信息安全管理手册+适用性声明+程序文件全套（27001 2022版）

34第共页34第共页编 号：ISMS-M01-2023V1.0受控状态：受控密 级：内公开【组织名称】信息安全管理手册+程序文件全套(依据ISO/IECFDIS27001:2022)信息安全程序文件汇编目 录TOC\o"1-3"\h\u32592ISMS-P01文件控制程序 7726931、文档介绍 7784381.1编写目的 77133481.2适用范围 77151142、术语、定义和缩略语 77228432.1管理体系文件 77188012.2管理手册 77118082.3程序文件 77243322.4作业指导文件 77293312.5文件的变更 79152453、职责 79129593.1文件编写人员的职责 793413.2文件审核批准人员的职责 79152663.3文件修改人的职责 7948294、体系文件阶层及编码 81200894.1文件阶层 8173424.2文件及记录编码 8182255、文件要求 81143415.1文件要素 8111025.2文件控制 82131945.2.1文件编写 82147865.2.2文件审批 82150435.2.3文件的监督、核查 82200845.2.4文件保存与发放 8267055.2.5文件版本控制和修订 834485.2.6文件对外提供 8433775.2.7文件的作废处置 84320515.2.8外来文件的管理 84112936、相关表单 841092ISMS-P02记录控制程序 85288361、文档介绍 85124811.1编写目的 85167931.2适用范围 8546642、术语、定义和缩略语 85294003、职责 8514564、作业内容 86272494.1记录的填写规定 86291904.2记录的归档管理 10206524.3记录的储存与维护 10204114.4记录的报废管理 10204744.5记录表格的修订 10111754.5.1各部门的记录表格在使用前均须经过主管级以上批准。 10177524.6记录表格的标识 10277234.6.1ISMS 10278564.7当有追溯要求时，各部门的记录应及时提供查阅。 10222295、相关文件 1013054ISMS-P03内部审核管理程序 12309861、文档介绍 12234911.1目的 1219681.2.范围 12285572、术语定义 12320573、职责 12112274、作业内容 13252674.1审核频率 13227584.2作业说明 28156904.2.1内审计划的制定 13114954.2.2实施内部审核 15297574.2.3执行纠正措施 15278194.2.4验证结果 15218884.3流程输入及输出 16113504.3.1输入 1673624.3.2输出 16127685、内部审核相关表单 1612244ISMS-P04管理评审管理程序 17278431、文档介绍 1714091.1 17125001.2.范围 17249942、职责 17155123、内容 1747433.1审核频率 1739533.2管理评审程序 19302403.2.1管理评审计划制定 19197833.2.21）管理评审准备 19103503.2.3编制管理评审报告 2078303.3流程输入及输出 20268703.3.1输入 20307803.3.2输出 216054. 2130654ISMS-P05监视和测量管理程序 2214871目的 22207892适用范围 2234953术语和定义 22158904职责 22303304.1管理运营部 22162454.1.2负责识别与公司有关的法律法规，并检验是否满足。 22246724.2管理者代表 22211834.3管理运营部 22251344.4采购保障部 2336895工作程序 2039875.1法律符合性测量 20312825.1.1法律识别 2097375.1.2知识产权 20171995.1.3保护组织的记录 21238535.1.4数据保护和个人信息的隐私 21181265.1.5安全管理信息处理设施 21248445.1.6密码合法使用 2160795.2策略、标准和技术的符合性测量 2199595.2.1安全策略、标准符合性 21191635.2.2技术符合性测量 22269215.3信息系统审计 22134265.3.1信息系统审计控制措施 22209715.3.2审计工具的保护 22260345.4审计过程和产品 22264245.4纠正和预防 23265666记录 2325519ISMS-P06纠正与预防措施管理程序 2441981、文档介绍 2481581.1编写目的 24133351.2适用范围 2472601.3引用文件ISO/IEC27001:2022 24195052、角色和职责 24154823、内容 24325673.1持续改进的策划 248723.2纠正措施 26153733.3预防措施 268053.4其他措施 28227113.5流程输入及输出 2875814、相关表单 2827525ISMS-P07信息交流管理程序 2991361、文档介绍 29282842、术语和定义 29269803、引用文件 2918434、职责和权限 29247985、内部沟通 30241966、外部沟通 3266047、信息交流控制措施 3237678、物理介质的运送 30126419、相关记录 309234ISMS-P08人力资源管理程序 31243531、目的 31191962、范围 31279093、引用文件 3124588·ISO/IEC27001:2022 3176164、职责 31311654.1人力资源部 31230844.2其他部门 331614.3总经理 3318335、任用前 33210635.1安全角色与职责 33121541周内完成。 3331185.2人员选拔 33187745.3任用条款和条件 35183046、任用中 35240176.1体系教育与培训 3549636.2培训计划的制定与审批 35185086.2.3教育培训计划经总经理批准后实施。 36110486.3培训的目的 36139526.4培训的对象及内容 3637466.5培训的形式 3756156.5.1培训：由公司内、外部有专长的人员就某一专题进行讲授 3757276.6培训记录 37168236.7纪律处理 37109197、任用终止或变更 3771947.1终止职责 37152077.2资产归还 37228477.3撤销访问权 37185427.4后期管理 39115038、记录 391196ISMS-P09信息安全风险评估管理程序 40233991、目的 40133932、范围 40280123、参考文件 4094734、定义 4026264.1资产asset 40226424.2资产价值valueofasset 40200314.3威胁threat 40320454.4脆弱性vulnerability 41274074.5事件event 42282484.6风险risk 4217564.7残余风险residualrisk 42148414.8安全需求securityneed 42296614.9措施countermeasure 42181244.10风险评估riskassessment 42214044.11风险处理risktreatment 42179214.12风险管理riskmanagement 42264395Responsibility 4244246、风险评估的实施频率及评审 43174657、程序 43187447.1资产识别 4337657.2资产赋值 4330470机密性赋值（x） 4312584完整性赋值(y) 404401可用性赋值(z) 4020157资产重要性等级(A) 4287877.3威胁识别 43213327.3.1威胁分类 4329987.3.2威胁赋值(T) 48215877.4脆弱性识别 48269787.4.1脆弱性识别内容 48207227.4.2脆弱性赋值(V) 5130027.5已有安全措施的确认 5256127.6风险分析 52232687.6.3风险计算(R) 53265617.6.4风险结果判定 53231837.7风险处置 54286447.7.1风险处置计划 54309367.7.2风险处置的可选措施 5532167.7.3风险处理工作的优先级排序 55269697.8残余风险评估 55246057.9ISMS 5555418、记录 569218ISMS-P10信息资产密级管理程序 50140191、范围 5094502、规范性引用文件 5018943、术语和定义 50144784、职责和权限 50156004.1管理运营部 50171954.2各部门 5196055、活动描述 52209375.1密级的分类 52316696、涉密、受控文件、资料的标识、制发的管理 52142656.1管理职责 52175476.2企业秘密的指令 52207126.3秘密、受控文件的表示方法 54225326.4接收部门和使用目的、范围的指定 5492706.5秘密文件的发放管理 54303366.6企业秘密的使用 5486207、企业秘密、受控指令的解除或变更 5697227.1解除或变更的条件 569737.2解除或变更的方法 56300978、回收/废弃 58236169、事故的处理 58695510、教育 582065611、离/退职后的保密义务 601427512、其它 604181ISMS-P11访问控制管理程序 61120751、适用 6190112、目的 61140633、职责 61184174、程序 6174804.2用户访问管理 62321724.2.1权限申请 624065a)权限申请人员；b)访问权限的级别和范围；c)申请理由；d)有效期 633204.2.2权限变更 63115494.2.3用户访问权的维护和评审 634594.2.4连接的控制 64128934.2.5会话与联机时间的控制 64119124.2.6网上信息公布管理 648544.2.7系统实用工具的使用 6441384.3用户口令管理 64210874.3.1分配给用户一个安全临时口令，并通过安全渠道传递给用户，并要求 64292784.3.2口令的选择与使用要求 65154774.4特殊权限管理 6515734.5访问记录控制 65324234.6远程工作策略 65276754.7远程工作授权程序 60224694.7.3当不再需要远程工作时，应及时取消该用户的访问权。 6035644.8密码设置 601174.8.1密码设置原则： 60103784.8.2密码存储 61136124.8.3密钥分配 61135264.8.4密码使用 61267704.8.5密码变更、废除、销毁及恢复 6127875、记录 6210838ISMS-P12密码管理程序 63153531、目的 63280472、适用范围 63168933、定义 63294553.1密码：本程序中的密码指用户的认证信息，或叫口令； 63222634、职责 63325934.1系统管理员 6376154.1.2负责加密狗的使用和管理； 632414.2用户 63197384.2.1负责按本程序的要求使用、保护、定期更换自己的密码； 63132625、流程图无 63227446、管制重点 64282246.1密码管理策略 64124526.1.4登录成功时，尽可能显示上一次登录的日期和时间； 65289456.1.6密码不能和用户名或登录名相同； 65109276.2密码的分配与传递要求 6561626.3密码的储存 6582886.3.1一般不对密码进行可记录形式的储存； 65308526.3.3可行时，系统管理员在定期更换密码后保存历史加密密码，以防止密码的重 66137256.4密码的使用 6791396.5密码变更、销毁 67183017、相关文件无 67141908、相关记录 679563ISMS-P13物理与环境安全管理程序 68295111、适用 6839962、目的 681873、职责 6845344、程序 68198894.1外来人员分类 68146321)本公司职工上下班必须认真准时打卡，不得有代打卡行为发生。 7051161)出口玻璃门锁早晨打开，晚上下班后上锁。 72311147)管理运营部负责对员工进行安全培训，提高安全意识。 72157964.5访客管理 72199425)重要被邀访客的登记，可由公司邀请部门直接填写。 7455504.6设备安全 74271174.7消防管理 74277361)与物业签订合同时，要记入相关消防安全项目，明确双方责任。 7486533)安全通道禁止摆放任何物品，并设置安全疏散标志。 74237435、安全培训 7096436、在安全区域工作的安全要求 70313767记录 7022039ISMS-P14运行安全管理程序 71146701、目的 71248192、范围 7177053、数据保存管理 7147603.1数据导入和修改 7163233.2数据提取和发放 73259353.3应对数据传输进行控制 7314453.3.6通信线路传输数据的保密策略 73269593.4数据操作日志管理 75109434、保护关键数据 75127614.1关键数据的认定与存档 75184894.2关键数据介质的保存 7562034.2.1备份频率： 75277164.2.2备份数据保留时间： 75275654.2.3备份存储和备份介质管理： 75255564.2.4备份恢复测试： 7775354.2.5备份介质销毁： 77150644.3备份操作管理 77129544.3.1对服务器要做好相应的备份。 7739215、备份介质存放和管理 78208416、备份恢复 78219757、相关记录 8011805ISMS-P15通讯安全管理程序 81254861、适用与目的 81316482、信息处理设施的分类 81288393、职责 81262554、信息处理设施的引进和安装 8281424.1引进依赖 8254684.2进行技术选型 83149124.3编写购入规格书 83160294.4定货 8334204.5开箱检查，安装、调试，验收 83119785信息处理设施的日常维护管理 84322355.1计算机设备管理 8484415.2计算机设备维护 84180345.3计算机调配与报废管理 85108325.3.3调配 80167135.4报废处理 80139035.5笔记本电脑安全管理 80256885.6计算机安全使用的要求 80169265.6.2使用计算机时应遵循信息安全策略要求执行。 809205.6.6不得使用计算机设备处理正常工作以外的事务。 81142035.6.9严禁乱拉接电源，以防造成短路或失火。 81227365.7网络安全使用的要求 8130785.8支持性设施与布览安全 81562a) 81122815.9无人值守的用户设备保护 82303866、信息处理设施的日常点检 8298146.1计算机的日常点检 82175646.2网络设备的管理与维护 82281166.3点检策略 82169626.3.2（成功或失败 82436.3.5日志的配置最低要求 83211236.4维修服务的外包安全控制 84159166.4.3不接受厂商通过远程诊断端口进行远程维护访问授权。 84323346.5资料的保存 85294426.6网络扫描工具的安全使用管理 85313066.7信息处理设备可用性管理 85261697、其它要求 85182538、记录 8530428ISMS-P16变更管理程序 86275171.文档介绍 86206381.1编写目的 86126361.2适用范围 8649082.术语、定义和缩略语 8611063.变更管理流程 88176813.1流程解释 88323713.2业务价值 88304303.3流程原则 8865513.3.1变更类型 89246913.3.2责任人原则 89179103.3.3风险判定原则 91208873.3.4审批原则 91314653.3.5目标解决时间原则 91225923.3.6变更窗口原则 92149823.3.7前导时间原则 93210553.3.8回退原则 9318313.3.9关闭原则 9333703.4流程相关定义 935413.4.1变更信息项 93283493.4.2变更状态代码 93258943.4.3变更分类 90125453.4.4变更关闭代码 90215943.5角色及职责 90227853.6流程输入及输出 91134783.6.1流程触发条件 919823.6.2输入 91212733.6.3输出 91177363.6.4流程关闭条件 9319333变更已经实施完成并经过评审和确认 93277443.7流程描述 93208073.7.1作业流程说明 93260113.8流程衡量指标及报表 95212993.9相关文件 9528575ISMS-P17信息系统开发与维护管理程序 96317331、适用 96160252、目的 96231423、职责 96193904、程序 9665704.1应用软件设计开发的控制 96147114.1.1设计开发任务提出 96120474.1.2设计开发的策划 96149104.1.3设计开发人员的要求 98215024.1.4设计开发方案的技术评审 9859574.1.5设计开发的环境要求 9952604.1.6软件的测试与试运行 9975054.1.7更改控制 99162284.1.8源程序库（程序源代码）管理及技术文档管理 99106114.2系统的维护管理 100107834.2.2容量策划 10073004.2.3变更策划 10054484.2.4变更的实施 100295874.2.5变更不成功的恢复措施 10155354.2.6软件包的变更 101298575、记录 1016752ISMS-P18供应商管理程序 102180291、目的 102324682、适用范围 102151454、职责 102174085、程序 100257705.1管理策略 100130685.2控制指标 100207236、相关记录 10019846ISMS-P19事件管理程序 102165511.适用 102106602.目的 102288593.职责 102311634.程序 102221734.1信息安全事件定义与分类 102246434.1.1信息安全事件的定义： 102320304.1.2信息安全事件分类规范 103150074.1.3信息安全事件分级规范： 10539354.2故障与事故的报告渠道与处理 10628574.2.1故障、事故报告要求 1062044.2.2故障、事故的响应 106211954.2.3事态、事件报告方式 107149204.3故障、事故调查处理与纠正措施 107186464.4报告信息安全薄弱点与预防措施 107301534.6风险处置流程 109117845.相关/支持性文件 109115736.记录 10918530ISMS-P20业务连续性管理程序 110152151文档介绍 110103641.1编写目的 11048411.2适用范围 110292652术语、定义和缩略语 11034373连续性管理流程 110152693.1角色及职责 110326903.2连续性影响分析 111133443.2.3《业务持续性和影响分析报告》应包括以下内容： 11338453.3编制《业务持续性管理实施计划》 113266163.3.2部门《业务持续性管理计划》的编写分工为： 113270443.3.3《业务持续性管理计划》应包括以下方面的内容： 11388983.5《业务持续性管理计划》的实施要求 113209843.6业务持续性计划的测试与评审 110137854相关文件 11029209ISMS-P21符合性管理程序 11141921、目的 111236552、适用范围 111255873、术语和定义 111107144、职责 11192635、工作程序 112276515.1法律符合性测量 112243845.1.1法律识别 11260925.1.2知识产权 11382105.1.3保护组织的记录 113305815.1.4数据保护和个人信息的隐私 114201855.1.5安全管理信息处理设施 114259695.1.6密码合法使用 114274055.2策略、标准和技术的符合性测量 114243185.2.1安全策略、标准符合性 11446215.2.2技术符合性测量 115134895.3信息系统审计 11581895.3.1信息系统审计控制措施 11541865.3.2审计工具的保护 115257765.4纠正和预防 1157316记录 11529831ISMS-P22第三方信息安全管理程序 1168683１目的 11676052范围 11631513职责 116105153.1管理运营部 116153603.2各相关部门 116268784程序 11631784.1管理对象 116204504.1.1我公司的相关方包括以下团体或个人： 116136854.2相关方的信息安全管理 11623644.2.1相关部门应协调管理运营部识别外部相关方对信息资产和信息处理设施造 1177894.3外来人员管理 118281454.3.4外来人员的逻辑访问按《访问控制管理程序》进行。 118154454.4第三方服务的管理 11870924.4.1第三方服务能力的评定 118306315. 12010381ISMS-P23相关方信息安全管理程序 121283621目的 121234762范围 121140203职责 121240883.1管理运营部 12194083.2各相关部门 121103154程序 121119884.1管理对象 121247494.2相关方信息安全管理 122204714.3对外来人员的管理 122133214.4对承包商和供应商的管理 122288514.5对相关方的监督管理 122174115相关文件 12487906记录 124编 号：ISMS-M01-2023V1.0受控状态：受控密 级：内公开【组织名称】信息安全管理手册(依据ISO/IECFDIS27001:2022)文档信息文档编号：ISMS-M01-2023文档分类：内部公开–受控编写：审核：批准：初次发布日期：生效日期：修订日期：版本记录版本号版本日期修改审批人修改履历V1.0//创建文档目录TOC\o"1-3"\h\u120330.1信息安全管理手册发布令 26277150.2管理者代表委任书 27276141、范围 28315732、规范性引用文件 28176053、定义和术语 28227583.1信息安全定义 288673.2术语 29263023.3缩写 2935584、组织环境 30306454.1理解组织及其环境 30255034.2理解相关方的需求和期望 3036584.3确定信息安全管理体系范围 30173444.4信息安全管理体系 31166195、领导 31304545.1领导和承诺 31311365.2方针 31150905.3组织的角色，责任和权限 32133066、规划 3218226.1应对风险和机会的措施 32131616.2信息安全目标和实现规划 34235696.3变更管理 35157307、支持 3570337.1资源 35323407.2能力 3552777.3意识 35133477.4沟通 3545147.5文件化信息 36233908、运行 37215558.1运行规划和控制 37126788.2信息安全风险评估 3892868.3信息安全风险处置 38177449、绩效评价 38271419.1监视、测量、分析和评价 38187779.2内部审核 39215579.3管理评审 40178019.3.1总则 402215210、改进 412573810.1不符合和纠正措施 412655210.2持续改进 4117917附件1组织结构图 4325964附录2职能分配表 4417238附件3部门职责 5129734附件4信息安全职责说明书 53信息安全管理手册发布令ISO/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求自本手册发布令签批之日起，本公司信息安全管理体系进入实施运行阶段。【组织名称】总经理：2022年12月01日管理者代表委任书ISO/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求加强对公司体系运作的领导，特委任任公司信息安全管理体系的管理者代表。管理者代表的职责是：确保按照标准的要求，进行资产识别和风险评估，全面建立、实施、运行、监视、评审、保持和改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性；就信息安全管理体系有关事宜进行内外部联络，组织、指挥、监督、协调各部门体系的运作；确保在整个组织内提高信息安全风险的意识；审核风险评估报告、风险处理计划，并监督其执行情况，并向总经理汇报残余风险；收集整理各部门的管理评审输入材料，进行汇总，并在管理评审会议上向总经理报告；向总经理报告信息安全管理体系的现状和任何改进的需求，包括信息安全管理体系运行情况、内外审核情况。本授权书自发布之日起生效执行。【组织名称】总经理：2022年12月01日1、范围公司依据信息安全管理体系标准的要求编制《信息安全管理手册》，并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标，引用了信息安全管理体系的内容，对标准中的第4章到第10章的内容，不做任何删减。注册地址：。运营地址：。体系范围：。组织范围：公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。资产范围：与1)所述业务活动2)组织范围内及3)物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。2、规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。信息安全、网络安全和隐私保护信息安全管理体系要求—概述和词汇。3、定义和术语信息安全定义34第页共页34第页共页术语本手册中使用术语的定义采用ISO/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》中有关术语的定义。缩写ISMS：Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems—Requirements信息安全、网络安全和隐私保护信息安全管理体系要求；SOA:StatementofApplicability适用性声明；3．PDCA:PlanDoCheckAction计划、实施、检查、改进；4、组织环境理解组织及其环境管理层确定与公司意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内。理解相关方的需求和期望管理运营部应确定信息安全管理体系要求的相关方及其信息安全要求，相关的信息安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要的管理。相关方的要求可包括法律法规要求和合同义务。本公司所属相关方及其要求和期望如下表：相关方识别原因信息安全要求和期望更新频率识别方法政府职能单位严格执行国家法律法规落实国家法律法规要求依据法律法规发布周期关注政府网站第三方认证服务机构符合体系标准和服务资质要求方可通过认证法律法规及相关资质的信息安全要求认证标准发布周期与认证机构联系客户业务往来/合同关系服务和合同中要求和约定的信息安全内容合同要求更新周期合同供方合同关系合同中要求和约定的信息安全内容合同要求更新周期合同管理层决策公司的信息安全管理工作公司信息安全策略公司重要的商业信息/敏感信息的保密性不定期定期不定期汇报、管理评审公司员工公司信息安全工作执行层各职能部门实际工作中的信息安全要求个人信息及隐私安全不定期公司会议确定信息安全管理体系范围本公司ISMS的范围包括a)物理范围：注册地址：。运营地址：。b)业务范围：。c)组织范围：公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。d）资产范围：与所述业务活动、组织范围内及物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。信息安全管理体系本公司按照信息安全管理体系标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA模式。5、领导领导和承诺总经理应通过以下方式证明信息安全管理体系要求的领导力和承诺：确保信息安全策略和信息安全目标已建立，并与公司战略方向一致；确保将信息安全管理体系要求要求融合到日常管理过程中；确保信息安全管理体系要求所需资源可用；向公司内部传达有效的信息安全管理及符合信息安全管理体系要求要求的重要性；确保信息安全管理体系要求达到预期结果；指导并支持相关人员为信息安全管理体系要求有效性做出贡献；促进持续改进；支持管理运营部及各部门的负责人，在其职责范围内展现领导力。方针公司管理层应建立信息安全方针：适合组织的宗旨;包括信息安全目标（6.2），或为建立信息安全目标提供框架;包括满足有关信息安全适当要求的承诺;ISMS承诺公司的信息安全管理方针：预防为主，完善管理，持续改进，保证安全。对于信息安全方针的解释：将管理与技术相结合，建立完整的信息安全管理体系要求。安全管理的基本原理，防患于未然，预防大于亡羊补牢；采用适宜的、充分的、有效的控制措施来纠正和预防信息安全事态。控制风险是前提，风险自身是动态的过程。本公司在运行过程中需要审时度势、量体裁衣、因地制应，逐步的修订现有制度，不停的完善自身管理水平。上述方针的批准、发布及修订由公司总经理负责；信息安全方针是以文档化的身份可用的，通过培、宣贯等方式使得本公司员工知晓并执行相关内容；通过有效途径告知服务相关方及客户，以提高安全保密意识及服务水平；并定期通过《管理评审控制程序》评审其适用性、充分性，必要时予以修订。组织的角色，责任和权限公司管理层决定全公司的组织机构和各部门的职责（包括信息安全职责），并形成文件，具体内容见附录3/4。各部门的信息安全管理职责决定本部门组织形式和业务分担，并形成文件，具体内容见附录B职能分配表。总经理为本公司信息安全的最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。6、规划应对风险和机会的措施总则统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。管理运营部制定信息安全风险评估管理程序，经管理运营部组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见《信息安全风险评估管理程序》。信息安全风险评估风险评估的系统方法管理运营部制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》。资产识别ISMS范围内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/评估风险信息安全风险处置风险处理方法的识别与评价管理运营部应组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划应明确风险处理责任部门、方法及时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：采用适当的内部控制措施；接受某些风险（不可能将所有风险降低为零）；回避某些风险（如物理隔离）；转移某些风险（如将风险转移给保险者、供方、分包商）。选择控制目标与控制措施管理运营部根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标。信息安全目标应获得总经理的批准。控制目标及控制措施的选择原则来源于附录A。本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。SOA管理运营部编制《信息安全适用性声明》（SOA）。该声明包括以下方面的内容：所选择控制目标与控制措施的概要描述；ISO/IECFDIS27001:2022A中未选用的控制目标及控制措施理由的说明。残余风险对风险处理后的残余风险应形成《残余风险评估报告》并得到总经理的批准。管理运营部应保留信息安全风险处置过程的文件化信息。信息安全目标和实现规划根据公司的信息安全方针，经过总经理确认。公司的信息安全管理目标为：受控信息泄露的事态发生≤1起；顾客保密性投诉的次数每年不超过1起；信息安全培训率≥99%；信息安全事件导致的故障/事态未能在规定时间内恢复的次数≤0起/年管理运营部根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施，明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照《信息安全目标及有效性测量程序》的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。变更管理当公司确定需要对信息安全管理体系进行变更时，应以策划的方式进行。7、支持资源总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。能力人力资源部应：确定公司全体员工影响公司信息安全绩效的必要能力；确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；保留适当的文件化信息作为能力的证据。注：适用的措施可包括，对新入职员工进行的信息安全意识教育；定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。意识公司全体员工应了解：公司的信息安全方针；个人其对公司信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；不符合信息安全管理体系要求要求带来的影响。沟通管理运营部负责确定与信息安全管理体系要求相关的内部和外部的沟通需求，包括：沟通对象沟通机制与形式沟通内容沟通频率沟通责任部门信息安全注意事项政府职能单位文件通知下发落实国家法律法规要求按需管理运营部信息及时沟通客户客户满意度调查改善服务，提升客户满意度客户对信息安全的要求信息安全相关情况及问题沟通信息安全事件上报定期发生时管理运营部安全质量部信息保密性员工公司例会/信息安全意识培训信息安全目标和方针信息安全制度要求信息安全职责信息安全意识调查不定期人力资源部个人信息保密性供方供应商评价项目合作邮件往来电话咨询供应商服务评价公司信息安全要求信息安全事件响应和处理定期采购部信息化中心客户信息不得泄露文件化信息总则公司的信息安全管理体系应包括：本标准要求的文件化信息；管理运营部确保信息安全管理体系的有效运行，需编制《文件控制程序》用以管理公司信息安全管理体系的相关文件。创建和更新创建和更新文件化信息时，管理运营部应确保适当的：标识和描述（例如标题、日期、作者或编号）；格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；对适宜性和充分性的评审和批准。文件化信息的控制信息安全管理体系要求及本标准所要求的文件化信息应予以控制，以确保：在需要的地点和时间，是可用和适宜的；得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。为控制文件化信息，适用时，科技规划部应开展以下活动：分发，访问，检索和使用；存储和保护，包括保持可读性；控制变更（例如版本控制）；保留和处置。8、运行运行规划和控制为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：形成《信息安全风险处理计划》，以确定适当的管理措施、职责及安全保密控制措施的优先级，应特别注意公司外包过程的确定和控制；对于系统集成服务项目，项目经理应在项目策划阶段识别所面临的信息安全风险，并在项目全过程中对信息安全风险进行监控和更新。为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；实施所选择的控制措施，以实现控制目标的要求；进行信息安全培训，提高全员信息安全意识和能力；对信息安全体系的运作进行管理，控制计划了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响；对信息安全所需资源进行管理；实施控制程序，对信息安全事故（或事件）进行迅速反应。总经理为本公司信息安全最高责任者。管理运营部制定全公司的组织机构和各部门的职责（包括信息安全职责），并形成文件。管理运营部成员负责完成信息安全管理体系运行时必须的任务；对信息安全管理体系的运行情况和必要的改善措施向总经理报告。各部门负责人作为本部门信息安全的主要责任人，信息安全内审员负责指导和监督本部门信息安全管理体系要求的运行与实施，并形成文件；全体员工都应按保密承诺的要求自觉履行信息安全义务。各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施（包括安全保密运行的各种控制程序）的要求实施信息安全控制措施。管理运营部应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制，同时应实施计划以实现6.2中确定的信息安全目标。管理运营部应保持文件化信息达到必要的程度，以确信过程按计划得到执行。管理运营部应控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻负面影响。各部门确定本部门业务过程中的外部提供的过程、产品和服务，并对这些过程进行必要的控制。信息安全风险评估公司按照组织《信息安全风险管理程序》的要求，每年定期或当重大变更提出或发生时，执行信息安全风险评估。每次风险评估的过程均需形成记录，并由管理运营部保留每次风险评估的记录，如：风险评估报告、风险处理计划等。信息安全风险处置为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：形成《风险处理计划》，以确定适当的管理措施、职责及安全保密控制措施的优先级；为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；实施所选择的控制措施，以实现控制目标的要求；进行信息安全培训，提高全员信息安全意识和能力；对信息安全体系的运作进行管理；对信息安全所需资源进行管理；管理运营部负责组织相关人员，定期检查风险处理计划的执行情况，并保留信息安全风险处置结果的文件化信息。9、绩效评价监视、测量、分析和评价本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息安全管理体系运行的情况，并报告结果以实现：及时发现信息安全体系的事故和隐患；及时了解信息处理系统遭受的各类攻击；使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；积累信息安全方面的经验。按照计划的时间间隔（不超过一年）进行ISMS内部审核，内部审核的具体要求，见本手册9.2要求。根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈，由最高责任者主持，每年对ISMS的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求，见本手册9.3要求。管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：组织机构发生重大变更；信息处理技术发生重大变更；公司业务目标及流程发生重大变更；发现信息资产面临重大威胁；外部环境，如法律法规或信息安全标准发生重大变更。保持上述活动和措施的记录。以上活动的详细程序规定于以下文件中：《监视与测量管理程序》《信息安全风险评估管理程序》《内部审核管理程序》内部审核内部信息安全审核主要指内部信息安全管理体系审核，其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息技术-安全技术-信息安全管理体系要求。组织审核实施审核审核报告审核组长应在完成全部审核后，按规定格式编写《内部管理体系审核报告》提交管理运营部，经其审阅后报管理者代表，《内部管理体系审核报告》作为管理评审的输入证据。纠正措施和跟踪验证被审核部门经理制定纠正措施，填写在《内审不合格项报告及纠正报告》中。纠正措施完成后后，应将纠正措施完成情况填写到《内审不合格项报告及纠正报告》相应栏内，然后将《内审不合格项报告及纠正报告》交到审核组长。审核组长视具体情况通知审核组复查，跟踪验证纠正措施实施情况，并将验证结果填写在《内审不合格项报告及纠正报告》中。审核记录审核组长应收集所有内部信息安全审核中发生的计划通知、内部审核检查表、记录、审核报告、总结等原始资料，整理后由管理运营部负责保管内审相关记录。管理评审总则总经理为确认信息安全管理体系的适宜性、充分性和有效性，每年对信息安全管理体系进行一次全面评审。该管理评审应包括对信息技术-安全技术-信息安全管理体系要求是否需改进或变更的评价，以及对信息安全方针和信息安全管理目标的评价。管理评审的结果应形成书面记录，并至少保存3年，按照《文件控制程序》的要求进行受控访问。管理评审的输入在管理评审时，管理运营部应组织相关部门提供以下资料，供信息安全管理最高责任者和各部门负责人进行评审：ISMS体系内、外部审核的结果；相关方的反馈（投诉、抱怨、建议）；可以用来改进ISMS业绩和有效性的新技术、产品或程序；信息安全目标达成情况，纠正和预防措施的实施情况；信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁；上次管理评审时决定事项的实施情况；可能影响信息安全管理体系变更的事项（标准、法律法规、相关方要求）；对信息安全管理体系改善的建议；有效性测量结果。管理评审的输出信息安全管理最高责任者对以下事项做出必要的指示：信息安全管理体系有效性的改善事项；信息安全方针适宜性的评价；必要时，对影响信息安全的控制流程进行变更，以应对包括以下变化的内外部事件对信息安全体系的影响：业务发展要求；信息安全要求；业务流程；法律法规要求；风险水平/可接受风险水平。对资源的需求。以上内容的详细规定见《管理评审控制程序》。10、改进持续改进公司的持续改进是信息安全管理体系得以持续保持其有效性的保证，公司在其信息管理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进信息安全管理体系的有效性。本公司开展以下活动，以确保ISMS的持续改进：实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；按照《内部审核管理程序》、《纠正措施控制程序》的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；对信息安全目标及分解进行适当的管理，确保改进达到预期的效果；不符合和纠正措施对纠正措施的实施和验证规定以下步骤：识别不符合；确定不符合的原因；评价确保不符合不再发生的措施要求；确定和实施所需的纠正措施；记录所采取措施的结果；评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。附件1组织结构图附录2职能分配表备注：★主责部门 ☆配合部门ISO/IEC27001:2022职能分配表部门管理层管理运营部安全质量部人力资源部采购部财务部信息化中心ISO27001标准要求4组织环境4.1理解组织及其环境▲△△△△△△4.2理解相关方的需求和期望▲△△△△△△4.3确定信息安全管理体系范围▲△△△△△△4.4信息安全管理体系▲△△△△△△5领导力5.1领导力和承诺▲△△△△△△5.2方针▲△△△△△△5.3组织的角色，职责和权限▲△△△△△△6规划6.1应对风险和机会的措施▲△△△△△△6.2信息安全目标和实现规划▲△△△△△△6.3变更的策划▲△△△△△△7支持△△△△△△△7.1资源▲△△△△△△7.2能力△△△▲△△△7.3意识△△△▲△△△7.4沟通△△△▲△△△7.5文件化信息△▲△△△△△8运行8.1运行规划和控制△△▲△△△△8.2信息安全风险评估△△▲△△△△8.3信息安全风险处置△△▲△△△△9绩效评价9.1监视、测量、分析和评价△△▲△△△△9.2内部审核△△▲△△△△9.3管理评审▲△△△△△△10改进10.1不符合及纠正措施△△▲△△△△10.2持续改进▲△△△△△△A.5组织控制A.5.1信息安全的策略集▲△△△△△△A.5.2信息安全角色和职责▲△△△△△△A.5.3职责分离A.5.4管理者职责▲△△△△△△A.5.5与职能机构的联系△▲△△△△△A.5.6与特定相关方的联系△▲△△△△△A.5.7威胁情报△△△△△△▲A.5.8项目管理中的信息安全△△△△△△▲A.5.9信息和其它相关资产清单△△△△△△▲A.5.10信息和其他相关资产的可接受使用△▲△△△△△A.5.11资产归还△▲△△△△△A.5.12信息的分级△△△△△△▲A.5.13信息的标记△△△△△△▲A.5.14信息传输△△△△△△▲A.5.15访问控制△△△△△△▲A.5.16身份管理△△△△△△▲A.5.17身份验证信息△△△△△△▲A.5.18访问权限△△△△△△▲A.5.19供应商关系中的信息安全△△△△▲△△A.5.20在供应商协议中的强调信息安全△△△△▲△△A.5.21ICT供应链的信息安全管理△△△△▲△△A.5.22供应商服务的监控、审查和变更管理△△△△▲△△A.5.23使用云服务的信息安全△△△△△△▲A.5.24信息安全事件管理策划和准备△△△△△△▲A.5.25信息安全事态的评估与决策△△△△△△▲A.5.26信息安全事件响应△△△△△△▲A.5.27从信息安全事件中学习△△△△△△▲A.5.28证据收集△△△△△△▲A.5.29中断期间的信息安全△△△△△△▲A.5.30ICT为业务连续性做好准备△△△△△△▲A.5.31法律、法规、监管和合同要求△▲△△△△△A.5.32知识产权△▲△△△△△A.5.33记录的保护△▲△△△△△A.5.34隐私和个人可识别信息保护△△△△△△▲A.5.35信息安全独立审核△△△△△△▲A.5.36信息安全策略、规程和标准合规△△△△△△▲A.5.37文件化的操作规程△▲△△△△△A.6人员控制A.6.1审查△△△▲△△△A.6.2任用条款及条件△△△▲△△△A.6.3信息安全意识、教育和培训△△△▲△△△A.6.4违规处理过程△△△▲△△△A.6.5任用终止或变更的责任△△△▲△△△A.6.6保密或不泄露协议△△△▲△△△A.6.7远程工作△△△△△△▲A.6.8报告信息安全事态△△△△△△▲A.7物理控制A.7.1物理安全边界△▲△△△△△A.7.2物理入口△▲△△△△△A.7.3办公室、房间和设施的安全△▲△△△△△A.7.4物理安全监控△▲△△△△△A.7.5外部和环境威胁的安全防护△△△△△△▲A.7.6在安全区域工作△△△△△△▲A.7.7清理桌面和屏幕△△△△△△▲A.7.8设备选址和保护△△△△△△▲A.7.9组织场所外的资产安全△△△△△△▲A.7.10存储介质△▲△△△△△A.7.11支持性设施△▲△△△△△A.7.12布缆安全△▲△△△△△A.7.13设备维护△▲△△△△△A.7.14设备的安全处置或再利用△▲△△△△△A.8技术控制A.8.1用户终端设备△△△△△△▲A.8.2特许访问权△△△△△△▲A.8.3信息访问限制△△△△△△▲A.8.4源代码的访问△△△△△△▲A.8.5安全的身份验证△△△△△△▲A.8.6容量管理△△△△△△▲A.8.7恶意软件防范△△△△△△▲A.8.8技术脆弱性管理△△△△△△▲A.8.9配置管理△△△△△△▲A.8.10信息删除△△△△△△▲A.8.11数据屏蔽△△△△△△▲A.8.12数据泄露防护△△△△△△▲A.8.13信息备份△△△△△△▲A.8.14信息处理设施的冗余△△△△△△▲A.8.15记录日志△△△△△△▲A.8.16监控活动△△△△△△▲A.8.17时钟同步△△△△△△▲A.8.18特权实用程序的使用△△△△△△▲A.8.19在操作系统上安装软件△△△△△△▲A.8.20网络安全△△△△△△▲A.8.21网络服务的安全△△△△△△▲A.8.22网络隔离△△△△△△▲A.8.23网页过滤△△△△△△▲A.8.24加密技术的使用△△△△△△▲A.8.25安全开发生命周期△△△△△△▲A.8.26应用程序安全要求△△△△△△▲A.8.27安全系统架构和工程原则△△△△△△▲A.8.28安全编码△△△△△△▲A.8.29开发和验收中的安全测试△△△△△△▲A.8.30外包开发△△△△△△▲A.8.31开发、测试和生产环境的分离△△△△△△▲A.8.32变更管理△△△△△△▲A.8.33测试信息△△△△△△▲A.8.34审计测试期间信息系统的保护△△△△△△▲附件3部门职责管理运营部：人力资源部：财务部：1、建立健全公司资产管理办法、各项财务及资金管理、审计工作，各项资质财务数据的编制、申报工作；2、叁与拟订财务计划，审核、分析、监督预算和财务计划的执行情况；3、负责编制公司月度、年度会计报表、年度会计决算及附注说明和利润分配核算工作。信息化中心：安全质量部：负责公司安全保卫、治安消防管理及公司工程质量管理。采购部：附件4信息安全职责说明书序号单位/部门/角色信息安全职责1总经理任命管理者代表，明确管代的职责和权限；确保在内部传达满足客户和法律法规的符合性；为信息安全管理体系配备必要的资源；主持管理评审；负责公司信息安全管理和企业管理的计划、组织、协调、监督、控制和考核工作；遵守公司信息安全的相关规定及本岗位相关的保密要求。2管理者代表负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；负责公司信息安全管理手册的审核，程序文件的批准，组织并领导公司内部审核工作；负责向总经理报告信息安全体系运行的业绩和任何改进的需求；负责信息安全管理体系有关事宜的对外联络。3体系管理员协助管代在信息安全事务上的决策；负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施；负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向管代汇报；协调各部门以及与外部组织间有关的信息安全工作，负责建立各部门、关联公司、外部安全管理主管机构间的定期联系和沟通机制；负责对ISMS体系进行内审，验证体系的有效性和适宜性，并对发现的问题提出内部审核建议；负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计；负责汇报审核结果，并督促审计整改工作的进行，落实纠正措施和预防措施；负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；负责调查信息安全事件，并维护安全事件的记录报告，定期总结安全事件记录报告；负责管理体系文件的控制；负责保存内部审核和管理评审的有关记录；4各部门的信息安全主管领导部门的信息安全主管领导由本部门经理担任；负责协助信息安全管理运营部建立本部门的信息安全管理制度和流程；部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安全；负责采取有效办法，落实和推动信息安全政策的实施；负责指导和要求本部门员工遵守信息安全政策；对违反安全政策的行为进行内部处罚；落实针对本部门的纠正措施和预防措施。5部门信息安全员负责本部门日常的具体信息安全工作，并参加信息安全管理工作小组所要求的各项活动；负责按照ISMS体系的要求，对本部门所拥有和管理的信息资产进行维护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作；负责根据ISMS安全政策要求，在本部门提高员工安全意识，落实责任，保护信息资产的安全，并确保已建立的安全控制措施持续有效；负责向信息安全主管领导及管理运营部经理报告信息安全事件和违反信息安全政策的行为，协助对违反安全政策的行为进行调查；协助本部门信息安全主管领导落实针对本部门的纠正措施（包括内部审核整改意见）和预防措施。6内部员工严格遵守所有与信息安全相关的国家法律、法规和政策，遵守公司所有的信息安全政策，并签字承诺遵守保密协议的有关规定；以安全负责的方式使用公司的信息资产；积极参加信息安全教育与培训，提供信息安全意识；有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员。编号：ISMS-M02-2023版本号： V1.0受控状态： 受控密级： 内部公开【组织名称】适用性声明（StatementofApplicability）文档信息文档编号：ISMS-M02-2023文档分类：内部公开–受控编写：审核：批准：初次发布日期：2022-12-1修改日期：2022-12-1发布日期：2022-12-1版本记录版本号版本日期修改审批人修改履历V1.0//创建文档适用性声明（StatementofApplicability）不适用说明：没有外包开发相关业务：ISO/IECFIDS27001:2022控制适用性控制描述相关文件A.5组织控制A.5.1信息安全的策略集是信息安全策略和特定主题的策略应由管理层定义、批准、发布、传达给相关人员和相关利益方，并由其确认，如果发生重大变化，应按计划的时间间隔进行审查。信息安全策略应满足以下要求：a)业务战略和要求；b)法律、法规和合同；c)当前和预计的信息安全威胁环境。信息安全策略应包含以下内容的声明：a)对信息安全的定义；b)信息安全目标或设置信息安全目标的框架；c)指导与信息安全有关的所有活动的原则；d)承诺满足有关信息安全的适用要求；e)承诺持续改进信息安全管理系统；f)将信息安全管理的职责分配给已定义的角色；g)处理偏差和异常的程序。《信息安全策略文件》A.5.2信息安全角色和职责是应根据组织需要定义和分配信息安全角色和职责。《岗位职责说明书》A.5.3职责分离是相相互冲突的职责和相互冲突的责任范围应分离。《岗位职责说明书》A.5.4管理者职责是管理层应要求所有人员按照组织制定的信息安全策略、特定主题的策略和程序应用信息安全。管理职责应包括确保人员：a)在被授权访问组织的信息和其他相关资产之前，适当地向他们介绍了他们的信息安全角色和职责；b)提供了指南，说明其在组织内的角色的信息安全期望；c)被授权执行组织的信息安全政策和特定主题的政策；d)达到与其在组织内的角色和职责相关的信息安全意识水平(见6.3)；e)符合雇佣、合同或协议的条款和条件，包括组织的信息安全政策和适当的工作方法；f)通过持续的专业教育，继续拥有适当的信息安全技能和资格；g)在可行的情况下，为举报违反信息安全政策、特定主题政策或信息安全程序的行为提供保密渠道。这可以允许匿名举报，或者规定确保只有需要处理此类举报的人知道举报人的身份；h)为实施组织的安全相关过程和控制提供足够的资源和项目规划时间。《信息安全管理手册》A.5.5与职能机构的联系是组织应指定何时和由谁联系相关部门(例如执法、监管机构、监督机构)，以及如何及时报告已识别的信息安全事件。还应通过与当局的联系来促进了解他们当前和未来的期望(例如适用的信息安全法规)。《职能机构联系单》A.5.6与特定相关方的联系是应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。特殊利益集团或论坛的成员资格应被视为一种手段：a)提高有关最佳实践的知识并及时了解相关安全信息；b)确保对信息安全环境的理解是最新的；c)接收有关攻击和漏洞的警报、建议和补丁的早期警告；d)获得专家信息安全建议；e)共享和交换有关新技术、产品、服务、威胁或漏洞的信息；f)在处理信息安全事件时提供合适的联络点。《特定相关方联系单》A.5.7威胁情报是应收集、分析与信息安全威胁有关的信息，以产生威胁情报。威胁情报活动应包括：a)建立威胁情报生成的目标；b)识别、审查和选择为威胁情报的生成提供所需信息的必要和适当的内部和外部信息源；c)从选定的来源收集信息，可以是内部的也可以是外部的；d)处理收集到的信息以准备分析(例如通过翻译、格式化或证实信息)；e)分析信息以了解其与组织的关系和意义；f)以一种可以理解的格式与相关个人进行交流和分享。应分析威胁情报并在以后使用：a)通过实施过程，将从威胁情报来源收集的信息纳入组织的信息安全风险管理过程；b)作为防火墙、入侵检测系统或反恶意软件解决方案等技术预防和检测控制的额外输入；c)作为信息安全测试过程和技术的输入。《威胁情报清单》A.5.8项目管理中的信息安全是信息安全应融入项目管理中。在使用中的项目管理应要求：a)信息安全风险在早期阶段进行了评估和处理，并在整个项目生命周期中，定期作为项目风险的一部分；b)信息安全要求[例如应用程序安全要求(8.26)、遵守知识产权的要求(5.32)等]在项目的早期阶段得到解决；c)在整个项目生命周期中考虑和处理与项目执行相关的信息安全风险，例如内部和外部通信方面的安全；d)评审信息安全风险处理的进展，评估和测试处理的有效性。《项目风险管理表》A.5.9信息和其它相关资产清单是应编制和维护信息和其他相关资产清单，清单中应包含所有者。《信息资产密级管理程序》A.5.10信息和其他相关资产的可接受使用是应确定、记录和实施信息和其他相关资产的可接受使用规则和处理程序《信息资产密级管理程序》A.5.11资产归还是员工和其他相关方在任用、合同或协议终止时，应归还其占用的所有组织资产。《人力资源管理程序》A.5.12信息的分级是信息应基于组织的信息安全需求，基于保密性、完整性、可用性和相关方要求进行分级《信息资产密级管理程序》A.5.13信息的标记是应按照组织采用的信息分级方案，制定并实现一组适当的信息标记规程。信息标记程序应涵盖所有格式的信息和其他相关资产。标签应反映5.12中建立的分类方案。标签应易于识别。考虑到信息的访问方式或资产的处理方式（取决于存储介质的类型），这些程序应就标签的粘贴位置和方式提供指导。这些程序可以定义：a)省略标记的情况（例如标记非机密信息以减少工作量）；b)如何标记通过电子或物理方式或任何其他格式发送或存储的信息；c)如何处理无法贴标签的情况（例如由于技术限制）。《信息资产密级管理程序》A.5.14信息传输是组织应建立并与所有相关方沟通特定主题的信息传输政策。保护传输信息的规则、程序和协议应反映所涉及信息的分类。在组织和第三方之间传输信