ISO27001：2022信息安全管理手册

信息安全管理手册（依据ISO/IEC27001:2022标准编制）编号：ISMS-A-01版本号：V1.0编制：日期：202X-11-01审核：日期：202X-11-01批准：日期：202X-11-01受控状态修订记录版本编写人审核人批准人修订日期修订说明目录134071概述 1155741.1颁布令 1175131.2任命书 235801.3手册说明 317452规范性引用文件 5308033术语和定义 5147764组织环境 5302014.1理解组织及其环境 5146784.2理解相关方的需求和期望 5231804.3确定ISMS的范围 5312224.4信息安全管理体系 69675领导作用 668055.1领导作用和承诺 6133425.2ISMS管理方针 775775.3组织架构、职责和权限 738616规划 7736.1风险和机遇的应对措施 7116186.2信息安全目标及其实现规划 8283907支持 8120657.1资源 86537.2能力 993767.3意识 1080247.4沟通 10108897.5文件记录信息 11318308运行 13154878.1运行的策划和控制 13277178.2信息安全风险评估 1464958.3信息安全风险处置 14300179绩效评价 15119689.1监视、测量、分析和评价 15303999.2内部审核 15280279.3管理评审 152267110改进 171412410.1不符合和纠正措施 172117710.2持续改进 172178110.3纠正措施 18753310.4预防措施 1910955附录1-组织简介 204458附录2-组织架构图 2111155附录4-信息安全小组成员 2517529附录5-服务器拓扑图 263927附录6-信息安全职责说明 27概述颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2022《信息安全管理体系要求》标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了XXX有限公司《信息安全管理手册》。《信息安全管理手册》经评审后，现予以批准发布。《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。XXX有限公司总经理：XXX202X年11月01日任命书任命书为贯彻执行ISO/IEC27001:2022《信息安全管理体系要求》，加强对信息管理体系运行的领导，特任命曹飞澎为公司管理者代表。授权信息安全管理者代表有如下职责和权限：1）确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2）负责与信息安全管理体系有关的协调和联络工作；3）确保在整个组织内提高信息安全风险的意识；4）审核风险评估报告、风险处理计划；5）批准发布程序文件；6）主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7）向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本任命书自任命日起生效执行。XXX有限公司总经理：XXX202X年11月01日

手册说明1.3.1总则《信息安全管理手册》的编制，是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。《信息安全管理手册》为审核信息安全管理体系提供了文件依据。《信息安全管理手册》证明公司已经按照ISO/IEC27001:2022标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1.3.2信息安全管理手册的批准管理者代表负责组织信息安全小组编制《信息安全管理手册》及其相关规章制度，总经理负责批准。1.3.3信息安全管理手册的发放、作废与销毁综合管理部负责按《文件控制程序》的要求，进行《信息安全管理手册》的登记、发放、回收、归档、作废与销毁工作。各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。综合管理部按照规定发放修改后的《信息安全管理手册》，并收回失效的文件做出标识统一处理，确保有效文件的唯一性。综合管理部保留《信息安全管理手册》修改内容的记录。1.3.4信息安全管理手册的修改《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册实施修改后，应及时发布修改信息，通知相关人员。《信息安全管理手册》的修改分为两种：一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》原件进行保存。在出现下列情况时，《信息安全管理手册》可以进行修改：信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进内部信息安全提出新的需求组织机构和职能发生变化经营环境和产品结构有调整发现本手册中存在差错或不明确之处引用的法规或体系标准有修改体系审核或管理评审提出改进要求本手册的更改控制按《文件管理程序》执行1.3.5信息安全管理手册的换版《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新编制、审批工作。当依据的ISO/IEC27001:2022信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。《信息安全管理手册》发生需修改部分超过1/3时。《信息安全管理手册》执行已满三年时。1.3.6信息安全管理手册的控制《信息安全管理手册》标识分受控文件和非受控文件：受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。《信息安全管理手册》分为书面文件和电子文件两种。规范性引用文件GB/T22080-2016信息技术安全技术信息安全管理体系要求；GB/T22081-2016信息安全管理实用规则；与公司运营相关的法律法规和技术标准。术语和定义本手册采用ISO/IEC27001:2022标准的术语和定义，并根据需要在相应章节所描述的要求中，增补了所涉及的术语和定义；本手册出现的术语“产品”指的是公司提供的产品和服务；ISMS-IntegratedManagementSystem的缩写，代表“信息安全管理体系”；组织环境4.1理解组织及其环境公司定期识别和信息安全管理目标相关，并影响实现信息安全管理预期结果的内外部问题。4.2理解相关方的需求和期望本公司确定：a)与ISMS有关的相关方；b)这些相关方与信息安全有关的要求。4.3确定ISMS的范围应用范围：本《信息安全管理手册》规定了<XXX有限公司>信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理活动区域范围：广东省深圳市八卦岭八卦路31号众鑫科技大厦1310室组织机构范围：管理层、技术部、销售部、综合管理部4.4信息安全管理体系4.4.1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全员的信息安全意识，对信息安全风险进行有效管理，使全公司贯彻落实安全方针和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影响到信息安全的各种风险，防止安全事故的发生。同时确保全体员工理解并遵守执行信息安全管理体系文件，持续改进信息安全管理体系的有效性，树立公司良好的服务形象，增强用户对公司的技术和管理水平的信心，保证公司业务可持续开展，特制定本《信息安全管理手册》。4.4.2ISMS体系过程方法领导作用5.1领导作用和承诺总经理领导信息安全工作，并确定相应的职责和作用。制定信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。向公司传达满足信息安全目标以及信息安全方针，以及法律责任和持续改进的重要性。提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS；决定可接受风险的标准和可接受风险的等级；确保按照标准严格执行ISMS内部审核并进行管理评审。5.2ISMS管理方针信息安全管理方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：满足客户要求，保障信息安全，遵守法律法规，持续改进管理。信息安全管理目标1. 针对客户信息安全事件的投诉每年不超过1次2. 重要信息设备丢失每年不超过1起3. 机密和绝密信息泄漏事件每年不超过1次信息安全管理适用范围本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。5.3组织架构、职责和权限5.3.1ISMS管理体系组织架构图附录2-组织架构图5.3.2ISMS管理职能分配见附录3-职能分配表5.3.3职责和权限见附录8-信息安全职责说明规划6.1风险和机遇的应对措施信息安全小组组织有关部门根据风险评估结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及完成时间。对于信息安全风险和给予，应考虑控制措施与费用的平衡原则，选用以下适当的措施：控制风险，采用适当的内部控制措施。接受风险（不可能将所有风险降低为零）；避免风险（如物理隔离）；转移风险（如将风险转移给保险者、供方、分包商）。6.2信息安全目标及其实现规划6.2.1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。信息安全目标应：a)与信息安全方针保持一致b)可测量；c)考虑适用的要求，以及风险评估和风险处置的结果；d)得到沟通；e)适时更新。组织应保持有关信息安全目标的文件化信息。6.2.2在策划信息安全目标的实现时，公司确定：a）采取的措施；b）所需的资源（见7.1）；c）责任人；d）完成的时间表；e）如何评价结果。支持7.1资源7.1.1总则总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的资源，应考虑现有的资源、能力、局限；7.1.2基础设施组织应识别、提供并保持实现产品/服务符合性所需的基础设施，这些设施包括：工作场所相应的设施（办公电脑、服务器、软硬件、机房等）；服务过程设备，如各种通讯设备、监控设备和客户服务管理系统、业务系统（软件）等；维修保养和保障设施（各种辅助设施、安全防护设施等）；支持性服务，如运输、通讯信息系统等。7.1.3过程环境公司各部门应识别提供产品/服务所需环境中人和物的因素，并对其加以有效的控制，保证提供产品/服务过程中的人员、财产安全。过程环境可包括物理的、社会的、心理的和环境的因素。7.1.4监视和测量设备对照国际或国家的测量标准，在规定的时间间隔或在使用前进行校准和检定，如果没有上述标准的，应记录校准或检定（验证）的依据，以确保下列设备处于正常状态：开发用途的电脑设备；测试用途的电脑设备；开发用途的软件；测试用途的软件；集成项目使用的设备。处于正常状态的设备应具备下列特征：设备的型号能够符合预期的使用目的；无论设备处于待用状态还是处于使用状态，设备均是正常的；设备得到周期性的养护和校正，并标识其校准状态；必要时，各部门使用设备进行测量前，应再次校准设备；测试软件应确认其具有满足预期用途的能力，初次使用前应进行确认，必要时可以进行重新确认。当发现软件或设备不符合要求时，应对以往的测量结果进行有效性评价和记录，并对受影响的产品采取适当的措施。校准和检定结果的记录应予保存。7.1.5知识公司应确保ISMS管理体系运行过程中，提供产品/服务的符合性和顾客满意所需的知识。这些知识应得到保持、保护、需要时便于获取。在应对变化的需求和趋势时，组织应考虑现有的知识基础，确定如何获取必需的更多知识。7.2能力公司应根据岗位所需的教育、培训、技能和经验要求，安排人员，以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要，能胜任其工作。对于人员的配置，公司人事行政部应定岗定编并制定完善的岗位说明文件。公司在《员工培训管理程序》中对在职培训、人员的意识的灌输和工作能力的增长作了要求，以便：确定从事影响产品/服务质量和信息安全的人员（包含营销、服务提供、质量检查、IT开发、顾客沟通、顾客信息反馈等）所必须的工作能力及培训需求；提供培训或采取其他措施，以满足所确定的需求并确保达成必须的能力；对培训的有效性进行评价；确保员工能意识到他们工作的相关性和重要性，以及他们如何为达到ISMS目标做出努力；保存有关教育、经验、培训、资格的适当的记录。7.3意识公司应确保工作的人员意识到：ISMS管理方针；相关的信息安全目标；他们对信息安全管理体系有效性的贡献，包括改进绩效的益处；偏离信息安全管理体系要求的后果。7.4沟通管理者代表为信息安全沟通交流主管部门，负责内、外部信息的交流与管理，及时将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟通交流工作，收集与外部相关方的信息资料，并保存回复的证据。7.4.1内部信息·信息安全方针、目标及实施方案·资产识别与风险评估·职责与权限的传达与落实·培训教育的实施与效果·监控与测量结果的反馈及法律、法规的符合情况·不符合的纠正和预防措施的执行情况·紧急状态下的信息等7.4.2外部信息·信息安全方针通报相关方，对外宣传；·法律、法规的获取与监测及执法部门的联络；·监控、检测结果的外部联络和接受、答复；·认证与监督审核；7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定《信息安全沟通协调管理程序》规范信息安全沟通过程，必要时，保留信息交流相关证据。7.5文件记录信息7.5.1文件体系结构信息安全管理体系的文件由上而下分为四个层次，如下图所示：信息安全管理体系文件包括：管理手册（信息安全手册、信息安全策略）：规定信息安全管理体系的文件，是公司内部的信息安全法规，阐述了信息安全管理体系的方针、目标、范围、组织结构和职责权限，同时描述了信息安全管理体系的主体文件（程序文件），是信息安全管理体系的纲领性文件。程序文件：是信息安全手册的支持性文件，规定了实施与信息安全管理体系有关的各项活动的途径和方法，是各项活动得以有效实施的保障。与信息安全管理体系有关的各项活动必须按照程序文件规定实施，并定期对其进行评审，保持其有效性。作业指导、规范规章制度、计划等：是现场或岗位使用的详细工作文件，是程序文件的支撑和补充性文件，是信息安全管理体系过程得以有效策划、运行、控制所需要的文件，也是信息安全活动的基础文件。表单记录：通过表单模板，对信息安全管理体系实施的一系列活动进行规范，形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息安全小组组织协调各相关部门共同完成编写。支持文件：《文件控制程序》7.5.2文件控制综合管理部组织编制《文件控制程序》，确保信息安全管理体系的文件在以下几个方面得到控制：文件发布前得到批准，以确保文件是充分与适宜的。管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。确保文件的更改和现行修订状态得到识别。确保在使用处可获得适用文件的有关版本。确保文件保持清晰、易于识别。确保综合管理部确定的体系所需的外来文件得到识别，并控制其分发。防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。具体执行按《文件控制程序》的规定，对文件的审核、批准、发布、变更、修改、废止等环节进行控制。支持文件：《文件控制程序》7.5.3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据，对记录的标识、储存、保护、检索、保管、废弃等事项进行了规定，各部门应根据《记录控制程序》的要求采取适当的方式妥善保管信息安全记录，具体记录如下：建立并保持记录，以提供符合要求和信息安全管理体系有效运行的证据。保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记录应保持合法，易于识别和检索。编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。记录的要求和管理：真实、完整、字迹清晰，可识别是何种产品或项目的何种活动。填写及时、禁止未经许可的更改。各部门应对本部门的记录自行归档保存，保存环境应适宜，以防止记录损坏、变质和丢失，保管方式便于存取和检索。记录的保存期限应根据产品的特点、法规要求及合同要求来决定，见“记录清单”。超过保存期的质量记录处理应按审批规定进行处置。支持文件：《记录控制程序》运行8.1运行的策划和控制公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程，这些过程与公司ISMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别每一过程对满足客户服务要求的能力的影响，并确保营运活动中每个质量特性都受到有效控制。8.1.1ISMS运行总要求实现过程的策划中应明确：质量目标和要求；明确各岗位的信息安全职责；服务标准明确过程控制的准则和方法，制定必要的作业指导文件，为产品和服务实现提供资源和设施，保证其所需的工作环境；保留服务过程提供及过程测量和检查结果的记录。经识别公司没有外包过程。对于公司的服务商，综合管理部按照《第三方服务管理程序》进行管理。8.2信息安全风险评估8.2.1风险评估的方法信息安全小组负责组织编制《信息安全风险管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法，在决定风险的可接受范围内，采取适当的风险控制措施。8.2.2识别风险在信息安全管理体系范围内，对所有信息资产进行识别评价，识别资产面临的威胁以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险，并通过这些项目的风险标识推算出对重要资产造成的影响。8.2.3分析和评价风险针对每一项信息资产，识别出其面临的所有威胁，并考虑现有的控制措施，识别出被该威胁可能利用的薄弱点。针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判断安全失效发生的可能性。根据《信息安全风险管理程序》计算风险等级以及风险接受准则，判断风险为可接受或需要处理。8.2.4识别和评价风险处理的选择项目风险的识别贯穿整个业务活动过程，明确哪些风险可能影响项目造成影响、记录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析，依据影响对项目风险进行优先级排序。综合管理部根据风险评估的结果，形成《信息安全风险评估表（含<风险处理计划>）》，该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略，具体措施如下：适时适当的控制措施。规避风险，采取有效的控制措施避免风险的发生。接受风险，在一定程度上有意识、有目的地接受风险。风险转移，转移相关业务风险到其他方面。消减风险，通过适当的控制措施降低风险发生的可能性。8.3信息安全风险处置组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。详见《信息安全风险管理程序》8.3.1相关文件《信息安全风险管理程序》绩效评价9.1监视、测量、分析和评价为了保证服务的符合性及实施必要的改进，应规定、策划和实施所需的测量和监视活动。在策划时，应确定统计技术及其他适用的方法的需要和使用。需要监视和测量的过程和措施包括：客户满意度测量、过程的监视和测量、产品的监视和测量。综合管理部应组织相关部门，对质量服务信息安全措施的绩效和体系的有效性进行评价。综合管理部应与各部门协调，根据公司管理的实际需要，建立恰当的度量体系，以度量员工、项目组的工作业绩。由综合管理部组织实施监视和测量，每年至少一次对对监视和测量的结果进行分析和评价，由总经理以及各部门经理分析和评价这些结果，保留相关的监视和测量证据。9.2内部审核公司应按计划的时间要求进行ISMS内部审核，以确定控制目标、控制措施、过程和程序是否：符合标准及相关法律法规的要求；符合确定的信息安全要求；得到有效地实施和维护；按期望运行。内部审核程序应进行计划，并考虑受审核的状况、重要性和受审核的区域以及上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己的工作。9.3管理评审9.3.1总则为确保信息安全管理体系持续运行，具体如下：管理者代表组织并编制《管理评审程序》，指导管理评审工作的执行。管理评审由最高管理者或其授权人员组织，每年至少一次。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：公司管理体系发生重大变化。国家法律法规、相关标准发生重大变化。外审之前。其他认为需要评审时。各部门负责均需参加管理评审活动，需要时，由总经理或其授权人员决定具体的参加人员。管理评审会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行，并对执行状况予以跟踪评估。9.3.2评审输入在管理评审时，管理者代表应组织各相关部门提供以下资料，以供评审：以往管理评审的措施的状态；与信息安全管理体系相关的外部和内部问题的变更；信息安全绩效的反馈，包括下列方面的趋势：1）不符合和纠正措施；2）监视和测量结果；3）审核结果；4）信息安全目标的实现；相关方的反馈；风险评估的结果和风险处置计划的状态；持续改进的机会。9.3.3评审输出按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，管理评审输出包括以下方面有关的任何决定和措施：信息安全管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。信息安全管理方针和目标的修订。与相关方/第三方有关的改进措施等。风险的等级或可接受风险的水平，更新风险评估和风险评估表等。业务需求的变更。安全需求的变更。资源需求以及影响现有业务需求的业务过程；法律法规的环境。改进测量控制措施有效性的方式。对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。以上内容的详细规定见《管理评审程序》。公司应保留文件记录作为管理评审结果的证据。改进10.1不符合和纠正措施当发生不符合时，应：对不符合作出反应，采取措施控制并纠正不符合；处理不符合造成的后果；评价消除不符合原因的措施的需求，通过采取以下措施防止不符合再次发生或在其他区域发生：评审不符合；确定不符合的原因；确定类似不符合是否存在，或可能潜在发生实施所需的措施；评审所采取纠正措施的有效性；必要时，对体系实施变更。应将以下信息形成文件：不符合的性质及随后采取的措施纠正措施的结果上述要求参见《纠正措施控制程序》。10.2持续改进通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全管理体系的改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。关注客户的投诉、抱怨、记录、评估服务改进建议，制定服务改进计划，评估服务改进情况，确保各项服务改进措施均已落实执行，并实现预期的目标，从而改进完善服务过程，提升服务质量，提高客户的满意度。规定各部门在持续改进活动中的角色和职责，并从服务过程的所有方面考虑服务改进要求。计划通过以下途径持续改进信息安全管理的有效性：通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺。通过信息安全管理体系目标的建立与实施，对持续改进进行评价。通过内部审核不断发现问题，寻找体系改进的机会并予以实施。通过数据分析不断寻求改进的机会，并做出适当的改进活动安排。通过实施纠正和预防措施实现改进的活动。监控安全事件并对事件进行分析。确定纠正措施和预防措施的有效性。根据管理评审的结果寻求改进体系的机会。根据客户满意度调查寻求改进体系的机会。支持文件：《纠正措施控制程序》《预防措施控制程序》《内部审核管理程序》10.3纠正措施对于发现的不合格项，不仅要求责任人要纠正不合格行为，而且为了消除不合格项、与实施和运行信息安全管理体系有关的原因，人事行政部要求责任人应该制定纠正措施，以便防止不合格的再次发生。纠正措施的控制应该满足如下要求：识别实施和运行信息安全管理体系的不合格事件。分析并确定不合格的原因。评价确保不合格不再发生的相关因素。确定和实施所需的纠正措施。检查、验证纠正措施的结果。评审所采取的纠正措施的有效性。支持文件：《纠正措施控制程序》《预防措施控制程序》《内部审核管理程序》10.4预防措施在信息安全管理体系运行的过程中，通过日常的过程控制、结果验证、体系审核等方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件，应该及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求：识别潜在的信息安全事件及其原因，并确定。评价预防不合格发生的措施的需求。确定和实施所需的预防措施。评价预防措施的有效性，并对所采取措施的结果进行记录。识别并控制重大的已变更的防线。支持文件：《纠正措施控制程序》《预防措施控制程序》附录1-组织简介XXX有限公司是一家总部位于中国深圳的全方位IT及解决方案服务提供商。主要致力于航空领域，提供航空IT产品、IT服务及解决方案、航空教育的一体化专业公司。依靠与多家航空领域的企事业单位建立的良好合作关系，不断吸取各方先进技术与管理经验，打造了一支经验丰富的管理团队。在坚持高品质的产品质量、雄厚的技术力量的支持下，研发了多项拥有自主知识产权的产品，同时具备了向市场提供综合化服务的实力。我们的服务：公司一直坚持“满足客户的需求就是我们的追求的服务“宗旨”，我们将以最优质的服务为客户提供全方位的IT服务，提升客户的企业价值，提高客户的市场竞争力。技术实力：公司拥有蓬勃向上，充满朝气的创业型领导核心，海外留学背景，多年IT研发、管理经济的高层管理团队；经验丰富的研发团队—为客户提供专业的IT只是支持。发展战略：提供自主研发的一流软件和服务，持续为客户创造最大价值核心价值观公司理念：帮助客户创造价值，帮助员工实现梦想诚信：最重要的无形资产，是我们赢得客户信任的基础专注：建立核心竞争力的关键创新：企业持续性发展的必备基因是我们赢得客户信任的基础附录2-组织架构图总经理总经理综合管理部技术部销售部信息安全小组管理者代表

附录3-职能分配表综合管理部技术部销售部信息安全小组管理者代表管理单位体系要求信息安全小组总经理管理者代表综合管理部技术部销售部4.组织环境4.1理解组织及其环境△▲△△△△4.2理解相关方的需求和期望△▲△△△△4.3明确信息安全管理体系的范围△▲▲△△△4.4信息安全管理体系△△▲△△△5领导5.1领导和承诺△▲△△△△5.2方针△▲△△△△5.3组织角色、职责和权力△▲△△△△6计划6.1处置风险和机遇▲▲△△△△6.2信息安全目标的计划和实现△▲△△△△7支持7.1资源△▲△△△△7.2能力△△△▲△△7.3意识△△△▲△△7.4沟通▲▲▲△△△7.5文档要求△△△▲△△8实施8.1运行计划和控制▲△△△△△8.2信息安全风险评估▲△△△△△8.3信息安全风险处置▲△△△△△9绩效评价9.1监视、测量、分析和评价▲△△△△△9.2内部审核▲△△△△△9.3管理评审△▲△△△△10改进10.1不符合项和纠正措施△▲△△△△10.2持续改进△▲△△△△A.5信息安全策略A.5.1信息安全管理指导△△▲△△△A.6 信息安全组织A.6.1内部组织△▲▲△△△A.6.2移动设备和远程办公△△△△▲▲A.7人力资源安全A.7.1任用前△△△▲△△A.7.2任用中△△△▲△△A.7.3任用终止和变更△△△▲△△A.8资产管理A.8.1资产的责任△△△▲▲▲A.8.2信息分类△△△▲△△A.8.3介质处理△△△▲▲▲A.9访问控制A.9.1访问控制的业务需求△△△▲△△A.9.2用户访问管理△△△▲△△A.9.3用户责任△△△▲△△A.9.4系统和应用访问控制△△△▲△△A.10加密技术A.10.1加密控制△△△▲△△A.11物理和环境安全A.11.1安全区域△△△▲△△A.11.2设备安全△△△▲△△A.12操作安全A.12.1操作程序及职责△△△▲△△A.12.2防范恶意软件△△△▲▲▲A.12.3备份△△△▲▲▲A.12.4日志记录和监控△△△▲△△A.12.5操作软件的控制△△△▲△△A.12.6技术脆弱性管理△△△▲△△A.12.7信息系统审计的考虑因素△△△▲△△A.13通信安全A.13.1网络安全管理△△▲△△A.13.2信息传输△△▲△△A.14系统的获取、开发及维护A.14.1信息系统安全需求△△△△▲△A.14.2开发和支持过程的安全△△△△▲△A.14.3测试数据△△△△▲△A.15供应商关系A.15.1供应商关系的信息安全△△△▲△△A.15.2供应商服务交付管理△△△▲△△A.16信息安全事件管理A.16.1信息安全事件的管理和改进▲△△△△△A.16.1.1 职责和程序▲△△△△△A.16.1.2 报告信息安全事态▲△△▲▲▲A.16.1.3 报告信息安全弱点▲△△▲▲▲A.16.1.4 评估和决策信息安全事件▲△△△△△A.16.1.5 响应信息安全事故▲△△△△△A.16.1.6 从信息安全事故中学习▲△△△△△A.16.1.7 收集证据▲△△△△△A.17业务连续性管理中的信息安全A.17.1信息安全的连续性△△△▲△△A.17.2冗余△△△▲△△A.18符合性A.18.1法律和合同规定的符合性△△△▲△△A.18.2信息安全评审▲△△△△△*注：负责部门以“▲”表示；相关部门以“△”表示。附录4-信息安全小组成员为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全管理方针，特授权以下人员组成信息安全管理小组。成员名单如下：组长：XXX（总经理）执行组长：曹飞澎成员：综合管理部：张小波、销售部：曹飞澎、技术部：严玉成。附录5-服务器拓扑图附录6-信息安全职责说明一、总经理1、负责主持制定本公司的信息安全体系方针和目标，确保员工贯彻执行；2、制定公司战略，进行经营、营销、项目管理规划，承担公司的全面经营管理工作，包括人事、行政、财务、采购、管理等。3、确保实现方针和目标的相关资源；4、任命管理者代表，并授予其相应的职责和权限；5、负责对本公司组织结构的设置，规定各级人员的职责、权限，规定和各部门的职能及其在组织内的相互关系，具体岗位职责描述，参见相关《职位说明书》；6、组织制定项目整体施工组织计划；根据项目整体计划，审定年度、季、月进度计划，并贯彻执行；对直接下属进行绩效考核，对其进行提拔、奖励、惩处。7、严格执行公司财务制度，根据授权审批公司各项开支，但受董事长监督，各项开支在审批后，需报送董事长核准签名确认；制定公司的资金计划，资金运作管理，并按授权进行费用与合同审批二、管理者代表1、负责体系文件控制，审核信息安全手册、方针、目标；指导各部门负责人对相关文件之使用、保管、收集、整理与归档。负责对现有体系文件定期评审。2、审查各部门编制信息安全记录在案格式，并审批；指导各部门对信心安全记录之整理和保管。3、向企业负责人报告信息安全体系运行情况，提出改进建议；制定管理评审计划、收集并提供管理评审所需之资料，编写管理评4、建立文件化的程序，确保认证标志的妥善保管和使用；5、建立信息安全体系，符合法律法规及其它要求，与外部各方联络。三、信息安全管理小组1、直接对信息安全管理代表负责，承担信息安全管理具体操作以及决策2、负责管理体系建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，3、负责对ISMS体系进行审核，以有效性和健全性提出内审建议；4、负责汇报审计结果并监督整改、改版工作，落实纠正措施和预防措施；5、负责调查安全事件，并维护安全事件的记录报告6、关注公司所有法律法规，行业主管部门颁发规章制度，审核ISMS体系文档的合规性。四、销售部1，实施信息安全管理体系有关的程序文件，针对不合格项判定实施纠正预防措施；2、负责公司的项目销售工作，完成公司的项目销售目标；3、围绕公司下达的项目销售目标制定策略计划；d)负责维护已有项目用户的客户关系；4、把握重点客户关系，参与销售谈判；f)负责与公司业务相关的市场开拓；5、组织公司技术部门与用户进行相关技术交流；6、发起合同评审，并根据评审结果，修订销售合同；7、做好项目前期交流、项目合同签订、验收收款的协调工作；8，配合公司收集相关销售信息，并反馈给主管领导；9,完成公司主管交办的其他工作五、技术部1,负责按照的指派，为客户提供软件开发、软硬件运维服务；2,负责按计划定期巡检；3,负责公司内部IT网络环境、服务器、交换机的正常运转；负责如实向顾客介绍产品、投标、与顾客洽谈合同和签订合同，确保所签合同规范、有效和可行；4,负责常规合同评审，组织有特殊要求合同的评审。5,参与组织对顾客技术培训。6,保持公司信息安全体系文件相关要素在本部门的贯彻实施，并管理相关记录；六、综合管理部1、根据公司发展战略制定用人规划、年度招聘计划、培训需求、绩效考核流程及体系、薪酬发展体系、推广企业文化、解决投诉与冲突、组织各类员工活动。2、根据公司发展需要制定日常办公管理等行政制度、申报公司经营相关资质、证件、筹备办公会议及形成会议纪要、确保公司IT系统的有效实施和运转（监控系统，门禁系统，广播系统、OA系统、邮箱系统、财务系统、服务器、电话交换机、网络宽带等）。3、培训发展管理：公司年度培训计划的制订与实施以及制订公司年度教育培训经费的预算并进行管理和使用。4、负责体系文件的发放、回收管理。5、负责相关法律、法规的识别与收集、合规性评价、文件控制及记录控制。6、负责网络的访问管理、机房设备管理。6、信息安全事件的调查及协助处理。7、对新供应商的开发、选择及监督；8、对供应商资质进行审核及维护。9、制定供应商现场评审表，并参与供应商现场评审。10、负责对供应商的交货及时率、配合度交货进行评估；对外协产品品质问题的处理及改善措施进行监督，并提供月度的相关考核数据，参与供应商绩效评审。11、负责公司合同条款的审核。12、信息安全事件的调查及协助处理。XXX有限公司信息安全告知书TS-ISMS-202X-0101版本：V1.0（内部受控）202X-11-1发布202X-11-1实施XXX有限公司 修改履历 版本制订者修改时间更改内容审批人审核意见变更申请单号1.0XXX202X-11-1发布XXX同意1.0XXX202X-11-1实施XXX同意XXX有限公司文件编号ISMS-A-01信息安全管理手册文件版本V1.0密级秘密第第XXX有限公司信息安全适用性声明（依据ISO/IEC27001:2022标准编制）编号：SANDSTONE-ISMS-A-02版本号：V1.0编制：XXX日期：202X-11-01审核：XX日期：202X-11-01批准：XX日期：202X-11-011目的与范围本声明描述了在ISO/IEC27001:2022附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。2相关文件信息安全管理手册、程序文件、策略文件3职责信息安全适用性声明由信息安全小组编制、修订，总经理批准。4声明本公司按ISO/IEC27001:2022建立信息安全管理体系。根据公司风险评估的结果和风险可接受水平，ISO27001:2022附录A的所有条款适用于本公信息安全管理体系，无删减条款。A.5信息安全策略标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.5.1信息安全方针目标YES依据业务要求和相关的法律法规提供管理指导并支持信息安全。A.5.1.1信息安全方针文件控制YES信息安全管理实施的需要。信息安全方针由公司总经理制定，在《信息安全管理手册》中描述，由公司总经理批准发布。通过培训、发放《信息安全管理手册》等方式传达到每一员工。《信息安全管理手册》A.5.1.2信息安全方针评审控制YES确保方针持续的适宜性。每年利用管理评审对方针的适宜性进行评价，必要时对方针进行修订。《管理评审程序》A.6信息安全组织标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.6.1内部组织目标YES建立一个有效的信息安全管理组织机构。A.6.1.1信息安全角色和职责控制YES对于所有的安全职责都给与充分的定义和分配雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。《信息安全管理手册》

《部门职责》A.6.1.2职责分割控制YES保持特定资产和完成特定安全过程的职责需确定。公司设立信息安全管理者代表，全面负责公司ISMS的建立、实施与保持工作。对每一项重要信息资产指定信息安全责任人。与ISMS有关各部门的信息安全职责在《信息安全管理手册》中予以描述，关于具体的信息安全活动的职责在程序及作业文件中予以明确。《信息安全管理手册》A.6.1.3与政府部门的联系控制YES与法律实施部门、标准机构等组织保持适当的联系是必须的，以获得必要的安全管理、标准、法律法规方面的信息。公司就电话/网络通讯系统的安全问题与市信息主管部门及标准制定部门保持联系，其他部门与相应的政府职能部门及社会服务机构保持联系，以便及时掌握信息安全的法律法规，及时获得安全事故的预防和纠正信息，并得到相应的支持。信息安全交流时，确保本公司的敏感信息不传给未经授权的人。相关方联系表A.6.1.4与特定利益团体的联系控制YES为更好掌握信息安全的新技术及安全方面的有益建议，需获得内外部信息安全专家的建议。本公司设内部信息安全顾问，必要时聘请外部专家，与特定利益群体保持沟通，解答有关信息安全的问题。顾问与专家名单由本公司综合管理部提出，管理者代表批准。内部信息安全顾问负责：a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议；b)收集与本公司信息安全有关的信息、新技术变化，经本部门负责人审核同意，利用本公司电子邮件系统或采用其它方式传递到相关部门和人员；c)必要时，参与信息安全事故的调查工作。相关方联系表A.6.1.5项目管理中的信息安全控制YES无论何种类型的项目。宜将信息安全融入到项目管理中a)信息安全目标纳入项目目标；b)在项目的早期阶段进行信息安全风险评估，以识别必要的控制措施；c)信息安全监控成为项目每个阶段的组成部分。《信息安全事件管理程序》A.6.2移动设备和远程工作目标YES确保远程工作和移动设备使用的安全。A.6.2.1移动设备策略控制YES本公司有笔记本电脑移动设备，离开公司办公场所应进行控制，防止其被盗窃、未经授权的访问等危害的发生。笔记本电脑在进入、离开规定的区域时，经过部门领导授权并对其进行严格控制，防止其丢失和未经授权的访问。《计算机管理程序》A.6.2.2远程工作控制YES宜实施策略和支持性安全措施来保护在远程站点访问，处理或存储的信息《远程工作策略》A.7人力资源安全标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.7.1任用之前目标YES确保雇员、承包方人员理解其职责、考虑对其承担的角色是合适的A7.1.1审查控制YES通过人员考察，防止人员带来的信息安全风险。综合管理部负责对初始录用员工进行能力、信用考察，每年对关键信息安全岗位进行年度考察，对于不符合安全要求的不得录用或进行岗位调整。《员工聘用管理程序》A.7.1.2任用条款和条件控制YES履行信息安全保密协议是雇佣人员的一个基本条件。在《劳动合同》中明确规定保密的义务及违约的责任。《员工聘用管理程序》《劳动合同》《保密协议》A.7.2任用中控制YES确保所有的雇员和合同方意识到并履行其信息安全责任A.7.2.1管理职责控制YES缺乏管理职责，会使人员意识淡薄，从而对组织造成负面安全影响。公司管理层要求员工、合作方以及第三方用户加强信息安全意识，依据建立的方针和程序来应用安全，服从公司管理，当有其他的管理制度与信息安全管理制度冲突时，首选信息安全管理制度执行。《员工聘用管理程序》A.7.2.2信息安全教育和培训控制YES安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。与ISMS有关的所有员工，有关的物理访问者，应该接受安全意识、方针、程序的培训。方针、程序变更后应及时传达到全体员工。综合管理部通过组织实施《信息安全人员保密考察与审批管理程序》，确保员工安全意识的提高与有能力胜任所承担的信息安全工作。《员工培训管理程序》A.7.2.3纪律处理过程控制YES对造成安全破坏的员工应该有一个正式的惩戒过程。违背组织安全方针和程序的员工，公司将根据违反程度及造成的影响进行处罚，处罚在安全破坏经过证实的情况下进行。处罚的形式包括精神和物质两方面。《信息安全奖惩管理程序》A.7.3任用的终止或变化目标YES宜将保护组织的利益融入到任用变化或终止的处理流程中。A.7.3.1任用终止或变化的职责控制YES执行工作终止或工作变化的职责应清晰的定义和分配。在员工离职前和第三方用户完成合同时，应进行明确终止责任的沟通。再次沟通保密协议和重申是否有竞业禁止要求等。《劳动合同》《员工离职管理程序》《保密协议》A.8资产管理标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.8.1对资产责任目标YES实现和保持对组织资产的适当保护A.8.1.1资产清单控制YES公司需建立重要资产清单并实施保护。管理层按照《信息安全风险管理程序》组织各部门按业务流程识别所有信息资产。根据重要信息资产判断准则确定公司的重要信息资产，建立《重要信息资产清单》，并明确资产负责人。当信息资产增添或报废时，组织资产使用部门对《重要信息资产清单》进行修订。《信息安全风险管理程序》A.8.1.2资产负责人控制YES需要对所有的与信息处理设施有关的信息和资产指定责任人。管理层组织相关部门依据《信息安全风险管理程序》中的要求和方法识别资产并指定资产负责人，形成《信息资产清单》。《信息安全风险管理程序》A.8.1.3资产的可接受使用控制YES识别与信息系统或服务相关的资产的合理使用规则，并将其文件化，予以实施。制定相应的业务系统应用管理制度，重要设备有使用说明书，规定了资产的合理使用规则。使用或访问组织资产的员工、合作方以及第三方用户应该了解与信息处理设施和资源相关的信息和资产方面的限制。并对信息资源的使用，以及发生在其责任下的使用负责。对于电子邮件和互联网的使用规则见本文件中的A10.8中的描述；《信息安全风险管理程序》A8.1.4资产归还目标YES所有员工、合作方以及第三方用户应该在聘用期限、合同或协议终止时归还所负责的所有资产。员工离职或工作变动前，应办理资产归还手续，然后方能办理移交手续。《信息安全风险管理程序》A.8.2信息分类目标YES确保信息受到与其对组织的重要性保持一致适当级别的保护A.8.2.1信息分类控制YES本公司的信息安全涉及信息的敏感性（包括来自顾客的要求），适当的分类控制是必要的。本公司的信息密级划分为：绝密、机密、秘密、敏感和一般。不同密级事项的界定，由涉及秘密事项产生部门按照《商业秘密管理程序》规定的原则进行。《信息分类管理程序》A.8.2.2信息的标记控制YES按分类方案进行标注对于属于机密信息的文件（无论任何媒体），密级确定部门按《商业秘密管理程序》里关于密级的要求进行适当的标注；公开信息不需要标注，其余均标注受控或机密。《商业秘密管理程序》

《信息分类管理程序》A8.2.3资产处理控制YES规定信息处理的安全的要求。信息的使用、传输、存储等处理活动按《商业秘密管理程序》等进行控制。《商业秘密管理程序》

《信息分类管理程序》A.8.3介质处置目标YES防止存储在介质上的信息遭受未授权的泄露、修改、移动或销毁。A.8.3.1移动介质的管理控制YES本公司存在含有敏感信息的磁盘、磁带、光盘、打印报告等可移动媒体。可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告，各部门按其管理权限并根据风险评估的结果对其实施有效的控制。媒体移动的记录予以保持。《可移动介质管理程序》《运输中物理介质安全策略》A.8.3.2介质的处置控制YES当介质不再需要时，必须对含有敏感信息的媒体（包括不良保密制品）采用安全的处置办法。对于含有敏感信息或重要信息的介质在不需要或再使用时，介质处置部门按照《重要信息备份管理程序》的要求，采取安全可靠处置的方法将其信息清除。《可移动介质管理程序》《运输中物理介质安全策略》A.8.3.3物理介质传输控制YES本公司存在如文件、技术资料等信息介质传送及保密制品的运输活动，确定安全的传送方法是必要的。为避免被传送的介质在传送（运输）过程中发生丢失、未经授权的访问或毁坏，造成信息的泄露、不完整或不可用，负责介质（包括保密产品的运输）传送的部门采用以下方法进行控制：a)选择适宜的安全传送方式，对保密产品运输供方进行选择与评价，并与之签订保密协议；b)保持传送活动记录。《可移动介质管理程序》《运输中物理介质安全策略》A.9访问控制A.9.1访问控制的业务要求目标YES限制信息与信息处理设施的访问A.9.1.1访问控制策略控制YES明确访问的业务要求，并符合信息安全方针的规定要求，对信息访问实施有效控制。本公司基于以下原则制定文件化的访问控制策略（在《用户访问管理程序》中描述），明确规定访问的控制要求，规定访问控制规则和每个用户或用户组的访问权力，访问规则的制定基于以下方面考虑：a)每个业务应用的安全要求；b)在不同系统与网络间，访问控制与信息分类策略要保持一致；c)数据和服务访问符合有关法律和合同义务的要求；d)对各种访问权限的实施管理。《用户访问管理程序》A9.1.2使用网络服务的策略控制YES制定策略，明确用户访问网络和网络服务的范围，防止非授权的网络访问。本公司建立并实施网络服务安全策略，以确保网络服务安全与服务质量。《用户访问管理程序》《网络访问策略》A．9.2用户访问管理目标YES确保授权用户访问系统和服务，并防止未授权的访问A.9.2.1用户注册和注消控制YES本公司存在多用户信息系统，应建立用户登记和解除登记程序。根据访问控制策略确定的访问规则，访问权限管理部门对用户（包括第三方用户)进行书面访问授权，若发生以下情况，对其访问权将从系统中予以注销：a)内部用户雇佣合同终止时；b)内部用户因岗位调整不再需要此项访问服务时；c)物理访问合同终止时；d)其它情况必须注销时。《用户访问管理程序》A9.2.2用户访问提供控制YES内部用户会发生岗位变化，或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的评审是必要的。用户访问权限主管部门每半年对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结果应予以保持。《用户访问管理程序》A.9.2.3特殊权限管理控制YES本公司网络系统管理员拥有特权，特权不适当的使用会造成系统的破坏。特权分配以“使用需要”（Need-to-use)和“事件紧跟”(Event-SK/event)为基础，即需要时仅以它们的功能角色的最低要求为据，有些特权在完成特定的任务后将被收回，确保特权拥有者的特权是工作所需要的且不存在多余的特权（最小特权原则)。系统管理员，只有经过书面授权，其特权才被认可。当特权拥有者因公出差或其它原因暂时离开工作岗位时，特权部门负责人应对特权实行紧急安排，将特权临时转交可靠人员，以保证系统正常运行；当特权拥有者返回工作岗位时，及时收回特权；特权的交接应有可靠安全的方法。《用户访问管理程序》《特权访问管理策略》A．9.2.4用户安全鉴别信息的管理控制YES用户访问信息系统和服务是按授权的范围进行访问的，并拥有口令，因此建立正式的管理过程对口令进行分配并控制是必须的。系统管理员按以下过程对被授权访问该系统的用户口令予以分配：a)管理员根据入职员工的工作岗位分配相关临时口令。b)当用户忘记口令时，可由系统管理员帮其找回或重新分配安全的口令。c)禁止将口令以无保护的形式存储在计算机系统内。《用户访问管理程序》A.9.2.5用户访问权的复查控制YES内部用户会发生岗位变化，或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的评审是必要的。用户访问权限主管部门每半年对一般用户访问权进行评审，对特权用户每季度进行评审一次，注销非法用户或过期无效用户的访问权，评审结果应予以保持。《用户访问管理程序》A9.2.6撤销或调整访问权限控制YES所有是雇员和第三方人员对信息安全和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整A.9.3用户职责目标YES确保用户对保护他们的鉴别信息负有责任A.9.3.1安全鉴别信息的使用控制YES使用户遵循口令使用规则，防止口令泄密或被解密。本公司明确规定了口令安全选择与使用要求，所有用户须严格遵守。实施口令定期变更策略。《用户访问管理程序》A．9.4系统和应用的访问控制目标YES防止对系统和应用的非授权访问。A．9.4.1信息访问限制控制YES为减少非授权访问的机会，对信息服务系统的访问采用安全登录过程。本公司通过域登录等技术手段提供安全的系统登录过程。《用户访问管理程序》A.9.4.2安全登陆规程控制YES为追溯行为的个人责任，对连接到网络终端应有唯一的用户ID。用户有唯一的识别符（USERID），以便用户单独使用时，能追溯行为的个人责任。用户ID由系统管理员根据授权的规定予以设置，用户识别符（USERID）不在多个用户之间共享。用户识别符（USERID）可以由用户名称加口令或其它适宜方式组成。《用户访问管理程序》A.9.4.3口令管理系统控制YES为减少非法访问操作系统的机会，应建立口令管理系统。公司部署实施口令管理，通过技术手段提供有效的、互动的设施以确保口令质量。除非一次性的口令系统，通过操作系统的强制措施要求用户定期变更口令。《用户访问管理程序》《口令控制策略》A.9.4.4特权使用程序的使用控制YES对系统工具程序的使用应控制，防止恶意破坏系统安全。综合管理部应对系统工具程序（SystemUtilityProgram）的使用进行限制和严格控制，只有经过授权的系统管理员才可以使用系统工具程序，如漏洞扫描工具等。《用户访问管理程序》《特权访问管理策略》A9.4.5对程序源代码的访问控制控制YES本公司有软件开发活动，有程序源库（源代码)存在，需要控制。为降低计算机程序被破坏的可能性，综合管理部按以下要求对源程序库（源代码）实施管理：a)可能的话，不将源程序库保存在运作系统中，源程序尽量与应用分开；b)各项应用应指定程序库管理员；c)信息技术支持人员不应当自由访问源程序库；d)源程序库的更新和向程序员发布的源程序，应由指定的程序库管理员根据授权来完成。《软件开发控制程序》A10密码标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.10.1密码学目标YES确保适当并有效的密码的使用来保护信息的保密性，真是性或完整性A.10.1.1使用加密控制的策略控制YES与外部信息交换过程需要有加密控制措施来保护信息的安全识别需要采用加密保护的信息以及保护的手段，本公司在与外部信息交换过程中涉及的需用加密控制的信息有：客户从外部远程输送数据，针对此类信息与外部交换的过程应使用加密控制。《口令控制策略》A10.1.2密钥管理控制YES使用密钥来支持组织使用的加密技术公司对识别的需要使用加密控制技术的信息，若在采用加密手段时要对密钥的使用进行管理《密钥管理策略》A11物理和环境安全标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.11.1安全区域目标YES防止对组织信息和信息处理设施的未授权物理访问、损害和干扰A.11.1.1物理安全周边控制YES本公司有包含重要信息处理设施的区域和储存重要信息资产及保密制品的区域。本公司安全区域包括总经理办公室、综合管理部、销售部、技术部、会议室和前台接待区。各安全区域都有物理边界，并根据其安全属性采取必要的保护措施。机密文件存放于带锁的文件柜里。《安全区域管理程序》A.11.1.2物理入口控制控制YES安全区域进入应经过授权，未经授权的非法访问会对信息安全构成威胁。外来人员进入公司区域要在前台进行登记。第三方人员进入特别安全区域须被授权，进出有记录。员工加班也需登记。《安全区域管理程序》A.11.1.3办公室/房间和设施控制YES对安全区域内的后勤管理部、房间和设施应有特殊的安全要求。当有紧急自然灾害发生，则需要提前示警。本公司制定《安全区域管理程序》，避免出现对办公室、房间和设施的未授权访问。对特别安全区域内的计算机和设施进行必要的控制，以防止火灾、盗窃或其它形式的危害，这些控制措施包括：a)大楼配备有一定数量的消防设施；b)房间装修符合消防安全的要求；c)易燃、易爆物品严禁存放在安全区域内，并与安全区域保持一定的安全距离；d)办公室或房间无人时，应关紧窗户，锁好门；《安全区域管理程序》A.11.1.4外部和环境威胁的安全保护控制YES加强公司物理安全控制，防范火灾、水灾、地震，以及其它形式的自然或人为灾害。公司设备具有防范火灾、水灾、雷击等自然、人为灾害的安全控制措施。《安全区域管理程序》A.11.1.5在安全区域工作控制YES在安全区域工作的人员只有严格遵守安全规则，才能保证安全区域安全。处理敏感信息的设备不易被窥视。公司范围内禁止吸烟。公司建立《安全区域管理程序》，明确规定员工在有关安全区域工作的基本安全要求，并要求员工严格遵守。《安全区域管理程序》A.11.1.6交接区安全控制YES对特别安全区域，禁止外来人员直接进入传送物资是必要的。公司外的送水人员、邮件快件投递人员、送货人员在送水、投递、送货送餐过程中，未经允许不得进入前台接待区以外的安全区域。《安全区域管理程序》A.11.2设备安全目标YES防止资产的损失、损坏、失窃或危机资产安全以组织的运营A.11.2.1设备的安置和保护控制YES设备存在火灾、吸烟、油污、未经授权访问等威胁。设备使用部门负责对设备进行定置管理和保护。为降低来自环境威胁和危害的风险，减少未经授权的访问机会，特采取以下措施：a)设备的定置，要考虑到尽可能减少对工作区不必要的访问；b)对需要特别保护的设备加以隔离；c)采取措施，以尽量降低盗窃、火灾、爆炸、吸烟、灰尘、震动、化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险；d)禁止在信息处理设施附近饮食、吸烟。《信息处理设施维护管理程序》A.11.2.2支持性设施控制YES供电中断或异常会给信息系统造成影响，甚至影响正常的生产作业。针对重要服务器及设备提供ups，确保不间断供电，其他办公电脑和网络连接设备经风险评估可以接受供电中断的风险。《信息处理设施维护管理程序》A.11.2.3布缆的安全控制YES通信电缆、光缆需要进行正常的维护，以防止侦听和损坏。综合管理部按照《网络和计算机策略》对传输线路进行维护，防止线路故障。通信电缆与电力电缆分开铺设，防止干扰。《信息处理设施维护管理程序》A.11.2.4设备维护控制YES设备保持良好的运行状态是保持信息的完整性及可用性的基础。计算机信息网络系统设备及用户计算机终端（包括笔记本电脑）、各信息系统由综合管理部按照《信息处理设施维护管理程序》进行维护。《信息处理设施维护管理程序》A.11.2.5资产的移动控制YES设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。重要信息设备、保密信息的迁移应被授权，迁移活动应被记录。信息处理设施（网络设备及计算机终端）的迁移控制执行《网络和计算机策略》。《信息处理设施维护管理程序》A.11.2.6组织场所外的设备和资产安全控制YES本公司有笔记本电脑移动设备，离开公司办公场所应进行控制，防止其被盗窃、未经授权的访问等危害的发生。笔记本电脑在进入、离开规定的区域时，经过部门领导授权并对其进行严格控制，防止其丢失和未经授权的访问。《信息处理设施维护管理程序》《计算机管理程序》A.11.2.7设备的安全处置或再利用控制YES对本公司储存有关敏感信息的设备，如系统集成部的源代码，对其处置和再利用应将其信息清除。含有敏感信息的设备在报废或改作他用时，由使用部门用安全的处置方法，将设备中存储的敏感信息清除并保存清除记录。《信息处理设施维护管理程序》A.11.2.8无人值守的用户设备控制YES设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。重要信息设备、保密信息的迁移应被授权，迁移活动应被记录。信息处理设施（网络设备及计算机终端）的迁移控制执行《网络和计算机策略》。《信息处理设施维护管理程序》A.11.2.9清洁桌面和清屏策略控制YES不实行清除桌面或清除屏幕策略，会受到资产丢失、失窃或遭到非法访问的威胁。本公司在《用户访问管理程序》中制定清除桌面、清除屏幕的策略并实施，各部门负责人负责监督。各部门员工自觉履行该策略的日常实施。《清洁桌面和清屏策略》A.12运行安全标准条款号标题目标/控制是否选择选择理由控制描述相关文件A.12.1操作程序和职责目标YES确保正确、安全的操作信息处理设施。A.12.1.1文件化操作程序控制YES标准规定的文件化程序要求必须予以满足。本公司按照信息安全方针的要求，建立并实施文件化的作业程序，文件化程序的控制执行《文件控制程序》。《文件控制程序》A.12.1.2变更管理控制YES未加以控制的系统更改会造成系统故障和安全故障。对信息处理设施、软件等方面的更改实施严格控制。在更改前评估更改所带来的潜在影响，正式更改前履行更改审批手续，并采取必要的措施确保不成功更改的恢复。信息处理设施更改控制执行《变更管理程序》。《变更管理程序》A.12.1.3容量管理控制YES为避免因系统容量不足导致系统故障，必须监控容量需求并规划将来容量。公司负责对信息网络系统的容量（CPU利用率、内存和硬盘空间大小、传输线路带宽）需求进行监控，并对将来容量需求进行策划，适当时机进行容量扩充。《信息处理设施安装使用管理程序》A.12.1.4开发、测试和运行设施分离控制YES系统集成部具有应用软件和测试程序的开发能力，开发与业务设施必须进行分离，以防止意外的系统的更改或未授权的访问。技术部是在一个独立的测试环境中测试软件，并与业务设施分离。操作系统管理员与用户分离。《软件开发管理程序》A.12.2防范恶意软件目标YES确保对信息和信息处理设施的保护，防止恶意软件A.12.2.1控制恶意软件控制YES恶意软件的威胁是客观存在的，特别是本公司许多电脑终端可以访问Internet互联网。防范恶意软件宜基于恶意软件检测和修复软件、信息安全意识、适当的系统访问和变更管理控制。《恶意软件管理程序》A.12.3备份目标YES防止数据丢失A.12.3.1信息备份控制YES必须对重要信息和软件定期备份，以防止信息和软件的丢失和不可用，及支持业务可持续性。应按照已设的备份策略，定期备份和测试信息和软件。《重要信息备份管理程序》 A．12.4日志记录和监视目标YES记录事件并生成证据A.12.4.1事件日志控制YES为访问监测提供帮助，建立事件记录（审核日志）是必须的。所有的事态记录日志处于打开状态，专人进行事态记录，记录用户活动、异常情况、故障和信息安全事态。《信息安全事件管理程序》A.12.4.2日志信息的保护控制YES日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访问。《信息系统访问与使用监控管理程序》A.12.4.3管理员和操作员日志控制YES应记录系统管理员和系统操作员的活动。系统管理员和系统操作员活动应记入日志。《信息系统访问与使用监控管理程序》A.12.4.4时钟同步控制YES采取适当的措施实施时钟同步，是日常经营与获取客观证据的需要。一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。《信息系统访问与使用监控管理程序》A12.5运行软件的控制目标YES确保运行系统的完整性A12.5.1运行系统软件安装控制YES对软件在作业系统中的执行应予以控制，否则易受到未经授权的软件安装和更改的影响，导致系统及数据完整性丢失。综合管理部应对软件在作业系统的执行进行严格控制，在新软件安装或软件升级之前，应经主管部门负责人审核同意后方可进行。计算机终端用户除非授权，否则严禁私自安装任何软件。《信息处理设施安装使用管理程序》A12.6技术脆弱性管理目标YES防止技术脆弱性被利用A12.6.1技术脆弱性管理控制YES及时获得正在使用信息系统的技术脆弱性的相关信息，应评估对这些脆弱性的暴露程度，并采取适当的方法处理相关风险。综合管理部对技术脆弱性应进行风险评估，进行专项分析，制订风险处理计划，根据风险处理计划采取对应的技术和管理措施。《信息处理设施安装使用管理程序》A12.6.2软件安装的限制控制YES应建立并实施用户安装软件控制的规则制定软件的安装规范《信息处理设施安装使用管理程序》A12.7信息系统审计考虑目标YES将审计活动对运行系统的影响最小化A12.7.1信息系统审计控制措施控制YES涉及对运行系统核查的审计要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险策划并实施监视和审计活动并保存监视和审计活动的记录。《信息处理设施安装使用管理程序》A.13通信安全A13网络安全管理目标YES确保对网络及信息处理设施中信息收到保护A13.1.1网络控制控制YES本公司已建立设计、制造应用系统和各种管理应用系统，网络结构简单，实施网络控制是必须的。本公司网络安全控制措施包括：a)内外网物理隔离；b)专用网络与生产网络隔离；特定项目网络隔离；c)对网络设备定期维护；d)对防火墙、交换机等实施安全配置管理；e)对用户访问网络实施授权管理；f)实施有效的安全策略；g)对系统的变更进行严格控制；h)对网络的运行情况进行监控；i)对网络设备的变更进行控制；j)对网络系统管理与操作人员的管理。《网络设备安全配置管理程序》A13.1.2网络服务的安全控制YES明确规定网络服务安全属性是实施网络安全管理的需要。公司根据组织的安全策略，识别现有的网络服务，由授权的系统管理员进行参数配置与维护管理。选择资源良好的多家网络接入供应商。《网络设备安全配置管理程序》A13.1.3网络的隔离控制YES涉密网络（如研发）应予以隔离。为确保本公司网络安全，采用物理和逻辑两种方式进行网络隔离：a)通过防火墙将内部网络与外部网络实施逻辑隔离；b)专用网络与其他网络物理隔离。《网络设备安全配置管理程序