ISO27001-2013信息安全管理手册(GBT-22080-2016)

XXXX有限公司信息安全管理手册ISO27001:2013编制：审核：批准：

信息安全管理手册目录TOC\o"1-2"\h\z\u25861.概述 4282641.1目的 433581.2适用范围 4313721.3颁布令 441631.4授权书 5176692.依据文件和术语 6218202.1依据文件 6103832.2术语定义 7134063.裁剪说明 727034.组织环境 7149294.1组织环境描述 7303314.2信息安全相关方的需求和期望 10308164.3信息安全管理体系范围的确定 10177784.4体系概述 11174475.领导力 13152885.1领导力和承诺 13188525.2信息安全方针和目标 1348515.3组织角色、职责和权限 14110106.策划 16244026.1风险评估和处置 169206.2目标实现过程 17284357.支持 1940757.1资源提供 19325067.2能力管理 1927437.3意识培训 19132387.4信息安全沟通管理 2039137.5文件记录管理 2018708.运行 2350478.1体系策划与运行 2350478.2风险评估 2350478.3风险处置 2448689.绩效评价 25250099.1监视、测量、分析和评价 25273959.2内部审核 2643689.3管理评审 273251110.改进 29436810.1不符合和纠正措施 29436810.2持续改进 29649411.信息安全总体控制 3120587A.5信息安全策略 3116567A.6信息安全组织 3130630A.7人力资源安全 348913A.8资产管理 3415130A.9访问控制 3418380A.10密码控制 3530788A.11物理和环境安全 357591A.12操作安全 356601A.13通信安全 3628274A.14系统获取、开发和维护 3611130A.15供应商关系 3716592A.16信息安全事故 3725395A.17业务连续性管理的信息安全方面 3715816A.18符合性 3728154附件一：信息安全组织架构映射表 3919969附件二：信息安全职责分配表 40概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。目的本总纲为公司信息安全管理体系的纲领性文件，描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。通过建立策划（P）执行（D）检查（C）改进（A）的持续改进机制，不断提高公司的信息安全管理水平，确保日常信息安全管理活动的安全、稳定、高效，提升企业核心竞争力。适用范围本总纲所描述信息安全管理体系适用于公司所有部门，所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。颁布令为提高信息安全管理水平，贯彻落实“以客户为中心，将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。”的基本方针，保障公司的生产、经营、服务和日常管理活动，防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司特依据《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》标准要求，建立了文件化的信息安全管理体系。本体系是信息安全管理的纲领性文件，是指导公司建立并实施信息安全管理体系的纲领和行动准则，用于贯彻信息安全管理方针，实现信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本总纲的要求，自觉贯彻管理方针，严格执行本总纲的各项规定，努力实现公司生产运行和日常办公的安全。并传达给外部相关方。本手册自颁布之日起生效执行。 公司总经理：XXXX 二零一八年七月一日授权书为了贯彻执行信息安全管理体系，满足《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》的要求，加强对信息安全管理体系建设和持续运行的领导工作，特任命XXX先生为公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估；协调与信息安全管理体系有关的各项工作；确保提高员工信息安全意识；督促信息安全管理体系内部审核和信息安全检查的开展；协助最高管理者进行信息安全管理体系的管理评审；向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。公司总经理：XXX二零一八年七月一日依据文件和术语依据文件本总纲的制定参考并依据了下列文件资料，详见《符合性实施制度》。法律法规：是指我国颁布的、所有相关且具有约束和指导作用的法律、法规；监管规定：是指证监会及其分支机构颁布的具有约束和指导作用的所有文件、规定等；文件：公司下发的对信息业务系统、信息安全管理等有约束力和指导作用的所有文件；国际惯例：是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和指导作用的国际通用惯例；标准：《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》；术语定义信息安全：对信息的机密性、完整性和可用性的保护；机密性：确保信息仅供给那些获得授权的人使用；完整性：保护信息及信息处理方法的准确性和完全性；可用性：确保获得授权使用该信息及信息系统的人能及时、可靠地使用；风险评估：评估信息及信息处理系统所存在的或可能产生的威胁、影响和薄弱环节，是风险分析和风险评价的全过程；风险管理：指导和控制组织通过区分、控制、减少或去除等方法将风险控制在可承受范围内的活动；裁剪说明《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》的条款与公司信息安全管理体系的适用关系，详见《信息安全管理体系适用性声明(SOA)》。组织环境组织环境描述1、内外部组织关系XXXXXX软件有限公司成立于2001年，是中国领先的呼叫中心与云计算应用服务提供商。公司倡导“人性化科技帮助客户提升业绩”，致力于帮助企业利用云计算技术，以客户为中心，协同各种经营资源，改善营销流和服务流，从而提高人均产值，重塑客户体验。XX软件是中国云计算应用/SaaS、PaaS应用的先驱，从2005年即开始研发云计算SaaS产品，拥有上百人的云计算专业研发队伍、国内一流的云计算业务咨询顾问和运营服务团队，拥有50余项自主知识产权。总经理应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。公司内部问题包括：a)人员流动、人员意外伤害、人员故意泄密、违反规章制度泄密、人员无知泄密、网络管理者安全保密意识不强造成网络管理的漏洞;b)病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗、系统权限滥用;c)电脑丢失或被盗用、意外断电、未经授权的系统访问、设备故障、介质使用或处置不当造成泄密;d)文档资料被虫咬、火灾、受潮、丢失、非预期有使用或滥用;f)第三方服务的崩溃、缺乏对服务的监控;公司外部问题包括：a)广大中小企业、行业与事业单位用户对于信息安全的意识淡漠；b)自然灾害；c)意外事故；d)行业竞争激烈；e)社会的不安定因素；2、法律法规环境公司应遵循信息安全法律法规要求和义务，避免员工违反法律、法规的要求，控制相关法律风险。具体要求见《符合性实施制度》。3、组织架构及部门职责公司组织架构图如下，部门包括总经办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。如下图所示：总经办负责协助总经理执行日常工作计划和其他工作安排；执行相关信息安全管理规章制度。行政部负责公司各项行政事务管理工作；完善公司内部控制制度建设；负责日常行政事务工作和办公设施、办公场所等管理工作；上级领导交办的其他工作；负责制定并执行相关信息安全管理的规章制度。人力资源部负责人力资源规划的制定、实施及完善；负责组织机构方案、人员编制、岗位评价方案的研拟与执行；负责培训体系、绩效考评体系的制定、实施及追踪；负责公司人力成本的预算及调控；部门费用预算的控制；负责企业文化的建立、宣传及推动；员工职业生涯的规划设计；负责员工的招聘、高级人才的引进；执行相关信息安全管理的规章制度。商务采购部负责公司第三方服务业务谈判及组织实施；负责各项第三方服务业务合同的保管、查询、建立合同档案，定期检查合同执行情况，不断完善合同的各项条款；负责各项第三方服务业务合同的签订、变更、执行、终止；负责各种促销活动方案中商户的协调和落实；执行相关信息安全管理的规章制度；财务部围绕公司的经营发展规划和工作计划，负责编制公司财务计划和费用预算，有效地筹划和运用公司资金；财务制度的建设和规范的制定；做好财务统计和会计账目、报表及年终结算工作，并妥善保管会计凭证，账簿、报表和其他档案资料；财务部日常管理工作，部门人员的管理、培训、考核；建立健全公司内部核算的组织、指导和数据管理体系，以及核算和财务管理的规章制度；做好公司各项资金的收取与支出管理工作；执行相关信息安全管理的规章制度。产品部为公司提供准确的行业定位，及时提供市场信息反馈；制定和实施年度产品推广计划和新产品开发计划（依据市场需求的变化，要提出合理化建议）；依据市场变化要随时调整产品战略与营销战术（包括产品价格的调整等），并组织相关人员接受最新产品知识的培训；制定公司品牌管理与发展策略，维护公司品牌；管理、监督和控制市场政策执行情况；执行相关信息安全管理的规章制度。销售部负责产品或服务的销售工作；负责代理人市场的推广，特别是战略客户的市场推广策略并实施；负责制定并管理销售业务流程；负责对销售业务流程执行的监督；执行相关信息安全管理规章制度。服务部负责对本部门新员工的工作技能进行培训，并进行考核；负责云端产品部署、管理、维护、运营和服务运营质量的管理和提升工作；负责客户关系的维护、客户的技术培训、合同的执行，项目验收等相关工作；负责大数据的运营、自建呼叫中心平台及云端产品的客户业务和售后服务工作，保证客户的满意度；负责制定和执行服务运营及环境维护管理规章制度和相关信息安全管理的规章制度。研发部负责提供符合客户要求和认可的技术支持和解决方案；承担产品设计和开发工作；负责技术方案的评审工作，保证技术方案的可行性；负责组织和协调开发项目的资源，保证项目按计划进行；负责制定项目计划，并根据各种变化修改项目计划；制定有效的项目决策过程；负责实施项目的管理、开发、质量保证过程，确保客户的成本、进度、绩效和质量目标；负责确保在项目生命周期中遵循实施公司的管理和质量政策；负责招聘和培训必须的项目成员；负责确定项目的人员组织结构;进行风险管理；负责定期举行项目评估(review)会议；负责为项目所有成员提供足够的设备、有效的工具和项目开发过程；负责有效管理项目资源；负责制定并执行相关信息安全管理的规章制度。测试部负责协调业务管理体系下各部门工作；负责源代码及软件的完整性、可用性、功能、性能进行系统性测试；负责对各业务系统及运行环境进行系统性测试和安全性检测；负责对源代码资源系统管理及备份；负责制定并执行相关信息安全管理的规章制度。信息安全相关方的需求和期望公司信息安全相关方包括认证单位、客户、供应商、内部部门及员工等。各相关方的信息安全要求和期望均应及时识别，并在实际业务开展时应遵照执行。相关方识别原因信息安全要求和期望更新频率识别方法认证单位ISO27001符合体系标准要求方可通过认证相关资质的信息安全要求认证标准发布周期与认证单位联系客户合同关系合同中要求的信息安全内容合同要求更新周期合同供应商合同关系合同中要求的信息安全内容合同要求更新周期合同内部部门及员工信息安全工作执行层各部门实际工作中的信息安全要求个人隐私安全不定期安全会信息安全管理体系范围的确定体系范围的确定主要考虑到公司的实际业务特点和资源的合理利用，在公司范围内建立信息安全管理体系，有利于全面的提高公司信息安全管理水平，保障业务稳定发展的需求。业务范围：云呼叫中心软件平台的开发及运维、呼叫中心业务及相关信息服务；物理范围：XX市XX区XX路XX号XX中心X座XXX室；资产范围：支撑业务活动的文档、数据、软硬件系统、物理环境、人员及支持性第三方服务、无形资产（专利）等全部信息资产；组织范围：总经办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。体系概述公司依据《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》的要求，同时考虑行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，保障公司信息的保密性、完整性和可用性，确保各项业务的连续性。公司依据整体业务活动和风险，按照GB/T22080-2016标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全管理体系，将PDCA（Plan、Do、Check和Act）持续改进模型作为贯穿整个信息安全管理的主要指导思想。如下图所示。a）规划（建立ISMS）：建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果；b）实施（实施和运行ISMS）：实施和运行ISMS方针、控制措施、过程和程序；c）检查（监视和评审ISMS）：对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审；d）处置（保持和改进ISMS）：基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。领导力领导力和承诺由公司负责人授权管理者代表全权负责信息安全管理体系的日常工作，包括批准并正式发布各项制度、规定，建立体系推进组织，任命相关角色，协调与信息安全管理体系有关的各项工作（详见4.1.3组织架构及部门职责）。公司总经理通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：a)建立信息安全方针(见《信息安全方针》)；b)确保信息安全目标和计划得以制定（见《信息安全目标》及相关记录）；c)提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第7.1章)；d)建立信息安全的角色和职责和相应的管理程序；e)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；f)实施信息安全管理体系管理评审，确保信息安全管理体系达到其预期的效果（见本手册第9章）；g)指导和支持员工对信息安全管理体系做出有效的贡献；h)确保内部信息安全管理体系审核得以实施，促进持续改进（见本手册第9章）；i)支持其他相关管理角色来展示自己的领导力，因为它适用于他们的职责范围。信息安全方针和目标公司信息安全方针的制定考虑了以下方面的要求：a)与公司信息安全管理意图相适宜；b)作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则；c)考虑公司业务发展、法律法规要求及其他相关方信息安全的要求；d)包括对持续改进信息安全管理体系的承诺；信息安全方针的批准、发布及修订由公司总经理负责，最终方针应形成文件化信息并可用；通过培训、宣贯等方式使得本公司员工知晓并执行相关内容；通过有效途径告知相关方、客户群等，以提高安全保密意识及服务水平；并定期通过《管理评审控制程序》评审其适用性、充分性，必要时予以修订。信息安全方针:以客户为中心，将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。信息安全目标:为落实上述方针，公司定义如下信息安全目标：全年不发生重大信息安全事件和二级以上运行安全事故；重要保障时期不发生三级以上安全事件。组织角色、职责和权限信息安全管理体系负责人（工作小组组长）：负责组织建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；负责公司信息安全管理手册（一级）的审核，制度文件（二级）的审批；组织并领导公司内部审核工作；负责组织发起信息安全管理体系的管理评审工作；负责向领导小组报告信息安全体系运行的业绩和任何改进的需求。信息安全工作小组：负责本部门的信息安全管理工作，负责保护本部门所管理、使用的信息资产的安全；负责指导和要求本部门员工遵守信息安全政策；组织落实部门信息安全纠正措施(包括内部审核整改意见)和预防措施。公司全体员工：严格遵守所有与信息安全相关的国家法律、法规和政策，遵守公司所有的信息安全政策，并签字承诺遵守保密协议的有关规定；以安全负责的方式使用公司的信息资产；积极参加信息安全教育与培训，提高信息安全意识；有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员。策划应对风险和机会的措施6.1.1总则为建立和实施信息安全管理体系，公司信息安全管理采用过程方法，把与信息安全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体系。具体包括：识别并确定信息安全管理体系相关的策略、目标、过程和制度，改进信息安全以达到期望的结果；依据“过程模式”确定上述过程的顺序和相互关系；将过程充分展开，明确信息安全控制点，编制形成信息安全管理体系文件；配置适当的资源，提供必要的支持和信息，以保证过程的有效运作；持续测量、监控和分析这些过程，并进行必要的改进。6.1.2风险评估及机遇信息安全管理领导小组应定义并应用风险评估过程，识别影响业务的潜在风险及发展机遇以：建立和维护信息安全风险标准，包括：风险接受标准；实施信息安全风险评估的标准。确保信息安全风险评估活动一致性，产生有效的和可比较的结果；识别信息安全风险：在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性和可用性的丧失带来的风险；识别风险责任人。分析信息安全风险：评估识别的风险产生的潜在后果；评估识别的风险转化为事件的可能性；确定风险的等级。评价信息安全风险：将风险分析结果与所定义的风险标准进行比较；根据风险等级确定风险处置的优先级。6.1.3风险处置信息安全管理领导小组应定义和实施信息安全风险处置过程：依据风险评估的结论，选择适当的信息安全风险处置方式；确定信息安全风险处置所需的各项控制措施；将风险处置中所选的各项控制措施的和标准附录A中的控制措施进行比较，确保没有遗漏必要的控制措施；制定具备必要控制措施的适用性声明SOA，适用性声明要包含必要的控制措施、对包含的控制措施的合理性说明（无论是否实施）以及对标准附录A控制措施删减的合理性说明；制定信息安全风险处置计划；需得到风险责任人对信息安全风险处置计划和残余风险接受的审核。有关风险评估和处置的具体操作指导详见《风险评估管理制度》。目标实现过程信息安全目标将通过对信息安全风险的来源识别、风险处置、风险跟踪验证、以及信息安全管理体系各流程的落地跟踪，举行不定期的安全评审会议的综合过程来实现，同时保留相关文档内容。整体信息安全目标实现过程内容如下：风险来源1）日常信息安全风险管理工作：月度安全工作会议中发现的信息安全问题进行评估，并全部进行风险处置。2）每年进行一次集中风险评估工作，具体开展过程为：定期的信息安全风险评估活动：每年开展信息安全风险评估活动，并根据信息安全风险接受水平对活动中发现的中、高风险进行处置。3）做好各体系流程监控工作：做好生产运营和信息安全相关的信息资产管理、系统交付投产、运行监控、变更管理、数据提取与使用、补丁管理、密钥管理、移动介质管理、病毒防范、应急处理和安全运营奖惩、故障分级评估、事故问责等方面的制度或流程的运行情况监控,发现问题及时纠正。每年对各流程要求进行回顾、评估和更新。2.风险处置1）针对以上途径发现的信息安全风险，各部门负责制定相应的整改计划。针对信息安全管理类风险如因制度或流程的缺失、制度或流程未严格执行造成的安全风险，由责任部门新增安全管理制度及流程或监督本部门员工严格执行安全制度。2）针对信息安全技术类风险如渗透测试、主机扫描发现的安全漏洞，由公司技术部门统一负责整改。对于部分需要通过新增安全设备才能完全消减的风险，在公司经济条件许可的情况下，由责任部门负责采购并部署。3.信息安全风险处置的监督和验证信息安全工作组负责督促并监督各组对信息安全风险的处置。针对信息安全管理类风险的处置情况，由信息安全工作组通过定期安全内审的方式进行验证。针对信息安全技术类风险的跟踪，由信息安全工作组负责对安全漏洞的整改情况进行复查验证。4.评价周期及起始时间对安全目标实现的评价，信息安全工作组每年组织召开信息安全管理评审会议，并邀请公司领导层参会，由信息安全管理体系负责人汇报信息安全管理体系运行状况及目标达成情况，与参会人员共同讨论、最终评价信息安全目标的达成情况。信息安全管理目标的实现，不强制依赖于每年一次的信息安全管理评审会议，具体的信息安全管理目标的达成情况判定，可通过每月的信息安全会议，并根据目标达成情况，采取相应的纠正预防措施。支持资源提供公司领导层应确保提供以下方面所需的资源：实施、保持管理体系并持续改进其有效性所需的各种资源；满足客户要求，提高客户满意度所需的各种资源。编制了《人力资源管理制度》，公司根据人员的学历、技能和经验，组织面向全员的信息安全意识培训及面向特定人员的专业IT技能培训，确保其能胜任工作。信息安全能力管理结合当前信息安全管理认证范围，对员工信息安全能力管理主要从以下几方面出发来实现：影响信息安全执行工作的人员岗位,在岗位设立时应明确信息安全能力的要求,并在招聘时严格把关（例如学历教育、能力测试等）；确保人员在适当教育、培训和经验的基础上能够胜任工作；在人员调岗时,应考虑相关人员信息安全能力的确定和培养。评价所采取措施的有效性。保留培训记录作为能力培养的证据。意识培训每季度对当季入职的所有新员工进行信息安全意识培训并进行考试，对于信息安全小组成员应进行岗位相关的信息安全专业培训，对于信息安全岗位的工作人员（如系统管理员）应安排专业技能培训。对公司全体人员通过培训、学习、宣传等方式提高人员信息安全意识，需了解到：a)信息安全方针；b)他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益；c)不符合信息安全管理体系要求所带来的影响。信息安全沟通管理公司的利益相关方由三类群体构成，分别是客户、员工、供应商。针对不同的相关方群体，沟通方式分为内部和外部两类，并建立起不同的沟通机制和联系通讯录，以及时了解来自利益相关方的信息安全要求或将公司的信息安全要求传达给利益相关方。沟通对象沟通机制与形式沟通内容沟通频率沟通责任部门客户客户满意度调查改善服务，提升客户满意度客户对信息安全的要求信息安全相关情况及问题沟通信息安全事件通报定期、发生时服务部员工信息安全意识培训信息安全目标和方针信息安全制度要求信息安全职责信息安全意识调查不定期信息安全小组供应商供应商评价项目合作邮件往来电话咨询供应商服务评价公司信息安全要求信息安全咨询建议信息安全事件响应和处理不定期商务采购部文件记录信息控制存档信息是指支撑和维持公司信息安全管理体系运行的相关信息，以确保存储信息能够符合信息安全管理目标，体现形式包括（但不限于）如下内容：《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》所要求的管理手册；《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》所要求的制度文件和作业指导书，即各项流程管理办法、管理办法、实施细则等；《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》所要求的各项记录和日志；信息安全管理体系运行所需要的其他相关信息，包括但不限于文档、数据等。总则信息安全管理体系文件包括四个层次：即信息安全管理手册、管理办法/制度类文件、管理办法/实施细则/操作指南类文件、记录/日志。如下图所示：各层级文件所关注的内容依次如下：一阶文件：关于信息安全管理体系的策略声明文件，即信息安全管理手册。二阶文件：关于《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》各个控制域的标准指南文件，体现信息安全管理体系在各个方面的目标规范和基本要求。三阶文件：关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制和对具体业务工作的安全管理要求。四阶文件：关于信息安全体系运行的各类记录和报告，体现各项工作能够按照文件的具体要求有效开展。文件控制公司对信息安全管理体系的相关文件进行全面控制，以满足《GB/T22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》标准，具体要求包括：确保文件编制、评审、批准、发放、使用、修改、作废得到有效的控制；确保文件清晰可辨，版本标示清楚，易于识别和检索；确保在使用时可获得最新、有效版本的适用文件；确保外来文件得到识别，对文件的分发加以控制；对不同媒体和不同种类的文件，采取相应的控制；防止作废文件的非授权使用，保留作废文件时，需对这些文件进行明确的标识。公司对信息安全管理体系文件的控制、文件分发及保管等控制做出规定，明确体系文件的最新版本应从指定保管部门获得，相关控制要求参见《文件控制制度》。记录控制为提供符合信息安全管理体系要求的证据且体现体系的有效运行，保证管理过程的可追溯性，公司编制并实施了相关制度文件和流程管理办法及实施细则，通过规定信息安全管理相关记录的标识、收集、归档、保管、借阅、销毁和检查等要求，确保相关记录能够保持完备、易于识别和检索。建立相应的信息记录控制清单并明确责任部门、保存期限及存档要求，相关控制要求参见《记录控制制度》。7.5.4创建和更新总经办按《文件控制程序》的要求，对信息安全管理体系所要求的文件进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施控制，以确保在使用场所能够及时获得适用文件的有效版本。文件的创建和更新应确保：a)识别或描述文件时需包含标题、日期、作者、编号等。b)文件格式可以是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，可以是书面的或电子媒体的。c)文件发布前得到批准，以确保文件是充分的。必要时对文件进行评审、更新并再次批准。运行体系策划与运行公司依据PDCA的持续改进模型建立信息安全管理体系。体系的策划确定体系的管理范围、方针和目标；依据GB/T22080-2016/ISO/IEC27001:2013要求和公司管理要求，进行差距和信息安全风险评估；设计符合公司业务特点的信息安全管理体系架构；建立安全管理规范，制定表单、计划、报告模板等；落实岗位、角色和职责。体系的实施和运行为确保信息安全管理体系的正常运行，公司进行如下部署以确保体系的执行力；实施信息安全意识培训；严格按照管理体系要求，保留运行记录，确保工作过程可追溯、工作结果可考核。风险评估总经办每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的风险及是否需要增加新的控制措施。总经办组织有关部门按照《信息安全风险评估控制制度》的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a)组织；

b)技术；

c)业务目标和过程；

d)已识别的威胁；

e)实施控制的有效性；

f)外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。风险处置公司在对风险等级进行划分后，应考虑法律法规（包括客户及相关方）的要求、组织自身的发展要求、风险评估的结果确定安全水平，针对不可接受的风险选择适当的处理方式及控制措施。在风险处理方式及控制措施的选择上，本单位应考虑发展战略、企业文化、人员素质，单位的实际情况、并特别关注成本与风险的平衡，以处理安全风险以满足法律法规及相关方的要求，管理性与技术性的措施均可以降低风险。风险处置过程，应按照风险处置计划，对风险处置操作进行记录，同时按照风险处置计划进行回顾、跟踪和监控，阶段性报告上级领导及ISMS委员会，以检查风险处置措施的有效性与合理性，根据单位的实际情况，可对风险处置计划进行必要的调整。绩效评价监视、测量、分析和评价9.1.1能力评价员工所在部门领导通过日常工作情况，根据岗位工作成绩量化指标，对员工的岗位目标进行量化考核，同时对重要岗位人员的信息安全能力进行评估。如发现信息安全能力不足，相关部门负责人应及时向人力资源管理部提出。人力资源管理部应从以下方面保证员工信息安全能力满足要求。招聘信息安全能力合格的新员工；通过培训提高现有人员的信息安全能力；购买信息安全服务，弥补信息安全不足可能造成的风险。9.1.2有效性测量定期依据有效性测量的项目和目标值对信息安全体系运作的有效性进行测量，对测量的结果进行分析和评价，并编制相关报告。信息安全管理体系控制措施有效性测量是实现信息安全管理体系目标的重要保障机制，应按照循序渐进、持续改进的原则，紧密结合信息安全方针，实现控制措施的可监督和可测量，逐步完善测量项目和目标值。参见《信息安全目标及有效性测量制度》。实施流程设计测量指标信息安全工作组依据信息安全管理策略设计衡量控制措施有效性的测量指标。测量指标应集中在对公司相对重要的信息安全重点管控领域，包括但不限于：人员信息安全管理、资产管理、物理和环境管理、通讯与操作管理、访问控制、信息安全事件管理等信息安全管理领域。信息安全工作组应依据测量指标制定相应的测量方法、测量周期及目标值。信息安全工作组应将测量指标、测量方法、目标值、测量周期等信息，提交信息安全管理领导小组审核，经审核后形成有效性测量统计表。实施测量信息安全工作组应在管理评审会议召开前，依据有效性测量统计表要求的测量周期，组织各小组开展有效性测量活动。各小组信息安全员应依据有效性测量统计表定义的数据来源收集、统计信息安全管理体系运行数据，并提交信息安全工作组。信息安全工作组对运行数据进行统计分析，将测量指标的实际值记录于有效性测量统计表，并将实际值与目标值进行对比，若存在测量指标未达标项，将其提交信息安全管理领导小组确认。信息安全工作组应组织协调测量指标未达标的责任小组依据《纠正和预防措施控制制度》进行改善。信息安全管理体系有效性测量活动应在内审及管理评审前开展，以保证通过内审活动能有效地检验测量指标的正确性，并将有效性测量的结果作为管理评审活动的输入项。持续改进测量根据“循序渐进、持续改进”的原则，信息安全工作组负责对有效性测量指标不断进行完善。信息安全管理领导小组应对测量指标定期组织评估，结合实际环境的变化对现有的测量指标进行修订或完善。评估周期应不超过内审活动的周期（每年至少一次），因此测量指标修订和完善的周期不能超过一年。内部审核公司总经办按《内部审核管理程序》的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。公司每年进行一次信息安全管理体系内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a)符合本标准的要求和相关法律法规的要求；b)符合已识别的信息安全要求；c)得到有效地实施和维护；d)按预期执行。总经办在策划审核方案（年度内审计划）时应考虑：审核的过程、区域的状况、重要性以及以往审核的结果。策划结果应编制《年度内审计划》，确定审核的准则、范围、频次和方法。每次审核前，总经办应编制《内部审核计划》，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。《内部审核计划》，经管理者代表批准，应提前通知被审核部门，被审核部门到时应选派有关人员配合审核。内部审核员必须是熟悉本公司信息安全管理情况，参加内部审核员培训并考核合格的人员。内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，以保持工作的独立性。每年管理者代表负责由考核合格的内审员中选择当年需实施内审的人员，在年度内审计划中予以授权，经管理者代表批准，方取得内部审核员资格。审核组应按审核计划的要求实施审核，包括：a)进行首次会议，明确审核的目的和范围，采用的方法和程序；b)实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，填写审核发现；c)对检查内容进行分析，对审核发现的问题在《不符合报告》中开出不符合项；d)审核组长编制《内部审核报告》。对审核中提出的不符合项，责任部门应制定纠正措施，由内审组组长对纠正措施的实施情况进行跟踪、验证，将结果记入《不符合报告》。内部审核记录由行政人事中心保存，并作为管理评审的输入之一。管理评审总经理应每年进行一次管理评审，两次管理评审时间不超过12个月，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按《管理评审控制制度》进行。管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括信息安全方针和信息安全目标。管理评审应考虑：a)以往管理评审行动措施的状态;b)与信息安全管理体系相关的内外部问题的变化;c)反馈信息安全绩效和趋势，包括：1）不符合与纠正措施；2）监控和测量结果；3）审核结果；4）信息安全目标的实现;相关方的反馈;风险评估的结果和风险处置的状态;f)信息安全策略评价结果；g)改进的机会和建议。管理评审的输出应形成管理评审报告，包括持续改进的机会和任何信息安全管理体系需要变更的相关决定。公司总经办应保留管理评审结果的文件化信息作为证据。改进10.1不符合和纠正措施公司建立《内部审核控制制度》《管理评审控制制度》及《纠正和预防措施控制制度》，以对信息安全不符合进行处置，当出现信息安全不符合时，责任部门应首先应对不符合采取纠正，以控制不符合的影响继续扩大，接着处理不符合带来的信息安全后果。总经办需评估采取纠正措施的必要性，以消除不符合的原因，使其不复发或不在其他地方发生，主要内容包括：a）确定不符合的性质;b）确定不符合的原因;c）确定是否存在类似的不符合和发生的可能性;d）针对原因确定纠正措施并予以实施;e）评审已采取纠正措施的有效性;f）如纠正措施引起信息安全管理体系的变更，需按变更控制程序的要求实施变更。为消除实际不符合原因而采取的任何纠正措施，应与问题的严重性、不符合的影响程度和面临的信息安全风险相适应。责任部门应保留信息安全不符合原因分析，纠正，纠正措施，纠正措施有效性验证有关的记录。10.2持续改进公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的适宜性，充分性和有效性。公司开展以下活动，以确保信息安全管理体系的持续改进：a)实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；b)按照本手册的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；c)通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；d)对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。信息安全总体控制A.5信息安全策略通过建立信息安全管理组织，启动和控制公司信息安全工作的实施，批准信息安全方针与策略，确定信息安全管理人员和职责分工，协调整个信息安全管理体系的有效运行。公司还需要建立与服务客户、安全服务厂商、上级监管单位、外部安全咨询专家等外部组织的联系，以便跟踪行业趋势，学习各类先进的信息安全技术和管理手段。公司将不可避免地需要与外界进行业务往来和信息沟通，经常需要向外部组织开放其信息资产和信息处理设施。因此，需要对由于外部组织访问而带来的安全风险进行评估，并根据风险水平，在必要时与外部组织签订保密协议，向其声明公司的信息安全方针与策略，确定所需的安全控制措施。A.6信息安全组织信息安全组织框架公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中，公司的管理决策职能由信息安全管理领导小组和管理者代表承担，领导公司信息安全总体工作,领导小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担，工作组由一名工作组组长及工作组成员构成，主要负责信息安全各项工作的日常监督和持续检查，信息安全工作组组长由公司安全负责人担任，其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员工承担，遵循信息安全管理要求，落实各项信息安全工作，配合监督和检查；同时，公司各小组设置专职的信息安全员（或兼职信息安全员），负责本小组信息安全工作的具体协调和落实（具体内容参见附件一：信息安全组织映射表及附件二：信息安全职责分配表）。信息安全职责信息安全管理领导小组信息安全管理体系的决策机构，确定信息安全管理体系的建设方向，制订方针目标等。确立公司信息安全和风险管理的方针政策，并贯彻落实；组织制定公司信息安全和风险管理的总体规划；对信息安全事件提出处置策略；研究部署和讨论决定公司信息安全和风险管理工作的重大事项；授权相关部门对公司信息安全工作进行考核，审批考核结果并做决策。每年在管理评审会上对信息安全方针进行评审。管理者代表由公司负责人授权全权负责信息安全管理体系的日常工作，包括批准并正式发布各项制度、规定，建立体系推进组织，任命相关角色等。提出信息安全目标，领导信息安全管理体系的建立、运行和维护；协调与信息安全管理体系有关的各项工作；确保在公司内提高员工的信息安全意识；督促信息安全管理体系内部审核和信息安全检查的开展；协助最高管理者进行信息安全管理体系的管理评审；向最高管理者报告信息安全管理体系的执行情况和改进要求。定期举行管理评审，保证信息安全管理体系的适宜性、充分性和有效性。信息安全工作小组负责信息安全政策的贯彻、落实和监督检查，并协调各信息安全执行小组以及与外部组织间有关的信息安全工作。组织识别信息安全需求，向信息安全管理领导小组提出改进建议；维护信息安全管理体系，组织制订和修订信息安全管理制度；制定风险评估计划，组织进行风险评估，制定风险处理计划；根据信息安全方针和风险管理总体规划，组织制定信息安全和风险管理的规章、制度；监督和考核各小组信息安全管理工作的执行情况；向信息安全管理领导小组汇报信息安全工作的执行情况。组织、发起信息安全相关会议，安排会议议程，提供会议材料，部署和跟踪会议决议的执行情况；跟踪信息安全事件处理并报告；组织实施内部信息安全检查和内部审核；组织对员工进行信息安全意识教育和基础培训，促使日常工作的安全有序开展，同时在项目实施过程中满足相关安全规范要求；对各小组的信息安全工作进行监督、指导；与政府相关部门、外部信息安全组织、机构联系和沟通。全体员工根据相关信息安全要求，配合相关人员工作开展，理解并遵守本规定定义的内容。遵守信息安全规章制度，遵循操作规范和流程；履行岗位信息安全职责，执行信息安全工作任务；作为信息资产使用者，妥善使用并保护工作所涉及的信息资产；及时上报信息安全事件或隐患；参与信息安全教育和培训。A.7人力资源安全制定并实施对员工的任用前、任用中、任用后各阶段的规定，确保员工行为符合要求并能够忠于职守；制定并实施对外部人员合作前、合作中和合作结束后各阶段的规定，确保外部人员在公司工作期间履行其信息安全义务。对公司员工和第三方人员进行充分的信息安全意识培训，明确员工在工作中的信息安全职责，使其掌握所处岗位的信息安全技能；明确第三方在公司工作时所应遵循的信息安全要求和所应履行的信息安全责任和义务。具体管理策略请参见《人力资源管理制度》《第三方服务管理工作指南》。A.8资产管理对信息资产进行识别和管理；根据不同类型信息资产的特征，制定并实施正确使用信息资产的操作规程。基于信息资产价值和等级划分制定不同的安全规范与策略，根据不同信息资产所需的保护要求，进行相应程度的保护。具体管理策略请参见《信息资产分类分级管理制度》。A.9访问控制加强对公司资产的访问控制管理，规范用户管理、密码管理、系统配置等要求，并提出访问控制管理的各项基本要求。通过实施用户管理，确保相关人员获取适合其工作职责的访问权限，形成用户访问权限的清单并定期审核，用户离岗或离职时及时进行权限的调整和清除。具体管理策略请参见《访问控制管理制度》。A.10密码控制通过建立制度，完善密码使用和管理，制定和实施密钥的使用，保护，使用期策略并贯穿其整个生命周期。具体管理策略请参见《密码控制管理制度》。A.11物理和环境安全明确安全区域的边界，并采取适当的控制措施，如：物理隔离、门禁系统、视频监控等。准确识别并管理各类设备设施，并将其放置于适当的区域。具体管理策略请参见《物理和环境安全管理制度》和《设备管理规定》。A.12操作安全信息处理和通信设施的系统活动须具备成文的制度规范，例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。确保每一个信息系统都能够识别容量要求，确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。建立有效的计算机病毒预防及查杀机制，实施防止恶意软件的侦查与防护控制，并提高员工的防范意识。根据备份策略对数据进行备份并定期对备份数据进行有效性测试。在选用介质时应当考虑备份的信息需要保存的周期长短，保存信息的存储介质包括硬盘、磁带、U盘、可移动硬件驱动器、CD、DVD和打印介质等。储存介质的管理人员应检查和标记所有的储存媒介，为使存储介质中的数据和系统文件免遭未授权泄露、篡改和破坏，应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。应制定处置、处理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级别，处置和标记所有介质。明确防止未授权人员访问的限制要求，并根据制造商的存储规范来保存介质，同时，清晰地标记数据的所有拷贝，以引起数据所有者的关注。应建立日志保护的管理制度以防止日志保存设施被未授权更改和出现操作问题，重要的审计日志需要被存档保存，审计日志包括用户ID、日期、时间和关键事态等细节，以及系统配置、特殊权限、系统实用工具和应用程序的使用。具体管理策略请参见《操作安全管理制度》A.13通信安全实施网络安全管理，划分网络安全区域，对网络设备、网络活动进行监控和管理，制定网络安全策略和操作规程，对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施，具体管理策略请参见《通信安全管理制度》。A.14系统获取、开发和维护在进行信息系统开发活动前，应明确在信息系统中包含基本的自动控制措施，以及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循一个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。在信息系统设计和开发过程中，应将数据的校验和检查功能集成在信息系统数据处理的整个过程，以保证信息系统在处理数据的过程中，数据的完整性没有丧失或遭到破坏。在进行信息系统建设的过程中，需进行安全风险评估以判定是否需要保证消息完整性，并确定最合适的实施方法。在制定密码策略时，应考虑下列内容：组织间使用密码控制的管理方法，包括保护业务信息的一般原则，基于风险评估，应