信息安全管理體系

管理手冊(cè)ISMS—M-yyyy版本號(hào)：A/1受控狀態(tài):■受控□非受控2016年1月8日修改履歷版本制訂者修改時(shí)間更改內(nèi)容審核人審核意見變更申請(qǐng)單號(hào)A/0編寫組2016—1—08定版審核人同意AA/1編寫組2017—1-15定版審核人同意信息安全管理手冊(cè)信息安全管理手冊(cè)第第#頁共28頁符合性要求進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn),形成了《重要資產(chǎn)清單》。同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。8.2.2分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理程序》，采用FMEA分析方法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a）針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值;b）針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施,判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c）根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；d）根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則,判斷風(fēng)險(xiǎn)為可接受或需要處理。信息安全風(fēng)險(xiǎn)處置辦公室組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴）控制風(fēng)險(xiǎn)，采用適當(dāng)?shù)膬?nèi)部控制措施；b）接受風(fēng)險(xiǎn)（不可能將所有風(fēng)險(xiǎn)降低為零）；c）避免風(fēng)險(xiǎn)（如物理隔離）；d）轉(zhuǎn)移風(fēng)險(xiǎn)（如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商）.9績(jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)9。1。1本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故（事件）和隱患；b）及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗(yàn)；9.1。2根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求，見本手冊(cè)第7章。9。1.3辦公室應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，采用FMEA分析方法，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：組織；技術(shù)；業(yè)務(wù)目標(biāo)和過程；已識(shí)別的威脅；實(shí)施控制的有效性；外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊(cè)第6章。9.1.5定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別信息安全管理體系過程的改進(jìn)，管理評(píng)審的具體要求，見本手冊(cè)第7章。9.1。6考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃.9。1。7記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。9.2內(nèi)部審核9。2。1辦公室應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃,確定審核的準(zhǔn)則、范圍、頻次和方法.9。2。2每次審核前，辦公室應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組.審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。9.2。3應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括:進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流；進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審核意見和不符合報(bào)告；d）審核組長(zhǎng)編制審核報(bào)告.9。2。4對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由辦公室組織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證;按照《記錄管理程序》的要求，保存審核記錄。9。2。6內(nèi)部審核報(bào)告，應(yīng)作為管理評(píng)審的輸入之一.9.3管理評(píng)審管理評(píng)審的輸入要包括以下信息：a）信息安全管理體系審核和評(píng)審的結(jié)果；b）相關(guān)方的反饋；c）用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱性或威脅；f）有效性測(cè)量的結(jié)果；g）管理評(píng)審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改進(jìn)的建議。管理評(píng)審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a）信息安全管理體系有效性的改進(jìn)；b）更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃；c）必要時(shí)，修訂影響信息安全的程序和控制措施,以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化:1）業(yè)務(wù)要求；2）安全要求；3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4）法律法規(guī)要求；5）合同責(zé)任；6）風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。d）資源需求；e）改進(jìn)測(cè)量控制措施有效性的方式。10改進(jìn)10.1不符合和糾正措施辦公室負(fù)責(zé)建立并實(shí)施《糾正和預(yù)防控制程序》,采取以下措施，消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生?！都m正和預(yù)防控制程序》應(yīng)規(guī)定以下方面的要求：識(shí)別存在的不符合;確定不符合的原因;評(píng)價(jià)確保不符合不再發(fā)生的措施要求；確定并實(shí)施所需的糾正和預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)審所采取的糾正和預(yù)防措施。公司網(wǎng)絡(luò)管理部應(yīng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別變化的風(fēng)險(xiǎn),并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求.預(yù)防措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來確定.10.2持續(xù)改進(jìn)本公司制定和實(shí)施《糾正和措施管理程序》《內(nèi)部審核管理程序》等文件，通過下列途徑持續(xù)改進(jìn)信息安全管理體系的有效性:a)通過信息安安全管理體系方針的建立與實(shí)施，對(duì)持續(xù)改進(jìn)做出正式的承諾;b)通過建立信息安全管理體系目標(biāo)明確改進(jìn)的方向;通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進(jìn)的機(jī)會(huì)并予實(shí)施,詳見《內(nèi)部審核管理程序》；通過實(shí)施糾正和預(yù)防措施實(shí)現(xiàn)改進(jìn),詳見《糾正和措施管理程序》；通過管理評(píng)審輸出的有關(guān)改進(jìn)措施的實(shí)施實(shí)現(xiàn)改進(jìn)。附錄A信息安全管理組織結(jié)構(gòu)圖附錄B信息安全管理職責(zé)明細(xì)表規(guī)范性附錄）序號(hào)單位/部門信息安全職責(zé)1信息安全管理委員會(huì)信息安全管理委員會(huì)是我公司信息安全最高組織機(jī)構(gòu)，負(fù)責(zé)本單位網(wǎng)絡(luò)與信息安全重大事項(xiàng)的決策和協(xié)調(diào)，并對(duì)全公司信息安全工作負(fù)責(zé).2總經(jīng)理信息安全第一責(zé)任人，制定信息安全方針，對(duì)信息安全全面負(fù)責(zé)。1。組織制定并批準(zhǔn)信息安全管理方針、信息安全目標(biāo)和計(jì)劃。2。為發(fā)展、貫徹、運(yùn)行和保持ISMS提供充足的資源為員工提供所需的資源、培訓(xùn)，并賦予其職責(zé)范圍內(nèi)的自主權(quán)。3。負(fù)責(zé)任命管理者代表，并定期進(jìn)行管理評(píng)審。4。決定風(fēng)險(xiǎn)的可接受水平.5。負(fù)責(zé)批準(zhǔn)公司信息安全管理手冊(cè)和管理評(píng)審計(jì)劃。3管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系（具體見《管理者代表授權(quán)書》）。4商務(wù)部我公司信息安全管理體系的歸口管理部門。負(fù)責(zé)管理體系的建立、實(shí)施、保持、測(cè)量和改進(jìn).負(fù)責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評(píng)審的組織和體系的改負(fù)責(zé)本公司保密工作的管理。負(fù)責(zé)安全區(qū)域的管理.負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。對(duì)信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容.參與涉密及司法介入的信息安全事件的調(diào)查。&負(fù)責(zé)公司人員安全管理，包括人員聘用管理，保密協(xié)議簽署，員工的能力、意識(shí)和培訓(xùn)，員工離職管理。負(fù)責(zé)公司財(cái)務(wù)相關(guān)的信息安全管理，包括出納、人員工資發(fā)放，以及代理記帳公司的管理。負(fù)責(zé)公司客戶反饋信息的搜集,定期對(duì)客戶回訪跟蹤。認(rèn)真執(zhí)行信息安全方針、標(biāo)準(zhǔn)、安全策略和規(guī)范，做好本部門職責(zé)范圍內(nèi)的信息安全管理體系運(yùn)行工作。5技術(shù)部負(fù)責(zé)收集與本部門相關(guān)的信息安全方面的法規(guī)及其他要求，并及時(shí)上報(bào)信息安全委員會(huì)，冋時(shí)負(fù)責(zé)在本部門內(nèi)傳達(dá)，貫徹和實(shí)施與部門相關(guān)的法規(guī)及其他要求。協(xié)助在本部門內(nèi)宣傳公司的信息安全管理體系文件的要求，提咼本部門員工的信息安全意識(shí).按照信息安全體系文件的要求,在本部門遵照?qǐng)?zhí)行。發(fā)生信息安全事故后負(fù)責(zé)配合信息安全委員會(huì)工作，并協(xié)助制定、實(shí)施處置措施。協(xié)助信息安全審計(jì)小組進(jìn)行體系的內(nèi)部審查與外部評(píng)審。

序號(hào)單位/部門信息安全職責(zé)7銷售部負(fù)責(zé)收集與本部門相關(guān)的信息安全方面的法規(guī)及其他要求，并及時(shí)上報(bào)信息安全委員會(huì)，冋時(shí)負(fù)責(zé)在本部門內(nèi)傳達(dá)，貫徹和實(shí)施與部門相關(guān)的法規(guī)及其他要求。協(xié)助在本部門內(nèi)宣傳公司的信息安全管理體系文件的要求，提咼本部門員工的信息安全意識(shí).按照信息安全體系文件的要求，在本部門遵照?qǐng)?zhí)行。發(fā)生信息安全事故后負(fù)責(zé)配合信息安全委員會(huì)工作，并協(xié)助制定、實(shí)施處置措施。協(xié)助信息安全審計(jì)小組進(jìn)行體系的內(nèi)部審查與外部評(píng)審。對(duì)信息資產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性,維持信息的完整性和可用性，防范對(duì)信息的未經(jīng)授權(quán)訪問.處理本部門與信息安全相關(guān)的事宜，向信息安全委員會(huì)反饋本部門在信息安全方面的要求和建議.&在第三方或?qū)ν饴?lián)絡(luò)中積極宣傳本公司的信息安全目標(biāo)和方針。9.在與第三方或外界進(jìn)行信息交流、接觸時(shí)，保證信息的安全。備注:以上職能劃分，適用所有信息安全管理體系文件。

附錄C信息安全管理程序文件清單（資料性附錄）序號(hào)文件名稱文件編號(hào)10001-文件管理程序ISMS—0001—yyyy20002—記錄官理程序ISMS—0002—yyyy30003-內(nèi)部審核管理程序ISMS-0003-yyyy40004-糾正預(yù)防措施管理程序ISMS-0004—yyyy50005—管理評(píng)審管理程序ISMS—0005-yyyy60006-監(jiān)視和測(cè)量管理程序ISMS—0006—yyyy70101—信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序ISMS-0101-yyyy80102-商業(yè)秘密管理程序ISMS—0102-yyyy90103—人力資源管理程序ISMS—0103-yyyy100104—信息安全懲戒管理程序ISMS—0104—yyyy110105—相關(guān)方信息安全管理程序ISMS—0105—yyyy120106—信息安全合規(guī)性管理程序ISMS—0106-yyyy130107-信息安全溝通管理程序ISMS—0107-yyyy140108-信息安全事件管理程序ISMS—0108—yyyy150201—安全區(qū)域管理程序ISMS-0201-yyyy160301-網(wǎng)絡(luò)安全管理程序ISMS—0301-yyyy170302數(shù)據(jù)安全管理程序ISMS—0302-yyyy180303—信息處理設(shè)施管理程序ISMS—0303-yyyy190304-個(gè)人計(jì)算機(jī)管理程序ISMS-0304-yyyy200305-用戶訪問管理程序ISMS-0305—yyyy210306-信息系統(tǒng)開發(fā)建設(shè)管理程序ISMS—0306-yyyy220307—信息系統(tǒng)應(yīng)用管理程序ISMS—0307—yyyy230308-信息系統(tǒng)監(jiān)控管理程序ISMS-0308—yyyy240309-信息交換管理程序ISM