IT-IT-M-0003信息安全管理體系手冊

信息安全治理手冊

密級口除秘口保密■內(nèi)部使用口公布信息受控狀態(tài)■受控口非受控

2020-12-01頒布封面2020-01-01實(shí)施

深圳市xxxx信息中,成件歷雌縱記錄

文件名稱信息安全治理手冊

文件編號IT-IT-M-0003

對應(yīng)0A文號

版次編制與修訂概要完成日期狀態(tài)

角色人員

編寫

初審

會簽

審核

批準(zhǔn)

第一章前言

隨著XXXX業(yè)務(wù)進(jìn)展日益增長，信息交換互連面也隨之增大，信

息業(yè)務(wù)系統(tǒng)依靠性擴(kuò)大，所帶來的信息安全風(fēng)險(xiǎn)和信息脆弱點(diǎn)也逐步

出現(xiàn)，原有信息安全技術(shù)和治理手段專門難滿足目前和以后信息化安

全的需求，為確保XXXX信息及信息系統(tǒng)的安全，使之免受各種威逼

和損害，保證各項(xiàng)信息系統(tǒng)業(yè)務(wù)的連續(xù)性，使信息安全風(fēng)險(xiǎn)最小化，

XXXX每年開展網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)評估及等級愛護(hù)測評，定期

對等級愛護(hù)測評與風(fēng)險(xiǎn)評估活動過程中的風(fēng)險(xiǎn)漏洞進(jìn)行全面整改，分

析了信息安全治理上的不足與缺陷，編制了差距測評報(bào)告。通過開展

信息安全風(fēng)險(xiǎn)評估和等級愛護(hù)測評，了解XXXX信息安全現(xiàn)狀和以后

需求，為建立XXXX信息安全治理體系奠定了基礎(chǔ)。

2020年7月開展信息安全治理體系連續(xù)改進(jìn)建設(shè)，依據(jù)信息安

全現(xiàn)狀和以后信息安全需求及GB/T22080-2020/ISO/IEC27001:2005

信息安全治理體系的標(biāo)準(zhǔn)要求，建立了符合xxxx信息安全治理現(xiàn)狀

和治理需求的信息安仝治理體系，該體系覆蓋了

GB/T22080-2020/ISQ/IEC27001:2005信息安全治理體系的標(biāo)準(zhǔn)要求

12個(gè)操縱領(lǐng)域、39個(gè)操縱目標(biāo)和133個(gè)操縱措施。

本手冊是xxxx信息安全治理體系的綱領(lǐng)性文件，由信息中心歸

口負(fù)責(zé)說明。

第二章信息安全治理手冊頒布令

xxxx（以下簡稱公司）依據(jù)GB/T22080-2020/ISO/IEC27001:2005

信息安全治理體系標(biāo)準(zhǔn)耍求，結(jié)合限公司實(shí)際情形，在原有的各項(xiàng)治

理制度的基礎(chǔ)上編制完成了《xxxx信息安全治理體系手冊》第一版，

現(xiàn)予以批準(zhǔn)實(shí)施。

?xxxx信息安全治理體系手冊》是公司在信息及信息系統(tǒng)安全方

面的規(guī)范性文件，手冊闡述了限公司信息安全服務(wù)方針，信息安全目

標(biāo)及信息安全治理體系的過程方法和策略，是公司信息安全治理體系

建設(shè)實(shí)施的綱領(lǐng)和行動準(zhǔn)那么，是公司開展各項(xiàng)服務(wù)活動的差不多依

據(jù)；是對社會各界證實(shí)我公司有能力穩(wěn)固地提供滿足國際標(biāo)準(zhǔn)信息安

全要求以及客戶和法律法規(guī)相關(guān)要求的有效證據(jù)。適合公司信息化目

前進(jìn)展趨勢需求，且內(nèi)容充分、表達(dá)準(zhǔn)確，現(xiàn)予頒布。

本手冊定于2020年8月1日起實(shí)施，屬強(qiáng)制性文件，要求各部

門所有人員必須正確明白得并嚴(yán)格貫徹全面執(zhí)行。

XXXX

總經(jīng)理簽名：

日期：2020年01月01日

第三章公司介紹

1.企業(yè)簡介

xxxx(以下簡稱xxxx)始創(chuàng)于2002年4月，大致通過三個(gè)進(jìn)展時(shí)期：第一

時(shí)期，2002年一2004年，為創(chuàng)業(yè)期，全力開拓市場，實(shí)現(xiàn)在競爭猛烈的行業(yè)中

立足；第二時(shí)期，2004—2006年，為整合期，整合一切有效資源，重力推出新

產(chǎn)品，奠定以優(yōu)質(zhì)產(chǎn)品占據(jù)市場的方向，梳理并確立了經(jīng)營理念、進(jìn)展愿景、經(jīng)

營方針，完成了股份制改芭；第三時(shí)期，2006—至今，為蛻變期，立足電氣傳動、

工業(yè)操縱領(lǐng)域，為全球用戶提供專業(yè)化產(chǎn)品和服務(wù)，于2020年在深交所A股上

市，股票代碼：002334,步入不斷提升企業(yè)核心競爭力，并實(shí)現(xiàn)飛躍的時(shí)期。

目前xxxx設(shè)有國內(nèi)辦事處30多個(gè)，海外辦事處2個(gè)，擁有海內(nèi)外經(jīng)銷合作

伙伴上百家，用戶遍布全球50多個(gè)國家和地區(qū)。

xxxx是國家級高新技術(shù)企業(yè)，擁有深圳市唯獨(dú)的''變頻器工程技術(shù)研究開

發(fā)中心”。

在吸取國外先進(jìn)技術(shù)的基礎(chǔ)上，結(jié)合近十年變頻推廣應(yīng)用體會和當(dāng)今電力電

子最新操縱技術(shù)，研制出高、中、低壓通用及各行業(yè)專月變頻器、交流伺服系統(tǒng)、

制動單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機(jī)械、化工、

冶金、紡織、印刷、機(jī)床、礦山等行業(yè)廣泛應(yīng)用。

xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓

660V/1140V系列、高壓CHH(3KV/6KV/10KV)系列等，功率范疇涵蓋0.4?8000kW,

滿足不同行業(yè)不同場合的各種變頻操縱應(yīng)用需求。

成熟矢量操縱技術(shù)、各行業(yè)專用變頻操縱技術(shù)的把握以及國際領(lǐng)先四象限操

縱技術(shù)的突破使xxxx的進(jìn)展連續(xù)領(lǐng)先，成為中國變頻器行業(yè)的領(lǐng)導(dǎo)者。高性能

交流伺服系統(tǒng)的開發(fā)與成功應(yīng)用標(biāo)志著xxxx向運(yùn)動操縱領(lǐng)域的拓展與延伸。

xxxx在“眾誠德厚、業(yè)精志遠(yuǎn)〃的經(jīng)營理念指導(dǎo)下，堅(jiān)持在不斷創(chuàng)新、精

益求精中與包括職員、股東、供應(yīng)商、客戶等寬敞合作伙伴共同進(jìn)展，公司的自

主創(chuàng)新及品牌美譽(yù)度在行業(yè)中差不多占有重要地位，并得到社會的廣泛認(rèn)同。

2.企業(yè)文化

經(jīng)營理念：眾誠德厚業(yè)精志遠(yuǎn)

愿景：成為全球領(lǐng)先、受人尊敬的電氣傳動、工業(yè)操縱領(lǐng)域的產(chǎn)品和服務(wù)供

應(yīng)商。

使命：竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶更有競爭力。

經(jīng)營方針：創(chuàng)新品質(zhì)標(biāo)準(zhǔn)化共同進(jìn)展

核心價(jià)值觀：眾誠德厚拼搏創(chuàng)新

人才理念：人才是企業(yè)第一資本尊重人才，經(jīng)營人才

質(zhì)量方針：提供不斷優(yōu)化的產(chǎn)品和服務(wù)，提高客戶中意度。

3.企業(yè)標(biāo)識：

標(biāo)識釋義：

xxxx企業(yè)標(biāo)徽有兩種色彩：xxxx紅(M100Y80)、xxxx藍(lán)(C100M80

K40),紅色表達(dá)進(jìn)取和活力，藍(lán)色象征包容和用心的鉆研精神。字體設(shè)計(jì)簡潔、

凝聚、渾厚、擴(kuò)張，傳達(dá)xxxx通過與合作伙伴和職員的合力凝聚牢固產(chǎn)品品質(zhì)，

厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思恁。

＞"INVT"是變頻器(inverter),也是創(chuàng)新(innovation)和美德(virtue)

的結(jié)合，是xxxx核心價(jià)值觀''眾誠德摩，拼搏創(chuàng)新〃的標(biāo)識承載；

＞首字母、'i"色彩紅藍(lán)結(jié)合，強(qiáng)調(diào)XXXX企業(yè)一一個(gè)人與團(tuán)隊(duì)、個(gè)人與公

司、xxxx與客戶、供應(yīng)商的相互信任，共同進(jìn)展；

＞紅色圓點(diǎn)是旭日也是星球，藍(lán)色表達(dá)企業(yè)所在地域一一濱海都市深圳，

表達(dá)xxxx電氣立足本土，致力于成為全球領(lǐng)先、受人尊敬的電氣傳動、

工業(yè)操縱領(lǐng)域產(chǎn)品/服務(wù)供應(yīng)商的遠(yuǎn)景目標(biāo)。

第四章信息安全治理目標(biāo)

依照國家信息安全等級愛護(hù)要求、公司下達(dá)的目標(biāo)與指標(biāo)、公司

信息化進(jìn)展戰(zhàn)略目標(biāo)、信息安全風(fēng)險(xiǎn)評估結(jié)果、信息用戶的中意度，

結(jié)合公司實(shí)現(xiàn)目標(biāo)所需的資源，識別公司的信息安全目標(biāo)與指標(biāo)。

公司每年年底制定下一年度的信息安全目標(biāo)與指標(biāo)，公司制定完

成信息安全目標(biāo)與指標(biāo)的工作打算，將目標(biāo)、指標(biāo)的層層分解，并落

實(shí)完成。以下是詳細(xì)的信息安全目標(biāo)：

目標(biāo)統(tǒng)計(jì)

目標(biāo)類別目標(biāo)項(xiàng)目標(biāo)換算方法

值周期

（不可同意風(fēng)險(xiǎn)數(shù)處理數(shù)/不可受風(fēng)險(xiǎn)總數(shù)）年

不可同意風(fēng)險(xiǎn)處理率100%

X100%

除秘信息泄^事件。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年

年

隱秘信息泄密事件。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

年

專門重大突發(fā)事件（I級）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

信

息年

重大突發(fā)事件（II級）。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

安

全

目年

較大突發(fā)事件（HI級）。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

標(biāo)

年

一樣突發(fā)事件（IV級）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

內(nèi)部審核及治理評審實(shí)施及年

100%按打算實(shí)施

時(shí)率

（入職職員參訓(xùn)人數(shù)/入職職員總數(shù)）X年

職員入職培訓(xùn)完成率100%

100%

年

信息安全培訓(xùn)打算完成率100%（實(shí)際培訓(xùn)次數(shù)/打算培訓(xùn)次數(shù)）X100%

年

大面積感染運(yùn)算機(jī)病毒次數(shù)0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)年

信。次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

息中斷次數(shù)

安年

全職員保密協(xié)議簽訂率100%（實(shí)際簽訂人數(shù)/入職總?cè)藬?shù)）X100%

運(yùn)

行年

市要信息備份及時(shí)率100%（實(shí)際備份數(shù)/打算備份數(shù)）X100%

指

標(biāo)

（不符合項(xiàng)整改完成數(shù)/不符合項(xiàng)總數(shù)）X年

內(nèi)部審核不符合項(xiàng)整改率290%

100%

年

運(yùn)算機(jī)故障處理完成率100%（實(shí)際處理數(shù)/故障總數(shù)）X100%

目標(biāo)統(tǒng)計(jì)

目標(biāo)類別目標(biāo)項(xiàng)目標(biāo)換算方法

值周期

年

容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)W3按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)

年

運(yùn)算機(jī)口令強(qiáng)度符合率100%（帳號符合數(shù)/帳號總數(shù)）XI00%

注：公司的信息安全目標(biāo)不限此，可依照各部門的實(shí)際業(yè)務(wù)進(jìn)行洞整或分解。

第五章信息安全會議

1.信息安全會議要求

1.1.公司應(yīng)在每年一次的信息化工作會議上，總結(jié)匯報(bào)本年度的信

息安全工作情形。

1.2.公司應(yīng)在每季度召開的運(yùn)算機(jī)治理會議中，總結(jié)本季度的信息

安全工作情形。

1.3.公司信息中心應(yīng)在每月召開的信息治理工作例會中，總結(jié)本月

的信息安全工作情形。

1.4.公司應(yīng)依照風(fēng)險(xiǎn)變化的需要或在重大活動期間，不定期召開信

息安全專題會。

2.信息安全會議記錄治理

2.1.公司應(yīng)及時(shí)制定相關(guān)的信息安全治理文件、信息安全數(shù)據(jù)與記錄。

2.2.信息安全治理數(shù)據(jù)與記錄包括：

1）信息安全會議紀(jì)要

2）信息安全事故調(diào)查報(bào)告

3）信息安全事件整改報(bào)告

4）信息安全檢查整改方案

5）信息安全審計(jì)記錄

6）技術(shù)檔案資料

7）培訓(xùn)記錄

8）信息安全作業(yè)活動數(shù)據(jù)與記錄

9）信息安全事件通報(bào)、整改活動

10）信息安全檢查活動

11）應(yīng)急演練活動

12）信息系統(tǒng)定級備案活動

13）信息安全審計(jì)活動

14）信息安全風(fēng)險(xiǎn)評估活動

15）數(shù)據(jù)與記錄要求：真實(shí)、完整、齊全、準(zhǔn)確、及時(shí)。

3.信息文件的治理

3.1.依照精簡、高效的原那么，制定公司信息安全工作和治理流程，

包括：

1）信息安全治理流程

2）信息安全事件處理流程

3）信息安全應(yīng)急流程

4）其它相關(guān)流程

3.2.每年回憶流程的效率，必要時(shí)修訂、增加或廢止不必要的流程或

環(huán)節(jié)。

3.3.信息安全治理流程和信息安全事件處理流程納入信息安全治理體

系中治理

3.4.信息安全應(yīng)急流程綱入《xxxx網(wǎng)絡(luò)與信息安全專項(xiàng)應(yīng)急預(yù)案》中治

理。

35依照治理變化、技術(shù)變化，公司定期修訂如下：

1）更新治理手冊、程序文件、作業(yè)指導(dǎo)書或治理制度、方法;

2）更新培訓(xùn)要求；

3）更新應(yīng)急處置程序；

3.6.對涉及到的所有信息安全風(fēng)險(xiǎn)進(jìn)行回憶分析;

3.7.變化治理需文件化，并儲存變化過程的相關(guān)記錄。

第六章信息安全治理體系

L總那么

1.1.為了加強(qiáng)xxxx(以下簡稱''xxxx或公司〃)信息安全治理工作，愛護(hù)信息系

統(tǒng)的安全，促進(jìn)信息系統(tǒng)的應(yīng)用和進(jìn)展，依照國家有關(guān)法律法規(guī)，以及變頻器行

業(yè)的治理規(guī)范、行業(yè)標(biāo)準(zhǔn)，并遵照公司信息系統(tǒng)安全的有關(guān)規(guī)定，特制定本手冊。

1.2.信息系統(tǒng)的安全愛護(hù)范疇包括各信息系統(tǒng)相關(guān)的和配套的軟件、硬件、信息、

網(wǎng)絡(luò)和運(yùn)行環(huán)境的安全。

1.3.xxxx信息系統(tǒng)安全治理應(yīng)遵循''統(tǒng)一規(guī)劃、預(yù)防為主、集中治理、分層愛護(hù)、

明確貢任”的原那么。

1.4.xxxx運(yùn)行中的信息系統(tǒng)是支撐生產(chǎn)的運(yùn)行設(shè)備，各級安全生產(chǎn)責(zé)任人對其職

責(zé)范疇內(nèi)的信息系統(tǒng)安全運(yùn)行負(fù)有安全治理責(zé)任。

1.5.任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其他公民權(quán)益的活

動，不得從事危害xxxx信息系統(tǒng)安全的活動。

1.6.本手冊適用于公司本部、各基層單位的信息系統(tǒng)的安全愛護(hù)工作。公司多經(jīng)

企業(yè)參照執(zhí)行。

2.規(guī)范性引用標(biāo)準(zhǔn)

2.1.?信息安全等級愛護(hù)治理方法》(公通字[2007]43號)

22?信息安全技術(shù)信息系統(tǒng)安全等級愛護(hù)差不多要求》(GB/T22239-2020)

2.3.?信息安全技術(shù)信息系統(tǒng)安全等級愛護(hù)定級指南》(GB/T22240-2020)

2.4.?信息安全技術(shù)信息安全治理有用規(guī)那么》(GB/T22081-2020)

2.5.?信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范”(GB/T20984-2007)

2.6.國家相關(guān)法律、法規(guī)及合同的要求。

3.術(shù)語與定義

3.1.資產(chǎn)asset

任何對組織有價(jià)值的東西。

3.2.可用性availability

依照授權(quán)實(shí)體的要求可訪問和利用的特性。

3.3.保密性confidentiality

信息不能被未授權(quán)的個(gè)人、實(shí)體或者過程利用或知悉的特性。

3.4.信息安全informationsecurity

保證信息的保密性、完整性、可用性；另外也可包括諸如真實(shí)性，可核杳性,

不可否認(rèn)性和可靠性等特性。

3.5.信息安全事態(tài)informationsecurityevent

信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是

對信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀

態(tài)。

3.6.信息安全事件informationsecurityincident

一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成，它們

具有損害業(yè)務(wù)運(yùn)作和威逼信息安全的極大的可能性。

3.7.信息安全治理體系informationsecuritymanagementsystem

是整個(gè)治理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、

監(jiān)視、評審、保持和改進(jìn)信息安全的。

注：治理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、程序、過

程和資源。

3.8.完整性integrity

愛護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。

3.9.殘余風(fēng)險(xiǎn)residualrisk

通過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)。

3.10.風(fēng)險(xiǎn)同意riskacceptance

同意風(fēng)險(xiǎn)的決定。

3.11.風(fēng)險(xiǎn)分析riskanalysis

系統(tǒng)地使用信息來識別風(fēng)險(xiǎn)來源和估帚風(fēng)險(xiǎn)。

3.12.風(fēng)險(xiǎn)評估riskassessment

風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評判的整個(gè)過程。

3.13.風(fēng)險(xiǎn)評判riskevaluation

將估量的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)那么加以比較以確定風(fēng)險(xiǎn)嚴(yán)峻性的過程。

314.風(fēng)險(xiǎn)治理riskmanagement

指導(dǎo)和操縱一個(gè)組織相關(guān)風(fēng)險(xiǎn)的和諧活動。

3.15.風(fēng)險(xiǎn)處理risktreatment

選擇同時(shí)執(zhí)行措施來更換風(fēng)險(xiǎn)的過程。

注：在本標(biāo)準(zhǔn)中，術(shù)語''操縱措施〃被用作''措施〃的同義詞。

3.16.適用性聲明statementofapplicability

描述與組織的信息安全治理體系相關(guān)的和適用的操縱目標(biāo)和操縱措施的文

檔。

3.17.信息系統(tǒng)

是指由運(yùn)算機(jī)及其相關(guān)配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)

用目標(biāo)和規(guī)那么對信息進(jìn)行采集、加工、儲備、傳輸、檢索等處理的人機(jī)系統(tǒng)，

包括治理信息系統(tǒng)和生產(chǎn)操縱系統(tǒng)。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括諸如真實(shí)性，可核查性,

不可否認(rèn)性和可靠性等。

3.19.信息系統(tǒng)運(yùn)行單位

是指信息系統(tǒng)資產(chǎn)歸屬單位，關(guān)于托管的信息系統(tǒng)有另行約定的除外。

3.20.信息安全工作人員

是指包括信息安全治理人員、信息安全技術(shù)人員（包括防火墻、入侵檢測系

統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關(guān)設(shè)備的治理員）和信息安全審計(jì)

員。

3.21.信息工作人員

是指與關(guān)鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設(shè)與經(jīng)營、治理等核心業(yè)務(wù)且有保

密要求的信息系統(tǒng)）直截了當(dāng)相關(guān)的系統(tǒng)治理人員、網(wǎng)絡(luò)治理人員、關(guān)鍵業(yè)務(wù)信

息系統(tǒng)開發(fā)人員、系統(tǒng)愛護(hù)人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)操作人員等。

3.22.第三方

是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備愛護(hù)商、服務(wù)提供商以及

其它外協(xié)單位。

3.23.第三方人員

是指包括軟件開發(fā)商出、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備愛護(hù)商、服務(wù)提供

商及其它外協(xié)服務(wù)單位的工作人員，以及實(shí)習(xí)學(xué)生和其他臨時(shí)工作人員。

3.24.信息資產(chǎn)

是指公司在生產(chǎn)、經(jīng)營和治理過程中，所需要的以及所產(chǎn)生的，用以支持（或

指導(dǎo)、或阻礙）公司生產(chǎn)、經(jīng)營和治理的一切有用的數(shù)據(jù)和資料等非財(cái)務(wù)的無形

資產(chǎn)，其范疇包括現(xiàn)在的和歷史的。

3.25.信息系統(tǒng)運(yùn)行愛護(hù)單位

是指與信息系統(tǒng)運(yùn)行單位簽訂愛護(hù)合同的專業(yè)服務(wù)提供商。

3.26.信息安全等級愛護(hù)

是指依照國家信息安全等級愛護(hù)相關(guān)治理文件，確定信息系統(tǒng)的安全愛護(hù)等

級，并開展相應(yīng)的信息系統(tǒng)安全等級愛護(hù)工作。

3.27.信息安全評估

是指，按照《治理方法》和有關(guān)技術(shù)標(biāo)準(zhǔn)，開展信息系統(tǒng)安全等級愛護(hù)的自查

自糾、差距評測、安全整改等續(xù)工作。

3.28.安仝風(fēng)險(xiǎn)治理

是指采納風(fēng)險(xiǎn)治理的理念與方法來識別、評估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，制定風(fēng)

險(xiǎn)操縱措施，并將風(fēng)險(xiǎn)降低到可同意的程度，安全風(fēng)險(xiǎn)治理包括風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)

操縱。

注：基于風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義

務(wù)以及組織關(guān)于信息安全的業(yè)務(wù)要求，制定操縱目標(biāo)和操縱措施。

3.29.標(biāo)準(zhǔn)縮寫

ISMS：信息安全治理體系（InformationSecurityManagementSystems）；

SoA：適用性聲明（StatementofApplicability'：

PDCA：建立、實(shí)施和運(yùn)行、監(jiān)視和評審、保持和改進(jìn)（Plan、Do、Check、

Act）o

4.信息安全治理體系

4.1.總要求

依照GB/T22080-2020/1SO/1EC27001:2005信息安全治理體系要求標(biāo)準(zhǔn)在

整體業(yè)務(wù)活動和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改

進(jìn)文件化的信息安全治理體系。ISMS所涉及的過程基于以下PDCA模式：

策劃

相關(guān)方相關(guān)方

實(shí)施

信息安全I(xiàn)已被治理

要求&期/.

的信息安

弟、法律I令

圖4-1PDCA模型

規(guī)劃（建立ISMS）建立與治理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目

標(biāo)、過程和程序，以提供與組織總方針和總目標(biāo)相一致

的結(jié)果。

實(shí)施（實(shí)施和運(yùn)行ISMS）實(shí)施和運(yùn)行ISMS方針、操縱措施、過程和程序。

檢查（監(jiān)視和評審ISMS）對比ISMS方針、目標(biāo)和實(shí)踐體會，評估并在適當(dāng)時(shí)，

測量過程的執(zhí)行情形，并將結(jié)果報(bào)告治理者以供評審。

處置（保持和改進(jìn)ISMS）基于ISMS內(nèi)部審核和治理評審的結(jié)果或者其他相關(guān)信

息，采取糾正和預(yù)防措施，以連續(xù)改進(jìn)ISMS。

本手冊中提出的用于?信息安全治理的過程方法鼓舞其用戶強(qiáng)調(diào)以下方面的

重要性：

a）明白得xxxx的信息安全要求和建立信息安全方針與目標(biāo)的需要；

b）從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行操縱措施，以治理xxxx的信息

安全風(fēng)險(xiǎn)；

c）監(jiān)視和評審ISMS的執(zhí)行情形和有效性；

d）基于客觀測量的連續(xù)改進(jìn)。

本標(biāo)準(zhǔn)采納了''規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）”

（PDCA）模型，該模型可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相

關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些

要求和期望的信息安全結(jié)果。圖4-1描述了4、5、6、7和8章所提出的過程間

的聯(lián)系。

采納PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002版）

中所設(shè)置的原那么。本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險(xiǎn)評估、安全設(shè)計(jì)和實(shí)

施、安全治理和再評估的原那么提供了一個(gè)強(qiáng)健的模型。

4.2.ISMS的建立、實(shí)施和運(yùn)作、監(jiān)督和評審、保持和改進(jìn)

4.2.1.建立ISMS

4.2.1.1.xxxxISMS的范疇和邊界

依照業(yè)務(wù)、組織、資產(chǎn)、位置.等方面的特性，確定ISMS的范疇和邊界。xxxx

信息安全治理體系的范疇和邊界包括：

(1)業(yè)務(wù)邊界：xxxx為開展供電業(yè)務(wù)，在治理信息大區(qū)范疇內(nèi)實(shí)施的信息安

全治理。

(2)組織邊界：xxxx信息中心；

(3)資產(chǎn)邊界：xxxx負(fù)責(zé)治理的信息資產(chǎn)；

(4)物理邊界：廣東省廣州市天河區(qū)天南二路239號和梅花路機(jī)房

4.2.1.2.確定xxxxISMS方針應(yīng)滿足以下要求

(1)確保為ISMS方針建立一個(gè)框架并為信息安全實(shí)施和運(yùn)作、監(jiān)督和評審、

保持和改進(jìn)的活動建立系統(tǒng)的方向與原那么；

(2)確定業(yè)務(wù)進(jìn)展、法律法規(guī)要求及其它相關(guān)方合同涉及的信息安全要求；

(3)在組織的戰(zhàn)略和風(fēng)險(xiǎn)治理下，建立和保持ISMS；

(4)建立風(fēng)險(xiǎn)評判的準(zhǔn)那么和機(jī)團(tuán)隊(duì)；

(5)獲得信息安全領(lǐng)導(dǎo)小組批準(zhǔn)。

4.2.1.3.風(fēng)險(xiǎn)評估的系統(tǒng)方法

xxxx信息中心負(fù)責(zé)建立信息安全風(fēng)險(xiǎn)評估操縱程序并組織實(shí)施。風(fēng)險(xiǎn)評估

操縱程序包括可同意風(fēng)險(xiǎn)準(zhǔn)那么和可同意水平，所選擇的評估方法應(yīng)確保風(fēng)險(xiǎn)評

估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險(xiǎn)評估過程操縱執(zhí)行《信息安全風(fēng)

險(xiǎn)評估程序》,以下是風(fēng)險(xiǎn)評估流程圖；

風(fēng)險(xiǎn)評估流程圖

4.2.1.4.風(fēng)險(xiǎn)識別

在已確定的1SMS范疇內(nèi)，對所有的信息資產(chǎn)進(jìn)行列表識別。信息資產(chǎn)包括

軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、服務(wù)、人力資源。對■每一項(xiàng)信息資產(chǎn)，依照

重要信息資產(chǎn)判定依據(jù)確定是否為重要信息資產(chǎn)，形成《重要信息資產(chǎn)清單

4.2.1.5.評估風(fēng)險(xiǎn)

(1)針對每一項(xiàng)重要信息資產(chǎn)，參考《信息安全威逼列表》及以往的安全事故

(事件)記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有重要信息資產(chǎn)所面臨的

威逼;

(2)針對每一項(xiàng)威逼，考慮現(xiàn)有的操縱措施，參考《信息安全薄弱點(diǎn)列表》識

別出可能被該威逼利用的薄弱點(diǎn);

(3)綜合考慮以上2點(diǎn)，按照《威逼發(fā)生可能性等級表》中的判定準(zhǔn)那么對每

一個(gè)威逼發(fā)生的可能性進(jìn)行賦值；

(4)依照《威逼阻礙程度判定準(zhǔn)那么》,判定一個(gè)威逼發(fā)生后對信息資產(chǎn)在保

密性(C)、完整性⑴和可用性(A)方面的損害及對公司業(yè)務(wù)的威逼阻礙程度，對其

威逼阻礙程度進(jìn)行賦值；

(5)進(jìn)行風(fēng)險(xiǎn)大小運(yùn)算時(shí)，考慮威逼產(chǎn)生安全故障的可能性及其所造成阻礙

程度兩者的結(jié)合，依照風(fēng)險(xiǎn)運(yùn)算公式來運(yùn)算風(fēng)險(xiǎn)等級；

(6)關(guān)于信息安全風(fēng)險(xiǎn)，在考慮操縱措施與費(fèi)用平穩(wěn)的原那么下制定風(fēng)險(xiǎn)同

意準(zhǔn)那么，按照該準(zhǔn)那么確定何種等級的風(fēng)險(xiǎn)為不可同意風(fēng)險(xiǎn)。

4.2.1.6.風(fēng)險(xiǎn)處理方法的識別與評判

xxxx信息中心組織有關(guān)部門依照風(fēng)險(xiǎn)評估的結(jié)果，形成《風(fēng)險(xiǎn)處理打算必

該打算應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)刻。關(guān)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮操縱

措施與費(fèi)用的平穩(wěn)原那么，選用以卜適當(dāng)?shù)拇胧?/p>

(1)采納適當(dāng)?shù)膬?nèi)部操縱措施；

(2)同意某些風(fēng)險(xiǎn)(不可能將所有風(fēng)險(xiǎn)降低為零)；

(3)規(guī)避某些風(fēng)險(xiǎn)(如物理隔離)；

(4)轉(zhuǎn)移某些風(fēng)險(xiǎn)(如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司、供應(yīng)方)。

4.2.1.7.選擇操縱目標(biāo)與操縱措施

(1)信息中心依照信息安全方針、業(yè)務(wù)進(jìn)展要求及風(fēng)險(xiǎn)評估的結(jié)果，組織

有關(guān)部門制定信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門。信息安全目標(biāo)應(yīng)獲得信

息安全領(lǐng)導(dǎo)小組的批準(zhǔn)。

(2)操縱目標(biāo)及操縱措施的選擇原那么來源于

GB/T22080-2020/ISO/【EC27001:2005信息安全治理體系要求標(biāo)準(zhǔn)附錄A,具體

操縱措施能夠參考GB/T22081-2020/ISO/IEC27002:2005?信息技術(shù)一安全技術(shù)—

信息安全治理實(shí)施細(xì)那么刀。xxxx依照信息安全治理的需要，能夠選擇標(biāo)準(zhǔn)之外

的其他操縱措施。

4.2.1.8.適用性聲明

信息中心負(fù)責(zé)《信息安全治理體系適用性聲明》(SoA)編制，由信息中心歸

口治理。該聲明包括以下方面的內(nèi)容：

(I)所選擇操縱目標(biāo)與操縱措施的概要描述；

(2)當(dāng)前差不多實(shí)施的操縱；

(3)對GB/T22080-2020/ISO/IEC27001:2005信息安全治理體系要求附錄A中

未選用的操縱目標(biāo)及操縱措施的說明。

注：該聲明的詳細(xì)內(nèi)容見《信息安仝治理體系適用性聲明”。

4.2.2.ISMS實(shí)施及運(yùn)行

4.2.2.1.ISMS崗位職責(zé)和權(quán)限

(1)信息安全領(lǐng)導(dǎo)小組組長為公司信息安全最高治理者。領(lǐng)導(dǎo)小組要緊職責(zé):

a)國家有關(guān)信息安全的政策、法律和法規(guī)，以及南方電網(wǎng)公司和公司的

統(tǒng)一部署要求，審查、批準(zhǔn)xxxx信息安全策略、治理規(guī)范和技術(shù)標(biāo)

準(zhǔn)；

b)部署信息安全總體工作，審定信息安全投資策略，建立工作考評機(jī)制;

c)指導(dǎo)信息安全保證體系建設(shè)和應(yīng)急治理。

(2)信息安全工作小組要緊職責(zé)：

a)依照信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進(jìn)行具體安排、

落實(shí)；

b)貨徹執(zhí)行信息安全領(lǐng)導(dǎo)小組的決議，和諧、督促各部門、各單位的信

息安全工作；

c)制訂信息安全策略和投資策略，組織對信息安全工作制度和技術(shù)操作

策略的審查，并監(jiān)督執(zhí)行；

d)同意各單位的緊急信息安全事件報(bào)告，組織信息安全應(yīng)急處置工作，

并開展事件調(diào)查、分析緣故、涉及范疇和評估安全事件的嚴(yán)峻程度，

提出信息安全事件防范措施；

e)及時(shí)向信息安全領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報(bào)告信息安全事件：

0跟進(jìn)先進(jìn)的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

(3)信息安全治理體系的治理者代表對公司信息安全負(fù)有以下職責(zé)：

a)建立并實(shí)施信息安全治理體系必要的程序并堅(jiān)持其有效運(yùn)行；

b)對信息安全治理體系的運(yùn)行情形和必要的改善措施向信息安全領(lǐng)導(dǎo)

小組報(bào)告。

(4)各部門負(fù)責(zé)人為本部門信息安全治理者，全體職員都應(yīng)按保密承諾的要

求自覺履行信息安全保密義務(wù)；

4.2.22各部門應(yīng)按照《信息安全治理體系適用性聲明》中選擇的操縱目標(biāo)與目

標(biāo)的操縱措施，確保ISMS有效實(shí)施與運(yùn)行，并開展以下活動：

(1)確保信息安全風(fēng)險(xiǎn)的有效治理，制定《風(fēng)險(xiǎn)處理打算》,以便明確治理措

施、所需資源、工作職責(zé)及識別活動的優(yōu)先順序；保證已識別的操縱目

標(biāo)實(shí)施《風(fēng)險(xiǎn)處理不算》;

(2)確保處理風(fēng)險(xiǎn)所選擇的操縱措施，以滿足操縱目標(biāo)；

(3)確保所選操縱措施有效測量；

(4)制定《信息安全培訓(xùn)打算》并加以實(shí)施，提高全員信息安全意識和能力；

(5)治理ISMS的運(yùn)行；

(6)治理ISMS的資源；

(7)制定信息安全事件或事故的程序操縱措施，以便迅速的檢測安全事件與

安全事故的響應(yīng)。

422.3.ISMS的監(jiān)督檢查與評審

通過實(shí)施不定期安全檢杳、內(nèi)部審核、事故報(bào)告調(diào)杳處理、電子監(jiān)控、定期

技術(shù)檢查(如口志審核)等操縱措施并報(bào)告結(jié)果以實(shí)現(xiàn)：

(1)及時(shí)發(fā)覺信息安全體系的事故和隱患；

(2)及時(shí)了解信息處理系統(tǒng)遭受的各類攻擊；

(3)使治理者把握信息安全活動是否有效，并依照優(yōu)先級別確定所要采取的

措施；

(4)積存信息安全方面的體會。

422.4.依照以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由信息安全工作

小組組長主持，定期(每年至少一次)對ISMS的有效性進(jìn)行評審，其中包括信

息安全范疇、方針、目標(biāo)及操縱措施有效性的評審。治理評審的具體要求，見本

手冊第7章。

4.2.25信息中心應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)治理程序》的要求對風(fēng)險(xiǎn)

處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可同意的水平，對以

下方面變更情形應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：

(1)組織機(jī)構(gòu)發(fā)生重大變更時(shí)；

(2)信息處理技術(shù)發(fā)生重大變更時(shí)；

(3)xxxx業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更時(shí)：

(4)發(fā)覺信息資產(chǎn)面臨重大威逼時(shí)；

(5)外部環(huán)境，如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更時(shí)。

4226保持上述活動和措施的記錄。

4.2.3.ISMS保持與改進(jìn)

xxxx開展以卜活動，以確保1SMS的連續(xù)改進(jìn)：

4.2.3.1,實(shí)施每年安全檢查、內(nèi)部審核、治理評審等活動以確定需改進(jìn)的項(xiàng)目；

423.2.按照《內(nèi)部審核治理程序》、《糾正與預(yù)防措施操縱程序》的要求采取適

當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及xxxx安全事故的體會教訓(xùn)，不斷改進(jìn)現(xiàn)

有安全措施。

4233對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)闹卫?，確保改進(jìn)達(dá)到預(yù)期的成效。

4.2.34為了確保信息安全治理體系的連續(xù)有效，各級治理者應(yīng)通過適當(dāng)?shù)氖?/p>

段對信息安全措施的執(zhí)行情形與結(jié)果進(jìn)行有效的交流與溝通。與外部信息安全專

家、信息安全機(jī)構(gòu)、政府行政主管部門、電信運(yùn)營商等組織保持聯(lián)系。與外部專

家、服務(wù)商等外部機(jī)構(gòu)的聯(lián)系方式見《對外聯(lián)系表》。

4.3.文件要求

4.3.1.總那么

依照GB/T22080-2020/ISO/IEC27001:2005信息安全治理體系標(biāo)準(zhǔn)要求并結(jié)

合xxxx實(shí)際情形建立xxxx信息安全治理體系文件結(jié)構(gòu)，體系文件分為四級，分

別為一級文件、二級文件、三級文件及四級記錄性文件。

(1)一級文件為信息安全治理體系手冊(包含信息安全方針、目標(biāo))和適用

性聲明等；

(2)二級文件為信息安全治理體系建立實(shí)施的相關(guān)程序文件；

(3)三級文件為信息安全治理體系建立實(shí)施的相關(guān)制度、方法和規(guī)程等；

(4)四級文件為信息安全治理體系實(shí)施運(yùn)行過程中的記錄類文件。

4.3.2.文件操縱

為確保文件的修訂得到操縱，使用現(xiàn)場得到有效版本的文件，防止作廢文件

的非預(yù)期使用，在《文件操縱程序》中明確規(guī)定了文件的編制、評審、批準(zhǔn)、發(fā)放、

使用、更換、再次批準(zhǔn)、標(biāo)識、回收、作廢和儲存期限等治理。

注：以上程序詳細(xì)「容見《文件操縱程序》。

4.3.3.記錄操縱

為提供有效的信息安全治理體系運(yùn)行的符合性證據(jù)，并具有追溯、證實(shí)和依

據(jù)記錄采取糾正和預(yù)防措施的作用，在《記錄操縱程序?qū)γ鞔_規(guī)定了記錄的填寫

要求、標(biāo)識、收集、儲存、檢索、防護(hù)、儲存期限和處理所需的操縱。

注：以上程序詳細(xì)內(nèi)容見＜6己錄操縱程序》。

5.治理職責(zé)

5.1.治理承諾

信息安全領(lǐng)導(dǎo)小組承諾按GB/T22080-2020/ISO/IEC27001:2005信息安全治

理體系標(biāo)準(zhǔn)要求建立、實(shí)施、運(yùn)行、監(jiān)視和評審，并通過連續(xù)保持和改進(jìn)，使體

系不斷進(jìn)展和完善。通過以下活動，確保上述承諾得以實(shí)現(xiàn)：

制定ISMS方針：

(1)制定ISMS目標(biāo)和實(shí)施打算；

(2)建立信息安全組織機(jī)構(gòu)并明確職責(zé)；

(3)通過適當(dāng)?shù)臏贤ǚ绞?，利用多種方式向全體職員傳達(dá)并使他們認(rèn)識到滿

足信息安全目標(biāo)、符合信息安全方針以及法律、法規(guī)要求，連續(xù)改進(jìn)信

息安全的重要性；

(4)提供適當(dāng)?shù)馁Y源以滿足信息安全治理體系建立、實(shí)施、運(yùn)行、監(jiān)視、評

審、保持和改進(jìn)的需要；

(5)對可同意風(fēng)險(xiǎn)的等級進(jìn)行判定；

(6)組織實(shí)施ISMS內(nèi)部審核；

(7)組織實(shí)施ISMS治理評審。

5.2.資源治理

5.2.1.資源提供

確保并提供實(shí)施、保持信息安全治理體系所需資源，并采取適當(dāng)措施，以保

證：

(1)建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)【SMS；

(?)確保信息安全治理程序符合業(yè)務(wù)支持流程要求：

(3)識別和滿足法規(guī)要求以及合同中的安全義務(wù)；

(4)通過正確實(shí)施所有的操縱措施保持適當(dāng)?shù)男畔踩?/p>

(5)必要時(shí)，應(yīng)對資源提供進(jìn)行評審，并按評審結(jié)果執(zhí)行；

(6)在需要時(shí)，改進(jìn)ISMS資源的有效性。

5.2.2.能力、意識和培訓(xùn)

為提高全員信息安全的意識，確保相關(guān)人員履行信息安全職貞所需的能力，

應(yīng)采取并實(shí)施以下的治理活動：

(1)確保與1SMS有關(guān)工作人員具備必要的信息安全能力；

(2)實(shí)施信息安全意識和能力的教育及培訓(xùn)并評判其培訓(xùn)的有效性；

(3)通過宣傳和其他活動使職員普遍認(rèn)識到信息安全職責(zé)的重要性，為實(shí)現(xiàn)

信息安全目標(biāo)做出各自的奉獻(xiàn)；

(4)保持教育、培訓(xùn)、技能、經(jīng)歷和資格或其他活動的記錄：

注：以上程序詳細(xì)內(nèi)容見《教育培訓(xùn)操縱程序》

5.3.安全職責(zé)

5.3.1.信息安全治理組織機(jī)構(gòu)和人員職責(zé)

XXXX信息安全治理機(jī)構(gòu)有XXXX信息安全領(lǐng)導(dǎo)小組和XXXX信息安全工作小

組，并配置相應(yīng)的信息安全工作人員，包括信息安全治理人員、信息安全技術(shù)人

員、信息安全審計(jì)員。

5.3.2.xxxx信息安全領(lǐng)導(dǎo)小組

5.3.2.1.xxxx成立信息安全領(lǐng)導(dǎo)小組。xxxx信息安仝領(lǐng)導(dǎo)小組是公司信息安仝的

最高決策機(jī)構(gòu)。

5322xxxx信息安全領(lǐng)導(dǎo)小組組長由分管生產(chǎn)安全的公司領(lǐng)導(dǎo)擔(dān)任。

532.3.信息安全領(lǐng)導(dǎo)小組要緊職貨如卜.：

a）對公司信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。

b）依照國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準(zhǔn)公司信息安全

總體策略規(guī)劃、治理規(guī)范和技術(shù)標(biāo)準(zhǔn)。

c）確定公司信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。

d）信息安全領(lǐng)導(dǎo)小組卜設(shè)兩個(gè)信息安全工作小組（包括治理信息系統(tǒng)信息

安全工

e）作小組和生產(chǎn)操縱系統(tǒng)信息安全工作小組）和應(yīng)急處理工作小組，并負(fù)

責(zé)指導(dǎo)兩個(gè)工作組的工作。

5.3.3.xxxx信息安全工作小組

5.3.3.1.xxxx信息安全工作組隸屬xxxx信息安全領(lǐng)導(dǎo)小組，是領(lǐng)導(dǎo)小組決策的

執(zhí)行機(jī)構(gòu)，工作組的日常工作由xxxx信息中心承擔(dān)。

5.3.32xxxx信息安全工作組組長由xxxx信息中心領(lǐng)導(dǎo)擔(dān)任。

5.3.33xxxx信息安全工作組要緊職責(zé)如下：

a）貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議，和諧和規(guī)范公司信息安全工作;

b）依照信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進(jìn)行具體安排、落

實(shí)；

c）組織對重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查，擬訂信息安

全總體策略規(guī)劃，并監(jiān)督執(zhí)行；

d）負(fù)責(zé)和諧、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)

工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報(bào)告和安全

風(fēng)險(xiǎn)的防范計(jì)策；

f）負(fù)責(zé)同意各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析緣

故、涉及范疇，并評估安全事件的嚴(yán)峻程度，提出信息安全事件防范措

施；

g）及時(shí)向信息安仝工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報(bào)告信息安仝事件。

h）跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

5.3.4.xxxx應(yīng)急處理工作小組

5.3.4.1.xxxx應(yīng)急處理工作小組組長由xxxx信息中心領(lǐng)導(dǎo)擔(dān)任。

5342xxxx應(yīng)急處理工作小組要緊職責(zé)如下：

a）審定公司信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案,

b）決定相應(yīng)應(yīng)急預(yù)案的啟動，負(fù)責(zé)現(xiàn)場指揮，并組織相關(guān)人員排除故障，

復(fù)原系統(tǒng)。

c）每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測試和演練。

d）應(yīng)對公司內(nèi)發(fā)生的大規(guī)模信息安全事件，和諧指揮事故處理以及事故后

系統(tǒng)復(fù)原工作。

5.3.5.xxxx信息中心

xxxx信息中心是xxxx信息安全小組領(lǐng)導(dǎo)下的信息系統(tǒng)安全的職能和技術(shù)歸

口治理部門，并直截了當(dāng)負(fù)責(zé)治理信息系統(tǒng)的安全治理和技術(shù)監(jiān)督工作，其職責(zé)

要緊包括：

5.351.組織制定xxxx信息安全愛護(hù)工作的總體目標(biāo)和總體策略。同時(shí)依照信息

系統(tǒng)治理要求、運(yùn)行環(huán)境的變化，以及系統(tǒng)本身的變化，及時(shí)更新信息安全愛護(hù)

工作的總體目標(biāo)、策略、規(guī)劃、技術(shù)標(biāo)準(zhǔn)和治理制度。不斷提高信息安全治理的

技術(shù)水平和治理手段。

5.352.組織開展xxxx的唁息安全等級愛護(hù)工作，并進(jìn)行xxxx信息安全評估和

風(fēng)險(xiǎn)治理工作，組織編寫信息安全愛護(hù)工作的總體技術(shù)規(guī)范、治理制度、技術(shù)方

案和實(shí)施打算，并負(fù)責(zé)組織實(shí)施。

5353負(fù)責(zé)同意各單位的緊急信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查，分析緣

故、涉及范疇，并評估安全事件的嚴(yán)峻程度，提出信息安全事件防范措施；

535.4.跟蹤先進(jìn)的信息安全技術(shù)，組織信息安全知識的培訓(xùn)和宣傳工作。

5355監(jiān)督指導(dǎo)各治理信息系統(tǒng)的開發(fā)建設(shè)人員、運(yùn)疔人員、愛護(hù)人員、業(yè)務(wù)

使用人員執(zhí)行信息系統(tǒng)安全愛護(hù)的技術(shù)標(biāo)準(zhǔn)和治理制度。

5356組織對信息安全事故的調(diào)查取證工作，對其中涉及違紀(jì)違法、嚴(yán)峻違規(guī)

的事故配合人力資源部進(jìn)行調(diào)查，并提出處理意見。

53.5.7.負(fù)責(zé)監(jiān)督治理數(shù)據(jù)中心及公司本部網(wǎng)絡(luò)、設(shè)備、運(yùn)行環(huán)境，以及集中治

理的信息系統(tǒng)的安全愛護(hù)工作。

5.3.58完成其他上級信息安全治理機(jī)構(gòu)交辦的信息治理系統(tǒng)安全防護(hù)工作。

5.3.6.各級安全責(zé)任人

各級安全生產(chǎn)責(zé)任人是其職責(zé)范疇內(nèi)的信息系統(tǒng)安全運(yùn)行治理的責(zé)任人。各

級安全生產(chǎn)貢任人職責(zé)：

536.1.負(fù)責(zé)監(jiān)督執(zhí)行xxxx制定的信息安全策略、治理制度和技術(shù)標(biāo)準(zhǔn)。

536.2.負(fù)責(zé)監(jiān)督治理其職責(zé)范疇內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、

運(yùn)行環(huán)境的安全愛護(hù)工作。

5.3.63.負(fù)責(zé)監(jiān)督執(zhí)行xxxx信息安全愛護(hù)的其他工作。

5.3.7.基層單位運(yùn)算機(jī)及網(wǎng)絡(luò)專責(zé)

基層單位運(yùn)算機(jī)及網(wǎng)絡(luò)專責(zé)是本單位范疇內(nèi)治理信息系統(tǒng)安全運(yùn)行工作的

責(zé)任人兼信息安全員?；鶎訂挝蛔詣踊瘜Ｘ?zé)是本單位范疇內(nèi)生產(chǎn)操縱系統(tǒng)信息安

全運(yùn)行工作的責(zé)任人兼信息安全員。其安全職責(zé)：

5.3.7.1.負(fù)責(zé)執(zhí)行公司制定的信息安全策略、治理制度和技術(shù)標(biāo)準(zhǔn)。

5.372.負(fù)責(zé)執(zhí)行責(zé)任范疇內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行

環(huán)境的安全愛護(hù)工作。

5.373.定期向技術(shù)監(jiān)督部門報(bào)告本單位的信息安全情形，對安全缺陷和事故應(yīng)

及時(shí)匯報(bào)。治理信息系統(tǒng)類安全情形向信息中心匯報(bào)，生產(chǎn)操縱系統(tǒng)類安

537.4.全情形向調(diào)度中心匯報(bào)。組織本單位職員進(jìn)行信息安全知識的培訓(xùn)和宣

傳工作。

5375在職能治理部門指導(dǎo)下，完成xxxx信息安全等級愛護(hù)、安全評估、風(fēng)險(xiǎn)

治理及其他工作。

5.3.8.信息安全工作人員

53.8.1.信息安全工作人員差不多要求

5.3.82信息安全工作人員應(yīng)由政治可靠、業(yè)務(wù)素養(yǎng)高、遵紀(jì)守法、恪盡職守的

人員擔(dān)任。

5383信息安全工作人員應(yīng)有運(yùn)算機(jī)專業(yè)工作三年以上經(jīng)歷，及具備本科以.上

學(xué)歷。

53.8.4.兼職信息安全人員應(yīng)有電力生產(chǎn)業(yè)務(wù)工作五年以上或?qū)Ｂ氝\(yùn)算機(jī)治理工

作三年及以上經(jīng)歷，具備專科以上學(xué)歷。

5385違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全相

關(guān)工作。

5.3.86信息安全，作人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解涉及

電力生產(chǎn)、經(jīng)營與治理有關(guān)的信息系統(tǒng)的隱秘信息。

5387信息安全工作人員差不多職責(zé)：

a）信息安全工作人員發(fā)覺本單位重大信息安全隱患，有權(quán)向公司信息中心

報(bào)告。

b）信息安全工作人員發(fā)覺信息工作人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單位、

部門進(jìn)行調(diào)整。

c）信息安全工作人員必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制

度，嚴(yán)守公司商業(yè)隱秘。

5.3.88信息安全工作人員包括信息安全治理人員、信息安全技術(shù)人員、信息安

全審計(jì)員，其相應(yīng)的職責(zé)分別如下：

a）負(fù)責(zé)信息安全治理的日常工作。

b）組織開展信息安全檢查，對信息工作人員安全工作進(jìn)行指導(dǎo)和監(jiān)督。

c）組織開展信息安全知識的培訓(xùn)和宣傳工作。

d）監(jiān)控信息安全總體狀況，提出信息安全分析報(bào)告。

e）及時(shí)向信息安全領(lǐng)導(dǎo)小組和有關(guān)部門、單位報(bào)告信息安全事件。

5.3.9.信息安全技術(shù)人員職責(zé)

a）負(fù)責(zé)信息安全相關(guān)設(shè)備（包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、

防病毒系統(tǒng)等）的bl常運(yùn)行愛護(hù)治理。

b）負(fù)責(zé)防火墻系統(tǒng)策略的安全配置。

c）負(fù)責(zé)定期查看入侵檢測系統(tǒng)日志，對入侵檢測系統(tǒng)發(fā)覺的惡意攻擊行為

進(jìn)行跟蹤處理。

d）負(fù)責(zé)漏洞掃描軟件（包括漏洞庫）的治理、更新和公布。

e）負(fù)責(zé)對網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏

洞掃描。

f）負(fù)責(zé)設(shè)備、系統(tǒng)等補(bǔ)丁升級、安全加固。

g）負(fù)責(zé)定期更新反病毒數(shù)據(jù)庫和程序模塊，定期執(zhí)行皆殺病毒任務(wù)。

h）負(fù)責(zé)定期升級垃圾郵件網(wǎng)關(guān)特點(diǎn)庫、定期愛護(hù)垃圾郵件網(wǎng)關(guān)黑白名單和

規(guī)那么庫設(shè)置.

i）負(fù)責(zé)緊密注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、進(jìn)展情形，關(guān)注和追蹤業(yè)界公

布的攻擊事件。

j）負(fù)責(zé)緊密注意最新漏洞的發(fā)生、進(jìn)展情形，關(guān)注和追蹤業(yè)界公布的漏洞

疫情；

k）負(fù)責(zé)緊密關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報(bào)告、最新惡性病毒的防范

報(bào)警以及應(yīng)急處理方法。

5.3.10.信息安全審計(jì)員職責(zé)

a）負(fù)責(zé)監(jiān)督檢查單位內(nèi)部信息安全審計(jì)制度及事實(shí)上施情形。

b）定期檢查信息系統(tǒng)的用戶權(quán)限設(shè)置及安全配置是否與信息系統(tǒng)安全策規(guī)

定相符合，監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全治理工作。

c）監(jiān)督信息系統(tǒng)的運(yùn)行情形，定期查看日志記錄，對信息系統(tǒng)資源的各種

非法訪問事件進(jìn)行分析、提出安全風(fēng)險(xiǎn)防范計(jì)策。

5.3.11.信息工作人員

信息工作人員包括系統(tǒng)治理員、系統(tǒng)愛護(hù)員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)治理

員、應(yīng)用系統(tǒng)治理員、網(wǎng)絡(luò)治理員、業(yè)務(wù)操作員，其相應(yīng)的安全責(zé)任如下。

5.3.12.系統(tǒng)治理員安全費(fèi)任

a）負(fù)責(zé)系統(tǒng)的運(yùn)行治理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)那么。

b）嚴(yán)格用戶權(quán)限治理，愛護(hù)系統(tǒng)安全正常運(yùn)行。

c）負(fù)責(zé)對所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全配置.，并定期對所管轄的服務(wù)

器操作系統(tǒng)進(jìn)行安全檢查。

d）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件。

e）對進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。

5.3.13.系統(tǒng)愛護(hù)員安全責(zé)任

a）負(fù)送系統(tǒng)愛護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行。

b）不得擅自改變系統(tǒng)配置和功能。

c）不得安裝與系統(tǒng)無關(guān)的運(yùn)算機(jī)程序。

d）愛護(hù)過程中，發(fā)覺安全漏洞應(yīng)及時(shí)報(bào)告信息安全工作人員。

5.3.14.系統(tǒng)開發(fā)員安全責(zé)任

系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準(zhǔn)確實(shí)現(xiàn)。

a）系統(tǒng)投產(chǎn)運(yùn)行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。

b）不得對系統(tǒng)設(shè)置''后門〃或添加''惡意代碼〃,

c）對系統(tǒng)核心技術(shù)保密。

5.3.15.數(shù)據(jù)庫系統(tǒng)治理員安全貢任

a）負(fù)責(zé)數(shù)據(jù)庫治理系統(tǒng)的安裝、備份和愛護(hù)，保證系統(tǒng)的安全、正常運(yùn)行。

b）負(fù)責(zé)對所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置，并定期對所管轄的數(shù)據(jù)庫系

統(tǒng)進(jìn)行安全檢查。

c）負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性，發(fā)覺系統(tǒng)故障及時(shí)排除，

做好系統(tǒng)復(fù)原。

5.3.16.應(yīng)用系統(tǒng)治理員安全責(zé)任

a）應(yīng)依照顧用系統(tǒng)的安全策略，負(fù)責(zé)應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安

全配置。

b）緊密注意應(yīng)用系統(tǒng)運(yùn)行中發(fā)生的系統(tǒng)故障、安全事件，關(guān)注應(yīng)用系統(tǒng)存

在的隱患，收集業(yè)務(wù)用戶的問題反映，及時(shí)報(bào)告信息治理部門和業(yè)務(wù)主

管部門。

c）應(yīng)依照顧用系統(tǒng)運(yùn)行的實(shí)際情形，制定應(yīng)急處理預(yù)案，提交信息治理部

門審定。

5.3.17.網(wǎng)絡(luò)治理員安全責(zé)任

a）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行怡理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)那么。

b）負(fù)責(zé)安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格操縱網(wǎng)絡(luò)用戶訪問權(quán)限，愛護(hù)網(wǎng)絡(luò)安全正

常運(yùn)行。

c）負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及

時(shí)向信息安全工作人員報(bào)告安全事件。

d）負(fù)責(zé)對操作網(wǎng)絡(luò)治理功能的其他人員進(jìn)行安全監(jiān)督。

5.3.18.業(yè)務(wù)操作員安全去任

a）嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全治理制度。

b）不得向他人提供自己的操作口令，不得把PKI數(shù)字證書介質(zhì)借給他人使

用。

c）及時(shí)向系統(tǒng)治理員報(bào)告系統(tǒng)各種專門事件。

5.3.19.一般職員

一般職員的安全責(zé)任如下：

a）每個(gè)職員須有責(zé)任愛護(hù)本單位的運(yùn)算機(jī)資源、設(shè)備及數(shù)據(jù)信息。

b）每個(gè)職員有責(zé)任確保本機(jī)須符合信息安全措施要求，包括加入域、安裝

統(tǒng)一的防病毒軟件、軟件補(bǔ)丁，并定期升級。

c）因工作需要訪問互聯(lián)網(wǎng)的職員，經(jīng)審批后只能使用本單位互聯(lián)網(wǎng)出口。

不得以任何設(shè)備（如手機(jī)、ADSL.MODEM等）私自將本單位運(yùn)算機(jī)接入

互聯(lián)網(wǎng)。

d）離開辦公室或工作區(qū)域，須鎖定運(yùn)算機(jī)屏幕或關(guān)閉運(yùn)算機(jī)。在辦公室之

外的地點(diǎn)工作，須將筆記本電腦置于操縱之下,

e）嚴(yán)格遵守''涉密信息不上網(wǎng)，上網(wǎng)信息不涉密”的紀(jì)律。未經(jīng)授權(quán)不準(zhǔn)

制作、復(fù)制、公布、傳播任何可能泄漏國家隱秘、單位商業(yè)隱秘、工作

隱秘的信息。

f）禁止通過本單位運(yùn)算機(jī)及網(wǎng)絡(luò)訪問不良及政治敏銳網(wǎng)站，禁止傳播、擴(kuò)

散不良或政治敏銳信息，嚴(yán)禁利用本單位運(yùn)算機(jī)及網(wǎng)絡(luò)從事違法活動。

g）發(fā)覺緊急事件（如運(yùn)算機(jī)感染病毒、非法入侵等）時(shí)，須第一斷開網(wǎng)絡(luò)

連接，并及時(shí)報(bào)告信息服務(wù)中心或本單位信息安仝人員處理。

h）不得在單位掃瞄與工作無關(guān)的網(wǎng)站，不得運(yùn)行與工作無關(guān)的軟件，不得

打開來歷不明的肺件，職員在單位網(wǎng)絡(luò)內(nèi)群發(fā)郵件僅能夠用于工作目的。

i）未經(jīng)信息治理部門承諾，職員不得監(jiān)控網(wǎng)絡(luò)流量，不得針對單位內(nèi)的網(wǎng)

絡(luò)或服務(wù)器進(jìn)行安全掃描程序，不得增加網(wǎng)絡(luò)設(shè)備（如HUB、交換機(jī)）到