信息安全管理手册+程序文件全套（27001 2022版）

受控状态：受控信息安全程序文件汇编 2.5文件的变更 79 1.2.范围 2、术语定义 4.2作业说明 4.2.4验证结果 4.3.1输入 1.2.范围 2、职责 3.2.2管理评审实施1)管理评审准备 3.3.1输入 3.3.2输出 2适用范围 4职责 5.1.1法律识别 21 21 21 21 21 6记录 24 24 24 24 25 25 26 26 26 26 26 26 27 27 29 31 4.3总经理 5、任用前 6、任用中 34 346.5培训的形式 35 6.6培训记录 35 7.1终止职责 7.2资产归还 7.3撤销访问权 7.4后期管理 38 40 40 7.2资产赋值 40机密性赋值(x) 437.3威胁识别 7.3.1威胁分类 47 49 7.6风险分析 50 8、记录 54 4.2各部门 59 59 4.2.2权限变更 62 4.8密码设置 60 4.8.3密钥分配 4.8.4密码使用 2、适用范围 4.1系统管理员 6、管制重点 6.1密码管理策略 6.2密码的分配与传递要求 6.3密码的储存 6.3.3可行时，系统管理员在定期更换密码后保存历史加密密码，以防止密码的重 6.4密码的使用 8、相关记录 69 4.6设备安全 69 69 71 3.2数据提取和发放 73 4.3备份操作管理 4.1引进依赖 78 4.4定货 78 5.2计算机设备维护 5.3计算机调配与报废管理 5.4报废处理 5.5笔记本电脑安全管理 5.6计算机安全使用的要求 5.6.2使用计算机时应遵循信息安全策略要求执行 5.6.6不得使用计算机设备处理正常工作以外的事务 5.6.9严禁乱拉接电源，以防造成短路或失火 5.7网络安全使用的要求 5.8支持性设施与布览安全 5.9无人值守的用户设备保护 6、信息处理设施的日常点检 6.1计算机的日常点检 6.2网络设备的管理与维护 6.3.2审核日志应该包括：事件(成功或失败)发生的时间；事件的有关信息 6.3.5日志的配置最低要求 6.4维修服务的外包安全控制 6.4.3不接受厂商通过远程诊断端口进行远程维护访问授权 6.6网络扫描工具的安全使用管理 7、其它要求 2.术语、定义和缩略语 863.2业务价值 86 3.3.2责任人原则 3.3.4审批原则 3.3.8回退原则 3.3.9关闭原则 92 3.6.2输入 3.6.3输出 3.7流程描述 95 4.1.3设计开发人员的要求 4.1.6软件的测试与试运行 4.1.7更改控制 4.1.8源程序库(程序源代码)管理及技术文档管理 4.2.2容量策划 4.2.3变更策划 4.2.5变更不成功的恢复措施 4.2.6软件包的变更 2、适用范围 5.2控制指标 6、相关记录 4.1信息安全事件定义与分类 4.1.2信息安全事件分类规范 4.2.1故障、事故报告要求 4.2.2故障、事故的响应 4.2.3事态、事件报告方式 5.相关/支持性文件 2、适用范围 5.1法律符合性测量 5.1.1法律识别 5.1.2知识产权 5.1.3保护组织的记录 5.1.4数据保护和个人信息的隐私 5.1.5安全管理信息处理设施 5.1.6密码合法使用 5.2策略、标准和技术的符合性测量 5.2.1安全策略、标准符合性 5.2.2技术符合性测量 5.3.1信息系统审计控制措施 5.3.2审计工具的保护 5.4纠正和预防 3职责 3.1管理运营部 4.1管理对象 4.2.1相关部门应协调管理运营部识别外部相关方对信息资产和信息处理设施造 5.记录 3职责 4程序 6记录 受控状态：受控文档信息文档编号：ISMS-M01-2023编写：批准：初次发布日期版本记录//创建文档0.1信息安全管理手册发布令 0.2管理者代表委任书 282、规范性引用文件 283、定义和术语 283.1信息安全定义 4、组织环境 294.1理解组织及其环境 4.2理解相关方的需求和期望 4.3确定信息安全管理体系范围 4.4信息安全管理体系 5.1领导和承诺 5.3组织的角色，责任和权限 6.1应对风险和机会的措施 6.2信息安全目标和实现规划 6.3变更管理 7.4沟通 7.5文件化信息 8.1运行规划和控制 8.2信息安全风险评估 9.1监视、测量、分析和评价 9.2内部审核 9.3管理评审 39 4010.1不符合和纠正措施 4010.2持续改进 40 41 附件4信息安全职责说明书 【组织名称】2022年12月01日【组织名称】2022年12月01日1、范围b)运营地址：c)体系范围：2、规范性引用文件3.2术语3.3缩写1,ISMS;Informationsecurity,cybers管理层确定与公司意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内识别原因位发布周期关注政府网站服务机构符合体系标准和服务资质周期与认证机构联系客户业务往来/合同关系周期合同合同关系息安全内容周期合同管理层决策公司的信息安全管理工作公司信息安全策略不定期定期不定期汇报、管理评审公司员工公司信息安全工作执行层各职能部门实际工作中不定期公司会议本公司ISMS的范围包括注册地址：b)业务范围：5.2方针b)包括信息安全目标(见6.2),或为建立信息安全目标提供框架；见附录3/4。6.1.2信息安全风险评估6.1.3信息安全风险处置b)接受某些风险(不可能将所有风险降低为零);c)回避某些风险(如物理隔离):d)转移某些风险(6.2信息安全目标和实现规划b)顾客保密性投诉的次数每年不超过1起；7.4沟通沟通机制知下发按需管理运营部客户意度调查改善服务，提升客户满意度客发生时管理运营部安全质量部员工公司例会/全意识培训制度要求信息安全职责不定期人力资源部项目合作邮件往来电话咨询供应商服务评价公司信息安定期信息化中心7.5文件化信息a)标识和描述(例如标题、日期、作者或编号);b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);7.5.3文件化信息的控制f控制变更(例如版本控制);g)实施控制程序，对信息安全按照计划的时间间隔(不超过一年)进行ISMS内部审核，内部审核的具体要求，见本手册9.2要《内部审核管理程序》9.2.1组织审核9.2.2实施审核9.2.3审核报告9.2.4纠正措施和跟踪验证9.3.1总则b)相关方的反馈(投诉、抱怨、建议):9.3.3管理评审的输出c)吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的d)对信息安全目标及分解进行适当的管理，确保改进达到预期的效果：不符合和纠正措施g)评价确保不符合不再发生的h)确定和实施所需的j)评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。附件1组织结构图智慧城市事业部管理运营部安全质量部智慧城市事业部管理运营部安全质量部采购保障部财务资产部附录2职能分配表部门管理层管理运营部安全质量部采购部财务部信息化中心IS027001标准要求4组织环境理解组织及其环境▲△△△△△△理解相关方的需求和期望▲△△△△△△确定信息安全管理体系范围▲△△△△△△信息安全管理体系▲△△△△△△5领导力▲△△△△△△▲△△△△△△组织的角色，职责和权限▲△△△△△△6规划▲△△△△△△信息安全目标和实现规划▲△△△△△△变更的策划▲△△△△△△7△△△△△△△资源▲△△△△△△能力△△△▲△△△意识△△△▲△△△△△△▲△△△文件化信息A▲△△△△△8运行运行规划和控制△△▲△△△△△△▲△△△△△△▲△△△△9绩效评价A△▲△△△△内部审核△△▲△△△△管理评审▲△△△△△改进不符合及纠正措施△△▲△△△△持续改进▲△△△△△△组织控制▲△△△△△△信息安全角色和职责▲△△△△△△职责分离管理者职责▲△△△△△△与职能机构的联系△▲△△△△△与特定相关方的联系△▲△△△△△△△△△△△▲项目管理中的信息安全△△△△△△▲△△△△△△▲信息和其他相关资产的可接受使用△▲△△△△△资产归还△▲△△△△△信息的分级△△△△△△▲△△△△△△△△△△△△访问控制△△△△△△身份管理△△△△△△身份验证信息△△△△△△△△△△△△▲△△△△▲△△△△△△▲△△ICT供应链的信息安全管理△△△△▲△△供应商服务的监控、审查和变更管理△△△△▲△△使用云服务的信息安全△△△△△△△△△△△△△△△△△△△△△△△△从信息安全事件中学习△△△△△△△△△△△△中断期间的信息安全△△△△△△ICT为业务连续性做好准备△△△△△△法律、法规、监管和合同要求△▲△△△△△知识产权△▲△△△△△记录的保护△▲△△△△△隐私和个人可识别信息保护△△△△△△▲信息安全独立审核△△△△△△▲△△△△△△▲△▲△△△△△人员控制审查△△△▲△△△△△△▲△△△信息安全意识、教育和培训△△△▲△△△△△△▲△△△△△△▲△△△保密或不泄露协议△△△▲△△△远程工作△△△△△△▲△△△△△△▲物理控制△▲△△△△△物理入口▲△△△△△办公室、房间和设施的安全△▲△△△△△5▲△△△△△外部和环境威胁的安全防护△△△△△△▲在安全区域工作△△△△△△△△△△△△▲设备选址和保护△△△△△△组织场所外的资产安全△△△△△△▲存储介质△▲△△△△△支持性设施△△△△△△△▲△△△△△设备维护△▲△△△△△设备的安全处置或再利用△▲△△△△△技术控制用户终端设备△△△△△△△△△△△△▲信息访问限制△△△△△△▲源代码的访问△△△△△△▲安全的身份验证△A△△△△△△△△△△恶意软件防范△△△△△△△△△△△△△△△△△△信息删除△△△△△△数据屏蔽△△△△△△数据泄露防护△△△△△△△△△△△△△△△△△△记录日志△△△△△△监控活动△△△△△△时钟同步△△△△△△▲特权实用程序的使用△△△△△△△△△△△△网络安全△△△△△△网络服务的安全△△△△△△网络隔离△△△△△△网页过滤△△△△△△加密技术的使用△A△△△△安全开发生命周期△△△△△△△△△△△△安全系统架构和工程原则△△△△△△安全编码△△△△△△△△△△△△外包开发△△△△△△开发、测试和生产环境的分离△△△△△△△△△△△△测试信息△△△△△△审计测试期间信息系统的保护△△△△△△附件3部门职责附件4信息安全职责说明书序号角色信息安全职责1总经理任命管理者代表，明确管代的职责和权限；确保在内部传达满足客户和法律法规的符合性；主持管理评审；负责公司信息安全管理和企业管理的计划、组织、协调、监督、控制和考核工遵守公司信息安全的相关规定及本岗位相关2管理者代表负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运负责公司信息安全管理手册的审核，程序文件的批准，组织并领导公司内部审核负责向总经理报告信息安全体系运行的业绩和任3体系管理员负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施；负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并协调各部门以及与外部组织间有关的信息安全工作，负责建立各部门、关联公负责对ISMS体系进行内审，验证体系的有效性和适宜性，并对发现的问题提出内部审核建议；负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项负责汇报审核结果，并督促审计整改工作的进行，落实纠正措施和预防措施；负责制定违反安全政策行为的标准，并对违反安全政策的人员和事负责调查信息安全事件，并维护安全事件的记录报告，定期总结安全事件记录报负责保存内部审核和管理评审的有关记录；4各部门的信息安全主管领导部门的信息安全主管领导由本部门经理担任；负责协助信息安全管理运营部建立本部门的信息安全管理制度和流程；部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安全；负责指导和要求本部门员工遵守信息安全政策；5部门信息安全员负责按照ISMS体系的要求，对本部门所拥有和管理的信息资产进行维护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作；负责根据ISMS安全政策要求，在本部门提高员工安全意识，落实责任，保护信息资产的安全，并确保已建立的安全控制措施持续有效；负责向信息安全主管领导及管理运营部经理报告信息安全事件和违反信息安全协助本部门信息安全主管领导落实针对本部门的纠6内部员工严格遵守所有与信息安全相关的国家法律、法规和政策以安全负责的方式使用公司的信息资产；有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及受控状态：受控信息安全程序文件汇编文档编号：ISMS-P00-2023审核：批准：/创建文档 1.1编写目的 742、术语、定义和缩略语 2.2管理手册 2.3程序文件 2.4作业指导文件 2.5文件的变更 753.1文件编写人员的职责 3.2文件审核批准人员的职责 3.3文件修改人的职责 4、体系文件阶层及编码 4.1文件阶层 765.1文件要素 765.2文件控制 5.2.1文件编写 775.2.2文件审批775.2.3文件的监督、核查 775.2.4文件保存与发放 775.2.5文件版本控制和修订 5.2.6文件对外提供 5.2.7文件的作废处置 6、相关表单 78 1、文档介绍 1.2适用范围 2、术语、定义和缩略语 4.1记录的填写规定 4.2记录的归档管理 4.3记录的储存与维护 4.4记录的报废管理 4.5记录表格的修订 4.5.1各部门的记录表格在使用前均须经过主管级以上批准 4.7当有追溯要求时，各部门的记录应及时提供查阅 5、相关文件 1、文档介绍 2、术语定义 4.1审核频率 4.2作业说明 284.2.1内部审核的策划内审计划的制定 4.2.2实施内部审核 4.2.3执行纠正措施 4.2.4验证结果 4.3流程输入及输出 4.3.1输入 1、文档介绍 3.1审核频率 3.2管理评审程序 3.2.1管理评审策划管理评审计划制定 3.2.2管理评审实施1)管理评审准备 3.2.3管理评审后续问题处理编制管理评审报告 3.3流程输入及输出 4.管理评审相关表单 2适用范围 3术语和定义 4.1.2负责识别与公司有关的法律法规，并检验是否满足 4.2管理者代表 4.3管理运营部 4.4采购保障部 5工作程序 5.1法律符合性测量 5.1.1法律识别 205.1.2知识产权 5.1.3保护组织的记录 5.1.4数据保护和个人信息的隐私 215.1.5安全管理信息处理设施 215.1.6密码合法使用 5.2策略、标准和技术的符合性测量 5.2.1安全策略、标准符合性 225.3信息系统审计 225.3.1信息系统审计控制措施 225.3.2审计工具的保护 225.4审计过程和产品 5.4纠正和预防 236记录 23 241、文档介绍 241.1编写目的 241.2适用范围 24 2、角色和职责 24 243.1持续改进的策划 243.2纠正措施 3.3预防措施 253.4其他措施 263.5流程输入及输出 26 26 261、文档介绍 262、术语和定义 263、引用文件 26 27 27 28 8、物理介质的运送 9、相关记录 31 4.1人力资源部 4.2其他部门 5.1安全角色与职责 1周内完成 5.2人员选拔 5.3任用条款和条件 336.1体系教育与培训 6.2培训计划的制定与审批 6.2.3教育培训计划经总经理批准后实施 6.4培训的对象及内容 6.5培训的形式 6.5.1培训：由公司内、外部有专长的人员就某一专题进行讲授 6.6培训记录 6.7纪律处理 7、任用终止或变更 7.3撤销访问权 3、参考文件 38 38 40 7.1资产识别 407.2资产赋值 40机密性赋值(x) 40完整性赋值(y) 41可用性赋值(z) 资产重要性等级(A) 437.3威胁识别 447.3.1威胁分类 447.3.2威胁赋值(T) 477.4脆弱性识别 7.4.1脆弱性识别内容 7.4.2脆弱性赋值(V) 497.5已有安全措施的确认 7.6风险分析 7.6.3风险计算(R) 7.6.4风险结果判定 517.7风险处置 7.7.1风险处置计划 7.7.2风险处置的可选措施 7.7.3风险处理工作的优先级排序 7.8残余风险评估 2、规范性引用文件 4、职责和权限 4.2各部门 5、活动描述 5.1密级的分类 6.1管理职责 6.3秘密、受控文件的表示方法 6.4接收部门和使用目的、范围的指定 6.5秘密文件的发放管理 6.6企业秘密的使用 7、企业秘密、受控指令的解除或变更 7.1解除或变更的条件 577.2解除或变更的方法 9、事故的处理 4.2用户访问管理 4.2.1权限申请 a)权限申请人员；b)访问权限的级别和范围；c)申请理由；d)有效期 4.2.3用户访问权的维护和评审 4.2.4连接的控制 4.2.5会话与联机时间的控制 4.2.6网上信息公布管理 4.2.7系统实用工具的使用 4.3.1分配给用户一个安全临时口令，并通过安全渠道传递给用户，并要求 4.3.2口令的选择与使用要求 4.4特殊权限管理 4.5访问记录控制 4.6远程工作策略 4.7.3当不再需要远程工作时，应及时取消该用户的访问权 4.8密码设置 4.8.2密码存储 4.8.3密钥分配 4.8.4密码使用 4.8.5密码变更、废除、销毁及恢复 2、适用范围 63 63 4、职责 5、流程图无 6、管制重点 636.1密码管理策略 63 6.2密码的分配与传递要求 6.3密码的储存 6.3.3可行时，系统管理员在定期更换密码后保存历史加密密码，以防止密码的重 6.4密码的使用 6.5密码变更、销毁 4.1外来人员分类 1)本公司职工上下班必须认真准时打卡，不得有代打卡行为发生 1)出口玻璃门锁早晨打开，晚上下班后上锁 7)管理运营部负责对员工进行安全培训，提高安全意识 4.5访客管理 5)重要被邀访客的登记，可由公司邀请部门直接填写 4.6设备安全 4.7消防管理 1)与物业签订合同时，要记入相关消防安全项目，明确双方责任 3)安全通道禁止摆放任何物品，并设置安全疏散标志 3、数据保存管理 3.2数据提取和发放 713.3应对数据传输进行控制 3.3.6通信线路传输数据的保密策略 723.4数据操作日志管理 73 4.1关键数据的认定与存档 4.2关键数据介质的保存 4.3.1对服务器要做好相应的备份 5、备份介质存放和管理 7、相关记录 1、适用与目的 2、信息处理设施的分类 77 784.1引进依赖 4.2进行技术选型 4.3编写购入规格书 4.4定货 784.5开箱检查，安装、调试，验收 785信息处理设施的日常维护管理 795.2计算机设备维护 795.3计算机调配与报废管理 805.4报废处理 5.6计算机安全使用的要求 5.6.2使用计算机时应遵循信息安全策略要求执行 5.6.6不得使用计算机设备处理正常工作以外的事务 5.6.9严禁乱拉接电源，以防造成短路或失火 5.7网络安全使用的要求 815.8支持性设施与布览安全 81 5.9无人值守的用户设备保护 6、信息处理设施的日常点检 6.1计算机的日常点检 6.2网络设备的管理与维护 6.3点检策略 6.3.2审核日志应该包括：事件(成功或失败)发生的 6.3.5日志的配置最低要求 6.4维修服务的外包安全控制 846.4.3不接受厂商通过远程诊断端口进行远程维护访问授权 6.5资料的保存 6.6网络扫描工具的安全使用管理 6.7信息处理设备可用性管理 847、其它要求 1.1编写目的 851.2适用范围 852.术语、定义和缩略语 85 86 863.3流程原则 3.3.1变更类型 3.3.2责任人原则 3.3.3风险判定原则 913.3.4审批原则 913.3.5目标解决时间原则 3.3.6变更窗口原则 3.3.8回退原则 3.3.9关闭原则 3.4流程相关定义 3.4.2变更状态代码 3.4.3变更分类 3.4.4变更关闭代码 3.5角色及职责 3.6流程输入及输出 3.6.1流程触发条件 3.6.2输入 3.6.4流程关闭条件 变更已经实施完成并经过评审和确认 3.7流程描述 3.7.1作业流程说明 3.8流程衡量指标及报表 3.9相关文件 4.1应用软件设计开发的控制 4.1.1设计开发任务提出 4.1.2设计开发的策划 4.1.3设计开发人员的要求 4.1.4设计开发方案的技术评审 4.1.5设计开发的环境要求 4.1.6软件的测试与试运行 4.1.7更改控制 4.1.8源程序库(程序源代码)管理及技术文档管理 4.2系统的维护管理 4.2.2容量策划 4.2.3变更策划 4.2.4变更的实施 4.2.5变更不成功的恢复措施 4.2.6软件包的变更 2、适用范围 5.1管理策略 6、相关记录 1.适用 3.职责 4.程序 5.相关/支持性文件 3.1角色及职责 3.2连续性影响分析 3.6业务持续性计划的测试与评审 4相关文件 2、适用范围 3、术语和定义 5、工作程序 5.1法律符合性测量 5.1.1法律识别 5.1.2知识产权 5.1.4数据保护和个人信息的隐私 5.1.5安全管理信息处理设施 5.1.6密码合法使用 5.2策略、标准和技术的符合性测量 5.2.1安全策略、标准符合性 5.2.2技术符合性测量 5.3信息系统审计 5.3.1信息系统审计控制措施 5.3.2审计工具的保护 5.4纠正和预防 3.2各相关部门 4.1管理对象 4.2相关方的信息安全管理 4.2.1相关部门应协调管理运营部识别外部相关方对信息资产和信息处理设施造 4.3外来人员管理 4.3.4外来人员的逻辑访问按《访问控制管理程序》进行 4.4.1第三方服务能力的评定 3.1管理运营部 3.2各相关部门 4.1管理对象 4.2相关方信息安全管理 4.3对外来人员的管理 4.4对承包商和供应商的管理 5相关文件 ISMS-P01文件控制程序1、文档介绍1.1编写目的1.2适用范围本文件控制程序适用于公司的IS0/IEC27001:20一级文件：管理体系的纲领性文件和指南(《管理手册》):二级文件：管理三级文件：管理体系的作业指导性文件(岗位规章、操作制度、工作2.2管理手册2.3程序文件2.5文件的变更3.1文件编写人员的职责3.2文件审核批准人员的职责3.3文件修改人的职责4.1文件阶层第一段(ZHKJ,4位字母)代表公司；第二段(ISMS,4位字母)管理体系；第四段(NNNN,4位数字)代表年号。5.2.1文件编写5.2.2文件审批文件阶层文件类型(示例)审批权限1信息安全管理手册管理运营部/管理者代表2管理程序、流程手册管理运营部/各流程负责人3各流程负责人4各流程负责人5.2.3文件的监督、核查公司管理层及业务流程涉及的相关所有部门人员。体系文件库访问和读写权限设置如下：体系文件写权限：管理运营部。发布范围中的其他人员只具备读权限。5.2.5文件版本控制和修订5.2.6文件对外提供5.2.7文件的作废处置5.2.8外来文件的管理6、相关表单ISMS-P02记录控制程序1.1编写目的1.2适用范围3.1管理运营部是记录控制的归口管理部门，负责程序记录的管理和监督检查。3.3各部门助理人员：保管、维护本部门有关记录。4.1记录的填写规定4.1.1依据表格的格式及实际运行状况4.2记录的归档管理4.3记录的储存与维护4.4记录的报废管理4.5记录表格的修订4.6记录表格的标识4.6.2已报废的记录若需要更改作其它用(如用于复印),则应在已报废表格4.7当有追溯要求时，各部门的记录应及时提供查阅。ISMS-P03内部审核管理程序本文件编写的目的是规定了公司进行内部审核的工作内容和方法。以评价公司4.1审核频率4.2作业说明●审核组提前5个工作日向受审核部门发送内部审核通知；须在接到通知后的2个工作日内反馈给内审组，另行协商《内部审核计划》; 组组名称7IVLIMS积应立1)审核组长组织首次内审会议；2)内审员进行内部审核(内部审核方法分为文件审核与现场审核)并根据4)不符合项所属部门在3日内补充《内审不符合项报告及纠正报告》并提内审组编写《内部审核报告》,报告内容包括审核部门、时间、地点、对本次审核的结果不符合项所属部门根据《内审不符合项报告及纠正报告》采取纠正措施，并在规定期限内确认；【组组名称1zIuyIIsxS2积立4.3流程输入及输出《内审检查表》管理体系文件及修订记录(包括管理手册、程序文件、作业文件、记录)ISMS-P04管理评审管理程序3.1审核频率3.2.1管理评审策划管理评审计划制定3.2.2管理评审实施1)管理评审准备a)以往管理评审的措施的状态；b)与信息安全管理体系相关的外部和内部问题的变更；c)信息安全绩效的反馈，包括下列方面的趋势：不符合和纠正措施；监视和测量结果；审核结果；信息安全目标的实现；d)相关方的反馈；e)风险评估的结果和风险处置计划的状态；f)持续改进的机会。a)体系有效性的改进；管理者代表汇报体系建设及运行状态，包括上次内部审核结果、预防和纠正措施的实施情况报告、以往管理评审的跟踪措施实施情况b)风险评估和风险处置计划的更新；c)修改影响信息安全的程序文件，必要时，对可能影响ISMS的内外事件发生的变更进行对应；这些变更包括：业务要求；安全要求；影响现有业务要求的3)管理评审会议应维护会议记3.2.3管理评审后续问题处理编制管理评审报告3.3流程输入及输出3.3.1输入ISMS-P05监视和测量管理程序1目的2适用范围4职责4.1管理运营部4.2管理者代表4.3管理运营部4.4采购保障部4.4.2负责收集的顾客信息安全满意程度信息，并进行汇总、分析和传递。5工作程序5.1法律符合性测量5.1.1法律识别动5)一般情况下每年末进行相关的法律合规性评价工作。5.1.2知识产权·对有知识产权的产品要保存好能表明其产权的证据和证明，在资产管理时5.1.6密码合法使用2)安全目标符合性测量5.2.2技术符合性测量5.3信息系统审计5.3.1信息系统审计控制措施1)审计的范围，审计人员独立于被审计的活动。审计过程要对软件和数据限于只读访问，对非只读的访问要求限于对系统文件的单独拷贝，并且在审计结束后要求擦除这些拷贝，或给予适当的保护。2)审计所需要的资源、特定要求。3)要监视所有的访问日志。5.3.2审计工具的保护5.4审计过程和产品质量管理人员定期(最长周期：4周)或不定期(有严重不符合项时),将5.4纠正和预防6记录ISMS-P06纠正与预防措施管理程序1、文档介绍1.1编写目的1.2适用范围1.3引用文件ISO/IEC27001:2022·管理运营部负责组织相关部门对体系出现的不合格采取纠正措施并验证实施的结果。·管理运营部负责对持续改进的策划，对出现存在的或潜在不合格，采取相3.1持续改进的策划a.公司内外安f.风险评估报告：g.其他有价值的信息等。3.2纠正措施1)对于存在的不合格应采取纠正措施，以消除不合格原因，防止不合格再发2)不合格识别、原因分析、措施制订及实施验证：·对内审及管理评审发现的不合格，由责任部门根据《内审不符合项报告》的不合格事实分析原因，制订纠正措施并实施，管理运营部组织内审员跟踪验证实·对管理过程出现的重大问题或不合格由管代组织责任部门填写《纠正和预防措施处理单》,分析原因、制订措施、实施改进并跟踪实施结果。3.3预防措施·管理运营部及各部门要从以下活动和记录中寻找潜在的不合格：信息安全及时分析如下记录：顾客满意程度及市场分析、服务报告·管理运营部要从以下活动和记录中寻找潜在的不合格，以往纠正和预防措3)评价预防措施的需求4)预防措施的制定实施验证由责任部门制定预防措施并按计划组织实施，管理运营部对预防3.4其他措施3.5流程输入及输出ISMS-P07信息交流管理程序所有IS0/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》和《信息技术-安全技术-信息安全管理实施细则》规定的术语均适用于本程序。1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于2)《信息安全、网络安全和隐私保护信息安全管理体系要求》见的沟通渠道的有效性；向公司内部人员传达与公司信息安全有关的法规资料及政外部所反溃的信息安全方面的意见、建议进行审查，不断的改进、完善信息安全管a)负责项目管理过程中的信息等方面的信息沟通；并及时向主控部门汇报。b)负责产品信息、顾客的意见、建议及合理化提议的沟通。1)管理运营部组织各个部门通过公告、内部网络、宣传物品、活动、通告、2)员工对公司信息安全管理体系有任6)公司与长期访问供应商或者顾客签订《第三方保密协议》,明确规定信息1)信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录2)公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、7)在使用电子通信设施进行信息交流13防泄密包装(能够显示出任何企图访问的尝试);··....0.5总经理经历，是否存在民事纠纷等违法行为，个人和职业推荐信，身份，学历和/或职8独立的身份检查(身份证、护照或其它文件);9检查是否存在民事纠纷等违法行为。网络管理员或其他特别重要和特殊的职位，应进行深入和细致的背景谓查，填写b)人力资源部及各部门的安全管理员可在不同的层面上对员工进行能a)各部门向人力资源部提出培训需求申请；新入职员工培训由人力资源b)人力资源部进行培训需求调查，根据调查结果，根据公司战略发展需c)教育培训计划经总经理批准后实施。d)培训计划的内容包括培训的目的，培训的对象、内容、需求及要求，e)培训结束后，各部门对接受培训人员进行培训考核，填写培训考核记录。f)培训考核后，人力资源部进行培训质量评估，参加培训人员每个人填g)人力资源部做培训总结，提出存在问题，由责任部门提出改进方案。5.7培训的对象及内容5.8培训的形式a)培训：由公司内、外部有专长的人员就某一专题进行讲授b)外部培训：由公司聘请外部专业人员到公司培训或公司员工报名去外部参加培训。5.9培训记录a)每次培训各相关部门应记录培训人员、时间、地点、教师、内容等，培训后将有关记录、试卷或考核记录等送交管理运营部，由人力资源部将相关信息a)人力资源部应清晰规定和分配任用终止或变更的责任。终止职责应包括必要的安全需求和法律职责，必要时还需包括保密性协议规定的职责，以及在员b)规定职责和义务在任用终止后仍然有效的内容，应当在任用前就包含7.7资产归还撤销访问权7.9后期管理a)对于担任重要岗位的员工辞职、解聘，公司应在一定范围内发布相关解聘信息。b)有关部门应及时分析员工离职原因、认清员工离职前兆，避免核心人员流失。ISMS-P09信息安全风险评估管理程序7.6IS0/IEC27001:2022《信息安全管理体系要求》7.7IS0/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》8.8事件event8.10残余风险residualrisk8.11安全需求securityneed8.12措施countermeasure8.13风险评估riskassessment8.15风险管理riskmanagement9.4管理者代表负责牵头成立风险评估小组，风险评估小组成员来自于各部门内审员。风险评估小组每年至少一次，或当企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，全面评估信息系统的资产、威胁、脆弱9.5管理者代表：基于风险评估的结果，考察信息安全措施的成本，选择合9.6最高管理者：基于风险的决策，判断残余风险是否处在可接受的水平之g)增加了大量新的信息资产；h)业务环境7.1资产识别a)机密性赋值(x)级别价值分级描述1很低可对社会公开的信息公用的信息处理设备和系统资源等【组纪夕称1ZHKLISMS.2积序立2低组织/部门内公开的信息，向外扩散有可能对组织的利益造成轻微损害中等组织的一般性秘密其泄露会使组织的安全和利益受到损害4高包含组织的重要秘密其泄露会使组织的安全和利益遭受严重损害5很高包含组织最重要的秘密有着决定性的影响，如果泄露会造成灾难性的损害b)分级描述1完整性价值非常低未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略2低完整性价值较低未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补3完整性价值中等未经授权的修改或破坏会对组织造成影响，对业务冲击明显未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补【组如夕称1ZHKL.ISMS.2程房文4高完整性价值较高5很高完整性价值非常关键未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补可用性赋值(z)分级描述1可用性价值可以忽略合法使用者对信息及信息系统的可用度在正常工2低可用性价值较低合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60分钟3可用性价值中等合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30分钟4高可用性价值较高合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10分钟5很高可用性价值非常高合法使用者对信息及信息系统的可用度达到年资产重要性等级(A)度资产价值(自己可以定义)1不重要值<=3(绿)不重要，其安全属性破坏后对组织造成导很小的2不太重要3<值<=6(浅绿)的损失3一般重要6<值<=9(黄)【组久称1ZHKL.ISMS.2程房文4重要9<值<=12(桔黄)的损失5很重要12<值<=15(红)严重的损失来源描述环境因素害，意外事故或软件、硬件、数据、通讯线路方面的故障。人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶外部人员利用信息系统的脆弱性，对网络或系统的【组知久称17HKLISMS.2程房文非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。针对上表的威胁来源，根据其表现形式将威胁分为以下几类，威胁识描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故物理环境影响断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪【组知久称17HKI.ISMS.2程序文火灾、地震等环境问题或自然灾无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成的影响。维护错误、操作失误管理不到位恶意代码和病毒对信息系统构成破坏的程序代恶意代码、木马后门、网络越权或滥用未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息网络攻击测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏通过物理的接触造成对软件、物理接触、物理破坏、盗窃泄密信息泄露给不应了解的他人。内部信息泄露、外部信息泄露【组如久称17HKI.ICMS.2程序文非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用。篡改网络配置信息、算改系统配置信息、算改安全配置信息、篡改用户身份信息或业务数据信息抵赖不承认收到的信息和所作的操作和交易。原发抵赖、接收抵赖、第三方抵赖7.3.2威胁赋值(T)等级标识定义5很高出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高(或≥1次/月):或在大多数情况下很有可3中出现的频率中等(或>1次/半年);或在某种情况下可能会发2低出现的频率较小；或一般不太可能发生；或没有被证实发生1很【阳如久称17HKI.ICMS.2程序文低7.4脆弱性识别7.4.1脆弱性识别内容类型识别对象识别内容网络结构从网络结构设计、边界保护、外部访问控制策系统软件(含操作系统及系统服务)源共享、事件审计、访问控制、新系统配置(初始【组如夕称17HKI.ISMS.2程序文弱性数据库软件行识别。从协议安全、交易完整性、数据完整性等方面进应用系统管理脆弱性从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识组织管理从安全策略、组织安全、资产分类与控制、人员等级标识定义5很高4高3中如果被威胁利用，将对资产造成一般损害。2低1很低如果被威胁利用，将对资产造成的损害可以忽7.5已有安全措施的确认7.6.1评估安全事件可能造成的损失和影响(L)安全事件可能造成的损失L=A+V安全事件损失值安全事件损失等级很低低中高很高7.6.2评估安全事件发生的可能性(P)安全事件发生的可能性P=T+V安全事件发生可能性值发生可能性等级很低低中高很高7.6.3风险计算(R)风险等级123低中高7.6.4风险结果判定11风险等级为“高”的风险是不可接受的风险，需要采取安全措施以降低、控制风险。7.7风险处置7.7.1风险处置计划7.7.2风险处置的可选措施7.7.3风险处理工作的优先级排序7.8残余风险评估8、记录10IS0/IECFDIS27001:2022《信息安全、网络安全和隐私保护信息安全管理体系要求》11IS0/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》管理运营部各部门11“秘密”:《中华人民共和国保守国家秘密法》中指定的秘密事项；或不可对外公开、若泄露或被篡改会对本公司的日常经营造成严重损害，或者由于业务上的需要仅限有关人员知道的事项；介质包括但不限于：纸类、电磁类及其它媒体 (纸张、软盘、硬盘、光盘、磁带、胶片)。12“敏感”:不可对外公开、若泄露或被篡改会对本公司的日常经营造成损害，或者由于业务上的需要仅限有关人员知道的事项；或是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以13“公开”:秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及6.1管理职责6.2企业秘密的指令6.2.1“秘密”按《中华人民共和国保守国家秘密法》的有关规定执行。企业秘密事项由经营管理机构指定，企业秘密及敏感信息事项由产生该事项的部门经理级以上(含副经理)人员指定。指定秘密事项时，应参考附录1的示例，并充分考虑该事项的性质及重要程度等因素。6.2.2员工对自己编写的信息需判断是否为企业秘密及管理分类(秘密、受6.2.3编写的文件一旦被指定为秘密、受控文件，则负责人应按本规定的要6.3秘密、受控文件的表示方法2)由管理运营部负责发行管理的技术关联规程/集中管理规格书等，除特别6.4接收部门和使用目的、范围的指定6.4.1发送秘密文件时，制订者应根据文件内容指定接收部门和接收人。6.4.2为了避免接收人因不清楚使用范围而泄密，可在附件中指明使用目的和使用范围。若从文件标题和接收部门一览中能使接收者明确使用目的和范围，可6.5秘密文件的发放管理6.5.1各部门在发放秘密文件前，应作好发放台帐登记。该管理台帐与秘密6.5.2发往公司以外的秘密文件，原则上双方应签署含有保密条款的合同并经部门经理以上的批准后方可提供。特殊情况(无保密条款合同但又必需提供)需6.6企业秘密的使用6.6.1秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密6.6.2秘密文件的保管人员和秘密事项的实际操作人员未经指定者许可不得使用后按8.2项方法及时废弃。4)为使解除/变更能及时进行，文件接收方在了解到7.1的条件出现时，应通1000元的现金扣款。及调职来的人员进行保守企业秘密教育。教育时应作好教10.2掌握公司重要经营信息、关键技术的从业人员离、退职时，本部门管理者应对其进行面谈，重申保守企业秘密的规定，防止将本公司企业秘密带出或不正12.1外来人员参观，应严格按公司有关规定办理手续，或按照申请的时间和12.2因业务需要来公司的外来人员，原则上应使用公司的接待室洽谈业务。ISMS-P11访问控制管理程序3.1各系统的访问授权管理由管理运营部设置安全框架，由各部门主管视权3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。3.3管理运营部负责向各部门通知人事变动情况。4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定，允许所有用户访问。4.1.2公司内部部分不公开信息，经访问授权管理运营部认可，访问授权实4.1.3本公司限制使用无线网络，对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性(根据敏感程度，可查表获得权限，如IP列4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。4.1.5相关部门主管填写《用户权限登记表》,确定访问规则后，由网络管4.1.6为确保含有敏感信息的系统不发生泄密事故，采取措施对敏感系统予4.2.1权限申请授权流程《用户权限申请表》4.2.2权限变更对发生以下情况对其访问权b)内部用户因岗位调整不再需要此项访问服务时：户权限申请表》,按照本程序4.2.1的要求履行授权手续。管理运营部应将人事变动情况及时通知各部门，访问授权实施部门特权用户因故暂时不能履行特权职责时，根据需要可以经授权部门经理批准后，将特权临时转交可靠人员；特权用户返回工作岗位时，收回临时特权4.2.3用户访问权的维护和评审对于任何权限的改变(包括权限的创建、变更以及注销),访问授为2小时/次。管理运营部应对系统实用程序(SystemUtilityProgram)的使用进行限制和严格控制，只有经过授权的系统管理员才可以使用实用程序，如优化大师，超级兔子等。4.3.2口令的选择与使用要求络传递。任何时候有迹象表明系统或口令可能受到损害，就要更换口令。测或得到的口令，不要用连续的数字或字母群。对于用户口令的变更会影响应用程序运行的情况，该用户的口令可以在适当的时机予以变更。在第一次登录时，需要更换临时口令。口令应妥善保存，不要共享个人用户口令。4.4特殊权限管理4.5访问记录控制4.6远程工作策略以远程访问的接口。网吧)上进行。4.6.6远程工作的访问权限不允许超过该人员在公司内部网的正常访问权4.7.2管理运营部相应系统管理员审查《用户权限申请表》,如果不违背以16密码复杂度要求：暴力破译密码运算时间大于密码定期更换时间(以SUPERπ104万位100秒的运