科技企业信息安全管理手册范本

编号XX-ISMS-01

版本A/0

江苏XXXX科技有限公司

密级内部限制

受控是

信

A

安

管

理

手

册

生效日期核准审查制订

2016.3.1

修改记录

序号修改原因修改合适的内容修改人/时间批准人/时间备注

目录

0.1、信息安全管理管控手册发布令

0.2、管理管控者代表任命书

0.3、公司简介

0.4、信息安全方针

0.5、信息安全目标

1、范围

2、引用标准

3、术语和定义

4、信息安全管理管控体系

4.1组织环境

4.2理解相关方的需求和期望

4.3明确信息安全管理管控体系的范围

4.4信息安全管理管控体系

5、领导

5.1领导和承诺

5.2方针

5.3组织角色、职责和权力

6、相关计划

6.1处置风险和机遇

6.2信息安全目标的相关计划和实现

7、支持

7.1资源

7.2能力

7.3意识

7.4沟通

7.5文档要求

8、实施

8.1运行相关计划和控制

8.2信息安全风险评估

8.3信息安全风险处置

9、绩效评价

9.1监视、测量、分析和评价

9.2内部审核

9.3管理管控评审

10、改进

10.1不符合项和纠正措施

10.2持续改进

附件：

附件一：信息安全职能分配表

附件二：信息安全职责

附件三：信息安全管理管控体系程序文件清单

附件四：信息安全管理管控体系作业指导书文件清单

0.1信息安全管理管控手册发布令

为提高江苏XXXX科技有限公司的信息安全管理管控水平，保障企、也经营、服务和日

常管理管控活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业

务中断或安全事故，公司开展贯彻1S0/1EC27001:2013《信息技术-安全技术-信息安全

管理管控体系要求》标准的工作，建立文件化的信息安全管理管控体系，制定了江苏XXXX

科技有限公司《信息安全管理管控手册》（以下简称手册）。

本手册是企业的法规性文件，是指导企业建立并实施信息安全管理管控体系的纲领

和行动准则，用于贯彻企业的信息安全管理管控方针、管理管控目标，实现信息安全管

理管控体系有效运行、持续改进，是江苏XXXX科技有限公司信息安全管理管控工作长期

遵循的准则。

全体职工必须严格按照手册的要求，自觉执行管理管控方针，贯彻实施本手册的各

项规定，努力实现江苏XXXX科技有限公司的管理管控目标和管理管控承诺。

本手册自颁布之日起生效执行。

江苏XXXX科技有限公司总经理:

二。一六年三月一日

0.2管理管控者代表任命书

兹委任担任江苏XXXX科技有限公司IS027001信息安全管理管控体系管

理管控者代表。

他将履行以下职责及权限：

1、负责公司IS027001的推行认证工作，负责组织信息安全管理管控体系建立、

实施和维持，确保公司的信息安全管理管控体系运作符合信息安全管理管控体

系标准；

2、信息安全管理管控体系内部审核的策划、组织及实施；

3、批准信息安全管理管控体系程序文件；

4、代表公司就信息安全的有关事项和外部进行联络。

总经理：

日期：二。一六年三月一日

0.3、公司简介

公司组织架构如下图所示:

0.4信息安全方针

实施风险管理管控，确保信息安全，保障业务可持续发展。

信息安全方针含义：

a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风

险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发

生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。

b.在日常企业生产和管理管控中，对信息安全予以重视，全面识别和分析全部信

息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、

风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。

c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人

为本，坚持全员、全方位、全过程信息安全管理管控。通过测量和监控，持续

改进，保证信息安全管理管控体系的有效运行，做到制度执行有记录、记录记

载可追溯，最终保障企业生产、经营、管理管控和服务的持续和安全，实现企

业发展目标。

0.5、信息安全目标：

本公司信息安全目标：

1）安全事件发生次数：

重大安全事件目标值；0次/年；较大安全事件目标值；不大于4次/年；一

般安全事件目标值：不大于8次/年。

2）信息泄密次数：

保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、

机密信息不泄漏给非授权人员。信息泄密次数目标值：0次/年

各部门信息安全目标:

监测

部门部门信息安全目标统计方式

频率

1、人员招聘手续办理完

成率100%；

2、人员教育或培训实施1、查看全部员工入职手续办理情况；

率100%；2、查看培训相关计划及培训实施情况；

3、人员离职手续办理完3、查看实际人员离职及手续办理情况；

成率100%；4、现场检查办公环境消防器材配备情

4、办公环境消防设施配况；

置率100%；5、现场检查办公环境消防器材的检修情

5、办公环境消防设施点况；

检率100%；7、按照信息安全内审相关计划执行内审

综合部6、每年至少组织实施完及改进，及时整理信息安全内审资料；每年

成1次信息安全内审，且8、按照信息安全管理管控评审相关计划

资料齐全；执行评审及改进，及时整理信息安全管

7、每年至少组织实施完理管控评审资料；

成1次信息安全管理管9、每年集中对信息安全管理管控体系文

控评审，且资料齐全；件进行评审，必要时进行更新；

8、每年至少这行1次信10、每年组织各相关部门进行风险评估

息安全体系文件评审及回顾、对新增或发生变化的信息资产进

更新；行风险评估。

9、每年至少组织实施完

成1次风险评估。

1、网络非正常中断每月

W1次。1、以每月的网络中断事件为依据每半

研发部

2、主机系统非正常中断2、以每月的主机系统中断事件为依据年

每月W1次。

重要文档及数据被正确每半年检查一次日常工作文件及数据是

其他部

保管及使用，机密信息泄否被正确保管及使用，以及机密信息泄每年

门

露次数为0次露相关事件。

1、范围

1.1总则

为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理管控体

系（简称ISMS）,确定信息安全方针和目标，对信息安全风险进行有效管理管控，确保

全体员工理解并遵照执行信息安全管理管控体系文件、持续改进信息安全管理管控体

系的有效性，特制定本手册。

1.2应用

1.2.1覆盖范围

本信息安全管理管控手册规定了江苏XXXX科技有限公司信息安全管理管控体系的

建立和管理管控、管理管控职责、内部审核、管理管控评审和体系持续改进等方面合

适的内容。

1.2.2删减说明

本信息安全管理管控手册采用了IS0/IEC27001:2013标准正文的全部合适的内容,

对附录A的删减见《适用性声明SoA》。

2、规范性引用文件

IS0/IEC27001:2013《信息技术-安全技术-信息安全管理管控体系要求》

1S0/IEC27002:2013《信息技术-安全技术-信息安全管理管控实施细则》

3、术语和定义

3.3.1ISO/IEC27001:2013《信息技术-安全技术-信息安全管理管控体系要求》、

IS0/IEC27002:2013《信息技术-安全技术-信息安全管理管控实施细则》规定的术

语和定义适用于本《信息安全管理管控手册》。

3.3.2本组织、本公司、我司：指江苏XXXX科技有限公司。

4、信息安全管理管控体系

4.1组织环境

组织外部环境包括如下几个方面，但并不局限于此：

——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无

论是国际、国内、区域或地方；

——影响组织目标的主要驱动因素和发展趋势；

——外部利益相关者的观点和价值观。

组织内部环境包括如下几个方面，但并不局限于此：

——资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）；

——信息系统、信息流动以及决策过程（包括正式和非正式的）；

——内部利益相关者；

——政策，为实现的目标及战略；

——观念、价值观、文化；

——组织通过的标准以及参考模型；

以上相关因素将影响公司实现信息安全管理管控体系的预期成果。

4.2理解相关方的需求和期望

a）与本公司信息安全管理管控体系有关的相关方有：供方、合同合约方、顾客及

其他第三方访问者。

b）各相关方对我司的信息安全需求，包括了信息安全相关法律法规要求和合同合

约规定的义务。

4.3本公司信息安全管理管控体系的范围和边界

本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本

公司信息安全管理管控体系的范围包括：

a）业务范围：oooooo的设计开发和服务的信息安全管理管控活动；

b）信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；

c）组织范围：与所述业务有关的部门和所有员工；

d）地理范围：。

4.4信息安全管理管控体系

本公司按照ISO/IEC27001:2013《信息技术-安全技术-信息安全管理管控体系-

要求》规定，参照IS0/IEC27002:2013《信息技术-安全技术-信息安全管理管控实用

规则》，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理管控体系。

5领导

5.1领导和承诺

本公司通过以下行动证明公司实施了与信息安全管理管控体系有关的领导工作与

承诺：

a）确保建立与组织战略目标一致的信息安全方针和信息安全目标；

b）确保信息安全管理管控体系要求集成到组织的管理管控流程；

c）确保提供信息安全管理管控体系需要的各项资源；

d）传达信息安全管理管控的重要性及信息安全管理管控体系要求；

e）确保信息安全管理管控体系实现其预期目标；

f）指导和支持信息安全团队；

g）促使持续改进；

h）支持其他相关的管理管控者在其职责范围内履行管理管控职责。

5.2方针

为了满足适用法律法规及相关方要求，维持公司经营和管理管控的正常进行，实现

业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技

术定义了ISMS方针，见本信息安全管理管控手册第0.4条约条款。该信息安全方针符

合以下要求：

1）为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；

2）考虑业务及法律或法规的要求，及合同合约的安全义务；

3）与组织战略和风险管理管控相一致的环境下，建立和保持ISMS；

4）建立了风险评价的准则；

5）经最高管理管控者批准。

5.3组织角色、职责和权力

5.3.1信息安全组织机构

本公司成立了由最高管理管控者、管理管控者代表及各部门负责人组成的信息安全

委员会，其职责是实现信息安全管理管控体系方针和本公司承诺，负责制订、落实信息

安全管理管控工作相关计划，建立健全企业的信息安全管理管控体系，保持其有效、持

续运行。

本公司采取相关部门代表组成的运行分析会议的方式，进行信息安全协调和协作，

以：

a）确保安全活动的执行符合信息安全方针；

b）确定怎样处理不符合；

c）批准信息安全的方法和过程，如风险评估、信息分类；

5.3.2信息安全职责和权限

本公司总经理为信息安全最高管理管控者，对信息安全全面负责，主要包括：

a）组织制定信息安全方针及目标，任命管理管控者代表，明确管理管控者代表的

职责和权限。

b）确保在内部传达满足客户、法律法规和公司信息安全管理管控要求的重要性。

c）为信息安全管理管控体系配备必要的资源。

各部门负责人为本部门信息安全管理管控责任者，全体员工都应按保密承诺的要求

自觉履行信息安全保密义务；

各部门有关信息安全职责分配见《信息安全管理管控职能分配表》。

各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运

行的各种控制程序）的要求实施信息安全控制措施°

6.1处置风险和机遇

6.1.1总则

为实现公司信息安全管理管控体系方针和目标，我司参考组织环境中的问题和相关

方的需求和，来决定需要被处置的风险和机遇：

a）确保信息安全管理管控体系可以实现其预期目标；

b）避免或减少不良影响；

c）实现持续改进。

公司对以下方面进行规划：

a）处置风险和机遇的行动；

b）如何

1）将实施行动整合到信息安全管理管控体系流程中；

2）评价行动的有效性。

6.L2信息安全风险评估

公司制定《信息安仝风险评估控制程序》，建立识别适用于信息安仝管理管控体系

和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并

识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重

复的结果。

信息安全风险评估的流程见图2.风险评估流程图。

公司实施信息安全风险评估流程，从而：

a）建立和维护信息安全风险标准，包括：

1）风险接受标准；

2）实施信息安全风险评估的标准；

b）确保信息安全风险评估活动产生一致性，产生有效的和可比较的结果；

c）识别信息安全风险：

1）在信息安全管理管控体系范围内，通过信息安全风险评估流程，识别由于信

息的机密性、完整性和可用性的丧失带来的风险；

2）识别风险的属主；

d）分析信息安全风险：

1）评估在信息安全风险评估中识别的风险产生的潜在后果；

2）评估在信息安全风险评估中识别的风险转化为事件的可能性；

3）确定风险的等级；

e）评价信息安全风险：

1）将风险分析结果与在信息安仝风险评估中所定义的风险标准进行比较；

2）根据风险等级确定风险处置的优先级。

f）组织保留有关信息安全风险评估的过程文档。

6.1.3信息安全风险处置

公司根据风险评估的结果，形成《风险处理相关计划》，该相关计划明确了风险处理

责任部门、负责人、处理方法及起始、完成时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：

a）采用适当的内部控制措施；

b）接受风险（不可能将所有风险降低为零）；

c）避免风险（如物理隔离）；

d）转移风险（如将风险转移给保险者、供方、分包商）。

控制目标及控制措施的选择原则来源于ISO/IEC27001:2013附录A,具体控制措施

参考ISO/IEC27002:2013《信息技术-安全技术-信息安全管理管控实用规则》

组织保留信息安全风险处置的过程文档。

6.2信息安全目标的相关计划和实现

本公司建立不同职能及层级的信息安全目标。详见本手册0.5章合适的内容。此信

息安全目标应：

a）与信息安全方针一致；

b）可度量（如果可操作）；

c）考虑适用的信息安全要求，以及风险评估和风险处置结果；

d）得到沟通；

e）及时更新。

信息安全目标以文档化形式保留。在规划如何实现信息安全目标时，公司明确：

a）要做什么；

b）需要什么资源；

c）谁来负责；

d）什么时候完成；

e）如何评价结果。

7.1资源

本公司确定并提供实施、保持信息安全管理管控体系所需资源；采取适当措施，使

影响信息安全管理管控体系工作的员工的能力是胜任的，以保证：

a）建立、实施、运作、监视、评审、保持和改进信息安全管理管控体系；

b）确保信息安全程序支持业务要求；

c）识别并指出法律法规要求和合同合约安全责任；

d）通过正确应用所实施的所有控制来保持充分的安全；

e）必要时进行评审，并对评审的结果采取适当措施；

f）需要时，改进信息安全管理管控体系的有效性。

7.2能力

公司制定并实施《人力资源安全管理管控程序》文件，确保被分配信息安全管理管

控体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：

a）确定承担信息安全管理管控体系各工作岗位的职工所必要的能力；

b）提供职业技术教育和技能培训或采取其他的措施来满足这些需求；

c）评价所采取措施的有效性；

d）保留教育、培训、技能、经验和资历的记录。

本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以

及如何为实现信息安全管理管控体系目标做出贡献。

7.3意识

公司员工应理解：

a）信息安全方针；

b）个人对于实现信息安全管理管控的重要性，提高组织信息安全绩效的收益；

c）不符合信息安全管理管控体系要求所造成的影响。

7.4沟通

公司制定《信息沟通协调管理管控规范》，以明确与信息安全管理管控体系相关的内、

外部沟通需求，包括：

a）沟通什么；

b）何时沟通；

c）和谁沟通；

d）谁应该沟通；

e）哪种沟通过程有效。

7.5文档要求

7.5.1综述

组织的信息安全管理管控体系包括：

a）符合1SO/IEC27OO1:2O13标准的文件包括：信息安全管理管控手册、程序文件、

管理管控规定、作业指导书和为保证信息安全管理管控体系有效策划、运行和控制所需

的受控文件；

b）组织所明确的，表明信息安全管理管控体系有效性的必要的记录文档。

7.5.2创建和更新

公司制定并实施《文件控制程序》，对信息安仝管理管控体系所要求的文件进行管理

管控，以确定：

a）识别和描述（例如：标题、日期、作者和版本号）；

b）格式（例如：语言、软件版本和图形）与介质（例如：纸质、电子）；

c）适宜性和充分性经过评审。

7.5.3文档控制

公司制定并实施《文件控制程序》，对信息安全管理管控体系所要求的文件进行管理

管控。以确保：

a）在需要的时间和场合可用；

b）文档得到充分保护（例如：防止泄密、不当使用或丧失完整性）。

文档控制应保证：

a）文件发布前得到批准，以确保文件是充分的；

b）必要时对文件进行评审、更新并再次批准；

c）确保文件的更改和现行修订状态得到识别；

d）确保在使用时，可获得相关文件的最新版本；

e）确保文件保持清晰、易于识别；

f）确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和

最终的销毁；

g）确保外来文件得到识别；

h）确保文件的分发得到控制；

i）防止作废文件的非预期使用；

j）若因任何目的需保留作废文件时，应对其进行适当的标识。

8实施

8.1运行相关计划和控制

为确保信息安全管理管控体系有效实施，对己识别的风险进行有效处理，本公司开

展以下活动：

a）形成《风险处理相关计划》，以确定适当的管理管控措施、职责及安全控制措施的

优先级；

b）为实现已确定的安全目标、实施《风险处理相关计划》，明确各岗位的信息安全职

责；

c）实施所选择的控制措施，以实现控制目标的要求；

d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控

制的有效性以得出可比较的、可重复的结果；

e）进行信息安全培训，提高全员信息安全意识和能力；

f）对信息安全体系的运作进行管理管控：

g）对信息安全所需资源进行管理管控；

h）实施控制程序，对信息安全事故（或征兆）进行迅速反应。

公司保留以上必要的过程文档信息，以表明相关过程已按照相关计划执行。控制相

关计划更改，并审核相关计划变更的影响，如有必要采取措施减少不利影响。确保外包

过程受控。

8.2信息安全风险评估

8.2.1识别风险

在已确定的信息安全管理管控体系范围内，按照相关计划，或者在重大改变提出或

发生时进行信息安全风险评估，本公司执行《信息安全风险评估控制程序》，对所有的资

产进行列表识别，并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据

与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法

律法规符合性要求进行了量化赋值，形成《资产清单》。

同时，根据《信息安全风险评估控制程序》，识别对这些资产的威胁、可能被威胁利

用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的

影响。

8.2.2分析和评价风险

本公司按《信息安全风险评估控制程序》，分析和评价风险：

a）针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行

赋值；

b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全

失效发生的可能性，并进行赋值；

c）根据《信息安全风险评估控制程序》计算风险等级；

d）根据《信息安全风险评估控制程序》中的《风险接受准则》，判断风险为可接受或

需要处理。

8.3信息安全风险处置

公司根据风险评估的结果，形成了《风险处理相关计划》，该相关计划明确了风险处

理责任部门、负责人、处理方法及起始、完成时间。公司根据相关计划进行了处置，并

保持处置的记录。对风险处理后的剩余风险，得到了管理管控者的批准。

9绩效评价

9.1监视、测量、分析和评价

本公司通过实施《监视、测量、分析和评价控制程序》以监视、测量、分析和评价

公司信息安全管理管控状况结果，以实现：

a）及时发现处理结果中的错误、信息安全体系的事故和隐患；

b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；

c）使管理管控者确认人工或自动执行的安全活动达到预期的结果；

d）使管理管控者掌握信息安全活动和解决安全破坏所采取的措施是否有效；

e）积累信息安全方面的经验；

9.2内部审核

公司建立《内部审核控制程序》。《内部审核控制程序》包括策划和实施审核以及报

告结果和保持记录的职责和要求。并按照策划的时间间隔（两次内部审核的间隔不得超

过12个月）进行内部信息安全管理管控体系审核，以确定其信息安全管理管控体系的控

制目标、控制措施、过程和程序是否：

a）符合本标准的要求和相关法律法规的要求；

b）符合已识别的信息安全要求；

c）得到有效地实施和维护；

d）按预期执行。

内部审核的过程文档应清晰地形成记录，并加以保持。

9.3管理管控评审

公司建立并实施《管理管控评审控制程序》，公司管理管控者应按《管理管控评审控

制程序》规定的时间间隔（两次管理管控评审的间隔不得超过12个月）评审信息安全管

理管控体系，以确保其持续的适宜性、充分性和有效性。

管理管控评审应包括评价信息安全管理管控体系改进的机会和变更的需要，包括安

全方针和安全目标。

管理管控评审的结果应清晰地形成文件，记录应加以保持。

10改进

10.1不符合和纠正措施

公司建立并实施《纠正与预防控制程序》，当出现不符合情况时：

a）对不符合情况采取措施，如：

1）采取措施，以控制和改正它；

2）处置影响；

b）明确必要的控制措施，以消除不符合情况产生的原因，确保它不会再发生或在其

他地方发生，通过：

1）评审不符合项；

2）明确不符合项产生的原因；

3）明确是否存在或可能发生类似的不符合项；

c）采取必要的措施；

d）评审已采取的改正措施的有效性；

e）必要时改进信息安全管理管控体系。

纠正措施应与所发生的不符合的影响程度相适应。组织应保留以下文档信息作为证

据：

f）不符合情况的性质和所采取的后续行动；

g）纠正措施的结果。

10.2持续改进

本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正

和预防措施以及管理管控评审，不断完善信息安全管理管控体系的适宜性、充分性和有

效性。

附件一：信息安全职能分配表（注：▲负责部门；△相关部门）：

管理管控单位管理管

信息安全

总经理控者代综合部研发部技术部财务部销售部

委员会

体系要求表

4.纽织环境

4.1理解组织及其环境▲▲△△△△△△

4.2理解相关方的需求和期望▲▲△△△△△△

4.3明确信息安全管理管控体系

▲▲▲△△△△△

的范围

4.4信息安全管理管控体系▲△▲△△△△△

5领导

5.1领导和承诺△▲△△△△△△

5.2方针△▲△△△△△△

5.3组织角色、职责和权力△▲△△△△△△

6相关计划

6.1处置风险和机遇▲▲△△▲△△△

6.2信息安全口标的相关计划和

▲△△△△△△△

实现

7支持

7.1资源△▲△△△△△△

7.2能力△△△▲△△△△

7.3意识△△△▲△△△△

7.4沟通▲▲▲△△△△△

7.5文档要求△△△▲△△△△

8实施

8.1运行相关计划和控制▲△△△▲△△△

8.2信息安全风险评估▲△△△▲△△△

8.3信息安全风险处置▲△△△▲△△△

9绩效评价

9.1监视、测量、分析和评价▲△△△△△△A

9.2内部审核△△▲△△△△△

9.3管理管控评审△▲△△△△△△

10改进

10.1不符合项和纠正措施△△△▲△△△△

10.2持续改进△△△▲△△△△

A.5信息安全方针

A.5.1信息安全管理管控指引▲△▲△△△△△

A.6信息安全组织

A.6.1内部组织▲△▲△△△△△

A.6.2移动设备和远程办公△△△△▲▲△△

A.7人力资源安全△

A.7.1任用前△△△▲△△△△

A.7.2任用中△△△▲△△A△

A.7.3任用终止和变更△△△▲△△△△

A.8资产管理管控

A.8.1资产的责任△△△▲▲▲▲▲

A.8.2信息分类▲△△▲△△△△

A.8.3介质处理△△△△△▲△△

A.9访问控制

A.9.1访问控制的业务需求△△△△△▲△△

A.9.2用户访问管理管控AAAAA▲AA

A.9.3用户责任△△△△△▲A△

A.9.4系统和应用访问控制△△△△△▲△△

A.10加密技术

A.10.1加密控制▲△△△△▲△△

A.11物理和环境安全

A.11.1安全区域△△△▲△△△△

A.11.2设备安全△△△▲△▲A△

A.12操作安全

A.12.1操作程序及职责△△△△▲△A△

A.12.2防范恶意软件△△△△△▲△△

A.12.3备份△△△△△▲△△

A.12.4日志记录和监控△△△△△▲△△

A.12.5操作软件的控制△△△△△▲△△

A.12.6技术脆弱性管理管控△△△△△▲△△

A127信息系统审计的考虑因素△△△△△▲△△

A.13通信安全

A.13.1网络安全管理管控△△△△△▲A△

A.13.2信息传输△△△▲△▲△△

A.14系统的获取、开发及维护

A.14.1信息系统安全需求△△△△▲△△△

A.14.2开发和支持过程的安全△△△△▲△△△

A.14.3测试数据△△△△▲△△△

A.15供应商关系

A.15.1供应商关系的信息安全△△△▲△△△△

A.15.2供应商服务交付管理管控△△△▲△△△△

A.16信息安全事件管理管控

A.16.1信息安全事件的管理管控

△△△△▲△△△

和改进

A.16.1.1职责和程序△△△△▲△A△

A.16.1.2报告信息安全事态△△△▲▲▲▲▲

A.16.1.3报告信息安全弱点△△△▲▲▲▲▲

A.16.1.4评估和决策信息安全事

△△△△▲△△△

件

A.16.1.5响应信息安全事故△△△△▲△△△

A.16.1.6从信息安全事故中学习△△△△▲△△△

A.16.1.7收桀证据△△△△▲△△△

A.17业务连续性管理管控中的信

息安全

A.17.1信息安全的连续性▲△△△△△△△

A.17.2冗余▲△△△△△△△

A.18符合性

A.18.1法律和合同合约规定的符

△△△▲△△△△

合性

A.18.2信息安全评审△△△▲△△△△

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第30页共34页

附件二：信息安全职责

序号架构/部门成员及职能

最高管理管控者总经理：张建厂

管理管控者代表XXX

XX（销售部）、XX（技术部）、XX（研发部）、XXX（综合部）、

成员

XX（财务部）

系我司信息安全最高组织机构，负责公司整体信息安全管理管控工作，推动信息

信息安全

1安全工作的实施；制定信息安全方针、信息安全管理管控目标；负责审核信息安

委员会

全小组提交的信息安全管理管控体系、规范及管理管控办法；负责决策与信息安

全管理管控相关的重大事项，包括信息安全组织机构调整、信息安全关键人事变

动以及信息安全管理管控重大策略变更、确认可接受的风险和风险水平等；评审

与监督重大信息安全事故的处理与改进；定期组织信息安全管理管控体系（ISMS）

评审等。

1）组织并制定信息安全方针策略。

2）任命管理管控者代表，明确管理管控者代表的职责和权限。

最高管理管3）确保在内部传达满足客户、法律法规和公司信息安全管理管控要求的重要性。

2

控者4）为信息安全管理管控体系配备必要的资源。

5）主持管理管控评审。

6）对信息安全全面负责。

1）协助最高管理管控者建立、实施、检查、改进信息安全管理管控体系。

2）负责建立、实施、保持和改进信息安全管理管控体系，保证信息安全体系的

有效运行。

管理管控者3）组织公司信息安全风险评估和风险管理管控。

3

代表4）组织开展信息安全内部审核、安全检查工作。

5）负责向总经理报告信息安全体系运行的业绩和任何改进的需求。

6）负责就信息安全管理管控体系有关事宜的对外联络。

7）监控信息安全事件和确保安全控制措施得到执行。

1）负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。

2）参与公司信息安全工作的讨论和决策。

3）对信息安全管理管控体系内部审核、管理管控评审及其他安全检查时发现的

各部门负责

4问题及采取的纠正预防措施进行审核和确认。

人

4）负责管理管控和维护部门发布的信息安全管理管控体系相关文件。

5）负责信息安全事件的调查及协调处理。

6）做好本岗位信息安全相关的保密工作

1）负责监控信息安全管理管控体系的日常运行。

2）负责信息安全管理管控体系文件的控制。

3）负责本公司信息安全管理管控体系的推行落实。

5综合部4）负责公司员工招聘、聘用及离职全过程的安全管理管控。

5）负责公司内部人事档案等重要文件资料的安全管控。

6）负责公司日常行政安全的管理管捽.

7）负责公司办公环境的物理安全，包括人员及物品出入控制、门禁管理管控等。

笫30页共34页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第31页共34页

8）负责公司业务相关的销售管理管控。

9）负责本部门的重要信息的安全保密管控，包括客户信息、商务文档、相关项

目合同合约、投标文件等重要文件的安全管控。

10）负责公司及部门重要文件资料的安全管控。

11）信息安全事件的报告及协助处理。

1）负责公司信息系统的安全规划设计及实施。

2）负责公司机房及软硬件系统的安全运行维护。

6研发部3）负责本部门重要信息的安全管控，包括相关项目合适的方案、设计文档等重

要文件的安全管控。

4）负责信息安全事件的调查及协调处理。

1）负责对公司客户请求的积极响应，妥善处理顾客的投诉等。

2）负责本部门重要信息的安全保密管控，包括客户信息等重要数据的安全管控。

7技术部

3）信息安全事件的报告及协助处理。

4）做好本岗位信息安全相关的保密工作

1）负责公司业务相关的销售工作。

2）负责本人接触到的重要信息的安全保密管控，包括客户信息、商务文档、相

8销售部关项目合同合约、投标文件等重要文件的安全管控。

3）信息安全事件的报告及协助处理。

4）做好本岗位信息安全相关的保密工作

1）负责公司的财务管理管控工作。

2）负责本部门的重要信息的安全保密管控，包括财务凭证、财务报表、工资单

9财务部等重要文件的安全管控。

3）信息安全事件的报告及协助处理。

4）做好本岗位信息安全相关的保密工作

1）负责公司信息系统建设及运行维护。

2）负责公司机房安全管理管控。

IT维护工程

3）负责公司各部门办公电脑的维护及安全管理管控。

10师/网络管

4）按时记录网络机房运行日志

理管控员

5）信息安全事件的报告、响应及协调处理。

6）做好本岗位信息安全相关的保密工作

1）负责公司财务记帐、报帐、应收及应付、资产盘点等日常工作。

2）负责本岗位的重要信息的安全保密管控，包括财务报表、各类凭证等重要文

11会计及出纳件的安全管控。

3）信息安全事件的报告及协助处理。

4）做好本岗位信息安全相关的保密工作

1）负责服务相关项目的具体实施及管理管控。

相关项目经2）负责本岗位的重要信息的安全保密管控，包括各类基础数据、原始数据、拨

12理及相关项打数据等重要数据的安全管控。

目专员3）信息安全事件的报告及协助处理。

4）做好本岗位信息安全相关的保密工作

1）严格遵守国家及行业的法律法规和政策。

13所有员工2）严格遵守公司的各项信息安全政策。

3）正确、安全的使用及保管公司及客户的各类信息资产。

笫31页共34页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第32页共34页

4）积极参加信息安全教育与培训，提高信息安全意识。

5）信息安全事件的报告及协助处理。

6）做好本岗位信息安全相关的保密工作

附件三：信息安全管理管控体系程序文件清单

制定/修订

序号文件名称文件编号版本号制定部门备注

日期

1文件控制程序XX-QP-01A/02016.3.1综合部受控文件

2记录控制程序XX-QP-02A/02916.3.1综合部受控文件

3内部审核控制程序XX-QP-03A/02016.3.1综合部受控文件

4管理管控评审控制程序XX-QP-04A/02016.3.1综合部受控文件

5纠正与预防控制程序XX-QP-05A/02016.3.1综合部受控文件

信息安全测量管理管控综合部

6XX-QP-06A/02016.3.1受控文件

程序

信息安全风险评估控制

7XX-QP-07A/02016.3.1综合部受控文件