计算机网络有限公司信息安全管理办法

1、信息安全治理手册SW-ISMS-A-01Ver 1.1 公布日期2014年10月1日公布部门信息安全治理小组实施日期2014年10月1日版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次公布蓝金桃/2014.10.1/2014.10.1王楚标/2014.10.1目录 TOC o 1-2 h z u HYPERLINK l _Toc256581137 颁布令 PAGEREF _Toc256581137 h iii HYPERLINK l _Toc256581138 授权书 PAGEREF _Toc256581138 h iv HYPERLINK l _Toc256581139

2、 0 前言 PAGEREF _Toc256581139 h 1 HYPERLINK l _Toc256581140 1 范围 PAGEREF _Toc256581140 h 1 HYPERLINK l _Toc256581141 1.1 总则 PAGEREF _Toc256581141 h 1 HYPERLINK l _Toc256581142 1.2 应用 PAGEREF _Toc256581142 h 1 HYPERLINK l _Toc256581143 2 规范性引用文件 PAGEREF _Toc256581143 h 1 HYPERLINK l _Toc256581144 3 术语和

3、定义 PAGEREF _Toc256581144 h 2 HYPERLINK l _Toc256581145 3.1 术语 PAGEREF _Toc256581145 h 2 HYPERLINK l _Toc256581146 3.2 缩写 PAGEREF _Toc256581146 h 2 HYPERLINK l _Toc256581147 4 信息安全治理体系 PAGEREF _Toc256581147 h 2 HYPERLINK l _Toc256581148 4.1 总要求 PAGEREF _Toc256581148 h 2 HYPERLINK l _Toc256581149 4.2

4、建立和治理信息安全治理体系 PAGEREF _Toc256581149 h 3 HYPERLINK l _Toc256581150 4.3 文件要求 PAGEREF _Toc256581150 h 9 HYPERLINK l _Toc256581151 5 治理职责 PAGEREF _Toc256581151 h 11 HYPERLINK l _Toc256581152 5.1 治理承诺 PAGEREF _Toc256581152 h 11 HYPERLINK l _Toc256581153 5.2 资源治理 PAGEREF _Toc256581153 h 11 HYPERLINK l _To

5、c256581154 6 内部信息安全治理体系审核 PAGEREF _Toc256581154 h 12 HYPERLINK l _Toc256581155 6.1 总则 PAGEREF _Toc256581155 h 12 HYPERLINK l _Toc256581156 6.2 内审策划 PAGEREF _Toc256581156 h 12 HYPERLINK l _Toc256581157 6.3 内审员 PAGEREF _Toc256581157 h 13 HYPERLINK l _Toc256581158 6.4 内审实施 PAGEREF _Toc256581158 h 13 HY

6、PERLINK l _Toc256581159 7 治理评审 PAGEREF _Toc256581159 h 14 HYPERLINK l _Toc256581160 7.1 总则 PAGEREF _Toc256581160 h 14 HYPERLINK l _Toc256581161 7.2 评审输入 PAGEREF _Toc256581161 h 14 HYPERLINK l _Toc256581162 7.3 评审输出 PAGEREF _Toc256581162 h 14 HYPERLINK l _Toc256581163 8 信息安全治理体系改进 PAGEREF _Toc2565811

7、63 h 15 HYPERLINK l _Toc256581164 8.1 持续改进 PAGEREF _Toc256581164 h 15 HYPERLINK l _Toc256581165 8.2 纠正措施 PAGEREF _Toc256581165 h 15 HYPERLINK l _Toc256581166 8.3 预防措施 PAGEREF _Toc256581166 h 15 HYPERLINK l _Toc256581167 附录1-组织概况 PAGEREF _Toc256581167 h 16 HYPERLINK l _Toc256581168 附录2-组织机构图 PAGEREF

8、_Toc256581168 h 17 HYPERLINK l _Toc256581169 附录3-职能分配表 PAGEREF _Toc256581169 h 17 HYPERLINK l _Toc256581170 附录4-信息安全小组成员 PAGEREF _Toc256581170 h 21 HYPERLINK l _Toc256581171 附录5-方针文件清单 PAGEREF _Toc256581171 h 21 HYPERLINK l _Toc256581172 附录6-程序文件清单 PAGEREF _Toc256581172 h 22 HYPERLINK l _Toc25658117

9、3 附录7-公司外部环境、内部环境及网络图 PAGEREF _Toc256581173 h 23颁布令为提高我公司的信息安全治理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005信息技术-安全技术-信息安全治理体系要求国际标准工作，建立、实施和持续改进文件化的信息安全治理体系，制定了佛山市三维计算机网络有限公司信息安全治理手册。指导治理体系运行的公司信息安全治理体系手册经评审后，现予以批准公布。信息安全治理体系手册的公布，标志着我公司从现在起，必须

10、按照信息安全治理体系标准的要求和公司信息安全治理体系手册所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的应用软件的开发和维护服务，以确立公司在社会上的良好信誉。信息安全治理体系手册是公司规范内部治理的指导性文件，也是全体职员在向顾客提供服务过程必须遵循的行动准则。信息安全治理体系手册一经公布，确实是强制性文件，全体职员必须认真学习、切实执行。本手册自2014年10月15日正式实施。佛山市三维计算机网络有限公司总经理：王楚标2014年 08月 19日授权书为贯彻执行ISO/IEC 27001:2005信息安全治理体系，加强对信息治理体

11、系运行的领导，特授权 蓝金桃 女士为公司治理者代表。授权信息安全治理者代表有如下职责和权限：确保按照标准的要求，进行资产识不和风险评估，全面建立、实施和保持信息安全治理体系；负责与信息安全治理体系有关的协调和联络工作；确保在整个组织内提高信息安全风险的意识；审核风险评估报告、风险处理打算；批准公布程序文件；主持信息安全治理体系内部审核，任命审核组长，批准内审工作报告；向最高治理者报告信息安全治理体系的业绩和改进要求，包括信息安全治理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。佛山市三维计算机网络有限公司2014年 10 月 1日0 前言信息安全治理体系手册（以下简称本手册）依据I

12、SO/IEC 27001:2005信息技术-安全技术-信息安全治理体系-要求，参照ISO/IEC 27002:2005信息技术-安全技术-信息安全治理有用规则，结合本行业信息安全的特点编写。本手册对本公司信息安全治理体系作出了概括性描述，为建立、实施和保持信息安全治理体系提供框架。1 范围1.1 总则为建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系，确定信息安全方针和目标，对信息安全风险进行有效治理，确保全体职员理解并遵照执行信息安全治理体系文件、持续改进信息安全治理体系的有效性，特制定本手册。1.2 应用1.2.1 覆盖范围应用范围：本信息安全治理体系手册规定了信息安全治理

13、体系涉及的开发和维护信息安全治理、职责治理、内部审核、治理评审和信息安全治理体系持续改进等方面内容。具体见条款规定。地址范围：深圳市福田区景田商报路奥林匹克大厦26楼B、C、D号1.2.2 删减讲明本信息安全治理体系手册采纳了ISO/IEC27001:2005标准正文的全部内容，对附录A的删减及理由详见信息安全适用性声明SoA。2 规范性引用文件下列文件中的条款通过本信息安全治理体系手册的引用而成为本信息安全治理体系手册的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本信息安全治理体系手册，然而，信息安全治理小组应研究是否可使用这些文件的最新版本。凡是不

14、注日期的引用文件、其最新版本适用于本信息安全治理体系手册。ISO/IEC 27001:2005信息技术-安全技术-信息安全治理体系-要求ISO/IEC 27002:2005信息技术-安全技术-信息安全治理有用规则3 术语和定义3.1 术语ISO/IEC 27001:2005信息技术-安全技术-信息安全治理体系-要求、ISO/IEC 27002:2005信息技术-安全技术-信息安全治理有用规则规定的术语和定义以及下述定义适用于本信息安全治理体系手册。本组织、本公司、我公司：指。3.2 缩写ISMS：Information Security Management Systems 信息安全治理体系；

15、SoA:：Statement of Applicability 适用性声明；PDCA:：Plan Do Check Action 打算、实施、检查、改进。4 信息安全治理体系4.1 总要求4.1.1 要求本公司在软件开发、经营、服务和日常治理活动中按ISO/IEC 27001:2005信息技术-安全技术-信息安全治理体系-要求规定，参照ISO/IEC 27002:2005信息技术-安全技术-信息安全治理有用规则标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系。4.1.2 PDCA模型信息安全治理体系使用的过程基于图1所示的PDCA模型。 建立ISMS 实施和运行ISMS 保

16、持和改进ISMS 监视和评审ISMS 相关方 信息安全 要求和期望 相关方 受控的 信息安全 规划Plan 检查Check 处置Act 实施Do 图1 信息安全治理体系PDCA模型4.2 建立和治理信息安全治理体系4.2.1 建立信息安全治理体系 信息安全治理体系的范围和边界本公司依照业务特征、组织结构、地理位置、资产和技术确定了范围和边界：本公司信息安全治理体系的范围包括：a) 本公司涉及软件开发、营销、服务和日常治理的业务系统；b) 与所述信息系统有关的活动；c) 与所述信息系统有关的部门和所有职员；d) 所述活动、系统及支持性系统包含的全部信息资产。业务范围：桌面软、硬件运维服务；服务器

17、硬件运维服务；网络设备运维服务的信息安全治理。物理范围：本公司依照组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全治理体系的物理范围和信息安全边界。本公司信息安全治理体系的物理范围为：佛山市禅城区江湾路三路28号广东（佛山）软件产业园A区10号楼首层103-105室安全边界详见附录B（规范性附录）办公场所平面图。ISMS的范围是：计算机应用软件开发和维护、系统集成和后期维护；信息安全，IT资产服务外包，IT运维服务本信息安全治理体系手册采纳了ISO/IEC 27001:2005标准正文的全部内容，对附录A的删减及理由详见信息安全适用性声明；ISMS的边界 地理位置图 （详见附录7-

18、公司外部环境、内部环境及网络图） 信息安全治理体系的方针和目标.1 方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续进展，本公司依照组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全治理体系方针：信息安全，人人有责。.1 信息安全目标客户针对信息安全事件的投诉每年不超过1次重要信息设备丢失每年不超过1起机密和绝密信息泄漏事件每年不超过1次大规模病毒爆发每年不超过1次.2 要求本公司信息安全治理体系方针符合以下要求：为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；识不并满足适用法律、法规和相关方信息安全要求；与组织战略和风险治理相一

19、致的环境下，建立和保持信息安全治理体系；建立了风险评价的准则；经总经理批准，并定期评审其适用性、充分性，必要时予以修订。.3 承诺为实现信息安全治理体系方针，本公司承诺：在公司内各层次建立完整的信息安全治理组织机构，确定信息安全方针、安全目标和操纵措施，明确信息安全的治理职责；识不并满足适用法律、法规和相关方信息安全要求；定期进行信息安全风险评估，信息安全治理体系评审，采取纠正预防措施，保证体系的持续有效性；采纳先进有效的设施和技术，处理、传递、储存和爱护各类信息，实现信息共享；对全体职员进行持续的信息安全教育和培训，不断增强职员的信息安全意识和能力；制定并保持完善的业务连续性打算，实现可持续

20、进展。 风险评估的方法信息安全治理小组制定信息安全风险治理程序，建立识不适用于信息安全治理体系和差不多识不的业务信息安全、法律和法规要求的风险评估方法，建立同意风险的准则并识不风险的可同意等级。按信息安全风险评估执行信息安全风险治理程序进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 识不风险在已确定的信息安全治理体系范围内，本公司按信息安全风险治理程序对所有的资产和资产所有者进行了识不；对每一项资产按重置成本级不、保密性、完整性、可用性和资产价值及重要性级不进行了量化赋值，依照重要资产推断准则确定是否为重要资产，形成重要资产清单。同时依照信息安全风险治理程序识不对

21、这些资产的威胁、可能被威胁利用的脆弱性、现有的操纵措施及现有操纵措施的有效性，并通过对这些项目的赋值计算出在丧失保密性、完整性和可用性可能对重要资产造成的阻碍。 分析和评价风险本公司按信息安全风险治理程序，采纳人工分析法，分析和评价风险：针对重要资产的自身价值、保密性、完整性和可用性、合规性和脆弱性严峻程度，计算出风险发生的阻碍值；针对每一项威胁发生频率、脆弱性被威胁利用的容易程度进行赋值，然后计算得出风险发生的可能性；依照信息安全风险治理程序计算风险等级，从而得出风险等级；依照信息安全风险治理程序及风险同意准则，推断风险为可同意或需要处理。 识不和评价风险处理的选择信息安全治理小组和相关部门

22、依照风险评估的结果，形成信息安全风险处理打算，该打算明确了风险处理责任部门、负责人、处理方法及起始、完成时刻。关于信息安全风险，应考虑操纵措施与费用的平衡原则，选用以下适当的措施：操纵风险（采纳适当的内部操纵措施降低风险发生的可能性）；同意风险（风险值不高或者处理的代价高于风险引起的损失，公司决定同意该风险/残余风险）；幸免风险（决定不进行引起风险的活动，从而幸免风险）；转移风险（通过购买保险、外包等方法把风险转移到外部机构）。 选择操纵目标与操纵措施信息安全治理小组依照相关法律法规要求、信息安全方针、业务进展要求及风险评估的结果，组织有关部门选择和制定了信息安全目标，并将目标分解到有关部门（

23、见信息安全适用性声明）：信息安全操纵目标获得总经理的批准。操纵目标及操纵措施的选择原则来源于ISO/IEC 27001:2005附录A，具体操纵措施参考ISO/IEC 27002:2005信息技术-安全技术-信息安全治理有用规则。本公司依照信息安全治理的需要，能够选择标准之外的其他操纵措施。 剩余风险对风险处理后的剩余风险应形成信息安全剩余风险评估报告并得到公司治理者的批准。 授权治理者对实施和运行信息安全治理体系进行授权。0 适用性声明信息安全治理小组编制信息安全适用性声明（SoA）。该声明包括以下方面的内容：所选择操纵目标与操纵措施的概要描述，以及选择的缘故；对ISO/IEC 27001:

24、2005附录A中未选用的操纵目标及操纵措施理由的讲明。4.2.2 实施及运行信息安全治理体系 活动为确保信息安全治理体系有效实施，对已识不的风险进行有效处理，本公司开展以下活动：形成信息安全风险处理打算，以确定适当的治理措施、职责及安全操纵措施的优先级；为实现已确定的安全目标、实施信息安全风险处理打算，明确各岗位的信息安全职责；实施所选择的操纵措施，以实现操纵目标的要求；确定如何测量所选择的操纵措施的有效性，并规定这些测量措施如何用于评估操纵的有效性以得出可比较的、可重复的结果；进行信息安全培训，提高全员信息安全意识和能力；对信息安全体系的运行进行治理；对信息安全所需资源进行治理；实施操纵程序

25、，对信息安全事故（或征兆）进行迅速反应。 信息安全组织机构本公司成立信息安全领导机构信息安全治理小组，其职责是实现信息安全治理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作打算和重要文件；为信息安全工作的有序推进和信息安全治理体系的有效运行提供必要的资源。本公司的信息安全职能由信息安全治理小组承担，其要紧职责是：负责制订、落实信息安全工作打算，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全治理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：确保安全活动的执行符合信息

26、安全方针；确定如何样处理不符合；批准信息安全的方法和过程，如风险评估、信息分类；识不重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；评估信息安全操纵措施实施的充分性和协调性；有效的推动组织内信息安全教育、培训和意识；评价依照信息安全事件监控和评审得出的信息，并依照识不的信息安全事件推举适当的措施。 信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定信息安全治理者代表,不管信息安全治理者代表其他方面的职责如何，对信息安全负有以下职责：建立并实施信息安全治理体系必要的程序并维持其有效运行；对信息安全治理体系的运行情况和必要的改善措施向信息安全治理小组或最高责任者报告。各部门负

27、责人为本部门信息安全治理责任者，全体职员都应按保密承诺的要求自觉履行信息安全保密义务。各部门、人员有关信息安全职责分配见附录3（规范性附录）职责权限和相应的程序文件（治理标准）、规定及岗位讲明书。 操纵措施各部门应按照信息安全适用性声明中规定的安全目标、操纵措施（包括信息安全运行的各种治理标准、规章制度）的要求实施信息安全操纵措施。4.2.3 监督与评审信息安全治理体系 活动本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等操纵措施并报告结果以实现：及时发觉处理结果中的错误、信息安全治理体系的事故和隐患；及时了解识不失败的和成功的安全破坏和事件、信息处理系统遭受

28、的各类攻击；使治理者确认人工或自动执行的安全活动达到预期的结果；使治理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；积存信息安全方面的经验。 治理评审依照以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全治理体系的有效性进行评审，其中包括信息安全治理体系的范围、方针、目标的符合性及操纵措施有效性的评审，考虑信息安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。治理评审的具体要求，见本手册第7章。 检查和测量在治理标准中，对安全措施的实施规定了检查和测量的要求。同时，信息安全治理小组应定期的进行信息安全检查和信息安全技术监督，通过对安全措施的实施检

29、查和信息安全技术监督，保证安全措施得到满足。 风险再评估信息安全治理小组组织有关部门按照信息安全风险治理程序的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可同意的水平，对以下方面变更情况应及时进行风险评估：组织；技术；业务目标和过程；已识不的威胁；实施操纵的有效性；外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 内部审核按照打算的时刻间隔进行信息安全治理体系内部审核，内部审核的具体要求，见本手册第6章。 更新打算考虑监视和评审活动的发觉，更新信息安全打算。 记录记录可能对信息安全治理体系有效性或业绩有阻碍的活动和情况。4.2.4 保持与持续改进信息安

30、全治理体系我公司开展以下活动，以确保信息安全治理体系的持续改进：实施每年治理评审、内部审核、安全检查等活动以确定需改进的项目；按照本手册第6章和第8章的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括猎取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识不顾客对信息安全的要求等；对信息安全目标及分解进行适当的治理，确保改进达到预期的效果。4.3 文件要求4.3.1 总则本公司信息安全治理体系文件包括：文件化的信息安全方针，在信息安全治理体系手册中描述,选择的操纵目标

31、在信息安全适用性声明SoA中描述；信息安全治理体系手册（本手册，包括信息安全适用范围及引用的标准）；ISO/IEC 27001:2005标准中规定需文件化的程序；本手册涉及的相关支持性程序性文件，例如信息安全风险治理程序；为确保有效策划、运作和操纵信息安全过程所制定的文件化操作程序；风险处理打算以及信息安全治理体系要求的记录类；相关的法律、法规和信息安全标准；信息安全适用性声明SoA。4.3.2 文件操纵 要求信息安全治理小组按文件操纵程序的要求，对信息安全治理体系所要求的文件进行治理。对信息安全治理体系手册、程序文件、治理规定、作业指导书和为保证信息安全治理体系有效策划、运行和操纵所需的受控

32、文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施操纵，以确保在使用场所能够及时获得适用文件的有效版本。 文件操纵信息安全治理小组制定并实施文件和资料治理程序，人事行政部对信息安全治理体系所要求的文件进行治理。对信息安全治理手册、程序文件、治理规定、作业指导书和为保证信息安全治理体系有效策划、运行和操纵所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等治理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件操纵应保证：文件公布前得到批准，以确保文件是充分的；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到识不；确保在使用

33、时，可获得相关文件的最新版本；确保文件保持清晰、易于识不；确保文件能够为需要者所获得，并依照适用于他们类不的程序进行转移、存储和最终的销毁；确保外来文件得到识不；确保文件的分发得到操纵；防止作废文件的非预期使用；若因任何目的需保留作废文件时，应对其进行适当的标识。 外来文件治理外来文件包括信息安全法律、行政法规、部门规章、地点法规，按以下规定执行：信息安全适用的法律法规按照信息安全法律法规治理程序规定执行；外来的文件按照文件操纵程序和其他相关规定执行；外来标准按本公司标准化治理的相关规定进行。4.3.3 记录操纵 要求信息安全治理体系所要求的记录是信息安全治理体系符合标准要求和有效运行的证据。

34、 职责信息安全治理小组按记录操纵程序的要求，对记录的标识、储存、爱护、检索、保管、废弃等进行治理。 记录信息安全治理的记录应包括本手册第4.2条中所列出的所有过程的结果及与信息安全治理体系相关的安全事故的记录。 分类信息安全治理体系的记录按出处可分为以下四类：程序文件所要求的记录；工作标准和作业文件所要求的记录；规章制度、规定所要求的记录；其他证实信息安全治理体系符合标准要求和有效运行的记录。 形式信息安全治理记录能够是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，能够是书面的或电子媒体的。 归档需要归档的记录，按记录操纵程序执行，属于电子数据的记录，按重要信息备份治理程序执行

35、。5 治理职责5.1 治理承诺我公司治理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全治理体系的承诺提供证据：建立信息安全方针；确保信息安全目标和打算得以制定（见信息安全适用性声明SoA、风险处理打算及相关记录）；建立信息安全的角色和职责(见本手册附录3（规范性附录）职责权限和相应的治理程序；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全治理体系(见本手册第5.2.1章)；决定同意风险的准则和风险的可同意等级(见信息安全风险治理程序及相关记录)；确保内部信息安全治理体系审核（见

36、本手册第6章）得以实施；实施信息安全治理体系治理评审（见本手册第7章）。5.2 资源治理5.2.1 资源的提供本公司确定并提供实施、保持信息安全治理体系所需资源；采取适当措施，使阻碍信息安全治理体系工作的职员是有能力胜任的，以保证：建立、实施、运作、监视、评审、保持和改进信息安全治理体系；确保信息安全程序支持业务要求；识不并指出法律法规要求和合同安全责任；通过正确应用所实施的所有操纵来保持充分的安全；必要时，进行评审，并对评审的结果采取适当措施；需要时，改进信息安全治理体系的有效性。5.2.2 培训、意识和能力信息安全治理小组制定并实施职员培训治理程序文件，确保被分配信息安全治理体系规定职责的

37、所有人员，都必须有能力执行所要求的任务。能够通过：确定承担信息安全治理体系各工作岗位的职工所必要的能力；提供职业技术教育和技能培训或采取其他的措施来满足这些需求；评价所采取措施的有效性；保留教育、培训、技能、经验和资格的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全治理体系目标做出贡献。6 内部信息安全治理体系审核6.1 总则6.1.1 要求本公司信息安全治理小组按内部审核治理程序的要求策划和实施信息安全治理体系内部审核以及报告结果和保持记录。6.1.2 活动本公司每年进行一次信息安全治理体系内部审核，以确定其信息安全治理体系的操纵目标、操纵

38、措施、过程和程序是否：符合本标准的要求和相关法律法规的要求；符合已识不的信息安全要求；得到有效地实施和维护；按预期执行。6.2 内审策划信息安全治理小组策划审核的过程、区域的状况、重要性以及以往审核的结果，对审核工作进行策划。应编制年度内审打算，确定审核的准则、范围、频次和方法。每次审核前，信息安全治理小组应编制内部审核打算，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。内部审核打算，经信息安全治理者代表批准，提早3天通知被审核部门，被审核部门到时应选派有关人员配合审核。6.3 内审员内部审核员必须是熟悉本公司信息安全治理

39、情况，参加内部审核员培训并考核合格的人员。内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，以保持工作的独立性。各部门选择符合内部审核员条件的候选人，参加内部审核员培训并考试合格，填写内部审核员评定表，经信息安全治理者代表批准，方取得内部审核员资格。6.4 内审实施6.4.1 活动应按审核打算的要求实施审核，包括：进行首次会议，明确审核的目的和范围，采纳的方法和程序；实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，填写审核发觉；对检查内容进行分析，对审核发觉的问题在不符合项报告及纠正报告单中开出不符合项；审核组长编制内部审核报告。6.4.2 不符合处理对审核中提出的不符

40、合项，责任部门应制定纠正措施，由信息安全治理小组对纠正措施的实施情况进行跟踪、验证，将结果记入不符合项报告及纠正报告单。6.4.3 记录内部审核记录由信息安全治理小组保存，并作为治理评审的输入之一。7 治理评审7.1 总则总经理应每年进行一次治理评审，以确保信息安全治理体系持续的适宜性、充分性和有效性，治理评审按治理评审程序进行。治理评审应包括评价信息安全治理体系改进的机会和变更的需要，包括信息安全方针和信息安全目标。治理评审的结果应清晰地形成文件，记录应加以保持。7.2 评审输入治理评审的输入要包括以下信息：信息安全治理体系审核和评审的结果；相关方的反馈；用于改进信息安全治理体系业绩和有效性

41、的技术、产品或程序；预防和纠正措施的状况；以往风险评估没有充分强调的脆弱性或威胁；有效性测量的结果；以往治理评审的跟踪措施；任何可能阻碍信息安全治理体系的变更；改进的建议。7.3 评审输出治理评审的输出应包括与下列内容相关的任何决定和措施：信息安全治理体系有效性的改进；更新风险评估和风险处理打算；必要时，修订阻碍信息安全的程序和操纵措施，以反映可能阻碍信息安全治理体系的内外事件，包括以下方面的变化：业务要求；安全要求；阻碍现有业务要求的业务过程；法律法规要求；合同责任；风险等级和（或）风险同意准则。资源需求；改进测量操纵措施有效性的方式。8 信息安全治理体系改进8.1 持续改进本公司依据纠正措

42、施操纵程序和预防措施操纵程序的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及治理评审（见本手册第7章），持续改进信息安全治理体系的有效性。8.2 纠正措施本公司信息安全治理小组处理纠正措施，不符合事项的责任部门负责采取纠正措施，以消除与信息安全治理体系要求不符合的缘故，以防止再发生。纠正措施的实施按纠正措施操纵程序进行。纠正措施的制定和实施程序如下：识不信息安全事件及不符合；确定信息安全事件及不符合的缘故；评价确保不符合不再发生的措施要求；确定和实施所需的纠正措施；记录所采取措施的结果；评审所采取的纠正措施。8.3 预防措施本公司信息安全治理小组处理预防

43、措施，潜在不符合事项的相关部门采取预防措施，以消除潜在与信息安全治理体系要求不符合或不期望事项发生的缘故，防止其发生。所采取的预防措施应与潜在问题的阻碍程度相适应。预防措施的实施按预防措施操纵程序进行。预防措施的制定与实施程序要求如下：识不潜在的不符合及其缘故；评价预防不符合发生的措施要求；确定并实施所需的预防措施；记录所采取措施的结果；评审所采取的预防措施。我公司信息安全治理小组定期组织进行风险评估，以识不变化的风险，并通过关注变化显著的风险来识不预防措施要求。预防措施的优先级应基于风险评估结果来确定。附录1-组织概况佛山市三维计算机网络有限公司，为四川依米康环境科技股份有限公司（股票代码：

44、300249）控股的企业，是一家集动力环境监控、数据部基础设施治理、物流监控、医疗自动化等信息系统的研究、咨询、设计、开发、应用、服务为一体的国家高新技术企业，在机房监控、数据部智能化治理、物流监管信息平台、智能化卡口监控、智能化手术室、节能等领域拥有多项软硬件创新技术和系列自主知识产权产品。佛山三维以核心技术产品为基础，为客户提供优异的技术解决方案及优质的监控和运维服务。 佛山三维项目实施能力已通过ISO9001认证。从2003年成立至今，已拥有5000余个成功案例，广泛应用于金融、保险、通信、电力、医院、学院、财税、交通、广电、机关事业单位等各个领域，具备几百个项目同时实施的能力，赢得了客

45、户的普遍认可和高度赞誉。附录2-组织机构图 公司组织架构: 公司实行董事会领导下的总经理(治理者代表)负责制,下设业务部、技术部、工程部、财务部、商务（培训部）等五大部门.二.组织架构图: 公司部门职责:1.商务部:制定并完善公司治理制度，并监督落实。制定公司HYPERLINK /tag/200718866/人力资源治理制度，负责公司的人力资源的规划和治理。人员的招聘、考核与转正。公司职员的培训。职员的薪酬、考勤与纪律。职员的档案治理；负责建立和维护公司职员信息库。职员福利、保险的治理及办理。负责公司文件资料的治理、归档、印刷、发放工作。负责公司后勤保障工作。负责治理公司合同。体系的治理评审，

46、推动内部审核活动。负责组织公司年度,月度工作会议，或不定期的部门协调沟通会，并对会议做出的决定进行落实。对组织层的服务可用性、持续性、服务能力提供支持和资源保障。负责服务资源的统一规划和配置。提供治理方面的信息和建议以改进服务绩效。服务回访人员负责对所服务客户进行回访，并对回访的情况录入到CRM治理系统。公司其它的行政治理及后勤保障工作，以及协调沟通公共关系等工作。2.财务部:负责公司的所有现金、银行和财务帐目的治理.负责各部门成本项目、核算各部门预算完成情况;向上级财务主管部门、税务部门、统计主管部门等提供财务报告、报表和统计报告，保持联系并协调关系；负责公司记帐、算帐和报帐，出具内部财务报

47、告，进行财务分析，提出财务建议;负责各部门预算与核算治理流程；依照公司中、长期治理经营打算，组织编制年度综合财务打算和操纵标准，建立、健全财务治理体系;财务报表及财务预决算的编制工作，为公司决策提供及时有效的财务分析，保证财务信息对外披露的正常进行，有效地监督检查财务制度、预算的执行情况以及适当及时的调整;对公司税收进行整体筹划与治理，按时完成税务申报以及年度审计工作;比较精确地监控和预测现金流量，确定和监控公司负债和资本的合理结构，统筹治理和运作公司资金并对其进行有效的风险操纵;对公司重大的投资、融资、并购等经营活动提供建议和决策支持，参与风险评估、指导、跟踪和操纵;与财政、税务、银行、证券

48、等相关政府部门及会计师事务所等相关中介机构建立并保持良好的关系。 3.业务部:负责公司产品的销售工作；重点负责企业客户的开发及项目的跟踪落实;参与公司营销策略的制订；负责公司所有销售产品的安装调试及售后服务;负责公司工程项目实施及售后服务;负责跟踪监督售后服务情况,及时反馈客户意见。4.工程部:负责公司产品的询价和采购工作；负责公司商品的仓库治理,做到进出库商品准确无误.与财务部一同进行月度的库存盘点.参与公司营销策略的制订；负责跟踪项目所采购商品的到货情况；负责公司采购商品款的申请支付；负责合同评审治理； 负责与上游供应商的联系沟通.5.技术部负责公司产品的设计、开发；负责公司开展业务的技术支持；参与公司技术进展规划的制定负责解决产品的测试记录并跟踪客户定制化开发,及时通知客户其请求的当前状况和最新进展,并对客户请求从提出直至验证和终止的整个过程进行治理。附录3-职能分配表部门要素高层治理/治理者代表信息安全小组商务部技术部 工程部业务部财务部4.1总要求4.2.1建立 ISMS 4.2