文件編號：Y-IS/PTMS-001

受控狀態(tài)：受控

文檔秘級：秘密

信息安全和隱私管理手冊

撰寫：

審核：

批準(zhǔn)：

發(fā)布：2021年4月1日

版本歷史

字號版本修訂內(nèi)容修訂部門/人修訂時間

1A0制定2021-4-1

目錄

第一章信息安全和隱私管理制度總則.......................................................5

一、公司簡介.........................................................................5

二、組織架構(gòu)圖.......................................................................5

三、頒布令...........................................................................5

四、管理方針及目標(biāo)...................................................................7

4.1管理方針.....................................................................7

4.2具體闡述.....................................................................7

4.3目標(biāo).........................................................................7

五、授權(quán)書...........................................................................8

六、信息安全和隱私小組成立...........................................................9

七、信息安全和隙私小組成員職責(zé)......................................................10

第二章信息安全和隙私管理制度主體......................................................12

前言.................................................................................12

一、范圍............................................................................13

二、規(guī)范性引用文件..................................................................13

三、術(shù)語和定義......................................................................13

1.術(shù)語.........................................................................13

2.縮寫.........................................................................14

四、總則............................................................................14

五、與IS0/IEC27001相關(guān)PIMS特定要求...............................................14

5.1總則........................................................................14

5.2組織環(huán)境....................................................................15

5.2.1.理解組織及其環(huán)境........................................................18

1.1外部環(huán)境.................................................................18

1.2內(nèi)部環(huán)境.................................................................19

5.2.2.理解相關(guān)方的需求和期望....................................................19

5.2.3.信息安全和隱私管理體系的范圍..............................................19

5.2.4.信息安全和隱私管理體系....................................................20

5.3領(lǐng)導(dǎo).........................................................................20

5.3.1.領(lǐng)導(dǎo)和承諾...............................................................20

5.3.2.方針......................................................................21

5.3.3.組織角色、職責(zé)和權(quán)限......................................................21

5.4規(guī)劃.........................................................................26

5.4.1應(yīng)對風(fēng)險和機(jī)會的措施......................................................26

5.4.1.1總則...............................................................26

5.4.1.2信息安全風(fēng)險評估....................................................27

5.4.1.3信息安全風(fēng)險處置....................................................28

5.4.2信息安全目標(biāo)和規(guī)劃實現(xiàn).....................................................29

5.5支持.........................................................................：W

5.5.1資源......................................................................30

5.5.2能力......................................................................30

5.5.3意識......................................................................30

5.5.4溝通......................................................................31

5.5.5文件化信息................................................................31

5.6運行........................................................................33

5.6.1運行的規(guī)劃和控制..........................................................33

5.6.2信息安全風(fēng)險評估..........................................................33

5.6.3信息安全風(fēng)險處置..........................................................34

5.7績效評價.....................................................................34

5.7.1監(jiān)視、測量、分析和評價.....................................................34

5.7.2內(nèi)部審核..................................................................363

5.7.3管理評審..................................................................375

5.8改進(jìn).......................................................................376

5.8.1不符合和糾正措施.........................................................377

5.8.2持續(xù)改進(jìn).................................................................388

六、與IS0/IEC27002相關(guān)PIMS特定要求.................................................39

第一章信息安全和隱私管理制度總則

一、公司簡介

二、組織架構(gòu)圖

總經(jīng)理

管理者代表

系

人

品

策

研

統(tǒng)

力

牌

財

略

發(fā)

運

行

務(wù)

拓

中

中

部

維

政

展

心

心

部

部

部

三、頒布令

經(jīng)公司全體員工的共同努力依據(jù)GB/T22080-2016/IS0/IEC27001:2013.IS0/IEC

27701:2019標(biāo)準(zhǔn)建立的信息安全和隱私管理體系已得到建立。

指導(dǎo)管理體系運行的公司《信息安全和隱私管理體系手冊》經(jīng)評審后，現(xiàn)予以批

準(zhǔn)發(fā)布。

《信息安全和隱私管理體系手冊》的發(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安

全和隱私管理體系標(biāo)準(zhǔn)的要求和公司《信息安全和隱私管理體系手冊》所描述的規(guī)定,

不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和

相關(guān)方提供優(yōu)質(zhì)業(yè)務(wù)活動服務(wù)，以確立公司在社會上的良好信譽。

《信息安全和隱私管理體系手冊》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體

員工在向顧客提供服務(wù)過程必須遵循的行動準(zhǔn)則?！缎畔踩碗[私管理體系手冊》

一經(jīng)發(fā)布，就是強制性文件，全體員工必須認(rèn)真學(xué)習(xí)、切實執(zhí)行。

本手冊自2020年4月1m正式實施。

總經(jīng)理:

日期:

四、管理方針及目標(biāo)

4.1管理方針

全員參與、明確責(zé)任、預(yù)防為主、快速響應(yīng)、風(fēng)險管控、持續(xù)改進(jìn)；

以尊重個人人格為理念，深刻意識到企業(yè)適當(dāng)處理隱私的社會賁任。

4.2具體闡述

在**************科技有限公司信息安全和隱私小組的領(lǐng)導(dǎo)下，全面貫徹國家和深

圳市關(guān)于信息安全和隱私工作的相關(guān)指導(dǎo)性文件精神，在**************科技有限公司

內(nèi)建立可持續(xù)改進(jìn)的信息安全和隱私管理體系。

全員參與信息安全和隱私管理體系建設(shè)，落實信息安全管理責(zé)任制，建立和完善各

項信息安全管理制度，使得信息安全管理有章可循。

通過定期地信息安全和隱私宣傳、教育與培訓(xùn)，不斷提高*************5?科技有限

公司所有人員的信息安全和隱私意識及能力。

推行預(yù)防為主的信息安全和隱私積極防御理念，同時發(fā)所發(fā)生的信息安全和隱私事

件進(jìn)行快速、有序地響應(yīng)。

貫徹風(fēng)險管理的理念，定期對重要信息系統(tǒng)及業(yè)務(wù)流程活動進(jìn)行風(fēng)險評估和控制，

將信息安全和隱私風(fēng)險控制在可接受的水平。

持續(xù)改進(jìn)**************科技有限公司信息安全和隱私各項工作，保障

X*************科技有限公司信息安全和隱私暢通與可控，保障所開發(fā)和維護(hù)信息系統(tǒng)

的安全穩(wěn)定，為**************科技有限公司提供安全可靠的服務(wù)。

4.3目標(biāo)

信息和隱私泄漏事件W1次/年。

客戶針對信息安全和隱私事件的投訴W1次/年

重要信息設(shè)備丟失每年不超過1起

網(wǎng)絡(luò)中斷時間月累計不超過4H

大規(guī)模病毒爆發(fā)每年不超過1次

信息安全和隱私培訓(xùn)考核合格率：考核合格人數(shù)/培訓(xùn)人數(shù)＞=95%/月

五、授權(quán)書

為確保本公司信息安全和隱私管理體系的有效運行，認(rèn)真貫徹信息安全管理方針，

實現(xiàn)各項信息安全目標(biāo)，特授權(quán)：

1.授權(quán)連王先生為公司信息安全和隱私管理體系的管理者代表，授權(quán)郭先生

為公司信息安全和隱私管理體系的副管理者代表，其主要職責(zé)(角色)和權(quán)限為：

(1)確保公司信息安全和隱私管理體系所需過程得到建立、實施、運行和保持。確

%信息安全業(yè)務(wù)風(fēng)險得到有效控制。

(2)向最高管理者報告信息安全和隱私管理體系業(yè)績(績效)和任何改善需求，為

最高管理層評審提供依據(jù)。

(3)確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全和隱私意識和信息安全

風(fēng)險意識在公司內(nèi)得到形成和提高。

(4)在信息安全和隱私管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)。

2.授權(quán)各部門負(fù)責(zé)人對本部門信息安全和隱私行使職權(quán)。

總經(jīng)理:

日期:

六、信息安全和隱私小組成立

為確保本公司信息安全和隱私管理體系的有效運行，認(rèn)真貫徹信息安全和隱私管理

方針，實現(xiàn)信息安全和隱私目標(biāo)，公司批準(zhǔn)成立信息安全知隱私小組。具體職責(zé)：

1.研究決定信息安全和隱私工作涉及到的重大事項；

2.審定公司信息安全和隱私方針、目標(biāo)、工作計劃和重要文件；

3.為信息安全和隱私工作的有序推進(jìn)和信息安全和隱私管理體系的有效運行提供

必要的支持。

信息安全和隱私工作小組成員名單：

組長：

副組長兼隱私專員：

組員：品牌拓展部、研究中心、策略中心、系統(tǒng)運維部、人力行政部、財務(wù)部

信息安全和隱私管理體系主控部門：系統(tǒng)運維部

總經(jīng)理:

日期:

七、信息安全和隱私小組成員職責(zé)

管理品牌系統(tǒng)人力

總經(jīng)研發(fā)策略財務(wù)

者代拓展運維行政

理中心中心部

表部部部

44.1/5.2.1理解組織及其環(huán)境★★

/52,

4.2/5.2.2理解相關(guān)方的寄求和

組OO★★★★★★

期望

織

確定信息安全和隱私

環(huán)4.3/5.2.3

★★

境管理體系的范圍

4.4/5.2.4信息安全和隱私管理

★★O0O★OO

體系

5.1/5.3.1領(lǐng)導(dǎo)承諾★★O00OOO

5/5.3

5.2/5.3.2方針★★O0OOOO

5.3/5.3.3組織角色、職責(zé)和權(quán)限O★O0OOOO

6.1.1/5.4.1.1總則★OO0OOOO

6.1/5.4.1

4應(yīng)對風(fēng)險6.1.2/5.4.1.2信息

/5.O★★★★★★★

6/規(guī)和機(jī)會的安全風(fēng)險評估

劃措施6.1.3/5.4.1.3信息

★★★★★★★★

安全風(fēng)險處置

6.2/5.4.2信息安全目標(biāo)和規(guī)劃

O★O0OOOO

實現(xiàn)

7.1/5.5.1資源★★O00OOO

7.2/5.5.2能力OOO0OO★O

7.3/5.5.3意識OOO0OOOO

7.4/5.5.4溝通OO★★★★★★

7/5.5

支持

7.5.1/5.5.5.1總則OOO0O★★O

7.5/5.5.57.5.2/5.5.5.2創(chuàng)建

文件化信OOO00★★O

和更新

息

7.5.3/5.5.5.3文件

OOO0O★★O

化信息的控制

為主控部門;“O”為相關(guān)部門

管理品牌系統(tǒng)人力

總經(jīng)研發(fā)策略財務(wù)

者代拓展運維行政

理中心中心部

表部部部

8.1/5.6.1運行的規(guī)劃和控

★

制OOOOOOO

8/5.68.2/5.6.2信息安全風(fēng)險評

★★★★★★

運行估OO

8.3/5.6.3信息安全風(fēng)險處

★★★★★★

置OO

9.1/5.7.1監(jiān)視、測量、分析

和評價OOOOOOOO

9/5.7

績效評9.2/5.7.2內(nèi)部審核OOOOOOOO

價

9.3/5.7.3管理評審OO★★★★★★

10.1/5.8.1不符合和糾正措OOOOOOOO

10/5.8施

改進(jìn)

10.2/5.8.2持續(xù)改進(jìn)OOOOOOOO

為主控部門；為相關(guān)部門

第二章信息安全和隱私管理制度主體

前言

**************科技有限公司《信息安全和隱私管理手冊》（以下簡稱本手冊），

1衣?lián)礼B/T22080-2016/1SO/IEC27001:2013《信息技術(shù)-安全技術(shù)-信息安全管理體系-

要求》、GB/T22081-2016/TS0/TEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全控

制實踐指南》，ISO/IEC27701；2019《針對ISO/IEC27001和ISO/IEC27002在隱私信息

管理的擴(kuò)展-要求和指南》，絡(luò)合本行業(yè)信息安全和隱私的特點和公司實際編寫。本手

出對本公司信息安全和隱私管理體系作出了概括性描述，為建立、實施和保持信息安全

和隱私管理體系提供框架。

一、范圍

為建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全和隱私管理體系，

確定信息安全和隱私方針和目標(biāo)，對信息安全和隱私風(fēng)險進(jìn)行有效管理，確保全體員工

浬解并遵照執(zhí)行信息安全和隱私管理體系文件、持續(xù)改進(jìn)信息安全和隱私管理體系的有

效性，特制定本手冊。本手冊適用于本公司的產(chǎn)品研發(fā)、銷售、營銷策略服務(wù)等相關(guān)活

動有關(guān)的信息安全和隱私管理活動。

二、規(guī)范性引用文件

下列文件中的條款通過本《信息安全和隱私管理手冊》的引用而成為本《信息安全

和隱私管理手冊》的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包括勘

浜的內(nèi)容）或修改版均不適用于本《信息安全和隱私管理令冊》，然而，信息安全和隱

私小組應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本

適用于本《信息安全和隱私管理手冊》O

GB/T29246-2017/ISO/IEC27000:2016信息技術(shù)-安全技術(shù)-信息安全和隱私管理

體系概述和詞匯。GB/T22080-2016/ISO/IEC27001：20和信息技術(shù)-安全技術(shù)-信息安

全管理體系要求。GB/T22081-2016/ISO/IEC全002:2013信息技術(shù)-安全技術(shù)-信息

安全控制實踐指南。ISO/IEC27701:2019《針對ISO/TEC27001和ISO/IEC27002在隱

私信息管理的擴(kuò)展-要求和指南》。

三、術(shù)語和定義

1.術(shù)語

GB/T22080-2016/IS0/1EC27001:2013《信息技術(shù)-安全技術(shù)-信息安全和隱私管

理體系-要求》、GB/T22081-2016/1S0/1EC27002:2013《信息技術(shù)-安全技術(shù)-信息

安全控制實踐指南》、ISO/IEC27701:2019《針對ISO/IEC27001和ISO/IEC27002

在隱私信息管理的擴(kuò)展-要求和指南》、ISO/IEC29100信息技術(shù)-安全技術(shù)-隱私框架

規(guī)定的術(shù)語和定義以及下述定義適用于本《信息安全和隱私管理手冊》。

?可用性：保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)信息資產(chǎn)。

?保密性：保證信息只被授權(quán)的人訪問。

?信息安全：保持信息的保密性、完整性和可用性。

?信息安全和隱私管理體系（ISMS）:是企業(yè)管理體系的一部分，建立用手控制

業(yè)務(wù)風(fēng)險的一種方法，以確保在開發(fā)、實施、完成、評審和維護(hù)信息的安全。

【注：管理體系包括組織的結(jié)構(gòu)、方針、計劃、活動、責(zé)任、實踐、程序、過程和

資源】

?完整性：保護(hù)信息和處理過程的準(zhǔn)確和完整。

?風(fēng)險接受：接受一個風(fēng)險的決定。

?風(fēng)險分析：系統(tǒng)化地使用信息識別來源和估計風(fēng)險。

?風(fēng)險評估：風(fēng)險分析和風(fēng)險評價的整個過程。

?風(fēng)險評價：比較估計風(fēng)險與給出的風(fēng)險標(biāo)準(zhǔn)，確定風(fēng)險嚴(yán)重性的過程。

?風(fēng)險管理：指導(dǎo)和控制組織風(fēng)險的聯(lián)合行動。

?風(fēng)險處理：選擇和實施措施以更改風(fēng)險的處理過程。

?適用性聲明：描述適月于組織的ISMS范圍的控制目標(biāo)和控制措施?？刂颇繕?biāo)和

控制措施是建立在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。

?PTT主體：PIT關(guān)聯(lián)的自然人。

?PII控制者：決定PH處理目的和方法的隱私權(quán)利益相關(guān)方。

?聯(lián)合控制者：決定與一個或多個P11控制者聯(lián)合處理P11的目的和方式的PII

控制者。

?PH處理者：代表PII控制者，并按PH控制者的指示對PII進(jìn)行處理的隱私

權(quán)利益相關(guān)方.

?PH分包處理者：作為分包商處理個人數(shù)據(jù)的PH處理者。

2.縮寫

ISMS：InformationSecurityManagementSystems信息安全和隱私管理體系；

PIMS：隱私信息管理體系，在處理PH過程中應(yīng)對可能潛在影響隱私保護(hù)的信息安

全管理體系。

PII：個人身份信息。

SoA：StatementofApplicability適用性聲明；

PDCA：PlanDoCheckAction計劃、實施、檢查、改進(jìn)；

本公司：**************科技有限公司

四、總則

4.1本標(biāo)準(zhǔn)架構(gòu)

本手冊是根據(jù)ISO/IEC27001：2013和ISO/I是27002：2013相關(guān)的特定領(lǐng)域標(biāo)

準(zhǔn)的要求制定的。本手冊專注于PIMS隱私信息管理體系領(lǐng)域的要求。遵守本手冊的制

定是遵守這些要求以及1S0/1EC27001：2013中的要求。在信息安全基礎(chǔ)上，本手冊還

擴(kuò)展了ISO/IEC27001：2013標(biāo)準(zhǔn)的相關(guān)隱私的要求。

本手冊第5章提供了適用于無論作為P1I控制者或者處理者的組織在實施

ISO/IEC27001：2013的要求時相關(guān)的PIVS特定要求以及其他信息。

本手冊第6章提供了適用于無論無論作為PII控制者或者處理者的組織在實施

ISO/IEC27002的控制時相關(guān)的PIMS特定要求以及其他信息。

本手冊第7章為PII控制者提供的ISO/IEC27002補充指南。

本手冊第8章為PTT處理者提供的TSO/TEC27002補充指南。

4.2ISO/IEC27001：2013要求的應(yīng)用

以下為PIMS特定要求的位置和實施ISO/IEC27001：2013中控制的其他信息

ISO/IEC27001：2013標(biāo)題本標(biāo)準(zhǔn)中的子備注

中的條款條款

4組織環(huán)境5.2補充要求

5領(lǐng)導(dǎo)5.3沒有特定于PIMS的要求

6規(guī)劃5.4補充要求

7支持5.5沒有特定于PIMS的要求

8運行5.6沒有特定于PIMS的要求

9績效評價5.7沒有特定于P1MS的要求

10改進(jìn)5.8沒有特定于PIMS的要求

4.3ISO/IEC27002：2013指南的應(yīng)用

以下為PIMS特定指南的位置和實施在ISO/IEC27002：2013中控制的其他信息

ISO/IEC27002：標(biāo)題本標(biāo)準(zhǔn)中的子備注

2013中的條款條款

5信息安全策略6.2補充指南

6信息安全組織6.3補充指南

7人力資源安全6.4補充指南

8資產(chǎn)管理6.5補充指南

9訪問控制6.6補充指南

10密碼6.7補充指南

11物理和環(huán)境安全6.8補充指南

12運行安全6.9補充指南

13通信安全6.10補充指南

14系統(tǒng)的獲取、開發(fā)和6.11補充指南

維護(hù)

15供應(yīng)商關(guān)系6.12補充指南

16信息安全事件管理6.13補充指南

17業(yè)務(wù)連續(xù)性管理的6.14沒有特定于PIMS的指南

信息安全方面

18符合性6.15補充指南

4.4顧客

客戶可以理解為：

a.與PH控制者簽訂合同的組織，例如PII控制者的客戶；

b.同PII處理者簽訂合同的PII控制者，如PH處理者的客戶；

c.與PII處理的分包商簽訂合同的PII處理者，如PII子處理者的客戶;

五、與ISO/IEC27001相關(guān)的PIMS特定要求

5.1、總則

本手冊提及的IS0/IEC27001：2013中“信息安全”的要求擴(kuò)展到針對可能受PII

處理而產(chǎn)生潛在影響的隱私保護(hù)。

在ISO/IEC27001：2013中使用“信息安全”時，相當(dāng)于“信息安全和隱私”°

5.2、組織環(huán)境

5.2.1.理解組織及其環(huán)境

總經(jīng)理負(fù)賁組織對企業(yè)外部環(huán)境和內(nèi)部環(huán)境進(jìn)行分析C

本公司從事等互聯(lián)網(wǎng)軟件產(chǎn)品研發(fā)、銷售、智能營銷策略服務(wù)等相關(guān)活動有關(guān)的信

息安全管理活動。具有從事上述業(yè)務(wù)有關(guān)的信息安全管理活動的本行業(yè)專業(yè)化的管理人

才隊伍和優(yōu)秀技術(shù)工人，公司為滿足顧客要求，為企業(yè)自身利益需要，建立、實施、運

行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全和隱私管理體系。為此應(yīng)確定影響公司

信息安全和隱私管理體系實現(xiàn)目標(biāo)能力的外部環(huán)境和內(nèi)部環(huán)境。

本公司確定在提供與消費者運營工具平臺研發(fā)、消費者運營策略服務(wù)中的角色如

下：

PII處理者：主要涉及處理內(nèi)容：開發(fā)工具軟件給品牌使用，工具軟件在平臺上（阿

里、京東等）獲取存儲客戶相關(guān)信息（如瀏覽店鋪、收藏店鋪、下單、填寫個人信息等），

工具軟件歸品牌管理，相關(guān)信息未經(jīng)品牌授權(quán)，本公司無權(quán)使用和接觸。因品牌開發(fā)需

求或者消費者運營策略服務(wù)需要，授權(quán)本公司員工可以接觸可以信息，本公司人員方可

在授權(quán)范圍內(nèi)進(jìn)行拉取相關(guān)信息和處理。

5.2.1.1外部環(huán)境

a.政府監(jiān)管、服務(wù)部門：工商局、質(zhì)量技術(shù)監(jiān)督局、通信管理局、互聯(lián)網(wǎng)協(xié)會等；

b.顧客：各大企業(yè)；

c.供應(yīng)商：京東、阿里等；

d.適用的信息安全和隱私法律；

e.適用的司法判決/行政決定/合同要求；

5.2.1.2內(nèi)部環(huán)境

a.基礎(chǔ)設(shè)施：辦公室、監(jiān)控系統(tǒng)、門禁系統(tǒng)、機(jī)房、網(wǎng)絡(luò)系統(tǒng)。

b.物理區(qū)域：機(jī)房。

c.內(nèi)部管理：建立保密制度、信息資產(chǎn)、風(fēng)險管理制度、監(jiān)督、約束機(jī)制。

5.2.2.理解相關(guān)方的需求和期望

總經(jīng)理負(fù)責(zé)引導(dǎo)公司理解相關(guān)方的需求和期望。

由公司產(chǎn)品及業(yè)務(wù)方向決定，公司的相關(guān)方；

政府監(jiān)管、服務(wù)部門需要本公司遵章守法經(jīng)營，配合其工作的開展，維護(hù)其依法監(jiān)

管。期望本公司創(chuàng)新經(jīng)營，信息安全、保持穩(wěn)定，無不良行為及不良影響，持續(xù)發(fā)展；

顧客需要本公司提供價格合理、質(zhì)量可靠安全的產(chǎn)品，并服務(wù)周到按期交付，確保

顧客的信息資產(chǎn)完整性、保密性、適用性。期望本公司滿足資質(zhì)能力要求和生產(chǎn)技術(shù)要

求；

公司內(nèi)部成員需要本公司具備持續(xù)滿足從事研發(fā)的設(shè)施設(shè)備，符合政府監(jiān)管部門和

顧客對從事產(chǎn)品業(yè)務(wù)活動的要求。期望本公司在本行業(yè)各方面領(lǐng)先，持續(xù)發(fā)展，同時個

人得到發(fā)展。

公司的相關(guān)方還應(yīng)考慮與PH處理有關(guān)，有利益關(guān)系或負(fù)有責(zé)任的各方，以及PH

主體、PII控制者、PII處理者。

5.2.3.信息安全和P急私管理體系的范圍

總經(jīng)理負(fù)責(zé)確定木公司信息安全和隱私管理體系范圍。

本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了范圍和邊界：

ISMS/PIMS的范圍是：消費者運營工具平臺研發(fā)、消費者運營策略服務(wù)

地理位置：深圳

涉及部門：品牌拓展部、研發(fā)中心、策略中心、系統(tǒng)運維部、人力行政部、財務(wù)部。

資產(chǎn)范圍：上述范圍內(nèi)涉及的所有信息資產(chǎn)，包括軟件、數(shù)據(jù)、硬件、人員、文檔、

服務(wù)和其它資產(chǎn)。詳見《資產(chǎn)清單》。

本公司《信息安全和隱私管理手冊》采用了GB/T22080-2016/ISO/IEC2700》2013

標(biāo)準(zhǔn)，IS0/IEC27701:2019《針對IS0/IEC27001和IS0/IEC27002在隱私信息管理的擴(kuò)

展-要求和指南》的全部內(nèi)容，對本標(biāo)準(zhǔn)附錄部分的刪減及理由詳見《適用性聲明》；

管理者代表組織信息安全和隱私小組編制《適用性聲明》。該聲明包括以下方面的

內(nèi)容：所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因。

5.2.4.信息安全和隱私管理體系

總經(jīng)理負(fù)責(zé)領(lǐng)導(dǎo)公司建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全和隱私

管理體系。

管理者代表主持信息安全和隱私小組按照GB/T22080-2016/TSO/IEC27001:2013

《信息技術(shù)安全技術(shù)信息安全和隱私管理體系要求》，結(jié)合公司實際業(yè)務(wù)和發(fā)展需

要，參照GB/T22081-2016/IS0/IEC27002:2013《信息技術(shù)-安全技術(shù)-信息安全管

理實踐指南》、ISO/IEC27701:2019《針對ISO/IEC27001和1SO/IEC27002在隱私信息

管理的擴(kuò)展-要求和指南》，建立文件化的信息安全和隱私管理體系，主要包括：信息

安全和隱私管理手冊，適用于各活動的程序文件、控制策略和制度；各類記錄等。體系

規(guī)范了各項管理活動、技術(shù)活動、支持性活動的開展，確保公司產(chǎn)品及服務(wù)的信息安全

能夠滿足客戶需求并持續(xù)提高。

5.3、領(lǐng)導(dǎo)

5.3.1.領(lǐng)導(dǎo)和承諾

本公司總經(jīng)理通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進(jìn)信息

安全和隱私管理體系的承諾提供證據(jù)：

a）建立信息安全和隱私方針；

b）確保信息安全和隱私目標(biāo)和計劃得以制定（見信息安全和隱私管理方針及目標(biāo)、

《風(fēng)險處理計劃》及相關(guān)記錄）；

c）建立信息安全和隱私的角色和職責(zé)（見職責(zé)分配表）；

d）向組織傳達(dá)滿足信息安全和隱私目標(biāo)、符合信息安全和隱私方針、履行法律責(zé)

任和持續(xù)改進(jìn)的重要性；

e）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進(jìn)信息安全和

隱私管理體系（見本7.1資源）；

f）決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受等級（見《信息安全風(fēng)險評估控制程序》及

相關(guān)記錄）；

g）確保內(nèi)部信息安全和隱私管理體系審核（見內(nèi)部審核〉得以實施；

h）實施信息安全和隱私管理體系管理評審（見管理評審）。

5.3.2.方針

為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS/PIMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實

現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確

定了信息安全和隱私管理體系方針（見信息安全和隱私管理方針及目標(biāo)）。

ISMS/PIMS方針是本公司信息安全和隱私管理的綱領(lǐng)，ISMS/PIMS方針體現(xiàn)和包括了

以下內(nèi)容：闡述了有關(guān)信息安全和隱私行為的總體指導(dǎo)思想和原則，提供了制訂信息安

全和隱私管理目標(biāo)的框架；考慮了業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全和隱私義

務(wù)；體現(xiàn)了本公司建立和保持ISMS/PIMS作為公司的發(fā)展戰(zhàn)略和風(fēng)險管理手段的信息安

全和隱私管理的長期戰(zhàn)略要求；確立了風(fēng)險評價的標(biāo)準(zhǔn)和風(fēng)險評估的方法；體現(xiàn)公司管

浬層加強及支持信息安全和隱私管理的意圖和承諾。

信息安全和隱私方針由信息安全和隱私小組擬定，提交管理者代表審核，由最高管

理者-總經(jīng)理批準(zhǔn)分布，以適當(dāng)?shù)姆绞絺鬟_(dá)給員工。

5.3.3.組織角色、職責(zé)和權(quán)限

3.1本公司總經(jīng)理為信息安全和隱私最高責(zé)任者。職責(zé)：

（1）制定和批準(zhǔn)發(fā)布公司信息安全和隱私方針和目標(biāo)。

（2）批準(zhǔn)信息安全和隱私管理手冊和程序文件。

（3）為德立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全和隙私管

陛體系提供充足的資源。

（4）任命信息安全和隱私管理者代表、工作小組組長。

（5）決定公司的機(jī)構(gòu)設(shè)置，規(guī)定部門的職責(zé)和權(quán)限。

（6）決定風(fēng)險的可接受水平。

（7）定期組織管理評審。

（8）負(fù)責(zé)公司信息安全加隱私糾正和預(yù)防措施的落實，持續(xù)改進(jìn)信息安全和隱私

管理體系。

3.2管理者代表是由總經(jīng)理在公司管理層中指定，管理者代表無論在其他方面的

職責(zé)如何，對信息安全和隱私負(fù)有重要職責(zé)（見授權(quán)書）

3.3本公司成立信息安全和隱私領(lǐng)導(dǎo)機(jī)構(gòu)--信息安全和隱私小組（見信息安全和

隱私小組成立）

3.4公司管理層其他成員信息安全和隱私職責(zé)：

總經(jīng)理：

1）認(rèn)真理解掌握信息安全和隱私管理體系的管理思想，并在實踐中加以運用；

2）帶頭執(zhí)行國家的有關(guān)法律法規(guī)，并向全體員工傳達(dá)增進(jìn)顧客滿意及遵守法律法規(guī)

的重要性；

3）組織策劃、建立管理體系；建立與管理體系相適應(yīng)的組織機(jī)構(gòu)，并確立各級各類

員工的職責(zé)；

4）制定適宜的管理方針、目標(biāo)、指標(biāo)，確保目標(biāo)指標(biāo)在公司的各個層面上得到適宜

的分解；

5）任命管理者代表，以確保管理體系的過程得到建立、實施、保持和改進(jìn)；

6）提供管理體系正常運行所必須的資源，如：具備能力的人員、設(shè)備，法規(guī)，工作

環(huán)境等；

7）建立溝通機(jī)制，創(chuàng)造良好的溝通氛圍，確保溝通有效進(jìn)行，使管理體系的各個過

程得以有效銜接：

8）按要求組織管理評審，評價管理體系的適宜性、充分性、有效性，以及管理體系

改進(jìn)的機(jī)會和變更的需要，包括：管理方針、目標(biāo)指標(biāo)、資源需求等。

管理者代表（副管理者代表）：

1）負(fù)責(zé)公司信息安全和隱私管理體系的建立，實施和保持，確保其符合標(biāo)準(zhǔn)要求，

具體工作包括：

a）組織修訂管理體系文件；

b）組織安排公司內(nèi)部審核；

c）負(fù)責(zé)管理評審的輸入（見管理評審控制程序）；

d）對管理評審中的糾正預(yù)防措施及持續(xù)改進(jìn)要求進(jìn)行跟蹤落實。

2）貫徹執(zhí)行國家有關(guān)的法律法規(guī)和條例，認(rèn)真理解掌握信息安全和隱私管理體系的

管理思想，確保公司管理體系的實施和維持；

3）協(xié)助總經(jīng)理開展信息安全和隱私過程管理工作，并承擔(dān)相應(yīng)管理責(zé)任；

4）完善公司各部門管理目標(biāo)及管理制度；

5）向總經(jīng)理報告管理體系（顧客滿意度、管理方針/目標(biāo)的實現(xiàn)情況等）和任何改

進(jìn)的需求；

6）通過各種方式（如培訓(xùn)1/鼓勵/交流等）不斷加深全麻員工/供方對信息安全相關(guān)

要求和職責(zé)的了解以及對增進(jìn)顧客滿意重要性的理解和認(rèn)識；

7）作為公司的代表，就公司管理體系的有關(guān)問題與顧客及其它相關(guān)方進(jìn)行內(nèi)外聯(lián)絡(luò)

與溝通；

8）在管理者代表外出期間，由副管理者代表負(fù)責(zé)相關(guān)事宜。

隱私專員：

1）跟蹤并研究國內(nèi)外網(wǎng)絡(luò)安全、個人信息保護(hù)、隱私安全等法規(guī)、政策、標(biāo)準(zhǔn)及

相關(guān)事件，評估對業(yè)務(wù)的影響和對策，分析預(yù)判合規(guī)走向和趨勢；

2）負(fù)責(zé)制定公司內(nèi)部隱私相關(guān)安全制度、流程和規(guī)范；

3）宣導(dǎo)相關(guān)隱私安全策咚、規(guī)范制度，提升員工安全合規(guī)意識；

4）根據(jù)業(yè)務(wù)部門申請或項目需要提供合規(guī)支撐，輸出分析及建議措施。

系統(tǒng)運維部：

1）系統(tǒng)運維部是公司信息安全和隱私管理體系的建立、實施和保持的具體執(zhí)行機(jī)

構(gòu)。負(fù)責(zé)建立公司信息安全和隱私管理體系，包括組織編制和修改體系文件及

文件管理；

2）負(fù)責(zé)信息安全和隱私管理體系的策劃，包括組織信息安全推行小組，及管理方案

的制定；

3）負(fù)責(zé)信息安全和隱私管理體系在公司內(nèi)的推行和保持，包括組織適當(dāng)?shù)幕?、組

織管理體系內(nèi)部審核、協(xié)助總經(jīng)理做好管理評審等；

4）負(fù)責(zé)對公司體系運行所采取的糾正、預(yù)防和改進(jìn)措施的實施情況進(jìn)行監(jiān)督，以及

實施后的跟蹤和驗證；

5）負(fù)責(zé)監(jiān)督信息安全管理方案及相關(guān)措施的落實，組織監(jiān)視和測量；

6）負(fù)責(zé)管理“7S”活動；

7）負(fù)責(zé)內(nèi)部與信息安全和隱私管理體系的相關(guān)信息的怖調(diào)處理和溝通；

8）負(fù)責(zé)與管理體系有關(guān)的外部機(jī)構(gòu)進(jìn)行溝通和聯(lián)絡(luò)；

9）信息安全風(fēng)險組織評估管理；

10）負(fù)責(zé)公司計算機(jī)系統(tǒng)的安全維護(hù)工作，保障公司所有計算機(jī)和網(wǎng)絡(luò)系統(tǒng)運行正

常；

11）落實檢查安全維護(hù)技術(shù)措施，保障公司網(wǎng)絡(luò)的運行安全和信息安全；

12）負(fù)責(zé)公司內(nèi)部和外部郵件系統(tǒng)的安全、維護(hù)，確保郵件系統(tǒng)收發(fā)正常；

13）負(fù)責(zé)公司網(wǎng)站的更新維護(hù)；

14）負(fù)責(zé)對公司電腦使用人員進(jìn)行必要的教育和培訓(xùn)；

15）負(fù)責(zé)機(jī)房管理，防止和制止違反機(jī)房各項管理制度的行為；

16）負(fù)責(zé)系統(tǒng)和重要軟件的收集及版本更新升級的組織協(xié)調(diào)工作；

17）負(fù)責(zé)公司E即系統(tǒng)的推廣及維護(hù)工作；

18）涉及本部門及IT相關(guān)信息安全風(fēng)險評估；

19）負(fù)責(zé)本部門的信息安全資產(chǎn)識別及管理；

20）負(fù)責(zé)本部門的信息安全風(fēng)險管理；

21）負(fù)責(zé)本部門的信息安全相關(guān)工作。

品牌拓展部：

1）在經(jīng)營活動中貫徹公司信息安全方針，制定目標(biāo)并確保其實現(xiàn)；

2）貫徹管理層的經(jīng)營思想，開拓市場，進(jìn)行項目的前期策劃跟進(jìn)工作；

3）組織投標(biāo)工作，確定顧客的要求，與顧客簽訂供貨合同，接受顧客的訂單，與

客戶簽訂相關(guān)保密協(xié)議；

4）負(fù)責(zé)有關(guān)招標(biāo)文件、信息、客戶檔案資料的收集及歸檔工作。

5）負(fù)責(zé)與顧客的溝通，搜集顧客及相關(guān)方的意見并及時進(jìn)行信息反饋和內(nèi)部溝通;

6）組織合同及訂單的評審；

7）負(fù)責(zé)組織并跟蹤合同及訂單的執(zhí)行，下達(dá)開發(fā)指令，并就合同執(zhí)行過程中的問

題，包括合同的變更等，與顧客進(jìn)行溝通；

8）負(fù)責(zé)與顧客確認(rèn)樣品；

9）負(fù)責(zé)產(chǎn)品的售后服務(wù)工作，包括顧客投訴的處理；

10）組織用戶回訪和顧客滿意度調(diào)查工作，統(tǒng)計顧客滿意度并報告；

11）負(fù)責(zé)客戶資料的保密管理；

12）對特定產(chǎn)品或訂單進(jìn)行品質(zhì)策劃，并指導(dǎo)各工序作業(yè)；

13）就售后技術(shù)問題與顧客進(jìn)行溝通；

14）負(fù)責(zé)本部門的信息安全和隱私資產(chǎn)識別及管理；

15）負(fù)責(zé)本部門的信息安全和隱私風(fēng)險管理；

16）負(fù)責(zé)本部門的信息安全和隱私相關(guān)工作。

人力行政部：

1）在本部門貫徹公司信息安全和隱私管理方針，制定本部門信息安全和隱私目標(biāo)

并確保目標(biāo)實現(xiàn)；

2）負(fù)責(zé)公司人才的引進(jìn)，培訓(xùn)計劃的編制、落實及統(tǒng)計，組織公司員工的各種培

訓(xùn)，包括管理體系的運行培訓(xùn)、本企業(yè)文化理念的培訓(xùn)、崗前培訓(xùn)、專業(yè)培訓(xùn)

等；

3）負(fù)責(zé)公司行政文件的草擬以及人事檔案、技術(shù)檔案、培訓(xùn)記錄的管理；

4）理解公司管理層關(guān)于內(nèi)部溝通的方式，并具體組織落實，包括組織公司例會，

創(chuàng)造安全健康、融洽的工作環(huán)境；

5）負(fù)責(zé)公司的安全管理，包括應(yīng)急準(zhǔn)備和響應(yīng)；

10）負(fù)責(zé)員工的考勤管理及對員工的具體考核工作；

11）負(fù)責(zé)本部門的信息安全和隱私資產(chǎn)識別及管理；

12）負(fù)責(zé)本部門的信息安全和隱私風(fēng)險管理；

13）負(fù)責(zé)本部門的信息安全和隱私相關(guān)工作。

財務(wù)部：

1）在經(jīng)營活動中貫徹公司信息安全和隱私方針，制定目標(biāo)并確保其實現(xiàn)；

2）編制并執(zhí)行財務(wù)收支計劃、資金籌措方案等，為公司各項經(jīng)營活動提供資金保

障；

3）分析、計劃、核算、金制成本費用，對經(jīng)營活動中的財務(wù)指標(biāo)進(jìn)行考核，降低

消耗；

4）配合工商、財政、稅務(wù)、金融等有關(guān)部門了解、檢查公司財務(wù)工作；

5）負(fù)責(zé)公司生產(chǎn)經(jīng)營報表的統(tǒng)計和上報工作；

6）負(fù)責(zé)本部門的信息安全和隱私資產(chǎn)識別及管理；

7）負(fù)責(zé)本部門的信息安全和隱私風(fēng)險管理；

8）負(fù)責(zé)本部門的信息安全和隱私相關(guān)工作。

研發(fā)中心：

1）制定研發(fā)中心信息安全和隱私管理體系的工作目標(biāo)并落實；

2）具體組織研發(fā)，編制研發(fā)計劃并落實，保障合同的執(zhí)行；

3）組織研發(fā)過程各工序的信息安全過程管理交接和相關(guān)的工作例會；

4）組織對信息安全管理的監(jiān)督檢查，處理不符合，采取糾正/預(yù)防措施，確保泄密

事件的預(yù)防；

5）負(fù)責(zé)對研發(fā)環(huán)境的管理，確保研發(fā)環(huán)境處于良好運行狀態(tài)，消除信息泄露的漏

洞；

6）負(fù)責(zé)研發(fā)人員的考勤和考核工作，確保信息安全無異常事件發(fā)生；

7）負(fù)責(zé)研發(fā)過程中的記錄管理；

8）負(fù)責(zé)本部門的信息安全和隱私資產(chǎn)識別及管理；

9）負(fù)責(zé)本部門的信息安全和隱私風(fēng)險管理；

10）負(fù)責(zé)本部門的信息安全和隱私相關(guān)工作。

策略中心：

1）制定策略中心信息安全和隱私管理體系的工作目標(biāo)并落實；

2）具體組織客戶服務(wù)策略計劃，編制策略計劃并落實，保障合同的執(zhí)行；

4）組織策略服務(wù)各工序的信息安全過程管理交接和相關(guān)的工作例會；

5）組織對信息安全管理的監(jiān)督檢查，處理不符合，采取糾正/預(yù)防措施，確保泄

密事件的預(yù)防；

6）負(fù)責(zé)本部門的信息安全和隱私資產(chǎn)識別及管理；

7）負(fù)責(zé)本部門的信息安全和隱私風(fēng)險管理；

8）負(fù)責(zé)本部門的信息安全和隱私相關(guān)工作。

信息安全和隱私小組：

1）信息安全和隱私工作人員發(fā)現(xiàn)本單位重大信息安全和隱私隱患，有權(quán)向總經(jīng)理

報告。

2）信息安全和隱私工作人員發(fā)現(xiàn)信息工作人員使用不當(dāng)，應(yīng)及時建議有關(guān)單位、

部門進(jìn)行調(diào)整。

3）信息安全工作人員必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴(yán)

守公司商業(yè)秘密。

4）負(fù)責(zé)信息安全和隱私管理的日常工作；

5）組織開展信息安全和隱私檢查，對信息工作人員安全和隱私工作進(jìn)行指導(dǎo)和監(jiān)

督；

6）組織開展信息安全和隱私知識的培訓(xùn)和宣傳工作；

7）監(jiān)控信息安全和隱私總體狀況，提出信息安全和隱私分析報告；

8）及時向信息安全和隱私領(lǐng)導(dǎo)小組和有關(guān)部門、單位報告信息安全事件。

9）信息安全和隱私工作人員包括信息安全和隱私管理人員、信息安全技術(shù)人員、

信息安全和隱私審計員，其相應(yīng)的職責(zé)分別如下：

內(nèi)部員工：

1）嚴(yán)格遵守所有與信息安全和隱私相關(guān)的國家法律、法規(guī)和政策，遵守公司所有

的信息安全政策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定；

2）以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)；

3）積極參加信息安全和隱私教育與培訓(xùn)，提高信息安全意識；

4）有責(zé)任將違反信息安全政策的事件與行為及時報告給本部門信息安全和隱私管

理員及其他相關(guān)人員。

信息安全技術(shù)人員職責(zé)：

1）負(fù)責(zé)信息安全和隱私相關(guān)設(shè)備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、

防病毒系統(tǒng)等）的日常運行維護(hù)管理；

2）負(fù)責(zé)防火墻系統(tǒng)策略的安全配置；

3）負(fù)責(zé)漏洞掃描軟件（包括漏洞庫）的管理、更新和公布；

4）負(fù)責(zé)對網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描;

5）負(fù)責(zé)設(shè)備、系統(tǒng)等補丁升級、安全加固；

6）負(fù)責(zé)定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行查殺病毒任務(wù)；

7）負(fù)責(zé)密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的攻

擊事件；

8）負(fù)責(zé)密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；

9）負(fù)責(zé)密切關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報告、最