公司技术中心信息安全管理手册

公司技术中心信息安全管理手册

目录

0.1颁布令........................................................................2

0.2管理者代表任命书.............................................................3

0.3关于成立管理体系工作小组的决定..............................................4

0.4公司简介.....................................................................5

0.5组织结构.....................................................................5

0.6信息安全方针与目标..........................................................7

1.0范围.........................................................................8

1.1总则......................................................................8

1.2适用范围..................................................................8

1.3删减说明..................................................................9

2.0规范性引用文件................................................................9

3.0术语与定义..................................................................10

4.0组织环境.....................................................................12

4.1理解组织及其环境........................................................12

4.2利益相关方的需求和期望..................................................12

4.3管理体系覆盖范围........................................................13

4.4管理体系.................................................................13

5.0领导力.......................................................................14

5.1领导力及承诺.............................................................14

5.2方针.....................................................................15

5.3角色、职责和权力........................................................15

6.0策划.........................................................................18

6.1处理风险和机遇的行动....................................................18

7.0支持.........................................................................21

7.1资源.....................................................................21

7.2能力.....................................................................21

73意识......................................................................22

7.4沟通.....................................................................22

7.5文档化的信息............................................................23

8.0运行........................................................................26

8.1运行计划及控制......................................................27

8.2信息安全风险评估....................................................27

&3信息安全风险处置.....................................................27

9.0绩效评价....................................................................27

9.1总要求...................................................................27

9.2内部审核.................................................................28

9.3管理评审.................................................................28

10.0改进........................................................................31

10.1总要求..................................................................31

10.2管理改进................................................................31

10.3纠正措施................................................................32

附1职能分配表..................................................................33

附2程序文件清单..............................................错误!未定义书签。

附3网络拓扑图................................................错误!未定义书签。

0.1颁布令

为提高北京XXX有限公司（技术中心）的信息安全管理水平，保障我公司业

务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所

导致的公司和客户的损失，我公司于2015年10月开展贯彻IS027001：2013《信

息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改

进文件化的信息安全管理体系，制定了北京xxx有限公司（技术中心）《信息安

全管理手册》。

《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安

全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现

信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。

《信息安全管理手册》符合有关信息安全法律、法规要求及IS027001：2013

《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式

批准发布，手册自2015年11月1日起实施。企业全体员工必须遵照执行。

全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管

理方针，贯彻霎施本手册的各项要求，努力实现公司信息安全管理方针和目标。

该体系覆盖范围为：与金融理财系统软件开发、维护，金融理财信息咨询的

信息技术服务相关的信息安全管理活动。

批准：

口期：2015年II月I日

0.2管理者代表任命书

为贯彻执行信息安全管理体系，满足IS027001：2013《信息技术-安全技术

-信息安全管理体系-要求》标准的要求，加强领导，特任命江为我公司信息安

全管理者代表。

授权信息安全管理者代表有如下职责和权限：

1.确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保

持信息安全管理体系；

2.负责与信息安全管理体系有关的协调和联络工作；

3.确保在整个组织内提高信息安全风险的意识；

4.审核风险评估报告、风险处理计划；

5.负责组织编写和批准发布程序文件，负责年度培训计划、支持性文件的

审批。

6.主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；

7.向总经理报告信息安全管理体系的运行情况和所有改进要求，包括内外

部审核情况。

本授权书自任命日起生效执行。

批准：

日期：2015年11月1日

0.3关于成立管理体系工作小组的决定

为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全管理方针,

特授权以下人员组成信息安全管理体系(ISMS)工作小组。

兹任命XXX,XXX,XXX担任本公司信息安全管理工作小组组员。

批准：

日期：2015年11月1日

0.4公司简介

北京XXX有限公司总部位于北京，是一家集提供财富管理及借款咨询服

务与对接、信用风险评估与管理、信用数据整合服务等服务于一体的综合性

现代服务类企业。XXX采用先进的信用管理模式，拥有精通金融风险评估、

政策法规的专业团队，帮助千万小微企业主、工薪阶层、学生和农民建立信

用体制，释放信用价值，获取信用资金，并为他们提供培训等增值服务。同

时，XXX专业的财富管理团队为大众富裕人群和高净值人群提供全方位财富

管理顾问服务。

通过创新的模式与企业文化，XXX以客户的财富管理需求为基础，根据

客户的风险偏好、财务状况、家庭结构等因索量身定制财富管理方案，优选

固定收益类、股权类等财富管理模式，帮助客户实现安全、稳定的财富增

值。

自成立至今，XXX已在全国二十余个省市自治区，一百多座城市开设了

分公司，XXX公司将继续为客户提供全方位、个性化的财富增值与信用增值

服务。

未来，XXX将继续坚守“诚信为本、专业立足、坚持创新、协作共赢”

的核心理念，通过专业的个性化、顾问式服务，为用户打造出一个诚信、透

明、公平、高效的企业金融服务平台，充分发挥信用担保纽带作用，XXX愿

与社会各界诚信"助、互惠互赢、共创美好前景！

0.5组织结构

0.6信息安全方针与目标

1.0信息安全方针

全员参与、控制风险；积极预防、持续改进；客户信赖、永续经营

2.0信息安全目标

■可用性及连续性目标

确保本公司业务系统能有效地运转并使所有授权用户得到所需信息服务。

D授权用户执行数据操作被拒绝的次数少于10起/年；

2）信息安全事件导致的事故未能在规定时间内恢复的次数少于2起/年。

■完整性目标

完整性目标包括两个方面：数据完整性和系统完整性。确保本公司业务系

统在存储、处理和传输过程中不会以非授权方式更改数据；确保本公司业务系统

不受非法操作干扰并以无损方式执行预定功能。

1、非授权方式更改数据导致系统出现故障而影响工作的事故少于2起/年；

2、非法操作干扰和无法按照无损方式执行预定功能的事态发生少于1起/

年。

■保密性目标

保密性目标是指不向非授权个人和部门暴露私有或者保密信息。确保本公司

业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。

1、顾客对保密性抱怨/投诉的次数不超过1起/年。

2、受控信息泄露的事态发生不超过3起/年；

3..公司或客户的机密信息泄露的事故不得发生。

1.0范围

1.1总则

公司为证实有能力稳定地提供满足顾客和适用的法律、法规要求的服务，按

1S0/1EC27001:2013《信息技术安全技术信息安全管理体系要求》建立信息安

全管理体系，它适用于：

a）实施、保持并改进信息安全管理体系；

b）使本公司确信能符合所声明的服务方针；

c）向外界展示符合性；

d）必要时寻求外部组织对其信息安全管理体系的认证；

e）对符合本标准的情况进行自我鉴定和自我声明c

1.2适用范围

本手册适用于公司内部部门和外部（包括国家主管部门和认证机构）评价本

公司满足IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》、

顾客、法律法规要求和本公司要求的能力。

本手册信息安全管理体系覆盖范围为：与金融理财系统软件开发、维护，金

融理财信息咨询的信息技术服务相关的信息安全管理活动。

1.3删减说明

由于本公司是按顾客要求、法律法规、标准要求,采用了1S0/1EC27001:2013

《信息技术安全技术信息安全管理体系要求》标准的条款，对附录A的删减详

见适用性声明。

2.0规范性引用文件

IS0/IEC27000:2013信息技术安全技术信息安全管理体系概述和词汇

IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求

IS0/IEC27002:2013信息技术-安全技术-信息安全管理实用规则

《中华人民共和国计算机信息系统安全保护条例》

《互联网电子公告服务管理规定》

《中华人民共和国计算机软件保护条例》

ISO/IEC27001-2005《信息技术安全技术信息安全管理体系要求》

GB/T20271-2006《信息系统通用安全技术要求》

GB/T20269-2006《信息系统安全管理要求》

GB/T20984-2007《信息安全风险评估规范》

GB/T21052-2007《信息系统物理安全技术要求》

GB/T20270-2006《网络基础安全技术要求》

GB/T20272-2006《操作系统安全技术要求》

GB/T20273-2006《数据库管理系统安全技术要求》

GB/T21028-2007《服务器安全技术要求》

3.0术语与定义

1S0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》、

IS0/1EC27002:2013《信息技术安全技术信息安全管理实用规则》规定的术语

和定义适用于本《管理手册》。

3.1文件

信息及其承载媒体。

注1：在本标准中，记录区别于文件。因为事实上，记录的作用在于作为活

动的证据，而不是意图的证据。

注2：文件的示例包括方针说明、计划、流程、服务级别协议和合同。

3.2信息安全事件

单个或一系列不需要的或非预期的、有明显的可能性危害业务运行和威胁信息

安全的事情。

3.3计算机病毒

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使

用，并能自我复制的一组计算机指令或者程序代码。

3.4可用性

保证被授权的使用者需要时能够访问信息及相关资产。

3.5保密性

保证信息只被授权的人访问。

3.6完整性

保护信息和处理过程的准确和完整。

3.7信息安全

保持信息的保密性、完整性和可用性。

3.8风险接受

接受一个风险的决定。

3.9风险分析

系统化地使用信息识别来源和估计风险。

3.10风险评估

风险分析和风险评价的整个过程。

3.11风险评价

比较估计风险与给出的风险标准，确定风险严重性的过程。

3.12风险管理

指导和控制组织风险的联合行动。

3.13风险处理

选择和实施措施以更改风险的处理过程。[ISOGuide73]

3.14适用性声明

描述适用于组织的ISMS范围的控制目标和控制措施。这些控制目标和控制措施

是建立在风险评估利处理过程的结论和结果基础上。

3.15相关方

与服务提供方行为或行动的业绩或成就有利益关系的个人或团体。示例：客

户、所有者、员，、管埋方、服务提供方组织内的人员、供应商银行、，会或

合作伙伴。注1：一个团体可由一个组织或其一部分组织或多个组织构成。

3.16本公司

指北京xxx有限公司（技术中心），包括技术中心所属各部门。

3.17管理体系

指技术中心的信息安全管理体系。

4.0组织环境

4.1理解组织及其环境

木公司体系管理领导小组人员和各部门相关人员按照标准要求，在充分理解

内部环境及外部因素两方面的前提下建立和管理体系，并形成文件，加以实施、

运行、监视、评审、保持和改进。公司内部环境及外部因素包括：

内部环境：

＞内控、组织架构、员工角色与职贡、管理目标以及达成目标所采用的策略

＞资源与能力；

外部因素：

＞文化、政治、法律法规、金融、经济以及竞争因素：

＞影响目标达成的关键外部驱动力和趋势；

＞利益相关方的认识及价值观。

4.2利益相关方的需求和期望

利益相关方对管理体系的需求和期望是：

1、进行公司IT环境的信息安全管理，提高系统的可用性；

2、对信息资产进行分类，有针对性的采取管理措施，提高安全管理能力；

3、规范信息安全管理措施，防范信息安全事故的发生。

4.3管理体系覆盖范围

根据本公司的业务性质、地理位置、信息资产和技术的特点，本公司的信息

安全管理体系的管理范围：与金融理财系统软件开发、维护，金融理财信息咨询

的信息技术服务相关的信息安全管理活动。

覆盖范围包括：

(1)属于北京XXX有限公司(技术中心)的全部受知识产权保护的信息；

(2)JS于北京XXX有限公司(技术中心)的所有雇员的相关个人信息；

(3)北京xxx有限公司(技术中心)持有的全部相关客户资料信息；

(4)北京xxx有限公司(技术中心)持有的全部关于供应商及合作伙伴的

资料信息；

(5)北京xxx有限公司(技术中心)持有的全部合同信息；

(6)属于北京xxx有限公司技术中心的全部相关信息系统的物理实体；

(7)北京xxx有限公司(技术中心)所属的全部人员、IT系统、专有技术、

设备、文档、公司规童制度及其它信息和信息栽体。

4.4管理体系

公司应根据整体业务活动和风险，开发、实施、保待并持续改进文件化的管

理体系。公司依据TSO/IFC27001:2013《信息技术安全技术信息安全管理体

系要求》标准将信息安全管理按照如图1所示过程模式实施管理。

图1：信息安全管理过程模式

4.ContextoftheOrganization

组织环境J.5Leadership

IO.Improvement

L改进

(2)

IntcgmtcdMunaucmcnt

L〔FmmovorkJ6,Planning

9PcrionnanccEvaluation策划

绩效评价S

(Check)

7.Support

8(甯仁D■支持

5.0领导力

5.1领导力及承诺

公司总经理通过领导和行动，对在公司业务和客户要求的范畴内建立、实施、

运行、监视、评审、保持和改进公司的信息安全管理能力的承诺提供证据:

a)制定信息安全管理方针:

b)确保信息安全管理目标和计划得以制定;

c)建立信息安全的角色和职责;

d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持

续改进的重要性；

e）确保客户的要求得到确定和满足，并致力于提高客户满意度；

f）指定管理层的一名成员担任管理者代表来协调和管理所有信息安全管理;

g）提供足够资源，以建立、实施、运行、监视、评审、保持和改进信息安全

管理，如招聘合适的员工，管理员工的流动等：

h）对服务管理组织和服务的风险进行管理，决定接受风险的准则和风险的

可接受级别；

i）确保信息安全管理内部审核的执行；

j）按计划的时间间隔进行管理评审，以确保持续的适宜性、充分性和有效

性。

5.2方针

最高管理者应确保方针；

a）与企业的宗旨相适应；

b）提供制定和评审信息安全目标的框架；

c）传达至每个人，并统一认识；

d）在持续适宜性方面得到评审。

5.3角色、职责和权力

为了有效地实施管理体系，公司规定了各级各岗位人员的职责、权限和相互关

系，并在相关层次所管辖的范围内予以传达，对于从事与管理体系有关工作所

必需的特权，均加以规定C

一、总经理职责

a）为确保公司信息安全管理体系的有效实施，公司按照ISO/IEC

27001:2013标准要求，制订信息安全管理职责，明确各级人员的责任与

权限：

b）制定信息安全管理方针；

c）确保信息安全管理目标和计划得以制定；

d）向组织传达满足信息安全管理目标、符合信息安全方针，履行法律责任

和持续改进的重要性；

e）指定管理层的一名成员担任管理者代表来协调和管理信息安全管理；

f）提供足够资源，以建立、实施、运行、监视、评审、保持和改进信息安

全管理，如招聘合适的员工，管理员工的流动等：

g）对信息安全的风险进行管理，决定接受风险的准则和风险的可接受级别;

h）确保管理体系内部审核的执行；

i）按计划的时间间隔进行管理评审，以确保持续的适宜性、充分性和有效

性。

二、管理者代表职责

公司已任命钟云为公司管理者代表，其职责和权限为：

a）确保按照ISO/IEC207001:2013标准的要求，迅行资产识别和风险评估，

全面建立、实施和保持信息安全管理体系。

b）负责与信息安全管理体系有关的协调和联络工作：向公司管理层报告信

息安全管理体系的业绩，如：信息安全方针与目标的业绩、各项服务活

动及改进的要求和结果等。

c）确保在整个组织由提高信息安全风险的意识。

d）审核风险评估报告、风险处理计划。

e）推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、

业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以

及为:iA到公司管理目标所应做出的页献。

f）确保各管理体系（SMS）管理组件是整合的。

g）向最高管理者报告信息安全管理体系（SMS）的业绩和任何改进的机会。

三、项目及流程管理部：

a）负责技术中心关键项目全生命周期的管理：

b）技术中心内部的流程制定及实施；

c）负责技术中心的配置及安全管理。

四、运维及IT服务部：

a）全面管理xxx信息系统的运行维护，包括业务系统，内部信息系统，网络，

服务器，数据库，机房等IT设施的管理和维护:

b）深入到项目中提供相应的支持。

c）提供统一的内部客户服务管理体系并进行问题的跟踪、处理。

五、恒易融产品技术部

a）支撑公司线上业务的开展，如定利宝、散标、基金、助农及创新业务等;

b）打造公司核心线上交易平台，更好地支撑公司线上业务发展战略；

c）利用互联网及移动互联网的技术优势，努力提高公司办公自动化水平。

六、线下业务产品技术部

a）主要分为财富业务、普惠'业务和创新业务，紧密契合公司业务分类，更好

地做好公司线下P2。及非P2P业务的发展。

七、综合管理部

a）负责技术中心FI常行政工作事宜以及技术层面外包管理。

6.0策划

6.1处理风险和机遇的行动

本公司根据组织的业务特征、组织结构、地理位置、资产利技术定义了信息

安全管理体系的物理范围和信息安全边界。

为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实

现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、

资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.6章节。

该信息安全方针符合以下要求：

a）为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则;

b）考虑业务及法律或法规的要求，及合同的安全义务；

c）与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系;

d）建立了风险评价的准则；

e）经最高管理者批准。

6.1.1风险评估的方法

项目及流程管理部负责制定《信息安全风险管理程序》，建立识别适用于信

息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,

建立接受风险的准则并识别风险的可接受等级，以保证所选择的风险评估方法应

确保风险评估能产生可比较的和可重复的结果。

6.1.2识别风险

在已确定的信息安全管理体系范围内，本公司按《信息安全风险管理程序》，

对所有的资产进行了识别，并识别了这些资产的所有者。资产包括硬件、设施、

软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分

类、保密性、完整性、法律法规符合性要求进行了量化赋值，确定资产等级。

同时，根据《信息安全风险管理程序》，识别了对这些资产的威肋，、可能被

威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、损失可能对资产

造成的影响。

6.1.3分析和评价风险

本公司按《信息安全风险管理程序》，分析和评价风险：

a）针对重要资产自身价值、保密性、完整性和可用性、损失导致的后果进

行赋值；

b）针对每一项威胁、薄弱点，对资产造成的影响：考虑现有的控制措施，

判定安全失效发生的可能性，并进行赋值；

c）根据《信息安全风险管理程序》计算风险等级；

d）根据《信息安全风险管理程序》及风险接受准则，判断风险为可接受或

需要处理。

6.1.4识别和评价风险处理的选择

项目及流程管理部组织有关部门根据风险评估的结果，形成《风险处理计划》,

该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措

施：

a）控制风险，采用适当的内部控制措施；

b）接受风险（不可能将所有风险降低为零）；

c）避免风险（如物理隔离）；

d）转移风险（如将风险转移给保险者、供方、分包商）。

6.1.5为处理风险选择控制目标与控制措施

公司根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制

定了信息安全目标，并将目标分解到有关部门：

a）信息安全控制目标获得了信息安全最高贲任者的批准。

b）控制目标及控制措施的选择原则来源于ISO/IEC27001:2013《信息技术

安全技术信息安全管理体系要求》附录A,具体控制措施参考ISO/IEC

27002:2013《信息技术安全技术信息安全管理实用规则》。

c）本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。

6.1.6对风险处理后的剩余风险，得到了公司最高管理者的批准。

6.1.7最高管理者通过本手册对实施和运行信息安全管理体系进行了

授权。

7.0支持

7.1资源

为确保管理体系的有效运行，公司管理层提供了充足必要的资源，该资源包

括资金、技术、人力等方面，以保证：

a.建立、贯彻、运行和保持ISMS

b.确保信息安全程序支持业务要求

c.识别和强调法律和法规的求和合同的安全义务

d.正确地应用所有实施的控制措施以保持充分的安全

e.必要时进行评审，并对评审结果做出适当的响应

f.需要时，改善ISMS的有效性要

7.2能力

为有效地实施信息安全管理，贯彻信息安全方针，实现信息安全管理体系目

标，必须提高对管理体系涉及的所有人员进行培训，以增强其信息安全意识，保

证其胜任所在岗位的工作。

1、人力资源部明确公司员工从事工作中影响信息安全的必要能力。

2、组织实施内部及外部培训，确保员工能够胜任工作。

3、评估培训和所采取行动的效果。

4、保持员工的教育、培训、技能、经验和资格记录。

7.3意识

本公司控制措施下工作的人员应意识到：

a）管理体系方针；

b）他们对管理体系有效性的贡献，包括提高绩效的收益；

c）不符合管理体系要求所带来的影响。

7.4沟通

本公司应确定有关ISMS内部和外部沟通的需求：

a）沟通什么;

b）何时沟通；

c）和谁沟通；

d）谁应该沟通;

e）怎样的沟通过程是有效的。

7.4.1具体过程

a）当影响信息安全运行的内外环境发生变化时。经营部负责公司内部信息变

化的沟通。经营部负责对涉及信息安全有关外部环境变化的沟通。各部门负责与

各自负责的相关方及相关法律法规的沟通。

7.4.2沟通方式

a）内部沟通

最高管理者应确保在不同层次和职能之间，就管理体系的过程，包括体系要

求，方针、目标及完成情况，以及实施的有效性，进行沟通，达到相互了解、相

互信任，实现全员参与的效果。

b）自上而下的沟通

由总经理或其授权人主持召开公司例会，根据需要讨论信息安全各方面的情

况，及时采取相应的改进、纠正措施，以确保管理体系的正常运作。

c）自下而上的沟通

各部门应建立报告制度，在例会上向最高管理者报告部门运作情况，以作为

最高管理者进行决策的依据。

7.4.3部门内部的沟通

各部门由部门经理召开部门例会，讨论部门目标的实现情况及存在的问题，

以便及时采取相应的改进、纠正措施，加强对信息安全体系的监视和测量。

7.4.4各部门之间的沟通

对于跨部门之间需要协调、沟通的事宜，应由主管领导主持进行沟通。

7.4.5沟通的形式

a）针对外部沟通归口货任部门逋过与相关方的信息安全以电话、会议、传真、

网络等方式传递及处理信息，相关方的反馈，包括顾客抱怨。

b）针对内部沟通确保各岗位之间就信息安全管理的过程、要求、信息安全方

针、信息安全目标及完成情况、实施的有效性、适宜性、充分性进行沟通、达到

互相了解、互相信任、互相支持，实现全员参与的效果；内部贯彻执行例会、早

会、广播、张贴宣传图标、公告栏公示等方法确保相关措施的有效落实。

7.4.6影响沟通的过程

包括：沟通的时间、沟通人员的文化水平、沟通工具的限制等。

7.5文档化的信息

7.5.1建立和维护文件

为确保有效的计划、运行和控制信息安全管理，公司制定以下四个层次与

类别的文件：

a）管理手册：信息安全管理体系过程描述，包含信息安全管理方针与目

标、管理体系覆盖范围。

b）程序文件：描述各个信息安全管理过程，支持管理手册的实施与运行。

C）作业文件：为确保信息安全过程的有效规划、运行的控制以及描述如何

测量控制措施的有效性所需要的形成文件的规程，是开展具体业务工作

的规范类、指导性文件，也是程序文件的支持性文件，包括风险评估方

法的描述、风险评估报告、风险处置计划等文件。

d）记录：在开展具体业务工作过程中产生的记录类文件，主要是为具体工

作结果提供各种可追溯性证据。

7.5.2文件控制

编制《文件控制程序》，用以控制管理体系运行所需要的文件，以确保：

a）文件发布前得到批准；

b）通知相关方新的或变更的文件；

c）对文件进行评审与维护；

d）确保文件的更改和现行修订状态得到识别；

e）确保在使用处可获得有关版本的使用文件；

f）确保文件清晰、易于识别；

g）确保外来文件得到识别并控制其分发；

h）防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文

件进行适当的标识。

7.5.3记录的控制

公司建立并保持《记录控制程序》，通过对记录的标识、储存、保护、检索、

保存期限和处置的有效控制，证实公司质量绩效，同时为相关活动、产品或服务

的可追溯性和体系状况改进提供分析依据。

来自供方或相关方的记录也应成为本公司体系管理记录的组成部分。

7.5.3.1记录的设置

a）记录的设置应易于识别和检索；要有足够的记录凭证、图表、报告，以

证明管理体系运行有效和产品符合要求；

b）记录的种类包括：培训记录、验收报告、内审报告、评审报告、有关法

律、法规信息、管理体系运行记录等；

c）记录的媒介有文字记载、移动硬盘、相片和录象等。

7.5.3.2记录的管理

a）分级管理：项目及流程管理部负责管理体系记录的管理和保存，各职能

部门负责服务过程中管理运行中形成的专业性记录的管理和保存，定期

将本部门相关记录归档项A及流程管理部统一管理；

b）标识：以记录或表格的名称、编号或代码来标识；

c）储存和保护：管理体系记录保存期一般为3年；记录保存期按公司有关

规定执行。所有记录要有适宜的存储条件，防潮、防火、防虫蛀、防鼠

害；

d）检索：所有汇总到项目及流程管理部统一管理的记录由项目及流程管理

部负责进行登记，建帐或建卡归档，并建立索引目录；

e）处理：保存期满记录的处理、销毁应造册登记，加以鉴定，经主管领导

批准实施销毁；

f）记录的收集与填写：记录的收集由各职能部门负责；记录的填写由该项

活动的具体执行人按要求填写；记录应清晰、标识明确、内容完整、真

实、简单明了、日期准确、签名齐全；

g）查阅：合同要求时，在双方商定期限内，记录可提供给顾客、相关方，

或其代表查阅，并做好登记；

h）提供：根据合同规定或顾客的要求，及时提供相关记录。项目及流程管

理部和各相关部门应妥善保存本部门的记录，以防止由环境造成的损

坏、变质和丢失。

8.0运行

ISMS工作小组应组织全体员工的培训，以提高全体员工的信息安全意识，

具体参见本手册7.2款。

ISMS工作小组负责针对公司所选择的控制目标和控制手段编写运行程序。

程序中应规定控制对象、参数或控制要求及监督检查的内容，井符合相关法律

法规的要求。

公司管理层应为ISMS的有效运行提供必要的人力、物力和财力资源，具体

参见本手册7.1款。

ISMS工作小组负责制定《信息安全事件管理程序》，确保员工可及时地将

发现的安全事故、安全故障或安全薄弱点报告给相关负责人，并迅速对其做出

响应。

8.1运行计划及控制

本公司应策划、实施和控制用来满足信息安全要求过程，并实施在6.1中

确定的行动。组织还应当实施计划，以实现在6.2中确定的信息安全目标。

本公司应保存相关的文档化信息，以保证过程已按照计划完成。组织应控

制计划内的变更并评审非计划变更的结果，必要时，采取措施以减轻任何不良

影响。组织应确保外包过程被确定和受控。

8.2信息安全风险评估

本公司应按计划的时间间隔或重大变更被提出或发生时执行信息安全风险

评估，考虑6.1.2a）中建立的准则。组织应保留信息安全风险评估结果的相

关文档化信息。

8.3信息安全风险处置

本公司应实施信息安全风险处置计划。组织应保留信息安全风险处置结果

的文档化信息。

9.0绩效评价

9.1总要求

建立并实施《内部审核管理程序》，《内部审核管理程序》应包括策划和实

施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部

审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：

a）符合60/1及27001:2013《信息技术安全技术信息安全管理体系要求》

的要求和相关法律法规的要求；

b）符合已识别的信息安全要求与计划；

c）得到有效地实施和维护；

d）按预期执行。

9.2内部审核

1、对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次

和方法。

2、每次审核前，应编制内审计划，确定审核的准则、范围、H程和审核组。审

核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自

己的工作。

3、应按审核计划的要求实施审核，包括；

a）进行首次会议，明确审核的目的和范围，采用的方法和程序；

b）实施现场审核，检杳相关文件、记录和凭证，与相关人员进行交流；

c）进行对检查内容让行分析，召开内审小组首次会议、末次会议，宣布审

核意见和不符合报告；

d）审核组长编制审核报告。

4、对审核中提出的不符合项报告，责任部门应编制纠工措施，由项目及流程管

理部组织对受审部门的纠正措施的实施情况进行跟踪、验证；

5、按照《记录控制程序》的要求，保存审核记录。

6、内部审核报告，应作为管理评审的输入之一。

9.3管理评审

a）编制《管理评审程序》，负责每年一次组织质量、信息安全与信息技术服

务管理体系管理评审，以确保其持续的适宜性、充分性和有效性。

b）管理评审应包括评价信息安全管理体系改进的矶会和变更的需要，包括

安全方针和安全目标。

c）管理评审的结果应清晰地形成文件，记录应加以保持。

9.3.1评审输入

管理评审的输入要包括以下信息：

a）客户反馈；

c）现在和未来人员、技术、信息和财务资源级别；

d）现在和未来人员和技术能力；

e）风险；

f）审核结果和跟踪措施；

g）以往管理审核的结果和跟踪措施；

h）预防和纠正措施的状况；

i）可能影响信息安全管理体系（ISMS）的任何变更；

j）有效性测量的结果；

k）改进机会。

9.3.2评审输出

管理评审的输出应包括与下列内容相关的任何决定和措施：

a）信息安全管理体系有效性的改进；

b）更新风险评估和风险处理计划；

c）必要时，修订影响信息安全管理的程序和控制措施，以反映可能影响信

息安全管理体系的内外事件，包括以下方面的变化：

＞业务要求；

＞安全要求；

＞影响现有业务要求的业务过程；

＞法律法规要求；

＞合同责任；

＞风险等级和（或）风险接受准则。

＞资源需求；

＞改进测量控制措施有效性的方式。

10.0改进

10.1总要求

1、公司编制《纠正和纠正措施管理程序》并实施，包括识别、记录、评估、批

评、排定优先级顺序、管理、测量和报告改进的权限和职责。

2、对发现的不符合采取纠正措施，消除与管理体系要求不符合的原因，以防止

再发生。

3、《纠正和纠正措施管理程序》应规定以下方面的要求：

a）识别潜在的不符合及其原因；

b）评价预防不符合发生的措施要求；

c）确定并实施所需的纠正措施；

d）记录所采取措施的结果；

e）评审所采取的预防措施。

6、应定期进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识

别预防措施要求。措施的优先级应基于风险评估结果来确定。

10.2管理改进

本公司开展以下活动，以确保管理体系的持续改进：

a）通过信息安全管理方针的建立与实施，对持续改进做出正式的承诺；

b）通过建立信息安全管理目标明确改进的方向，确保改进达到预期的效果；

c）实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；

按照《内部审核管理程序》、《纠正和纠正措施管理程序》的要求采取

适当的纠正措施；吸取其他组织及本公司信息安全事故（事件）的经验

教训不断改进管理体系的有效性；对于内部审咳、管理评审或其他活动

中所发现的不符合项或潜在不符合项，应按照《纠正和纠正措施管理程

序》要求进行及归纠正。

d）通过适当的手段保持在内部对管理措施的执行情况与结果进行有效的沟

通。包括获取外部信息安全专家的建议、政府行政主管部门的联系及识

别顾客对信息安全的要求等；

实施批准的改进；

报告实施的改进。

10.3纠正措施

1、项目及流程管理部归口管理预防措施，潜在不符合事项的相关部门采取预防

措施，以消除潜在与信息安全管理体系要求不符合或不期望事项发生的原因，防

止其发生。

2、所采取的预防措施应与潜在问题的影响程度相适应c

3、预防措施的实施按《纠正和预防措施管理程序》进行。

4、预防措施的制定与实施程序要求如下；

a）识别潜在的不符合及其原因；

b）评价预防不符合发生的措施要求；

c）确定并实施所需的预防措施；

d）记录所采取措施的结果；

e）评审所采取的预防措施。

5、项目及流程管理部应定期组织进行风险评估，以识别变化的风险，并通过关

注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果

来确定。

附1信息安全管理体系职责对照表

线

项

恒

运

下

目

易

维

最

管

综

业

及

融

及

合

务

高

理

流

产

一

管

产

管

程

者

品T

理

品

服

管

技

累

代

部

技

务

理

术

弋

管理职责术

部

部

部

部

4.1了解

组织和它★OOOOOO

的背景

44.2理解

相关方的

组★OOOOOO

织需求和期

背望

景4.3确定

ISMS的★OOOOOO

范围

4.4ISMS★OOOOOO

5.1领导

★OOOOOO

力和承诺

5

领5.2方针★★OOOOO

导

组织

力5.3

的角色、

★★★★★★★

职责和权

限

6.1处理

风险和机★★★

6OOOO

遇的行动

计

6.2可实

划

现的信息

★★O★OOO

安全目标

和计划

7

7.1资源★OOOOOO

支

持

7.2能力OO★OOOO

线

项

恒

运

下

目

易

维

管

综

业

及

融

最及

合

务

理

流

产

高一

管

产