1、 14/14(2021年本)信息安全管理手冊 信息安全管理手冊 版本號：V1.0 目錄 01 頒布令 (1) 02 管理者代表授權(quán)書 (2) 03 企業(yè)概況 (3) 04 信息安全管理方針目標 (3) 05 手冊的管理 (6) 信息安全管理手冊 (7) 1 范圍 (7) 1.1 總則 (7) 1.2 應(yīng)用 (7) 2 規(guī)范性引用文件 (8) 3 術(shù)語和定義 (8) 3.1 本公司 (8) 3.2 信息系統(tǒng) (8) 3.3 計算機病毒 (8) 3.4 信息安全事件 (8) 3.5 相關(guān)方 (8) 4 信息安全管理體系 (9) 4.1 概述 (9) 4.2 建立和管理信息安全管理體系 (9) 4.

2、3 文件要求 (15) 5 管理職責 (18) 5.1 管理承諾 (18) 5.2 資源管理 (18) 6 內(nèi)部信息安全管理體系審核 (19) 6.1 總則 (19) 6.2 內(nèi)審策劃 (19) 6.3 內(nèi)審實施 (19) 7 管理評審 (21) 7.1 總則 (21) 7.2 評審輸入 (21) 7.3 評審輸出 (21) 7.4 評審程序 (22) 8 信息安全管理體系改進 (23) 8.1 持續(xù)改進 (23) 8.2 糾正措施 (23) 8.3 預(yù)防措施 (23) 01 頒布令 為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動的正常進行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、

3、敏感信息的泄密）導致的公司和客戶的損失，我公司開展貫徹GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求國際標準工作，建立、實施和持續(xù)改進文件化的信息安全管理體系，制定了信息安全管理手冊。 信息安全管理手冊是企業(yè)的法規(guī)性文件，是指導企業(yè)建立并實施信息安全管理體系的綱領(lǐng)和行動準則，用于貫徹企業(yè)的信息安全管理方針、目標，實現(xiàn)信息安全管理體系有效運行、持續(xù)改進，體現(xiàn)企業(yè)對社會的承諾。 信息安全管理手冊符合有關(guān)信息安全法律、GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標準和企業(yè)實際情況，現(xiàn)正式批

4、準發(fā)布，自2015年 12月 23 日起實施。企業(yè)全體員工必須遵照執(zhí)行。 全體員工必須嚴格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫徹實施本手冊的各項要求，努力實現(xiàn)公司信息安全管理方針和目標。 總經(jīng)理： 2020年月日 02 管理者代表授權(quán)書 為貫徹執(zhí)行信息安全管理體系，滿足GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標準的要求，加強領(lǐng)導，特任命為我公司信息安全管理者代表。 授權(quán)信息安全管理者代表有如下職責和權(quán)限： 1確保按照標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管理體系； 2負責與信息安全管理體

5、系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作； 3確保在整個組織內(nèi)提高信息安全風險的意識； 4審核風險評估報告、風險處理計劃； 5批準發(fā)布程序文件； 6主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告； 7向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。 本授權(quán)書自任命日起生效執(zhí)行。 總經(jīng)理： 2020年月日 03 公司概況 04 信息安全管理方針目標 為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標。 信息安全管理方針如下： 強化意識規(guī)范行為 數(shù)據(jù)保密信息完

6、整 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機制 公司采用系統(tǒng)的方法，按照GB/T22080-2008idtISO27001:2005建立信息安全管理體系，全面保護本公司的信息安全。 二、信息安全管理組織 1公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。 2公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。 3在公司內(nèi)部建立信息安全組織機構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保證信息安全管理體系的有效運行。 4與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安

7、全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。 三、人員安全 1信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責和權(quán)限。 2對本公司的相關(guān)方針，要明確安全要求和安全職責。 3定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識。以提高安全意識。 4全體員工及相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。 四、識別法律、法規(guī)、合同中的安全 及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。 五、風險評估 1根

8、據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。 2采用先進的風險評估技術(shù)，定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。 3應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。 六、報告安全事件 1公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。 2全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進行報告。 3接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果。 七、監(jiān)督檢查 定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審

9、核等。 八、業(yè)務(wù)持續(xù)性 1公司根據(jù)風險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復。 2定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。 九、違反信息安全要求的懲罰 對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。 信息安全目標如下： 1）確保每年重大信息安全事件（事故）發(fā)生次數(shù)為零。 2）確保單個重要業(yè)務(wù)系統(tǒng)每月中斷次數(shù)不超過1次，每次中斷時間不超過2小時。 3）確保信息安全事件發(fā)現(xiàn)率99%、上報和處理率100%。 05 手冊的管理 1 信息安全管理手冊的批準 信息安全管理委員會負責組織編制信息安全管理手

10、冊，總經(jīng)理負責批準。 2 信息安全管理手冊的發(fā)放、更改、作廢與銷毀 a）行政中心負責按文件和資料管理程序的要求，進行信息安全管理手冊的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作； b）各相關(guān)部門按照受控文件的管理要求對收到的信息安全管理手冊進行使用和保管； c）行政中心按照規(guī)定發(fā)放修改后的信息安全管理手冊，并收回失效的文件做出標識統(tǒng)一處理，確保有效文件的唯一性； d）行政中心保留信息安全管理手冊修改內(nèi)容的記錄。 3 信息安全管理手冊的換版 當依據(jù)的GB/T22080-2008idtISO27001:2005標準有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風險等發(fā)生重大改變及信息安全

11、管理手冊發(fā)生需修改部分超過1/3時，應(yīng)對信息安全管理手冊進行換版。換版應(yīng)在管理評審時形成決議，重新實施編制、審批工作。 4 信息安全管理手冊的控制 a）本信息安全管理手冊標識分受控文件和非受控文件兩種： 受控文件發(fā)放范圍為公司領(lǐng)導、各相關(guān)部門的負責人、內(nèi)審員； 非受控文件指印制成單行本，作為投標書的資料或為生產(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。 b）信息安全管理手冊有書面文件和電子文件。 信息安全管理手冊 范圍 總則 為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡稱ISMS），確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理解并遵照執(zhí)行信息

12、安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。 應(yīng)用 覆蓋范圍： 本信息安全管理手冊規(guī)定了DXC的信息安全管理體系要求、管理職責、內(nèi)部審核、管理評審和信息安全管理體系改進等方面內(nèi)容。 本信息安全管理手冊適用于DXC業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動，具體見4.2.2.1條款規(guī)定。 刪減說明 本信息安全管理手冊采用了GB/T22080-2008idtISO27001:2005標準正文的全部內(nèi)容，對附錄A的刪減見適用性聲明。 規(guī)范性引用文件 下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修

13、訂版均不適用于本標準，然而，行政中心應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊。 GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則 術(shù)語和定義 GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則規(guī)定的術(shù)語和定義適用于本信息安全管理手冊。 本

14、公司 指DXC，包括DXC所屬各部門。 信息系統(tǒng) 指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。 計算機病毒 指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 信息安全事件 指導致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密事件。 相關(guān)方 關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個人。主要為：政府、供方、銀行、用戶、電信等

15、。 信息安全管理體系 概述 4.1.1 本公司在軟件開發(fā)、經(jīng)營、服務(wù)和日常管理活動中，按GB/T22080-2008 idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則標準，建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。 4.1.2 信息安全管理體系使用的過程基于圖1所示的PDCA模型。 圖1 信息安全管理體系模型 建立和管理信息安全管理體系 建立信息安全管理體系 4.2.1.1 信息安全管理體系的范圍和邊界 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地

16、理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括： a) 本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)； b) 與所述信息系統(tǒng)有關(guān)的活動； c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工； d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。 組織范圍： 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本手冊附錄A（規(guī)范性附錄）信息安全管理體系組織機構(gòu)圖。 物理范圍： 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 本公司信息安全管理體系的物理范圍為本公司位于市惠山經(jīng)濟開發(fā)區(qū)前洲配套區(qū)興洲路2號

17、，科創(chuàng)中心二樓，安全邊界詳見附錄B（規(guī)范性附錄）辦公場所平面圖。 4.2.1.2 信息安全管理體系的方針 為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針，見本信息安全管理手冊第0.4條款。 該信息安全方針符合以下要求： a) 為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則； b) 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)； c) 與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系； d) 建立了風險評價的準則； e) 經(jīng)最高管理者批準。

18、為實現(xiàn)信息安全管理體系方針，本公司承諾： a) 在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標和控制措施；明確信息安全的管理職責 b) 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性； d）采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享； e) 對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力； f) 制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。 4.2.1.3 風險評估的方法 行政中心負責制定信息安全風險評估管理程序，建立識別適用于信息安

19、全管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別 風險的可接受等級。信息安全風險評估執(zhí)行信息安全風險評估管理程序，以保證所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。 4.2.1.4 識別風險 在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風險評估管理程序，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、人員、服務(wù)、文檔。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、可用性、法律法規(guī)符合性要求進行了量化賦值，形成了資產(chǎn)識別清單。 同時，根據(jù)信息安全風險評估管理程序，識別了對這些資產(chǎn)的威脅、可能被威脅

20、利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。 4.2.1.5 分析和評價風險 本公司按信息安全風險評估管理程序，采用人工分析法，分析和評價風險： a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后果進行賦值； b) 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值； c) 根據(jù)信息安全風險評估管理程序計算風險等級； d) 根據(jù)信息安全風險評估管理程序及風險接受準則，判斷風險為可接受或需要處理。 4.2.1.6 識別和評價風險處理的選擇 行政中心組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成信息安

21、全不可接受風險處理計劃，該計劃明確了風險處理責任部門、負責人、目的、范圍以及處置策略。 對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧?a) 消減風險（通過適當?shù)目刂拼胧┙档惋L險發(fā)生的可能性）； b) 接受風險（風險值不高或者處理的代價高于風險引起的損失，公司決定接受該風險/殘余風險）； c) 規(guī)避風險（決定不進行引起風險的活動，從而避免風險）； d) 轉(zhuǎn)移風險（通過購買保險、外包等方法把風險轉(zhuǎn)移到外部機構(gòu)）。 4.2.1.7選擇控制目標與控制措施 行政中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果，組織有關(guān)部門制定了信息安全目標，并將目標分解到有關(guān)部門（見適用性聲

22、明）： a)信息安全控制目標獲得了信息安全最高責任者的批準。 b)控制目標及控制措施的選擇原則來源于GB/T22080-2008idtISO27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求附錄A，具體控制措施參考GB/T22081-2008idtISO27002:2005信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則。 c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。 4.2.1.8 對風險處理后的殘余風險，得到了公司最高管理者的批準。 4.2.1.9 最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權(quán)。 4.2.1.10 適用性聲明 行政中心負責編制適用性聲

23、明（SoA）。該聲明包括以下方面的內(nèi)容： a)所選擇控制目標與控制措施的概要描述，以及選擇的原因； b)對GB/T22080-2008idtISO27001:2005附錄A中未選用的控制目標及控制措施理由的說明（本公司未涉及此項業(yè)務(wù)）。 實施及運作信息安全管理體系 4.2.2.1為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動： a)形成信息安全不可接受風險處理計劃，以確定適當?shù)墓芾泶胧?、職責及安全控制措施的?yōu)先級； b)為實現(xiàn)已確定的安全目標、實施信息安全不可接受風險處理計劃，明確各崗位的信息安全職責； c)實施所選擇的控制措施，以實現(xiàn)控制目標的要求； d)確定

24、如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結(jié)果； e)進行信息安全培訓，提高全員信息安全意識和能力； f)對信息安全體系的運作進行管理； g)對信息安全所需資源進行管理； h)實施控制程序，對信息安全事件（或征兆）進行迅速反應(yīng)。 4.2.2.2 信息安全組織機構(gòu) 本公司成立了信息安全領(lǐng)導機構(gòu)-信息安全委員會，其職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是：研究決定貫標工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推進和信息安全管理體系的有效運行提供必要的資源。 本公司體系推進由行政中心負

25、責，其主要負責制訂、落實貫標工作計劃，對單位、部門貫標工作進行檢查、指導和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。 本公司由相關(guān)部門代表組成信息安全委員會，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以： a) 確保安全活動的執(zhí)行符合信息安全方針； b) 確定怎樣處理不符合； c) 批準信息安全的方法和過程，如風險評估、信息分類； d) 識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露； e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性； f) 有效的推動組織內(nèi)信息安全教育、培訓和意識； g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安

26、全事件推薦適當?shù)拇胧?4.2.2.3信息安全職責和權(quán)限 本公司總經(jīng)理為信息安全最高責任者?？偨?jīng)理指定了信息安全管理者代表。無論信息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責： a) 建立并實施信息安全管理體系必要的程序并維持其有效運行； b) 對信息安全管理體系的運行情況和必要的改善措施向信息安全委員會或最高責任者報告。 各部門負責人為本部門信息安全管理責任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)； 各部門、人員有關(guān)信息安全職責分配見附錄C（規(guī)范性附錄）信息安全管理職責明細表和相應(yīng)的程序文件。 4.2.2.4 各部門應(yīng)按照適用性聲明中規(guī)定的安全目標、控制措施（

27、包括安全運行的各種控制程序）的要求實施信息安全控制措施。 監(jiān)督與評審信息安全管理體系 4.2.3.1本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)： a)及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患； b)及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊； c)使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果； d)使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效； e)積累信息安全方面的經(jīng)驗。 4.2.3.2根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次

28、對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標的符合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第7章。 4.2.3.3 行政中心應(yīng)組織有關(guān)部門按照信息安全風險評估管理程序的要求，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應(yīng)及時進行風險評估： a) 組織； b) 技術(shù)； c) 業(yè)務(wù)目標和過程； d) 已識別的威脅； e) 實施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。 4.2.3.4按照計劃的時間間隔

29、進行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。 4.2.3.5定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安全管理體系過程的改進，管理評審的具體要求，見本手冊第7章。 4.2.3.6考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。 4.2.3.7記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。 保持與持續(xù)改進信息安全管理體系 我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進： a) 實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目； b) 按照內(nèi)部審核管理程序、糾正措施管理程序、預(yù)防措施管理程序的要求采取適當?shù)募m正和預(yù)防措施；吸取其他

30、組織及本公司安全事故（事件）的經(jīng)驗教訓，不斷改進安全措施的有效性； c) 通過適當?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求等； d) 對信息安全目標及分解進行適當?shù)墓芾?，確保改進達到預(yù)期的效果。 文件要求 總則 本公司信息安全管理體系文件包括： a) 文件化的信息安全方針、控制目標，在信息安全管理手冊中描述； b) 信息安全管理手冊（本手冊，包括信息安全適用范圍及引用的標準）； c) 本手冊要求的信息安全風險評估管理程序、業(yè)務(wù)持續(xù)性管理程序、糾正措施管理程序等支持性程序； d) 信息安

31、全管理體系引用的支持性程序。如：文件和資料管理程序、記錄管理程序、內(nèi)部審核管理程序等； e) 為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序； f)信息安全風險評估報告、信息安全不可接受風險處理計劃以及信息安全管理體系要求的記錄類文件； g) 相關(guān)的法律、法規(guī)和信息安全標準； h) 適用性聲明（SOA）。 文件控制 行政中心制定并實施文件和資料管理程序，對信息安全管理體系所要求的文件進行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在

32、使用場所能夠及時獲得適用文件的有效版本。 文件控制應(yīng)保證： a) 文件發(fā)布前得到批準，以確保文件是充分的； b) 必要時對文件進行評審、更新并再次批準； c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別； d) 確保在使用時，可獲得相關(guān)文件的最新版本； e) 確保文件保持清晰、易于識別； f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲和最終的銷毀； g) 確保外來文件得到識別； h) 確保文件的分發(fā)得到控制； i) 防止作廢文件的非預(yù)期使用； j) 若因任何目的需保留作廢文件時，應(yīng)對其進行適當?shù)臉俗R。 記錄控制 4.3.3.1信息安全管理體系所要求的記錄是體系符合標準要求

33、和有效運行的證據(jù)。行政中心負責制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的記錄管理程序，規(guī)定記錄的標識、儲存、保護、檢索、保管、廢棄等事項。 4.3.3.2 信息安全體系的記錄應(yīng)包括本手冊第4.2條中所列出的所有過程的結(jié)果及與ISMS 相關(guān)的安全事故（事件）的記錄。 4.3.3.3各部門應(yīng)根據(jù)記錄管理程序的要求采取適當?shù)姆绞酵咨票９苄畔踩涗洝?ISMS職能分配表 管理職責 管理承諾 我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)： a) 建立信息安全方針(見本手冊第0.4章)； b) 確保信息安全目標得以制定（見本手冊第0.4

34、章、適用性聲明、信息安全不可接受風險處理計劃及相關(guān)記錄）； c) 建立信息安全的角色和職責（見本手冊附錄E）； d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性； e) 提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系(見本手冊第5.2章)； f) 決定接受風險的準則和風險的可接受等級(見信息安全風險評估管理程序及相關(guān)記錄)； g) 確保內(nèi)部信息安全管理體系審核（見本手冊第6章）得以實施； h) 實施信息安全管理體系管理評審（見本手冊第7章）。 資源管理 資源的提供 本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使

35、影響信息安全管理體系工作的員工的能力是勝任的，以保證： a) 建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系； b) 確保信息安全程序支持業(yè)務(wù)要求； c) 識別并指出法律法規(guī)要求和合同安全責任； d) 通過正確應(yīng)用所實施的所有控制來保持充分的安全； e) 必要時進行評審，并對評審的結(jié)果采取適當措施； f) 需要時，改進信息安全管理體系的有效性。 培訓、意識和能力 行政中心制定并實施人力資源管理程序文件，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務(wù)。可以通過： a)確定承擔信息安全管理體系各工作崗位的職工所必要的能力； b)提供職業(yè)技術(shù)教育和技能培訓或采取

36、其他的措施來滿足這些需求； c)評價所采取措施的有效性； d)保留教育、培訓、技能、經(jīng)驗和資歷的記錄。 本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以及如何為實現(xiàn)信息安全管理體系目標做出貢獻。 內(nèi)部信息安全管理體系審核 總則 行政中心負責建立并實施內(nèi)部審核管理程序，內(nèi)部審核管理程序應(yīng)包括策劃和實施審核以及報告結(jié)果和保持記錄的職責和要求。并按照策劃的時間間隔進行內(nèi)部審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否： a) 符合本標準的要求和相關(guān)法律法規(guī)的要求； b) 符合已識別的信息安全要求； c) 得到有效地實施和維護； d) 按預(yù)期執(zhí)行。 內(nèi)審策劃

37、 6.2.1行政中心應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對審核方案進行策劃。應(yīng)編制內(nèi)審年度計劃，確定審核的準則、范圍、頻次和方法。 6.2.2每次審核前，行政中心應(yīng)編制內(nèi)審計劃，確定審核的準則、范圍、日程和審核組。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。 內(nèi)審實施 6.3.1 應(yīng)按審核計劃的要求實施審核，包括： a）進行首次會議，明確審核的目的和范圍，采用的方法和程序； b）實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進行交流； c）進行對檢查內(nèi)容進行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見和不符合報告； d）審核

38、組長編制審核報告。 6.3.2 對審核中提出的不符合項報告，責任部門應(yīng)編制糾正措施，由行政中心組織對受審部門的糾正措施的實施情況進行跟蹤、驗證。 6.3.3 按照記錄管理程序的要求，保存審核記錄。 6.3.4 內(nèi)部審核報告，應(yīng)作為管理評審的輸入之一。 管理評審 總則 7.1.1行政中心負責每年下半年組織信息安全管理體系管理評審，以確保其持續(xù)的適宜性、充分性和有效性。 7.1.2管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。 7.1.3管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。 評審輸入 管理評審的輸入要包括以下信息： a) 信息安全管理體系審核和評審的結(jié)果； b) 相關(guān)方的反饋； c) 用于改進信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序； d) 預(yù)防和糾正措施的狀況； e) 以往風險評估沒有充分強調(diào)的脆弱性或威脅； f) 有效性測量的結(jié)果； g) 以往管理評審的跟蹤措施； h) 任何可能影響信息安全管理體系的變更； i) 改進的建議。 評審輸出 管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施： a) 信息安全管理體系有效