企业信息安全管理手册范文

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

XXXX有限公司

信息安全管理管控手册

密级口机密口保密■内部使用口公开信息受控状态■受控口非受控

2011-12・01颁布封面2011-01-01实施

深圳市xxxx有限公司信息中心发布

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

文件历史控制记录

文件名称信息安全管理管控手册

文件编号IT-IT-M-OOO3

对应0A文号

版次编制与修订概要完成日期状态

角色人员

编写

初审

会签

审核

批准

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

第一章前言

随着XXXX有限公司业务发展日益增长，信息交换互连面也随之

增大，信息业务系统依赖性扩大，所带来的信息安全风险和信息脆弱

点也逐渐呈现，原有信息安全技术和管理管控手段很难满足目前和未

来信息化安全的需求，为确保XXXX有限公司信息及信息系统的安全,

使之免受各种威胁和损害，保证各项信息系统业务的连续性，使信息

安全风险最小化，XXXX有限公司每年开展网络与信息系统安全风险

评估及等级保护测评，定期对等级保护测评与风险评估活动过程中的

风险漏洞进行全面整改，分析了信息安全管理管控上的不足与缺陷,

编制了差距测评报告。通过开展信息安全风险评估和等级保护测评,

了解XXXX有限公司信息安全现状和未来需求，为建立XXXX有限公司

信息安全管理管控体系奠定了基础。

2011年7月开展信息安全管理管控体系持续改进建设，依据信

息安全现状和未来信息安全需求及

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控体系的标准

要求，建立了符合XXXX有限公司信息安全管理管控现状和管理管控

需求的信息安全管理管控体系，该体系覆盖了

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控体系的标准

耍求12个控制领域、39个控制目标和133个控制措施。

本手册是xxxx有限公司信息安全管理管控体系的纲领性文件，

由信息中心归口负责解释。

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

第二章信息安全管理管控手册颁布令

XXXX有限公司（以下简称公司）依据

GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控体系标准要

求，结合限公司实际情况，在原有的各项管理管控制度的基础上编制

完成了《XXXX有限公司信息安全管理管控体系手册》第一版，现予

以批准实施。

《XXXX有限公司信息安全管理管控体系手册》是公司在信息及

信息系统安全方面的规范性文件，手册阐述了限公司信息安全服务方

针，信息安全目标及信息安全管理管控体系的过程方法和策略，是公

司信息安全管理管控体系建设实施的纲领和行动准则，是公司开展各

项服务活动的基本依据；是对社会各界证实我公司有能力稳定地提供

满足国际标准信息安全要求以及客户和法律法规相关要求的有效证

据。适合公司信息化目前发展趋势需求，且合适的内容充分、表达准

确，现予颁布。

本手册定于2011年8月1日起实施，属强制性文件，要求各部

门所有人员必须正确理解并严格贯彻全面执行。

XXXX有限公司

总经理签名：

日期：2011年01月01日

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

第三章公司介绍

1.企业简介

xxxx有限公司(以下笥称xxxx)始创于2002年4月，大致经过三个发展阶

段：第一阶段，2002年—2004年，为创业期，全力开拓市场，实现在竞争激烈

的行业中立足；第二阶段，2004—2006年，为整合期，整合一切有效资源，重

力推出新产品，奠定以优质产品占据市场的方向，梳理并确立了经营理念、发展

愿景、经营方针，完成了股份制改革；第三阶段，2006—至今，为蜕变期，立足

电气传动、工业控制领域，为全球用户提供专业化产品和服务，于2010年在深

交所A股上市，股票代码：002334,步入不断提升企业核心竞争力，并实现飞跃

的阶段。

目前xxxx设有国内办事处30多个，海外办事处2个，拥有海内外经销合作

伙伴上百家，用户遍布全球50多个国家和地区。

xxxx是国家级高新技术企业，拥有深圳市唯一的“变频器工程技术研究开

发中心”。

在吸收国外先进技术的基础上，结合近十年变频推广应用经验和当今电力电

子最新控制技术，研制出高、中、低压通用及各行业专用变频器、交流伺服系统、

制动单元、能量回馈单元等产品。并在市政、建材、塑胶、油田、机械、化工、

冶金、纺织、印刷、机床、矿山等行业广泛应用。

xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压

660V/1140V系列、高压CIE(3KV/6KV/10KV)系列等，功率范围涵盖。4〜8000kW,

满足不同行业不同场合的冬种变频控制应用需求。

成熟矢量控制技术、各行业专用变频控制技术的掌握以及国际领先四象限控

制技术的突破使xxxx的发展持续领先,成为中国变频器行业的领导者。高性能

交流伺服系统的开发与成功应用标志着xxxx向运动控制领域的拓展与延伸。

xxxx在“众诚德厚、业精志远”的经营理念指导下，坚持在不断创新、精

益求精中与包括员工、股东、供应商、客户等广大合作伙伴共同发展，公司的自

主创新及品牌美誉度在行业中已经占有重要地位，并得到社会的广泛认同。

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

2.企业文化

经营理念：众诚德厚业精志远

愿景：成为全球领先、受人尊敬的电气传动、工业芯制领域的产品和服务供

应商。

使命：竭尽全力提供物超所值的产品和服务，让客户更有竞争力。

经营方针：创新品质标准化共同发展

核心价值观：众诚德厚拼搏创新

人才理念：人才是企业第一资本尊重人才，经营人才

质量方针：提供不断优化的产品和服务，提高客户满意度。

3.企业标识：

标识释义：

xxxx企业标徽有两种色彩:xxxx红(M100Y80)、xxxx蓝(C100M80K40),

红色体现进取和活力，蓝色象征包容和专注的钻研精神。字体设计简洁、凝聚、

浑厚、扩张，传达xxxx通过与合作伙伴和员工的合力凝聚坚固产品品质，厚重

企业诚信、拼搏创新、走向国际、再创新高的思想。

>“INVT”是变频器(inverter),也是创新(innovation)和美德(virtue)

的结合，是xxxx核心价值观“众诚德厚，拼搏创新”的标识承载；

>首字母“i”色彩红蓝结合，强调xxxx企业一一个人与团队、个人与公

司、xxxx与客户、供应商的相互信赖，共同发展；

>红色圆点是旭日也是星球，蓝色体现企业所在地域一一滨海城市深圳，

体现xxxx电气立足本土,致力于成为全球领先、受人尊敬的电气传动、

工业控制领域产品/服务供应商的远景目标。

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

第四章信息安全管理管控目标

根据国家信息安全等级保护要求、公司下达的目标与指标、公司

信息化发展战略目标、信息安全风险评估结果、信息用户的满意度,

结合公司实现目标所需的资源，识别公司的信息安全目标与指标。

公司每年年底制定下一年度的信息安全目标与指标，公司制定完

成信息安全目标与指标的工作相关计划，将目标、指标的层层分解,

并落实完成。下列是详细的信息安全目标：

目标统计

目标类别目标项目标换算方法

值周期

（不可接受风险数处理数/不可受风险总数）年

不可接受风险处理率100%

XI00%

年

机密信息泄密事件0次按实际发生次数统计

年

秘密信息泄密事件。次按实际发生次数统计

年

特别重大突发事件（I级）0次按实际发生次数统计

信

息年

重大突发事件（II级）0次按实际发生次数统计

安

全年

目较大突发事件（IH级）。次按实际发生次数统计

标

年

一般突发事件（IV级）。次按实际发生次数统计

内部审核及管理管控评审实年

100%按相关计划实施

施及时率

（入职员工参训人数/入职员工总数）X年

员工入职培训完成率100%

100%

信息安全培训相关计划完成（实际培训次数/相关计划培训次数）X年

100%

率100%

信

息年

大面积感染计算机病毒次数。次按实际发生次数统计

安

全

运由于网络故障导致关键业务年

。次按实际发生次数统计

行中断次数

指

标年

一员工保密协议签订率100%（实际签订人数/入职总人数）X100%

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

目标统计

目标类别目标项目标换算方法

值周期

年

重要信息备份及时率100%（实际备份数/相关计划备份数）X100%

（不符合项整改完成数/不符合项总数）X年

内部审核不符合项整改率290%

100%

年

计算机故障处理完成率100%（实际处理数/故障总数）X100%

年

容量不足导致业务故障次数W3按实际发生次数统计

年

计算机口令强度符合率100%（帐号符合数/帐号总数）X100%

注：公司的信息安全目标不限此，可根据各部门的实际业务进行调整或分解。

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

第五章信息安全会议

1.信息安全会议要求

1.1.公司应在每年一次的信息化工作会议上，总结汇报本年度的信

息安全工作情况。

1.2.公司应在每季度召开的计算机管理管控会议中，总结本季度的

信息安全工作情况。

1.3.公司信息中心应在每月召开的信息管理管控工作例会中，总结

本月的信息安全工作情况。

1.4.公司应根据风险变化的需要或在重大活动期间，不定期召开信

息安全专题会。

2.信息安全会议记录管理管控

2.1.公司应及时制定相关的信息安全管理管控文件、信息安全数据与

记录。

2.2.信息安全管理管控数据与记录包括：

1）信息安全会议纪要

2）信息安全事故调查报告

3）信息安全事件整改报告

4）信息安全检查整改合适的方案

5）信息安全审计记录

6）技术档案资料

7）培训记录

文件编号IT-IT-M-OOO3

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

8）信息安全作业活动数据与记录

9）信息安全事件通报、整改活动

10）信息安全检查活动

11）应急演练活动

12）信息系统定级备案活动

13）信息安全审计活动

14）信息安全风险评估活动

15）数据与记录要求：真实、完整、齐全、准确、及时。

3.信息文件的管理管控

3.1.根据精简、高效的原则，制定公司信息安全工作和管理管控流程，

包括：

1）信息安全管理管控流程

2）信息安全事件处理流程

3）信息安全应急流程

4）其它相关流程

3.2.每年回顾流程的效率，必要时修订、增加或废除不必要的流程或

环节。

3.3.信息安全管理管控流程和信息安全事件处理流程纳入信息安全管

理管控体系中管理管控

3.4.信息安全应急流程纳入《xxxx有限公司网络与信息安全专项应急

预案》中管理管控。

文件编号IT-IT-M-0003

一级文件版本V1.0

保密等级内部使用

标题信息安全管理手册生效日期2011年01月01日

35根据管理管控变化、技术变化，公司定期修订如下：

1）更新管理管控手册、程序文件、作业指导书或管理管控制

度、办法；

2）更新培训要求；

3）更新应急处置程序；

3.6.对涉及到的所有信息安全风险进行回顾分析；

3.7.变化管理管控需文件化，并保存变化过程的相关记录。

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第12页共71页

第六章信息安全管理管控体系

1.总则

1.1.为了加强XXXX有限公司(以下简称“XXXX有限公司或公司”)信息安全管理

管控工作，保护信息系统的安全，促进信息系统的应用和发展，根据国家有关法

律法规，以及变频器行业的管理管控规范、行业标准，并遵照公司信息系统安全

的有关规定，特制定本手册。

1.2.信息系统的安全保护范围包括各信息系统相关的和配套的软件、硬件、信息、

网络和运行环境的安全。

1.3.xxxx有限公司信息系统安全管理管控应遵循“统一规划、预防为主、集中管

理管控、分层保护、明确责任”的原则。

1.4.xxxx有限公司运行中的信息系统是支撑生产的运行设备，各级安全生产责任

人时其职责范围内的信息系统安全运行负有安全管理管控责任。

15任何人不得利用信息系统从事危害国家利益、集体利益和其他公民权益的活

动，不得从事危害xxxx有限公司信息系统安全的活动。

1.6.本手册适用于公司本部、各基层单位的信息系统的安全保护工作。公司多经

企业参照执行。

2.规范性引用标准

2.1.《信息安全等级保护管理管控办法》(公通字[2007]43号)

2.2.《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)

2.3.《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)

2.4.《信息安全技术信息安全管理管控实用规则》(GB/T22081-2008)

2.5.《信息安全技术信息安全风险评估规范》(GB/T20984-2007)

2.6.国家相关法律、法规及合同合约的要求。

第12页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第13页共71页

3.术语与定义

3.1.资产asset

任何对组织有价值的东西。

3.2.可用性availabi1ity

根据授权实体的要求可访问和利用的特性。

3.3.保密性confidenliality

信息不能被未授权的个人、实体或者过程利用或知悉的特性。

3.4.信息安全informationsecurity

保证信息的保密性、完整性、可用性；另外也可包括诸如真实性，可核查性，

不可否认性和可靠性等特性。

3.5.信息安全事态informationsecurityevent

信息安全事态是指系统、服务或网络的•种可识别的状态的发生，它可能是

对信息安全策略的违反或防护措施的失效，或是和安全关联的•个先前未知的状

态。

3.6.信息安全事件informationsecurityincident

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们

具有损害业务运作和威胁信息安全的极大的可能性。

3.7.信息安全管理管控体系informationsecuritymanagementsystem

是整个管理管控体系的一部分。它是基于业务风险方法，来建立、实施、运

行、监视、评审、保持和改进信息安全的。

注：管理管控体系包括组织结构、方针策略、规划活动、职责、实践、程序、

过程和资源。

3.8.完整性integrity

第13页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第14页共71页

保护资产的准确和完整的特性。

3.9.残余风险residualrisk

经过风险处理后遗留的风险。

3.1().风险接受riskacceptance

接受风险的决定。

3.11.风险分析riskanalysis

系统地使用信息来识别风险来源和估计风险。

3.12.风险评估riskassessment

风险分析和风险评价的整个过程。

3.13.风险评价riskevaluation

将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。

3.14.风险管理管控riskmanagement

指导和控制一个组织相关风险的协调活动。

3.15.风险处理risktreatment

选择并且执行措施来更改风险的过程。

注：在本标准中，术语“控制措施”被用作“措施”的同义词。

3.16.适用性声明statementofapplicability

描述与组织的信息安全管理管控体系相关的和适用的控制目标和控制措施

的文档。

3.17.信息系统

是指由计算机及其相关配套的设备、设施(含网络)构成的，按照一定的应

用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包

第14页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第15页共71页

括管理管控信息系统和生产控制系统。

3.18.信息安全

保持信息的保密性、完整性和可用性，另外也可包括诸如真实性，可核查性，

不可否认性和可靠性等。

3.19.信息系统运行单位

是指信息系统资产归属单位，对于托管的信息系统有另行约定的除外。

3.20.信息安全工作人员

是指包括信息安全管理管控人员、信息安全技术人员（包括防火墙、入侵检

测系统、漏洞扫描系统、防病毒系统等信息安全相关设备的管理管控员）和信息

安全审计员。

3.21.信息工作人员

是指与关键信息系统（涉及公司生产、建设与经营、管理管控等核心业务且

有保密要求的信息系统）直接相关的系统管理管控人员、网络管理管控人员、关

键业务信息系统开发人员、系统维护人员、关键业务信息系统操作人员等。

3.22.第三方

是指软件开发商、硬件供应商、系统集成商、设备维护商、服务提供商以及

其它外协单位。

3.23.第三方人员

是指包括软件开发商出、硬件供应商、系统集成商、设备维护商、服务提供

商及其它外协服务单位的工作人员，以及实习学生和其他临时工作人员。

3.24.信息资产

是指公司在生产、经营和管理管控过程中，所需要的以及所产生的，用以支

持（或指导、或影响）公司生产、经营和管理管控的--切有用的数据和资料等非

财务的无形资产，其范围包括现在的和历史的。

第15页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第16页共71页

3.25.信息系统运行维护单位

是指与信息系统运行单位签订维护合同合约的专业服务提供商。

3.26.信息安全等级保护

是指根据国家信息安全等级保护相关管理管控文件，确定信息系统的安全保

护等级，并开展相应的信息系统安全等级保护，作。

3.27.信息安全评估

是指，按照《管理管控办法》和有关技术标准，开展信息系统安全等级保护

的自杳自纠、差距评测、安全整改等续工作。

3.28.安全风险管理管控

是指采用风险管理管控的理念与方法来识别、评估信息系统面临的风险，制

定风险控制措施，并将风险降低到可接受的程度，安全风险管理管控包括风险评

估和风险控制。

注：基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同合

约义务以及组织对于信息安全的业务要求，制定控制目标和控制措施。

3.29.标准缩写

ISMS：信息安全管理管控体系(InformationSecurityManagementSystems)；

SoA：适用性声明(StatementofApplicability)；

PDCA：建立、实施和运行、监视和评审、保持和改进(Plan、Do、Check.

Act)o

4.信息安全管理管控体系

4.1.总要求

根据GB/T22080-2008/1SO/1EC27001:2005信息安全管理管控体系要求标

准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持

和改进文件化的信息安全管理管控体系。ISMS所涉及的过程基于以下PDCA模式：

第16页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第17页共71页

策划

检查

图4-1PDCA模型

规划（建立ISMS）建立与管理管控风险和改进信息安全有关的ISMS方

针、目

标、过程和程序，以提供与组织总方针和总目标相一致

的结果。

实施（实施和运行ISMS）实施和运行ISMS方针、控制措施、过程和程序。

检查（监视和评审ISMS）对照ISMS方针、目标和实践经验，评估并在适当时，

测量过程的执行情况，并将结果报告管理管控者以供评

审。

处置（保持和改进ISMS）基于ISMS内部审核和管理管控评审的结果或者其他相

关信息，采取纠正和预防措施，以持续改进ISMS。

本手册中提出的用于信息安全管理管控的过程方法鼓励其用户强调以下方

面的重要性：

a）理解xxxx有限公司的信息安全要求和建立信息安全方针与目标的需要；

b）从组织整体业务风险的角度.实施利运行控制.措施,以管理管控xxxx

有限公司的信息安全风险；

c）监视和评审ISMS的执行情况和有效性；

d）基于客观测量的持续改进。

第”页共71页

编号：

时值：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第18页共71页

本标准采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act本(PDCA)

模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息

安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望

的信息安全结果。图4-1描述了4、5、6、7和8章所提出的过程间的联系。

采用PDCA模型还反映了治理信息系统和网络安全的OECD指南(2002版)

中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、

安全管理管控和再评估的原则提供了一个强健的模型。

421sMs的建立、实施和运作、监督和评审、保持和改进

4.2.1.建立ISMS

.xxxx有限公司ISMS的范围和边界

根据业务、组织、资产、位置等方面的特性，确定ISMS的范围和边界。xxxx

有限公司信息安全管理管控体系的范围和边界包括：

(1)业务边界：xxxx有限公司为开展供电业务，在管理管控信息大区范围内

实施的信息安全管理管控，

(2)组织边界：xxxx有限公司信息中心；

(3)资产边界：xxxx有限公司负责管理管控的信息资产；

(4)物理边界；广东省广州市天河区天南二路239号和梅花路机房

.确定xxxx有限公司ISMS方针应满足以下要求

(I)确保为ISMS方针建立一个框架并为信息安全实施和运作、监督和评审、

保持和改进的活动建立系统的方向与原则；

(2)确定业务发展、法律法规要求及其它相关方合同合约涉及的信息安全要

求；

(3)在组织的战略和风险管理管控下，建立和保持ISMS；

(4)建立风险评价的准则和机团队；

(5)获得信息安全领导小组批准。

4.2.13风险评估的系统方法

第18页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第19页共71页

XXXX有限公司信息中心负责建立信息安全风险评估控制程序并组织实施。

风险评估控制程序包括可接受风险准则和可接受水平，所选择的评估方法应确保

风险评估能产生可比较的和可重复的结果。具体的风险评估过程控制执行《信息

安全风险评估程序》，以下是风险评估流程图；

风险评估流程图

4.2.1.4.风险识别

在已确定的ISMS范围内，对所有的信息资产进行列表识别.信息资产包括

软件/系统、数据/文档、硬件/设施、服务、人力资源。对每一项信息资产，根据

重要信息资产判断依据确定是否为重要信息资产，形成《重要信息资产清单》。

4.2.1.5.评估风险

第19页共71页

编号：

时瓦2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第20页共71页

(1)针对每一项重要信息资产，参考《信息安全威胁列表》及以往的安全事

故(事件)记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临

的威胁；

(2)针对每一项威肋，，考虑现有的控制措施，参考《信息安全薄弱点列表》

识别出可能被该威胁利用的薄弱点；

(3)综合考虑以上2点，按照《威胁发生可能性等级表》中的判定准则对每

一个威胁发生的可能性进行赋值；

(4)根据《威胁影响程度判断准则》，判断一个威胁发生后对信息资产在保

密性(C)、完整性⑴和可用性(A)方面的损害及对公司、业务的威胁影响程度，对其

威胁影响程度进行赋值；

(5)进行风险大小计算时，考虑威胁产生安全故障的可能性及其所造成影响

程度两者的结合，根据风险计算公式来计算风险等级；

(6)对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受

准则，按照该准则确定何种等级的风险为不可接受风险。

4.2.16风险处理方法的识别与评价

XXXX有限公司信息中心组织有关部门根据风险评估的结果，形成《风险处

理相关计划》，该相关计划应明确风险处理责任部门、方法及时间。对于信息安

全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施；

(1)采用适当的内部控制措施；

(2)接受某些风险(不可能将所有风险降低为零)；

(3)规避某些风险(如物理隔离)；

(4)转移某些风险(如将风险转移给保险公司、供应方)。

.选择控制目标与控制措施

(1)信息中心根据信息安全方针、业务发展要求及风险评估的结果，组织

有关部门制定信息安全目标，并将目标分解到有关部门。信息安全目标应获得信

息安全领导小组的批准。

第20页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第21页共71页

(2)控制目标及控制措施的选择原则来源于

GB/T22080-2008/ISG/IEC27001:2005信息安全管理管控体系要求标准附录A,

具体控制措施可以参考GB/T22()81-2()()8/ISO/IEC27()02:2()()5《信息技术一安全技

术一信息安全管理管控实施细则》。xxxx有限公司根据信息安全管理管控的需

要，可以选择标准之外的其他控制措施。

.适用性声明

信息中心负责《信息安全管理管控体系适用性声明》(SoA)编制，由信息中

心归口管理管控。该声明包括以下方面的合适的内容：

(1)所选择控制目标与控制措施的概要描述；

(2)当前已经实施的控制；

(3)对GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控体系要求附录

A中未选用的控制目标及控制措施的说明。

注：该声明的详细合适的内容见《信息安全管理管控体系适用性声明》。

4.2.2.ISMS实施及运行

4.2.2.LISMS岗位职责和权限

(1)信息安全领导小蛆组长为公司信息安全最高管理管控者。领导小组主要

职责；

a)国家有关信息安全的政策、法律和法规，以及南方电网公司和公司的

统•部署要求，审查、批准xxxx有限公司信息安全策略、管理管控

规范和技术标准；

b)部署信息安全总体工作，审定信息安全投资策略，建立工作考评机制；

c)指导信息安全保障体系建设和应急管理管控C

(2)信息安全工作小组主要职责：

a)根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、

落实；

b)贯彻执行信息安全领导小组的决议，协调、督促各部门、各单位的信

息安全工作;

第21页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第22页共71页

C)制订信息安全策略和投资策略，组织对信息安全工作制度和技术操作

策略的审查，并监督执行；

d)接受各单位的紧急信息安全事件报告，组织信息安全应急处置工作，

并开展事件调查、分析原因、涉及范围和评估安全事件的严重程度，

提出信息安全事件防范措施：

e)及时向信息安全领导小组和上级有关部门、单位报告信息安全事件：

0跟进先进的信息安全技术，组织信息安全知识的培训和宣传工作。

(3)信息安全管理管控体系的管理管控者代表对公司信息安全负有以下职责:

a)建立并实施信息安全管理管控体系必要的程序并维持其有效运行；

b)对信息安全管理管控体系的运行情况和必要的改善措施向信息安全

领导小组报告。

(4)各部门负责人为本部门信息安全管理管控者，全体员工都应按保密承诺

的要求自觉履行信息安全保密义务；

422.2.各部门应按照《信息安全管理管控体系适用性声明》中选择的控制目

标与目标的控制措施，确保ISMS有效实施与运行，并开展以下活动：

(1)确保信息安全风险的有效管理管控，制定《风险处理相关计划》，以便

明确管理管控措施、所需资源、工作职责及识别活动的优先顺序；保证

己识别的控制目标实施《风险处理相关计划》；

(2)确保处理风险所选择的控制措施，以满足控制目标；

(3)确保所选控制措施有效测量；

(4)制定《信息安全培训相关计划》并加以实施，提高全员信息安全意识和

能力;

(5)管理管控ISMS的运行；

(6)管理管控ISMS的资源；

(7)制定信息安全事件或事故的程序控制措施，以便迅速的检测安全事件与

安全事故的响应。

422.3ISMS的监督检查与评审

第22页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第23页共71页

通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期

技术检查(如R志审核)等控制措施并报告结果以实现：

(1)及时发现信息安全体系的事故和隐患；

(2)及时了解信息处理系统遭受的各类攻击；

(3)使管理管控者掌握信息安全活动是否有效，并根据优先级别确定所要采

取的措施；

(4)积累信息安全方面的经验。

4.224.根据以上活动的结果以及来自相关方的建议和反馈，由信息安全工作

小组组长主持，定期(每年至少一次)对ISMS的有效性进行评审，其中包括信

息安全范围、方针、目标及控制措施有效性的评审。管理管控评审的具体要求，

见本手册第7章。

4.2.25信息中心应组织有关部门按照《信息安全风险管理管控程序》的要求

对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平,

对以下方面变更情况应及时进行风险评估：

(1)组织机构发生重大变更时；

(2)信息处理技术发生重大变更时；

(3)xxxx有限公司业务目标及流程发生重大变更时。；

(4)发现信息资产面临重大威胁时；

(5)外部环境，如法律法规或信息安全标准发生重大变更时。

4.2.26保持上述活动和措施的记录。

4.2.3.ISMS保持与改进

xxxx有限公司开展以下活动，以确保ISMS的持续改进：

4.2.3.1.实施每年安全检查、内部审核、管理管控评审等活动以确定需改进的

相关项目；

4.2.32按照《内部审核管理管控程序》、《纠正与预防措施控制程序》的要

求采取适当的纠正和预防措施；吸取其他组织及xxxx有限公司安全事故的经验

第23页共71页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第24页共71页

教训，不断改进现有安全措施。

4.233.对信息安全目标及分解进行适当的管理管控，确保改进达到预期的效

果。

4.2.34为了确保信息安全管理管控体系的持续有效，各级管理管控者应通过

适当的手段对信息安全措施的执行情况与结果进行有效的交流与沟通八与外部信

息安全专家、信息安全机构、政府行政主管部门、电信运营商等组织保持联系。

与外部专家、服务商等外部机构的联系方式见《对外联系表》。

43文件要求

4.3.1.总则

根据GB/T22080-2008/ISO/IEC27001:2005信息安全管理管控体系标准要求

并结合xxxx有限公司实际情况建立xxxx有限公司信息安全管理管控体系文件结

构，体系文件分为四级，分别为一级文件、二级文件、三级文件及四级记录性文

件。

(1)一级文件为信息安全管理管控体系手册(包含信息安全方针、目标)和

适用性声明等；

(2)二级文件为信息安全管理管控体系建立实施的相关程序文件：

(3)三级文件为信息安全管理管控体系建立实施的相关制度、办法和规程等；

(4)四级文件为信息安全管理管控体系实施运行过程中的记录类文件。

4.3.2.文件控制

为确保文件的修订得到控制，使用现场得到有效版本的文件，防止作废文件

的非预期使用，在《文件控制程序》中明确规定了文件的编制、评审、批准、发

放、使用、更改、再次批准、标识、回收、作废和保存期限等管理管控。

注：以上程序详细合适的内容见《文件控制程序》。

4.3.3.记录控制

为提供有效的信息安全管理管控体系运行的符合性证据，并具有追溯、证实

第24页共71页

编号：

时间：2021年X月X