ISO27001信息安全管理手册(10章高阶版)

1、信息安全管理手册（依据 GB/T 22080-2016 idt ISO/IEC27001:2013 标准编制）编 号：ISMS-A-01版本号：VI. 0编制：日期：2021-8-3审核：日期：2021-8-3批准：日期：2021-8-3受控文件受控状态修订记录版本编写人审核人批准人修订日期修订说明VI. 02021-8-3创建 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 概述51. 1颁布令51. 2任命书61.3手册说明71. 3. 1 总则71. 3. 2信息安全管理手册的批准71. 3. 3信息安全管理手册的发放、作废与

2、销毁71. 3. 4信息安全管理手册的修改71. 3. 5信息安全管理手册的换版81. 3. 6信息安全管理手册的控制8 HYPERLINK l bookmark8 o Current Document 规范性引用文件9 HYPERLINK l bookmark10 o Current Document 术语和定义9 HYPERLINK l bookmark12 o Current Document 组织环境9 HYPERLINK l bookmark14 o Current Document 1理解组织及其环境9 HYPERLINK l bookmark16 o Current Docume

3、nt 2理解相关方的需求和期望9 HYPERLINK l bookmark18 o Current Document 3确定ISMS的范围9 HYPERLINK l bookmark20 o Current Document 4信息安全管理体系104. 4. 1 总则104.2 ISMS体系过程方法10 HYPERLINK l bookmark22 o Current Document 领导作用11 HYPERLINK l bookmark24 o Current Document 5.1领导作用和承诺11 HYPERLINK l bookmark26 o Current Document 5

4、.2 ISMS管理方针11 HYPERLINK l bookmark32 o Current Document 3组织架构、职责和权限113. 1 ISMS管理体系组织架构图113.2 ISMS管理职能分配113. 3 职责和权卩艮11 HYPERLINK l bookmark34 o Current Document 规划12 HYPERLINK l bookmark36 o Current Document 1风险和机遇的应对措施12 HYPERLINK l bookmark40 o Current Document 支持127.1资源121. 1 总则131.2基础设施131.3 ii程

5、环境131.4监视和测量设备137. 1. 5 知识14 HYPERLINK l bookmark42 o Current Document 2能力14 HYPERLINK l bookmark44 o Current Document 7. 3意识14 HYPERLINK l bookmark46 o Current Document 7. 4沟通14 HYPERLINK l bookmark48 o Current Document 7. 5文件记录信息157. 5. 1文件体系结构157. 5. 2文件控制167. 5. 3记录控制17 HYPERLINK l bookmark50 o

6、Current Document 运行17 HYPERLINK l bookmark52 o Current Document 1运行的策划和控制171. 1 ISMS运行总要求182信息安全风险评估18& 2. 1风险评估的方法18& 2. 2识别风险188.2.3分析和评价风险18& 2. 4识别和评价风险处理的选择18 HYPERLINK l bookmark54 o Current Document 3信息安全风险处置19 HYPERLINK l bookmark56 o Current Document & 3. 1相关文件19 HYPERLINK l bookmark58 o Cu

7、rrent Document 绩效评价19 HYPERLINK l bookmark60 o Current Document 9.1监视、测量、分析和评价199.2内部审核19 HYPERLINK l bookmark62 o Current Document 3管理评审203. 1总则203. 2评审输入203. 3评审输岀2110改进21 HYPERLINK l bookmark64 o Current Document 1不符合和纠正措施21 HYPERLINK l bookmark66 o Current Document 10.2持续改进22 HYPERLINK l bookmar

8、k68 o Current Document 10.3纠正措施23 HYPERLINK l bookmark70 o Current Document 4预防措施23 HYPERLINK l bookmark72 o Current Document 附录1-组织简介24附录2-组织架构图25 HYPERLINK l bookmark74 o Current Document 附录4-信息安全小组成员29附录5-服务器拓扑图29 HYPERLINK l bookmark78 o Current Document 附录6-信息安全职责说明301概述1.1颁布令为提高我公司的信息安全管理水平，保障

9、公司业务活动的正常进行，防止由于信息 安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失, 我公司开展贯彻GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理体系 要求 标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了深圳市XXX科 技有限公司信息安全管理手册。信息安全管理手册经评审后，现予以批准发布。信息安全管理手册的发布，标志着我公司从现在起，必须按照信息安全管理体 系标准的要求和公司信息安全管理手册所描述的规定，不断增强持续满足顾客要求、 相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助

10、服 务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。信息安全管理手册是公司规范内部管理的指导性文件，也是全体员工在向顾客 提供服务过程必须遵循的行动准则。信息安全管理手册一经发布，就是强制性文件, 全体员工必须认真学习、切实执行。深圳市XXX科技有限公司总经理：2021-8-31. 2任命书任命书为贯彻执行GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理体系 要求， 加强对信息管理体系运行的领导，特任命*为公司管理者代表。授权信息安全管理者代表有如下职责和权限：1）确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管

11、理体系；2）负责与信息安全管理体系有关的协调和联络工作；3）确保在整个组织内提高信息安全风险的意识；4）审核风险评估报告、风险处理计划；5）批准发布程序文件；6）主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7）向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理 体系运行情况、内外部审核情况。本任命书自任命日起生效执行。深圳市XXX科技有限公司总经理：2021-8-31.3手册说明3. 1总则信息安全管理手册的编制，是用以证明已建立并实施了一个完整的文件 化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产， 并根据资产的不同级别风险采取与之相

12、对应的处理措施。信息安全管理手册为审核信息安全管理体系提供了文件依据。信息安全管理手册证明公司已经按照GB/T 22080-2016 idt IS0/IEC 27001:2013标准的要求建立并实际运行一套信息安全管理体系。信息安全管理 手册的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展 各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1. 3. 2信息安全管理手册的批准管理者代表负责组织信息安全小组编制信息安全管理手册及其相关规章 制度，总经理负责批准。1.3.3信息安全管理手册的发放、作废与销毁（1）综合管理部负责按文件控制程序的要求，进行信息安全管理手 册的登

13、记、发放、回收、归档、作废与销毁工作。（2）各相关部门按照受控文件的管理要求对收到的信息安全管理手册 进行使用和保管。（3）综合管理部按照规定发放修改后的信息安全管理手册，并收回失 效的文件做出标识统一处理，确保有效文件的唯一性。（4）综合管理部保留信息安全管理手册修改内容的记录。1. 3. 4信息安全管理手册的修改信息安全管理手册如根据实际情况发生变化时，应用信息安全体系相关 部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方 可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册 实施修改后，应及时发布修改信息，通知相关人员。信息安全管理手册的修改分为两

14、种：一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文 档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、 信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况 下，需要对本手册进行改版。本手册的改版应该对改版前的信息安全管理手册 原件进行保存。在出现下列情况时，信息安全管理手册可以进行修改：信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改 进内部信息安全提出新的需求组织机构和职能发生变化经营环境和产品结构有调整发现本手册中存在差错或不明确之处引用的法规或体系标准有修改体

15、系审核或管理评审提出改进要求本手册的更改控制按文件管理程序执行1.3.5信息安全管理手册的换版信息安全管理手册进行换版，换版应在管理评审时形成决议，重新编制、 审批工作。 当依据的GB/T 22080-2016 idt IS0/IEC 27001:2013信息安全管理体系有 重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改 变的。相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生 改变的。信息安全管理手册发生需修改部分超过1/3时。信息安全管理手册执行已满三年时。1.3.6信息安全管理手册的控制（1）信息安全管理手册标识分受控文件和非受控文件：受控文件发放范围

16、为公司领导、各相关部分的负责人、审计部或者内审员。 非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。（2）信息安全管理手册分为书面文件和电子文件两种。2规范性引用文件GB/T 22080-2016信息技术 安全技术信息安全管理体系要求；GB/T 22081-2016信息安全管理实用规则；与公司运营相关的法律法规和技术标准。3术语和定义本手册采用GB/T 22080-2016 idt IS0/IEC 27001:2013标准的术语和定义，并根 据需要在相应章节所描述的要求中，增补了所涉及的术语和定义；本手册出现的术语“产品”指的是公司提供的产品和服务； ISM

17、S-Integrated Management System的缩写，代表信息安全管理体系；4组织环境4.1理解组织及其环境公司定期识别和信息安全管理目标相关，并影响实现信息安全管理预期结果的内外 部问题。2理解相关方的需求和期望本公司确定：a）与ISMS有关的相关方；b）这些相关方与信息安全有关的要求。3确定ISMS的范围应用范围：本信息安全管理手册规定了深圳市XXX科技有限公司信息安全管理体系 涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理 体系持续改进等方面内容。产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理 活动区域范围：广东省深圳市八

18、卦岭八卦路31号众鑫科技大厦1310室 组织机构范围：管理层、技术部、销售部、综合管理部4信息安全管理体系4. 1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全 员的信息安全意识，对信息安全风险进行有效管理，使全公司贯彻落实安全方针 和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影 响到信息安全的各种风险，防止安全事故的发生。同时确保全体员工理解并遵守 执行信息安全管理体系文件，持续改进信息安全管理体系的有效性，树立公司良 好的服务形象，增强用户对公司的技术和管理水平的信心，保证公司业务可持续 开展，特制定本信息安全管理手册。4. 2 ISMS体系

19、过程方法计划并建立相关方/第三方相关方/第三方监控并评审实施并运行信息安全管理5领导作用5.1领导作用和承诺总经理领导信息安全工作，并确定相应的职责和作用。制定信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。向公司传达满足信息安全目标以及信息安全方针，以及法律责任和持续改进的重 要性。提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS；决定可接受风险的标准和可接受风险的等级；确保按照标准严格执行ISMS内部审核并进行管理评审。5.2 ISMS管理方针一、信息安全管理方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行， 实现业务可持续发展，本公司根据

20、组织的业务特征、组织结构、地理位置、资产 和技术确定了信息安全管理体系方针：满足客户要求，保障信息安全，遵守法律法规，持续改进管理。二、信息安全管理目标针对客户信息安全事件的投诉每年不超过1次重要信息设备丢失每年不超过1起机密和绝密信息泄漏事件每年不超过1次三、信息安全管理适用范围本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三 方的工作人员等所有与信息资产相关的部门与人员。3组织架构、职责和权限3. 1 ISMS管理体系组织架构图附录2-组织架构图3.2 ISMS管理职能分配见附录3-职能分配表3. 3职责和权限见附录8-信息安全职责说明6规划1风险和机遇的应对措施信息安全

21、小组组织有关部门根据风险评估结果，形成风险处理计划，该 计划明确了风险处理责任部门、负责人、处理方法及完成时间。对于信息安全风险和给予，应考虑控制措施与费用的平衡原则，选用以下适 当的措施：控制风险，采用适当的内部控制措施。接受风险（不可能将所有风险降低为零）；避免风险（如物理隔离）；转移风险（如将风险转移给保险者、供方、分包商）。2信息安全目标及其实现规划2. 1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。信息安全目标应：a）与信息安全方针保持一致b）可测量；c）考虑适用的要求，以及风险评估和风险处置的结果；d）得到沟通；e）适时更新。组织应保持有关信息安全目标的文件化

22、信息。2.2在策划信息安全目标的实现时，公司确定：a）采取的措施；b）所需的资源（见7.1）；c）责任人；d）完成的时间表；e）如何评价结果。7支持7.1资源1. 1总则总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的 资源，应考虑现有的资源、能力、局限；1.2基础设施组织应识别、提供并保持实现产品/服务符合性所需的基础设施，这些设施包括：工作场所相应的设施（办公电脑、服务器、软硬件、机房等）；服务过程设备，如各种通讯设备、监控设备和客户服务管理系统、业务系统（软 件）等；维修保养和保障设施（各种辅助设施、安全防护设施等）；支持性服务，如运输、通讯信息系统等。1.

23、3过程环境公司各部门应识别提供产品/服务所需环境中人和物的因素，并对其加以有效的控 制，保证提供产品/服务过程中的人员、财产安全。过程环境可包括物理的、社会的、心理的和环境的因素。1. 4监视和测量设备对照国际或国家的测量标准，在规定的时间间隔或在使用前进行校准和检定，如果 没有上述标准的，应记录校准或检定（验证）的依据，以确保下列设备处于正常状态：开发用途的电脑设备；测试用途的电脑设备；开发用途的软件；测试用途的软件；集成项目使用的设备。处于正常状态的设备应具备下列特征：设备的型号能够符合预期的使用目的；无论设备处于待用状态还是处于使用状态，设备均是正常的；设备得到周期性的养护和校正，并标识

24、其校准状态；必要时，各部门使用设备进行测量前，应再次校准设备；测试软件应确认其具有满足预期用途的能力，初次使用前应进行确认，必要时 可以进行重新确认。当发现软件或设备不符合要求时，应对以往的测量结果进行有效性评价和记录，并 对受影响的产品采取适当的措施。校准和检定结果的记录应予保存。7. 1. 5知识公司应确保ISMS管理体系运行过程中，提供产品/服务的符合性和顾客满意所需的 知识。这些知识应得到保持、保护、需要时便于获取。在应对变化的需求和趋势时，组织应考虑现有的知识基础，确定如何获取必需的更 多知识。7. 2能力公司应根据岗位所需的教育、培训、技能和经验要求，安排人员，以确保影响产品 /服

25、务质量和信息安全的人员素质满足岗位的需要，能胜任其工作。对于人员的配置，公司人事行政部应定岗定编并制定完善的岗位说明文件。公司在员工培训管理程序中对在职培训、人员的意识的灌输和工作能力的增长 作了要求，以便：确定从事影响产品/服务质量和信息安全的人员（包含营销、服务提供、质量检 查、IT开发、顾客沟通、顾客信息反馈等）所必须的工作能力及培训需求；提供培训或采取其他措施，以满足所确定的需求并确保达成必须的能力；对培训的有效性进行评价；确保员工能意识到他们工作的相关性和重要性，以及他们如何为达到ISMS目标 做出努力；保存有关教育、经验、培训、资格的适当的记录。7. 3意识公司应确保工作的人员意识

26、到： ISMS管理方针；相关的信息安全目标；他们对信息安全管理体系有效性的贡献，包括改进绩效的益处；偏离信息安全管理体系要求的后果。7. 4沟通管理者代表为信息安全沟通交流主管部门，负责内、外部信息的交流与管理，及时 将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟 通交流工作，收集与外部相关方的信息资料，并保存回复的证据。7. 4. 1内部信息信息安全方针、目标及实施方案资产识别与风险评估职责与权限的传达与落实培训教育的实施与效果监控与测量结果的反馈及法律、法规的符合情况不符合的纠正和预防措施的执行情况紧急状态下的信息等7. 4. 2外部信息信息安全方针通报相关方

27、，对外宣传；法律、法规的获取与监测及执法部门的联络；监控、检测结果的外部联络和接受、答复；认证与监督审核；7. 4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定信 息安全沟通协调管理程序规范信息安全沟通过程，必要时，保留信息交流相关证据。7. 5文件记录信息7. 5. 1文件体系结构信息安全管理体系的文件由上而下分为四个层次，如下图所示：表单记录信息安全管理体系文件包括：（1）管理手册（信息安全手册、信息安全策略）：规定信息安全管理体系的文件, 是公司内部的信息安全法规，阐述了信息安全管理体系的方针、目标、范围、组织结构 和职责权限，同时描述了信息安全管理体系的主体文件（

28、程序文件），是信息安全管理 体系的纲领性文件。（2）程序文件：是信息安全手册的支持性文件，规定了实施与信息安全管理体系 有关的各项活动的途径和方法，是各项活动得以有效实施的保障。与信息安全管理体系 有关的各项活动必须按照程序文件规定实施，并定期对其进行评审，保持其有效性。（3）作业指导、规范规章制度、计划等：是现场或岗位使用的详细工作文件，是 程序文件的支撑和补充性文件，是信息安全管理体系过程得以有效策划、运行、控制所 需要的文件，也是信息安全活动的基础文件。（4）表单记录：通过表单模板，对信息安全管理体系实施的一系列活动进行规范, 形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进

29、的客观证据。信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息 安全小组组织协调各相关部门共同完成编写。支持文件：文件控制程序7. 5. 2文件控制综合管理部组织编制文件控制程序，确保信息安全管理体系的文件在以下几个 方面得到控制：（1）文件发布前得到批准，以确保文件是充分与适宜的。（2）管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实 际运作的一致性，充分保障文件的有效性、充分性和适宜性。（3）确保文件的更改和现行修订状态得到识别。（4）确保在使用处可获得适用文件的有关版本。（5）确保文件保持清晰、易于识别。（6）确保综合管理部确定的体系所需的外来文件

30、得到识别，并控制其分发。（7）防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件 进行适当的标识。（8）具体执行按文件控制程序的规定，对文件的审核、批准、发布、变更、 修改、废止等环节进行控制。支持文件：文件控制程序7. 5. 3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据，对记录的 标识、储存、保护、检索、保管、废弃等事项进行了规定，各部门应根据记录控制程 序的要求采取适当的方式妥善保管信息安全记录，具体记录如下：（1）建立并保持记录，以提供符合要求和信息安全管理体系有效运行的证据。（2）保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任

31、。记 录应保持合法，易于识别和检索。（3）编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和 处置所需的控制。（4）记录的要求和管理：真实、完整、字迹清晰，可识别是何种产品或项目的何种活动。填写及时、禁止未经许可的更改。各部门应对本部门的记录自行归档保存，保存环境应适宜，以防止记录损坏、 变质和丢失，保管方式便于存取和检索。记录的保存期限应根据产品的特点、法规要求及合同要求来决定，见“记录清 单”。超过保存期的质量记录处理应按审批规定进行处置。支持文件：记录控制程序8运行& 1运行的策划和控制公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程，这些过程 与公司ISM

32、S管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别 每一过程对满足客户服务要求的能力的影响，并确保营运活动中每个质量特性都受到有 效控制。1. 1 ISMS运行总要求实现过程的策划中应明确：质量目标和要求；明确各岗位的信息安全职责；服务标准明确过程控制的准则和方法，制定必要的作业指导文件，为产品和服务实现提供 资源和设施，保证其所需的工作环境；保留服务过程提供及过程测量和检查结果的记录。经识别公司没有外包过程。对于公司的服务商，综合管理部按照第三方服务管理程 序进行管理。& 2信息安全风险评估2. 1风险评估的方法信息安全小组负责组织编制信息安全风险管理程序，建立识别适用于信息

33、安全 管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法，在决定风险的可 接受范围内，采取适当的风险控制措施。2. 2识别风险在信息安全管理体系范围内，对所有信息资产进行识别评价，识别资产面临的威胁 以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险, 并通过这些项目的风险标识推算出对重要资产造成的影响。2. 3分析和评价风险针对每一项信息资产，识别出其面临的所有威胁，并考虑现有的控制措施，识别出 被该威胁可能利用的薄弱点。针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判断安全失 效发生的可能性。根据信息安全风险管理程序计算风险等级以及风险接

34、受准则，判断风险为可接 受或需要处理。8. 2. 4识别和评价风险处理的选择项目风险的识别贯穿整个业务活动过程，明确哪些风险可能影响项目造成影响、记 录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析，依据影响对项目风险进行优先级排序。综合管理部根据风险评估的结果，形成信息安全风险评估表(含风险处理计划)，该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略，具体 措施如下：适时适当的控制措施。(2)规避风险,采取有效的控制措施避免风险的发生。(3)接受风险,在一定程度上有意识、有目的地接受风险。(4)风险转移,转移相关业务风险到其他方面。(5)消减风险,通过适当的控制措施降

35、低风险发生的可能性。& 3信息安全风险处置组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。详见信息安全风险管理程序& 3. 1相关文件信息安全风险管理程序9绩效评价9.1监视、测量、分析和评价为了保证服务的符合性及实施必要的改进，应规定、策划和实施所需的测量和监视 活动。在策划时，应确定统计技术及其他适用的方法的需要和使用。需要监视和测量的 过程和措施包括：客户满意度测量、过程的监视和测量、产品的监视和测量。综合管理部应组织相关部门，对质量服务信息安全措施的绩效和体系的有效性进行 评价。综合管理部应与各部门协调，根据公司管理的实际需要，建立恰当的度量体系，以 度量员工、

36、项目组的工作业绩。由综合管理部组织实施监视和测量，每年至少一次对对监视和测量的结果进行分析 和评价，由总经理以及各部门经理分析和评价这些结果，保留相关的监视和测量证据。 9.2内部审核公司应按计划的时间要求进行ISMS内部审核，以确定控制目标、控制措施、过程 和程序是否:符合标准及相关法律法规的要求；符合确定的信息安全要求；得到有效地实施和维护；按期望运行。内部审核程序应进行计划，并考虑受审核的状况、重要性和受审核的区域以及上次 审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核 过程的客观和公正，审核员不能审核自己的工作。3管理评审3. 1总则为确保信息安全管理体系

37、持续运行，具体如下：（1）管理者代表组织并编制管理评审程序，指导管理评审工作的执行。（2）管理评审由最高管理者或其授权人员组织，每年至少一次。一般情况下，采 取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：公司管理体系发生重大变化。国家法律法规、相关标准发生重大变化。外审之前。其他认为需要评审时。（3）各部门负责均需参加管理评审活动，需要时，由总经理或其授权人员决定具 体的参加人员。（4）管理评审会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行, 并对执行状况予以跟踪评估。3. 2评审输入在管理评审时，管理者代表应组织各相关部门提供以下资料，以供评审：a）

38、以往管理评审的措施的状态；b）与信息安全管理体系相关的外部和内部问题的变更；c）信息安全绩效的反馈，包括下列方面的趋势：1）不符合和纠正措施；2）监视和测量结果；3）审核结果；4）信息安全目标的实现；d）相关方的反馈；e）风险评估的结果和风险处置计划的状态；f）持续改进的机会。3. 3评审输出按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，管 理评审输出包括以下方面有关的任何决定和措施：（1）信息安全管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业 务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。（2）信息安全管理方针和目标的修订。（3）与

39、相关方/第三方有关的改进措施等。（4）风险的等级或可接受风险的水平，更新风险评估和风险评估表等。（5）业务需求的变更。（6）安全需求的变更。（7）资源需求以及影响现有业务需求的业务过程；（8）法律法规的环境。（9）改进测量控制措施有效性的方式。（10）对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。 以上内容的详细规定见管理评审程序。公司应保留文件记录作为管理评审结果的证据。10.1不符合和纠正措施当发生不符合时，应：对不符合作出反应，采取措施控制并纠正不符合；处理不符合造成的后果；评价消除不符合原因的措施的需求，通过采取以下措施防止不符合再次发生或在其他区域发生：评审不符合

40、;确定不符合的原因；确定类似不符合是否存在，或可能潜在发生实施所需的措施；评审所采取纠正措施的有效性； 必要时，对体系实施变更。应将以下信息形成文件：不符合的性质及随后采取的措施 纠正措施的结果上述要求参见纠正措施控制程序。2持续改进通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实 纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全 管理体系的改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的 持续有效性和运行效率。关注客户的投诉、抱怨、记录、评估服务改进建议，制定服务改进计划，评估服务 改进情况，确保各项服务改进措施均已落实执

41、行，并实现预期的目标，从而改进完善服 务过程，提升服务质量，提高客户的满意度。规定各部门在持续改进活动中的角色和职责，并从服务过程的所有方面考虑服务改 进要求。计划通过以下途径持续改进信息安全管理的有效性：（1）通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺。（2）通过信息安全管理体系目标的建立与实施，对持续改进进行评价。（3）通过内部审核不断发现问题，寻找体系改进的机会并予以实施。（4）通过数据分析不断寻求改进的机会，并做出适当的改进活动安排。（5）通过实施纠正和预防措施实现改进的活动。（6）监控安全事件并对事件进行分析。（7）确定纠正措施和预防措施的有效性。（8）根据管理评

42、审的结果寻求改进体系的机会。（9）根据客户满意度调查寻求改进体系的机会。支持文件:纠正措施控制程序预防措施控制程序内部审核管理程序3纠正措施对于发现的不合格项，不仅要求责任人要纠正不合格行为，而且为了消除不合格项、 与实施和运行信息安全管理体系有关的原因，人事行政部要求责任人应该制定纠正措 施，以便防止不合格的再次发生。纠正措施的控制应该满足如下要求：（1）识别实施和运行信息安全管理体系的不合格事件。（2）分析并确定不合格的原因。（3）评价确保不合格不再发生的相关因素。（4）确定和实施所需的纠正措施。（5）检查、验证纠正措施的结果。（6）评审所采取的纠正措施的有效性。支持文件：纠正措施控制程序

43、预防措施控制程序内部审核管理程序4预防措施在信息安全管理体系运行的过程中，通过日常的过程控制、结果验证、体系审核等 方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件，应该 及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求：（1）识别潜在的信息安全事件及其原因，并确定。（2）评价预防不合格发生的措施的需求。（3）确定和实施所需的预防措施。（4）评价预防措施的有效性，并对所采取措施的结果进行记录。（5）识别并控制重大的已变更的防线。支持文件：纠正措施控制程序预防措施控制程序附录1-组织简介深圳市X X X科技有限公司是一家总部位于中国深圳的全方位IT及解

44、决方案服务 提供商。主要致力于航空领域，提供航空IT产品、IT服务及解决方案、航空教育的一 体化专业公司。依靠与多家航空领域的企事业单位建立的良好合作关系，不断吸取各方 先进技术与管理经验，打造了一支经验丰富的管理团队。在坚持高品质的产品质量、雄 厚的技术力量的支持下，研发了多项拥有自主知识产权的产品，同时具备了向市场提供 综合化服务的实力。我们的服务：公司一直坚持“满足客户的需求就是我们的追求的服务”宗旨，我们 将以最优质的服务为客户提供全方位的IT服务，提升客户的企业价值，提高客户的市 场竞争力。技术实力：公司拥有蓬勃向上，充满朝气的创业型领导核心，海外留学背景, 多年IT研发、管理经济的

45、高层管理团队；经验丰富的研发团队一为客户提供专业的IT 只是支持。发展战略：提供自主研发的一流软件和服务，持续为客户创造最大价值核心价值观 公司理念：帮助客户创造价值，帮助员工实现梦想诚信：最重要的无形资产，是我们赢得客户信任的基础专注：建立核心竞争力的关键创新：企业持续性发展的必备基因是我们赢得客户信任的基础附录2-组织架构图附录3-职能分配表管理单位体系要求信息安全小组总经理管理者代表综合管理部技术部销售部4.组织环境4. 1理解组织及其环境4.2理解相关方的需求和期望4.3明确信息安全管理体系的范围4. 4信息安全管理体系5领导5. 1领导和承诺5. 2方针5.3组织角色、职责和权力6计

46、划6. 1处置风险和机遇6.2信息安全目标的计划和实现7支持7.1资源7.2能力7. 3意识7. 4沟通7. 5文档要求8实施8. 1运行计划和控制& 2信息安全风险评估& 3信息安全风险处置9绩效评价9. 1监视、测量、分析和评价9.2内部审核9.3管理评审10改进10. 1不符合项和纠正措施10.2持续改进A. 5信息安全策略A. 5. 1信息安全管理指导A.6信息安全组织A. 6.1内部组织A. 6. 2移动设备和远程办公A. 7人力资源安全A. 7. 1任用前A. 7. 2任用中A. 7.3任用终止和变更A. 8资产管理A. 8. 1资产的责任A. 8. 2信息分类A. 8. 3介质处

47、理A. 9访问控制A. 9. 1访问控制的业务需求A. 9.2用户访问管理A. 9. 3用户责任A. 9. 4系统和应用访问控制A. 10加密技术A. 10. 1加密控制A. 11物理和环境安全A. 11. 1安全区域A. 11.2设备安全A. 12操作安全A. 12. 1操作程序及职责A. 12. 2防范恶意软件A. 12. 3备份A. 12.4日志记录和监控A. 12. 5操作软件的控制A. 12. 6技术脆弱性管理A. 12. 7信息系统审计的考虑因素A. 13通信安全A. 13. 1网络安全管理A. 13. 2信息传输A. 14系统的获取、开发及维护A. 14. 1信息系统安全需求A.

48、 14. 2开发和支持过程的安全A. 14. 3测试数据A. 15供应商关系A. 15. 1供应商关系的信息安全A. 15. 2供应商服务交付管理A. 16信息安全事件管理A. 16. 1信息安全事件的管理和改进A. 16. 1. 1职责和程序A. 16. 1. 2报告信息安全事态A. 16. 1. 3报告信息安全弱点A. 16. 1. 4评估和决策信息安全事件A. 16. 1. 5响应信息安全事故A. 16. 1.6从信息安全事故中学习A. 16. 1. 7收集证据A. 17业务连续性管理中的信息安全A. 17. 1信息安全的连续性A. 17.2冗余A. 18符合性A. 18. 1法律和合同规定的符合性A. 1& 2信息安全评审*注：负责部门以“”表示；相关部门以“”表示。附录4-信息安全小组成员为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全管理方针，特授权 以下人员组成信息安全管理小组。成员名单如下：组长：* （总经理）执行组长：*成 员：综合管理部：*、销售部：*、技术部：*。附录5-服务器拓扑图服务器拓扑图附录6-信息安全职责说明一、总经理1、负责主持制定本公司的信息安全体系方针和目标，确保员工贯彻执行；2、制定公司战略，进行经营、营销、项目管理规划，承担公司的全面经营管理工作， 包括人事、行政、财务、采购、管理等。3、确保实现方针和目标的