ISO27001信息安全管理体系全套资料管理手册及程序文件

XX有限公司信息安全管理体系

管理手册ISMS-M-2019版本号:A/1受控状态:■受控□非受控受控状态:■受控□非受控日期：2019年10月15日 实施日期：2019年10月15日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2018-1-05定版审核人A同意A/1编写组2019-10-15修改审核人B同意00目录00目录01颁布令02管理者代表授权书03企业概况04信息安全管理方针目标05手册的管理06信息安全管理手册1范围1.1总则1.2应用2规范性引用文件3术语和定义1本公司3.2信息系统3.3计算机病毒3.4信息安全事件5相关方4组织环境1组织及其环境4.2相关方的需求和期望4.3确定信息安全管理体系的范围4.4信息安全管理体系5领导力1领导和承诺5.2方针5.3组织角色、职责和权限6规划1应对风险和机会的措施6.2信息安全目标和规划实现7支持7.1资源

力识通件能意沟文力识通件能意沟文2345••••77778运行1运行的规划和控制8.2信息安全风险评估8.3信息安全风险处置9绩效评价1监视、测量、分析和评价9.2内部审核9.3管理评审10改进10.1不符合和纠正措施10.2持续改进附录A信息安全管理组织结构图附录B信息安全管理职责明细表附录C信息安全管理程序文件清单01颁布令为提高**公司**的信息安全管理水平，保障我公司业务活动的正常法行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻IS0/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司**《信息安全管理手册》。《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。《信息安全管理手册》符合有关信息安全法律、法规要求及IS0/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2018年1月8日起实施。企业全体员工必须遵照执行。2019年10月15日修改为A/1版本。全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和冃标。**公司**2019年10月15日02管理者代表授权书为贯彻执行信息安全管理体系，满足ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求，加强领导，特任命审核人B为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：◊确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；◊负贵与信息安全管理体系有关的协调和联络工作；◊确保在整个组织内提高信息安全风险的意识；◊审核风险评估报告、风险处理计划；◊批准发布程序文件；◊主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；◊向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。**公司**总经理：总经理2019年10月15日03企业概况（文档字体较少，下载后请自行放大字体，谢谢）这里是公司情况介绍哦单位地址：单位地址电话：单位电话传真：单位电话邮编：邮编总经理：总经理管代：审核人A04信息安全管理方针目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。信息安全管理方针：数据保密、信息完整、控制风险、持续改进、遵守法律。本公司信息安全管理方针包括内容如下：一、 信息安全管理机制公司采用系统的方法，按照ISO/IEC27001:2013建立信息安全管理体系，全面保护本公司的信息安全。二、 信息安全管理组织公司总经理对信息安全工作全面负资，负贵批准信息安全方针，确定信息安全要求，提供信息安全资源。公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。三、 人员安全信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职资和权限。对本公司的相关方，要明确安全要求和安全职责。定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识。全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。四、 识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全的要求，釆取措施，保证满足安全要求。五、 风险评估根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。釆用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。应根据风险评估的结果，釆取相应措施，降低风险。六、 报告安全事件公司建立报告信息安全事件的渠道和相应的主管部门。全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。七、 监督检查定期对信息安全进行监督检査，包括：日常检査、专项检査、技术性检査、内部审核等。八、 业务持续性公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。定期对业务持续性计划进行测试和更新。九、 违反信息安全要求的惩罚对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。信息安全目标如下：＞重大信息安全事件（损失达1万以上的）为零。＞公司发生网络中断时间小于2小时每年。05手册的管理1信息安全管理手册的批准办公室负责组织编制《信息安全管理手册》，总经理负责批准。2信息安全管理手册的发放、更改、作废与销毁a） 办公室负责按《文件管理程序》的要求，进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作；b） 各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管；c） 办公室按照规定发放修改后的《信息安全管理手册》，并收回失效的文件作出标识统一处理，确保有效文件的唯一性：d） 办公室保留《信息安全管理手册》修改内容的记录。3信息安全管理手册的换版当依据的IS0/IEC27001:2013或ISO/IEC27002:2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时，应对《信息安全管理手册》进行换版。换版应在管理评审时形成决议，重新实施编、审、批工作。4信息安全管理手册的控制a） 本《信息安全管理手册》标识分受控文件和非受控文件两种：—受控文件发放范围为公司领导、各相关部门的负责人、内审员；——非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。b） 《信息安全管理手册》有书面文件和电子文件，电子版本文件的有效格式为.doc文档。06信息安全管理手册1范围1.1总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS）,确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2应用1.2.1覆盖范围本信息安全管理手册规定了**公司**信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于**公司**电磁屏蔽机房的设计业务活动所涉及的信息系统、资产及相关信息安全管理活动。1.2.2删减说明本信息安全管理手册采用了ISO/IEC27001:2013标准正文的全部内容，对《适用性声明SOA》的删减如下：A.14.2.7外包开发 删减理由：公司无此业务2规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，办公室应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》3术语和定义IS0/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》、IS0/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。3.1本公司指**公司**包括**公司**所属各部门。3.2信息系统指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行釆集、加工、存储、传输、检索等处理的人机系统。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。3.4信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3.5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为：政府、上级部门、供方、银行、用户等。4组织环境4.1组织及其环境本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括：a） 本公司涉及软件产品的技术开发，设计的管理的业务系统（本次认证范围：与信息管理软件设计开发相关的信息安全管理活动）；b） 与所述信息系统有关的活动；c） 与所述信息系统有关的部门和所有员工；d） 所述活动、系统及支持性系统包含的全部信息资产。e） 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见附录A（规范性附录）《组织机构图》。f） 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。g） 本公司信息安全管理体系的物理范围为本公司位于单位地址。4.2相关方的需求和期望1） 重大信息安全事件（损失达1万以上的）为零。2） 公司发生网络中断时间小于2小时每年。4.3确定信息安全管理体系的范围体系范围：与信息管理软件设计开发、计算机系统集成相关的信息安全管理活动本公司涉及软件产品的技术开发，设计的管理的业务系统（本次认证范围：与电磁屏蔽机房的设计相关的信息安全管理活动）组织范围：本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见附录A（规范性附录）《组织机构图》。物理范围：本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为本公司位于单位地址。4.4信息安全管理体系本公司在软件产品的技术开发，设计的管理活动中，按TSO/IEC27OC1:2O13《信息技术-安全技术-信息安全管理体系-要求》规定，参照IS0/IEC270C2:2013

《信息技术-安全技术-信息安全管理实用规则》标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。信息安全管理体系使用的过程基于图1所示的PDCA模型。图1信息安全管理体系模型5.1图1信息安全管理体系模型我公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：a） 建立信息安全方针（见本手册第0.4章）；b） 确保信息安全目标得以制定（见本手册第0.4章、《适用性声明SoA》、《风险处理计划》及相关记录）；c） 建立信息安全的角色和职责；d） 向组织传达满足信息安全冃标、符合信息安全方针、履行法律责任和持续改进的重要性；e） 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系（见本手册第5.2$）；f） 决定接受风险的准则和风险的可接受等级（见《信息安全风险管理标准》及相关记录）；g） 确保内部信息安全管理体系审核（见本手册第9.2$）得以实施；h） 实施信息安全管理体系管理评审（见本手册第9.3章）O5.2方针为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。信息安全管理方针：满足客户要求，遵守法律法规，实施风险管理，确保信息安全，实现持续改进。信息安全目标下：重大信息安全事件（损失达1万以上的）为零。公司发生网络中断时间小于2小时每年。5.3组织角色、职责和权限详见附录B6规划6.1应对风险和机会的措施6.1.1总则为了满足适用法律法规及相关方要求，维持电力整流器开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求：a） 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b） 考虑业务及法律或法规的要求，及合同的安全义务；c） 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d） 建立了风险评价的准则；e） 经最高管理者批准。为实现信息安全管理体系方针，本公司承诺：a） 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责，详见附录B（规范性附录）《信息安全管理职责明细表》；b） 识别并满足适用法律、法规和相关方信息安全要求；c） 定期进行信息安全风险评估，信息安全管理体系评审，釆取纠正预防措施，保证体系的持续有效性；d） 釆用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e） 对全体员工进行持续的信息安全教育和培训，不断増强员工的信息安全意识和能力；f） 制定并保持完善的业务连续性计划，实现可持续发展。6.1.2信息安全风险评估6.1.2.1风险评估的方法办公室负资制定《信息安全风险管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。6.1.2.2识别风险在已确定的信息安全管理体系范围内，本公司按《信息安全风险管理程序》，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，根据重要资产判断依据确定是否为重要资产，形成了《重要资产清单》。同时，根据《信息安全风险管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。6.1.2.3分析和评价风险本公司按《信息安全风险管理程序》，釆用FMEA分析方法，分析和评价风险：a） 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b） 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；c） 根据《信息安全风险管理程序》计算风险等级；d） 根据《信息安全风险管理程序》及风险接受准则，判断风险为可接受或需要处理。6.1.2.4识别和评价风险处理的选择办公室组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a） 控制风险，采用适当的内部控制措施；b） 接受风险（不可能将所有风险降低为零）；c） 避免风险（如物理隔离）；d） 转移风险（如将风险转移给保险者、供方、分包商）。6.1.3信息安全风险处置办公室根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定了信息安全目标，并将目标分解到有关部门（见《信息安全适用性声明》）：■信息安全控制目标获得了信息安全最高责任者的批准。■本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施■控制目标及控制措施的选择原则来源于ISO/IEC27001:2013«信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考IS0/IEC27002:2013＜信息技术-安全技术-信息安全管理实用规则》。■适用性声明：办公室负责编制《信息安全适用性声明》（SoA）,所选择控制冃标与控制措施的概要描述，以及选择的原因；对IS0/IEC27001:2013附录A中未选用的控制目标及控制措施理由的说明。■制定风险处置计划。■对风险处理后的剩余风险，得到了公司最高管理者的批准6.2信息安全目标和规划实现6.2.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检査等控制措施并报告结果以实现：a） 及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b） 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c） 使管理者确认人工或自动执行的安全活动达到预期的结果；d） 使管理者掌握信息安全活动和解决安全破坏所釆取的措施是否有效；e） 积累信息安全方面的经验；6.2.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7章。6.2.3办公室应组织有关部门按照《信息安全风险管理程序》的要求，釆用FMEA分析方法，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a） 组织；b） 技术；c） 业务目标和过程；d） 己识别的威胁；e） 实施控制的有效性；f） 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。6.2.4按照计划的时间间隔进行信息安全管理体系内部审核。6.2.5定期对信息安全管理体系进行管理评审，以确保范围的充分性，并识别信息安全管理体系过程的改进，管理评审的具体要求，见本手册第7章。6.2.6考虑监视和评审活动的发现，更新安全计划。6.2.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。7支持7.1资源本公司确定并提供实施、保持信息安全管理体系所需资源；釆取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证：a） 建立、实施、运作、监视、评审、保持和改进信息安全管理体系；b） 确保信息安全程序支持业务要求；c） 识别并指出法律法规要求和合同安全责任：d） 通过正确应用所实施的所有控制来保持充分的安全；e） 必要时进行评审，并对评审的结果釆取适当措施；f） 需要时，改进信息安全管理体系的有效性。7.2能力组织应：a） 确定员工为完成其本职工作所所需的安全技能；b） 确保员工具备完成工作所需的教育、培训和经验；c） 采取合适的措施确保员工具备相应的技能并对技能进行考核；d） 保留适当的文档信息作为证据。注：适当的措施可能包括，例如：提供培训、指导或重新分派现有员工，或雇用具备相关技能的人士。7.3意识组织的员工应了解：a） 信息安全方针；b） 个人对于实现信息安全管理的重要性，提高组织信息安全绩效的收益；c） 不符合信息安全管理体系要求所造成的影响。7.4沟通办公室制定并实施《人力资源管理程序》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a） 确定承担信息安全管理体系各工作岗位的职工所必要的能力；b） 提供职业技术教育和技能培训或采取其他的措施来满足这些需求；c） 评价所采取措施的有效性；d） 保留教育、培训、技能、经验和资历的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。7.5文件化信息7.5.1总贝U本公司信息安全管理体系文件包括：a） 文件化的信息安全方针、控制目标，在《信息安全管理手册》中描述；b） 《信息安全管理手册》（本手册，包括信息安全适用范围及引用的标准）；c） 本手册要求的《信息安全风险管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序：d） 信息安全管理体系引用的支持性程序。如：《文件管理程序》、《记录管理程序》、《内部审核管理程序》等；e） 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；f） 《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录类文件；g） 相关的法律、法规和信息安全标准；h） 适用性声明（SoA）07.5.2创建和更新7.5.3文件化信息的控制办公室制定并实施《文件管理程序》，对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证：a） 文件发布前得到批准，以确保文件是充分的；b） 必要时对文件进行评审、更新并再次批准；c） 确保文件的更改和现行修订状态得到识别；d） 确保在使用时，可获得相关文件的最新版本；e） 确保文件保持清晰、易于识别；f） 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g） 确保外来文件得到识别；h） 确保文件的分发得到控制；i） 防止作废文件的非预期使用；j） 若因任何目的需保留作废文件时，应对其进行适当的标识。8运行8.1运行的规划和控制按照PDCA对体系进行运行。在公司实际推动信息安全体系运行。8.2信息安全风险评估8.2.1识别风险在已确定的信息安全管理体系范围内，本公司按《信息安全风险管理程序》，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，根据重要资产判断依据确定是否为重要资产，形成了《重要资产清单》。同时，根据《信息安全风险管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。8.2.2分析和评价风险本公司按《信息安全风险管理程序》，采用FMEA分析方法，分析和评价风险：a） 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b） 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；c） 根据《信息安全风险管理程序》计算风险等级；d） 根据《信息安全风险管理程序》及风险接受准则，判断风险为可接受或需要处理。8.3信息安全风险处置办公室组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划明确了风险处理资任部门、负资人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a） 控制风险，采用适当的内部控制措施；b） 接受风险（不可能将所有风险降低为零）；c） 避免风险（如物理隔离）；d） 转移风险（如将风险转移给保险者、供方、分包商）09绩效评价9.1监视、测量、分析和评价9.1.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a） 及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b） 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c） 使管理者确认人工或自动执行的安全活动达到预期的结果；d） 使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e） 积累信息安全方面的经验；1.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7章。1.3办公室应组织有关部门按照《信息安全风险管理程序》的要求，釆用FMEA分析方法，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a） 组织；b） 技术：c） 业务目标和过程；d） 已识别的威胁；e） 实施控制的有效性；f） 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。9.1.4按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体要求，见本手册第6章。9.1.5定期对信息安全管理体系进行管理评审，以确保范围的充分性，并识别信息安全管理体系过程的改进，管理评审的具体要求，见本手册第7章。9.1.6考虑监视和评审活动的发现，更新安全计划。9.1.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。9.2内部审核9.2.1办公室应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。9.2.2每次审核前，办公室应编制内审计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。9.2.3应按审核计划的要求实施审核，包括：a） 进行首次会议，明确审核的目的和范围，釆用的方法和程序；b） 实施现场审核，检査相关文件、记录和凭证，与相关人员进行交流；c） 进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；d） 审核组长编制审核报告。9.2.4对审核中提出的不符合项报告，责任部门应编制纠正措施，由办公室组织对受审部门的纠正措施的实施情况进行跟踪、验证；9.2.5按照《记录管理程序》的要求，保存审核记录。9.2.6内部审核报告，应作为管理评审的输入之一。9.3管理评审管理评审的输入要包括以下信息：a） 信息安全管理体系审核和评审的结果；b） 相关方的反馈；c） 用于改进信息安全管理体系业绩和有效性的技术、产品或程序；d） 预防和纠正措施的状况；e） 风险评估没有充分强调的脆弱性或威胁；f） 有效性测量的结果；g） 管理评审的跟踪措施；h） 任何可能影响信息安全管理体系的变更；i） 改进的建议。管理评审的输出应包括与下列内容相关的任何决定和措施：a） 信息安全管理体系有效性的改进；b） 更新风险评估和风险处理计划；c） 必要时，修订影响信息安全的程序和控制措施，以反映可能影响信息安全管理体系的内外事件，包括以下方面的变化：1） 业务要求；2） 安全要求；3） 影响现有业务要求的业务过程；4） 法律法规要求；5） 合同责任；6） 风险等级和（或）风险接受准则。d） 资源需求；e） 改进测量控制措施有效性的方式。10改进10.1不符合和纠正措施1.1办公室负资建立并实施《纠正和预防控制程序》，采取以下措施，消除与信息安全管理体系要求不符合的原因，以防止再发生。1.2《纠正和预防控制程序》应规定以下方面的要求：a） 识别存在的不符合；b） 确定不符合的原因；c） 评价确保不符合不再发生的措施要求；d） 确定并实施所需的纠正和预防措施；e） 记录所采取措施的结果；f） 评审所釆取的纠正和预防措施。10.1.3公司网络管理部应定期进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。10.2持续改进3） 本公司制定和实施《纠正和措施管理程序》《内部审核管理程序》等文件，通过下列途径持续改进信息安全管理体系的有效性：4） a）通过信息安安全管理体系方针的建立与实施，对持续改进做出正式的承诺；5） b）通过建立信息安全管理体系目标明确改进的方向；6） c）通过内部审核不断发现问题，寻找体系改进的机会并予实施,详见《内部审核管理程序》：7） e）通过实施纠正和预防措施实现改进，详见《纠正和措施管理程序》；8） f）通过管理评审输出的有关改进措施的实施实现改进。附录附录B信息安全管理职责明细表附录附录A信息安全管理组织结构图（规范性附录）

（规范性附录）序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责。2总经理信息安全第一责任人，制定信息安全方针，对信息安全全面负责。组织制定并批准信息安全管理方针、信息安全目标和计划。为发展、贯彻、运行和保持ISMS提供充足的资源为员工提供所需的资源、培训，并赋予其职责范围内的自主权。负责任命管理者代表，并定期进行管理评审。决定风险的可接受水平。负责批准公司信息安全管理手册和管理评审计划。3管理者代表负责建立、实施、检查、改进信息安全管理体系（具体见《管理者代表授权书》）。4商务部我公司信息安全管理体系的归口管理部门。负责管理体系的建立、实施、保持、测量和改进。负责文行控制、记录控制、内部审核的组织、管理评审的组织和体系的改进。◊负责本公司保密工作的管理。◊负责安全区域的管理。负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。◊对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。◊参与涉密及司法介入的信息安全事件的调查。负责公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。◊负责公司财务相关的信息安全管理，包括出纳、人员工资发放，以及代理记帐公司的管理。负责公司客户反馈信息的搜集，定期对客户回访跟踪。认真执行信息安全方针、标准、安全策略和规范，做好本部门职责范围内的信息安全管理体系运行工作。序号单位/部门信息安全职责5技术部负责收集与本部门相关的信息安全方面的法规及其他要求，并及时上报信息安全委员会，同时负责在本部门内传达，贯彻和实施与部门相关的法规及其他要求。协助在本部门内宣传公司的信息安全管理体系文件的要求，提高本部门员工的信息安全意识。按照信息安全体系文件的要求，在本部门遵照执行.发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实施处置措施。协助信息安全审计小组进行体系的内部审査与外部评审.7销售部负责收集与本部门相关的信息安全方面的法规及其他要求，并及时上报信息安全委员会，同时负责在本部门内传达，贯彻和实施与部门相关的法规及其他要求。协助在本部门内宣传公司的信息安全管理体系文件的要求，提高本部门员工的信息安全意识。按照信息安全体系文件的要求，在本部门遵照执行。发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实施处置措施。协助信息安全审计小组进行体系的内部审查与外部评审。对信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性，防范对信息的未经授权访问。处理本部门与信息安全相关的事宜，向信息安全委员会反馈本部门在信息安全方面的要求和建议。在第三方或对外联络中积极宣传本公司的信息安全目标和方针。在与第三方或外界进行信息交流、接触时，保证信息的安全。备注：以上职能划分，适用所有信息安全管理体系文件。附录附录C信息安全管理程序文件清单（资料性附录）序号文件名称文件编号10001-文件管理程序ISMS-0001-yyyy20002-记录管理程序ISMS-0002-yyyy30003-内部审核管理程序ISMS-0003-yyyy40004-纠正预防措施管理程序ISMS-0004-yyyy50005-管理评审管理程序ISMS-0005-yyyy60006-监视和测量管理程序ISMS-0006-yyyy70101-信息安全风险识别与评价管理程序ISMS-0101-yyyy80102-商业秘密管理程序ISMS-0102-yyyy90103-人力资源管理程序ISMS-0103-yyyy100104-信息安全惩戒管理程序ISMS-0104-yyyy110105-相关方信息安全管理程序ISMS-0105-yyyy120106-信息安全合规性管理程序ISMS-0106-yyyy130107-信息安全沟通管理程序ISMS-0107-yyyy140108-信息安全事件管理程序ISMS-0108-yyyy150201-安全区域管理程序ISMS-0201-yyyy160301-网络安全管理程序ISMS-0301-yyyy170302-数据安全管理程序ISMS-0302-yyyy180303-信息处理设施管理程序ISMS-0303-yyyy190304-个人计算机管理程序ISMS-0304-yyyy200305-用户访问管理程序ISMS-0305-yyyy序号文件名称文件编号210306-信息系统开发建设管理程序ISMS-0306-yyyy220307-信息系统应用管理程序ISMS-0307-yyyy230308-信息系统监控管理程序ISMS-0308-yyyy240309信息交换管理程庁ISMS0309yyyy250310-软件管理程序ISMS-0310-yyyy260311-介质管理程序ISMS-0311-yyyy270312-病毒防范管理程序ISMS-0312-yyyy280313-技术薄弱点管理程序ISMS-0313-yyyy290314-信息业务连续性管理程序ISMS-0314-yyyy300315-信息系统应急预案ISMS-0315-yyyy31适用性声明S0AISMS-SOA-yyyy32信息安全管理手册ISMS-M-yyyy信息安全风险评估管理程序1适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。2目的本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。3范围本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。4职责4.1成立风险评估小组办公室负资牵头成立风险评估小组。4.2策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划,确认评估结果，形成《信息安全风险评估报告》。4.3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。4.3.1各部门负责人负责本部门的信息资产识别。4.3.2办公室经理负责汇总、校对全公司的信息资产。4.3.3办公室负责风险评估的策划。3.4信息安全小组负责进行第一次评估与定期的再评估。5程序5.1风险评估前准备5.1.1办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。5.2信息资产的识别5.2.1本公司的资产范围包括：信息资产1） 数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。2） 软件资产：应用软件、系统软件、开发工具和适用程序。3） 硬件资产：计算机设备、通讯设备、可移动介质和其他设备。4） 服务：培训服务、租赁服务、公用设施（能源、电力）。5） 人员：人员的资格、技能和经验。6） 无形资产：组织的声誉、商标、形象。3资产及其重要度5.3.1识别组织的资产•识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计；不在评估范围内的资产，也要进行记录：•按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工作。•识别组织资产，参考《资产等级分类及重要度（安全等级）划分》5.3.2评估资产的重要度1.对资产的等级进行定义，并表示成相对等级的形式。识别出资产之后，必须对资产的重要度进行评估。评估的依据是资产的保密性、完整性和可用性在遭受损失之后的后果。不同资产的安全属性的重要程度是不一样的，例如：对财物数据来说保密性和可核査性是最重要的安全属性，而对操作软件来说更强调可用性。对资产评估的过程本身就是对资产安全属性损失后果的分析。在本程序中虽然不按照安全属性分别赋值，但是评估过程中要充分考虑本节中列岀的各种安全属性。资产重要度描述如下表。等级描 述3（高）对这些资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等）将对组织造成极严重的或灾难性的损失，通常其直接或间接的影响范围波及到公司整体。52（中）对这些资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等）将对组织造成较重要的损失，通常其直接或间接的影响范围波及到公司局部。31（低）对这些资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等）将对组织造成一定的损失，通常其直接或间接的影响范围仅波及到公司很少部门。12.决定资产重要度时，需要考虑：•资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性,即根据资产损失所引发的潜在的影响来决定；•为确保资产重要度的一致性和准确性，建立一个统一的尺度，以无歧义的方式对资产的重要度进行赋值；•分析和评价资产受到侵害后的保密性、完整性和可用性损失。•决定资产重要度，参考《资产安全等级分类》5.4识别资产面临的威胁实施风险评估需要对要保护的每一项关键资产进行威胁的识别。威胁可以从资产的所有者、使用者、计划书、信息专家、社团内部及外部负责信息安全的组织等处获得。通常，一个可能的威胁列表对完成威胁评估有所帮助。当应用威胁目录（列表）或者以前的威胁评估结果时，必须意识到，威胁总是不断变化的，尤其是在业务环境与信息发生变化时。分析本公司的信息系统存在的威胁种类，确定威胁分类的标准。综合威胁来源、种类和其他因素后得出威胁列表；针对每一项需要保护的信息资产，找出可能面临的威胁。在识别资产所面临的威胁时，应该考虑下面三个方面的资料和信息来源：•通过历史的安全事件报告或记录，统计各种发生过的威胁和其发生频率；•在评估对象的实际环境中，通过IDS等系统获取的威胁发生数据的统计和分析，各种日志中威胁发生的数据的统计和分析；•过去一年或两年来国际公司或机构（例如：微软公司）、社团内部负责信息安全的组织（例如：CERT应急响应中心）、社团外部负责信息安全的组织（例如：病毒防范产品公司）、业务关联公司发布的对于整个社会或特定行业安全威胁及其发生频率的统计数据。5.5识别威胁可以利用的脆弱性这一步是评估容易被攻击者（或威胁源）攻破（或破坏）的薄弱点，包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的,由资产自身特性导致的弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。一个没有对应威胁的脆弱性一般不会造成实在的风险，可以不采取相应的防护措施，但是有必要密切监视这种潜在的风险。注意，脆弱性不仅是由于最初购置或制造时的原因产生的，资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。例如：E2PROM是一种可擦写的存储设备，可擦写是其设计时的一项标准，但可擦写属性意味着E2PR0M所存储的信息未经授权的破坏成为可能，这就是一个脆弱性。5.6评估资产在威胁暴露度暴露度等级描述资产或资产安全属性受损害的程度，以下简称暴露度。本评估方法将暴露度的等级定义为5级。如下表所示：等级描 述5资产被完全损害，或者极其严重4对资产的损害程度很大

3对资产损害的程度中等2对资产的损害的程度很小1对资产损害的程度几乎没有表：暴露度的等级定义在评估时可参考下面两个表的描述，即根据对资产的安全属性（保密性、可用性、完整性）的损害及影响程度评价对应的暴露等级。等级资产的保密性或完整性5资产严重或完全损害，例如，从外部可接触，并影响业务利润或成败4严重但对资产造成不完全损害，例如，影响业务利润或成败，可从外部接触到。3中等损坏或损失，例如影响内部业务实施，导致运作成本增加或利润减少2低损害或损失，例如，影响内部业务实行，无法评定成本的增加1资产有轻微更改或无更改表：资产保密性/完整性暴露度的等级定义等级可用性描 述5停工实质性支持成本或业务承诺被取消4工作中断支持成本或业务承诺延迟可量化增长3工作延迟对支持成本或工作效率有显著的影响，无可评定的业务影响2工作受干扰无可评定的影响，支持或基础结构成本有少量增加1由正常业务操作吸收对支持成本/工作效率或业务承诺无可评定的影响表：资产可用性暴露度的等级定义5.7评估威胁发生的可能性容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易度与具体的信息系统没有关系。当与控制措施结合之后才形成影响的发生可能性。对于发生容易度的等级，需要根据资产不同的安全属性分别定义。本公司将发生容易度的等级定义为5级。参见下表：等级描 述5发生容易度高4发生容易度较高3发生容易度中2发生容易度较低1发生容易度低

表：发生容易度等级定义5.8识别与分析控目前控制手段的有效性控制措施可以减少风险发生可能性或者减轻发生后的影响。因此，必须识别出控制措施并对其有效性进行评估。根据控制措施的有效性对控制措施赋值，以下简称控制度。公司将控制度的等级划分为1-5（5为基本无效）。每一个等级都要对应相应的有效性系数之后参加风险的计算。如下表。控制度描 述1表示控制措施非常有效2表示控制措施有很大程度的效果3表示控制措施基本有效4表示控制措施有一定的效果5表示控制措施基本无效表：控制措施的控制度与控制措施有效性对应关系5.9分析资产在威胁脆弱性下发生的影响度影响是指威胁对脆弱性一次成功攻击所产生的负面影响。影响等级（以下简称影响度）是资产重要度等级和暴露等级的乘积。确定影响度的定义，本公司采取以下定义和计算方式影响度=（资产重要度等级*暴露等级）*20%由资产重要度等级值（1-5）与暴露等级（1-5）相乘，并乘以系数20%取整后，那么影响度等级为：l-5o发生可能性等級影响等级艮以系数5.10确定资产发生风险的可能性发生可能性等級影响等级艮以系数5.11计9风险风险表：风险计算矩阵本公司按照风险数值排序的方法，将上面的25的矩阵等级，按照组织对风险的接受程度定义为高、中、低3个风险度的级别。风险度为15（含）以上时表示高，5（含）~15表示中，5以下表示低；这包括可接受风险与不可接受风险的划分，接受与不可接受的界限应当考虑风险控制成本与风险（机会损失成本）的平衡；风险级别对应风险度风险描述和必要行动高>=15如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划。中>=5&&<15如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动。低<5如果被评估为低风险，须确定是否还需要采取纠正行动或者是否接受风险。5.12风险处理和接受准则本公司要求对“高”风险度制定《风险处理计划》，“中”风险由信息安全小组决定是否釆取安全措施，“低”风险属于可以接受的风险。总经理需要决定是否接受风险处理后的残余风险并承认《风险处理计划》。5.13不可接受风险的确定和处理各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,原评估小组重新评估其计划效果，降至残余风险可接受为止，确保所釆取的控制措施是充分的，该措施直到为再次风险评估的输入。残余风险报告须经总经理批准。5.14评估时机5.14.1每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：a） 当发生重大信息安全事故时；b） 当信息网络系统发生重大更改时；c） 信息安全管理小组确定有必要时。5.14.2各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在《信息资产识别评价表》、《重要信息资产清单》上予以添加或变更。6相关/支持性文件◊《信息安全适用性声明》

◊《信息安全管理手册》◊《文件和资料管理程序》◊《信息安全风险评估报告》7记录记录名称保存部门保存期限《风险处理计划》办公室3年《信息安全风险评估报告》办公室3年《信息资产识别评估表》办公室3年《残余风险评价报告》办公室3年《重要信息资产清单》办公室3年《残余风险计算表》办公室3年记录管理程序适用本程序适用于本公司产生的记录的管理。目的为支持信息安全体系的运作而明确记录的管理。管理方法本公司采用四级层次文件编写法。所有信息安全管理的记录均以ISMS-JL作为开头，其后由2个数字构成记录顺序编号。后两个数字为自然序列号；以此类推。如：ISMS-JLU记录清单。其中“ISMS”表示信息安全类文件：“JL”表示记录文件，即：表格；“11”代表自然序列号。ISMS—JLXjXISMS—JLXjX记录的顺序号 信息安全管理体系在每个记录文件的页眉右上角标记出文件的编号及版本号。版本及修订号的编制方法釆用“英文字母自然排序/数字自然排序”法。如：“ISMS—JLXXA/0”以此类推。 第0次修定（按照数字自然顺序号，依次使用1、2、3……）第A版（按照英文字母自然排序，依次使用B、C、D ）在使用每个具体记录时，需要在每个记录上填写该记录的使用序号（或称：编号）规则为：“部门的简写一自然顺序号”。如：“XZ-01”。以此类推。| I— 自然顺序号办公室的简称本公司本标准覆盖的部门，办公室简写：BG；设计部简写：SJ；质量部简写：ZL；经营部简写；JY采购部简写：CG财务部简写：CWo3.1保管方法（1） 记录由各保管部门在可快速检索的条件下，决定保管场所，放在箱子、柜子等适当容器中保管。（2） 对保管场所的环境，本程序没有特别指定。由各保管部门考虑记录媒体的特性做适当处理。（3） 以电子媒体保管的场合，为预防意外，需做适当的备份。备份的安全要求执行《重要信息备份管理程序》。（4） 记录保管部门应建立《记录清单》，明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求，保存期限参考本规格书第4条款。（5） 因工作需要，借阅其他部门的秘密记录，应获得记录保管部门负责人授权后方可借阅，并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录，并按期归还；机密记录只准在现场查阅。（6） 记录的字迹应清晰、真实、文字表达准确、简练，记录不得随意修改。确需修改时，必须在修改处作标识，并由修改人签名确认。3.2废弃超过保管期限的记录，由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置方法（如书面记录釆用粉碎方法、电子媒体采用格式化方法等），处置记录应予以保存。但若保管部门认为必要时，仍可继续保管超出保管期限的记录。记录的分类和保存年限详见《记录清单》记录记录名称保存部门保存期限《记录清单》办公室2年纠正预防措施控制程序1适用本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所釆取的纠正/预防措施的控制。2目的为对不符合/潜在不符合进行分析、釆取措施，并予以消除，以逐步改进和完善信息安全管理体系，特制定本程序。3职责本公司办公室为公司信息安全管理体系纠正/预防措施的归口管理部门，负资组织相关部门进行信息安全数据的收集及分析，确定不符合/潜在不符合原因,评价纠正/预防措施的需求，组织相关部门制定纠正/预防措施，并由办公室负责跟踪验证。4程序4.1纠正/预防措施信息来源有：公司内外安全事件记录、事故报告、薄弱点报告：日常管理检查及技术检查中指岀的不符合；信息安全监控记录；内、外部审核报告及管理评审报告中的不符合项；相关方的建议或抱怨；风险评估报告；其他有价值的信息等。4.2办公室每半年组织相关部门利用4.1条款所规定的信息来源，分析确定不符合/潜在不符合及其原因，评价防止不符合发生的措施的需求，并形成《信息安全风险评估报告》。釆取纠正/预防措施应与潜在问题的影响程度相适应，对于以下情况的不符合/潜在不符合应釆取纠正/预防措施：可能造成信息安全事故；可能影响顾客满意程度、造成顾客抱怨与投诉；可能影响本公司的企业形象与经济利益；可能造成生产经营业务中断。对于各部门日常发现报告的重大安全隐患（安全薄弱点），办公室应组织有关部门进行原因分析，采取纠正/预防措施。4.3需制定纠正/预防措施时，办公室应将有关不符合/潜在不符合信息及原因填入《纠正/预防措施申请单》，组织有关部门制定纠正/预防措施对策，确定实施纠正/预防措施的部门，填入《纠正/预防措施申请单》，经管理责任人批准后予以实施。4.4当问题原因不确定或责任重大时，由采取纠正/预防措施的部门呈报公司信息安全最高责任者，必要时，应提交公司信息安全管理委员会进行专题铲究，商讨对策。4.5实施纠正/预防措施的部门应按照《纠正/预防措施申请单》要求认真执行，并将执行结果记入相应《纠正/预防措施申请单》中。4.6办公室对纠正/预防措施实施结果进行验证，并将验证结果记录在《纠正/预防措施申请单》上。验证内容包括：纠正/预防措施是否按纠正/预防措施计划的要求实施；是否消除了不符合/潜在不符合的原因。4.7经验证效果不理想，负责制定纠正/预防措施的部门应重新编制《纠正/预防措施申请单》，依据本程序4.3要求实施。4.8纠正/预防措施需要涉及文件更改的，应对文件进行评审，按《文件和资料管理程序》更改文件。4.9办公室应做好纠正/预防措施相关记录的保存。管理评审前，将各部门所采取的纠正/预防措施的有关情况汇总，提交管理评审。5记录记录名称保存部门保存期限《信息安全风险评估报告》办公室3年《纠正/预防措施申请单》办公室3年管理评审控制程序1适用本程序对信息安全管理体系中要求进行的管理评审的实施程序作规定。2目的为确保公司信息安全管理体系持续的适宜性、充分性和有效性，评估公司信息安全管理体系改进和变更的需要，包括信息安全方针、目标，特制定本程序。3相关文件《信息安全手册》4实施程序4.1实施频率、时期管理评审每年至少进行一次。4.2召集和参加评审者4.2.1由总经理指示信息安全管理体系的管理者代表（以下简称管理者代表）召开管理评审会议。4.2.2参加管理评审会议者包括最高管理者、管理者代表及相关的部门长（或高级主管）。受召集的部门长因不得已的理由而无法出席时，可让其他管理者代其出席。4.2.3除了每年定期召开一次管理评审会议外，最高管理者还可在发生以下情况时，指示管理者代表召开管理评审会议。当本公司的产品、过程、系统、组织机构、人员和资源等有重大变化时；当连续出现重大信息安全事故时；当相关方有重大投诉或抱怨时；内部审核、顾客审核或1S027001：2013外部审核时，发现了对全公司有影响，属信息安全管理体系上的重大不符合事项时；IS027001：2013修订的情况下。4.3评审程序3.1管理者代表和各部门长准备以下资料，在管理评审中向最高管理者说明。管理输入包括：a） ISMS审核和评审的结果、方针和目标；b） 相关方的反馈；c） 可以用于改进ISMS业绩及有效性的技术、产品或程序；d） 纠正和预防措施的实施情况；e） 在以前风险评估没有充分提出的薄弱点或威胁；f） 以往管理评审的跟踪措施；g） 可能影响ISMS的任何更改；h） 改进的建议。4.3.2最高管理者接收了上述报告后，根据需要确认详细内容，对信息安全体系的有效性和运用状况进行评价，对以下管理评审输出作指示。管理评审输出：a） ISMS有效性的改进；b） 修改影响信息安全的程序文件，必要时，对可能影响ISMS的内外事件（events）发生的变更进行对应；这些变更包括：1） 业务要求；2） 安全要求；3） 影响现存业务要求的业务过程；4） 法律法规环境：5） 风险水平和/或风险接受水平。c） 资源的需求。4.4跟踪4.4.1管理者代表编写管理评审的会议记事录，经过最高管理者批准后，发给各相关部门。同时，通过文件将最高管理者的指示内容发给处置责任部门，委托推进纠正措施；4.4.2管理者代表确认纠正和预防措施的实施日程和进度状况，并将结果书面报告给最高管理者；4.4.3最高管理者针对上述报告，作适当的指示。4.5管理评审的记录管理评审的输入、输出、会议记录以及纠正和预防措施的记录由管理者代表保管三年以上。文件和资料管理程序目的对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。适用范围本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。职责3.1办公室负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。3.2办公室负责《信息安全管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。3.3办公室负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；3.4办公室负责组织项目工程竣工资料的审核验收；参与重大工程项Q施工组织设计编制工作。3.5办公室负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。3.6各职能部门负资本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。4.文件和资料编号/版本规定4.1本公司釆用四级层次文件（含记录）编写法。所有信息安全管理的文件均包含ISMS作为开头，表示为信息安全管理体系文件，其后由数字构成顺序编号。其中信息安全管理手册的编号为：FX-ISMS-20XX,表示为飞翔公司信息安全管理文件20XX年发布。信息安全适用性声明的编号为：FX-ISMS-S0A-20XX,其中，SOA表示适用性声明。程序文件的编号为：ISMS-COPXX,COP表示程序，XX为顺序号。作业文件的编号为：ISMS-W1XX.WI表示作业文件，XX为顺序号。关于记录的编号规定见《记录控制程序》4.2版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。如：“A/0”。以此类推。 第0次修定（按照数字自然顺序号，依次使用1、2、3……）第A版（按照英文字母自然排序，依次使用B、C、D……）版本及修订号的标注方法：1、2、3层次文件标注在封面。记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前増加更新后的版本及修订号，以示区别。工作程序5.1工作流程图:

文件文件-修订修改5.2文件分类（见下表）序号文件名称主要内容1法律法规国家和地方有关信息安全等方面的法律法规2公司文件《信息安全管理手册》、程序文件，与信息安全有关的规章制度及行政文件、管理方案等3标准类文件包括国家、地方、行业颁发的有关信息安全的各类技术规范、标准、标准图集、定额以及物理环境方面的规定等4合同类文件承包合同、分包合同、物资采购合同、租赁合同、经济技术责任状、信息安全协议等5图纸类文件厂房、宿舍楼、办公楼竣工图纸等6外来文件包括当地政府或上级主管部门下发的与信息安全管理体系有关的文件，还包括业主、分包商、供应商等方面有关体系方面的往来文件7运行记录包括信息安全管理体系运行中的各类数据记录8系统文件本公司与信息安全有关的系统文件包括：7） 系统操作手册；8） 关键商业作业流程；9） 网络系统拓扑结构图；10） 访问授权说明书及授权登记表；11） ISNS体系文件；12） 监视系统网络图；13） 其它系统文件。5.3文件的批准、发布和标识3.1《信息安全管理手册》由信息安全管理委员会编写，管理者代表审核，最高管理者批准发布。5.3.2程序文件和三层文件在办公室组织下由主管该程序的职能部门或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批准发布。5.3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照公司按照国家颁布的信息安全方面的法律法规进行编写。5.3.4其他管理文件由编写该文件的部门负资人审核，公司主管领导批准。5.3.5«信息安全管理手册》和程序文件都应标识清楚文件的名称、编号、版本、制文时间、发布部门和日期等。5.3.6公司内行政文件的发文程序。文件编写部门在文件定稿以后，填写《文件审批接收单》，标明文件名称、编号、份数、说明、主办单位、接受部门，经部门领导审核签字后交办公室，办公室根据文件内容送有关领导签发，填写发文编号打印后，加盖印章发出。5.3.7外来文件的管理程序。凡发到公司的与信息安全和有关的外来文件均由办公室负责签收、登记、分类，由办公室先送公司有关领导阅批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关部门阅办或转发以后，其文件原件一律由公司办公室收冋并存档案室。各部门收到的外来文件，应交办公室处理;凡地方有关部门或顾客直接发到各职能部门与信息安全和有关的文件资料，各职能部门对照公司文件控制管理工作程序进行文书处理。5.4文件的收发管理及使用5.4.1公司办公室设专职人员负责文件的收发、管理、更改和作废文件的处置。5.4.2文件发放时应确定发放范围，办理发放手续，建立发放台帐。5.4.3凡进入本单位、本部门的文件均要进行收文登记；凡发到下级单位或个人的文件均要妥善保管，严防丢失和污损，确保文件清晰，易于识别；凡需归档的文件，要按《记录管理程序》执行。5.4.4办公室负责汇总编制公司受控文件总清单，由管理者代表审批。5.4.5各职能部门都要根据本部门、本单位的实际建立文件清单，以便对文件进行动态的管理。5.4.6文件不得随意自行复印，如需要时使用者应办理复印审批手续，经文件主控部门批准后方可复印，复印的文件与原文同等发放管理。5.4.7文件使用者变动为与原岗位无关的岗位或调出本单位时，其使用的文件须办理交接，并填写文件交接单。5.5文件评审和修改5.5.1在文件实施过程中，各职能部门应及时收集不适宜之处，及时上报主编单位，由原文件审批人决定是否进行更改。《信息安全管理手册》、程序文件每年在内审时由办公室组织有关部门进行文件的评审，必要时予以修订。5.5.2文件在评审中决定需要更改时，必须由该文件的编写单位填写审批单，经主管领导批准后下达《文件审批接收单》，各级文件管理人员按通知要求进行更改，并将更改的情况写到文件变更记录页上。5.5.3文件清单中列岀的文件应为有效文件，并确保文件的更改和修订状态得到识别。5.6文件的作废处置6.1文件作废时，由发文单位下发《文件审批接收单》，持有文件的各部门、各单位和人员在接到作废通知单后，应及时撤出作废文件，标示后妥善保存或销毁，电子文件应在文件名后标注“作废”，防止作废文件的非预期使用。相关支持性文件■《记录管理程序》7.记录记录名称保存部门保存期限《文件审批接收单》办公室2年《受控文件和资料发放清单》办公室3年事故、事件、薄弱点与故障管理程序1适用本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。2目的为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，釆取有效的纠正与预防措施，正确处置己经评价出的风险，特制定本程序。3职责3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。各系统信息安全归口管理部门系统和相关信息信息安全归口部门备注绘图、防伪、出版系统设计部办公室协助参与火灾、雷击、供电、盗窃、洪水等相关的信息安全风险的整体调査、处理和纠正措施管埋。喷墨印刷印刷厂及各车间检测系统质量部财务系统财务部3.2各系统使用人员负资相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。4程序4.1信息安全事故定义与分类4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果）之一，均为信息安全事故：a） 涉密、受控信息泄露或丢失；b） 服务器停运4小时以上；c） 造成信息资产损失的火灾、洪水、雷击等灾害；d） 损失在十万元以上的故障/事件。4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果）之一，属于重大信息安全事故：a） 企业秘密及国家秘密泄露；b） 服务器停运8小时以上；c） 造成机房设备毁灭的火灾、洪水、雷击等灾害；d） 损失在一百万元以上的故障/事件。4.2故障与事故的报告渠道与处理4.2.1故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a） 各个信息管理系统使用者（包括合同方和第三方人员），在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或己经影响线上生产，必须立即报告相关部门，釆取必要措施，保证对生产的影响降至最低；b） 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c） 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d）发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。4.2.2故障、事故的响应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括釆取以下适当措施：a） 报告者应保护好故障、事故的现场，并釆取适当的应急措施，防止事态的进一步扩大；b） 按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系统或服务，必要时，启动业务持续性管理计划。4.3故障、事故调査处理与纠正措施4.3.1故障处理部门应对故障原因进行分析，必要时，釆取纠正措施，故障的原因及釆取措施的结果予以记录。4.3.2对于信息安全事故，在故障排除或采取必要措施后，相关信息安全管理职能部门会同事故责任部门，对事故的原因、类型、损失、责任进行鉴定，形成《事态事件脆弱性记录》，报信息安全管理者代表批准；对于重大信息安全事故的处理意见应上报信息安全管理委员会讨论通过。4.3.3对于违反公司信息方针、程序及安全规章所造成的信息安全事故责任者依据《信息安全奖励、惩戒规定》予以惩戒，并在公司内予以通报。4.3.4信息安全保密管理职能部门要求事故责任部门制定纠正措施并实施，实施结果记录在《事态事件脆弱性记录》。4.3.5由信息安全保密管理职能部门对实施情况进行跟踪验证。4.4报告信息安全薄弱点与预防措施4.4.1本公司与信息安全管理有关的所有员工对发现的信息安全薄弱点或潜在威胁均应履行报告义务。4.4.2发现者应填写《事态事件脆弱性记录》，交本部门负责人确认，后提交各个系统归口管理部门确定是否采取预防措施，确认责任部门并实施。预防措施的实施、验证执行《预防措施控制程序》。4.5信息安全事件定义与分类4.5.1信息设