信息安全手册

1、信 息 安 全 管 理 手 册精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除信息安全管理手册编制： 日期：2015-04-01 审核： 日期：2015-04-01 批准： 日期：2015-04-01 2015-04-01 发布 2015-04-01实施xxxxxxxxx 有限公司发布精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除 版本变更记录 生效日期版本修改说明修改人复审人批准人2015-04-01 v1.0 创建文件精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除目录0.1 手册颁布令 . . 5 0.2 管理者代

2、表任命书. . 6 0.3 管理手册说明. 7 0.3.1用途 . 7 0.3.2依据 . 7 0.3.3手册管理. 7 0.3.4评审与更改. 7 0.3.5其他 . 7 0.4 公司概况. 8 0.5 公司组织结构图. 9 0.6 职责说明 . 10 1 目的 . . 15 2 适用范围 . . 15 3 术语和定义 . 15 4 信息安全管理体系. . 15 4.1 总体要求. 15 4.2 建立和管理isms . . 16 4.3 文件体系. 24 5 管理职责. 26 5.1 管理者的承诺. 26 5.2 资源管理. 27 6 isms 内部审核 . . 29 7 isms 管理评审

3、 . . 29 8 isms 的改进 . . 30 8.1 持续改进. 30 8.2 纠正措施. 31 8.3 预防措施. 31 精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除0.1 手册颁布令颁布令本公司依据 gb/t 22080-2008信息安全管理体系要求 (idt iso/iec27001:2005)编制了 isms管理手册。本isms管理手册是公司信息安全管理体系的总则，是公司实施信息安全管理、增强全员信息安全意识、开展信息安全活动等必须遵循的文件。本公司将采取有力措施，确保信息安全方针为各级人员所理解和掌握，公司的信息安全目标，以及相关的各种控制措施能在全

4、公司内贯彻执行。xxxxx 有限公司的 isms管理手册发布之日起实施，全体员工及相关人员必须认真遵照执行。总经理： xx 2014年 12月 01 日精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除0.2 管理者代表任命书任 命 书为了贯彻执行 gb/t 22080-2008信息安全管理体系要求 (idt iso/iec27001:2005) ，加强对信息安全管理体系建立、实施保持和改进的领导，特任命xxxx 为公司的管理者代表，并赋予isms管理手册中规定的管理者代表与管理体系有关的相应职责和权限。总经理： xx 2014 年 12 月 01 日精品好资料 -如有侵

5、权请联系网站删除精品好资料 -如有侵权请联系网站删除0.3 管理手册说明0.3.1用途管理手册（或简称为手册）是向公司内部和外部提供本公司信息安全管理体系的一致信息的正式文件。0.3.2依据本手册依据 gb/t 22080-2008信息安全管理体系要求 (idt iso/iec27001:2005) ，并结合公司的实际情况编制而成。0.3.3手册管理1手册为公司的受控文件，由综合部按公司的文件控制程序的要求负责统一管理。2手册持有者应对其妥善保管，不得损坏、丢失。3手册持有者调离工作岗位时，应将手册交还管理部，办理核收登记。4未经管理者代表批准，任何人不得将手册提供给公司以外人员。0.3.4评

6、审与更改应定期对管理手册的适用性、持续性、有效性进行评审，包括对手册更改需求的评审。对手册如有修改建议，各部门负责人应及时汇总，并反馈到综合部( 部或管理者代表)，以便得到适宜的评审和采纳。手册的更改由管理者代表主持，综合部按文件控制程序的规定具体实施。手册的更改需得到总经理的批准。手册的更改记录见附录1。0.3.5其他本手册的条款由综合部负责解释，如有争议，由管理者代表予以仲裁。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除0.4公司概况xxxxx 有限公司于 xx年成立，注册资金xx万元。已获得安xxxxxxxx 认证。并获得协同办公管理系统等。公司秉承竭诚奉献社

7、会，以最优、最快的服务回报客户的理念，主要服务于政府、教育、中小型企业等 , 提供系统集成、 it 运维等专业的 it 服务。希望通过我们的专业水平和不懈努力 , 提高客户的信息化程度、信息安全等级。公司不仅仅提供专业的网站策划服务, 同时还建立了完善的售后服务体系, 为企业发展中遇到的问题和困难提供服务。公司地址： xxxxx 电话： xxxxxx 传真： xxxxxx网址： xxxx 精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除0.5 公司组织结构图总经理集成部工程部售后部综合部销售部精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除0.6

8、 职责说明一、销售部岗位职责1、负责产品的市场渠道开拓与销售工作，执行并完成公司产品年度销售计划。 2 、根据公司市场营销战略，提升销售价值，控制成本，扩大产品在所负责区域的销售，积极完成销售量指标，扩大产品市场占有率； 3 、与客户保持良好沟通，实时把握客户需求。为客户提供主动、热情、满意、周到的服务 4 、根据公司产品、价格及市场策略，独立处置询盘、报价、合同条款的协商及合同签订等事宜。在执行合同过程中，协调并监督公司各职能部门操作。 5 、动态把握市场价格，定期向公司提供市场分析及预测报告和个人工作周报。 6 、维护和开拓新的销售渠道和新客户，自主开发及拓展上下游用户，尤其是终端用户。

9、7 、收集一线营销信息和用户意见，对公司营销策略、售后服务、等提出参考意见。 8 。以你司的特点定发挥销售员的积极性，以你司的定位来定。二、工程部岗位职责1、全面负责本部门的各项日常工作；2、负责制定工程部各种工作流程，使本部门的工作及人员安排更加合理，并对即将发生的问题进行预见并采取必要的措施进行处理；3、负责审查监理公司的监理规划和监理细则，审批施工单位的施工组织设计和施工方案，并对以上两个单位定期检查其执行情况；4、负责组织勘测地质报告，施工图的内部审核，参加各项目设计方案会议；精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除5、负责工程招投标、施工合同、工程成本

10、、面积计算管理，并对部门内的工作质量及其合法性承担直接的管理职责；6、负责本部门年度、季度、月度工作计划的制订及组织实施；7、负责组织工程各阶段的分部工程的验收及隐蔽工程的验收；8、负责组织讨论项目实施进度情况的会议，其中包括对质量事故等问题进行分析并监督相关人员进行查改，对于质量问题引起的投诉及时安排人员进行处理；9、负责制订项目分阶段的进度计划和进度控制方案及明确工程管理人员的进度管理职责；10、负责审核施工单位的施工进度总计划和具体单位工程进度计划，审批施工单位分步工程计划和月度进度计划及月度、季度、年度资金使用计划，并督促监理单位和工程具体分管人员的工作；11、负责定期召开部门例会，对

11、工程部近期的工作进行总结；对照原工作计划检查员工工作执行情况，点评工作绩效；12、负责督促工程管理人员做好工程复核工作以及审核施工单位变更联系单；13、负责工程成本预算及审核工程款；14、负责项目总体进度、质量、成本的控制，管理和协调并做好与公司各部门工作的沟通与协调；15、负责审核工程结算及尾款的计算工作；16、完成公司领导交办的各项临时工作；17、负责签发工程部上报公司的各种文件、报表、通知和内部管理规定；18、负责每月定期向上级领导汇报当月完成和进行的主要工作及下月的主要工作安排；每月25 日前完成本月部门工作总结及下月工作计划。三、集成部岗位职责精品好资料 -如有侵权请联系网站删除精品

12、好资料 -如有侵权请联系网站删除1、严格遵守公司管理制度；2、负责公司新产品，新技术的调研、论证、开发、设计工作。3、组织实施研发规划；4、制定研发规范、推行并优化研发管理体系；5、组建公司的技术平台、评估研发平台投资；6、研发部门的团队建设、岗位定义、岗位职责要求、员工考核、资源调度；7、评估产品研发的技术可行性；8、制定新产品开发预算和研发计划，并组织实施9、监控每个研发项目的执行过程；10、组织研发成果的鉴定和评审；11、汇总每个项目的可重用成果，形成内部技术和知识方面的的资源库；12、分析总结研发过程的经验和教训，提高研发质量；13、做好公司标准和专利 ( 知识产权 ) 规划，实施相关

13、标准及申请专利，代表公司参与标准协会或者标准组织；14、公司未来的业务发展的预研，如产品预研和技术预研；15、规划组织现有产品的改进；16、制定并实施研发人员的培训计划；17、按工作程序做好与销售部等相关部门的横向沟通，及时解决部门之间的争议。18、完成上级交办的其他工作。四、综合部岗位职责综合管理部是公司行政和人力资源、财务主管部门，其工作职责是： 1、组织研究拟订公司经营理念和战略、公司近、中、远期经营计划，提出公司组织机构、岗位编配方案；精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除2、负责建立和督促执行公司各项管理制度，并根据执行情况定期予以修订完善；3、维持

14、公司正常的办公和生产经营秩序，发现不利于办公和生产经营活动的现象立即予以纠正；4、负责公司综合文电的起草、审核、印发和流转、公司主要领导的日程和外出交通安排等秘书工作；5、负责公司文件和档案的收集、归类、整理、登记、保管、借阅和销毁；6、组织召开公司层级的各类会议，并做好会议记录，督促会议决定的落实；7、负责公司印章管理8、负责或牵头组织承办公司各种资质的报批、认证、复审和年检；9、与政府有关部门及有业务往来的其他单位保持联系，建立良好的工作关系。负责重要来宾的接待工作；10、根据公司领导指示，协调公司内部有关部门共同完成工作；11、根据需要，组织参加国内外展览会和交易会；12、负责构建与维护

15、公司办公和生产经营用计算机网络，保证计算机和网络的安全正常使用，及时纠正违规使用。负责建立、维护和更新公司网站；13、负责企业文化建设；14、负责公司固定资产管理，逐项登记造册。负责物业管理费、水电费报批支付。及时安排修复损坏的办公设施、设备，保持办公区域内的环境卫生；15、统一调配使用公司公务用车，控制油料和车辆维修等车辆使用经费支出，加强司机安全行车教育；16、全面负责员工招聘、培训、考核、奖惩、调整晋升、离职等人力资源管理工作。17、贯彻执行会计法及国家有关各项法规和规章制度。严格执行国家的企业会计准则、和上级的会计核算办法、投融资资管理办法。精品好资料 -如有侵权请联系网站删除精品好资

16、料 -如有侵权请联系网站删除18、制定企业财务管理的各项规章制度并监督执行。19、配合协助企业年度目标任务的制订与分解，编制并下达企业的财务计划，编制并上报企业年度财务预算，指导企业司的财务活动。20、负责企业的财务管理、资金筹集、调拨和融通，制定资金使用管理办法，合理控制使用资金。21、负责成本核算管理工作，建立成本核算管理体制系，制定成本管理和考核办法，探索降低目标成本的途径和方法。22、负责企业网上银行的安全与正常运营，负责下属各企业应上缴费用、下达与收缴工作。23、负责企业的资产管理、债权债务的管理工作，参与企业的各项投资管理。24、负责企业年度财务决算工作，审核、编制上级有关财务报表

17、，并进行综合分析。25、负责企业的会计电算化管理工作，制定相关规章制度，保证会计信息真实、准确和完整。26、负责企业的纳税管理，运用税收政策，依法纳税，合理避税。27、负责财务会计凭证、账簿、报表等财务档案的分类、整理和移交档案。28、根据企业财务总监管理办法有关条款规定，对派往各股份公司的财务总监的工作进行管理和考核。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除1 目的为了建立、健全公司的信息安全管理体系，实现xxxxx 有限公司的信息安全方针和目标，对信息安全风险进行更有效地管理，确保全体员工理解并执行信息安全管理体系文件、持续改进管理体系的有效性，特制定本手册

18、。2 适用范围本手册适用于 xxxxx 有限公司信息安全管理体系涉及的所有人员和公司的全部重要信息资产及过程。3 术语和定义 gb/t22080-2008 信息技术安全技术信息安全管理体系要求规定的术语和定义适用于本手册。 isms: information security management systems 信息安全管理体系 soa: statement of applicability 适用性声明 pdca：plan do check action 计划、实施、检查、改进。4 信息安全管理体系4.1 总体要求本手册是公司在整体业务活动和所面临风险的环境下规定如何建立、实施、运行、监视、

19、评审、保持和持续改进isms 的文档。公司运用gb/t22080 图 1所示的 pdca 模型建立和管理 isms。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除4.2 建立和管理isms 4.2.1 建立 isms 4.2.1.1 确定 isms 范围根据公司的业务特征、组织结构、地理位置、资产和技术定义isms 范围和边界，包括在范围内任何删减的细节和理由（见适用性声明）。公司 isms 的范围和边界包括：1)业务范围：2)物理范围：4.2.1.2 确定 isms 方针信息安全方针必须反映企业的意愿，通过总经理的批准，并且能够传达给所有员工和外部各方。信息安全方针

20、是：“充分发挥每一位员工的个性和创造力，创造让每位员工都能感受到自身价值的企业文化。在此基础上，我们以先进的信息通信技术回报客户的信赖和期待。为实现便捷舒适，繁荣丰富的社会贡献自己的力量。 ”精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除着眼于公司长期持续稳定的发展，合法保护公司自助知识产权，有效控制公司各类信息。杜绝机密信息泄露；控制在任何情况下不发生导致业务中断的信息安全事故。在发生重大不可抵抗力的灾难事件时可迅速有效恢复与顾客有关的运营信息安全事件发生时，以损失最小化、恢复时间最短化、避免再次发生为目标。4.2.1.3 确定风险评估方法为了能够顺利进行风险评估，

21、应根据以下方面进行；1)识别适合 isms 要求的风险评估方法；2)信息安全风险评估程序中定义风险接受的准则和可接受的风险级别；3)信息安全风险评估程序中要包含比较的和可再现的风险评估方法。4.2.1.4 识别风险应对公司的信息资产进行梳理，并且根据以下几个方面进行风险识别。1)识别 isms 范围内的信息资产及其责任人；2)根据信息安全风险评估程序及信息标识与处理程序对信息资产进行分类分级；3)识别信息资产所面临的威胁；4)识别可能被威胁利用的脆弱性；5)识别丧失保密性、完整性和可用性可能对信息资产造成的影响。4.2.1.5 分析和评价风险公司根据以下流程来进行风险评估。精品好资料 -如有侵

22、权请联系网站删除精品好资料 -如有侵权请联系网站删除1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全侵害肯能造成的对公司的影响；2)针对主要的威胁和脆弱性，结合当前所实施的控制措施，对信息资产产生影响的可能性；3)估计风险的级别；4)根据所建立的风险接受的准则，确定是否接受风险/降低风险 /避免风险 /转移风险。4.2.1.6 识别和评价风险处理的可选措施对识别的风险，根据风险评估的结果，从下面4 个选项来进行风险评价；1)对识别的风险采取适当的控制措施，降低风险到可接受级别；2)在明显满足公司的信息安全方针和条款中定义的风险接受的准则条件下，有意识的客观的接受风险。3

23、)避免风险；4)将相关业务风险转移到其他地方，如：供应商、其他相关者。4.2.1.7 为处理风险选择控制目标和控制措施选择的控制目标和控制措施应满足风险评估和风险处理过程中所识别的要求，并考虑条款中接受风险的准则及法律和合同要求。4.2.1.8 获得管理者对建议的残余风险的批准总经理确认信息安全总负责人上报的残余风险和风险处理计划后，批准并下达整改指示。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除4.2.1.9 获得管理者对实施和运行isms 的授权信息安全总负责人在得到管理者的批准后，开始实施和运行isms。4.2.1.10准备适用性声明根据选择的控制措施和控制目

24、标，形成适用性声明文档。4.2.2 实施和运行isms 4.2.2.1 制定风险处理计划为了能够得到管理者的支持，要根据风险评估的结果、业务要求和法律法规的要求，来确定风险处理的优先顺序，制定风险处理计划。制定信息安全风险处理计划。4.2.2.2 实施风险处理计划实施风险处理计划要注意以下事项：1)合理安排资金的分配；2)实施角色和职责分配要明确；3)基于风险处理计划进行进度管理；4)实施结束的时候，要确认实施效果并汇报结果。4.2.2.3 实施所选择的控制措施要把风险处理的控制措施的内容在全体员工中进行宣贯，以确保控制措施的顺利实施。为达到控制目标，要在全体员工中贯彻执行控制措施；实施控制措

25、施的程序不完备的时候，要进行评审修订，根据制定的程序，实施控制程序。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除4.2.2.4 制定控制措施有效性的测量方法和评价制定控制措施有效性的测量方法，对已实施的控制措施进行评价，并把结果汇报给信息安全总负责人。制定信息安全控制措施测量程序，并在各部门中开展实施，把有效性的测量结果作为管理评审的输入。4.2.2.5 实施培训和意识教育制定 isms 相关的培训计划，并得到信息安全总负责人的批准，除了全员的教育培训，各部门根据需要，要在部门内开展教育并记录。4.2.2.6 管理 isms 的运行为保证 isms 的准确运行，应制

26、定isms 年度计划，根据 isms 年度计划进行推进和进度管理。isms 的日常运行中，信息安全总负责人要指示相关人员定期召开项目进度报告会，确认 isms 的运行状况，并解决相关问题。4.2.2.7 管理 isms 的资源明确 isms 运行，保持、改进所需的资源，资源管理参照本手册内容执行，isms 运行所需的资源要定期进行评审修订。4.2.2.8 实施能够迅速响应信息安全事件的控制措施检测到安全事件以及遭遇到安全事件时，要根据信息安全事件管理程序中规定的汇报程序，迅速进行汇报并采取相应的处理措施。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除4.2.3 监视和

27、评审isms 4.2.3.1 监视和评审程序及其他控制措施的执行根据以下几个方面来执行监视和评审程序及其他控制措施。1) 为使每位员工能迅速检测到过程运行结果中的错误，要制定日常检测项目并督促执行。2) 对于试图和得逞的安全违规安全事件，部门安全主管要让当事人迅速做出汇报，风险识别后汇报信息安全总负责人。3) 信息安全总负责人要指示信息安全推进工作组确定isms 的建立、运行、保持、改进所导入的安全活动是否被如期执行，在isms 管理评审的时候由其负责向总经理汇报。4) isms 审核组长从预期效果、有效性、守法性等角度进行isms 的内部审核，并且把结果汇报给信息安全总负责人。5) 为了能容

28、易检测出安全事态，部门安全主管和信息安全推进工作组要制定检测指标，帮助检测安全事态并预防安全事件。6) 各部门安全主管和信息安全推进工作组要确定解决安全违规的措施是否有效，是否有必要追加控制措施，有必要时，切实实施追加的控制措施。4.2.3.2 isms 有效性的定期评审在 isms 管理评审之前，信息安全推进工作组要进行isms 有效性的定期评审，并做出汇报。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除4.2.3.3 控制措施有效性的测量信息安全推进工作组为了验证安全要求是否被满足，要委托各部门进行控制措施有效性的测量，然后汇总整理所有的测量结果，信息安全总负责人

29、批准后，负责在isms 管理评审的时候进行汇报。4.2.3.4 残余风险和可接受的风险级别的评审信息安全推进工作组要每年进行评审，在风险评估之前，通过考虑各方面的变化，对残余风险和已确定的可接受的风险级别进行评审。评估结果向信息安全总负责人汇报，然后由信息安全总负责人提交总经理批准。4.2.3.5 isms 内部审核的实施isms 内审员按照本手册规定的时间及内容对isms 进行内部审核，并形成报告，在isms 管理评审中进行汇报。4.2.3.6 isms 管理评审的实施按照本手册规定的内容进行isms 的管理评审。4.2.3.7 安全计划的更新信息安全推进工作组要对各部门监视和评审中检测出的

30、结果进行讨论，如果isms 年度计划中的内容有必要变更的话，要经信息安全总负责人的批准后实施更新，然后在各部门开展执行。4.2.3.8 措施和事件的记录信息安全总负责人要指示部门安全主管和信息安全推进工作组根据以下内容进行记录：精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除记录可能影响 isms 有效性的措施和事态；记录可能影响 isms 执行情况的措施和事态。4.2.4 保持和改进isms 在信息安全总负责人批准的基础上，部门安全主管为确保isms 的充分性和有效性，要保持 isms 的运行并不断地进行改进。4.2.4.1 措施和事件的记录公司员工，根据以下的具体程

31、序实施已识别的isms 改进措施。1) 识别应该被 isms 采纳的改进措施；2) 与相关者讨论被识别的改进措施以达成一致的意见；3) 实施已识别的 isms 改进措施。4.2.4.2 采取纠正和预防措施公司员工根据以下的具体程序采取适宜的isms 保持、改进所必须的纠正和预防措施。1)纠正措施根据本手册8.2 内容进行；2)预防措施根据本手册8.3 内容进行；3)信息安全总负责人、部门安全主管从其他组织吸取安全经验教训，收集纠正和预防措施的相关情报并付诸于实践；4)公司员工要致力于保持和改进isms 所必须的安全技术的学习。4.2.4.3 与利益相关方沟通和改进措施公司员工在跟所有的利益相关

32、方传达和沟通已实施的或即将实施的措施和改进内容时，要注意以下方面的内容。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除1)要向所有的利益相关方传达与现状相适应的改进措施；2)必要时，要与所有的利益相关方一起商讨今后的改进措施。4.2.4.4 确保改进达到了预期目标在 isms 管理评审和部门的项目实施例会上，信息安全总负责人要听取关于改进目标和改进内容的汇报，确保改进达到了预期效果。4.3 文件体系4.3.1 isms 文件文件应包括管理决策记录，以确保所采取的措施符合总经理的决定和方针，还应确保记录的结果是可重复产生的。并且，文件应该能够显示出所选择的控制措施回溯到

33、风险评估和风险处理过程的结果，并进而回溯到 isms 方针和目标之间的关系。文件层次如下：1) 一级文件：是公司在isms 方面的行动纲领和方针性文件。包括：本手册、信息安全管理体系职责、适用性声明2) 二级文件：是建立isms 和过程管理方法的基础，其中规定了公司在信息安全活动中所要遵守的重要原则和实施程序等。包括：信息安全风险评估程序、内部审核程序、文件控制程序、记录控制程序等。3) 三级文件：是二级文件在各部门的的本地化和isms 运行过程中产生的一些事务性管理文件。包括具体的使用手册、指南等。4) 四级文件：是 isms 运行过程中产生的各种记录性文件，如会议记录、培训记录、内部审核记

34、录等。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除4.3.2 文件管理isms 所要求的文件应予以保护和控制，符合isms 的要求，并持续改进。应规定以下方面所需的管理措施：1) 文件发布前得到批准，以确保文件是适当的；2) 必要时对文件进行评审、更新并再次批准；3) 确保文件的更改和现行修订状态得到标识；4) 确保在使用处可获得使用文件的相关版本；5) 确保文件保持清晰、易于识别；6) 确保文件对需要的人员可用，并依据文件适用的类别程序进行传输、储存和最终销毁；7) 确保外来文件得到识别；8) 确保文件的分发得到控制；9) 防止作废文件的非预期适用。文件管理的具体

35、内容参考文件控制程序进行。4.3.3 记录管理记录应建立并加以保持，以提供符合isms 要求和有效运行的证据。记录应加以保护和控制。 isms 的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录管理的内容详见记录控制程序。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除5 管理职责5.1 管理者的承诺总经理对 isms 的规划（ p），实施（ d）、检查（ c）、处置（ a）需提供必要的承诺和资源，并且为公司员工提供执行isms 职责所必须的教育培训。对建立、实施、运行、监视、评审、保持和改进isms 的充分性和有效性的以下活动，总经理要提供必

36、要的承诺。5.1.1 评审 isms 的基本方针每年一次，对本手册的制定和评审进行指示和批准。5.1.2 制定 isms 的基本目标为了加强 isms 活动和信息安全，总经理要下达以下指示：1) 每年一次，让部门安全主管制定部门的安全目标；2) 信息安全部门主管要把制定的安全目标作为本部门的课题，在本部门员工内宣贯；3) 信息安全推进工作组制定年度计划，向信息安全总负责人汇报，信息安全总负责人根据年度计划管理 isms 的运行。5.1.3 建立信息安全的角色和职责为确保信息安全，明确必要的角色和相应的职责，并组建相应的体制结构。1) 任命管理 isms 运行的信息安全总负责人；2) 任命确保

37、isms 充分性和有效性的isms 审核组长；3) 制定 isms 的建立、保持、改进所需的体制结构的文档和定期评审；精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除5.1.4 向公司传达适宜的要求和持续改进的重要性对全体员工，以下的事项要进行传达贯彻：1) 达成信息安全目标的重要性；2) 适宜的信息安全方针的重要性；3) 履行法律责任的重要性；4) isms 持续运行的重要性。5.1.5 为建立、实施、运行、监视、评审、保持和改进isms 提供足够的资源公司应确保并提供本手册5.2.1项规定的各种资源。5.1.6 决定接受风险的准则和风险的可接受级别参考信息安全风险评

38、估程序程序实施；5.1.7 确保 isms 内部审核的执行每年， isms 内审组长要根据内部审核程序制定内部审核计划，督促内部审核的执行，并且要确认内审的结果。5.2 资源管理5.2.1 资源提供为了实施，保持公司的isms，并持续改进其充分性和有效性，公司应确保并提供所需的资源。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除5.2.1.1 建立、实施、运行、监视、评审、保持和改进isms 组建建立、实施、运行、监视、评审、保持和改进isms 的所需人员，确保isms 运行，保持和改进所需的费用。5.2.1.2 确保信息安全程序支持业务要求确认业务要求，制定相应的信

39、息安全操作程序，确保实施这些程序所需的人员和费用。5.2.1.3 识别和满足法律法规要求以及合同中的安全义务确保制定合规性控制程序所需的人员以及实施相应的控制措施。5.2.1.4 通过正确实施所有的控制措施保持适当的安全基于适用性声明，确保为实施所采用的控制措施所需的人员和费用，风险处理计划、纠正计划中所需要的资源投入和实施。5.2.1.5 必要时进行评审，并适当响应评审的结果评审基于安全事态，安全事件以及误操作等的信息安全经验中采取过的控制措施程序，确保评审控制程序所需的人员和费用。5.2.1.6 在需要时，改进isms 的有效性在发现 isms 缺陷、缺点时，为实施改进措施所需的人员和费用

40、的确保。5.2.2 培训、意识和能力为了达到 isms 目标，信息安全总负责人应通过以下方式，让公司的所有员工和相关人员意识到信息安全活动的适当性和重要性，并确保所有负担isms 职责的人员具有执行任务的能力。精品好资料 -如有侵权请联系网站删除精品好资料 -如有侵权请联系网站删除5.2.2.1 评价所提供的培训和所采取的措施的有效性信息安全部门主要要向信息安全总负责人汇报本部门员工的能力培训结果，信息安全推进工作组汇总部门的培训结果，向信息安全总负责人汇报，信息安全总负责人评价是否达到培训目标。5.2.2.2 培训结果的记录部门安全主管要管理本部门的教育、培训、技能、经理和资格的培训记录。6 isms 内部审