IT-IT-M-0003信息安全管理体系手册

IT-IT-M-0003信息安全管理体系手册

信息安全治理手册

密级口除秘口保密■内部使用口公布信息受控状态■受控口非受控

2020-12-01颁布封面2020-01-01实施

深圳市xxxx信息中,成件历雌纵记录

文件名称信息安全治理手册

文件编号IT-IT-M-0003

对应0A文号

版次编制与修订概要完成日期状态

角色人员

编写

初审

会签

审核

批准

第一章前言

随着XXXX业务进展日益增长，信息交换互连面也随之增大，信

息业务系统依靠性扩大，所带来的信息安全风险和信息脆弱点也逐步

出现，原有信息安全技术和治理手段专门难满足目前和以后信息化安

全的需求，为确保XXXX信息及信息系统的安全，使之免受各种威逼

和损害，保证各项信息系统业务的连续性，使信息安全风险最小化，

XXXX每年开展网络与信息系统安全风险评估及等级爱护测评，定期

对等级爱护测评与风险评估活动过程中的风险漏洞进行全面整改，分

析了信息安全治理上的不足与缺陷，编制了差距测评报告。通过开展

信息安全风险评估和等级爱护测评，了解XXXX信息安全现状和以后

需求，为建立XXXX信息安全治理体系奠定了基础。

2020年7月开展信息安全治理体系连续改进建设，依据信息安

全现状和以后信息安全需求及GB/T22080-2020/ISO/IEC27001:2005

信息安全治理体系的标准要求，建立了符合xxxx信息安全治理现状

和治理需求的信息安仝治理体系，该体系覆盖了

GB/T22080-2020/ISQ/IEC27001:2005信息安全治理体系的标准要求

12个操纵领域、39个操纵目标和133个操纵措施。

本手册是xxxx信息安全治理体系的纲领性文件，由信息中心归

口负责说明。

第二章信息安全治理手册颁布令

xxxx（以下简称公司）依据GB/T22080-2020/ISO/IEC27001:2005

信息安全治理体系标准耍求，结合限公司实际情形，在原有的各项治

理制度的基础上编制完成了《xxxx信息安全治理体系手册》第一版，

现予以批准实施。

«xxxx信息安全治理体系手册》是公司在信息及信息系统安全方

面的规范性文件，手册阐述了限公司信息安全服务方针，信息安全目

标及信息安全治理体系的过程方法和策略，是公司信息安全治理体系

建设实施的纲领和行动准那么，是公司开展各项服务活动的差不多依

据；是对社会各界证实我公司有能力稳固地提供满足国际标准信息安

全要求以及客户和法律法规相关要求的有效证据。适合公司信息化目

前进展趋势需求，且内容充分、表达准确，现予颁布。

本手册定于2020年8月1日起实施，属强制性文件，要求各部

门所有人员必须正确明白得并严格贯彻全面执行。

XXXX

总经理签名：

日期：2020年01月01日

第三章公司介绍

1.企业简介

xxxx(以下简称xxxx)始创于2002年4月，大致通过三个进展时期：第一

时期，2002年一2004年，为创业期，全力开拓市场，实现在竞争猛烈的行业中

立足；第二时期，2004—2006年，为整合期，整合一切有效资源，重力推出新

产品，奠定以优质产品占据市场的方向，梳理并确立了经营理念、进展愿景、经

营方针，完成了股份制改芭；第三时期，2006—至今，为蜕变期，立足电气传动、

工业操纵领域，为全球用户提供专业化产品和服务，于2020年在深交所A股上

市，股票代码：002334,步入不断提升企业核心竞争力，并实现飞跃的时期。

目前xxxx设有国内办事处30多个，海外办事处2个，拥有海内外经销合作

伙伴上百家，用户遍布全球50多个国家和地区。

xxxx是国家级高新技术企业，拥有深圳市唯独的''变频器工程技术研究开

发中心”。

在吸取国外先进技术的基础上，结合近十年变频推广应用体会和当今电力电

子最新操纵技术，研制出高、中、低压通用及各行业专月变频器、交流伺服系统、

制动单元、能量回馈单元等产品。并在市政、建材、塑胶、油田、机械、化工、

冶金、纺织、印刷、机床、矿山等行业广泛应用。

xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压

660V/1140V系列、高压CHH(3KV/6KV/10KV)系列等，功率范畴涵盖0.4〜8000kW,

满足不同行业不同场合的各种变频操纵应用需求。

成熟矢量操纵技术、各行业专用变频操纵技术的把握以及国际领先四象限操

纵技术的突破使xxxx的进展连续领先，成为中国变频器行业的领导者。高性能

交流伺服系统的开发与成功应用标志着xxxx向运动操纵领域的拓展与延伸。

xxxx在“众诚德厚、业精志远〃的经营理念指导下，坚持在不断创新、精

益求精中与包括职员、股东、供应商、客户等宽敞合作伙伴共同进展，公司的自

主创新及品牌美誉度在行业中差不多占有重要地位，并得到社会的广泛认同。

2.企业文化

经营理念：众诚德厚业精志远

愿景：成为全球领先、受人尊敬的电气传动、工业操纵领域的产品和服务供

应商。

使命：竭尽全力提供物超所值的产品和服务，让客户更有竞争力。

经营方针：创新品质标准化共同进展

核心价值观：众诚德厚拼搏创新

人才理念：人才是企业第一资本尊重人才，经营人才

质量方针：提供不断优化的产品和服务，提高客户中意度。

3.企业标识：

标识释义：

xxxx企业标徽有两种色彩：xxxx红(M100Y80)、xxxx蓝(C100M80

K40),红色表达进取和活力，蓝色象征包容和用心的钻研精神。字体设计简洁、

凝聚、浑厚、扩张，传达xxxx通过与合作伙伴和职员的合力凝聚牢固产品品质，

厚重企业诚信、拼搏创新、走向国际、再创新高的思恁。

＞"INVT"是变频器(inverter),也是创新(innovation)和美德(virtue)

的结合，是xxxx核心价值观''众诚德摩，拼搏创新〃的标识承载；

＞首字母、'i"色彩红蓝结合，强调XXXX企业一一个人与团队、个人与公

司、xxxx与客户、供应商的相互信任，共同进展；

＞红色圆点是旭日也是星球，蓝色表达企业所在地域一一滨海都市深圳，

表达xxxx电气立足本土，致力于成为全球领先、受人尊敬的电气传动、

工业操纵领域产品/服务供应商的远景目标。

第四章信息安全治理目标

依照国家信息安全等级爱护要求、公司下达的目标与指标、公司

信息化进展战略目标、信息安全风险评估结果、信息用户的中意度，

结合公司实现目标所需的资源，识别公司的信息安全目标与指标。

公司每年年底制定下一年度的信息安全目标与指标，公司制定完

成信息安全目标与指标的工作打算，将目标、指标的层层分解，并落

实完成。以下是详细的信息安全目标：

目标统计

目标类别目标项目标换算方法

值周期

（不可同意风险数处理数/不可受风险总数）年

不可同意风险处理率100%

X100%

除秘信息泄^事件。次按实际发生次数统计年

年

隐秘信息泄密事件。次按实际发生次数统计

年

专门重大突发事件（I级）0次按实际发生次数统计

信

息年

重大突发事件（II级）。次按实际发生次数统计

安

全

目年

较大突发事件（HI级）。次按实际发生次数统计

标

年

一样突发事件（IV级）0次按实际发生次数统计

内部审核及治理评审实施及年

100%按打算实施

时率

（入职职员参训人数/入职职员总数）X年

职员入职培训完成率100%

100%

年

信息安全培训打算完成率100%（实际培训次数/打算培训次数）X100%

年

大面积感染运算机病毒次数0次按实际发生次数统计

由于网络故障导致关键业务年

信。次按实际发生次数统计

息中断次数

安年

全职员保密协议签订率100%（实际签订人数/入职总人数）X100%

运

行年

市要信息备份及时率100%（实际备份数/打算备份数）X100%

指

标

（不符合项整改完成数/不符合项总数）X年

内部审核不符合项整改率290%

100%

年

运算机故障处理完成率100%（实际处理数/故障总数）X100%

目标统计

目标类别目标项目标换算方法

值周期

年

容量不足导致业务故障次数W3按实际发生次数统计

年

运算机口令强度符合率100%（帐号符合数/帐号总数）XI00%

注：公司的信息安全目标不限此，可依照各部门的实际业务进行洞整或分解。

第五章信息安全会议

1.信息安全会议要求

1.1.公司应在每年一次的信息化工作会议上，总结汇报本年度的信

息安全工作情形。

1.2.公司应在每季度召开的运算机治理会议中，总结本季度的信息

安全工作情形。

1.3.公司信息中心应在每月召开的信息治理工作例会中，总结本月

的信息安全工作情形。

1.4.公司应依照风险变化的需要或在重大活动期间，不定期召开信

息安全专题会。

2.信息安全会议记录治理

2.1.公司应及时制定相关的信息安全治理文件、信息安全数据与记录。

2.2.信息安全治理数据与记录包括：

1）信息安全会议纪要

2）信息安全事故调查报告

3）信息安全事件整改报告

4）信息安全检查整改方案

5）信息安全审计记录

6）技术档案资料

7）培训记录

8）信息安全作业活动数据与记录

9）信息安全事件通报、整改活动

10）信息安全检查活动

11）应急演练活动

12）信息系统定级备案活动

13）信息安全审计活动

14）信息安全风险评估活动

15）数据与记录要求：真实、完整、齐全、准确、及时。

3.信息文件的治理

3.1.依照精简、高效的原那么，制定公司信息安全工作和治理流程，

包括：

1）信息安全治理流程

2）信息安全事件处理流程

3）信息安全应急流程

4）其它相关流程

3.2.每年回忆流程的效率，必要时修订、增加或废止不必要的流程或

环节。

3.3.信息安全治理流程和信息安全事件处理流程纳入信息安全治理体

系中治理

3.4.信息安全应急流程纲入《xxxx网络与信息安全专项应急预案》中治

理。

35依照治理变化、技术变化，公司定期修订如下：

1）更新治理手册、程序文件、作业指导书或治理制度、方法;

2）更新培训要求；

3）更新应急处置程序；

3.6.对涉及到的所有信息安全风险进行回忆分析;

3.7.变化治理需文件化，并储存变化过程的相关记录。

第六章信息安全治理体系

L总那么

1.1.为了加强xxxx(以下简称''xxxx或公司〃)信息安全治理工作，爱护信息系

统的安全，促进信息系统的应用和进展，依照国家有关法律法规，以及变频器行

业的治理规范、行业标准，并遵照公司信息系统安全的有关规定，特制定本手册。

1.2.信息系统的安全爱护范畴包括各信息系统相关的和配套的软件、硬件、信息、

网络和运行环境的安全。

1.3.xxxx信息系统安全治理应遵循''统一规划、预防为主、集中治理、分层爱护、

明确贡任”的原那么。

1.4.xxxx运行中的信息系统是支撑生产的运行设备，各级安全生产责任人对其职

责范畴内的信息系统安全运行负有安全治理责任。

1.5.任何人不得利用信息系统从事危害国家利益、集体利益和其他公民权益的活

动，不得从事危害xxxx信息系统安全的活动。

1.6.本手册适用于公司本部、各基层单位的信息系统的安全爱护工作。公司多经

企业参照执行。

2.规范性引用标准

2.1.«信息安全等级爱护治理方法》(公通字[2007]43号)

22«信息安全技术信息系统安全等级爱护差不多要求》(GB/T22239-2020)

2.3.«信息安全技术信息系统安全等级爱护定级指南》(GB/T22240-2020)

2.4.«信息安全技术信息安全治理有用规那么》(GB/T22081-2020)

2.5.«信息安全技术信息安全风险评估规范”(GB/T20984-2007)

2.6.国家相关法律、法规及合同的要求。

3.术语与定义

3.1.资产asset

任何对组织有价值的东西。

3.2.可用性availability

依照授权实体的要求可访问和利用的特性。

3.3.保密性confidentiality

信息不能被未授权的个人、实体或者过程利用或知悉的特性。

3.4.信息安全informationsecurity

保证信息的保密性、完整性、可用性；另外也可包括诸如真实性，可核杳性,

不可否认性和可靠性等特性。

3.5.信息安全事态informationsecurityevent

信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是

对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状

态。

3.6.信息安全事件informationsecurityincident

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们

具有损害业务运作和威逼信息安全的极大的可能性。

3.7.信息安全治理体系informationsecuritymanagementsystem

是整个治理体系的一部分。它是基于业务风险方法，来建立、实施、运行、

监视、评审、保持和改进信息安全的。

注：治理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过

程和资源。

3.8.完整性integrity

爱护资产的准确和完整的特性。

3.9.残余风险residualrisk

通过风险处理后遗留的风险。

3.10.风险同意riskacceptance

同意风险的决定。

3.11.风险分析riskanalysis

系统地使用信息来识别风险来源和估帚风险。

3.12.风险评估riskassessment

风险分析和风险评判的整个过程。

3.13.风险评判riskevaluation

将估量的风险与给定的风险准那么加以比较以确定风险严峻性的过程。

314.风险治理riskmanagement

指导和操纵一个组织相关风险的和谐活动。

3.15.风险处理risktreatment

选择同时执行措施来更换风险的过程。

注：在本标准中，术语''操纵措施〃被用作''措施〃的同义词。

3.16.适用性声明statementofapplicability

描述与组织的信息安全治理体系相关的和适用的操纵目标和操纵措施的文

档。

3.17.信息系统

是指由运算机及其相关配套的设备、设施（含网络）构成的，按照一定的应

用目标和规那么对信息进行采集、加工、储备、传输、检索等处理的人机系统，

包括治理信息系统和生产操纵系统。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括诸如真实性，可核查性,

不可否认性和可靠性等。

3.19.信息系统运行单位

是指信息系统资产归属单位，关于托管的信息系统有另行约定的除外。

3.20.信息安全工作人员

是指包括信息安全治理人员、信息安全技术人员（包括防火墙、入侵检测系

统、漏洞扫描系统、防病毒系统等信息安全相关设备的治理员）和信息安全审计

员。

3.21.信息工作人员

是指与关键信息系统（涉及公司生产、建设与经营、治理等核心业务且有保

密要求的信息系统）直截了当相关的系统治理人员、网络治理人员、关键业务信

息系统开发人员、系统爱护人员、关键业务信息系统操作人员等。

3.22.第三方

是指软件开发商、硬件供应商、系统集成商、设备爱护商、服务提供商以及

其它外协单位。

3.23.第三方人员

是指包括软件开发商出、硬件供应商、系统集成商、设备爱护商、服务提供

商及其它外协服务单位的工作人员，以及实习学生和其他临时工作人员。

3.24.信息资产

是指公司在生产、经营和治理过程中，所需要的以及所产生的，用以支持（或

指导、或阻碍）公司生产、经营和治理的一切有用的数据和资料等非财务的无形

资产，其范畴包括现在的和历史的。

3.25.信息系统运行爱护单位

是指与信息系统运行单位签订爱护合同的专业服务提供商。

3.26.信息安全等级爱护

是指依照国家信息安全等级爱护相关治理文件，确定信息系统的安全爱护等

级，并开展相应的信息系统安全等级爱护工作。

3.27.信息安全评估

是指，按照《治理方法》和有关技术标准，开展信息系统安全等级爱护的自查

自纠、差距评测、安全整改等续工作。

3.28.安仝风险治理

是指采纳风险治理的理念与方法来识别、评估信息系统面临的风险，制定风

险操纵措施，并将风险降低到可同意的程度，安全风险治理包括风险评估和风险

操纵。

注：基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义

务以及组织关于信息安全的业务要求，制定操纵目标和操纵措施。

3.29.标准缩写

ISMS：信息安全治理体系（InformationSecurityManagementSystems）；

SoA：适用性声明（StatementofApplicability'：

PDCA：建立、实施和运行、监视和评审、保持和改进（Plan、Do、Check、

Act）o

4.信息安全治理体系

4.1.总要求

依照GB/T22080-2020/1SO/1EC27001:2005信息安全治理体系要求标准在

整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改

进文件化的信息安全治理体系。ISMS所涉及的过程基于以下PDCA模式：

策划

相关方相关方

实施

信息安全I已被治理

要求&期/.

的信息安

弟、法律I令

图4-1PDCA模型

规划（建立ISMS）建立与治理风险和改进信息安全有关的ISMS方针、目

标、过程和程序，以提供与组织总方针和总目标相一致

的结果。

实施（实施和运行ISMS）实施和运行ISMS方针、操纵措施、过程和程序。

检查（监视和评审ISMS）对比ISMS方针、目标和实践体会，评估并在适当时，

测量过程的执行情形，并将结果报告治理者以供评审。

处置（保持和改进ISMS）基于ISMS内部审核和治理评审的结果或者其他相关信

息，采取纠正和预防措施，以连续改进ISMS。

本手册中提出的用于•信息安全治理的过程方法鼓舞其用户强调以下方面的

重要性：

a）明白得xxxx的信息安全要求和建立信息安全方针与目标的需要；

b）从组织整体业务风险的角度，实施和运行操纵措施，以治理xxxx的信息

安全风险；

c）监视和评审ISMS的执行情形和有效性；

d）基于客观测量的连续改进。

本标准采纳了''规划（Plan）-实施（Do）-检查（Check）-处置（Act）”

（PDCA）模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相

关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些

要求和期望的信息安全结果。图4-1描述了4、5、6、7和8章所提出的过程间

的联系。

采纳PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）

中所设置的原那么。本标准为实施OECD指南中规定的风险评估、安全设计和实

施、安全治理和再评估的原那么提供了一个强健的模型。

4.2.ISMS的建立、实施和运作、监督和评审、保持和改进

4.2.1.建立ISMS

4.2.1.1.xxxxISMS的范畴和边界

依照业务、组织、资产、位置.等方面的特性，确定ISMS的范畴和边界。xxxx

信息安全治理体系的范畴和边界包括：

(1)业务边界：xxxx为开展供电业务，在治理信息大区范畴内实施的信息安

全治理。

(2)组织边界：xxxx信息中心；

(3)资产边界：xxxx负责治理的信息资产；

(4)物理边界：广东省广州市天河区天南二路239号和梅花路机房

4.2.1.2.确定xxxxISMS方针应满足以下要求

(1)确保为ISMS方针建立一个框架并为信息安全实施和运作、监督和评审、

保持和改进的活动建立系统的方向与原那么；

(2)确定业务进展、法律法规要求及其它相关方合同涉及的信息安全要求；

(3)在组织的战略和风险治理下，建立和保持ISMS；

(4)建立风险评判的准那么和机团队；

(5)获得信息安全领导小组批准。

4.2.1.3.风险评估的系统方法

xxxx信息中心负责建立信息安全风险评估操纵程序并组织实施。风险评估

操纵程序包括可同意风险准那么和可同意水平，所选择的评估方法应确保风险评

估能产生可比较的和可重复的结果。具体的风险评估过程操纵执行《信息安全风

险评估程序》,以下是风险评估流程图；

风险评估流程图

4.2.1.4.风险识别

在已确定的1SMS范畴内，对所有的信息资产进行列表识别。信息资产包括

软件/系统、数据/文档、硬件/设施、服务、人力资源。对■每一项信息资产，依照

重要信息资产判定依据确定是否为重要信息资产，形成《重要信息资产清单

4.2.1.5.评估风险

(1)针对每一项重要信息资产，参考《信息安全威逼列表》及以往的安全事故

(事件)记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临的

威逼;

(2)针对每一项威逼，考虑现有的操纵措施，参考《信息安全薄弱点列表》识

别出可能被该威逼利用的薄弱点;

(3)综合考虑以上2点，按照《威逼发生可能性等级表》中的判定准那么对每

一个威逼发生的可能性进行赋值；

(4)依照《威逼阻碍程度判定准那么》,判定一个威逼发生后对信息资产在保

密性(C)、完整性⑴和可用性(A)方面的损害及对公司业务的威逼阻碍程度，对其

威逼阻碍程度进行赋值；

(5)进行风险大小运算时，考虑威逼产生安全故障的可能性及其所造成阻碍

程度两者的结合，依照风险运算公式来运算风险等级；

(6)关于信息安全风险，在考虑操纵措施与费用平稳的原那么下制定风险同

意准那么，按照该准那么确定何种等级的风险为不可同意风险。

4.2.1.6.风险处理方法的识别与评判

xxxx信息中心组织有关部门依照风险评估的结果，形成《风险处理打算必

该打算应明确风险处理责任部门、方法及时刻。关于信息安全风险，应考虑操纵

措施与费用的平稳原那么，选用以卜适当的措施：

(1)采纳适当的内部操纵措施；

(2)同意某些风险(不可能将所有风险降低为零)；

(3)规避某些风险(如物理隔离)；

(4)转移某些风险(如将风险转移给保险公司、供应方)。

4.2.1.7.选择操纵目标与操纵措施

(1)信息中心依照信息安全方针、业务进展要求及风险评估的结果，组织

有关部门制定信息安全目标，并将目标分解到有关部门。信息安全目标应获得信

息安全领导小组的批准。

(2)操纵目标及操纵措施的选择原那么来源于

GB/T22080-2020/ISO/【EC27001:2005信息安全治理体系要求标准附录A,具体

操纵措施能够参考GB/T22081-2020/ISO/IEC27002:2005«信息技术一安全技术—

信息安全治理实施细那么刀。xxxx依照信息安全治理的需要，能够选择标准之外

的其他操纵措施。

4.2.1.8.适用性声明

信息中心负责《信息安全治理体系适用性声明》(SoA)编制，由信息中心归

口治理。该声明包括以下方面的内容：

(I)所选择操纵目标与操纵措施的概要描述；

(2)当前差不多实施的操纵；

(3)对GB/T22080-2020/ISO/IEC27001:2005信息安全治理体系要求附录A中

未选用的操纵目标及操纵措施的说明。

注：该声明的详细内容见《信息安仝治理体系适用性声明”。

4.2.2.ISMS实施及运行

4.2.2.1.ISMS岗位职责和权限

(1)信息安全领导小组组长为公司信息安全最高治理者。领导小组要紧职责:

a)国家有关信息安全的政策、法律和法规，以及南方电网公司和公司的

统一部署要求，审查、批准xxxx信息安全策略、治理规范和技术标

准；

b)部署信息安全总体工作，审定信息安全投资策略，建立工作考评机制;

c)指导信息安全保证体系建设和应急治理。

(2)信息安全工作小组要紧职责：

a)依照信息安全领导小组的工作部署，对信息安全工作进行具体安排、

落实；

b)货彻执行信息安全领导小组的决议，和谐、督促各部门、各单位的信

息安全工作；

c)制订信息安全策略和投资策略，组织对信息安全工作制度和技术操作

策略的审查，并监督执行；

d)同意各单位的紧急信息安全事件报告，组织信息安全应急处置工作，

并开展事件调查、分析缘故、涉及范畴和评估安全事件的严峻程度，

提出信息安全事件防范措施；

e)及时向信息安全领导小组和上级有关部门、单位报告信息安全事件：

0跟进先进的信息安全技术，组织信息安全知识的培训和宣传工作。

(3)信息安全治理体系的治理者代表对公司信息安全负有以下职责：

a)建立并实施信息安全治理体系必要的程序并坚持其有效运行；

b)对信息安全治理体系的运行情形和必要的改善措施向信息安全领导

小组报告。

(4)各部门负责人为本部门信息安全治理者，全体职员都应按保密承诺的要

求自觉履行信息安全保密义务；

4.2.22各部门应按照《信息安全治理体系适用性声明》中选择的操纵目标与目

标的操纵措施，确保ISMS有效实施与运行，并开展以下活动：

(1)确保信息安全风险的有效治理，制定《风险处理打算》,以便明确治理措

施、所需资源、工作职责及识别活动的优先顺序；保证已识别的操纵目

标实施《风险处理不算》;

(2)确保处理风险所选择的操纵措施，以满足操纵目标；

(3)确保所选操纵措施有效测量；

(4)制定《信息安全培训打算》并加以实施，提高全员信息安全意识和能力；

(5)治理ISMS的运行；

(6)治理ISMS的资源；

(7)制定信息安全事件或事故的程序操纵措施，以便迅速的检测安全事件与

安全事故的响应。

422.3.ISMS的监督检查与评审

通过实施不定期安全检杳、内部审核、事故报告调杳处理、电子监控、定期

技术检查(如口志审核)等操纵措施并报告结果以实现：

(1)及时发觉信息安全体系的事故和隐患；

(2)及时了解信息处理系统遭受的各类攻击；

(3)使治理者把握信息安全活动是否有效，并依照优先级别确定所要采取的

措施；

(4)积存信息安全方面的体会。

422.4.依照以上活动的结果以及来自相关方的建议和反馈，由信息安全工作

小组组长主持，定期(每年至少一次)对ISMS的有效性进行评审，其中包括信

息安全范畴、方针、目标及操纵措施有效性的评审。治理评审的具体要求，见本

手册第7章。

4.2.25信息中心应组织有关部门按照《信息安全风险治理程序》的要求对风险

处理后的残余风险进行定期评审，以验证残余风险是否达到可同意的水平，对以

下方面变更情形应及时进行风险评估：

(1)组织机构发生重大变更时；

(2)信息处理技术发生重大变更时；

(3)xxxx业务目标及流程发生重大变更时：

(4)发觉信息资产面临重大威逼时；

(5)外部环境，如法律法规或信息安全标准发生重大变更时。

4226保持上述活动和措施的记录。

4.2.3.ISMS保持与改进

xxxx开展以卜活动，以确保1SMS的连续改进：

4.2.3.1,实施每年安全检查、内部审核、治理评审等活动以确定需改进的项目；

423.2.按照《内部审核治理程序》、《纠正与预防措施操纵程序》的要求采取适

当的纠正和预防措施；吸取其他组织及xxxx安全事故的体会教训，不断改进现

有安全措施。

4233对信息安全目标及分解进行适当的治理，确保改进达到预期的成效。

4.2.34为了确保信息安全治理体系的连续有效，各级治理者应通过适当的手

段对信息安全措施的执行情形与结果进行有效的交流与沟通。与外部信息安全专

家、信息安全机构、政府行政主管部门、电信运营商等组织保持联系。与外部专

家、服务商等外部机构的联系方式见《对外联系表》。

4.3.文件要求

4.3.1.总那么

依照GB/T22080-2020/ISO/IEC27001:2005信息安全治理体系标准要求并结

合xxxx实际情形建立xxxx信息安全治理体系文件结构，体系文件分为四级，分

别为一级文件、二级文件、三级文件及四级记录性文件。

(1)一级文件为信息安全治理体系手册(包含信息安全方针、目标)和适用

性声明等；

(2)二级文件为信息安全治理体系建立实施的相关程序文件；

(3)三级文件为信息安全治理体系建立实施的相关制度、方法和规程等；

(4)四级文件为信息安全治理体系实施运行过程中的记录类文件。

4.3.2.文件操纵

为确保文件的修订得到操纵，使用现场得到有效版本的文件，防止作废文件

的非预期使用，在《文件操纵程序》中明确规定了文件的编制、评审、批准、发放、

使用、更换、再次批准、标识、回收、作废和储存期限等治理。

注：以上程序详细「容见《文件操纵程序》。

4.3.3.记录操纵

为提供有效的信息安全治理体系运行的符合性证据，并具有追溯、证实和依

据记录采取纠正和预防措施的作用，在《记录操纵程序对明确规定了记录的填写

要求、标识、收集、储存、检索、防护、储存期限和处理所需的操纵。

注：以上程序详细内容见＜6己录操纵程序》。

5.治理职责

5.1.治理承诺

信息安全领导小组承诺按GB/T22080-2020/ISO/IEC27001:2005信息安全治

理体系标准要求建立、实施、运行、监视和评审，并通过连续保持和改进，使体

系不断进展和完善。通过以下活动，确保上述承诺得以实现：

制定ISMS方针：

(1)制定ISMS目标和实施打算；

(2)建立信息安全组织机构并明确职责；

(3)通过适当的沟通方式，利用多种方式向全体职员传达并使他们认识到满

足信息安全目标、符合信息安全方针以及法律、法规要求，连续改进信

息安全的重要性；

(4)提供适当的资源以满足信息安全治理体系建立、实施、运行、监视、评

审、保持和改进的需要；

(5)对可同意风险的等级进行判定；

(6)组织实施ISMS内部审核；

(7)组织实施ISMS治理评审。

5.2.资源治理

5.2.1.资源提供

确保并提供实施、保持信息安全治理体系所需资源，并采取适当措施，以保

证：

(1)建立、实施、运作、监视、评审、保持和改进【SMS；

(?)确保信息安全治理程序符合业务支持流程要求：

(3)识别和满足法规要求以及合同中的安全义务；

(4)通过正确实施所有的操纵措施保持适当的信息安全；

(5)必要时，应对资源提供进行评审，并按评审结果执行；

(6)在需要时，改进ISMS资源的有效性。

5.2.2.能力、意识和培训

为提高全员信息安全的意识，确保相关人员履行信息安全职贞所需的能力，

应采取并实施以下的治理活动：

(1)确保与1SMS有关工作人员具备必要的信息安全能力；

(2)实施信息安全意识和能力的教育及培训并评判其培训的有效性；

(3)通过宣传和其他活动使职员普遍认识到信息安全职责的重要性，为实现

信息安全目标做出各自的奉献；

(4)保持教育、培训、技能、经历和资格或其他活动的记录：

注：以上程序详细内容见《教育培训操纵程序》

5.3.安全职责

5.3.1.信息安全治理组织机构和人员职责

XXXX信息安全治理机构有XXXX信息安全领导小组和XXXX信息安全工作小

组，并配置相应的信息安全工作人员，包括信息安全治理人员、信息安全技术人

员、信息安全审计员。

5.3.2.xxxx信息安全领导小组

5.3.2.1.xxxx成立信息安全领导小组。xxxx信息安仝领导小组是公司信息安仝的

最高决策机构。

5322xxxx信息安全领导小组组长由分管生产安全的公司领导担任。

532.3.信息安全领导小组要紧职货如卜.：

a）对公司信息安全领导小组负责。

b）依照国家和行业有关信息安全的政策、法律和法规，批准公司信息安全

总体策略规划、治理规范和技术标准。

c）确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。

d）信息安全领导小组卜设两个信息安全工作小组（包括治理信息系统信息

安全工

e）作小组和生产操纵系统信息安全工作小组）和应急处理工作小组，并负

责指导两个工作组的工作。

5.3.3.xxxx信息安全工作小组

5.3.3.1.xxxx信息安全工作组隶属xxxx信息安全领导小组，是领导小组决策的

执行机构，工作组的日常工作由xxxx信息中心承担。

5.3.32xxxx信息安全工作组组长由xxxx信息中心领导担任。

5.3.33xxxx信息安全工作组要紧职责如下：

a）贯彻执行公司信息安全领导小组的决议，和谐和规范公司信息安全工作;

b）依照信息安全领导小组的工作部署，对信息安全工作进行具体安排、落

实；

c）组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安

全总体策略规划，并监督执行；

d）负责和谐、督促各职能部门和有关单位的信息安全工作，参与信息系统

工程建设中的安全规划，监督安全措施的执行；

e）组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全

风险的防范计策；

f）负责同意各单位的紧急信息安全事件报告，组织进行事件调查，分析缘

故、涉及范畴，并评估安全事件的严峻程度，提出信息安全事件防范措

施；

g）及时向信息安仝工作领导小组和上级有关部门、单位报告信息安仝事件。

h）跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

5.3.4.xxxx应急处理工作小组

5.3.4.1.xxxx应急处理工作小组组长由xxxx信息中心领导担任。

5342xxxx应急处理工作小组要紧职责如下：

a）审定公司信息系统的安全应急策略及应急预案,

b）决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，

复原系统。

c）每年组织对信息安全应急策略和应急预案进行测试和演练。

d）应对公司内发生的大规模信息安全事件，和谐指挥事故处理以及事故后

系统复原工作。

5.3.5.xxxx信息中心

xxxx信息中心是xxxx信息安全小组领导下的信息系统安全的职能和技术归

口治理部门，并直截了当负责治理信息系统的安全治理和技术监督工作，其职责

要紧包括：

5.351.组织制定xxxx信息安全爱护工作的总体目标和总体策略。同时依照信息

系统治理要求、运行环境的变化，以及系统本身的变化，及时更新信息安全爱护

工作的总体目标、策略、规划、技术标准和治理制度。不断提高信息安全治理的

技术水平和治理手段。

5.352.组织开展xxxx的唁息安全等级爱护工作，并进行xxxx信息安全评估和

风险治理工作，组织编写信息安全爱护工作的总体技术规范、治理制度、技术方

案和实施打算，并负责组织实施。

5353负责同意各单位的紧急信息安全事件报告，组织进行事件调查，分析缘

故、涉及范畴，并评估安全事件的严峻程度，提出信息安全事件防范措施；

535.4.跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

5355监督指导各治理信息系统的开发建设人员、运疔人员、爱护人员、业务

使用人员执行信息系统安全爱护的技术标准和治理制度。

5356组织对信息安全事故的调查取证工作，对其中涉及违纪违法、严峻违规

的事故配合人力资源部进行调查，并提出处理意见。

53.5.7.负责监督治理数据中心及公司本部网络、设备、运行环境，以及集中治

理的信息系统的安全爱护工作。

5.3.58完成其他上级信息安全治理机构交办的信息治理系统安全防护工作。

5.3.6.各级安全责任人

各级安全生产责任人是其职责范畴内的信息系统安全运行治理的责任人。各

级安全生产贡任人职责：

536.1.负责监督执行xxxx制定的信息安全策略、治理制度和技术标准。

536.2.负责监督治理其职责范畴内信息系统及其附属网络、设备、软件、信息、

运行环境的安全爱护工作。

5.3.63.负责监督执行xxxx信息安全爱护的其他工作。

5.3.7.基层单位运算机及网络专责

基层单位运算机及网络专责是本单位范畴内治理信息系统安全运行工作的

责任人兼信息安全员。基层单位自动化专责是本单位范畴内生产操纵系统信息安

全运行工作的责任人兼信息安全员。其安全职责：

5.3.7.1.负责执行公司制定的信息安全策略、治理制度和技术标准。

5.372.负责执行责任范畴内信息系统及其附属网络、设备、软件、信息、运行

环境的安全爱护工作。

5.373.定期向技术监督部门报告本单位的信息安全情形，对安全缺陷和事故应

及时汇报。治理信息系统类安全情形向信息中心汇报，生产操纵系统类安

537.4.全情形向调度中心汇报。组织本单位职员进行信息安全知识的培训和宣

传工作。

5375在职能治理部门指导下，完成xxxx信息安全等级爱护、安全评估、风险

治理及其他工作。

5.3.8.信息安全工作人员

53.8.1.信息安全工作人员差不多要求

5.3.82信息安全工作人员应由政治可靠、业务素养高、遵纪守法、恪尽职守的

人员担任。

5383信息安全工作人员应有运算机专业工作三年以上经历，及具备本科以.上

学历。

53.8.4.兼职信息安全人员应有电力生产业务工作五年以上或专职运算机治理工

作三年及以上经历，具备专科以上学历。

5385违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全相

关工作。

5.3.86信息安全，作人员在行使职责时，确因工作需要，经批准，可了解涉及

电力生产、经营与治理有关的信息系统的隐秘信息。

5387信息安全工作人员差不多职责：

a）信息安全工作人员发觉本单位重大信息安全隐患，有权向公司信息中心

报告。

b）信息安全工作人员发觉信息工作人员使用不当，应及时建议有关单位、

部门进行调整。

c）信息安全工作人员必须严格遵守国家有关法律、法规和公司有关规章制

度，严守公司商业隐秘。

5.3.88信息安全工作人员包括信息安全治理人员、信息安全技术人员、信息安

全审计员，其相应的职责分别如下：

a）负责信息安全治理的日常工作。

b）组织开展信息安全检查，对信息工作人员安全工作进行指导和监督。

c）组织开展信息安全知识的培训和宣传工作。

d）监控信息安全总体状况，提出信息安全分析报告。

e）及时向信息安全领导小组和有关部门、单位报告信息安全事件。

5.3.9.信息安全技术人员职责

a）负责信息安全相关设备（包括防火墙、入侵检测系统、漏洞扫描系统、

防病毒系统等）的bl常运行爱护治理。

b）负责防火墙系统策略的安全配置。

c）负责定期查看入侵检测系统日志，对入侵检测系统发觉的恶意攻击行为

进行跟踪处理。

d）负责漏洞扫描软件（包括漏洞库）的治理、更新和公布。

e）负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏

洞扫描。

f）负责设备、系统等补丁升级、安全加固。

g）负责定期更新反病毒数据库和程序模块，定期执行皆杀病毒任务。

h）负责定期升级垃圾邮件网关特点库、定期爱护垃圾邮件网关黑白名单和

规那么库设置.

i）负责紧密注意最新网络攻击行为的发生、进展情形，关注和追踪业界公

布的攻击事件。

j）负责紧密注意最新漏洞的发生、进展情形，关注和追踪业界公布的漏洞

疫情；

k）负责紧密关注权威机构最近公布的病毒分析报告、最新恶性病毒的防范

报警以及应急处理方法。

5.3.10.信息安全审计员职责

a）负责监督检查单位内部信息安全审计制度及事实上施情形。

b）定期检查信息系统的用户权限设置及安全配置是否与信息系统安全策规

定相符合，监督检查信息系统数据安全治理工作。

c）监督信息系统的运行情形，定期查看日志记录，对信息系统资源的各种

非法访问事件进行分析、提出安全风险防范计策。

5.3.11.信息工作人员

信息工作人员包括系统治理员、系统爱护员、系统开发员、数据库系统治理

员、应用系统治理员、网络治理员、业务操作员，其相应的安全责任如下。

5.3.12.系统治理员安全费任

a）负责系统的运行治理，实施系统安全运行细那么。

b）严格用户权限治理，爱护系统安全正常运行。

c）负责对所管辖的服务器操作系统进行安全配置.，并定期对所管辖的服务

器操作系统进行安全检查。

d）认真记录系统安全事项，及时向信息安全人员报告安全事件。

e）对进行系统操作的其他人员予以安全监督。

5.3.13.系统爱护员安全责任

a）负送系统爱护，及时解除系统故障，确保系统正常运行。

b）不得擅自改变系统配置和功能。

c）不得安装与系统无关的运算机程序。

d）爱护过程中，发觉安全漏洞应及时报告信息安全工作人员。

5.3.14.系统开发员安全责任

系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。

a）系统投产运行前，应完整移交系统源代码和相关涉密资料。

b）不得对系统设置''后门〃或添加''恶意代码〃,

c）对系统核心技术保密。

5.3.15.数据库系统治理员安全贡任

a）负责数据库治理系统的安装、备份和爱护，保证系统的安全、正常运行。

b）负责对所管辖的数据库系统进行安全配置，并定期对所管辖的数据库系

统进行安全检查。

c）负责定期检查数据库数据的完整性和可用性，发觉系统故障及时排除，

做好系统复原。

5.3.16.应用系统治理员安全责任

a）应依照顾用系统的安全策略，负责应用系统的用户权限设置以及系统安

全配置。

b）紧密注意应用系统运行中发生的系统故障、安全事件，关注应用系统存

在的隐患，收集业务用户的问题反映，及时报告信息治理部门和业务主

管部门。

c）应依照顾用系统运行的实际情形，制定应急处理预案，提交信息治理部

门审定。

5.3.17.网络治理员安全责任

a）负责网络的运行怡理，实施网络安全策略和安全运行细那么。

b）负责安全配置网络参数，严格操纵网络用户访问权限，爱护网络安全正

常运行。

c）负责监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及

时向信息安全工作人员报告安全事件。

d）负责对操作网络治理功能的其他人员进行安全监督。

5.3.18.业务操作员安全去任

a）严格执行系统操作规程和运行安全治理制度。

b）不得向他人提供自己的操作口令，不得把PKI数字证书介质借给他人使

用。

c）及时向系统治理员报告系统各种专门事件。

5.3.19.一般职员

一般职员的安全责任如下：

a）每个职员须有责任爱护本单位的运算机资源、设备及数据信息。

b）每个职员有责任确保本机须符合信息安全措施要求，包括加入域、安装

统一的防病毒软件、软件补丁，并定期升级。

c）因工作需要访问互联网的职员，经审批后只能使用本单位互联网出口。

不得以任何设备（如手机、ADSL.MODEM等）私自将本单位运算机接入

互联网。

d）离开办公室或工作区域，须锁定运算机屏幕或关闭运算机。在办公室之

外的地点工作，须将笔记本电脑置于操纵之下,

e）严格遵守''涉密信息不上网，上网信息不涉密”的纪律。未经授权不准

制作、复制、公布、传播任何可能泄漏国家隐秘、单位商业隐秘、工作

隐秘的信息。

f）禁止通过本单位运算机及网络访问不良及政治敏锐网站，禁止传播、扩

散不良或政治敏锐信息，严禁利用本单位运算机及网络从事违法活动。

g）发觉紧急事件（如运算机感染病毒、非法入侵等）时，须第一断开网络

连接，并及时报告信息服务中心或本单位信息安仝人员处理。

h）不得在单位扫瞄与工作无关的网站，不得运行与工作无关的软件，不得

打开来历不明的肺件，职员在单位网络内群发邮件仅能够用于工作目的。

i）未经信息治理部门承诺，职员不得监控网络流量，不得针对单位内的网

络或服务器进行安全扫描程序，不得增加网络设备（如HUB、交换机）到