ISO27001信息安全管理体系整套资料汇编

信息安全体条文件汇编1份管理手册（10章）+35份程序文件（依照依据0B/'［22080―2016id11,0/1E（27001:2013标准编制）文件清单序号 文件名1 信息安全管理手册2 信息安全-风险管理程序3 信息安全-文件控制程序4 信息安全-记录控制程序5 信息安全-纠正措施控制程序6 信息安全-预防措施控制程序7 信息安全-内部审核管理程序8 信息安全-管理评审程序9 信息安全-信息分类管理程序10 信息安全-商业秘密管理程序11 信息安全-法律法规管理程序12 信息安全-知识产权管理程序13 信息安全-重要信息备份管理程序

14 信息安全-业务持续性管理程序15 信息安全-沟通协调管理程序16 信息安全-事件管理程序17 信息安全-奖惩管理程序18 信息安全-员工聘用管理程序19 信息安全-员工培训管理程序20 信息安全-员工离职管理程序21 信息安全-相关方管理程序22 信息安全-第三方服务管理程序

23 信息安全-安全区域管理程序24 信息安全-门禁系统管理程序25 信息安全-网络设备安全配置管理程序

26 信息安全-计算机管理程序27 信息安全-电子邮件管理程序28 信息安全-恶意软件管理程序29 信息安全-可移动介质管理程序

30 信息安全-用户访问管理程序31 信息安全-信息处理设施安装使用管理程序

32 信息安全-信息系统验收管理程序33 信息安全-信息处理设施维护管理程序34 信息安全-变更管理程序35 信息安全-信息系统访问与使用监控管理程序

36 信息安全-软件开发管理程序

深圳市XXXXX科技有限公司 文件编号 18M8~A~01文件版本 文件版本 V1，0密级 秘密信息安全管理手册（依据68/122080~20161（1t180/16627001：2013标准编制）编 号：18M8~A~01版本号：V1，0编制： 日期：2021~8~3审核： 日期：2021~8~3批准： 日期：2021~8~3受控状态第1页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密修订记录版本编写人审核人批准人修订日期 修订说明V1.0 2021-8-3 创建第2页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密目录1概述................................................................................................................................................................51.1颁布令.......................................................................................................................................................51.2任命书.......................................................................................................................................................61.3手册说明...................................................................................................................................................71.3.1总则........................................................................................................................................................71.3.信息安全管理手册的批准...............................................................................................................71.3.3信息安全管理手册的发放、作废与销毁............................................................................................71.3.4信息安全管理手册的修改....................................................................................................................71.3.5信息安全管理手册的换版....................................................................................................................81.3.6信息安全管理手册的控制....................................................................................................................82规范性引用文件............................................................................................................................................93术语和定义....................................................................................................................................................94组织环境........................................................................................................................................................94.1理解组织及其环境....................................................................................................................................94.2理解相关方的需求和期望........................................................................................................................94.3确定ISMS的范围......................................................................................................................................94.4信息安全管理体系.................................................................................................................................104.4.1总则.....................................................................................................................................................104.4.2ISMS体系过程方法...........................................................................................................................105领导作用.....................................................................................................................................................115.1领导作用和承诺.....................................................................................................................................115.2ISMS管理方针.......................................................................................................................................115.3组织架构、职责和权限.........................................................................................................................115.3.1ISMS管理体系组织架构图...............................................................................................................115.3.2ISMS管理职能分配...........................................................................................................................115.3.3职责和权限........................................................................................................................................126规划.............................................................................................................................................................126.1风险和机遇的应对措施.........................................................................................................................127支持.............................................................................................................................................................137.1资源.........................................................................................................................................................137.1.1总则.....................................................................................................................................................137.1.2基础设施.............................................................................................................................................137.1.3过程环境.............................................................................................................................................137.1.4监视和测量设备.................................................................................................................................137.1.5知识.....................................................................................................................................................147.2能力.........................................................................................................................................................147.3意识.........................................................................................................................................................157.4沟通.........................................................................................................................................................157.5文件记录信息.........................................................................................................................................15第3页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密7.5.1文件体系结构.....................................................................................................................................157.5.2文件控制.............................................................................................................................................177.5.3记录控制.............................................................................................................................................178运行.............................................................................................................................................................188.1运行的策划和控制.................................................................................................................................188.1.1ISMS运行总要求...............................................................................................................................188.2信息安全风险评估.................................................................................................................................188.2.1风险评估的方法.................................................................................................................................188.2.2识别风险.............................................................................................................................................198.2.3分析和评价风险.................................................................................................................................198.2.4识别和评价风险处理的选择.............................................................................................................198.3信息安全风险处置.................................................................................................................................198.3.1相关文件.............................................................................................................................................209绩效评价.....................................................................................................................................................209.1监视、测量、分析和评价.....................................................................................................................209.2内部审核.................................................................................................................................................209.3管理评审.................................................................................................................................................209.3.1总则.....................................................................................................................................................209.3.2评审输入.............................................................................................................................................219.3.3评审输出.............................................................................................................................................2110改进...........................................................................................................................................................2210.1不符合和纠正措施...............................................................................................................................2210.2持续改进...............................................................................................................................................2310.3纠正措施...............................................................................................................................................2410.4预防措施...............................................................................................................................................24附录1-组织简介...........................................................................................................................................25附录2-组织架构图.......................................................................................................................................26附录4-信息安全小组成员...........................................................................................................................30附录5-服务器拓扑图...................................................................................................................................30附录6-信息安全职责说明...........................................................................................................................31第4页共33页深圳市XXXXX科技有限公司 文件编号 18M8~A~01文件版本 文件版本 V1，0密级 秘密1概述

1，1颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻68/122080~20161（1t180/16627001：2013《信息安全管理体系要求》标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了深圳市XXX科技有限公司《信息安全管理手册》。《信息安全管理手册》经评审后，现予以批准发布。《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。深圳市XXX科技有限公司总经理:2021~8~3第5页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1・0密级 秘密1・2任命书任命书为贯彻执行（；8/T22080-2016id1IS0/IEC27001:2013《信息安全管理体系要求》，加强对信息管理体系运行的领导，特任命***为公司管理者代表。授权信息安全管理者代表有如下职责和权限：1）确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；

2）负责与信息安全管理体系有关的协调和联络工作；3）确保在整个组织内提高信息安全风险的意识；4）审核风险评估报告、风险处理计划；5）批准发布程序文件；6）主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7）向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本任命书自任命日起生效执行。 深圳市XXX科技有限公司总经理：2021-8-3第6页共33页深圳市XXXXX科技有限公司 文件编号 18M8~A~01文件版本 文件版本 V1，0密级 秘密1，3手册说明1，3，1总则《信息安全管理手册》的编制，是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。《信息安全管理手册》为审核信息安全管理体系提供了文件依据。

《信息安全管理手册》证明公司已经按照68/122080~20161(1t180/16627001：201标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1，3，信息安全管理手册的批准

管理者代表负责组织信息安全小组编制《信息安全管理手册》及其相关规章制度，总经理负责批准。

1，3，3信息安全管理手册的发放、作废与销毁（1）综合管理部负责按《文件控制程序》的要求，进行《信息安全管理手册》的登记、发放、回收、归档、作废与销毁工作。（2）各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。（3）综合管理部按照规定发放修改后的《信息安全管理手册》，并收回失效的文件做出标识统一处理，确保有效文件的唯一性。（4）综合管理部保留《信息安全管理手册》修改内容的记录。

1，3，4信息安全管理手册的修改《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册实施修改后，应及时发布修改信息，通知相关人员。《信息安全管理手册》的修改分为两种:第7页共33页深圳市XXXXX科技有限公司 文件编号 18M8~A~01文件版本 文件版本 V1，0密级 秘密一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》原件进行保存。在出现下列情况时，《信息安全管理手册》可以进行修改：➢信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进➢内部信息安全提出新的需求➢组织机构和职能发生变化➢经营环境和产品结构有调整➢发现本手册中存在差错或不明确之处➢引用的法规或体系标准有修改➢体系审核或管理评审提出改进要求➢本手册的更改控制按《文件管理程序》执行1，3，5信息安全管理手册的换版

《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新编制、审批工作。➢当依据68/122080~20161(1t180/16627001：信20息1安3全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。➢相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。➢《信息安全管理手册》发生需修改部分超1/时。

➢《信息安全管理手册》执行已满三年时。1，3，6信息安全管理手册的控制第8页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1・0密级 秘密（1）《信息安全管理手册》标识分受控文件和非受控文件：➢受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。➢非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。

（2）《信息安全管理手册》分为书面文件和电子文件两种。2规范性引用文件（；8/T22080-2016信息技术安全技术信息安全管理体系要求；

（；8/T22081-2016信息安全管理实用规则；与公司运营相关的法律法规和技术标准。3术语和定义本手册采用（；8/T22080-2016idtIS0/IEC27001:2013标准的术语和定义，并根据需要在相应章节所描述的要求中，增补了所涉及的术语和定义

本手册出现的术语“产品"指的是公司提供的产品和服务；

ISMS-I11tegratedMa11age!1e11tSyste!1的缩写，代表“信息安全管理体系"；4组织环境4・1理解组织及其环境

公司定期识别和信息安全管理目标相关，并影响实现信息安全管理预期结果的内外部问题。

4・2理解相关方的需求和期望本公司确定：a）与ISMS有关的相关方；b）这些相关方与信息安全有关的要求。4・3确定ISMS的范围应用范围：第9页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密本《信息安全管理手册》规定了〈深圳市XXX科技有限公司>信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理活动区域范围：*****************组织机构范围：管理层、技术部、销售部、综合管理部

4.4信息安全管理体系4.4.1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全员的信息安全意识，对信息安全风险进行有效管理，使全公司贯彻落实安全方针和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影响到信息安全的各种风险，防止安全事故的发生。同时确保全体员工理解并遵守执行信息安全管理体系文件，持续改进信息安全管理体系的有效性，树立公司良好的服务形象，增强用户对公司的技术和管理水平的信心，保证公司业务可持续开展，特制定本《信息安全管理手册》。4.4.2ISM体系过程方法第10页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密5领导作用5.1领导作用和承诺

总经理领导信息安全工作，并确定相应的职责和作用。制定信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。向公司传达满足信息安全目标以及信息安全方针，以及法律责任和持续改进的重要性。

提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS；决定可接受风险的标准和可接受风险的等级；

确保按照标准严格执行ISMS内部审核并进行管理评审。5.2ISMS管理方针一、信息安全管理方针为了满足适用法律法规及相关方要求，维ISM范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：

满足客户要求，保障信息安全，遵守法律法规，持续改进管理。二、信息安全管理目标1.针对客户信息安全事件的投诉每年不超次2.重要信息设备丢失每年不超起3.机密和绝密信息泄漏事件每年不超次三、信息安全管理适用范围

本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。

5.3组织架构、职责和权限5.3.1ISMS管理体系组织架构图附2-组织架构图

5.3.2ISMS理职能分配见附3-职能分配表第11页共33页深圳市乂乂乂乂乂科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1・0密级 秘密5・3・3职责和权限

见附8-信息安全职责说明6规划6・1风险和机遇的应对措施信息安全小组组织有关部门根据风险评估结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及完成时间。对于信息安全风险和给予，应考虑控制措施与费用的平衡原则，选用以下适当的措施：控制风险，采用适当的内部控制措施。接受风险（不可能将所有风险降低为零）；避免风险（如物理隔离）；转移风险（如将风险转移给保险者、供方、分包商）。6・2信息安全目标及其实现规划

6・2・1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。信息安全目标应：

。）与信息安全方针保持一致

b）可测量；c）考虑适用的要求，以及风险评估和风险处置的结果；

d）得到沟通；e）适时更新。

组织应保持有关信息安全目标的文件化信息。6・2・2在策划信息安全目标的实现时，公司确定：

。）采取的措施；b）所需的资源（见7・1）；c）责任人；d）完成的时间表；第12页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密e）如何评价结果。7支持7.1资源

7.1.1总则总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的资源，应考虑现有的资源、能力、局限；7.1.2基础设施组织应识别、提供并保持实现产品/服务符合性所需的基础设施，这些设施包括：工作场所相应的设施（办公电脑、服务器、软硬件、机房等）；服务过程设备，如各种通讯设备、监控设备和客户服务管理系统、业务系统（软件）等；维修保养和保障设施（各种辅助设施、安全防护设施等）；支持性服务，如运输、通讯信息系统等。

7.1.3过程环境公司各部门应识别提供产品/服务所需环境中人和物的因素，并对其加以有效的控制，保证提供产品/服务过程中的人员、财产安全。过程环境可包括物理的、社会的、心理的和环境的因素。

7.1.4监视和测量设备对照国际或国家的测量标准，在规定的时间间隔或在使用前进行校准和检定，如果没有上述标准的，应记录校准或检定（验证）的依据，以确保下列设备处于正常状态：开发用途的电脑设备；测试用途的电脑设备；开发用途的软件；测试用途的软件；集成项目使用的设备。处于正常状态的设备应具备下列特征：第13页共33页深圳市乂乂乂乂乂科技有限公司 文件编号 ISMS-入-01文件版本 文件版本 V1.0密级 秘密设备的型号能够符合预期的使用目的；无论设备处于待用状态还是处于使用状态，设备均是正常的；设备得到周期性的养护和校正，并标识其校准状态；必要时，各部门使用设备进行测量前，应再次校准设备；测试软件应确认其具有满足预期用途的能力，初次使用前应进行确认，必要时可以进行重新确认。当发现软件或设备不符合要求时，应对以往的测量结果进行有效性评价和记录，并对受影响的产品采取适当的措施。校准和检定结果的记录应予保存。

7.1.5知识公司应确保ISMS管理体系运行过程中，提供产品/服务的符合性和顾客满意所需的知识。这些知识应得到保持、保护、需要时便于获取。在应对变化的需求和趋势时，组织应考虑现有的知识基础，确定如何获取必需的更多知识。7.2能力公司应根据岗位所需的教育、培训、技能和经验要求，安排人员，以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要，能胜任其工作。对于人员的配置，公司人事行政部应定岗定编并制定完善的岗位说明文件公司在《员工培训管理程序》中对在职培训、人员的意识的灌输和工作能力的增长作了要求，以便：确定从事影响产品/服务质量和信息安全的人员（包含营销、服务提供、质量检查、IT开发、顾客沟通、顾客信息反馈等）所必须的工作能力及培训需求提供培训或采取其他措施，以满足所确定的需求并确保达成必须的能力对培训的有效性进行评价；确保员工能意识到他们工作的相关性和重要性，以及他们如何为达ISMS目标做出努力；保存有关教育、经验、培训、资格的适当的记录第14页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密7.3意识

公司应确保工作的人员意识到:ISMS管理方针；相关的信息安全目标；他们对信息安全管理体系有效性的贡献，包括改进绩效的益处；

偏离信息安全管理体系要求的后果。7.4沟通管理者代表为信息安全沟通交流主管部门，负责内、外部信息的交流与管理，及时将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟通交流工作，收集与外部相关方的信息资料，并保存回复的证据。7.4.1内部信息・信息安全方针、目标及实施方案・资产识别与风险评估・职责与权限的传达与落实・培训教育的实施与效果・监控与测量结果的反馈及法律、法规的符合情况

・不符合的纠正和预防措施的执行情况・紧急状态下的信息等7.4.2外部信息・信息安全方针通报相关方，对外宣传；

・法律、法规的获取与监测及执法部门的联络；

・监控、检测结果的外部联络和接受、答复；・认证与监督审核；

7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定《信息安全沟通协调管理程序》规范信息安全沟通过程，必要时，保留信息交流相关证据。7.5文件记录信息

7.5.1文件体系结构第15页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密信息安全管理体系的文件由上而下分为四个层次，如下图所示：信息安全管理体系文件包括：（1）管理手册（信息安全手册、信息安全策略）：规定信息安全管理体系的文件，是公司内部的信息安全法规，阐述了信息安全管理体系的方针、目标、范围、组织结构和职责权限，同时描述了信息安全管理体系的主体文件（程序文件），是信息安全管理体系的纲领性文件。（2）程序文件：是信息安全手册的支持性文件，规定了实施与信息安全管理体系有关的各项活动的途径和方法，是各项活动得以有效实施的保障。与信息安全管理体系有关的各项活动必须按照程序文件规定实施，并定期对其进行评审，保持其有效性。（3）作业指导、规范规章制度、计划等：是现场或岗位使用的详细工作文件，是程序文件的支撑和补充性文件，是信息安全管理体系过程得以有效策划、运行、控制所需要的文件，也是信息安全活动的基础文件。（4）表单记录：通过表单模板，对信息安全管理体系实施的一系列活动进行规范，形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息安全小组组织协调各相关部门共同完成编写。支持文件：第16页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密，《文件控制程序》

7.5.2文件控制综合管理部组织编制《文件控制程序》，确保信息安全管理体系的文件在以下几个方面得到控制：（1）文件发布前得到批准，以确保文件是充分与适宜的。（2）管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。（3）确保文件的更改和现行修订状态得到识别。（4）确保在使用处可获得适用文件的有关版本。（5）确保文件保持清晰、易于识别。（6）确保综合管理部确定的体系所需的外来文件得到识别，并控制其分发。（7）防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。

（8）具体执行按《文件控制程序》的规定，对文件的审核、批准、发布、变更、修改、废止等环节进行控制。

支持文件：，《文件控制程序》

7.5.3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据，对记录的标识、储存、保护、检索、保管、废弃等事项进行了规定，各部门应根据《记录控制程序》的要求采取适当的方式妥善保管信息安全记录，具体记录如下：（1）建立并保持记录，以提供符合要求和信息安全管理体系有效运行的证据（2）保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记录应保持合法，易于识别和检索。

（3）编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。

（4）记录的要求和管理：第17页共33页深圳市乂乂乂乂乂科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密➢真实、完整、字迹清晰，可识别是何种产品或项目的何种活动。➢填写及时、禁止未经许可的更改。➢各部门应对本部门的记录自行归档保存，保存环境应适宜，以防止记录损坏、变质和丢失，保管方式便于存取和检索。➢记录的保存期限应根据产品的特点、法规要求及合同要求来决定，见“记录清单〃。➢超过保存期的质量记录处理应按审批规定进行处置。支持文件：

●《记录控制程序》8运行8.1运行的策划和控制

公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程，这些过程与公司ISMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别每一过程对满足客户服务要求的能力的影响，并确保营运活动中每个质量特性都受到有效控制。8.1.1ISMS运行总要求

●实现过程的策划中应明确：●质量目标和要求；●明确各岗位的信息安全职责；●服务标准

●明确过程控制的准则和方法，制定必要的作业指导文件，为产品和服务实现提供资源和设施，保证其所需的工作环境；

●保留服务过程提供及过程测量和检查结果的记录。经识别公司没有外包过程。对于公司的服务商，综合管理部按照《第三方服务管理程序》进行管理。8.2信息安全风险评估

8.2.1风险评估的方法第18页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密信息安全小组负责组织编制《信息安全风险管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法，在决定风险的可接受范围内，采取适当的风险控制措施。8.2.2识别风险在信息安全管理体系范围内，对所有信息资产进行识别评价，识别资产面临的威胁以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险，并通过这些项目的风险标识推算出对重要资产造成的影响。8.2.3分析和评价风险针对每一项信息资产，识别出其面临的所有威胁，并考虑现有的控制措施，识别出被该威胁可能利用的薄弱点。

针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判断安全失效发生的可能性。

根据《信息安全风险管理程序》计算风险等级以及风险接受准则，判断风险为可接受或需要处理。

8.2.4识别和评价风险处理的选择项目风险的识别贯穿整个业务活动过程，明确哪些风险可能影响项目造成影响、记录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析，依据影响对项目风险进行优先级排序。综合管理部根据风险评估的结果，形成《信息安全风险评估表（含〈风险处理计划>）》，该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略，具体措施如下：（1）适时适当的控制措施。

（2）规避风险，采取有效的控制措施避免风险的发生。（3）接受风险，在一定程度上有意识、有目的地接受风险。

（4）风险转移，转移相关业务风险到其他方面。

（5）消减风险，通过适当的控制措施降低风险发生的可能性。8.3信息安全风险处置

组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。第19页共33页深圳市乂乂乂乂乂科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密详见《信息安全风险管理程序》8.3.1相关文件，《信息安全风险管理程序》9绩效评价9.1监视、测量、分析和评价为了保证服务的符合性及实施必要的改进，应规定、策划和实施所需的测量和监视活动。在策划时，应确定统计技术及其他适用的方法的需要和使用。需要监视和测量的过程和措施包括：客户满意度测量、过程的监视和测量、产品的监视和测量综合管理部应组织相关部门，对质量服务信息安全措施的绩效和体系的有效性进行评价。综合管理部应与各部门协调，根据公司管理的实际需要，建立恰当的度量体系，以度量员工、项目组的工作业绩。由综合管理部组织实施监视和测量，每年至少一次对对监视和测量的结果进行分析和评价，由总经理以及各部门经理分析和评价这些结果，保留相关的监视和测量证据。9.2内部审核

公司应按计划的时间要求进行ISM内部审核，以确定控制目标、控制措施、过程和程序是否：符合标准及相关法律法规的要求；符合确定的信息安全要求；

得到有效地实施和维护；按期望运行。内部审核程序应进行计划，并考虑受审核的状况、重要性和受审核的区域以及上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己的工作。9.3管理评审9.3.1总则第20页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密为确保信息安全管理体系持续运行，具体如下：（1）管理者代表组织并编制《管理评审程序》，指导管理评审工作的执行。（2）管理评审由最高管理者或其授权人员组织，每年至少一次。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：➢公司管理体系发生重大变化。➢国家法律法规、相关标准发生重大变化。➢外审之前。➢其他认为需要评审时。

（3）各部门负责均需参加管理评审活动，需要时，由总经理或其授权人员决定具体的参加人员。

（4）管理评审会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行，并对执行状况予以跟踪评估。9.3.2评审输入

在管理评审时，管理者代表应组织各相关部门提供以下资料，以供评审：a）以往管理评审的措施的状态；b）与信息安全管理体系相关的外部和内部问题的变更；

c）信息安全绩效的反馈，包括下列方面的趋势：1）不符合和纠正措施；

2）监视和测量结果； 3）审核结果； 4）信息安全目标的实现；d）相关方的反馈；e）风险评估的结果和风险处置计划的状态；

f）持续改进的机会。9.3.3评审输出

按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，管理评审输出包括以下方面有关的任何决定和措施：

（1）信息安全管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业第21页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。（2）信息安全管理方针和目标的修订。（3）与相关方/第三方有关的改进措施等。（4）风险的等级或可接受风险的水平，更新风险评估和风险评估表等。（5）业务需求的变更。（6）安全需求的变更。（7）资源需求以及影响现有业务需求的业务过程；（8）法律法规的环境。（9）改进测量控制措施有效性的方式。（10）对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。以上内容的详细规定见《管理评审程序》。公司应保留文件记录作为管理评审结果的证据。10改进10.1不符合和纠正措施

当发生不符合时，应：●对不符合作出反应，➢采取措施控制并纠正不符合；➢处理不符合造成的后果；

●评价消除不符合原因的措施的需求，通过采取以下措施防止不符合再次发生或在其他区域发生：➢评审不符合；➢确定不符合的原因；➢确定类似不符合是否存在，或可能潜在发生●实施所需的措施；

●评审所采取纠正措施的有效性；

●必要时，对体系实施变更。第22页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密应将以下信息形成文件：

●不符合的性质及随后采取的措施

●纠正措施的结果上述要求参见《纠正措施控制程序》。

10.2持续改进通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全管理体系的改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。关注客户的投诉、抱怨、记录、评估服务改进建议，制定服务改进计划，评估服务改进情况，确保各项服务改进措施均已落实执行，并实现预期的目标，从而改进完善服务过程，提升服务质量，提高客户的满意度。规定各部门在持续改进活动中的角色和职责，并从服务过程的所有方面考虑服务改进要求。计划通过以下途径持续改进信息安全管理的有效性：

（1）通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺。（2）通过信息安全管理体系目标的建立与实施，对持续改进进行评价。

（3）通过内部审核不断发现问题，寻找体系改进的机会并予以实施。

（4）通过数据分析不断寻求改进的机会，并做出适当的改进活动安排。

（5）通过实施纠正和预防措施实现改进的活动。

（6）监控安全事件并对事件进行分析。

（7）确定纠正措施和预防措施的有效性。

（8）根据管理评审的结果寻求改进体系的机会。

（9）根据客户满意度调查寻求改进体系的机会。支持文件：

●《纠正措施控制程序》●《预防措施控制程序》第23页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密，《内部审核管理程序》

10.3纠正措施对于发现的不合格项，不仅要求责任人要纠正不合格行为，而且为了消除不合格项、与实施和运行信息安全管理体系有关的原因，人事行政部要求责任人应该制定纠正措施，以便防止不合格的再次发生。纠正措施的控制应该满足如下要求：（1）识别实施和运行信息安全管理体系的不合格事件。（2）分析并确定不合格的原因。

（3）评价确保不合格不再发生的相关因素。

（4）确定和实施所需的纠正措施。

（5）检查、验证纠正措施的结果。

（6）评审所采取的纠正措施的有效性。支持文件：

，《纠正措施控制程序》，《预防措施控制程序》，《内部审核管理程序》10.4预防措施

在信息安全管理体系运行的过程中，通过日常的过程控制、结果验证、体系审核等方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件，应该及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求（1）识别潜在的信息安全事件及其原因，并确定。（2）评价预防不合格发生的措施的需求。

（3）确定和实施所需的预防措施。（4）评价预防措施的有效性，并对所采取措施的结果进行记录

（5）识别并控制重大的已变更的防线。支持文件：

，《纠正措施控制程序》，《预防措施控制程序》第24页共33页深圳市乂乂乂乂乂科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1・0密级 秘密附录1-组织简介深圳市乂乂乂科技有限公司是一家总部位于中国深圳的全方位IT及解决方案服务提供商。主要致力于航空领域，提供航空IT产品、IT服务及解决方案、航空教育的一体化专业公司。依靠与多家航空领域的企事业单位建立的良好合作关系，不断吸取各方先进技术与管理经验，打造了一支经验丰富的管理团队。在坚持高品质的产品质量、雄厚的技术力量的支持下，研发了多项拥有自主知识产权的产品，同时具备了向市场提供综合化服务的实力。我们的服务：公司一直坚持“满足客户的需求就是我们的追求的服务"宗旨，我们将以最优质的服务为客户提供全方位IT服务，提升客户的企业价值，提高客户的市场竞争力。技术实力：公司拥有蓬勃向上，充满朝气的创业型领导核心，海外留学背景，多年IT研发、管理经济的高层管理团队；经验丰富的研发团队一为客户提供专业的IT只是支持。发展战略：提供自主研发的一流软件和服务，持续为客户创造最大价值核心价值观公司理念：帮助客户创造价值，帮助员工实现梦想诚信：最重要的无形资产，是我们赢得客户信任的基础

专注：建立核心竞争力的关键

创新：企业持续性发展的必备基因是我们赢得客户信任的基础第25页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密附录2-组织架构图总经理信息安全小组管理者代表销售部综合管理部第26页共33页技术部深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密附录3-职能分配表管理单位信息安全小组体系要求4.组织环境总经理管理者代表综合管理部技术部销售部4.1理解组织及其环境 左 山 左 左 左 左4.2理解相关方的需求和期望 左 山 左 左 左 左4.3明确信息安全管理体系的范围 左 山 山 左 左 左4.4信息安全管理体系 左 左 山 左 左 左5领导 5.1领导和承诺 左 山 左 左 左 左5.2方针 左 山 左 左 左 左5.3组织角色、职责和权力 左 山 左 左 左 左6计划6.1处置风险和机遇 山 山 左 左左 左6.2信息安全目标的计划和实现 左 山 左 左 左 左7支持7.1资源 左 山 左 左 左 左7.27.2能力 左 左 左 山 左 左7.3意识 左 左 左 山 左 左7.4沟通 山 山 山 左 左 左7.5文档要求 左 左 左 山左 左8实施 8.1运行计划和控制 山 左 左 左 左 左8.2信息安全风险评估 山 左 左 左 左 左8.3信息安全风险处置 山 左 左 左 左 左9绩效评价 9.1监视、测量、分析和评价 山 左 左 左 左 左9.2内部审核 山 左 左 左 左 左9.3管理评审 左 山 左 左 左 左10改进 10.1不符合项和纠正措施 左 山 左 左 左 左10.2持续改进 左 山 左 左 左 左第27页共33页深圳市XXXXX科技有限公司 文件编号 ISMS-A-01文件版本 文件版本 V1.0密级 秘密A.5信息安全策略 A.5.1信息安全管理指导 左 左 山 左 左 左A.6信息安全组织 A.6.1内部组织 左 山 山 左 左 左A.6.2移动设备和远程办公 左 左 左 左 山 山A.7人力资源安全 A.7.1任用前 左 左 左 山 左 左A.7.2任用中 左 左 左 山 左 左A.7.3任用终止和变更 左 左 左 山 左 左A.8资产管理A.8.1资产的责任 左 左 左 山 山 山A.8.2信息分类 左 左 左山 左 左A.8.3介质处理 左 左 左 山 山 山A.9访问控制A.9.1访问控制的业务需求 左 左 左 山 左 左A.9.2用户访问管理 左 左 左 山 左 左A.9.3用户责任 左 左 左 山 左 左A.9.4系统和应用访问控制 左 左 左 山 左 左A.10加密技术 A.10.1加密控制 左 左 左 山 左A.11物理和环境安全左A.11.1安全区域 左 左 左 山左左A.11.2设备安全 左 左 左 山 左 左A.12操作安全A.12.1操作程序及职责 左 左 左 山 左 左A.12.2防范恶意软件 左 左 左 山 山 山A.12.3备份 左 左 左 山 山 山A.12