ISO270012013信息安全管理手册

编 号 SR-ISMS-01 A/1.0 内部限制 是 XXXX有限公司 版 本 密 级 受 控 信 息 安 全 管 理 手 册 生效日期 核 准 审 查 制 订 序号 1 修改原因 修改内容 修改人/时间 批准人/时间 备注 目录 0.1、信息安全管理手册发布令 0.2、管理者代表任命书 0.3、公司简介 0.4、信息安全方针 0.5、信息安全目标 1、范围 2、引用标准 3、术语和定义 4、信息安全管理体系 4.1 组织环境 4.2 理解相关方的需求和期望 4.3 明确信息安全管理体系的范围 4.4 信息安全管理体系 5、领导 5.1 领导和承诺 5.2 方针 5.3 组织角色、职责和权力 6、计划 6.1 处置风险和机遇 6.2 信息安全目标的计划和实现 7、支持 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 文档要求 8、实施 8.1 运行计划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9、绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10、改进 10.1 不符合项和纠正措施 10.2 持续改进 附件： 附件一：信息安全职能分配表 附件二：信息安全职责 附件三：信息安全管理体系程序文件清单 附件四：信息安全管理体系作业指导书文件清单

0.1 信息安全管理手册发布令 为提高XXXX有限公司的信息安全管理水平，保障企业经营、服务和日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》标准的工作，建立文件化的信息安全管理体系，制定了XXXX有限公司《信息安全管理手册》（以下简称手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运行、持续改进，是XXXX有限公司信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规定，努力实现XXXX有限公司的管理目标和管理承诺。 本手册自颁布之日起生效执行。 XXXX有限公司 总经理： 年 月 日

0.2管理者代表任命书 兹委任担任XXXX有限公司ISO27001信息安全管理体系管理者代表。 他将履行以下职责及权限： 1、 负责公司ISO27001的推行认证工作，负责组织信息安全管理体系建立、实施和维持，确保公司的信息安全管理体系运作符合信息安全管理体系标准； 2、 信息安全管理体系内部审核的策划、组织及实施； 3、 批准信息安全管理体系程序文件； 4、 代表公司就信息安全的有关事项和外部进行联络。 总经理： 日 期： 年 月 日 0.3、公司简介 公司组织架构如下图所示： 总经理 管理者代表 信息安全委员会 业务部 采购部 行政部 工程部 研发部 0.4 信息安全方针 实施风险管理，确保信息安全，保障业务可持续发展。 信息安全方针含义: a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。 b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。 c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进，保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管理和服务的持续和安全，实现企业发展目标。 0.5、信息安全目标： 本公司信息安全目标： 1) 安全事件发生次数： 重大安全事件目标值：0次/年 ，较大安全事件目标值：不大于 4次/年，一般安全事件目标值：不大于8次/年。 2) 信息泄密次数： 保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。 信息泄密次数目标值：0次/年

各部门信息安全目标： 部 门 部门信息安 目标 统计方 监测 频率 1、查看全部员工入职手续办理情况； 2、查看培训计划及培训实施情况； 3、查看实际人员离职及手续办理情况。 4、现场检查办公环境消防器材配备情况； 5、现场检查办公环境消防器材的检修情况。 6、按照信息安全内审计划执行内审及改进，及时整理信息安全内审资料； 7、按照信息安全管理评审计划执行评审及改进，及时整理信息安全管理评审资每年 料； 8、每年集中对信息安全管理体系文件进行评审，必要时进行更新； 9、每年组织各 关部门进行风险评估回顾、对新增或发生变化的信息资 进行风险评估。 10、每年检查一次财务档案资料，是否被正确保管及使用，以及机密信息泄露相关事件。 1、以每年的网络中断事件为依据 每年 每年 行政部 1、人员招聘手续办理完成率100%； 2、人员教育或培训实施率100%； 3、人员离职手续办理完成率100%。 4、办公环境消防设施配置率100% 5、办公环境消防设施点检率100% 6、每年至少组织实施完成1次信息安全内审，且资料齐全； 7、每年至少组织实施完成1次信息安全管理评审，且资料齐全； 8、每年至少进行1次信息安全体系文件评审及更新； 9、每年至少组织实施完成1次风险评估。 10、财务档案资料，被正确保管及使用，机密信息泄露次数为0次 研发部 1、网络非正常中断每年≤1次 1、研发文档资料，被正确保管及使2、每年检查一次研发文档资料是否被正用，机密信息泄露次数为0次 确保管，以及机密信息泄露相关事件 1、每年检查一次客户档案资料，是否被1、客户档案资料，被正确保管及使正确保管及使用，以及机密信息泄露相用，机密信息泄露次数为0次 关事件。 1、供应商文档合同资料，被正确保1、每年检查一次供应商文档合同资料，管及使用，机密信息泄露次数为0是否被正确保管及使用，以及机密信息次 泄露相关事件。 1、每年检查一次项目文档技术资料，是1、项目文档技术资料，被正确保管否被正确保管及使用，以及机密信息泄及使用，机密信息泄露次数为0次 露相关事件。 业务部 采购部 工程部 每年 每年 每年 1、范围 1.1 总则 为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。 1.2 应用 1.2.1覆盖范围 本信息安全管理手册规定了XXXX有限公司信息安全管理体系的建立和管理、管理职责、内部审核、管理评审和体系持续改进等方面内容。 1.2.2删减说明 本信息安全管理手册采用了ISO/IEC27001:2013标准正文的全部内容，对附录A的删减见《适用性声明SoA》。 2、规范性引用文件 ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》 ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实施细则》 3、术语和定义 3.3.1 ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》、ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实施细则》规定的术语和定义适用于本《信息安全管理手册》。 3.3.2 本组织、本公司、我司：指XXXX有限公司。 4、信息安全管理体系 4.1 组织环境 组织外部环境包括如下几个方面，但并不局限于此： ——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方； ——影响组织目标的主要驱动因素和发展趋势； ——外部利益相关者的观点和价值观。 组织内部环境包括如下几个方面，但并不局限于此： ——资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）； ——信息系统、信息流动以及决策过程（包括正式和非正式的）； ——内部利益相关者； ——政策，为实现的目标及战略； ——观念、价值观、文化； ——组织通过的标准以及参考模型； 以上相关因素将影响公司实现信息安全管理体系的预期成果。 4.2 理解相关方的需求和期望 a)与本公司信息安全管理体系有关的相关方有：供方、合同方、顾客及其他第三方访问者。 b) 各相关方对我司的信息安全需求，包括了信息安全相关法律法规要求和合同规 定的义务。 4.3 本公司信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括： a) 业务范围：计算机软件的开发、计算机系统集成及服务的信息安全管理活动 b) 信息系统范围：所述活动、系统及支持性系统包含的全部信息资产； c) 组织范围：与所述业务有关的部门和所有员工； d) 地理范围：XXXXXX e) 4.4 信息安全管理体系 本公司按照ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定，参照ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。 5 领导 5.1 领导和承诺 本公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺： a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标； b) 确保信息安全管理体系要求集成到组织的管理流程； c) 确保提供信息安全管理体系需要的各项资源； d) 传达信息安全管理的重要性及信息安全管理体系要求； e) 确保信息安全管理体系实现其预期目标； f) 指导和支持信息安全团队； g) 促使持续改进； h) 支持其他相关的管理者在其职责范围内履行管理职责。 5.2 方针 为了满足适用法律法规及相关方要求，维持公司经营和管理的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了ISMS方针，见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求： 1) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则； 2) 考虑业务及法律或法规的要求，及合同的安全义务； 3) 与组织战略和风险管理相一致的环境下，建立和保持ISMS； 4) 建立了风险评价的准则； 5) 经最高管理者批准。 5.3 组织角色、职责和权力 5.3.1信息安全组织机构 本公司成立了由最高管理者、管理者代表及各部门负责人组成的信息安全委员会，其职责是实现信息安全管理体系方针和本公司承诺，负责制订、落实信息安全管理工作计划，建立健全企业的信息安全管理体系，保持其有效、持续运行。 本公司采取相关部门代表组成的运行分析会议的方式，进行信息安全协调和协作，以： a) 确保安全活动的执行符合信息安全方针； b) 确定怎样处理不符合； c) 批准信息安全的方法和过程，如风险评估、信息分类； 5.3.2信息安全职责和权限 本公司总经理为信息安全最高管理者，对信息安全全面负责，主要包括： a) 组织制定信息安全方针及目标，任命管理者代表，明确管理者代表的职责和权限。 b）确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。 c）为信息安全管理体系配备必要的资源。 各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务； 各部门有关信息安全职责分配见《信息安全管理职能分配表》。 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。 6.1 处置风险和机遇 6.1.1总则 为实现公司信息安全管理体系方针和目标，我司参考组织环境中的问题和相关方的需求和，来决定需要被处置的风险和机遇： a) 确保信息安全管理体系可以实现其预期目标； b) 避免或减少不良影响； c) 实现持续改进。 公司对以下方面进行规划： a) 处置风险和机遇的行动； b) 如何 1) 将实施行动整合到信息安全管理体系流程中； 2) 评价行动的有效性。 6.1.2信息安全风险评估 公司制定《信息安全风险评估控制程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 信息安全风险评估的流程见 图2.风险评估流程图。 公司实施信息安全风险评估流程，从而： a) 建立和维护信息安全风险标准，包括： 1) 风险接受标准； 2) 实施信息安全风险评估的标准； b) 确保信息安全风险评估活动产生一致性，产生有效的和可比较的结果； c) 识别信息安全风险： 1) 在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完 整性和可用性的丧失带来的风险； 2) 识别风险的属主； d) 分析信息安全风险： 1) 评估在信息安全风险评估中识别的风险产生的潜在后果； 2) 评估在信息安全风险评估中识别的风险转化为事件的可能性； 3) 确定风险的等级； e) 评价信息安全风险： 1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较； 2) 根据风险等级确定风险处置的优先级。 组织应保留有关信息安全风险评估的过程文档。 6.1.3 信息安全风险处置 组织应定义和实施信息安全风险处置过程： a) 依据风险评估的结论，选择适当的信息安全风险处置方式； b) 确定信息安全风险处置选用的各项控制措施； 注： 组织可以根据标准要求来设计控制措施，也可以根据其他方面因素和来源设计控制措施。 c) 比较以上公司信息安全风险处置选用的各项控制措施中的和附录A的控制措施，确保未遗漏有效的控制措施； d) 制定具备必要控制措施的适用性声明SOA，来判断包含项是否被有效纳入实施范围，判断排除内容是否从附录A的控制措施被有效排除； e) 制定信息安全风险处置计划； f) 得到风险属主对信息安全风险处置计划和残余风险接受的审核。 组织应保留信息安全风险处置的过程文档。 6.2 信息安全目标的计划和实现 本公司建立不同职能及层级的信息安全目标。详见本手册0.5章内容。此信息安全目标应： a) 与信息安全方针一致； b) 可度量（如果可操作）； c) 考虑适用的信息安全要求,以及风险评估和风险处置结果； d) 得到沟通； e) 及时更新。 信息安全目标以文档化形式保留。在规划如何实现信息安全目标时，公司明确： a) 要做什么； b) 需要什么资源； c) 谁来负责； d) 什么时候完成 ； e) 如何评价结果。 7.1 资源 本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证： a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系； b) 确保信息安全程序支持业务要求； c) 识别并指出法律法规要求和合同安全责任； d) 通过正确应用所实施的所有控制来保持充分的安全； e) 必要时进行评审，并对评审的结果采取适当措施； f) 需要时，改进信息安全管理体系的有效性。 7.2 能力 公司制定并实施《人力资源安全管理程序》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过： a)确定承担信息安全管理体系各工作岗位的职工所必要的能力； b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求； c)评价所采取措施的有效性； d)保留教育、培训、技能、经验和资历的记录。 本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。 7.3 意识 公司员工应理解： a) 信息安全方针； b) 个人对于实现信息安全管理的重要性，提高组织信息安全绩效的收益； c) 不符合信息安全管理体系要求所造成的影响。 7.4 沟通 组织应明确与信息安全管理体系相关的内、外部沟通需求，包括： a) 沟通什么； b) 何时沟通； c) 和谁沟通； d) 谁应该沟通； e) 哪种沟通过程有效 7.5 文档要求 7.5.1 综述 组织的信息安全管理体系包括： a) 符合ISO/IEC27001:2013标准的文件包括：信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件； b) 组织所明确的，表明信息安全管理体系有效性的必要的记录文档。 7.5.2创建和更新 公司制定并实施《文件控制程序》，对信息安全管理体系所要求的文件进行管理，以确定： a）识别和描述（例如：标题、日期、作者和版本号）； b）格式（例如：语言、软件版本和图形）与介质（例如：纸质、电子）； c）适宜性和充分性经过评审。 7.5.3文档控制 公司制定并实施《文件控制程序》，对信息安全管理体系所要求的文件进行管理。以确保： a) 在需要的时间和场合可用； b）文档得到充分保护（例如：防止泄密、不当使用或丧失完整性）。 文档控制应保证： a)文件发布前得到批准，以确保文件是充分的； b)必要时对文件进行评审、更新并再次批准； c)确保文件的更改和现行修订状态得到识别； d)确保在使用时，可获得相关文件的最新版本； e)确保文件保持清晰、易于识别； f)确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁； g)确保外来文件得到识别； h)确保文件的分发得到控制； i)防止作废文件的非预期使用； j)若因任何目的需保留作废文件时，应对其进行适当的标识。 8 实施 8.1 运行计划和控制 为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动： a)形成《风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级； b)为实现已确定的安全目标、实施《风险处理计划》，明确各岗位的信息安全职责； c)实施所选择的控制措施，以实现控制目标的要求； d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果； e)进行信息安全培训，提高全员信息安全意识和能力； f)对信息安全体系的运作进行管理； g)对信息安全所需资源进行管理； h)实施控制程序，对信息安全事故（或征兆）进行迅速反应。 公司保留以上必要的过程文档信息，以表明相关过程已按照计划执行。控制计划更改，并审核计划变更的影响，如有必要采取措施减少不利影响。确保外包过程受控。 8.2 信息安全风险评估 8.2.1识别风险 在已确定的信息安全管理体系范围内，按照计划，或者在重大改变提出或发生时进行信息安全风险评估，本公司执行《信息安全风险评估控制程序》，对所有的资产进行列表识别，并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，形成《资产清单》。 同时，根据《信息安全风险评估控制程序》，识别对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。 8.2.2分析和评价风险 本公司按《信息安全风险评估控制程序》，分析和评价风险： a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值； b)针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值； c)根据《信息安全风险评估控制程序》计算风险等级； d)根据《信息安全风险评估控制程序》中的《风险接受准则》，判断风险为可接受或需要处理。 8.3 信息安全风险处置 公司根据风险评估的结果，形成了《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置，并保持处置的记录。对风险处理后的剩余风险，得到了管理者的批准。 9 绩效评价 9.1 监视、测量、分析和评价 本公司通过实施《监视、测量、分析和评价控制程序》以监视、测量、分析和评价公司信息安全管理状况结果，以实现： a)及时发现处理结果中的错误、信息安全体系的事故和隐患； b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击； c)使管理者确认人工或自动执行的安全活动达到预期的结果； d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效； e)积累信息安全方面的经验； 9.2 内部审核 公司建立《内部审核控制程序》。《内部审核控制程序》包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔（两次内部审核的间隔不得超过12个月）进行内部信息安全管理体系审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否： a) 符合本标准的要求和相关法律法规的要求； b) 符合已识别的信息安全要求； c) 得到有效地实施和维护； d) 按预期执行。 内部审核的过程文档应清晰地形成记录，并加以保持。 9.3 管理评审 公司建立并实施《管理评审控制程序》，公司管理者应按《管理评审控制程序》规定的时间间隔（两次管理评审的间隔不得超过12个月）评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。 管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。 管理评审的结果应清晰地形成文件，记录应加以保持。 10 改进 10.1 不符合和纠正措施 公司建立并实施《纠正与预防控制程序》，当出现不符合情况时： a) 对不符合情况采取措施，如： 1) 采取措施，以控制和改正它； 2) 处置影响； b) 明确必要的控制措施，以消除不符合情况产生的原因，确保它不会再发生或在其他地方 发生，通过： 1) 评审不符合项； 2) 明确不符合项产生的原因； 3) 明确是否存在或可能发生类似的不符合项； c) 采取必要的措施； d) 评审已采取的改正措施的有效性； e) 必要时改进信息安全管理体系。 纠正措施应与所发生的不符合的影响程度相适应。 组织应保留以下文档信息作为证据： f) 不符合情况的性质和所采取的后续行动； g) 纠正措施的结果。 10.2 持续改进 本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，不断完善信息安全管理体系的适宜性、充分性和有效性。

附件一：信息安全职能分配表（注：▲ 负责部门； △ 相关部门）：

管理单位 体系要求 4.组织环境 4.1 理解组织及其环境 4.2 理解相关方的需求和期望 4.3 明确信息安全管理体系的范围 4.4 信息安全管理体系 5 领导 5.1 领导和承诺 5.2 方针 5.3 组织角色、职责和权力 6 计划 6.1 处置风险和机遇 6.2 信息安全目标的计划和实现 7 支持 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 文档要求 8 实施 8.1 运行计划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9 绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10 改进 10.1 不符合项和纠正措施 10.2 持续改进 A.5 信息安全方针 A.5.1 信息安全管理指引 A.6 信息安全组织 A.6.1 内部组织 A.6.2 移动设备和远程办公 A.7 人力资源安全 A.7.1 任用前 信息安全委员会 ▲ ▲ ▲ ▲ △ △ △ △ ▲ △ △ △ ▲ △ ▲ ▲ ▲ ▲ ▲ △ △ △ ▲ ▲ △ △ △ △ △ △ ▲ ▲ ▲ △ △ ▲ △ △ △ △ △ △ △ △ △ ▲ △ △ △ △ △ △ 总经理 表 △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ ▲ △ △ ▲ ▲ △ ▲ △ △ △ △ △ △ ▲ ▲ △ △ △ ▲ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ 管理者代行政部 研发部 业务部 工程部 采购部 △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ ▲ 管理单位 体系要求 A.7.2 任用中 A.7.3 任用终止和变更 A.8 资产管理 A.8.1 资产的责任 A.8.2 信息分类 A.8.3 介质处理 A.9 访问控制 A.9.1 访问控制的业务需求 A.9.2 用户访问管理 A.9.3 用户责任 A.9.4 系统和应用访问控制 A.10 加密技术 A.10.1 加密控制 A.11 物理和环境安全 A.11.1 安全区域 A.11.2 设备安全 A.12 操作安全 A.12.1 操作程序及职责 A.12.2 防范恶意软件 A.12.3 备份 A.12.4 日志记录和监控 A.12.5 操作软件的控制 A.12.6 技术脆弱性管理 A.12.7 信息系统审计的考虑因素 A.13 通信安全 A.13.1 网络安全管理 A.13.2 信息传输 A.14 系统的获取、开发及维护 A.14.1 信息系统安全需求 A.14.2 开发和支持过程的安全 A.14.3 测试数据 A.15 供应商关系 A.15.1 供应商关系的信息安全 A.15.2 供应商服务交付管理 A.16 信息安全事件管理 A.16.1 信息安全事件的管理和改进 A.16.1.1 职责和程序 A.16.1.2 报告信息安全事态 A.16.1.3 报告信息安全弱点 A.16.1.4 评估和决策信息安全事件 信息安管理者代全委员会 △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ 总经理 表 △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ ▲ ▲ ▲ ▲ ▲ △ △ △ △ △ ▲ ▲ △ △ ▲ △ △ △ △ △ △ △ ▲ △ ▲ 行政部 研发部 业务部 工程部 采购部 ▲ △ ▲ △ △ △ △ △ △ △ △ △ ▲ △ △ △ △ △ ▲ △ ▲ △ ▲ △ △ △ △ △ △ △ △ △ ▲ △ △ △ △ △ △ △ ▲ △ ▲ △ △ △ △ △ △ △ △ △ ▲ △ △ △ △ △ △ ▲ ▲ ▲ ▲ ▲ △ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ △ ▲ ▲ △ ▲ ▲ ▲ △ △ △ ▲ ▲ ▲ ▲ ▲ △ ▲ ▲ ▲ △ △ ▲ ▲ ▲ △ 管理单位 体系要求 A.16.1.5 响应信息安全事故 A.16.1.6 从信息安全事故中学习 A.16.1.7 收集证据 A.17 业务连续性管理中的信息安全 信息安管理者代全委员会 △ △ △ △ △ △ 总经理 表 行政部 研发部 业务部 工程部 采购部 △ △ △ ▲ ▲ ▲ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ A.17.1 信息安全的连续性 A.17.2 冗余 A.18 符合性 A.18.1 法律和合同规定的符合性 A.18.2 信息安全评审 ▲ ▲ △ △ △ △ △ △ △ △ △ △ △ △ ▲ ▲ △ △ △ △ 附件二：信息安全职责 序号 架构/部门 成员及职能 1 2 3 4 5 6 最高管理者 总经理： 管理者代表 成员 系我司信息安全最高组织机构，负责公司整体信息安全管理工作，推动信息安全信息安全 工作的实施；制定信息安全方针、信息安全管理目标；负责审核信息安全小组提委员会 交的信息安全管理体系、规范及管理办法；负责决策与信息安全管理相关的重大事项，包括信息安全组织机构调整、信息安全关键人事变动以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；评审与监督重大信息安全事故的处理与改进；定期组织信息安全管理体系（ISMS）评审等。 1) 组织并制定信息安全方针策略。 2) 任命管理者代表，明确管理者代表的职责和权限。 3) 确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。 最高管理者 4) 为信息安全管理体系配备必要的资源。 5) 主持管理评审； 6) 对信息安全全面负责。 1) 协助最高管理者建立、实施、检查、改进信息安全管理体系。 2) 负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行。 3) 组织公司信息安全风险评估和风险管理。 管理者代表 4) 组织开展信息安全内部审核、安全检查工作。 5) 负责向总经理报告信息安全体系运行的业绩和任何改进的需求。 6) 负责就信息安全管理体系有关事宜的对外联络。 7) 监控信息安全事件和确保安全控制措施得到执行。 1) 负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。 2) 参与公司信息安全工作的讨论和决策。 各部门负责3) 对信息安全管理体系内部审核、管理评审及其他安全检查时发现的问题及采人 取的纠正预防措施进行审核和确认。 4) 负责管理和维护部门发布的信息安全管理体系相关文件。 5) 负责信息安全事件的调查及协调处理。 1) 负责监控信息安全管理体系的日常运行。 2) 负责信息安全管理体系文件的控制。 3) 负责本公司信息安全管理体系的推行落实。 4) 负责公司员工招聘、聘用及离职全过程的安全管理。 5) 负责公司内部人事档案等重要文件资料的安全管控。 行政部 6) 负责公司日常行政安全的管理。 7) 负责公司办公环境的物理安全，包括人员及物品出入控制、门禁管理等。 8）负责财务管理工作 9）负责公司及部门重要文件资料的安全管控。 10）负责信息安全事件的调查及协调处理。 11）负责本部门重要信息的安全保密管控，包括客户信息等重要数据的安全管控。 1) 负责公司软件系统的研发及项目的实施； 2) 负责公司手册规定的配合职责及其相应程序文件规定的工作，以及公司领导研发部 交办的其他工作； 3) 负责公司信息系统建设及运行维护； 4) 负责公司机房安全管理； 7 业务部 8 采购部 9 工程部 10 所有员工 5) 负责公司各部门办公电脑的维护及安全管理； 6) 负责公司网络授权开放及撤销； 7) 负责公司机房及软硬件系统的安全运行维护； 8) 负责本部门的重要文档、数据的安全运行监控； 9）负责本部门重要信息的安全保密管控； 10）信息安全事件的报告及协助处理。 1）负责市场开拓工作； 2）负责业务洽谈及合约的签订； 3）负责本部门重要信息的安全保密管控。 4）信息安全事件的报告及协助处理。 58）完成公司领导交办的其他工作。 1）负责物料的采购工作； 2）负责采购合同的签订和下达； 3）负责供应商的收集、筛选和组织评价； 4）负责本部门重要信息的安全保密管控。 5）信息安全事件的报告及协助处理。 6）完成公司领导交办的其他工作。 1) 负责项目有关安装调试、故障、维修、更换零部件或设备更新等资料报表，并将其填人设备档案书妥善保管。 2) 做好每日的施工单登记,准确配发各班组施工单，做好完工后的施工单记录、存档。 3) 负责每日汇总各班组的工作日报表，填写系统设备运行、维修情况日报表，送部门经理审阅。 4) 负责公司信息系统建设及运行维护； 5) 负责公司机房安全管理； 6) 负责公司各部门办公电脑的维护及安全管理； 7) 负责公司网络授权开放及撤销； 8) 负责公司机房及软硬件系统的安全运行维护； 9) 负责本部门的重要文档、数据的安全运行监控； 9）负责本部门重要信息的安全保密管控； 10) 10）信息安全事件的报告及协助处理。 1) 严格遵守国家及行业的法律法规和政策。 2) 严格遵守公司的各项信息安全政策。 3) 正确、安全的使用及保管公司及客户的各类信息资产。 4) 积极参加信息安全教育与培训，提高信息安全意识。 5) 信息安全事件的报告及协助处理。 附件三：信息安全管理体系程序文件清单 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 文件名称 文件控制程序 记录控制程序 内部审核控制程序 管理评审控制程序 纠正与预防控制程序 信息安全测量管理程序 信息安全风险评估控制程序 信息处理设施控制程序 用户访问控制程序 相关方服务管理程序 变更控制程序 技术薄弱点控制程序 介质管理程序 软件控制程序 数据备份管理程序 网络安全管理程序 安全区域控制程序 软件开发控制程序 业务持续性控制程序 信息安全事件管理程序 信息交换管理程序 法律法规识别获取控制程序 人力资源安全管理程序 供应关系管理程序 文件编号 SR-QP-01 SR-QP-02 SR-QP-03 SR-QP-04 SR-QP-05 SR-QP-06 SR-QP-07 SR-QP-08 SR-QP-09 SR-QP-10 SR-QP-11 SR-QP-12 SR-QP-13 SR-QP-14 SR-QP-15 SR-QP-16 SR-QP-17 SR-QP-18 SR-QP-19 SR-QP-20 SR-QP-21 SR-QP-22 SR-QP-23 SR-QP-24 版本号 制定/修订日期 制定部门 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 A/0 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 备注 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 附件四：信息安全管理体系作业指导书文件清单 序号 1 2 3 4 5 6 7 8 9 10 11 12

文件名称 档案管理规定 信息安全奖惩管理规定 计算机管理规定 信息安全监控管理规定 防病毒管理规定 电子邮件和互联网使用规定 信息分类与处理指南 技术符合性管理规定 风险评估方法与准则 主机系统安全配置规范 机房管理规定 软件安装规范 文件编号 SR-QW-01 SR-QW-02 SR-QW-03 SR-QW-04 SR-QW-05 SR-QW-06 SR-QW-07 SR-QW-08 SR-QW-09 SR-QW-10 SR-QW-11 SR-QW-12 版本号 制定/修订日期 A/0 2018.5.11 A/0 2018.5.11 A/0 2018.5.11 A/0 2018.5.11 A/0 2018.5.11 2018.5.11 A/0 A/0 A/0 A/0 A/0 A/0 A/0 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 2018.5.11 制定部门 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 采购部 备注 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件 受控文件