ISMS手册-信息安全管理体系手册2053.docx

《ISMS手册-信息安全管理体系手册2053.docx》由会员分享，可在线阅读，更多相关《ISMS手册-信息安全管理体系手册2053.docx（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 信息安全管管理IT服服务管理体体系手册发布令本公司按照照ISO2200000:20005信息息技术服务务管理规范和和ISO2270011：20005信息安安全管理体体系要求以以及本公司司业务特点点编制信信息安全管管理&ITT服务管理理体系手册册，建立立与本公司司业务相一一致的信息息安全与IIT服务管管理体系，现现予以颁布布实施。本手册是公公司法规性性文件，用用于贯彻公公司信息安安全管理方方针和目标标，贯彻IIT服务管管理理念方方针和服务务目标。为为实现信息息安全管理理与IT服服务管理，开开展持续改改进服务质质量，不断断提高客户户满意度活活动，加强强信息安全全建设的纲纲领性文件件和行动准准则。

2、是全全体员工必必须遵守的的原则性规规范。体现现公司对社社会的承诺诺，通过有有效的PDDCA活动动向顾客提提供满足要要求的信息息安全管理理和IT服服务。本手册符合合有关信息息安全法律律法规要求求以及ISSO200000:22005信信息技术服服务管理规范、IISO277001：20055信息安安全管理体体系要求和和公司实际际情况。为为能更好的的贯彻公司司管理层在在信息安全全与IT服服务管理方方面的策略略和方针，根根据ISOO200000:20005信信息技术服服务管理规范和和ISO2270011：20005信息息安全管理理体系要求求的要求求任命XXXXXX为为管理者代代表，作为为本公司组组织和实

3、施施“信息安全全管理与IIT服务管管理体系”的负责人人。直接向向公司管理理层报告。全体员工必必须严格按按照信息息安全管理理&IT服服务管理体体系手册要要求，自觉觉遵守本手手册各项要要求，努力力实现公司司的信息安安全与ITT服务的方方针和目标标。管理者代表表职责：a) 建建立服务管管理计划； b) 向向组织传达达满足服务务管理目标标和持续改改进的重要要性； e) 确确定并提供供策划、实实施、监视视、评审和和改进服务务交付和管管理所需的的资源，如如招聘合适适的人员，管管理人员的的更新； 1 确保按照IISO20070011:20005标准的的要求，进进行资产识识别和风险险评估，全全面建立、实实施和

4、保持持信息安全全管理体系系；按照IISO/IIEC 2200000 信息技技术服务管管理规范范的要求求，组织相相关资源，建建立、实施施和保持IIT服务管管理体系，不不断改进IIT服务管管理体系，确确保其有效效性、适宜宜性和符合合性。2 负责与信息息安全管理理体系有关关的协调和和联络工作作；向公司司管理层报告告IT服务务管理体系系的业绩，如如：服务方方针和服务务目标的业业绩、客户户满意度状状况、各项项服务活动动及改进的要要求和结果果等。3 确保在整个个组织内提提高信息安安全风险的的意识；4 审核风险评评估报告、风风险处理计计划；5 批准发布程程序文件；6 主持信息安安全管理体体系内部审审核，任命

5、命审核组长长，批准内内审工作报报告；向最高管理理者报告信信息安全管管理体系的的业绩和改改进要求，包包括信息安安全管理体体系运行情情况、内外外部审核情情况。7推动公公司各部门门领导，积积极组织全全体员工，通通过工作实实践、教育育培训、业业务指导等等方式不断断提高员工对对满足客户户需求的重要要性的认知知程度，以以及为达到到公司服务务管理目标标所应做出出的贡献。总经理：日期：信息安全方方针和信息息安全目标标信息安全方方针：信息息安全 人人有有责本公司信息息安全管理理方针包括括内容如下下：一、信息安安全管理机机制1公司采采用系统的的方法，按按照ISOO/IECC 270001:22005建建立信息安安

6、全管理体体系，全面面保护本公公司的信息息安全。二、信息安安全管理组组织2公司总总经理对信信息安全工工作全面负负责，负责责批准信息息安全方针针，确定信信息安全要要求，提供供信息安全全资源。3公司总总经理任命命管理者代代表负责建建立、实施施、检查、改改进信息安安全管理体体系，保证证信息安全全管理体系系的持续适适宜性和有有效性。4在公司司内部建立立信息安全全组织机构构，信息安安全管理委委员会和信信息安全协协调机构，保保证信息安安全管理体体系的有效效运行。5与上级级部门、地地方政府、相相关专业部部门建立定定期经常性性的联系，了了解安全要要求和发展展动态，获获得对信息息安全管理理的支持。三、人员安安全6

7、信息安安全需要全全体员工的的参与和支支持，全体体员工都有有保护信息息安全的职职责，在劳劳动合同、岗岗位职责中中应包含对对信息安全全的要求。特特殊岗位的的人员应规规定特别的的安全责任任。对岗位位调动或离离职人员，应应及时调整整安全职责责和权限。7对本公公司的相关关方，要明明确安全要要求和安全全职责。 8定期对对全体员工工进行信息息安全相关关教育，包包括：技能能、职责和和意识。以以提高安全全意识。9全体员员工及相关关方人员必必须履行安安全职责，执执行安全方方针、程序序和安全措措施。四、识别法法律、法规规、合同中中的安全10及时时识别顾客客、合作方方、相关方方、法律法法规对信息息安全的要要求，采取取

8、措施，保保证满足安安全要求。五、风险评评估11根据据本公司业业务信息安安全的特点点、法律法法规要求，建建立风险评评估程序，确确定风险接接受准则。12采用用先进的风风险评估技技术和软件件，定期进进行风险评评估，以识识别本公司司风险的变变化。本公公司或环境境发生重大大变化时，随随时评估。13应根根据风险评评估的结果果，采取相相应措施，降降低风险。六、报告安安全事件14公司司建立报告告信息安全全事件的渠渠道和相应应的主管部部门。15全体体员工有报报告信息安安全隐患、威威胁、薄弱弱点、事故故的责任，一一旦发现信信息安全事事件，应立立即按照规规定的途径径进行报告告。16接受受信息安全全事件报告告的主管部

9、部门应记录录所有报告告，及时做做出相应的的处理，并并向报告人人员反馈处处理结果。七、监督检检查17定期期对信息安安全进行监监督检查，包包括：日常常检查、专专项检查、技技术性检查查、内部审审核等。八、业务持持续性18公司司根据风险险评估的结结果，建立立业务持续续性计划，抵抵消信息系系统的中断断造成的影影响，防止止关键业务务过程受严严重的信息息系统故障障或者灾难难的影响，并并确保能够够及时恢复复。19定期期对业务持持续性计划划进行测试试和更新。九、违反信信息安全要要求的惩罚罚20对违违反信息安安全方针、职职责、程序序和措施的的人员，按按规定进行行处理。信息安全目目标：1.不可接接受风险处处理率：1

10、100% （所有不不可接受风风险应降低低到可接受受的程度）。2.重大顾顾客因信息息安全事件件投诉为00次（重大顾客客投诉是指指直接经济济损失金额额达1万元元以上）1 信息安全管管理手册说说明11公司司简介XX1.1编制制依据和目目的本手册在遵遵循ISOO90011：20055 信息安全全管理体系系要求与与ISO/IEC 200000 信息技技术服务管管理规范范的要求求编制而成成，包括了了ISO2270011：20055的全部要要求，对附附录A的删删减见适适用性声明明SoA。手册描述公公司的信息安全全管理体系系的总要求求，以确保保公司的信息息安全管理理体系能够够达到ISSO270001：2005

11、5信息安全全管理标准准的要求；满足本公公司向客户户提供ITT服务所需需的IT基基础设施和和IT技术术支持服务务，适用于向向客户或认认证机构证证实，本公公司具备提提供符合客客户需求的的IT服务务能力和服服务质量。本公司的体体系程序是是手册的支支持性文件件，是对体体系运作的的具体描述述。1.2适用用范围信息安全管管理&ITT服务管理理体系手册册适用于本本公司提供供安全管理体体系认证服服务与ITT服务有关关的所有部部门和活动动。13术语语和定义1311本手册应应用ISOO/IECC 200000中的术术语及定义义。1322本手册应应用ISOO/IECC270001中的术术语及定义义。2 信息安安全管

12、理&IT服务务管理手册册的管理21手册册的编制、批批准和发布布2111按照公司司业务发展展战略和客客户需求，经经公司管理理者代表批批准，技术术服务事业业部组织相相关人员，结结合本公司司业务特点点，根据IISO/IIEC 2200000标准的要要求编写。2122IT服务管管理手册由由公司管理理者代表批批准后发布布。22手册册的分发2211技术服务务事业部负负责手册的的发放、更更新、管理理与存档。2222公司各部部门负责手手册的使用用和保管。23手册册的受控状状态2311书面形式式的手册分分“有效文文件”和“保留留文件”两两种形式。作作为公司日日常运营的的依据及提提供给外部部认证机构构的手册均均为

13、“有效效文件”形形式。2322当手册内内容变更时时，“有效文文件”形式的手手册应及时时予以更新新和发放。2333“有效文件件”形式的的文件在更更新后，如如需保存原原来的版本本，以便于于追溯，则则应当用“保保留文件”的标识予以区区分。2344电子形式式的手册由由技术服务务事业部在在工作流转转系统中进进行管理。24手册册的变更2411因公司战战略调整、客客户需求或或改进活动动等引起的的手册内容容的变更，按按公司总经经理指示，技技术服务事事业部组织织相关部门门对涉及变变更的内容容进行更新新，并经公公司总经理理批准后发发布。2422更新后的的手册，应应及时地发发放给公司司内部原手手册持有者者，并收回回

14、旧版的手手册。对电电子形式的的手册，由由技术服务务事业部按按工作流转转系统中的的管理规则则进行更新新和归档管管理。25公司司内部手册册持有者的的责任2511与公司或或部门内部部的相关人人员沟通、学学习手册的的要求并遵遵照执行。2522妥善保管管，不得私私自更改、曲曲解手册的的内容。不不得随意向向其他与公公司业务无无关的第三三方传播，如如需提供公公司以外的的第三方参参考，应经经技术服务务事业部提提交公司主主管副总经经理审核后后，报公司司总经理批批准。3 公司司架构和安安全承诺3.1公司司行政组织织架构总 经 理文档培训仓库采购人力资源财务物流销售市场测试质量保证质管部实施研发综合管理部生技部商务

15、部3.2公司司信息安全全管理体系系组织架构构图总 经 理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量保证测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会注：每个虚虚线框内为为一个信息息安全小组组，部门的的负责人为为安全组长长，各岗位位负责人为为该岗位的的安全员。33公司司IT服务管管理职能关关系架构图图3.4信息息安全承诺诺公司成立立安全管理委委员会来领领导信息安安全工作，并并确定相应应的职责和和作用。制订信息息安全方针针和信息安安全目标，建建立和完善善公司的信信息安全管管理体系。提供充分分的资源以以保证信息息安全管理理体系的制制定、实施施、运作、监控、维护和改善

16、。对公司信信息资产实实行有效管管理，确保保信息的机机密性，维维持信息的的完整性和和可用性，防防范对信息息的未经授授权访问。对对公司信息息资产进行行风险评估估，制定风风险可接受受标准，对对公司不能能接受的风风险进行处处置。建立业务务持续性管管理流程。进行行业务持续续性风险评评估，编写写、测试并并实施业务务持续性计计划和灾难难恢复计划划，以保证公公司关键业务的的连续，不不受重大故故障和灾难难的影响。确保公司司所有员工工都接受信信息安全的的教育培训训，提高信信息安全意意识。保护公司司、客户、相相关合作方方的信息安安全。建立公司司信息安全全组织架构构，明确信信息安全责责任，确定定报告可疑疑的和发生生的

17、信息安安全事故及及事件的流流程，对违违反安全制制度的人员员进行惩罚罚。建立物理理安全和网网络安全管管理制度，以以确保信息息的安全性性。保护公司司软件和信信息的完整整性，防止止病毒与各各种恶意软软件的入侵侵。任何人在在未经审批批的情况下下，禁止将将信息资产产带离公司司。公司所有有员工都要要严格遵守守公司的安安全方针、程程序和制度度。控制对内内外部网络络服务的访访问，保护护网络服务务的安全性性与可用性性。对用户账账号、口令令和权限进进行严格管管理，防止止对信息系系统的非授授权访问。对重要信信息进行备备份保护，以以保证信息息的可用性性。定期对信信息安全管管理体系进进行内审和和管理评审审。3.5信息息

18、安全管理理委员会为了加强对对信息安全全管理体系系运作的管管理，江苏苏金马扬名名信息技术术有限公司司公司成立立信息安全全管理委员员会，其职职责见下列列明细表。信息安全管管理职责明明细表序号单位/部门门信息安全职职责1信息安全管理委员会会信息安全管管理委员会会是我公司司信息安全全最高组织织机构，负负责本单位位网络与信信息安全重重大事项的的决策和协协调，并对对全公司信信息安全工工作负责。2总经理信息安全第第一责任人人，制定信信息安全方方针，对信信息安全全全面负责。3管理者代表表经总经理授授权负责建建立、实施施、检查、改改进信息安安全管理体体系。4综合管理部部我公司信息息安全管理理体系的归归口管理部部

19、门。1. 负责管理体体系的建立立、实施、保保持、测量量和改进。2. 负责文件控控制、记录录控制、内内部审核的的组织、管管理评审的的组织和体体系的改进进。3. 负责本公司司保密工作作的管理。4. 安全区域的的保卫管理理部门，负负责安全区区域的管理理。5. 负责全公司司人员安全全管理，包包括人员聘聘用管理，保保密协议签签署，员工工的能力、意意识和培训训，员工离离职管理。6. 负责涉密信信息上网、涉涉密计算机机运行、检检修、报废废的监督管管理。7. 对信息安全全日常工作作实施动态态考核，将将信息安全全管理作为为企业管理理的重要工工作内容。8. 参与涉密及及司法介入入的信息安安全事件的的调查。5生产技

20、术部部是我公司信信息系统安安全管理部部门。负责局域网网上所承担担的各类信信息系统的的管理职能能；负责我公司司信息系统统安全日常常管理。6其他部门认真执行信信息安全管管理的方针针、标准、安安全策略和和规范，做做好内部培培训。备注：以上上职能划分分，适用所所有信息安安全管理体体系文件。信息安全管管理委员会会组成人员员：姓名部门职务备注36服务务管理职能能说明3611为保证ITT服务管理理体系的顺顺利实施，以以及实施后后得到持续续的管理和和维护，在在现有的组组织架构外外建立服务管管理职能关关系架构。IIT服务管管理职能关关系架构，并并不替代现现有的按技技术类别进进行的分工工，现有的的按技术类类别进的

21、分分工，在将将来的ITT服务管理理体系中仍仍将发挥其其作用。服服务部根据据IT服务务管理程序序要求对所所有服务合合同按照项项目进行管管理与运行行，由项目目经理按照照服务管理理职能关系系架构中的的要求对项项目执行管管理。一个个完整的服服务项目必必须包含服服务台、事事件管理、业业务关系管管理、信息息安全管理理、供应商商管理和IIT财务管管理。对于于上图虚线线框内的的的问题管理理、发布管管理、配置置管理、变变更管理、可可用性和连连续性管理理、容量管管理、服务务级别管理理以及服务务报告可由由服务部经经理依照与与用户签署署的服务合合同进行选选择裁剪。3622 角色分配配说明36221针对对服务部当当前组

22、织架架构及人员员状况，将将不再为每每一具体流程分分配流程经经理。为此此将13个个流程，按按其必要程程度分成必必选流程和和可裁剪流流程两大模模块。由项项目经理负负责相应流流程的实施施、管理和和控制。对对项目组成成员主要是是组织、协协调、安排排相应工作作任务的完完成，可能能并不是由由自己去完完成。3622111 项目经理理职责说明：1）、负负责IT服服务项目的的立项工作作，按照服服务合同要要求负责相相应流程的的实施、管管理和控制制。组织、协协调、安排排项目组成成员完成相相应工作任任务。2）、负责责从服务台台接受事件件报告开始始，分配相相应的职能能小组进行行事件处理理，直至找找到问题的的根本原因因的

23、整个过过程的管理理和协调。3）、负责责各系统的的配置管理理、变更和和发布控制制。4）、负责责系统的可可用性规划划和管理、负负责安排系系统连续性性的计划和和演练，并并负责系统统容量的规规划和监控控。5）、主要要负责与用用户的沟通通，对供应应商的管理理，以及项项目的预/决算的管管理。3622122能力要求求：熟悉服服务部的各各种服务管管理流程，具具有较强的的内部协调调能力。 由管管理者代表表授权技术术服务事业业部总监，按按ISO/IEC 200000的要求求，负责协协调和组织织所有与IIT服务有有关的活动动，通过管管理和实施各项活动，使使IT服务业业务的质量量得到有效效的保持和和维护。 技术术服务

24、事业业部组织制制订、批准准和发布公公司IT服务策策略、服务务目标，并并使其成为为公司关注注的焦点，成成为公司协协调、统一一、凝聚公公司的所有有活动和资资源的准则则，成为建建立、实施施、保持并并改进ITT服务管理理体系的宗宗旨。3633公司 ITT服务策略略：客户至上、全全员参与、创创新高效、系系统管理、追追求卓越公司 ITT服务目标标：公司通过服服务质量改改进程序确确定年度服服务质量目目标 公司司的IT服务目目标按ISSO/IEEC 200000的的要求，与与公司的业业务相结合合，并通过过流程绩效效不断提高高和改进。 技术术服务事业业部负责组组织相关部门，通通过会议、评评审、书面面报告、培培训

25、等方式式，及时有有效沟通工工作，达到到IT服务管管理目标和和持续改进进的需求，并并在公司中中积极贯彻彻实施ITT服务管理理的重要性性。技术服务事事业部负责责组织相关关部门按照照PDCAA的要求，通通过对所属属业务的规规划，适时时优化和提提供资源以以计划、实实施、监控控、评审和和改进ITT服务的交交付和管理理。 管理者代代表按照服服务质量改改进管理程程序中的的计划间隔隔，由技术术服务事业业部负责组组织相关部部门实施IIT服务管管理体系的的内部审核核，确保IIT服务管体系系的有效性性与符合性性。管理者代表表按照服服务质量改改进管理程序中中的计划间间隔，组织织相关部门门执行ITT服务管理理体系的管管

26、理评审，确确保IT服务管管理体系持持续的稳定定、充分和和有效。3644文件要求求36441公司司的文件管管理体系分分为A、BB、C、DD四层，即即A层为管管理手册、BB层为程序序文件、CC层为工作作流程或规规定、D层层为记录。36442管理理手册 描述IT服务管管理体系的的文件，是是全体员工工必须长期期遵循的法法规性文件件。36443程序序文件 覆盖公公司主要业业务过程的的流程文件件，是管理理手册的支支撑性文件件。36444工作作流程或规规定 是开展展具体业务务工作的规规范类、指指导性文件件，是程序序文件的支支持性文件件。36445记录录 在开展展具体业务务工作过程程中产生的的记录类文文件，主

27、要要是为具体体工作结果果提供各种种可追溯性性证据。36446技术术服务事业业部负责组织制制订文件件和记录管管理程序，明明确文件的的拟制、批批准、发放放、变更、存档等管理要求，并监控实施。36447技术术服务事业业部负责组组织相关部部门，根据据公司的业业务特点及及标准的要要求，制订订相关的程程序文件，经经公司管理理者代表批批准后实施施。36448技术术服务事业业部负责组组织拟制与与本部门业业务相关的的各类C层层文件，并并按文件件和记录管管理程序的要求对文件和记录的有效性进行管理。4信息安全全管4.1总要要求4.1.11 公司根根据整体业业务活动（软软件开发、经经营、服务务和日常管管理活动）和和所

28、面临的的风险，按按ISO/IEC 270001:20005信信息技术-安全技术术-信息安安全管理体体系-要求求规定，参参照ISOO/IECC 270002:22005信信息技术-安全技术术-信息安安全管理实实用规则标标准，建立立、实施、运运作、监控控、维护并并改进文件件化的信息息安全管理理体系。4.1.22本手册使用用的过程基基于PDCCA模式。相关文件：信息安全全方针及目目标4.2建立立和管理信信息安全管管理体系（ISMS）4.2.11建立ISMMS4.2.11.1 信信息安全管管理体系的的范围和边边界本公司根据据业务特征征、组织结结构、地理理位置、资资产和技术术定义了范范围和边界界，本公司

29、司信息安全全管理体系系的范围包包括：a) 本公公司涉及软软件开发、营营销、服务务和日常管管理的业务务系统；b) 与所所述信息系系统有关的的活动；c) 与所所述信息系系统有关的的部门和所所有员工；d) 所述述活动、系系统及支持持性系统包包含的全部部信息资产产。组织范围：本公司根据据组织的业业务特征和和组织结构构定义了信信息安全管管理体系的的组织范围围，见本手手册JINN/QM3.2公司信息安安全管理体体系组织架架构。物理范围：本公司根据据组织的业业务特征、组组织结构、地地理位置、资资产和技术术定义了信信息安全管管理体系的的物理范围围和信息安安全边界。本公司ISSMS的物物理范围为为本公司位位于x

30、xxxxxxxxxxxxxxxxxx的办公场场所，安全全边界详见见附录A（规规范性附录录）办公公场所平面面图。4.2.11.2 信信息安全管管理体系的的方针为了满足适适用法律法法规及相关关方要求，维维持软件开开发和经营营的正常进进行，实现现业务可持持续发展的的目的。本本公司根据据组织的业业务特征、组组织结构、地地理位置、资资产和技术术定义了信信息安全管管理体系方方针，见本本信息安全全管理手册册第0.33条款。该信息安全全方针符合合以下要求求：a) 为信信息安全目目标建立了了框架，并并为信息安安全活动建建立整体的的方向和原原则；b) 考虑虑业务及法法律或法规规的要求，及及合同的安安全义务；c)

31、与组组织战略和和风险管理理相一致的的环境下，建建立和保持持信息安全全管理体系系；d) 建立立了风险评评价的准则则；e) 经最最高管理者者批准。为实现信息息安全管理理体系方针针，本公司司承诺：a) 在各各层次建立立完整的信信息安全管管理组织机机构，确定定信息安全全目标和控控制措施；明确信息息安全的管管理职责，见见本信息安安全管理手手册第3.4条款。；b) 识别别并满足适适用法律、法法规和相关关方信息安安全要求； c) 定期期进行信息息安全风险险评估，信信息安全管管理体系评评审，采取取纠正预防防措施，保保证体系的的持续有效效性；d）采用先先进有效的的设施和技技术，处理理、传递、储储存和保护护各类信

32、息息，实现信信息共享；e) 对全全体员工进进行持续的的信息安全全教育和培培训，不断断增强员工工的信息安安全意识和和能力；f) 制定定并保持完完善的业务务连续性计计划，实现现可持续发发展。4.2.11.3 风风险评估的的方法生技部负责责制定信信息安全风风险管理程程序，建建立识别适适用于信息息安全管理理体系和已已经识别的的业务信息息安全、法法律和法规规要求的风风险评估方方法，建立立接受风险险的准则并并识别风险险的可接受受等级。信信息安全风风险评估采采用信息安安全风险管管理软件（Infoo-risskmannagerr）进行，以以保证所选选择的风险险评估方法法应确保风风险评估能能产生可比比较的和可可

33、重复的结结果。4.2.11.4 识识别风险在已确定的的信息安全全管理体系系范围内，本本公司按信信息安全风风险管理程程序，采采用Inffo-riiskmaanageer风险管管理软件，对对所有的资资产进行了了识别，并并识别了这这些资产的的所有者。资资产包括硬硬件、设施施、软件与与系统、数数据、文档档、服务及及人力资源源。对每一一项资产按按自身价值值、信息分分类、保密密性、完整整性、法律律法规符合合性要求进进行了量化化赋值，根根据重要资资产判断依依据确定是是否为重要要资产，形形成了重重要资产清清单。同时，根据据信息安安全风险管管理程序，识识别了对这这些资产的的威胁、可可能被威胁胁利用的脆脆弱性、识

34、识别资产价价值、保密密性、完整整性和可用用性、合规规性损失可可能对资产产造成的影影响。4.2.11.5 分分析和评价价风险本公司按信信息安全风风险管理程程序，采采用信息安安全风险管管理软件，分分析和评价价风险：a) 针对对重要资产产自身价值值、保密性性、完整性性和可用性性、合规性性损失导致致的后果进进行赋值；b) 针对对每一项威威胁、薄弱弱点，对资资产造成的的影响，考考虑现有的的控制措施施，判定安安全失效发发生的可能能性，并进进行赋值；c) 根据据信息安安全风险管管理程序计计算风险等等级；d) 根据据信息安安全风险管管理程序及及风险接受受准则，判判断风险为为可接受或或需要处理理。4.2.11.

35、6 识识别和评价价风险处理理的选择网络管理部部组织有关关部门根据据风险评估估的结果，形形成风险险处理计划划，该计计划明确了了风险处理理责任部门门、负责人人、处理方方法及起始始、完成时时间。对于信息安安全风险，应应考虑控制制措施与费费用的平衡衡原则，选选用以下适适当的措施施：a) 控制制风险，采采用适当的的内部控制制措施；b) 接受受风险（不不可能将所所有风险降降低为零）；c) 避免免风险（如如物理隔离离）；d) 转移移风险（如如将风险转转移给保险险者、供方方、分包商商）。4.2.11.7选择择控制目标标与控制措措施网络管理部部根据信息息安全方针针、业务发发展要求及及风险评估估的结果，组组织有关

36、部部门制定了了信息安全全目标，并并将目标分分解到有关关部门（见见信息安安全适用性性声明）：a)信息安安全控制目目标获得了了信息安全全最高责任任者的批准准。b)控制目目标及控制制措施的选选择原则来来源于ISSO/IEEC 277001:20055信息技技术-安全全技术-信信息安全管管理体系-要求附附录A，具具体控制措措施参考IISO/IIEC 2270022:20005信息息技术-安安全技术-信息安全全管理实用用规则。c)本公司司根据信息息安全管理理的需要，可可以选择标标准之外的的其他控制制措施。4.2.11.8 对对风险处理理后的剩余余风险，得得到了公司司最高管理理者的批准准。4.2.11.9

37、 最最高管理者者通过本手手册对实施施和运行信信息安全管管理体系进进行了授权权。4.2.11.10 适用性声声明生技部负责责编制信信息安全适适用性声明明（SooA）。该该声明包括括以下方面面的内容：a)所选择择控制目标标与控制措措施的概要要描述，以以及选择的的原因；b)对ISSO/IEEC 277001:20055附录A中中未选用的的控制目标标及控制措措施理由的的说明。4.2.22实施和运运行ISMMS 4.2.22.1为确确保信息安安全管理体体系有效实实施，对已已识别的风风险进行有有效处理，本本公司开展展以下活动动：a)形成风风险处理计计划，以以确定适当当的管理措措施、职责责及安全控控制措施的

38、的优先级；b)为实现现已确定的的安全目标标、实施风风险处理计计划，明明确各岗位位的信息安安全职责；c)实施所所选择的控控制措施，以以实现控制制目标的要要求；d)确定如如何测量所所选择的控控制措施的的有效性，并并规定这些些测量措施施如何用于于评估控制制的有效性性以得出可可比较的、可可重复的结结果；e)进行信信息安全培培训，提高高全员信息息安全意识识和能力；f)对信息息安全体系系的运作进进行管理；g)对信息息安全所需需资源进行行管理；h)实施控控制程序，对对信息安全全事件（或或征兆）进进行迅速反反应。4.2.22.2 信信息安全组组织机构本公司成立立了的信息息安全领导导机构-信信息安全委委员会，其

39、其职责是实实现信息安安全管理体体系方针和和本公司承承诺。具体体职责是：研究决定定贯标工作作涉及到的的重大事项项；审定公公司信息安安全方针、目目标、工作作计划和重重要文件；为贯标工工作的有序序推进和信信息安全管管理体系的的有效运行行提供必要要的资源。本公司由相相关部门代代表组成信信息安全管管理网络，采采用联席会会议（协调调会）的方方式，进行行信息安全全协调和协协作，以：a) 确保保安全活动动的执行符符合信息安安全方针；b) 确定定怎样处理理不符合；c) 批准准信息安全全的方法和和过程，如如风险评估估、信息分分类；d) 识别别重大的威威胁变化，以以及信息和和相关的信信息处理设设施对威胁胁的暴露；e

40、) 评估估信息安全全控制措施施实施的充充分性和协协调性；f) 有效效的推动组组织内信息息安全教育育、培训和和意识；g) 评价价根据信息息安全事件件监控和评评审得出的的信息，并并根据识别别的信息安安全事件推推荐适当的的措施。 4.2.22.3信息息安全职责责和权限本公司总经经理为信息息安全最高高责任者。总总经理指定定了信息安安全管理者者代表。无无论信息安安全管理者者代表在其其他方面的的职责如何何，对信息息安全负有有以下职责责：a) 建立立并实施信信息安全管管理体系必必要的程序序并维持其其有效运行行；b) 对信信息安全管管理体系的的运行情况况和必要的的改善措施施向信息安安全领导小小组或最高高责任者

41、报报告。各部门负责责人为本部部门信息安安全管理责责任者，全全体员工都都应按保密密承诺的要要求自觉履履行信息安安全保密义义务；各部门、人人员有关信信息安全职职责分配见见本信息安安全管理手手册第3.4条款信息息安全管理理职责明细细表和相相应的程序序文件。4.2.22.4 各各部门应按按照信息息安全适用用性声明中中规定的安安全目标、控控制措施（包包括安全运运行的各种种控制程序序）的要求求实施信息息安全控制制措施。4.2.33监控和评审ISMSS 4.2.33.1本公公司通过实实施不定期期安全检查查、内部审审核、事故故（事件）报报告调查处处理、电子子监控、定定期技术检检查等控制制措施并报报告结果以以实

42、现：a)及时发发现处理结结果中的错错误、信息息安全体系系的事故（事事件）和隐隐患；b)及时了了解识别失失败的和成成功的安全全破坏和事事件、信息息处理系统统遭受的各各类攻击；c)使管理理者确认人人工或自动动执行的安安全活动达达到预期的的结果；d)使管理理者掌握信信息安全活活动和解决决安全破坏坏所采取的的措施是否否有效；e)积累信信息安全方方面的经验验;4.2.33.2根据据以上活动动的结果以以及来自相相关方的建建议和反馈馈，由总经经理主持，每每年至少一一次对信息息安全管理理体系的有有效性进行行评审，其其中包括信信息安全范范围、方针针、目标的的符合性及及控制措施施有效性的的评审，考考虑安全审审核、

43、事件件、有效性性测量的结结果，以及及所有相关关方的建议议和反馈。管管理评审的的具体要求求，见本手手册第7章章。4.2.33.3 网网络管理部部应组织有有关部门按按照信息息安全风险险管理程序序的要求求，采用信信息安全风风险管理软软件，对风风险处理后后的残余风风险进行定定期评审，以以验证残余余风险是否否达到可接接受的水平平，对以下下方面变更更情况应及及时进行风风险评估：a) 组织织； b) 技术术；c) 业务务目标和过过程；d) 已识识别的威胁胁；e) 实施施控制的有有效性； f) 外部部事件，例例如法律或或规章环境境的变化、合合同责任的的变化以及及社会环境境的变化。4.2.33.4按照照计划的时

44、时间间隔进进行信息安安全管理体体系内部审审核，内部部审核的具具体要求，见见本手册第第6章。4.2.33.5定期期对信息安安全管理体体系进行管管理评审，以以确保范围围的充分性性，并识别别信息安全全管理体系系过程的改改进，管理理评审的具具体要求，见见本手册第第7章。4.2.33.6考虑虑监视和评评审活动的的发现，更更新安全计计划。4.2.33.7记录录可能对信信息安全管管理体系有有效性或业业绩有影响响的活动和和事情。4.2.44保持与持持续改进IISMS我公司开展展以下活动动，以确保保信息安全全管理体系系的持续改改进：a) 实施施每年管理理评审、内内部审核、安安全检查等等活动以确确定需改进进的项目

45、；b) 按照照内部审审核管理程程序、纠纠正措施管管理程序、预预防措施管管理程序的的要求采取取适当的纠纠正和预防防措施；吸吸取其他组组织及本公公司安全事事故（事件件）的经验验教训，不不断改进安安全措施的的有效性；c) 通过过适当的手手段保持在在内部对信信息安全措措施的执行行情况与结结果进行有有效的沟通通。包括获获取外部信信息安全专专家的建议议、信息安安全政府行行政主管部部门的联系系及识别顾顾客对信息息安全的要要求等；d) 对信信息安全目目标及分解解进行适当当的管理，确确保改进达达到预期的的效果。相关文件：系统风险险评估方法法适用性声声明管理评审审程序内部审核核控制程序序纠正措施施控制程序序预防措施施控制程序序4.3文件件要求 4.3.11总则 ISMS文文件应包括括： a) 形成成文件的IISMS方方针和控制制目标； b) ISSMS范围围c) ISSMS的支