保障信息安全：管理体系手册完善计划

信息安全管理体系

手册

根据ISO/IEC27001:2023原则规定

XX企业

2023年10月25日

文档信息

文档阐明

本文档是ISO/IEC27001:2023信息安全管理体系口勺信息安全管理体系手册。本文档阐明

了XX企业信息安全管理体系於J构造与内容。

版权阐明

本文献中出现的任何文字论述、文档格式、插图、照片、措施、过程等内容，除另有尤

其注明，版权均属XX企业所有，受到有关产权及版权法保护。任何个人、机构未经XX企

业的书面授权许可，不得以任何方式复制或引用本文献的J任何片断。

文献修改记录

编号版本修改内容修改日期同意人

11.0新建文档2023-10-26查正朋

目录

文档信息......................................................................错误!未定义书签。

文档阐明..................................................................错误!未定义书签。

版权阐明..................................................................错误!未定义书签。

文献修改记录..............................................................错误!未定义书签。

目录.........................................................................错误!未定义书签。

0.1同意公布令........................................................错误!未定义书签。

0.2信息安全管理者代表任命书.........................................错误!未定义书签。

0.3企业简介..........................................................错误!未定义书签。

0.4信息安全方针......................................................错误!未定义书签。

0.5信息安全目的......................................................错误!未定义书签。

0.6信息安全管理体系手册的管理.......................................错误!未定义书签。

1总则.......................................................................错误!未定义书签。

1.1月的..............................................................错误!未定义书签。

1.2合用范围..........................................................错误!未定义书签。

2引用原则...................................................................错误!未定义书签。

3定义.......................................................................错误!未定义书签。

4信息安全管理体系..........................................................错误!未定义书签。

4.1总规定............................................................错误!未定义书签。

4.2建立并管理ISMS......................................................................................................错误!未定义书签。

4.3文献规定..........................................................错误!未定义书签。

5管理职责...................................................................错误!未定义书签。

5.1管理层的承诺......................................................错误!未定义书签。

5.2资源管理..........................................................错误!未定义书签。

6ISMS内部审计.............................................................错误!未定义书签。

6.1总则..............................................................错误!未定义书签。

7ISMS管理评审.............................................................错误!未定义书签。

7.1总则..............................................................错误!未定义书签。

7.2评审输入..........................................................错误!未定义书签。

7.3评审输出..........................................................错误!未定义书签。

8ISMS改善..................................................................错误!未定义书签。

8.1持续改善..........................................................错误!未定义书签。

8.2纠正措施..........................................................错误!未定义书签。

8.3防止措施..........................................................错误!未定义书签。

0.1同意公布令

我司根据ISO/IEC27001:2023原则编制口勺《信息安全管理体系手册》规定

了信息安全管理体系H勺范围和我司对信息安全管理体系H勺规定。本手册作为信息

安全管理的指导性文献，重要作用是：

1.强化员工日勺信息安全意识，规范企业时信息安全行为；

2.对企业H勺关键信息资产进行全面系统的保护，维持竞争优势；

3.当信息系统受到侵害时，保证业务持续开展并将损失降到最低程度；

4.使合作伙伴和客户对企业充斥信心。

在广泛征求意见日勺基础上通过多次修订，现予以公布，并于2023年2月1

日正式实行。望企业各部门及各级人员认真学习本手册内容，严格遵守并执行本

手册的各项规定和规定。

《信息安全管理体系手册》以《质量手册》为基准，在编制过程中坚持符

合性、合适性和有效性的统一。同步，本手册将根据内、外部环境的变化进行评

审、修改和完善。

总经理:

2023年10月25日

0.2信息安全管理者代表任命书

为了贯彻实行ISO/IEC27001:2023《信息安全管理体系•规定》国际原则，

保证企业信息安全管理体系H勺建立、实行、运作、监视、评审、保护和改善，现

经企业总经理同意任命为信息安全管理者代表，行使如下的职责并拥有

如下权限：

1.代表总经理负责按原则规定建立、实行、运作、监视、评审、保护并持续

改善企业的信息安全管理体系，实现企业口勺信息安全方针和口的；

2.负责组织企业《信息安全管理体系手册》的编写、修计和审核工作；

3.协助总经理开展管理评审，并向总经理汇报信息安全管理体系业绩和改善

需求；

4.保证企业提高信息安全保密意识；

5.负责企业信息安全管理体系有关事宜与外界联络的工作。

总经理:

2023年10月25日

0.3企业简介

0.4信息安全方针

保障业务正常和安全运行，保证业务的持续性；

保护客户隐私及客户资料的机密性，维护客户的利益；

保护企业的商业秘密和技术机密，维护企业的利益；

建立企业的安全品牌，保证客户的信心。

信息安全方针经企业最高领导层制定颁布，企业全体员工应能理解并执行信

息安全方针，并就信息安全方针进行交流。

0.5信息安全目的

建立国际一流、国内领先的信息安全保障体系。建立和完善信息安全组织体

系、管理体系和技术体系，到达国际一流、国内领先口勺信息安全保障水平，同步

或领先企业的信息化水平，保障和增进企业业务发展和业务目的的实现。

0.6信息安全管理体系手册的管理

企业口勺《信息安全管理体系手册》分为受控原本、受控副本及非受控副本。

受控原本由xx企业存档，作为原则文献；受控副本是受控原版的复印件，发至

我司内使用者或认证中心手中加盖红色“受控”印章并编制发放号码，作为有效文

献使用。向我司以外的J有关人员提供本手册时，须经管理者代表同意，且必须加

盖蓝色“非受控”印章。该文献作为非受控副本，不受文献修改H勺控制。

《信息安全管理体系手册》受控副本根据文献持有者名单由XX企业发至有

关人员，并按文献控制程序予以培训。

《信息安全管理体系手册》在如下状况应进行修改：

•我司组织构造有较大变动时

•外部环境有重大变化时

•国家法律、法规有重大变化时

•我司信息安全方针有重大变化时

《信息安全管理体系手册》的修改由管理者代表负责组织有关人员实行，经

管理者代表审核后，报总经理同意，同步更改《信息安全管理体系手册》修改状

态或版本号。

1总则

1.1目的

1.1.1通过编制和公布本《信息安全管理体系手册》，向客户证明企业具

有稳定的提供满足客户需求和使使用方法律法规规定的交付平台日勺设计、开发、

服务的能力。

1.1.2通过信息安全管理体系口勺有效运行和不停的持续改善，增强客户满

意度。

1.2合用范围

1.2.1本手册合用于波及交付平台设计、开发和维护；与上述有关H勺基础

设施和人员。与最新版本H勺合用性申明相一致。

1.2.2本手册可作为内审和外审口勺根据。

2引用原则

ISO/IEC27001:2023信息技术-安全技术-信息安全管理体系-规定

ISO/IEC17799:2023信息技术•安全技术•信息安全管理实行指南

ISO/EC13335:2023IT安全管理

3定义

资产：任何对组织有价值的事物。

可用性：需要时，授权实体可以访问和使用H勺特性。

保密性：信息不可用或不被泄露给未授权的个人、实体和过程的特性。

信息安全：保护信息的保密性、完整性、可用性及其他属性，如：真实性、

可核查性、可靠性、防抵赖性。

信息安全事件：信息安全事件是指识别出的发生的系统、服务或网络事件

表明也许违反信息安全方略或防护措施失效；或此前未知的与安全有关的

状况。

信息安全事故：信息安全事故是指一种或系列非期望的或非预期口勺信息安

全事件，这些信息安全事件也许对业务运行导致严重影响或威胁信息安全。

信息安全管理体系：信息安全管理体系是整体管理体系的一部分，基于业

务风险措施以建立、实行、运行、监视、评审、保持和改善信息安全。

完整性：保护资产的对的和完整的特性。

残存风险：实行风险处置后仍旧残留的风险。

风险接受：接受风险的决策。

风险分析：系统地使用信息以识别来源和估计风险。

风险评估：风险分析和风险评价的全过程。

风险评价：将估计的风险与既定的风险准则进行比较以确定重要风险的过

程。

风险管理：指导和控制一种组织的风险啊协调啊活动.

风险处置：选择和实行措施以变化风险的过程。

合用性申明：与组织信息安全管理体系有关并合用于信息安全管理体系的

控制目的和控制措施的文献化的陈说。

4信息安全管理体系

4.1总规定

企业在建立信息安全管理体系的过程中，充足遵照ISO/IEC27001:2023信

息技术-安全技术-信息安全管理体系-规定，采用PDCA模式建立信息安全管理

体系，并加以实行、保持和改善其有效性。

我司建立健全信息安全管理体系的过程模式如下图所示。

建立ISMS维持及改苒ISMS

•设定环境•实施ISMS改善计划

•设定ISMS的范盼■推行适当的修正及预防措施

•拟定安全政策•将成效及活动等信息

•识别及评估风险传达给相关人士

-选择适合的控制措施以处理风险-确定改善成效

•预备适用性报告

实施及推行ISMS检查及检讨ISMS

•阐明预知的风险•推行监察程序

•实施风险处理计划•执行定期检讨以验证

•实施可实现控制目标的措施ISMS的效能

-定期进行内部审垓

信息安全管理体系的建立、实行、运作、监视、评审、保持和改善的筹划活

动包括：

•信息安全管理体系的筹划与准备。

筹划与准备阶段重要是做好建立信息安全管理体系的多种前期工

作。内容包括教育培训、确定计划、信息安全管理现实状况调杳与

风险评估，及信息安全管理体系设计。

•信息安全管理体系文献的编制。

为实现风险控制、评价和改善信息安全管理体系、实现持续改善提

供不可或缺H勺根据。

•信息安全管理体系运行。

信息安全管理体系文献编制完毕后来，按照文献的控制规定进行审

核与同意并公布实行。在体系运行试运行期间（为期3个月），及时

发现体系筹划自身存在的问题，找出问题本源，采用纠正措施，纠

正多种不符合，并按照更改控制程序规定对体系予以更改，以到达

深入完善信息安全管理体系口勺目口勺。

•信息安全管理体系审核与评审。

企业为验证所有安全程序H勺对H勺实行，以及检查信息系统与否符合

安全实行原则，将进行系统口勺、独立的J检查和评价。企业把审核与

评审作为一种自我改善H勺机制，保持信息安全管理体系持续有效性,

并不停的改善与完善。

4.2建立并管理ISMS

4.2.1建立ISMS

企业根据ISO/IEC27001:2023日勺规定，按如下环节建立ISMS：

1.根据业务特性、组织构造、地理位置、资产、技术确定ISMSH勺

范围涵盖XX企业等部门;

2.根据实际状况确定ISMS方略；

3.定义合用于企业H勺风险评估措施；

4.识别企'也信息系统波及日勺资产面临的多种风险；

5.对多种风险加以评估，判断风险与否可以接受或需要进行必要的

处置；

6.识别风险处置H勺多种措施；

7.选择风险处置H勺控制目日勺和控制方式；

8.根据企业内信息安全方针，处置不可接受的风险。管理层同意可

接受的残留风险；

9.管理层授权实行并运作ISMS；

10,准备合用性申明。

4.2.2实行和运作ISMS

企业在信息安全管理体系文献编制完毕后来，提成两个阶段来实行

并运作ISMS：

1.按照文献的控制规定对信息安全管理体系文献进行审核与同意，

并公布实行，进入试运行期。在试运行期间，企业充足发挥体

系自身H勺各项功能，及时发现体系筹划自身存在的问题，找出

问题本源，采用纠正措施，纠正多种不符合，并按照更改控制

程序规定体系予以更改，深入完善信息安全管理体系H勺RH勺o

这•阶段H勺重要工作是：

a）公布风险处置计划;

b）实行风险处置计划以到达确定的控制目的I；

c）评估控制措施H勺有效性；

d）对全体员工进行培训。

2.试运行期满，企业正式实行ISMS,工作的重点是应用PDCA模

式，保持信息安全管理体系口勺持续有效。这一阶段的重要工作

是：

a）管理ISMS的运作；

b）管理ISMS资源：

c）实行程序及其他控制以及时检测、响应安全事故。

4.2.3监视和评审ISMS

企业为验证所有安全程序和对的实行，并险查信息系统与否符合安

全实行原则，将

1.执行监视程序和其他控制；

a）及时检测过程、成果中H勺错误；

b）及时识别失败口勺或成功的安全逅规和事故；

c）使管理层能确定与否将安全活动授权给人，或由信息技

术实行的H勺安全活动与否按期望口勺实行；

d）决定反应业务优先级口勺安全违规的处理措施。

2.定期评审ISMS的有效性，包括到达安全方针和目H勺和评审安全

控制考虑安全审核事故以及有关方提议和反馈的成果；

3.评审残留风险和可接受风险时等级考虑如下方面日勺变化:

a）企业

b）技术

c）业务Fl附和过程

d）已识别的威胁

e）外部事件如法律法规环境口勺变化社会风气的I变化

4.按计划H勺时间间隔进行ISMS内部审核；

5.定期进行ISMS管理评审，至少一年•次，保证仍然充足识别了

ISMS过程的改善；

6.记录也许影响ISMS有效性或业绩的措施和事件。

4.2.4保持和改善ISMS

建立、实行和保持ISMSH勺目时是不停改善企业时信息安全管理绩

效，减少安全风险，保护组织关键的信息资产，保持企业商务可持

续性发展，因此，企业将：

1.实行ISMS已识别的改善；

2.按照规定采用合适的纠正和防止措施，总结从其他企业或企业自

身的安全经验得到日勺教训；

3.沟通成果和措施并与所有有关方到达一致；

4.保证改善活动到达了预期的|目的。

4.3文献规定

4.3.1我司的信息安全管理体系文献包括如下内容:

•ISMS方略和控制目H勺II勺陈说;

•ISMS范围；

•ISMS时支持程序和控制；

・风险评估措施H勺描述；

•风险评估汇报；

•风险处置计划；

•其他H勺程序文献；

•本原则所规定口勺记录；

•合用性申明。

4.3.2文献控制

4.3.2.1总则

为保证信息安全管理体系文献的I合用性、系统性和完整性，保证对

信息安全管理体系有效运行起重要作用的J各个活动场所都能得到

对应文献於J有效版本，防止误用失效文献，企业建立并保持《文献

控制程序》。文献控制由XX企业负责。

4.3.2.2我司的信息安全管理体系文献包括在节中。

4.3.2.3文献的审批、公布

a）各类文献按程序文献的职责权限进行审批，保证文献的充足

性、合适性；

b）企业文献以书面形式予以公布,并在企业内部网站上公布。

4.3.2.4文献的管理

a）所有文献口勺发放均由XX企业统一负责，按授权同意口勺发放

范围登记发放，保证发放到有效的使用场所：

b）各类文献H勺原稿由XX企业负责保管，建立归档手续；

c）各部门指定专人负责文献的保管，建立文献清单，保证文献

便于检索；

d）按程序规定对文献的编号，受控状态、作废和保留状态进行

标识，保证使用有效文献；

e）外来文献由管理者代表阅批，保证使用文献的最新有效版

本，井保证分发到对应口勺使用场所，外来文献由XX企业管

理；

f）所有文献均应做到防潮、防火、防虫蛀、防丢失，严禁乱放、

乱画、有脏污出现。电子版文献应做到版本一致性、存储安

全、访问控制安全。

4.3.2.5文献的评审、修改

每次管理评审应对文献日勺有效性进行评审.当发生《文献控制程序》

中规定的有关状况时，文献主管部门应及时组织对文献H勺合适性进

行评审并做好记录。当决定修改时，按程序规定实行修改，并按授

权进行审批；

4.3.3记录控制

4.3.3.1总则

为保持信息管理体系有效运行，并为信息安全管理体系改善活动提

供根据，我司建立并保持《记录控制程序》，对记录进行管理。

4.3.3.2记录范围和编制规定

a）记录范围包括：执行过程中的有关记录，信息安全管理体系

运行记录，以及与ISMS有关的重大安全事件的记求等；

b）记录采用书面、磁盘等形式；

c）记录尽量以表格形式编制，以编号作为标识；

d）记录必须真实完整，数据可靠、字迹清晰，签字齐全。

4.3.3.3记录的搜集、整顿、归档

a）各部门编制本部门口勺《记录清单》，明保证存期限，经各部

门经理审批后留存，并报XX企业一份立案,XX企业提供《记

录总清单》；

b）各部门指定专人负责本部门记录的I搜集、整顿，同一类的J记

录按项目或序号装订成册，编制归档目录，妥善保留，以便

存取和检查。

4.3.3.4记录的存贮、保管

a）记录应寄存在合适的环境，做到防潮、防火、防虫蛀、防盗;

b）记录的保留期限一般不少于一年，其中信息安全管理体系运

行记录不少于三年。

4.3.3.5记录的查阅、借阅

a）记录借阅须由部门经理或授权负责人同意后并填写《记录借

阅登记表》，因工作原因需借阅其他部门的记录时，应同步

经本部门经理及对方部门经理同意：

b）一般不准许外部人员查阅，特殊状况下，须经管理者代表同

意，并做好借阅记录；

c）借阅人不得在记录案卷中有涂改、勾划、拆散、抽换等现象,

违反者将追究个人责任。偿还时部门记录保管人要认真查

对，以保证案卷的齐全、完整。

4.3.3.6记录的处理

对已超过保留期限H勺记录，需经部门经理审批后处理，并做好销毁

记录。信息安全管理体系运行记录须经管理者代表同意后处理。

5管理职责

5.1管理层的承诺

我司总经理在建立信息安全管理体系，保持和改善信息安全管理体系有

效性H勺过程中，应保证开展如下活动：

a）企业成立信息安全管理小组，由其领导信息安全工作。

b）制定信息安全方针和信息安全目的J,建立和完善企业的信息安全

管理体系。

c）提供充足的资源以保证信息安全管理体系日勺制定、实行、运作、

维护和不停改善。

d）对企业信息资产实行有效管理，保证信息的机密性，维持信息的

完整性和可用性，防备对信息H勺未经授权访问。对企业信息资产

进行风险评估，制定风险可接受原则，对企业不能接受时风险进

行处置。

e）建立业务持续性管理体系。进行业务影响分析，编写、实行业务

持续性计划和劫难恢免计划.以保讦企业重要'II/务的持续，不受

重大故障和劫难的I影响。

f）企业所有员工必须接受信息安全的教育培训，提高信息安全意

识。

g）保护企业、客户、有关政府部门和合作伙伴H勺信息安全。

h）建立企业信息安全组织架构，明确信息安全责任，确定汇报可疑

H勺和发生的信息安全事故的流程，对违反安全制度H勺人员进行惩

罚。

i）建立物理安全和网络安全管理制度，以保证信息H勺安全性。

j）保护企业软件和信息的完整性，防止病毒与多种恶意软件的入

侵。

k）任何人在未经审批的状况下，严禁将信息资产带离企业。

I）企业所有员工都要严格遵守企业的安全方针、程序和制度。

m）控制对内外部网络服务的访问，保护网络化服务日勺安全性与可用

性

n）对顾客账号、口令和权限进行严格管理，防止对信息系统的非授

权访问。

o）对重要信息进行备份保护，以保证信息日勺可用性。

P）定期对信息安全管理体系进行内审和管理评审。

5.2资源管理

5.2.1资源提供

1.我司通过信息安全管理体系的全面筹划，为建立、实行、运作、监视、

评审、保持和改善ISMS提供必要H勺资源，包括：

a）人力资源：保证从事信息安全工作的人员都可以胜任，全体员工

都具有安全保密意识；

b）基础设施：提供为保证信息安全规定所必需时基础设施，如生产

设备、生产场所、办公场所、办公设备等；

c）工作环境：保证满足信息安全的I工作环境和工作秩序。

2.保证信息安全程序支持业务规定；

3.识别并指出法律法规规定和协议安全责任；

4.通过对H勺应用所实行H勺所有控制的来保持足够向安全；

5.必要时进行评审对评审成果采用合适时对应措施；

6.需要时改善ISMSH勺有效性。

5.2.2能力、意识和培训

5.2.2.1人力资源部组织各职能部门对与信息安全有关欧I、所有岗位

的人员所必需时能力。

5.2.2.2满足需求的措施

a）外聘：在聘任人员时，招聘符合任职资格H勺人员；

b）我司对不够条件的人员通过培训，使其到达任职规定；

c）通过教育使员工认识到自己岗位的重要性，发挥主观能动性，为

实现信息安全做出奉献；

d）评估所提供培训和所采用措施的有效性。

5.2.2.3培训包拈：

a）入职培训

b）再提高培训

5.2.2.4培训计划

每年XX企业根据信息安全建设的需求，结合企业实际需要，制定《培

训计划》，规定对各类人员H勺基本培训规定和培训内容，并对企业培

训计划口勺执行状况进行监督检查，保证计划完毕。

5.2.2.5培训记录

人力资源部负责建立员工的教育、培训、技能、经验和资质的记录。

6ISMS内部审计

6.1总则

通过内部审核及时发现信息安全管理体系运行中的问题并及时采用纠正措

施，以保证信息安全管理体系运行的符合性、有效性，实现信息安全管理体系的J

持续改善，我司建立并保持《内部审核控制程序》。

6.2每年年初由XX企业负责编制《年度内部审核计划》，确定年度内审的时机

和范围，报管理者代表审核、总经理审批后实行。若发生特殊状况，应及

时增长内审。

6.3管理者代表任命内审组长，构成内审小组。内审红长编制《内部审核算施

计划》，组织内审员学习《信息安全管理体系手册》、程序文献和有关的作

业指导书，为内审的实行做好准备。

6.4内审实行由内审员采用交谈、提问、抽样、查阅记录、现场杳等方式，发

现不合格时，扩大抽样、增长调研深度，获取更全面、更精确的客观事实，

并规定受审部门确认不合格事实。

6.5内审组长组织汇总审核成果，对体系运行状况做出综合分析由内审组长

编制《内部审核汇报》，经管理者代表同意后，下发有关部门和有关领导。

6.6纠正措施的实行和验证

a)受审部门负责人组织调查分析产生不合格原因，针对原因制定纠正

措施，并明确完毕期限，经审核组承认，管理者代表同意后，由部

门负责人组织实行；

b)XX企业验证受审部门纠正措施实行的有效性。

6.7年度审核汇报

a）为对我司整个信息安全管理体系运行状况做出总体评价，在完毕年

度审核计划后，由管理者代表组织年度审核成果的汇总分析，包括

纠正措施完毕状况，对完不成或拖后的原因进行分析，并编写《年

度审核汇报》，

b）《年度审核汇报》由管理者代表提交管理评审，作为改善的根据。

7ISMS管理评审

7.1总则

为保证信息安全管理体系，包括信息安全方针、质量目H勺持续的合适性、充

足性和有效性，我司建立并保持《管理评审控制程序》，评价信息安全管理体系

改善的机会和变更H勺需要°

7.1.1企业每年至少开展一次管理评审，两次间隔不得超过十二个月。一

般状况下，采用会议H勺形式，安排在内部审核之后“当出现下列状况时，应及时

进行管理评审：

a）企业信息安全管理体系发生重大变化；

b）国家法律、法规、信息安全原则发生重大变化；

c）外审之前；

d）其他认为需要评审时。

7.1.2XX企业组织有关部门实行管理评审，并对实行效果进行跟踪验证。

7.1.3管理评审由总经理主持，管理评审的有关计划、汇报、记录由XX

企业保管，保留期为三年c

7.2评审输入

7.2.1管理者代表组织XX企业编制《管理评审计划》，安排评审H勺目的、

内容、时间、参与人员及有关规定等。

7.2.2XX企业组织有关部门按计划的J规定搜集整顿有关文献和数据资料

提交管理评审，包括：

a）ISMS审核（包括内审和外审）和管理评审的成果；

b）有关方（客户、政府部门、供应商、内部员工等）的反馈；

c）企业用于改善ISMS业绩和有效性H勺技术、产品或程序的发展及变

化；

d）纠正和防止措施的实行状况；

e）上次风险评估未充足指出H勺脆弱性或威胁；

f）上次管理评审所采用措施的跟踪验证；

g）影响信息安全管理体系H勺变更，如原则改版和信息安全组织架构变

化等；

h）质量/信息安全管理体系文献H勺合用性，包括修改规定等；

i）改善的提议。

7.3评审输出

按照信息安全方针、目的时上述信息进行全面的讨论、评价、分析,

决定所要采用口勺改善措施，包括:

a）ISMS有效性H勺改善;

b）更新风险评估和风险处先计划；

c）必要时修订影响信息安全的程序，以反应影响ISMS的内外

事件包括如下变化：

1业务需求；

2安全需求；

3影响已经有业务需求H勺业务过程；

4法律法规环境；

5协议责任；

6风险和/或风险接受等级。

d）资源需求；

e）改善测量控制措施有效性的方式。

8ISMS改善

8.1持续改善

为保证信息安全管理体系有效性的持续改善，提高信息安全管理体

系过程H勺有效性，我司将开展如下活动：

a）企业通过信息安全方针的J建立与实行，营造一种鼓励改善的J

气氛；

b）确立信息安全目口勺，明确改善方向：

c）通过内审、风险分析，不停寻求改善机会，并作出合适改善

活动安排：

d）实行纠正和防止措施，实现改善；

e）在管理评审中评价改善效果，确定新的改善目的。

8.2纠正措施

8.2.1总则

为消除与ISMS规定不符合H勺原因，防止不符合情形再次发生，对

纠正措施的实行进行有效控制，我司建立并保持《纠正措施控制程

序》。

8.2.2纠正措施的信息来源

a）风险评估；

b）员工及客户的信息反馈（包括意见、提议和投诉）；

c）内、外部审核提出的不合格项；

d）管理评审提出的改善决策。

8.2.3纠正措施的制定

a）XX企业组织有关人员对发现的天符合和各方反馈意见进

行汇总，分析不合格原因；

b）评价保证不符合不再发生所需的措施；

c）制定纠正措施，填写《纠正措施实行跟踪表》，下发各有

关部门执行。

8.2.4纠正措施的实行

各有关部门应严格按纠正措施的内容组织实行，做好实行记

录，实行完毕后提交XX企业进行验证。

8.2.5纠正措施的验证

XX企业负责纠正措施实行效果的跟踪评审，并做好记录，验

证内容包括：

a）措施与否按期完毕；

b）与否按纠正措施内容规定实行完毕；

c）措施成果与否到达预期用时，如未到达预期目的应重新组

织分析，制定新的纠正措施；

d）实行成果与否保留记录

8.2.6通过评审的纠止措施内容可纳入信息安全管理体系文献，由此产生

的信息安全管理体系文献的修改，应按《文献控制程序》执行。

8.3防止措施

8.3.1总则

为消除与ISMS规定潜在不符合叫原因，防止不期望情形的发生，

对防止措施的实行进行有效控制，我司建立并保持《防止措施控制

程序》。

8.3.2防止措施的信息来源

a）风险评估；

b）员工及客户的信息反馈（包括意见、提议和投诉）；

c）内、外部审核提出时不合格项：

d）管理评审提出的改善决策。

8.3.3防止措施的制定

a）XX企业每六个月组织有关部门对也许存在的、潜在H勺不

符合情形进行汇总，分析不符合原因，制定防止措施，填

写《防止措施实行跟踪表》，下发各有关部门执行；

b）各部门及有关人员分析原因后，认为原因较复杂，无力处

理和实行时，上报管理者代表，由管理者代表召开专题会

议，分析原因，制定措施，报总经理审批；

c）同行业所发生的重大的信息安全问题，在我司也也许存

在，对于这种潜在的不符合情形，由XX企业组织有关人

员进行讨论.制定措施并实行，管理者代表同意：

d）防」二措施应与潜在的不符合的影响程度相适应。

8.3.4防止措施的实