2022版ISO27001信息安全管理手册 (完整版)信息安全手册 .docx

《2022版ISO27001信息安全管理手册 (完整版)信息安全手册 .docx》由会员分享，可在线阅读，更多相关《2022版ISO27001信息安全管理手册 (完整版)信息安全手册 .docx（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、*有限公司信息安全管理体系文件管理手珊依据IS0/IEC27001：2022标准编制编号:ZX-ITSMS-2023受控状态：编审批制：核：准：发布日期：实施日期：受控编制小组*2023年01月01日 2023年01月01日1概述1.1颁布令 1.2范围 1.3授权书 1.4手册说明， 1.5公司简介，2规范性引用文件， 3术语和定义3.1 术语 3.2缩写4组织环境4.1了解公司现状及背景4.2理解相关方的需求和期望4.3确定信息安全管理体系的范围4.4信息安全管理体系 5领导作用5.1领导力和承诺5.2信息安全管理体系的方针 5.3角色，责任和承诺.6策划6.1应对风险和机遇的措施6.2信

2、息安全目标和实现目标的规划.6.3变更计划作者：李柏偷翻版盗真必追究责任 7支持7.1资源提供7.2信息安全能力管理 7.3意识5 5 6 6 7 9 9 9 9 9 10 10 10 10 10 11 11 11 11 13 13 14 15 16 16 16 167.4沟通7.5文档化信息 8运行8.1运行计划及控制 8.2信息安全风险评估 8.3信息安全风险处置9绩效评价9.1监视、测量、分析和评价9.2内部审核. 9.3 管理评审10 改进10.1持续改进10.2不符合及纠正措施附录1组织架构图. 附录2职能分配表附录3信息安全职责16 17 18 18 18 19 19 19 19

3、21.21 21 22.23 24 28序号修改内容手册的更改修改日期版本号修改人审核批准1.1颁布令1概述经公司全体员工的共同努力依据IS0/IEC27001:2022标准建立我公司信息安全管理体系已得到建立。指导管理体系运行的公司信息安全管理手册经评审后，现予以批准发布，信息安全管理手册的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司信息安全管理手册所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供服务，以确立公司在社会上的良好信誉。信息安全管理手册是公司规范内部管理的指导性文件，也是全体员工在产品产品及对客户的服务过程

4、中必须遵循的行动准则。信息安全管理手册一经发布，就是强制性文件，全体员工必须认真学习、切实执行。本手册2023年01月01日式实施。总经理：*2023年01月01日1.2范围本总纲所描述信息安全管理体系适用于公司所有部门，所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。1.3授权书为贯彻执行IS0/IEC27001：2022信息安全管理体系，加强对信息管理体系运行的领导，特授权：1、授权*为公司管理者代表，其主要职责和权限为：1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息

5、安全业务风险得到有效控制。2）向最高管理者报告信息安全管理体系业绩和任何改善需求，为最高管理者代表评审提供依据。3）确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。4）在信息安全管理体系事宜方面负责与外部的联络2、授权*为ISMS信息安全管理项目责任人，其主要职责和权限为：确保信息安全管理方的控制措施得到形成、实施、运行和控制。3、授权各部门主管为信息安全管理体系在本部门的责任人，对ISMS要求在本部门的实施负责。总经理：*2023年01月01日1.4手册说明 1.4.1总则信息安全管理手册的编制，是用以证明已建立并实施了一个完整的文件化的信息安全

6、管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。信息安全管理手册为审核信息安全管理体系提供了文件依据。信息安全管理手册证明公司已经按照IS0/IEC27001：2022版标准的要求建立并实际运行一套信息安全管理体系。信息安全管理手册的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1.4.2信息安全管理手册的批准综合部负责组织编制信息安全管理手册及其相关规章制度，总经理负责批准。1.4.3信息安全管理手册的发放、作废与销毁（1）综合部负责按文件管理程序的要求，进

7、行信息安全管理手册的登记、发放、回收、归档、作废与销毁工作。（2）各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保管。（3）综合部按照规定发放修改后的信息安全管理手册，并收回失效的文件做出标识统一处理，确保有效文件的唯一性。（4）综合部保留信息安全管理手册修改内容的记录。1.4.4信息安全管理手册的修改信息安全管理手册如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合部对手册实施修改后，应及时发布修改信息，通知相关人员。信息安全管理手册的修改分为两种：一是

8、少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的信息安全管理手册原件进行保存。在出现下列情况时，信息安全管理手册可以进行修改：信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进内部信息安全提出新的需求组织机构和职能发生变化经营环境和产品结构有调整发现本手册中存在差错或不明确之处引用的法规或体系标准有修改体系审核或管理评审提

9、出改进要求本手册的更改控制按文件管理程序执行1.4.5信息安全管理手册的换版信息安全管理手册进行换版，换版应在管理评审时形成决议，重新试试编制、审批工作。当依据的IS0/IEC27001：2022信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。信息安全管理手册发生需修改部分超过1/3时。信息安全管理手册执行已满三年时。1.4.6信息安全管理手册的控制（1）信息安全管理手册标识分受控文件和非受控文件：受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。非受控文件印制成

10、单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。（2）信息安全管理手册分为书面文件和电子文件两种。1.5公司简介2规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本信息安全管理手册，然而，信息安全管理小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。IS0/IEC27001：2022信息技术-安全技术-信息安全管理体系-要求 IS0/IEC27002：2022信息技术-安全技术-信息安全管理实用规则3术语

11、和定义 3.1术语IS0IEC27000的术语和定义适用于本信息安全管理手册。本组织、本公司、我公司：广东悦伍纪网络技术有限公司3.2缩写ISMS：InformationSecurityManagementSystems信息安全管理体系； SOA：StatementofApplicability适用性声明；PDCA：Plan Do Check Action 计划、实施、检查、改进。4组织环境4.1了解公司现状及背景本公司根据内外部环境因素，考虑公司的信息安全管理目的，这将作为公司实施信息安全管理体系的核心需求。 4.2理解相关方的需求和期望本公司根据相关方提出的信息安全需求和期望，考虑建立信息

12、安全管理体系，这些需求包括：法律法规、合同义务、地方规定等。相关方及期望主要以下：顾客-希望本公司提供的软件产品与服务能满足客户需求，符合法规与合同要求：供应商或服务商-对本公司提供产品或服务以支持本公司能够安全有效持续运营公司内部管理层与各部门-符合信息安全需求及监督运作是否合乎程序，确保机密资料作业流程受到保护，各部门保正公司持续运营，公司信息数据不受外泄或损毁。 4.3确定信息安全管理体系的范围本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界：业务范围：与软件开发及计算机信息系统集成相关的信息安全管理活动组织范围：全公司上下各部门与业务有直接相关的正式员工物理范围：资产

13、范围：与a)所述业务活动b)组织范围内及c)物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段信息安全管理手册采用了IS0/IEC27001:2022准正文的全部内容，对附录A的删减及理由详见信息安全适用性声明SOA； 4.4信息安全管理体系本公司的信息安全管理体系按照IS0/IEC27001:2022信息技术-安全技术-信息安全管理体系-要求规定，参照IS0/IEC27002：2022信息技术-安全技术-信息安全管理实用规则标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。5领导作用5.1领导力和承诺我公司管理者通过以下活动，对建立、实施

14、、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：a）建立信息安全方针（见信息安全方针）；b）确保信息安全目标和计划得以制定（见信息安全目标及相关记录）；c）提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系（见本手册第7.1章）；d）建立信息安全的角色和职责（见本手册附录3（规范性附录）职责权限和相应的管理程序e）向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；f）实施信息安全管理体系管理评审，确保信息安全管理体系达到其预期的效果（见本手册第9章）；g）指导和支持员工对信息安全管理体系作出有效的责献；h）确保内部信息安全管理体

15、系审核得以实施，促进持续改进（见本手册第9章）； i）支持其他相关管理角色来展示自已的领导力，因为它适用于他们的职责范围。5.2信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：满足客户要求，遵守法律法规，实施风险管理，确保信息安全，实现持续改进。5.3角色，责任和承诺 5.3.1信息安全组织机构本公司成立信息安全领导机构一一信息安全管理小组，职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全

16、方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由信息安全管理小组承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：a）确保安全活动的执行符合信息安全方针； b）确定怎样处理不符合：批准信息安全的方法和过程，如风险评估、信息分类； cd）识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e）评估信息安全控制措施实施的充分性和协调性； f）有效

17、的推动组织内信息安全教育、培训和意识；g）评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。5.3.2信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表，无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：a）建立并实施信息安全管理体系必要的程序并维持其有效运行；b）对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门、人员有关信息安全职责分配见附录3（规范性附录）职责权限和相应的程序文件（管

18、理标准）、规定及岗位说明书。 5.3.3承诺为实现信息安全管理体系方针，本公司承诺a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；b）识别并满足适用法律、法规和相关方信息安全要求；c）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享： e）对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f）制定并保持完善的业务连续性计划，实现可持续发展。 6策划6.1应对风险和机遇的措施6.1.1总则公司制定

19、应对风险和机遇措施控制程序，在规划信息安全管理体系时，应考虑4.1中提到的问题和4.2中提到的要求，并确定需要解决的风险和机会，以：A)确保信息安全管理体系能够实现其预期结果； B)防止或减少不良影响：c)实现持续改进。组织应规划D)应对这些风险和机遇的措施；和 E)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程2)评估这些行动的有效性。 6.1.2信息安全风险评估组织应定义并应用以下信息安全风险评估过程：A）建立并维护信息安全风险标准，包括： 1)风险接受准则；和2)执行信息安全风险评估的准则；B)确保重复的信息安全风险评估产生一致、有效和可比较的结果； C)识别信息安全风险：1)

20、应用信息安全风险评估流程，识别与信息安全管理体系范围内信息的保密性、完整性和可用性丧失相关的风险；而且2)识别风险所有者； D)分析信息安全风险：1)评估6.1.2c）1）中确定的风险成为现实将会产生的潜在后果；2)评估6.1.2c）1)中确定的风险发生的现实可能性；而且 3)确定风险级别;E)评估信息安全风险：1)将风险分析结果与6.1.2a)中建立的风险标准进行比较；而且 2)将分析的风险按优先顺序进行风险处理。公司定义并应用风险评估过程，组织应保留有关信息安全风险评估过程的文件化信息。 6.1.3风险处置信息安全管理领导小组应定义和实施信息安全风险处置过程：A)根据风险评估结果，选择适当

21、的信息安全风险处理方案；B)确定实施所选信息安全风险处理方案所需的所有控制措施；注1：组织可以根据需要设计控制措施，或从任何来源识别控制。c)将上述b)中确定的控制与附件A中的控制进行比较，并确认没有遗漏必要的控制措施；注2：附件A包含可能的信息安全控制的列表。本文件的使用者请参阅附件A，以确保没有必要的信息安全控制被忽略。注3：附件A所列的信息安全控制并非详尽无遗和附加信息如果需要，可以包括安全控制。 6.2信息安全目标和实现目标的规划公司在相关职能和级别建立信息安全目标。信息安全目标应：A)符合信息安全政策； B)可测量的(如果可行）；C)考虑适用的信息安全要求，以及风险评估和风险处理的结

22、果；d)被监控；e)沟通传达； F)适当更新；G)作为文件信息提供，公司保留关于信息安全目标的文件化信息。公司在规划如何实现其信息安全目标时，应确定：H)将要做什么； I）需要什么资源；J)谁将负责；K)何时完成；而且 L)如何评价结果。信息安全目标：根据公司的信息安全方针，经过最高管理者确认，公司的信息安全管理目标为：1.客户针对信息安全事件的投诉每年不超过1次 2.重要信息设备丢失每年不超过1起3.机密和绝密信息泄漏事件每年不超过1次 4.大规模病毒爆发每年不超过1次信息安全管理小组根据适用性声明、信息资产风险评估表中风险处理计划所选择的控制措施，明确控制措施改进时间表。对于各部门信息安全

23、目标的完成情况，按照信息安全目标及有效性测量程序的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。 6.3变更计划6.3.1变更时机的确定本公司应特别关注外部情况的动态变化，包括技术、市场、竞争或法律法规环境发生重大变化的征兆或早期迹象。当外部环境（包括：国家/行业/地方/法律法规、技术、竞争、文化、社会、经济和自然环境方面等）和内部环境发生重大变化时，本公司应对变更进行策划，对变更前、变更中、变更后全过程加以控制。6.3.2变更的实施当本公司确定需要对信息安全管理体系进行变更时，变更应按所策划的

24、方式实施，组织应考虑：a）变更目的及其潜在后果（变更可能带来好的结果，也可能带来风险和挑战，进行变更策划时应充分考虑）；b）信息安全管理体系的完整性（如工艺发生变更后，工艺文件要发生变更，对工人也需培训新的工艺文件，这些均需充分考虑，以保持体系完整）；c）资源的可获得性（体系变更后，关键是资源能否满足动态的要求）； d）职责和权限的分配或再分配。7支持7.1资源提供公司领导层应确保提供以下方面所需的资源1）实施、保持管理体系并持续改进其有效性所需的各种资源； 2）满足客户要求，提高客户满意度所需的各种资源。编制了人力资源控制程序，公司根据人员的学历、技能和经验，组织面向全员的信息安全意识培训及

25、面向特定人员的专业IT技能培训，确保其能胜任工作。7.2信息安全能力管理结合当前信息安全管理认证范围，依据人力资源控制程序对员工信息安全能力管理主要从以下几方面出发来实现：1）影响信息安全执行工作的人员岗位，在岗位设立时应明确信息安全能力的要求，并在招聘时严格把关（例如学历教育、能力测试等）；2）确保人员在适当教育、培训和经验的基础上能够胜任工作；在人员调岗时，应考虑相关人员信息安全能力的确定和培养。 3）保留培训记录作为能力培养的证据。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献 7.3意识对公司全体人员通过培训、学习、宣传

26、等方式提高人员信息安全意识，需了解到： a）信息安全方针；b）他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益；c）不符合信息安全管理体系要求所带来的影响，。7.4沟通公司需通过适当的手段保持在内部和外部在信息安全要求进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等，沟通方式在信息安全沟通管理程序进行规定。7.5文档化信息 7.5.1总则本公司信息安全管理体系文件包括：a）文件化的信息安全方针，在信息安全管理手册中描述，选择的控制目标在适用性声明SOA中描述： b）信息安全管理手册（本手册，包括信息安全适用范围及引用的标准

27、）； IS0/IEC27001:2022准中规定需文件化的程序；c) d)本手册涉及的相关支持性程序性文件，例如风险评估与管理程序；为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；e) f）风险处理计划以及信息安全管理体系要求的记录类：相关的法律、法规和信息安全标准；g) h）适用性声明SOA。7.5.2创建和更新信息安全管理小组按文件控制程序的要求，对信息安全管理体系所要求的文件进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施控制，以确保在使用场

28、所能够及时获得适用文件的有效版本。文件的创建和更新应确保：a）识别或描述文件时需包含标题、日期、作者、编号等b）文件格式可以是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，可以是书面的或电子媒体的。c）文件发布前得到批准，以确保文件是充分的； d）必要时对文件进行评审、更新并再次批准：7.5.3文档化信息的控制文件控制应保证：a）确保文件的更改和现行修订状态得到识别： b确保在使用时，可获得相关文件的最新版本：c）确保文件可以为需要者所获得，并根据适用于他们类别的程序进行标识、保护、检索、转移、存储和最终的销毁；确保外来文件得到识别： d)e）确保文件的分发得到控制： f）防止

29、作废文件的非预期使用：g）若因任何目的需保留作废文件时，应对其进行适当的标识。 7.5.3.1外来文件管理外来文件包括信息安全法律、行政法规、部门规章、地方法规，按以下规定执行： a）信息安全适用的法律法规按照信息安全法律法规管理程序规定执行b）外来的文件按照文件控制程序和其他相关规定执行； c）外来标准按本公司标准化管理的相关规定进行。8运行8.1运行计划及控制为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a）形成信息安全风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b）为实现已确定的安全目标、实施信息安全风险处理计划，明确各岗位的信息安全

30、职责；c）实施所选择的控制措施，以实现控制目标的要求；d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果：对运行过程中发生的非计划的变更进行规划，以减轻不良的影响。 e8.2信息安全风险评估信息安全管理小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的风险及是否需要增加新的控制措施。信息安全管理小组组织有关部门按照信风险评估与管理程序的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a）组织； b）技术；业务目标和过程； c)已识别的威

31、胁； d)实施控制的有效性； e)外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 f8.3信息安全风险处置公司需保留信息安全风险处理计划的执行结果的文档化的记录。 9绩效评价9.1监视、测量、分析和评价本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a）及时发现处理结果中的错误、信息安全管理体系的事故和隐患；b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击； c）使管理者确认人工或自动执行的安全活动达到预期的结果： d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效； e）积

32、累信息安全方面的经验。9.2内部审核 9.2.1总则要求本公司信息安全管理小组按内部审核管理程序的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。活动本公司每年进行壹次信息安全管理体系内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a）符合本标准的要求和相关法律法规的要求；b）符合已识别的信息安全要求； c）得到有效地实施和维护；d）按预期执行。 9.2.2内审策划信息安全管理小组策划审核的过程、区域的状况、重要性以及以往审核的结果，对审核工作进行策划。应编制年度内审计划，确定审核的准则、范围、频次和方法。每次审核前，信息安全管理小组应编制内部审核计划，确

33、定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。内部审核计划，经管理者代表批准，提前3天通知被审核部门，被审核部门到时应选派有关人员配合审核， 9.2.3内审员内部审核员必须是熟悉本公司信息安全管理情况，参加内部审核员培训并考核合格的人员。内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，以保持工作的独立性。各部门选择符合内部审核员条件的候选人，参加内部审核员培训并考试合格，填写内部审核员评定表，经管理者代表批准，方取得内部审核员资格。9.2.4内审实施活动应按审核计划的要求实施审核，包括：a）进行首次会议，明确审

34、核的目的和范围，采用的方法和程序；实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，填写审核发 b)现；c）对检查内容进行分析，对审核发现的问题在不符合项报告及纠正报告单中开出不符合项：d）审核组长编制内部审核报告。不符合处理对审核中提出的不符合项，责任部门应制定纠正措施，由信息安全管理小组对纠正措施的实施情况进行跟踪、验证，将结果记入不符合项报告及纠正报告单。记录内部审核记录由信息安全管理小组保存，并作为管理评审的输入之一。9.3管理评审总经理应每年进行一次管理评审，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按管理评审程序进行。管理评审应包括评价信息安全管理体系改

35、进的机会和变更的需要，包括信息安全方针和信息安全目标。管理评审的结果应清晰地形成文件，记录应加以保持。管理评审应考虑：a）以往管理评审的跟踪措施任何可能影响信息安全管理体系的变更； b)c）不符合项和纠正措施的状况；d）有效性测量的结果； e)信息安全管理体系审核和评审的结果； f）信息安全目标的实现情况：相关方的反馈： g）h）风险评估的结果和风险处置的状态； i）改进的机会和建议。10改进10.1持续改进本公司依据持续改进控制程序的要求，通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的适宜性，充分性和有效性。我公司开展以下

36、活动，以确保信息安全管理体系的持续改进：a）实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目：b）按照本手册的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；c）通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；d）对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。10.2不符合及纠正措施本公司信息安全管理小组管理纠正措施，不符合事项的责任部门负责采取纠正措施以消除与信息安全管理体系要求不符合的原因，以防止再发生。纠

37、正措施的实施按持续改进控制程序进行。纠正措施的制定和实施程序如下：识别信息安全事件及不符合；a)b)确定信息安全事件及不符合的原因；确定是否存在类似的不符合和发生的可能； c评价确保不符合不再发生的措施要求； d)e)确定和实施所需的纠正措施；f记录所采取措施的结果： g）评审所采取的纠正措施，我公司信息安全管理小组定期组织进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别纠正措施要求。纠正措施的优先级应基于风险评估结果来确定附录 1 组织架构图综合部总经理程部管理者代表市场部附录2职能分配表部门要素4.1了解组织及其环境4.2理解相关方的需求和期望部门4.3确定信息安全管理体系的

38、范围4.4信息安全管理体系 5.1领导作用和承诺 5.2方针5.3组织角色和权限6.1应对风险和机遇的措施6.2信息安全目标及其实现的策划7.1资源 7.2能力 7.3意识 7.4沟通7.5文件化信息8.1运行计划与控制 8.2信息安全风险评估 8.3信息安全风险处置9.1监视、测量、分析和评价9.2内部审核 9.3管理评审 10.1持续改进10.2不符合及纠正措施 A5.1信息安全策略A5.2信息安全的角色和责任总经理信息安全管理小组工程部综合部市场部A5.3职责分离 A5.4管理层责任A5.5与职能机构的联系 A5.6与特定相关方的联系 A5.7威胁情报A5.8项目管理中的信息安全 A5.

39、9信息和其他相关资产的清单A5.10信息和其他相关资产的可接受的使用A5.11资产返还 A5.12信息分类 A5.13信息标签 A5.14信息传递 A5.15访问控制 A5.16身份管理 A5.17鉴别信息 A5.18访问权限A5.19供应商关系中的信息安全A5.20解决供应商协议中的信息安全问题A5.21管理ICT供应链中的信息安全 A5.22供应商服务的监控、审查和变更管理A5.23使用云服务的信息安全A5.24规划和准备管理信息安全事故 A5.25信息安全事件的评估和决策 A5.26应对信息安全事故A5.27从信息安全事故中吸取教训 A5.28收集证据A5.29中断期间的信息安全AA A

40、AA AA5.30关于业务连续性的ICT准备 A5.31法律、法规、监管和合同A5.32知识产权 A5.33记录保护A5.34PII隐私和保护 A5.35信息安全独立审查A5.36信息安全策略、规则和标准的遵从性A5.37文件化的操作程序A6人员控制 A6.1筛选A6.2雇佣条款和条件A6.3信息安全意识、教育和培训 A6.4纪律程序A6.5雇佣关系终止或变更后的责任A6.6保密或不披露协议 A6.7远程工作A6.8报告信息安全事件 A7物理控制A7.1物理安全边界 A7.2物理入口A7.3保护办公室、房间和设施 A7.4物理安全监控A7.5抵御物理和环境威肋 A7.6在安全区域工作A7.7桌

41、面清理和屏幕清理A7.8设备安置和保护 A7.9场外资产的安全A7.10存储介质 A7.11支持性设施A4 4A7.12布线安全 A7.13设备维护A7.14设备的安全作废或再利用 A8技术控制A8.1用户终端设备 A8.2特殊访问权 A8.3信息访问约束 A8.4获取源代码 A8.5安全身份认证 A8.6容量管理A8.7防范恶意软件 A8.8技术漏洞的管理A8.9配置管理 A8.10信息删除 A8.11数据遮盖A8.12防止数据泄漏 A8.13信息备份A8.14信息处理设备的穴余 A8.15日志A8.16活动监测 A8.17时钟同步A8.18特权实用程序的使用 A8.19在操作系统上安装软件

42、 A8.20网络安全A8.21网络服务的安全性A8.22网络隔离 A8.23网站过滤A8.24密码学的使用A8.25安全开发生命周期 A8.26应用程序安全要求A8.27安全系统架构和工程原理 A8.28安全编码A8.29开发和验收中的安全性测试 A8.30外包开发A8.31开发、测试和生产环境的分离A8.32变更管理 A8.33测试信息A8.34审计测试期间信息系统的保护附录3信息安全职责信息安全管理小组：不适用1）负责公司的整体信息安全管理工作，负责公司信息资产的安全；2）工程部是信息安全主管机构、与各部门的沟通和交流，负责有关信息安全工作的落实和推行，并负责报告本公司有关信息安全状况和重

43、要事件；3）负责协调公司内部信息安全工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在公司范围内的实施；4）负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；5）负责对信息安全管理体系进行内部评审和管理评审，审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项；6）负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；7）评审与监督重大信息安全事故的处理； 8）对内部评审整改意见承担最终责任。总经理：1）负责信息安全方针制度、修订及宣告。建立信息安全系统组织

44、，整合各部门信息安全系统业务。 2各项信息安全系统督导。 3）4）主持管理评审会议。 5）督导信息安全管理体系运作及目标制定。信息安全管理活动推行及考核以确保信息安全方针及控制目标有效达成。 6）制定经营目标，提示工作重点。 78）人力资源分配，干部选任、调派、晋升及效率审查。有关管理制度及规章的研制、审查及推行。 9）10）将公司信息安全控制目标转换成具体可行的实施计划，11）协助各部门改善并提升经营质量。管理者代表：1）负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；2）负责公司信息安全管理手册的审核，程序文件的批准，组织并领导公司内部审核工作； 3）负责向总经理报

45、告信息安全体系运行的业绩和任何改进的需求；4）负责就信息安全管理体系有关事宜的对外联络。各部门的信息安全主管领导：1）部门的信息安全主管领导由本部门经理担任；2）负责协助信息安全工作小组建立本部门信息安全管理制度和流程：3）部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安全； 4）负责采取有效办法，落实和推动信息安全政策的实施：5）负责指导和要求本部门员工遵守信息安全政策； 6）对违反安全政策的行为进行内部处罚；7）落实针对本部门的纠正措施（包括内部审核整改意见）和预防措施。部门信息安全工作小组成员：1）负责本部门日常的具

46、体信息安全工作，并参加信息安全管理工作小组所要求的各项活动；2）负责按照ISMS体系的要求，对本部门所拥有和管理的信息资产进行维护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作；3）负责根据ISMS安全政策要求，在本部门提高员工安全意识，落实责任，保护信息资产的安全，并确保已建立的安全控制措施持续有效；4）负责向信息安全管理工作小组组长报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；5）协助信息安全管理工作小组组长和本部门信息安全主管领导落实针对本部门的纠正措施（包括内部审核整改意见）和预防措施。内部员工：1）严格遵守所有与信息安全相关的国家法律、法规和政策，遵守公司所有的信息安全政