/1012二级文件ABC-ISMS-B-011知识产权管理程序A02019/3

3、/1013二级文件ABC-ISMS-B-012信息安全事件控制程序A02019/3/1014二级文件ABC-ISMS-B-013信息处理设施维护控制程序A02019/3/1015二级文件ABC-ISMS-B-014信息安全沟通协调管理程序A02019/3/1016二级文件ABC-ISMS-B-015信息系统接收控制程序A02019/3/1017二级文件ABC-ISMS-B-016信息安全奖惩管理程序A02019/3/1018二级文件ABC-ISMS-B-017信息系统开发控制程序A02019/3/1019二级文件ABC-ISMS-B-018员聘用控制程序A02019/3/1020二级文件ABC

4、-ISMS-B-019员培训控制程序A02019/3/1021二级文件ABC-ISMS-B-020员离职控制程序A02019/3/10序号文件级别文件编号文件名称版本生效日期22二级文件ABC-ISMS-B-021第三方服务管理程序A02019/3/1023二级文件ABC-ISMS-B-022安全区域管理程序A02019/3/1024二级文件ABC-ISMS-B-023容量管理控制程序A02019/3/1025二级文件ABC-ISMS-B-024网络设备安全配置管理程序A02019/3/1026二级文件ABC-ISMS-B-025计算机控制程序A02019/3/1027二级文件ABC-ISMS

5、-B-026电子邮件控制程序A02019/3/1028二级文件ABC-ISMS-B-027恶意软件控制程序A02019/3/1029二级文件ABC-ISMS-B-028可移动介质管理程序A02019/3/1030二级文件ABC-ISMS-B-029用户访问控制程序A02019/3/1031二级文件ABC-ISMS-B-030信息处理设施安装使用管理程序A02019/3/1032二级文件ABC-ISMS-B-031业务连续性管理控制程序A02019/3/1033二级文件ABC-ISMS-B-032重要信息备份控制程序A02019/3/1034二级文件ABC-ISMS-B-033信息系统变更控制程

6、序A02019/3/1035二级文件ABC-ISMS-B-034信息系统监控控制程序A02019/3/1036二级文件ABC-ISMS-B-035软件开发管理程序A02019/3/1037二级文件ABC-ISMS-B-036物理访问管理程序A02019/3/1038二级文件ABC-ISMS-B-037应用及信息访问控制程序A02019/3/1039二级文件ABC-ISMS-B-038信息系统验收管理程序A02019/3/1040二级文件ABC-ISMS-B-039信息安全策略A02019/3/1041二级文件ABC-ISMS-B-040相关方信息安全控制程序A02019/3/1042二级文件A

7、BC-ISMS-B-041信息安全管理体系有效性测量控制程序A02019/3/10深圳市ABC信息技术股份有限公司信息安全管理体系文件ABC-ISMS-A-001信息安全管理手册版本A0汇编部门:汇编人员:审核:批准：2019年3月10日发布2019年3月10日实施深圳市ABC信息技术股份有限公司发布深圳市ABC信息技术股份有限公司|版权所有1深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-001信息安全管理手册文件版次A0密级敏感修改记录序号版次修改章节修改人审核人批准人修改日期A0发布文档深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-001信息安全管理手册文件

8、版次A0密级敏感目录手册颁布令4管理者代表任命书5信息安全方针0前言91范围102规范性引用文件113术语和定义123 . 1术语123.2 缩写124组织环境133.3 理解组织及其环境133.4 理解利益相关方的需求和期望134 . 3确定!SMS范围135领导145 .!领导作用和承诺146 .2方针147 .3组织角色、职责和授权146策划156. 1处理风险和机遇的行动157. 1.1信息安全风险评估158. 1.2信息安全风险处置169. 4 可使用信息安全目标和计划167支持1710. 1资源1710.2 力1710.3 识1810.4 通1910.5 件化信息198运行2011

9、. 1运行的策划和控制2011.2 息安全风险评估2011.3 息安全风险处置209绩效评价219. 1监视、测量、分析、评价2112. 2内部审核219.3管理评审2210改进2313. 1不符合项与纠正措施2310.2持续改进24附录L组织概况24附录2一信息安全组织架构及职能25附录信息安全管理小组成员31附录4职能分配表32附录5文件清单39附录仪公司网络拓扑图4Q附录7一公司信息安全目标深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-OO1信息安全管理手册文件版次A0密级敏感手册颁布令经公司全体员的共同努力依据ISO/IEC 27001:2013标准建立的深圳市ABC信

10、息技术股份有限公司信息安全管理体系已得到建立。指导管理体系运行的公司信息安全管理体系手册经评审后,现予以批准发布。信息安全管理体系手册的发布,标志着我公司从现在起,必须按照信息安全管理体系标准的要求和公司信息安全管理体系手册所描述的规定,不断增强持续满足顾客要求、相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质的安全的印刷产品和服务,以确立公司在社会上的良好信誉。信息安全管理体系手册是公司规范内部管理的指导性文件,也是全体员在向顾客提供服务过程必须遵循的行动准则。信息安全管理体系手册经发布，就是强制性文件,全体员必须认真学习、切实执行。本手册自2019年3月10日正式实施。总经理

11、:2019年3月10日深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感管理者代表任命书关于任命管理者代表的决定各部门:根据ISO/IEC 27001-2013标准的要求和工作需要,经研究决定:L任命同志为信息安全管理体系管理者代表,其职责是:1）负责依照IS0/IEC 27001-2013标准建立,实施和保持符合公司要求的信息安全管理体系;2）向公司经理部通报信息安全管理体系的执行情况，以便评审和改进;3）协调和监督体系的持续运行,做好管理评审和纠正预防措施,组织处理重要的不合格/不符合。4）确保在公司内提高全员服务意识,以客户为关注焦点,用优

12、良的品质、技术和管理创新来不断满足客户需求;5）负责信息安全管理体系有关事宜的外部联络。2 .授权为!SMS信息安全管理项目责任人，其主要职责（角色）和权限为：确保信息安全管理方的控制措施得到形成、实施、运行和控制。3 .授权各部门主管为信息安全管理体系在本部门的责任人,对ISMS要求在本部门的实施负责。总经理:2019年8月14日深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感信息安全方针信息安全方针预防为主,共筑信息安全;完善管理,赢得顾客信赖。对公司信息安全方针的具体分解落实为:、信息安全管理机制 公司采用系统的方法,按照ISO/IEC

13、27001:2013建立信息安全管理体系,全面保护公司的信息安全。二、信息安全管理组织 信息安全最高管理者对信息安全全面负责,批准信息安全方针,确定安全要求,提供资源。 信息安全管理代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 在公司内部建立由总经理、各部门负责人及相关人员等组成的ABC,负责信息安全管理体系的运行。 与地方政府、上级单位及专业安全咨询服务机构建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。三、人员安全 信息安全需要全体员的参与和支持,全体员都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求

14、。关键岗位及特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 对公司的相关方,如:软硬件供应商、服务商、保卫、消防、清洁等人员,也要明确安全要求和安全职责。应定期对全体员进行信息安全相关教育和培训,包括:技能、职责等,以提高人员信息安全意识。全体员及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。五、风险评估根据公司业务信息安全的特点、法

15、律法规要求，建立风险评估程序,确定风险接受准则。定期进行风险评估，以识别公司信息安全风险的变化。公司业务情况或信息系统环境发生重大变化时，随时评估。应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件明确报告安全事件的渠道和相关处理部门。全体员有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件，应立即按照规定的途径进行报告。接受报告的相应部门应记录所有报告,及时进行处理,并向报告人员反馈处理结果。 七、监督检查对信息安全进行定期或不定期的监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。、业务持续性根据风险评估的结果,建立业务持续性计划,防止关键业务过程受严重的信息

16、系统故障或者灾难的影响，并确保能够及时恢复。定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚对违反安全方针、职责、程序和措施的人员,按规定进行处理。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感前言深圳市ABC信息技术股份有限公司信息安全管理体系手册（以下简称本手册）依据ISO/IEC 27001: 2013信息技术-安全技术一信息安全管理体系要求,参照ISO/IEC 27002: 2013信息技术-安全技术一信息安全管理实用规则,结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述,为建立、实施和保持信

17、息安全管理体系提供框架。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感1范围L 1总则为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。1.2应用1.2.1 覆盖范围本信息安全管理体系手册规定了深圳市ABC信息技术股份有限公司信息安全管理体系涉及的范围为与信息技术咨询、软件开发和维护相关的信息安全管理。具体见4. 3 条款。1. 2.2删减说明本信息安全管理体系手册采用了 ISO/

18、IEC27001: 2013标准正文的全部内容,对附录A的删减及理由详见信息安全适用性声明SOA。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感2规范性引用文件下列文件中的条款通过本信息安全管理体系手册的引用而成为本 信息安全管理体系手册的条款。凡是标注日期的引用文件,其随后所有的修改单（不包括勘误的内容） 或修改版均不适用于本信息安全管理体系手册,然而,公司应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理体系手册。ISO/IEC 27001: 2013信息技术-安全技术一信息安全管理体系要求IS0/

19、IEC 27002: 2013信息技术-安全技术一信息安全管理实用规则深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感3术语和定义3.1 术语ISO/IEC 27001: 2013信息技术-安全技术一信息安全管理体系要求、IS0/IEC 27002: 2013信息技术-安全技术一信息安全管理实用规则规定的术语和定义以及下述定义适用于本信息安全管理体系手册。本组织、本公司、我公司指:深圳市ABC信息技术股份有限公司。3.2 缩写ISMS： Information Security Management Systems 信息安全管理体系;SOA：

20、Statement of Applicability 适用性声明;PDCA： Plan Do Check Action 计划、实施、检查、改进。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感4组织环境4.1理解组织及其环境本公司依据ISO/IEC 27001: 2013信息技术-安全技术一信息安全管理体系要求 规定,参照IS0/IEC 27002: 2013信息技术-安全技术一信息安全管理实用规则的要求, 结合本公司产品特点和战略规划,制定公司的组织结构,具体可参见附件三。内部环境:本公司主要承接计算机软件的技术开发、咨询（不含限制项目）、销

21、售及售后服务，秉着【预防为主,共筑信息安全;完善管理,赢得顾客信赖】的管理方针,通过信息安全管理标准和规定实行对计算机软件的技术开发、咨询（不含限制项目）、销售及售后服务和资产信息安全的保障。外部环境:公司遵守信息安全的相关法令、法规、业界方针及规范,建立信息安全管理体系。通过全体员的持续努力来完善体系,通过切实的控制措施来保障公司及顾客的信息安全。4. 2理解利益相关方的需求和期望1）人力资源部应首先确定与信息安全管理体系有关的利益相关方,包括：营销总监、 营销经理、资产所有人、项目经理、客户、商业伙伴及监管机构等;2）以上利益相关方应考虑并满足于任何法律、法定、法规要求或合同责任及其背景。

22、3）为支持本公司运营、业务及服务的情况下,应对其信息安全包括信息处理、信息备份、信息存储、信息沟通及信息存档需指定原则。4.3确定信息安全管理体系范围本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界:a） ISMS的范围是:与信息技术咨询、软件开发和维护相关的信息安全管理。b）本信息安全管理手册采用了 1S0/IEC 27001:2013标准正文的全部内容,对附录A的删减及理由详见信息安全适用性声明SoA;a） ISMS的边界是：深圳市XX区XX路XXX号XX广场X栋ABC。（详见附录公司外部环境、内部环境及网络图）。4. 4信息安全管理体系本公司在涉及与计算机软件的技术开发

23、、咨询（不含限制项目）、销售及售后服务相关的信息安全管理按IS0/IEC 27001:2013信息技术-安全技术一信息安全管理体系要求 规定,参照IS0/IEC 27002:2013信息技术-安全技术一信息安全管理实用规则标准建立、 实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。相关文件无深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感5领导5.1领导作用和承诺本公司最高层管理者应通过以下列方式展示其关于信息安全管理体系的领导和承诺:a）确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;b）确保信息安全管理体系要求整

24、合到组织的业务过程中;c）确保信息安全管理体系所需资源可用;d）传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；e）确保信息安全管理体系实现其预期结果；f）指挥并支持人员为信息安全管理体系的有效实施做出贡献；g）促进持续改进；h）支持其它相关管理角色在其职责范围内展示他们的领导。5.2 方针最高层管理者应确保为了满足适用法律法规及相关方要求,维持ISMS范围内的业务正常进行,实现业务可持续发展,根据公司的业务特征、组织结构、地理位置、资产和技术建立信息安全管理体系方针；预防为主,共筑信息安全;完善管理,赢得顾客信赖。信息安全方针,以；a）适用于组织的目标；b）包含信息安全目标或设置

25、信息安全目标提供框架；c）包含满足适用的信息安全相关要求的承诺；d）包含信息安全管理体系持续改进的承诺。信息安全方针应:a）文件化并保持可用性;b）在组织内部进行传达；c）适当时,对相关方可用。关于信息安全方针的详见内容见信息安全方针章节。5.3 组织角色、职责和授权本公司最高层管理者指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责;a）建立并实施信息安全管理体系必要的程序并维持其有效运行；b）对信息安全管理体系的运行情况和必要的改善措施向ABC或最高责任者报告。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密

26、级敏感各部门负责人为本部门信息安全管理责任者,全体员都应按保密承诺的要求自觉履行信息安全保密义务。各部门、人员有关信息安全职责分配见附录3 （规范性附录）和相应的程序文件、规定及各部门及各角色职责。管理者对实施和运行信息安全管理体系进行授权。相关文件1,各部门及各角色职责2、管理者代表任命书深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感6策划6.1处理风险和机遇的行动本公司在规划信息安全管理体系时按照信息分类管理控制程序、信息安全风险管理程序文件,确定需要应对的风险和机会:a）确保信息安全管理体系能实现其预期效果;b）防止或减少意外的影响;c

27、）实现持续改进;组织应规划:1）应对风险和机会的措施;2）如何整合和实施这些措施并将其纳入信息安全管理体系过程;3）如何评价这些措施的有效性。6.1. 1信息安全风险评估信息安全管理小组制定并实施信息安全风险管理程序、信息安全策略,包括;a）建立并保持信息安全风险准则:1）风险接受准则；2）执行信息安全风险评估的准则；b）确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果；c）识别信息安全风险；1）应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；2）识别风险负责人；d）分析信息安全风险；1）评估信息安全风险中所识别风险发生后将导致的潜

28、在影响；2）评估信息安全风险中所识别风险发生的现实可能性；3）确定风险级别；e）评价信息安全风险;1）将风险分析结果同建立的信息安全风险准则进行比较；2）组织应保留信息安全风险评估过程的中的文件记录信息。6.1. 2信息安全风险处置本公司信息安全管理小组处理预防措施，潜在不符合事项的相关部门采取预防措施, 以消除潜在与信息安全管理体系要求不符合或不期望事项发生的原因,防止其发生。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感所采取的预防措施应与潜在问题的影响程度相适应。预防措施的实施按纠正措施控制程序、预防措施控制程序进行。预防措施的制定与实

29、施程序要求如下:a）识别潜在的不符合及其原因;b）评价预防不符合发生的措施要求;c）确定并实施所需的预防措施;d）记录所采取措施的结果；e）评审所采取的预防措施。我公司信息安全管理小组定期组织进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。6. 2可使用信息安全目标和计划本公司为了满足4.1和4. 2及信息安全管理要求建立信息安全管理目标,并按期要求在公司相关职能和层次上建立信息安全目标,应;a）与信息安全方针保持一致；b）可测量（如可行）；c）考虑适用的信息安全要求以及风险评估和风险处置结果；d）被传达；e）适当时进行更新

30、；f）保留信息安全目标的文件记录信息。当规划如何实现其信息安全目标时,组织应确定;a）要做什么；b）需要什么资源；c）由谁负责；d）什么时候完成；e）如何评价结果。相关文件1、信息安全管理目标2、纠正措施控制程序、3、预防措施控制程序4、信息安全风险管理程序5、信息安全策略6、信息分类管理控制程序深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感7支持7.1资源最高层管理者应确定并提供建立、实施、保持和持续改进信息安全管理体系所需资源;以保证:a）建立、实施、运作、监视、评审、保持和改进信息安全管理体系;b）确保信息安全程序支持业务要求;c）识别

31、并指出法律法规要求和合同安全责任；d）通过正确应用所实施的所有控制来保持充分的安全；e）必要时,进行评审,并对评审的结果采取适当措施；f）需要时,改进信息安全管理体系的有效性。7.2能力本公司信息安全管理小组按员聘用管理程序、员培训控制程序、员离职管理程序要求从适当的教育、培训或经验方面来考虑员的资源能力,尤其是从事与信息安全活动有关的人员,来考核其影响组织信息安全绩效所需的能力水平,以；a）确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；b） 确保人员的适当教育,培训和经验的基础上能够胜任工作；c）适当时,采取措施来获得必要的能力,并评价所采取措施的有效性；d）保留适当

32、的文件记录信息作为能力方面的证据。7.3意识信息安全管理小组制定并实施员聘用管理程序、员培训控制程序、员离职管理程序文件,确保被分配信息安全管理体系规定职责的所有人员,从事其工作时应意识到;a）信息安全方针；b）包括他们对有效实施信息安全管理体系的贡献,信息安全绩效改进后的益处；c）不符合信息安全管理体系要求可能带来的影响；7.4沟通本公司信息安全管理小组负责建立信息安全沟通协调管理程序,确定有关信息安全管理体系在组织内部和外部进行沟通的需求,包括;d）什么需要沟通;e）什么时候沟通；f）跟谁进行沟通;深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密

33、级敏感g） 由谁负责沟通;h）影响沟通的过程。我公司已了解到与信息安全管理人员沟通之间的重要性,相关部门与信息安全管理体系的相关人员通过会议、0A平台、评审报告及事件的反馈等方式进行沟通,并传达信息安全管理体系的重要性，沟通包括内部和外部。7. 5文件化信息7.5.1 总贝!|本公司信息安全管理体系文件包括:a）文件化的信息安全方针,在信息安全管理手册中描述,选择的控制目标在信息安全适用性声明SoA中描述;b）信息安全管理手册（本手册，包括信息安全适用范围及引用的标准）；c） IS0/IEC 27001:2013标准中要求的文件记录信息;d）为确保有效策划、运作和控制信息安全管理体系确定的必要

34、的文件记录信息;7.5.2 创新和更新信息安全管理小组组织编制和实施文件控制程序、记录控制程序在创建和更新文件记录信息时,确保适当的:a）标识和描述（例如:标题、日期、作者或参考编号）；b）格式（例如：语言、软件版本、图表）和介质（例如:纸质介质、电子介质）；c）评审和批准其适用性和充分性。7.5.3 文件记录信息的控制本公司按照文件控制程序、记录控制程序、用户访问控制程序、重要信息备份控制程序等要求对信息安全管理体系所要求的文件记录信息应予以控制,以确保本公司信息安全管理手册、安全策略、程序文件、作业指导书、记录都能满足如下要求:d）无论何时何地需要,它都是可用并适合使用的;e）它被充分保护

35、（例如避免丧失保密性、使用不当或丧失完整性）；f）分发、访问、检索和使用；g）存储和保存,包括可读性的保持；深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感h）变更控制（例如版本控制）；i）保留和处置。j）为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息,适当时应予以识别和控制。相关文件1、文件控制程序2、记录控制程序3、用户访问控制程序4、重要信息备份控制程序5、信息安全适用性声明SoA6、信息安全沟通协调管理程序7、员培训控制程序8、员聘用控制程序9、员离职控制程序深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-0

36、01信息安全管理手册文件版次A0密级敏感8 运行8.1 运行的策划和控制最高层管理者根据相关法律法规要求、信息安全方针、业务发展要求及风险评估的结果,组织有关部门选择和制定了信息安全目标,并将目标分解到有关部门,并在策划信息安全管理的过程中,公司通过编制信息安全管理体系有效性测量控制程序,对信息安全管理运作过程进行有效控制,以确保信息安全管理运作各过程在受控状态下进行。运行的策划时,本公司最高层管理者将确定以下方面的适当内容:a）信息安全控制目标获得总经理的批准。b） 本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。c）针对信息安全管理所需建立的过程和文件,以及所需提供的资源和设

37、施。d）公司应保持信息安全管理文件记录信息达到必要的程度，有信心证明过程是按照计划执行的。e）公司应控制计划的变更，评审非预期变更的后果，必要时采取措施减缓负面影响。f）公司目前暂无发生外包的过程。8.2 信息安全风险评估本公司信息安全管理小组按信息安全风险管理程序分析和评价风险:a）针对重要资产的价值和脆弱性严重程度，计算出风险发生的影响值;b）针对每一项威胁发生频率、脆弱性被威胁利用的容易程度进行赋值，然后计算得出风险发生的可能性;c）根据信息安全风险管理程序计算风险等级,从面得出风险等级;d）根据信息安全风险管理程序及风险接受准则,判断风险为可接受或需要处理。8. 3信息安全风险处置信息

38、安全管理小组和相关部门根据风险评估的结果,形成信息安全风险处理计划， 该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a）控制风险,采用适当的内部控制措施；b）接受风险;c）避免风险；d）转移风险。相关文件1、信息安全风险管理程序深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感2、信息安全风险处理计划3、信息安全管理体系有效性测量控制程序深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感9绩效评价9.1监视、测量

39、、分析、评价在管理标准中,对安全措施的实施规定了检查和测量的要求。同时,信息安全管理小组应按信息安全管理体系有效性测量控制程序要求定期的进行信息安全检查和信息安全技术监督,通过对安全措施的实施检查和信息安全技术监督,保证安全措施得到满足, 并且信息安全管理小组于每年至少次对信息安全管理体系的实施有效性进行内部审核, 以确保结果有效。9.2内部审核本公司信息安全管理小组按内部审核管理程序的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。本公司每年进行次信息安全管理体系内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:a）符合本标准的要求和相关法律法规的要求;b

40、）符合已识别的信息安全要求;c）得到有效地实施和维护;d）按预期执行。9.2.1 内审策划a）信息安全管理小组策划审核的过程、区域的状况、重要性以及以往审核的结果,对审核工作进行策划。应编制年度内审计划,确定审核的准则、范围、频次和方法。b）每次审核前,信息安全管理小组应编制内部审核计划,确定审核的准则、范围、 日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。c）内部审核计划,经信息安全管理者代表批准,提前3天通知被审核部门,被审核部门到时应选派有关人员配合审核。9.2.2 内审员a）内部审核员必须是熟悉本公司信息安全管理情况,参加内部审核员培训

41、并考核合格的人员。b）内部审核员应来自于不同的部门,审核人员应与被审活动无直接责任,以保持工作深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感的独立性c）各部门选择符合内部审核员条件的候选人,参加内部审核员培训并考试合格,填写 内部审核员评定表，经信息安全管理者代表批准,方取得内部审核员资格。9.2.3 内审实施应按审核计划的要求实施审核,包括:a）进行首次会议,明确审核的目的和范围,采用的方法和程序;b）实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流,填写审核发现;c）对检查内容进行分析，对审核发现的问题在不符合项报告及纠正报告单

42、中开出不符合项;d）审核组长编制内部审核报告。9.3管理评审总经理应每年进行一次管理评审，以确保信息安全管理体系持续的适宜性、充分性和有效性,管理评审按管理评审管理程序进行。管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括信息安全方针和信息安全目标。管理评审的结果应清晰地形成文件,记录应加以保持。9.3.1 评审输入管理评审的输入要包括以下信息:a）以往管理评审的措施的状态;b）与信息安全管理体系相关的外部和内部问题的变更;c）信息安全绩效的反馈（不符合和纠正错、监视和测量的结果、审核结果、目标的实现）；d）以往风险评估没有充分强调的脆弱性或威胁；e）相关方的反馈；f）改进的建议。深圳市ABC信息技术股份有限公司文件编号ABC-ISMS-A-信息安全管理手册文件版次A0密级敏感9.