ISMS手册-信息安全管理体系手册

1、 信息安全管理IT服务管理体系手册发布令本公司按按照ISSO2000000:20005信息技技术服务务管理规范和ISSO2770011：20005信息息安全管管理体系系要求以及本本公司业业务特点点编制信息安安全管理理&ITT服务管管理体系系手册，建立立与本公公司业务务相一致致的信息息安全与与IT服服务管理理体系，现予以以颁布实实施。本手册是是公司法法规性文文件，用用于贯彻彻公司信信息安全全管理方方针和目目标，贯贯彻ITT服务管管理理念念方针和和服务目目标。为为实现信信息安全全管理与与IT服服务管理理，开展展持续改改进服务务质量，不断提提高客户户满意度度活动，加强信信息安全全建设的的纲领性性文件

2、和和行动准准则。是是全体员员工必须须遵守的的原则性性规范。体现公公司对社社会的承承诺，通通过有效效的PDDCA活活动向顾顾客提供供满足要要求的信信息安全全管理和和IT服服务。本手册符符合有关关信息安安全法律律法规要要求以及及ISOO200000:20005信信息技术术服务管管理规范、ISSO2770011：20005信息息安全管管理体系系要求和公司司实际情情况。为为能更好好的贯彻彻公司管管理层在在信息安安全与IIT服务务管理方方面的策策略和方方针，根根据ISSO2000000:20005信息技技术服务务管理规范和ISSO2770011：20005信息安安全管理理体系要要求的的要求任任命XXXX

3、XXX为管理理者代表表，作为为本公司司组织和和实施“信息安安全管理理与ITT服务管管理体系系”的负责责人。直直接向公公司管理理层报告告。全体员工工必须严严格按照照信息息安全管管理&IIT服务务管理体体系手册册要求求，自觉觉遵守本本手册各各项要求求，努力力实现公公司的信信息安全全与ITT服务的的方针和和目标。管理者代代表职责责：a) 建立服服务管理理计划； b) 向组织织传达满满足服务务管理目目标和持持续改进进的重要要性； e) 确定并并提供策策划、实实施、监监视、评评审和改改进服务务交付和和管理所所需的资资源，如如招聘合合适的人人员，管管理人员员的更新新； 确保按照照ISOO20770011:

4、20005标标准的要要求，进进行资产产识别和和风险评评估，全全面建立立、实施施和保持持信息安安全管理理体系；按照IISO/IECC 2000000信息息技术服服务管理理规范范的要要求，组组织相关关资源，建立、实施和和保持IIT服务务管理体体系，不不断改进进IT服服务管理理体系，确保其其有效性性、适宜宜性和符符合性。负责与信信息安全全管理体体系有关关的协调调和联络络工作；向公司司管理层层报告IIT服务务管理体体系的业业绩，如如：服务务方针和和服务目目标的业业绩、客客户满意意度状况况、各项项服务活活动及改进的的要求和和结果等等。确保在整整个组织织内提高高信息安安全风险险的意识识；审核风险险评估报报

5、告、风风险处理理计划；批准发布布程序文文件；主持信息息安全管管理体系系内部审审核，任任命审核核组长，批准内内审工作作报告；向最高管管理者报报告信息息安全管管理体系系的业绩绩和改进进要求，包括信信息安全全管理体体系运行行情况、内外部部审核情情况。7推动动公司各各部门领领导，积积极组织织全体员员工，通通过工作作实践、教育培培训、业业务指导导等方式式不断提提高员工工对满足足客户需需求的重重要性的的认知程程度，以以及为达达到公司司服务管管理目标标所应做做出的贡贡献。总经理：日期：信息安全全方针和和信息安安全目标标信息安全全方针：信息安安全 人人人有责本公司信信息安全全管理方方针包括括内容如如下：一、信

6、息息安全管管理机制制1公司司采用系系统的方方法，按按照ISSO/IIEC 270001:20005建立立信息安安全管理理体系，全面保保护本公公司的信信息安全全。二、信息息安全管管理组织织2公司司总经理理对信息息安全工工作全面面负责，负责批批准信息息安全方方针，确确定信息息安全要要求，提提供信息息安全资资源。3公司司总经理理任命管管理者代代表负责责建立、实施、检查、改进信信息安全全管理体体系，保保证信息息安全管管理体系系的持续续适宜性性和有效效性。4在公公司内部部建立信信息安全全组织机机构，信信息安全全管理委委员会和和信息安安全协调调机构，保证信信息安全全管理体体系的有有效运行行。5与上上级部门

7、门、地方方政府、相关专专业部门门建立定定期经常常性的联联系，了了解安全全要求和和发展动动态，获获得对信信息安全全管理的的支持。三、人员员安全6信息息安全需需要全体体员工的的参与和和支持，全体员员工都有有保护信信息安全全的职责责，在劳劳动合同同、岗位位职责中中应包含含对信息息安全的的要求。特殊岗岗位的人人员应规规定特别别的安全全责任。对岗位位调动或或离职人人员，应应及时调调整安全全职责和和权限。7对本本公司的的相关方方，要明明确安全全要求和和安全职职责。 8定期期对全体体员工进进行信息息安全相相关教育育，包括括：技能能、职责责和意识识。以提提高安全全意识。9全体体员工及及相关方方人员必必须履行行

8、安全职职责，执执行安全全方针、程序和和安全措措施。四、识别别法律、法规、合同中中的安全全10及及时识别别顾客、合作方方、相关关方、法法律法规规对信息息安全的的要求，采取措措施，保保证满足足安全要要求。五、风险险评估11根根据本公公司业务务信息安安全的特特点、法法律法规规要求，建立风风险评估估程序，确定风风险接受受准则。12采采用先进进的风险险评估技技术和软软件，定定期进行行风险评评估，以以识别本本公司风风险的变变化。本本公司或或环境发发生重大大变化时时，随时时评估。13应应根据风风险评估估的结果果，采取取相应措措施，降降低风险险。六、报告告安全事事件14公公司建立立报告信信息安全全事件的的渠道

9、和和相应的的主管部部门。15全全体员工工有报告告信息安安全隐患患、威胁胁、薄弱弱点、事事故的责责任，一一旦发现现信息安安全事件件，应立立即按照照规定的的途径进进行报告告。16接接受信息息安全事事件报告告的主管管部门应应记录所所有报告告，及时时做出相相应的处处理，并并向报告告人员反反馈处理理结果。七、监督督检查17定定期对信信息安全全进行监监督检查查，包括括：日常常检查、专项检检查、技技术性检检查、内内部审核核等。八、业务务持续性性18公公司根据据风险评评估的结结果，建建立业务务持续性性计划，抵消信信息系统统的中断断造成的的影响，防止关关键业务务过程受受严重的的信息系系统故障障或者灾灾难的影影响

10、，并并确保能能够及时时恢复。19定定期对业业务持续续性计划划进行测测试和更更新。九、违反反信息安安全要求求的惩罚罚20对对违反信信息安全全方针、职责、程序和和措施的的人员，按规定定进行处处理。信息安全全目标：1.不可可接受风风险处理理率：1100% （所所有不可可接受风风险应降降低到可可接受的的程度）。2.重大大顾客因因信息安安全事件件投诉为为0次（重大顾顾客投诉诉是指直直接经济济损失金金额达11万元以以上）信息安全全管理手手册说明明11公公司简介介XX1.1编编制依据据和目的的本手册在在遵循IISO990011：20005信息安安全管理理体系要要求与与ISOO/IEEC 2200000信信息

11、技术术服务管管理规规范的的要求编编制而成成，包括括了ISSO2770011：20005的全全部要求求，对附附录A的的删减见见适用用性声明明SoAA。手册描述述公司的信信息安全全管理体体系的总总要求，以确保保公司的信信息安全全管理体体系能够够达到IISO2270001：20005信息息安全管管理标准准的要求求；满足足本公司司向客户户提供IIT服务务所需的的IT基基础设施施和ITT技术支支持服务务，适用于于向客户户或认证证机构证证实，本本公司具具备提供供符合客客户需求求的ITT服务能能力和服服务质量量。本公司的的体系程序序是手册册的支持持性文件件，是对对体系运作作的具体体描述。1.2适适用范围围信

12、息安全全管理&IT服服务管理理体系手手册适用用于本公公司提供供安全管理理体系认认证服务务与ITT服务有有关的所所有部门门和活动动。13术术语和定定义131本手手册应用用ISOO/IEEC2000000中的术术语及定定义。132本手手册应用用ISOO/IEEC2770011中的术术语及定定义。2 信息息安全管管理&IIT服务务管理手手册的管管理21手手册的编编制、批批准和发发布211按照照公司业业务发展展战略和和客户需需求，经经公司管管理者代代表批准准，技术术服务事事业部组组织相关关人员，结合本本公司业业务特点点，根据据ISOO/IEEC 2200000标准准的要求求编写。212IT服务务管理手

13、手册由由公司管管理者代代表批准准后发布布。22手手册的分分发221技术术服务事事业部负负责手册册的发放放、更新新、管理理与存档档。222公司司各部门门负责手手册的使使用和保保管。23手手册的受受控状态态231书面面形式的的手册分分“有效效文件”和“保保留文件件”两种形形式。作作为公司司日常运运营的依依据及提提供给外外部认证证机构的的手册均均为“有有效文件件”形式式。232当手手册内容容变更时时，“有效效文件”形式的的手册应应及时予予以更新新和发放放。233“有效文文件”形形式的文文件在更更新后，如需保保存原来来的版本本，以便便于追溯溯，则应应当用“保留文文件”的标识予以以区分。234电子子形式

14、的的手册由由技术服服务事业业部在工工作流转转系统中中进行管管理。24手手册的变变更241因公公司战略略调整、客户需需求或改改进活动动等引起起的手册册内容的的变更，按公司司总经理理指示，技术服服务事业业部组织织相关部部门对涉涉及变更更的内容容进行更更新，并并经公司司总经理理批准后后发布。242更新新后的手手册，应应及时地地发放给给公司内内部原手手册持有有者，并并收回旧旧版的手手册。对对电子形形式的手手册，由由技术服服务事业业部按工工作流转转系统中中的管理理规则进进行更新新和归档档管理。25公公司内部部手册持持有者的的责任251与公公司或部部门内部部的相关关人员沟沟通、学学习手册册的要求求并遵照照

15、执行。252妥善善保管，不得私私自更改改、曲解解手册的的内容。不得随随意向其其他与公公司业务务无关的的第三方方传播，如需提提供公司司以外的的第三方方参考，应经技技术服务务事业部部提交公公司主管管副总经经理审核核后，报报公司总总经理批批准。3 公公司架构构和安全全承诺3.1公公司行政政组织架架构总 经 理文档培训仓库采购人力资源财务物流销售市场测试质量保证质管部实施研发综合管理部生技部商务部3.2公公司信息息安全管管理体系系组织架架构图总 经 理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量保证测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会注：每个个虚线框框内为一一

16、个信息息安全小小组，部部门的负负责人为为安全组组长，各各岗位负负责人为为该岗位位的安全全员。33公公司ITT服务管管理职能能关系架架构图3.4信信息安全全承诺公司成成立安全全管理委委员会来来领导信信息安全全工作，并确定定相应的的职责和和作用。制订信信息安全全方针和和信息安安全目标标，建立立和完善善公司的的信息安安全管理理体系。提供充充分的资资源以保保证信息息安全管管理体系系的制定定、实施施、运作作、监控控、维护护和改善善。对公司司信息资资产实行行有效管管理，确确保信息息的机密密性，维维持信息息的完整整性和可可用性，防范对对信息的的未经授授权访问问。对公公司信息息资产进进行风险险评估，制定风风险

17、可接接受标准准，对公公司不能能接受的的风险进进行处置置。建立业业务持续续性管理理流程。进进行业务务持续性性风险评评估，编编写、测测试并实实施业务务持续性性计划和和灾难恢恢复计划划，以保证证公司关关键业务务的连续续，不受受重大故故障和灾灾难的影影响。确保公公司所有有员工都都接受信信息安全全的教育育培训，提高信信息安全全意识。保护公公司、客客户、相相关合作作方的信息息安全。建立公公司信息息安全组组织架构构，明确确信息安安全责任任，确定定报告可可疑的和和发生的的信息安安全事故故及事件件的流程程，对违违反安全全制度的的人员进进行惩罚罚。建立物物理安全全和网络络安全管管理制度度，以确确保信息息的安全全性

18、。保护公公司软件件和信息息的完整整性，防防止病毒毒与各种种恶意软软件的入入侵。任何人人在未经经审批的的情况下下，禁止止将信息息资产带带离公司司。公司所所有员工工都要严严格遵守守公司的的安全方方针、程程序和制制度。控制对对内外部部网络服服务的访访问，保保护网络络服务的的安全性性与可用用性。对用户户账号、口令和和权限进进行严格格管理，防止对对信息系系统的非非授权访访问。对重要要信息进进行备份份保护，以保证证信息的的可用性性。定期对对信息安安全管理理体系进进行内审审和管理理评审。3.5信信息安全全管理委委员会为了加强强对信息息安全管管理体系系运作的的管理，江苏金金马扬名名信息技技术有限限公司公公司成

19、立立信息安安全管理理委员会会，其职职责见下下列明细细表。信息安全全管理职职责明细细表序号单位/部部门信息安全全职责1信息安全全管理委员员会信息安全全管理委委员会是是我公司司信息安安全最高高组织机机构，负负责本单单位网络络与信息息安全重重大事项项的决策策和协调调，并对对全公司司信息安安全工作作负责。2总经理信息安全全第一责责任人，制定信信息安全全方针，对信息息安全全全面负责责。3管理者代代表经总经理理授权负负责建立立、实施施、检查查、改进进信息安安全管理理体系。4综合管理理部我公司信信息安全全管理体体系的归归口管理理部门。负责管理理体系的的建立、实施、保持、测量和和改进。负责文件件控制、记录控控

20、制、内内部审核核的组织织、管理理评审的的组织和和体系的的改进。负责本公公司保密密工作的的管理。安全区域域的保卫卫管理部部门，负负责安全全区域的的管理。负责全公公司人员员安全管管理，包包括人员员聘用管管理，保保密协议议签署，员工的的能力、意识和和培训，员工离离职管理理。负责涉密密信息上上网、涉涉密计算算机运行行、检修修、报废废的监督督管理。对信息安安全日常常工作实实施动态态考核，将信息息安全管管理作为为企业管管理的重重要工作作内容。参与涉密密及司法法介入的的信息安安全事件件的调查查。5生产技术术部是我公司司信息系系统安全全管理部部门。负责局域域网上所所承担的的各类信信息系统统的管理理职能；负责我

21、公公司信息息系统安安全日常常管理。6其他部门门认真执行行信息安安全管理理的方针针、标准准、安全全策略和和规范，做好内内部培训训。备注：以以上职能能划分，适用所所有信息息安全管管理体系系文件。信息安全全管理委委员会组组成人员员：姓名部门职务备注36服服务管理理职能说说明361为保保证ITT服务管管理体系系的顺利利实施，以及实实施后得得到持续续的管理理和维护护，在现现有的组组织架构构外建立立服务管管理职能能关系架架构。IIT服务务管理职职能关系系架构，并不替替代现有有的按技技术类别别进行的的分工，现有的的按技术术类别进进的分工工，在将将来的IIT服务务管理体体系中仍仍将发挥挥其作用用。服务务部根据

22、据IT服服务管理理程序要要求对所所有服务务合同按按照项目目进行管管理与运运行，由由项目经经理按照照服务管管理职能能关系架架构中的的要求对对项目执执行管理理。一个个完整的的服务项项目必须须包含服服务台、事件管管理、业业务关系系管理、信息安安全管理理、供应应商管理理和ITT财务管管理。对对于上图图虚线框框内的的的问题管管理、发发布管理理、配置置管理、变更管管理、可可用性和和连续性性管理、容量管管理、服服务级别别管理以以及服务务报告可可由服务务部经理理依照与与用户签签署的服服务合同同进行选选择裁剪剪。362角色色分配说说明36211针对服服务部当当前组织织架构及及人员状状况，将将不再为为每一具具体流

23、程程分配流流程经理理。为此此将133个流程程，按其其必要程程度分成成必选流流程和可可裁剪流流程两大大模块。由项目目经理负负责相应应流程的的实施、管理和和控制。对项目目组成员员主要是是组织、协调、安排相相应工作作任务的的完成，可能并并不是由由自己去去完成。362111项项目经理理职责说明明：1）、负责责IT服服务项目目的立项项工作，按照服服务合同同要求负负责相应应流程的的实施、管理和和控制。组织、协调、安排项项目组成成员完成成相应工工作任务务。2）、负负责从服服务台接接受事件件报告开开始，分分配相应应的职能能小组进进行事件件处理，直至找找到问题题的根本本原因的的整个过过程的管管理和协协调。3）、

24、负负责各系系统的配配置管理理、变更更和发布布控制。4）、负负责系统统的可用用性规划划和管理理、负责责安排系系统连续续性的计计划和演演练，并并负责系系统容量量的规划划和监控控。5）、主主要负责责与用户户的沟通通，对供供应商的的管理，以及项项目的预预/决算算的管理理。362112能能力要求求：熟悉悉服务部部的各种种服务管管理流程程，具有有较强的的内部协协调能力力。由管理者者代表授授权技术术服务事事业部总总监，按按ISOO/IEEC 2200000的要要求，负负责协调调和组织织所有与与IT服务务有关的的活动，通过管管理和实施各项活动，使ITT服务业业务的质质量得到到有效的的保持和和维护。技术服务务事

25、业部部组织制制订、批批准和发发布公司司IT服务务策略、服务目目标，并并使其成成为公司司关注的的焦点，成为公公司协调调、统一一、凝聚聚公司的的所有活活动和资资源的准准则，成成为建立立、实施施、保持持并改进进IT服务务管理体体系的宗宗旨。363公司 IIT服务务策略：客户至上上、全员员参与、创新高高效、系系统管理理、追求求卓越公司 IIT服务务目标：公司通过过服务质质量改进进程序确确定年度度服务质质量目标标公司的IIT服务务目标按按ISOO/IEEC 2200000的要要求，与与公司的的业务相相结合，并通过过流程绩绩效不断断提高和和改进。技术服务务事业部部负责组组织相关关部门，通过会会议、评评审、

26、书书面报告告、培训训等方式式，及时时有效沟沟通工作作，达到到IT服务务管理目目标和持持续改进进的需求求，并在在公司中中积极贯贯彻实施施IT服务务管理的的重要性性。技术服务务事业部部负责组组织相关关部门按按照PDDCA的的要求，通过对对所属业业务的规规划，适适时优化化和提供供资源以以计划、实施、监控、评审和和改进IIT服务务的交付付和管理理。管理者代代表按照照服务务质量改改进管理理程序中的计计划间隔隔，由技技术服务务事业部部负责组组织相关关部门实实施ITT服务管管理体系系的内部部审核，确保IIT服务管体体系的有有效性与与符合性性。管理者代代表按照照服务务质量改改进管理理程序中的计计划间隔隔，组织

27、织相关部部门执行行IT服务务管理体体系的管管理评审审，确保保IT服务务管理体体系持续续的稳定定、充分分和有效效。364文件要要求36411公司的的文件管管理体系系分为AA、B、C、DD四层，即A层层为管理理手册、B层为为程序文文件、CC层为工工作流程程或规定定、D层层为记录录。36422管理手手册 描述述IT服务务管理体体系的文文件，是是全体员员工必须须长期遵遵循的法法规性文文件。36433程序文文件 覆盖盖公司主主要业务务过程的的流程文文件，是是管理手手册的支支撑性文文件。36444工作流流程或规规定 是开展展具体业业务工作作的规范范类、指指导性文文件，是是程序文文件的支支持性文文件。364

28、55记录 在开展展具体业业务工作作过程中中产生的的记录类类文件，主要是是为具体体工作结结果提供供各种可可追溯性性证据。36466技术服服务事业业部负责组织织制订文件和和记录管管理程序序，明明确文件件的拟制制、批准准、发放放、变更更、存档档等管理理要求，并监控控实施。36477技术服服务事业业部负责责组织相相关部门门，根据据公司的的业务特特点及标标准的要要求，制制订相关关的程序序文件，经公司司管理者者代表批批准后实实施。36488技术服服务事业业部负责责组织拟拟制与本本部门业业务相关关的各类类C层文文件，并并按文文件和记记录管理理程序的要求求对文件件和记录录的有效效性进行行管理。4信息安安全管4

29、.1总总要求4.1.1 公公司根据据整体业业务活动动（软件件开发、经营、服务和和日常管管理活动动）和所所面临的的风险，按ISSO/IIEC 270001:20005信信息技术术-安全全技术-信息安安全管理理体系-要求规定，参照IISO/IECC 2770022:20005信息技技术-安安全技术术-信息息安全管管理实用用规则标准，建立、实施、运作、监控、维护并并改进文文件化的的信息安安全管理理体系。4.1.2本手册册使用的的过程基基于PDDCA模模式。相关文件件：信息安安全方针针及目标标4.2建建立和管管理信息息安全管管理体系系（ISSMS）4.2.1建立立ISMMS4.2.1.11 信息息安全

30、管管理体系系的范围围和边界界本公司根根据业务务特征、组织结结构、地地理位置置、资产产和技术术定义了了范围和和边界，本公司司信息安安全管理理体系的的范围包包括：a) 本本公司涉涉及软件件开发、营销、服务和和日常管管理的业业务系统统；b) 与与所述信信息系统统有关的的活动；c) 与与所述信信息系统统有关的的部门和和所有员员工；d) 所所述活动动、系统统及支持持性系统统包含的的全部信信息资产产。组织范围围：本公司根根据组织织的业务务特征和和组织结结构定义义了信息息安全管管理体系系的组织织范围，见本手手册JIIN/QQM3.22公司信息息安全管管理体系系组织架架构。物理范围围：本公司根根据组织织的业务

31、务特征、组织结结构、地地理位置置、资产产和技术术定义了了信息安安全管理理体系的的物理范范围和信信息安全全边界。本公司IISMSS的物理理范围为为本公司司位于xxxxxxxxxxxxxxxxxxxx的的办公场场所，安安全边界界详见附附录A（规范性性附录）办公公场所平平面图。4.2.1.22 信息息安全管管理体系系的方针针为了满足足适用法法律法规规及相关关方要求求，维持持软件开开发和经经营的正正常进行行，实现现业务可可持续发发展的目目的。本本公司根根据组织织的业务务特征、组织结结构、地地理位置置、资产产和技术术定义了了信息安安全管理理体系方方针，见见本信息息安全管管理手册册第0.3条款。该信息安安

32、全方针针符合以以下要求求：a) 为为信息安安全目标标建立了了框架，并为信信息安全全活动建建立整体体的方向向和原则则；b) 考考虑业务务及法律律或法规规的要求求，及合合同的安安全义务务；c) 与与组织战战略和风风险管理理相一致致的环境境下，建建立和保保持信息息安全管管理体系系；d) 建建立了风风险评价价的准则则；e) 经经最高管管理者批批准。为实现信信息安全全管理体体系方针针，本公公司承诺诺：a) 在在各层次次建立完完整的信信息安全全管理组组织机构构，确定定信息安安全目标标和控制制措施；明确信信息安全全的管理理职责，见本信信息安全全管理手手册第33.4条款。；b) 识识别并满满足适用用法律、法规

33、和和相关方方信息安安全要求求；c) 定定期进行行信息安安全风险险评估，信息安安全管理理体系评评审，采采取纠正正预防措措施，保保证体系系的持续续有效性性；d）采用用先进有有效的设设施和技技术，处处理、传传递、储储存和保保护各类类信息，实现信信息共享享；e) 对对全体员员工进行行持续的的信息安安全教育育和培训训，不断断增强员员工的信信息安全全意识和和能力；f) 制制定并保保持完善善的业务务连续性性计划，实现可可持续发发展。4.2.1.33 风险险评估的的方法生技部负负责制定定信息息安全风风险管理理程序，建立立识别适适用于信信息安全全管理体体系和已已经识别别的业务务信息安安全、法法律和法法规要求求的

34、风险险评估方方法，建建立接受受风险的的准则并并识别风风险的可可接受等等级。信信息安全全风险评评估采用用信息安安全风险险管理软软件（Inffo-rriskkmannageer）进进行，以以保证所所选择的的风险评评估方法法应确保保风险评评估能产产生可比比较的和和可重复复的结果果。4.2.1.44 识别别风险在已确定定的信息息安全管管理体系系范围内内，本公公司按信息安安全风险险管理程程序，采用IInfoo-riiskmmanaagerr风险管管理软件件，对所所有的资资产进行行了识别别，并识识别了这这些资产产的所有有者。资资产包括括硬件、设施、软件与与系统、数据、文档、服务及及人力资资源。对对每一项项

35、资产按按自身价价值、信信息分类类、保密密性、完完整性、法律法法规符合合性要求求进行了了量化赋赋值，根根据重要要资产判判断依据据确定是是否为重重要资产产，形成成了重重要资产产清单。同时，根根据信信息安全全风险管管理程序序，识识别了对对这些资资产的威威胁、可可能被威威胁利用用的脆弱弱性、识识别资产产价值、保密性性、完整整性和可可用性、合规性性损失可可能对资资产造成成的影响响。4.2.1.55 分析析和评价价风险本公司按按信息息安全风风险管理理程序，采用用信息安安全风险险管理软软件，分分析和评评价风险险：a) 针针对重要要资产自自身价值值、保密密性、完完整性和和可用性性、合规规性损失失导致的的后果进

36、进行赋值值；b) 针针对每一一项威胁胁、薄弱弱点，对对资产造造成的影影响，考考虑现有有的控制制措施，判定安安全失效效发生的的可能性性，并进进行赋值值；c) 根根据信信息安全全风险管管理程序序计算算风险等等级；d) 根根据信信息安全全风险管管理程序序及风风险接受受准则，判断风风险为可可接受或或需要处处理。4.2.1.66 识别别和评价价风险处处理的选选择网络管理理部组织织有关部部门根据据风险评评估的结结果，形形成风风险处理理计划，该计计划明确确了风险险处理责责任部门门、负责责人、处处理方法法及起始始、完成成时间。对于信息息安全风风险，应应考虑控控制措施施与费用用的平衡衡原则，选用以以下适当当的措

37、施施：a) 控控制风险险，采用用适当的的内部控控制措施施；b) 接接受风险险（不可可能将所所有风险险降低为为零）；c) 避避免风险险（如物物理隔离离）；d) 转转移风险险（如将将风险转转移给保保险者、供方、分包商商）。4.2.1.77选择控控制目标标与控制制措施网络管理理部根据据信息安安全方针针、业务务发展要要求及风风险评估估的结果果，组织织有关部部门制定定了信息息安全目目标，并并将目标标分解到到有关部部门（见见信息息安全适适用性声声明）：a)信息息安全控控制目标标获得了了信息安安全最高高责任者者的批准准。b)控制制目标及及控制措措施的选选择原则则来源于于ISOO/IEEC 2270001:2

38、20055信息息技术-安全技技术-信信息安全全管理体体系-要要求附附录A，具体控控制措施施参考IISO/IECC 2770022:20005信息技技术-安安全技术术-信息息安全管管理实用用规则。c)本公公司根据据信息安安全管理理的需要要，可以以选择标标准之外外的其他他控制措措施。4.2.1.88 对风风险处理理后的剩剩余风险险，得到到了公司司最高管管理者的的批准。4.2.1.99 最高高管理者者通过本本手册对对实施和和运行信信息安全全管理体体系进行行了授权权。4.2.1.110 适适用性声声明生技部负负责编制制信息息安全适适用性声声明（SoAA）。该该声明包包括以下下方面的的内容：a)所选选择

39、控制制目标与与控制措措施的概概要描述述，以及及选择的的原因；b)对IISO/IECC 2770011:20005附附录A中中未选用用的控制制目标及及控制措措施理由由的说明明。4.2.2实施施和运行行ISMMS4.2.2.11为确保保信息安安全管理理体系有有效实施施，对已已识别的的风险进进行有效效处理，本公司司开展以以下活动动：a)形成成风险险处理计计划，以确定定适当的的管理措措施、职职责及安安全控制制措施的的优先级级；b)为实实现已确确定的安安全目标标、实施施风险险处理计计划，明确各各岗位的的信息安安全职责责；c)实施施所选择择的控制制措施，以实现现控制目目标的要要求；d)确定定如何测测量所选

40、选择的控控制措施施的有效效性，并并规定这这些测量量措施如如何用于于评估控控制的有有效性以以得出可可比较的的、可重重复的结结果；e)进行行信息安安全培训训，提高高全员信信息安全全意识和和能力；f)对信信息安全全体系的的运作进进行管理理；g)对信信息安全全所需资资源进行行管理；h)实施施控制程程序，对对信息安安全事件件（或征征兆）进进行迅速速反应。4.2.2.22 信息息安全组组织机构构本公司成成立了的的信息安安全领导导机构-信息安安全委员员会，其其职责是是实现信信息安全全管理体体系方针针和本公公司承诺诺。具体体职责是是：研究究决定贯贯标工作作涉及到到的重大大事项；审定公公司信息息安全方方针、目目

41、标、工工作计划划和重要要文件；为贯标标工作的的有序推推进和信信息安全全管理体体系的有有效运行行提供必必要的资资源。本公司由由相关部部门代表表组成信信息安全全管理网网络，采采用联席席会议（协调会会）的方方式，进进行信息息安全协协调和协协作，以以：a) 确确保安全全活动的的执行符符合信息息安全方方针；b) 确确定怎样样处理不不符合；c) 批批准信息息安全的的方法和和过程，如风险险评估、信息分分类；d) 识识别重大大的威胁胁变化，以及信信息和相相关的信信息处理理设施对对威胁的的暴露；e) 评评估信息息安全控控制措施施实施的的充分性性和协调调性；f) 有有效的推推动组织织内信息息安全教教育、培培训和意

42、意识；g) 评评价根据据信息安安全事件件监控和和评审得得出的信信息，并并根据识识别的信信息安全全事件推推荐适当当的措施施。 4.2.2.33信息安安全职责责和权限限本公司总总经理为为信息安安全最高高责任者者。总经经理指定定了信息息安全管管理者代代表。无无论信息息安全管管理者代代表在其其他方面面的职责责如何，对信息息安全负负有以下下职责：a) 建建立并实实施信息息安全管管理体系系必要的的程序并并维持其其有效运运行；b) 对对信息安安全管理理体系的的运行情情况和必必要的改改善措施施向信息息安全领领导小组组或最高高责任者者报告。各部门负负责人为为本部门门信息安安全管理理责任者者，全体体员工都都应按保

43、保密承诺诺的要求求自觉履履行信息息安全保保密义务务；各部门、人员有有关信息息安全职职责分配配见本信信息安全全管理手手册第33.4条款信信息安全全管理职职责明细细表和和相应的的程序文文件。4.2.2.44 各部部门应按按照信信息安全全适用性性声明中规定定的安全全目标、控制措措施（包包括安全全运行的的各种控控制程序序）的要要求实施施信息安安全控制制措施。4.2.3监控和评审ISMMS4.2.3.11本公司司通过实实施不定定期安全全检查、内部审审核、事事故（事事件）报报告调查查处理、电子监监控、定定期技术术检查等等控制措措施并报报告结果果以实现现：a)及时时发现处处理结果果中的错错误、信信息安全全体

44、系的的事故（事件）和隐患患；b)及时时了解识识别失败败的和成成功的安安全破坏坏和事件件、信息息处理系系统遭受受的各类类攻击；c)使管管理者确确认人工工或自动动执行的的安全活活动达到到预期的的结果；d)使管管理者掌掌握信息息安全活活动和解解决安全全破坏所所采取的的措施是是否有效效；e)积累累信息安安全方面面的经验验;4.2.3.22根据以以上活动动的结果果以及来来自相关关方的建建议和反反馈，由由总经理理主持，每年至至少一次次对信息息安全管管理体系系的有效效性进行行评审，其中包包括信息息安全范范围、方方针、目目标的符符合性及及控制措措施有效效性的评评审，考考虑安全全审核、事件、有效性性测量的的结果

45、，以及所所有相关关方的建建议和反反馈。管管理评审审的具体体要求，见本手手册第77章。4.2.3.33 网络络管理部部应组织织有关部部门按照照信息息安全风风险管理理程序的要求求，采用用信息安安全风险险管理软软件，对对风险处处理后的的残余风风险进行行定期评评审，以以验证残残余风险险是否达达到可接接受的水水平，对对以下方方面变更更情况应应及时进进行风险险评估：a) 组组织； b) 技技术；c) 业业务目标标和过程程；d) 已已识别的的威胁；e) 实实施控制制的有效效性； f) 外外部事件件，例如如法律或或规章环环境的变变化、合合同责任任的变化化以及社社会环境境的变化化。4.2.3.44按照计计划的时

46、时间间隔隔进行信信息安全全管理体体系内部部审核，内部审审核的具具体要求求，见本本手册第第6章。4.2.3.55定期对对信息安安全管理理体系进进行管理理评审，以确保保范围的的充分性性，并识识别信息息安全管管理体系系过程的的改进，管理评评审的具具体要求求，见本本手册第第7章。4.2.3.66考虑监监视和评评审活动动的发现现，更新新安全计计划。4.2.3.77记录可可能对信信息安全全管理体体系有效效性或业业绩有影影响的活活动和事事情。4.2.4保持持与持续续改进IISMSS我公司开开展以下下活动，以确保保信息安安全管理理体系的的持续改改进：a) 实实施每年年管理评评审、内内部审核核、安全全检查等等活

47、动以以确定需需改进的的项目；b) 按按照内内部审核核管理程程序、纠正正措施管管理程序序、预防措措施管理理程序的要求求采取适适当的纠纠正和预预防措施施；吸取取其他组组织及本本公司安安全事故故（事件件）的经经验教训训，不断断改进安安全措施施的有效效性；c) 通通过适当当的手段段保持在在内部对对信息安安全措施施的执行行情况与与结果进进行有效效的沟通通。包括括获取外外部信息息安全专专家的建建议、信信息安全全政府行行政主管管部门的的联系及及识别顾顾客对信信息安全全的要求求等；d) 对对信息安安全目标标及分解解进行适适当的管管理，确确保改进进达到预预期的效效果。相关文件件：系统风风险评估估方法适用性性声明

48、管理评评审程序序内部审审核控制制程序纠正措措施控制制程序预防措措施控制制程序4.3文文件要求求4.3.1总则则ISMSS文件应应包括： a) 形形成文件件的ISSMS方方针和控控制目标标； b) IISMSS范围c) IISMSS的支持性性程序和和控制措措施； d) 风风险评估估方法的的描述； e) 风风险评估估报告； f) 风风险处置置计划； g) 公公司为确确保其信信息安全全过程的的有效策策划、运行和和控制以以及规定定如何测测量控制制措施有有效性所所需的程程序文件件； h) 标标准所要要求的记记录； i) 适适用性声声明。 所有文件件应按IISMSS方针要要求在需需要时可可获得。 4.3.

49、2文件件控制ISMSS所要求求的文件件应予以以保护和和控制，应编制制形成文文件的程程序以规规定以下下方面所所需的管管理措施施：a) 文文件发布布前得到到批准以以确保文文件是充充分的； b) 必必要时对对文件进进行评审审与更新新并再次次批准； c) 确确保文件件的更改改和现行行修订状状态得到到识别； d) 确确保在使使用处可可获得适适用文件件的适用用版本； e) 确确保文件件保持合合法并易于识识别； f) 确确保外来来文件得得到识别别； g) 确确保文件件的分发发是受控控的； h) 防防止作废废文件的的非预期期使用； i) 若若因任何何原因而而保留作作废文件件时对这这些文件件进行适适当的标标识；

50、 4.3.3记录录控制应建立并并保持记记录，以以提供符符合要求求和ISSMS有有效运行行的证据据。记录录应得到到保护并并且受控控。ISSMS应应考虑相相关法律律要求，记录应应易于识识别和检检索。应应编制形形成文件件的程序序，以规规定记录录的识别别、贮存存、保护护、检索索、保存存期限和和处置所所需的控控制，确确定记录录需要和和程度的的管理过过程。 保持过程程业绩的的记录以以及与IISMSS有关的的安全事事件的记记录。例例如，记记录包括括访问者者登记审审核记录录和访问问授权。 相关文件件：文件控控制程序序记录控控制程序序5 管管理职责责5.1管管理承诺诺管理层应应通过以以下措施施对其建建立、实实施

51、、运运行、监监控、评评审、维维护和改改进ISSMS的的承诺提提供证据据。 a) 建建立信息息安全方方针； b) 确确保信息息安全目目标和计计划的建建立； c) 为为信息安安全分配配角色和和职责； d) 向向公司传传达满足足信息安安全目标标、符合合信息安安全方针针、法律责责任和持持续改进进的重要要性； e) 提提供足够够的资源源以建立立、实施施、运行行、监控控、评审审、维护护和改进进ISMMS； f) 决决定可接接受风险险的标准准和可接接受风险险的等级级； g) 确确保ISSMS内内部审核核的执行行； h) 进进行ISSMS管管理评审审。 相关文件件：信息安安全方针针和目标标部门职职责管理评评审

52、程序序系统风风险评估估方法5.2 资源源管理5.2.1资源源提供公司应确确定和提提供以下下方面所所需的资资源 a) 建建立建立立、实施施、运行、监监控、维维护和改改进ISSMS b) 确确保信息息安全程程序支持持业务需需求； c) 识识别并确确定法律律法规要要求和合合同安全全责任； d) 通通过正确确应用所所有实施的的控制措措施的来来维持足够够的安全全； e) 必必要时进进行评估估，并对对评估结果采采取适当当的对应应措施； f) 必必要时改改进ISSMS的的有效性性。 5.2.2培训训、意识和和能力公司应确确保在IISMSS中任命命职责的的人员应应能够胜胜任要求求的任务务 a) 确确定从事事影

53、响信信息安全全工作的的人员所所必需的的能力； b) 提提供足够够的能力力培训或或其它措措施，必必要时聘聘用有能能力的人人员满足足这些要要求； c) 评评估所提供供的培训训和采取取措施的的有效性性； d) 保保持教育育、培训、技能、经验和和资质的的适当记记录。 公司应确确保员工工认识到到所从事事信息安安全活动动的相关关性和重重要性，以及如如何为实实现ISSMS目目标作出出贡献。相关文件件：人力资资源管理理控制程程序6 IISMSS内部审审核公司应按按计划的的时间间间隔进行行ISMMS内部部审核，以确定定控制目目标、控制措施施、过程程和程序序是否：a) 符符合标准准及相关关法律法法规的要要求； b

54、) 符符合确定定的信息息安全要要求； c) 得得到有效效地实施施和维护护； d) 按按期望运运行。 内部审核核程序应应进行计计划，并并考虑受受审核过过程的状状况、重重要性和和受审核核的区域域以及上上次审核核结果，应规定定审核准准则、范范围、频频次和方方式，审审核员的的选择和和审核活活动应保保证审核核过程的的客观和和公正，审核员员不能审审核自己己的工作作。应建立形形成文件件的程序序，以规规定策划划和实施施审核的的职责和和要求以以及报告告结果和和保持记记录。 受审核区区域的负负责人应应确保立立即采取取措施，以消除除发现的的不符合合及其原原因。改改进措施施包括所所采取措措施的验验证并汇汇报验证证结果

55、。相关文件件：内部审审核控制制程序7ISMMS管理理评审7.1总总则管理者应应按策划划的时间间间隔评评审公司司的ISSMS（至少一一年一次次），以以确保其其持续的的适宜性性、充分分性和有有效性。评审应应包括评评价ISSMS改改进的机机会和变变更的需需要，包包括安全全方针和和安全目目标的适适宜性。评审结结果应清清楚地写写入文件件应保持持记录。 7.2管管理评审审输入管理评审审的输入入应包括括以下方方面的信信息： a) IISMSS审核（包括内内审和外外审）和和管理评评审的结结果； b) 相相关方（客户、供应商商、内部部员工等等）的反反馈； c) 公公司用于于改进IISMSS业绩和和有效性性的技术

56、术、产品品或程序序的发展展及变化化； d) 预预防和纠正措措施的实实施情况况； e) 上上次风险险评估未未充分指指出的弱弱点或威威胁； f) 体体系有效效性测量量的结果果； g) 上上次管理理评审所所采取措措施的跟跟踪验证证； h) 影影响ISSMS的的变更，如信息息安全组组织架构构变化等等； i) 改改进的建建议。7.3管管理评审审输出管理评审审的输出出应包括括与以下下方面有有关的任任何决定定和措施施 a) IISMSS有效性性的改进进 b) 风风险评估估和风险险处理计计划的更更新c) 必必要时修修订影响响信息安安全的程程序和控控制措施施，以反反映可能能影响IISMSS的内外外事件，包括以以

57、下变化化 1 业务务需求； 2 安全全需求； 3 影响响已有业业务需求求的业务务过程； 4 法律律法规环环境； 5合同义义务； 6 风险险和/或或风险接接受准则则。 d) 资资源需求求e)针对对被测量量的控制制措施有有效性的的改进相关文件件：管理评评审程序序8 ISSMS的的改进8.1持持续改进进公司应通通过应用用信息安安全方针针、安全全目标、审核结结果、监监控事件件的分析析、纠正正和预防防措施和和管理评评审，持持续改进进ISMMS的有有效性。 8.2纠纠正措施施公司应采采取措施施消除IISMSS实施和和运行的的不符合合原因，以防止止其再发发生。纠纠正措施施文件程程序应规规定以下下方面的的要求

58、。 a) 识识别ISSMS实实施和运运行的不不符合项项； b) 确确定不符符合的原原因； c) 评评价确保保不符合合不再发发生所需需的措施施； d) 决决定和实实施所需需的纠正正措施； e) 记记录所采采取措施施的结果果； f) 评评审所采采取的纠纠正措施施。 8.3预预防措施施公司应决决定措施施以防范范未来的的不符合合，防止止发生采采取的预预防措施施应与潜潜在问题题的影响响相匹配配，预防防措施文文件程序序应规定定以下方方面的要要求。 a) 确确定潜在在不符合合及其原原因；b)评价价预防不不符合发发生所需需的措施施；c) 决决定实施施所需的的预防措措施； d) 记记录所采采取措施施的结果果；

59、e) 评评审所采采取的预预防措施施。公司应识识别发生生变化的的风险，并通过过关注变变化显著著的风险险来识别别预防措措施要求求。应根根据风险险评估结结果来确确定预防防措施的的优先级级。相关文件件：纠正措措施控制制程序 预防措措施控制制程序 IT服务务管理服务管理理规划和实实施在开展IIT服务务管理的的活动中中，PDDCA原原理贯穿穿于ITT服务管管理体系系的全部部流程，其中：P（计划划） 根据据客户要要求和公公司策略略建立目目标和流流程。D（实施施） 实施施流程。C（检查查） 根据据策略、目标和和要求对对过程和和服务进进行监控控、测量量，并报报告结果果。A（改进进） 采取取措施以以持续改改进流程

60、程的性能能。计划服务务管理 服服务部向向客户提提供三大大服务项项目：常常驻现场场技术服服务、定定期巡检检技术服服务、咨咨询规划划设计服服务。甘甘肃万维维公司为为不断满满足市场场需求和和企业自自身发展展需要，将在未未来将原原有的三三大技术术服务内内容重新新规划和和设计，细化成成六大服服务内容容：基础础设施服服务、运运维服务务、专业业技术服服务、IIT安全全服务、咨询设设计评估估服务、培训服服务。从从而实现现在坚持持原有行行业内的的服务的的基础上上向行业业外扩展展的计划划。 服服务部根根据公司司IT服务务管理职职能关系系架构图图中的所所分配的的职责并并依据条条款4-9中所所规定的的服务管管理过程程