信息安全管理手册

信息安全管理手册

（依据GB/T22080-2016idtIS0/IEC27001:2013标准编制）

编号：ISMS-A-01

版本号：VI.0

编制：曹飞澎日期:2019-11-01

审核：汪倩日期：2019-11-01

批准：汪倩日期：2019-11-01

受控状态|受控文件|

修订记录

版本编写人审核人批准人修订日期修订说明

VI.0普飞澎汪倩汪倩2019.11.01创建

目录

1概述.......................................................................1

1.1颁布令...............................................................1

1.2任命书...............................................................2

1.3手册说明.............................................................3

2规范性引用文件.............................................................5

3术语和定义.................................................................5

4组织环境...................................................................5

4.1理解组织及其环境......................................................5

4.2理解相关方的需求和期望...............................................5

4.3确定代入份的范围.......................................................5

4.4信息安全管理体系.....................................................6

5领导作用...................................................................6

5.1领导作用和承诺.......................................................6

5.2ISMS管理方针.......................................................7

5.3组织架构、职责和权限.................................................7

6规划.......................................................................7

6.1风险和机遇的应对措施.................................................7

6.2信息安全目标及其实现规划.............................................8

7支持.......................................................................8

7.1资源..................................................................8

7.2能力.................................................................9

7.3意识.................................................................10

7.4沟通.................................................................10

7.5文件记录信息........................................................11

8运行......................................................................13

8.1运行的策划和控制....................................................13

8.2信息安全风险评估..................................................14

8.3信息安全风险处置...................................................14

9绩效评价..................................................................15

9.1监视、测量、分析和评价...............................................15

9.2内部审核.............................................................15

9.3管理评审............................................................15

10改进.....................................................................17

10.1不符口和纠正才日施••••••••••••••••••••••••••••••••••■••••••••••••»•17

10.2持续改进............................................................17

10.3纠正措施............................................................18

10.4预防措施............................................................19

附录1-组织简介..............................................................20

附录2-组织架构图............................................................21

附录4-信息安全小组成员.....................................................25

附录5-服务器拓扑图.........................................................26

附录6-信息安全职责说明.....................................................27

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

1概述

1.1颁布令

为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息

安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失,

我公司开展贯彻GB/T22080-2016idtISO/IEC27001:2013《信息安全管理体系要求》

标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了深圳市XXXX

有限公司《信息安全管理手册》。

《信息安全管理手册》经评审后，现予以批准发布。

《信息安全管理手册》的发布.标志着我公司从现在起,必须按照信息安全管理体

系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、

相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服

务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。

《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客

提供服务过程必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件,

仝体员工必须认真学习、切实执行。

深圳市XXXX有限公司

总经理：汪倩

2019年11月01日

笫1页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

L2任命书

任命书

为贯彻执行GB/T22080-2016idtIS0/IEC27001:2013《信息安全管理体系要求》,

加强对信息管理体系运行的领导，特任命曹飞澎为公司管理者代表。

授权信息安全管理者代表有如卜.职责和权限：

1）确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信

息安全管理体系；

2）负责与信息安全管理体系有关的协调和联络工作；

3）确保在整个组织内提高信息安全风险的意识；

4）审核风险评估报告、风险处理计划；

5）批准发布程序文件；

6）主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；

7）向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理

体系运行情况、内外部审核情况。

本任命书自任命日起生效执行。

深圳市XXXX有限公司

总经理：汪倩

2019年11月01日

笫2页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

1.3手册说明

1.3.1总则

《信息安全管理手册》的编制，是用以证明已建立并实施了一个完整的文件

化的信息安全管理体系。通过对各项业务进行风给评估，识别出公司的关键资产，

并根据资产的不同级别风险采取与之相对应的处理措施。

《信息安全管理手册》为审核信息安全管理体系提供了文件依据。

《信息安全管理手册》证明公司已经按照GB/T22080-2016idtIS0/IEC

27001:2013标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理

手册》的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展

各项业务活动，并通过不断的持续改进来完善信息安全管理体系。

1.3.2信息安全管理手册的批准

管理者代表负责组织信息安全小组编制《信息安全管理手册》及其相关规章

制度，总经理负责批准。

1.3.3信息安全管理手册的发放、作废与销毁

（1）综合管理部负责按《文件控制程序》的要求，进行《信息安全管理手

册》的登记、发放、回收、归档、作废与销毁工作。

（2）各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》

进行使用和保管。

（3）综合管理部按照规定发放修改后的《信息安全管理手册》，并收回失

效的文件做出标识统一处理，确保有效文件的唯一性。

（4）综合管理部保留《信息安全管理手册》修改内容的记录。

1.3.4信息安全管理手册的修改

《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关

部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方

可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册

实施修改后，应及时发布修改信息，通知相关人员。

《信息安全管理手册》的修改分为两种：

笫3页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文

档修改记录”如实记录即可，不需保存手册修改前的文档原件。

二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、

信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况

下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》

原件进行保存。

在出现下列情况时，《信息安全管理手册》可以进行修改：

＞信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改

进

＞内部信息安全提出新的需求

＞组织机构和职能发生变化

＞经营环境和产品结构有调整

＞发现本手册中存在差错或不明确之处

＞引用的法规或体系标准有修改

＞体系审核或管理评审提出改进要求

＞本手册的更改控制按《文件管理程序》执行

1.3.5信息安全管理手册的换版

《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新编制、

审批工作。

＞当依据的GB/T22080-2016idtTSO/TEC27001:2013信息安全管理体系有

重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改

变的。

＞相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生

改变的。

＞《信息安全管理手册》发生需修改部分超过1/3时。

＞《信息安全管理手册》执行已满三年时。

1.3.6信息安全管理手册的控制

(1)《信息安全管理手册》标识分受控文件和非受控文件：

笫4页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

＞受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。

＞非受控文件印制成单行木，作为投标书的资料、销售目的等发给受控范围

以外的其他相关人员。

（2）《信息安全管理手册》分为书面文件和电子文件两种。

2规范性引用文件

GB/T22080-2016信息技术安全技术信息安全管理体系要求；

GB/T22081-2016信息安全管理实用规则；

与公司运营相关的法律法规和技术标准。

3术语和定义

•本手册采用GB/T22080-2016idtTSO/TEC27001:2013标准的术语和定义，并根

据需要在相应章节所描述的要求中，增补了所涉及的术语和定义；

•本手册出现的术语“产品”指的是公司提供的产品和服务；

•ISMS-IntegratedManagementSystem的缩写,代表“信息安全管理体系”；

4组织环境

4.1理解组织及其环境

公司定期识别和信息安全管理目标相关，并影响实现信息安全管理预期结果的内外

部问题。

4.2理解相关方的需求和期望

本公司确定：

a）与ISMS有关的相关方；

b）这些相关方与信息安全有关的要求。

4.3确定ISMS的范围

应用范围：

本《信息安全管理手册》规定了〈深圳市XXXX有限公司＞信息安全管理体系涉及的

笫5页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持

续改进等方面内容。

产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理

活动区域范围：广东省深圳市八卦岭八卦路31号众鑫科技大展1310室

组织机构范围：管理层、技术部、销售部、综合管理部

4.4信息安全管理体系

4.4.1总则

为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全

员的信息安全意识，对信息安全风险进行有效管理，使全公司贯彻落实安全方针

和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影

响到信息安全的各种风险，防止安全事故的发生。同时确保全体员工理解并遵守

执行信息安全管理体系文件，持续改进信息安全管理体系的有效性，树立公司良

好的服务形象，增强用户对公司的技术和管理水平的信心，保证公司业务可持续

开展，特制定本《信息安全管理手册》。

4.4.2ISMS体系过程方法

相关方/相关方/

第三方第三方

信

实

息

施

安

信

并

仝

息

管

运

安

理

行

全

需

管

求

理

和

期

里

监控并评审

5领导作用

5.1领导作用和承诺

•总经理领导信息安全工作，并确定相应的职责和作用。

笫6页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

•制定信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。

•向公司传达满足信息安全目标以及信息安全方针，以及法律责任和持续改进的重

要性。

•提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS；

•决定可接受风险的标准和可接受风险的等级；

•确保按照标准严格执行ISMS内部审核并进行管理评审。

5.2ISMS管理方针

一、信息安全管理方针

为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，

实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产

和技术确定了信息安全管理体系方针：

满足客户要求，保障信息安全，遵守法律法规，持续改进管理。

二、信息安全管理目标

1.针对客户信息安全事件的投诉每年不超过1次

2.重要信息设备丢失每年不超过1起

3.机密和绝密信息泄漏事件每年不超过1次

三、信息安全管理适用范围

本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三

方的工作人员等所有与信息资产相关的部门与人员。

5.3组织架构、职责和权限

5.3.1ISMS管理体系组织架构图

附录2-组织架构图

5.3.2ISMS管理职能分配

见附录3-职能分配表

5.3.3职责和权限

见附录8-信息安全职责说明

6规划

笫7页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

6.1风险和机遇的应对措施

信息安全小组组织有关部门根据风险评估结果，形成《风险处理计划》，该

计划明确了风险处理责任部门、负责人、处理方法及完成时间。

对于信息安全风险和给予，应考虑控制措施与费用的平衡原则，选用以下适

当的措施：

•控制风险，采用适当的内部控制措施。

•接受风险（不可能将所有风险降低为零）；

・避免风险（如物理隔离）；

•转移风险（如将风险转移给保险者、供方、分包商）。

6.2信息安全目标及其实现规划

6.2.1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。

信息安全目标应：

a）与信息安全方针保持一致

b）可测量；

c）考虑适用的要求，以及风险评估和风险处置的结果；

d）得到沟通：

e）适时更新。

组织应保持有关信息安全目标的文件化信息。

6.2.2在策划信息安全目标的实现时，公司确定：

a）采取的措施；

b）所需的资源（见7.1）；

c）责任人；

d）完成的时间表；

e）如何评价结果。

7支持

7.1资源

7.1.1总则

笫8页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的

资源，应考虑现有的资源、能力、局限；

7.1.2基础设施

组织应识别、提供并保持实现产品/服务符合性所需的基础设施，这些设施包括：

•工作场所相应的设施（办公电脑、服务器、软硬件、机房等）；

•服务过程设备，如各种通讯设备、监控设备和客户服务管理系统、业务系统（软

件）等；

•维修保养和保障设施（各种辅助设施、安全防护设施等）；

•支持性服务，如运输、通讯信息系统等。

7.1.3过程环境

公司各部门应识别提供产品/服务所需环境中人和物的因素，并对其加以有效的控

制，保证提供产品/服务过程中的人员、财产安全。

过程环境可包括物理的、社会的、心理的和环境的因素。

7.1.4监视和测量设备

对照国际或国家的测量标准，在规定的时间间隔或在使用前进行校准和检定，如果

没有上述标准的，应记录校准或检定（验证）的依据，以确保下列设备处于正常状态：

•开发用途的电脑设备；

•测试用途的电脑设备；

•开发用途的软件；

•测试用途的软件；

•集成项目使用的设备。

处于正常状态的设备应具备下列特征：

•设备的型号能够符合预期的使用目的；

•无论设备处于待用状态还是处于使用状态，设备均是正常的；

•设备得到周期性的养护和校正，并标识其校准状态；

•必要时，各部门使用设备进行测量前，应再次校准设备；

・测试软件应确认其具有满足预期用途的能力，初次使用前应进行确认，必要时

笫9页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

可以进行重新确认。

当发现软件或设备不符合要求时，应对以往的测量结果进行有效性评价和记录，并

对受影响的产品采取适当的措施。

校准和检定结果的记录应予保存。

7.1.5知识

公司应确保ISMS管理体系运行过程中，提供产品/服务的符合性和顾客满意所需的

知识。这些知识应得到保持、保护、需要时便于获取。

在应对变化的需求和趋势时，组织应考虑现有的知识基础，确定如何获取必需的更

多知识。

7.2能力

公司应根据岗位所需的教育、培训、技能和经验要求，安排人员，以确保影响产品

/服务质量和信息安全的人员素质满足岗位的需要，能胜任其工作。

对于人员的配置，公司人事行政部应定卤定编并制定完善的岗位说明文件。

公司在《员工培训管理程序》中对在职培训、人员的意识的灌输和工作能力的增长

作了要求，以便：

•确定从事影响产品/服务质量和信息安全的人员（包含营销、服务提供、质量检

查、IT开发、顾客沟通、顾客信息反馈等）所必须的工作能力及培训需求；

•提供培训或采取其他措施，以满足所确定的需求并确保达成必须的能力；

•对培训的有效性进行评价；

•确保员工能意识到他们工作的相关性和重要性，以及他们如何为达到TSMS目标

做出努力；

•保存有关教育、经验、培训、资格的适当的记录。

7.3意识

公司应确保工作的人员意识到：

•ISMS管理方针；

•相关的信息安全目标；

•他们对信息安全管理体系有效性的贡献，包括改进绩效的益处；

・偏离信息安全管理体系要求的后果。

第10页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

7.4沟通

管理者代表为信息安全沟通交流主管部门，负责内、外部信息的交流与管理，及时

将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟

通交流工作，收集与外部相关方的信息资料，并保存回复的证据。

7.4.1内部信息

•信息安全方针、目标及实施方案

•资产识别与风险评怙

•职责与权限的传达与落实

•培训教育的实施与效果

•监控与测量结果的反馈及法律、法规的符合情况

•不符合的纠正和预防措施的执行情况

•紧急状态下的信息等

7.4.2外部信息

•信息安全方针通报相关方，对外宣传；

•法律、法规的获取与监测及执法部门的联络；

•监控、检测结果的外部联络和接受、答复；

•认证与监督审核；

7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定《信

息安全沟通协调管理程序》规范信息安全沟通过程，必要时，保留信息交流相关证据。

7.5文件记录信息

7.5.1文件体系结构

信息安全管理体系的文件由上而下分为四个层次，如下图所示：

笫11页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

信息安全管理体系文件包括：

(1)管理手册(信息安全手册、信息安全策略)：规定信息安全管理体系的文件,

是公司内部的信息安全法规，阐述了信息安全管理体系的方针、目标、范围、组织结构

和职责权限，同时描述了信息安全管理体系的主体文件(程序文件)，是信息安全管理

体系的纲领性文件。

(2)程序文件：是信息安全手册的支持性文件，规定了实施与信息安全管理体系

有关的各项活动的途径和方法，是各项活动得以有效实施的保障。与信息安全管理体系

有关的各项活动必须按照程序文件规定实施，并定期对其进行评审，保持其有效性。

(3)作业指导、规范规章制度、计划等：是现场或岗位使用的详细工作文件，是

程序文件的支撑和补充性文件，是信息安全管理体系过程得以有效策划、运行、控制所

需要的文件，也是信息安全活动的基础文件。

(4)表单记录：通过表单模板，对信息安全管理体系实施的一系列活动进行规范,

形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。

信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息

安全小组组织协调各相关部门共同完成编写。

支持文件：

•《文件控制程序》

第12页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

7.5.2文件控制

综合管理部组织编制《文件控制程序》，确保信息安全管理体系的文件在以下几个

方而得到控制：

（1）文件发布前得到批准，以确保文件是充分与适宜的。

（2）管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实

际运作的一致性，充分保障文件的有效性、充分性和适宜性。

（3）确保文件的更改和现行修订状态得到识别。

（4）确保在使用处可获得适用文件的有关版本。

（5）确保文件保持清晰、易于识别。

（6）确保综合管理部确定的体系所需的外来文件得到识别，并控制其分发。

（7）防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件

进行适当的标识。

（8）具体执行按《文件控制程序》的规定，对文件的审核、批准、发布、变更、

修改、废止等环节进行控制。

支持文件：

・《文件控制程序》

7.5.3记录控制

信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据，对记录的

标识、储存、保护、检索、保管、废弃等事项进行了规定，各部门应根据《记录控制程

序》的要求采取适当的方式妥善保管信息安全记录，具体记录如下：

（1）建立并保持记录，以提供符合要求和信息安全管理体系有效运行的证据。

（2）保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记

录应保持合法，易于识别和检索。

（3）编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和

处置所需的控制。

（4）记录的要求和管理：

＞真实、完整、字迹清晰，可识别是何种产品或项目的何种活动。

＞填写及时、禁止未经许可的更改。

第13页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

＞各部门应对本部门的记录自行归档保存，保存环境应适宜，以防止记录损坏、

变质和丢失，保管方式便于存取和检索。

＞记录的保存期限应根据产品的特点、法规要求及合同要求来决定，见“记录清

单”。

＞超过保存期的质量记录处理应按审批规定进行处置。

支持文件：

・《记录控制程序》

8运行

8.1运行的策划和控制

公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程，这些过程

与公司ISMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别

每一过程对满足客户服务要求的能力的影响，并确保营运活动中每个质量特性都受到有

效控制。

8.1.1ISMS运行总要求

・实现过程的策划中应明确：

・质量目标和要求；

・明确各岗位的信息安全职责；

•服务标准

・明确过程控制的准则和方法，制定必要的作业指导文件，为产品和服务实现提供

度源和设施，保证其所需的工作环境；

•保留服务过程提供及过程测量和检查结果的记录c

经识别公司没有外包过程。对于公司的服务商，综合管理部按照《第三方服务管理程

序》进行管理。

8.2信息安全风险评估

8.2.1风险评估的方法

信息安全小组负责组织编制《信息安全风险管理程序》，建立识别适用于信息安全

管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法，在决定风险的可

第14页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

接受范围内，采取适当的风险控制措施。

8.2.2识别风险

在信息安全管理体系范围内，对所有信息资产进行识别评价，识别资产面临的威胁

以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险,

并通过这些项目的风险标识推算出对重要资产造成的影响。

8.2.3分析和评价风险

针对每一项信息资产，识别出其面临的所有威胁，并考虑现有的控制措施，识别出

被该威胁可能利用的薄弱点。

针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判断安全失

效发生的可能性。

根据《信息安全风险管理程序》计算风险等级以及风险接受准则，判断风险为可接

受或需要处理。

8.2.4识别和评价风险处理的选择

项目风险的识别贯穿整个业务活动过程，明确哪些风险可能影响项目造成影响、记

录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析，依据影响对项目

风险进行优先级排序。

综合管理部根据风险评估的结果，形成《信息安全风险评估表（含〈风险处理计

划》）》，该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略，具体

措施如下：

（1）适时适当的控制措施。

（2）规避风险，采取有效的控制措施避免风险的发生。

（3）接受风险，在一定程度上有意识、有目的地接受风险。

（4）风险转移，转移相关业务风险到其他方面。

（5）消减风险，通过适当的控制措施降低风险发生的可能性。

8.3信息安全风险处置

组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。

详见《信息安全风险管理程序》

8.3.1相关文件

第15页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

・《信息安全风险管理程序》

9绩效评价

9.1监视、测量、分析和评价

为了保证服务的符合性及实施必要的改进，应规定、策划和实施所需的测量和监视

活动。在策划时，应确定统计技术及其他适用的方法的需要和使用。需要监视司测量的

过程和措施包括：客户满意度测量、过程的监视和测量、产品的监视和测量。

综合管理部应组织相关部门，对质量服务信息安全措施的绩效和体系的有效性进行

评价。

综合管理部应与各部门协调，根据公司管理的实际需要，建立恰当的度量体系，以

度量员工、项目组的工作业绩。

由综合管理部组织实施监视和测量，每年至少一次对对监视和测量的结果进行分析

和评价，由总经理以及各部门经理分析和评价这些结果，保留相关的监视和测量证据。

9.2内部审核

公司应按计划的时间要求进行ISMS内部审核，以确定控制目标、控制措施、过程

和程序是否：

•符合标准及相关法律法规的要求；

•符合确定的信息安全要求；

•得到有效地实施和维护；

•按期望运行。

内部审核程序应进行计划，并考虑受审核的状况、重要性和受审核的区域以及上次

审核结果,应规定审核准则、范围、频次和方式.审核员的选择和审核活动应保证审核

过程的客观和公正，审核员不能审核自己的工作。

9.3管理评审

9.3.1总则

为确保信息安全管理体系持续运行，具体如下：

（1）管理者代表组织并编制《管理评审程序》，指导管理评审工作的执行。

（2）管理评审由最高管理者或其授权人员组织，每年至少一次。一般情况下，采

第16页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：

＞公司管理体系发生重大变化。

＞国家法律法规、相关标准发生重大变化。

＞外审之前。

＞其他认为需要评审时。

（3）各部门负责均需参加管理评审活动，需要时，由总经理或其授权人员决定具

体的参加人员。

（4）管理评审会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行,

并对执行状况予以跟踪评估。

9.3.2评审输入

在管理评审时，管理者代表应组织各相关部门提供以下资料，以供评审：

a）以往管理评审的措施的状态；

b）与信息安全管理体系相关的外部和内部问题的变更；

c）信息安全绩效的反馈，包括下列方面的趋势：

1）不符合和纠正措施；

2）监视和测量结果；

3）审核结果;

4）信息安全目标的实现；

d）相关方的反馈；

e）风险评估的结果和风险处置计划的状态；

f）持续改进的机会。

9.3.3评审输出

按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，管

理评审输出包括以下方面有关的任何决定和措施：

（1）信息安全管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业

务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。

（2）信息安全管理方针和目标的修订。

（3）与相关方/第三方有关的改进措施等。

第17页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

（4）风险的等级或可接受风险的水平，更新风险评估和风险评估表等。

（5）业务需求的变更。

（6）安全需求的变更。

（7）资源需求以及影响现有业务需求的业务过程；

（8）法律法规的环境。

（9）改进测量控制措施有效性的方式。

（10）对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。

以上内容的详细规定见《管理评审程序》。

公司应保留文件记录作为管理评审结果的证据。

10改进

10.1不符合和纠正措施

当发生不符合时，应：

•对不符合作出反应，

＞采取措施控制并纠正不符合；

＞处理不符合造成的后果；

•评价消除不符合原因的措施的需求，通过采取以下措施防止不符合再次发生或在其他

区域发生：

＞评审不符合；

＞确定不符合的原因；

＞确定类似不符合是否存在，或可能潜在发生

•实施所需的措施：

•评审所采取纠正措施的有效性；

•必要时，对体系实施变更。

应将以下信息形成文件：

・不符合的性质及随后采取的措施

・纠正措施的结果

上述要求参见《纠正措施控制程序》。

第18页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

10.2持续改进

通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实

纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全

管理体系的改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的

持续有效性和运行效率。

关注客户的投诉、抱怨、记录、评估服务改进建议，制定服务改进计划，评估服务

改进情况，确保各项服务改进措施均已落实执行，并实现预期的目标，从而改进完善服

务过程，提升服务质量，提高客户的满意度。

规定各部门在持续改进活动中的角色和职责，并从服务过程的所有方面考虑服务改

进要求。

计划通过以下途径持续改进信息安全管理的有效性：

（1）通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺。

（2）通过信息安全管理体系目标的建立与实施，对持续改进进行评价。

（3）通过内部审核不断发现问题，寻找体系改进的机会并予以实施。

（4）通过数据分析不断寻求改进的机会，并做出适当的改进活动安排。

（5）通过实施纠正和预防措施实现改进的活动。

（6）监控安全事件并对事件进行分析。

（7）确定纠正措施和预防措施的有效性。

（8）根据管理评审的结果寻求改进体系的机会。

（9）根据客户满意度调查寻求改进体系的机会。

支持文件：

・《纠正措施控制程序》

・《预防措施控制程序》

・《内部审核管理程序》

10.3纠正措施

对于发现的不合格项,不仅要求责任人要纠正不合格行为,而且为了消除不合格项、

与实施和运行信息安全管理体系有关的原因，人事行政部要求责任人应该制定纠正措

施，以便防止不合格的再次发生。纠正措施的控制应该满足如下要求：

第19页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

（1）识别实施和运行信息安全管理体系的不合格事件。

（2）分析并确定不合格的原因。

（3）评价确保不合格不再发生的相关因素。

（4）确定和实施所需的纠正措施。

（5）检查、验证纠正措施的结果。

（6）评审所采取的纠正措施的有效性。

支持文件：

・《纠正措施控制程序》

・《预防措施控制程序》

・《内部审核管理程序》

10.4预防措施

在信息安全管理体系运行的过程中，通过日常的过程控制、结果验证、体系审核等

方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件，应该

及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求：

（1）识别潜在的信息安全事件及其原因，并确定。

（2）评价预防不合格发生的措施的需求。

（3）确定和实施所需的预防措施。

（4）评价预防措施的有效性，并对所采取措施的结果进行记录。

（5）识别并控制重大的已变更的防线。

支持文件：

・《纠正措施控制程序》

・《预防措施控制程序》

第20页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

附录卜组织简介

深圳市XXXX有限公司是一家总部位于中国深圳的全方位IT及解决方案服务提供

商。主要致力于航空领域，提供航空IT产品、IT服务及解决方案、航空教育的一体化

专业公司。依靠与多家航空领域的企事业单位建立的良好合作关系，不断吸取各方先进

技术与管理经验，打造了一支经验丰富的管理团队。在坚持高品质的产品质量、雄厚的

技术力量的支持下，研发了多项拥有自主知识产权的产品，同时具备了向市场提供综合

化服务的实力。

我们的服务：公司一直坚持“满足客户的需求就是我们的追求的服务“宗旨”，我

们将以最优质的服务为客户提供全方位的IT服务，提升客户的企业价值，提高客户的

市场竞争力。技术实力：公司拥有蓬勃向上，充满朝气的创业型领导核心，海外留学背

景，多年IT研发、管理经济的高层管理团队；经验丰富的研发团队一为客户提供专业

的IT只是支持。

发展战略：提供自主研发的一流软件和服务，持续为客户创造最大价值核心价值观

公司理念：帮助客户创造价值，帮助员工实现梦想

诚信：最重要的无形资产，是我们赢得客户信任的基础

专注：建立核心竞争力的关键

创新：企业持续性发展的必备基因是我们赢得客户信任的基础

第21页

深圳市XXXX有限公司文件编号ISMS-A-01

信息安全管理手册文件版本VI.0

密级秘密

附录2-组织架构图

综

销

技

合

售

术

管

部

部

理

部

第22页

深圳市XXXX有限公司文件编