公司信息安全管理手册

信息安全管理手

信息安全管理手册

目 录

01 颁布令 ................................................................ 3 02 管理者代表授权书 ...................................................... 4 03 企业概况 .............................................................. 5 04 信息安全管理方针目标 .................................................. 6 05 手册的管理 ............................................................ 8 信息安全管理手册 ......................................................... 9 1 范围 .................................................................. 9

1.1 总则 ............................................................. 9 1.2 应用 ............................................................. 9 2 规范性引用文件 ....................................................... 10 3 术语和定义 ........................................................... 10

3.1 本公司 .......................................................... 10 3.2 信息系统 ........................................................ 10 3.3 计算机病毒 ...................................................... 10 3.4 信息安全事件 .................................................... 10 3.5 相关方 .......................................................... 10 4 信息安全管理体系 ..................................................... 11

4.1 概述 ............................................................ 11 4.2 建立和管理信息安全管理体系 ...................................... 11 4.3 文件要求 ........................................................ 17 5 管理职责 ............................................................. 19

5.1 管理承诺 ........................................................ 19 5.2 资源管理 ........................................................ 19 6 内部信息安全管理体系审核 ............................................. 20

6.1 总则 ............................................................ 20

第 1 页 共 37页

信息安全管理手册

6.2 内审策划 ........................................................ 20 6.3 内审实施 ........................................................ 20 7 管理评审 ............................................................. 22

7.1 总则 ............................................................ 22 7.2 评审输入 ........................................................ 22 7.3 评审输出 ........................................................ 22 7.4 评审程序 ........................................................ 23 8 信息安全管理体系改进 ................................................. 24

8.1 持续改进 ........................................................ 24 8.2 纠正措施 ........................................................ 24 8.3 预防措施 ........................................................ 24 附录A（规范性附录）信息安全管理组织结构图 ............................... 26 附录B（规范性附录）办公大楼平面图 ....................................... 27 附录C（规范性附录）信息安全管理职责明细表 ............................... 27 附录D（资料性附录）信息安全管理程序文件清单 ............................. 30 附录E （规范性附录） 信息安全角色和职责................................... 30 附录F（规范性附录）组织机构图........................................... 35 附录G（规范性附录）ISMS职能分配表.......................................36

第 2 页 共 37页

信息安全管理手册

01 颁布令

为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了无锡********安全技术研究有限公司《信息安全管理手册》。

《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。

《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自 2009年 12月 23 日起实施。企业全体员工必须遵照执行。

全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。

无锡********安全技术研究有限公司

总经理：

2009年 12 月 23 日

第 3 页 共 37页

信息安全管理手册

02 管理者代表授权书

为贯彻执行信息安全管理体系，满足GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准的要求，加强领导，特任命 刘亚利 为我公司信息安全管理者代表。

授权信息安全管理者代表有如下职责和权限：

1．确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；

2．负责与信息安全管理体系有关的协调和联络工作； 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件；

6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 7． 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体

系运行情况、内外部审核情况。

本授权书自任命日起生效执行。

无锡********安全技术研究有限公司

总 经 理：

2009年 12 月 23 日

第 4 页 共 37页

信息安全管理手册

03 企业概况

我公司是专业从事计算机软件技术应用的研发公司，公司坚持自主创新、政产学研相结合的发展道路，以一流的科研成果创造一流的产业应用为目标，围绕计算机技术在信息安全、生产安全相关领域的应用，开拓进取，取得了多项重大科研成果，并通过了CMMI3级认证和双软企业认定，研发项目得到相关政府行业客户的认可，在相关应用领域多次推动技术变革，创造了重大的社会与经济效益。

研究方向：

信息安全 Information Security

涉及计算机信息数据安全保护、计算机行为风险控制与跟踪、计算机电子信息对抗与取证、手机应用安全。

智能识别 Intelligent Identification

行业专用RFID(电子标签)设计、封装、应用中间件研发、读写设备开发。 特种设备安全 Special Equipment Safety

特种设备监察、检验(检测)、维保、许可、执法、巡查、追溯系统的研发。

嵌入&移动商务 Embedded & Mobile Business

嵌入式应用、无线传感网、移动商务应用研发。

企业名称： 无锡********安全技术研究有限公司 企业法人： 通讯地址： 邮政编码： 联系电话：

第 5 页 共 37页

信息安全管理手册

04 信息安全管理方针目标

为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。

信息安全管理方针如下： 强化意识 规范行为 数据保密 信息完整

本公司信息安全管理方针包括内容如下： 一、信息安全管理机制

公司采用系统的方法，按照GB/T22080-2008idtISO27001:2005建立信息安全管理体系，全面保护本公司的信息安全。

二、信息安全管理组织

1．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。

2．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。

3．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。

4．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。

三、人员安全

1．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。

2．对本公司的相关方针，要明确安全要求和安全职责。

3．定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识。

4．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全

第 6 页 共 37页

信息安全管理手册

及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。

五、风险评估

1．根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。

2．采用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。

3．应根据风险评估的结果，采取相应措施，降低风险。 六、报告安全事件

1．公司建立报告信息安全事件的渠道和相应的主管部门。

2．全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。

3．接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。

七、监督检查

定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。

八、业务持续性

1．公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。

2．定期对业务持续性计划进行测试和更新。 九、违反信息安全要求的惩罚

对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。 信息安全目标如下：

1） 确保每年重大信息安全事件（事故）发生次数为零。

2） 确保单个重要业务系统每月中断次数不超过1次，每次中断时间不超过2小时。 3） 确保信息安全事件发现率99%、上报和处理率100%。

第 7 页 共 37页

信息安全管理手册

05 手册的管理

1 信息安全管理手册的批准

信息安全管理委员会负责组织编制《信息安全管理手册》，总经理负责批准。 2 信息安全管理手册的发放、更改、作废与销毁

a）行政中心负责按《文件和资料管理程序》的要求，进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作；

b）各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管；

c）行政中心按照规定发放修改后的《信息安全管理手册》，并收回失效的文件做出标识统一处理，确保有效文件的唯一性；

d）行政中心保留《信息安全管理手册》修改内容的记录。 3 信息安全管理手册的换版

当依据的GB/T22080-2008idtISO27001:2005标准有重大变化、组织的结构、内外部环境、开发技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时，应对《信息安全管理手册》进行换版。换版应在管理评审时形成决议，重新实施编制、审批工作。

4 信息安全管理手册的控制

a）本《信息安全管理手册》标识分受控文件和非受控文件两种： ——受控文件发放范围为公司领导、各相关部门的负责人、内审员；

——非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。

b）《信息安全管理手册》有书面文件和电子文件。

第 8 页 共 37页

信息安全管理手册

信息安全管理手册

1

范围

1.1

总则

为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

1.2

应用

1.2.1 覆盖范围：

本信息安全管理手册规定了无锡********安全技术研究有限公司的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。

本信息安全管理手册适用于无锡********安全技术研究有限公司业务活动所涉及的信息系统、资产及相关信息安全管理活动，具体见4.2.2.1条款规定。

1.2.2 删减说明

本信息安全管理手册采用了GB/T22080-2008idtISO27001:2005标准正文的全部内容，对附录A的删减见《适用性声明》。

第 9 页 共 37页

信息安全管理手册

2

规范性引用文件

下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手

册》的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，行政中心应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。

GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》 GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》

3

术语和定义

GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要

求》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。

3.1

本公司

指无锡********安全技术研究有限公司，包括无锡********安全技术研究有限公司所属各部门。

3.2

信息系统

指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.3

计算机病毒

指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

3.4

信息安全事件

指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

3.5

相关方

关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为：政府、供方、银行、用户、电信等。

第 10 页 共 37页

信息安全管理手册

4

信息安全管理体系

4.1

概述

4.1.1 本公司在软件开发、经营、服务和日常管理活动中，按GB/T22080-2008 idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定，参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。 4.1.2 信息安全管理体系使用的过程基于图1所示的PDCA模型。

策划 相关方 要求和 期望 实施 实施和运行 保持和改进 建立 相关方 处置 信息安全 监视和评审管理 ISMS ISMS ISMS 信息安全

图1 信息安全管理体系模型

4.2

ISMS 检查 建立和管理信息安全管理体系

4.2.1 建立信息安全管理体系

4.2.1.1 信息安全管理体系的范围和边界

本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括：

a) 本公司涉及软件开发、营销、服务和日常管理的业务系统； b) 与所述信息系统有关的活动；

第 11 页 共 37页

信息安全管理手册

c) 与所述信息系统有关的部门和所有员工；

d) 所述活动、系统及支持性系统包含的全部信息资产。 组织范围：

本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本手册附录A（规范性附录）《信息安全管理体系组织机构图》。

物理范围：

本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。

本公司信息安全管理体系的物理范围为本公司位于无锡市惠山经济开发区前洲配套区兴洲路2号，科创中心二楼，安全边界详见附录B（规范性附录）《办公场所平面图》。

4.2.1.2 信息安全管理体系的方针

为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.4条款。

该信息安全方针符合以下要求：

a) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则； b) 考虑业务及法律或法规的要求，及合同的安全义务；

c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系； d) 建立了风险评价的准则； e) 经最高管理者批准。

为实现信息安全管理体系方针，本公司承诺：

a) 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责

b) 识别并满足适用法律、法规和相关方信息安全要求；

c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；

d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；

第 12 页 共 37页

信息安全管理手册

e) 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；

f) 制定并保持完善的业务连续性计划，实现可持续发展。 4.2.1.3 风险评估的方法

行政中心负责制定《信息安全风险评估管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估执行《信息安全风险评估管理程序》，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 4.2.1.4 识别风险

在已确定的信息安全管理体系范围内，本公司按《信息安全风险评估管理程序》，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值，形成了《资产识别清单》。

同时，根据《信息安全风险评估管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。

4.2.1.5 分析和评价风险

本公司按《信息安全风险评估管理程序》，采用人工分析法，分析和评价风险： a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；

b) 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；

c) 根据《信息安全风险评估管理程序》计算风险等级；

d) 根据《信息安全风险评估管理程序》及风险接受准则，判断风险为可接受或需要处理。

4.2.1.6 识别和评价风险处理的选择

行政中心组织有关部门根据风险评估的结果，形成《信息安全不可接受风险处理计划》，该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：

第 13 页 共 37页

信息安全管理手册

a) 消减风险（通过适当的控制措施降低风险发生的可能性）；

b) 接受风险（风险值不高或者处理的代价高于风险引起的损失，公司决定接受该风险/残余风险）；

c) 规避风险（决定不进行引起风险的活动，从而避免风险）； d) 转移风险（通过购买保险、外包等方法把风险转移到外部机构）。 4.2.1.7选择控制目标与控制措施

行政中心根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定了信息安全目标，并将目标分解到有关部门（见《适用性声明》）：

a)信息安全控制目标获得了信息安全最高责任者的批准。

b)控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A，具体控制措施参考GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》。

c)本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。 4.2.1.8 对风险处理后的残余风险，得到了公司最高管理者的批准。 4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。 4.2.1.10 适用性声明

行政中心负责编制《适用性声明》（SoA）。该声明包括以下方面的内容： a)所选择控制目标与控制措施的概要描述，以及选择的原因；

b)对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的说明（本公司未涉及此项业务）。

4.2.2 实施及运作信息安全管理体系

4.2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：

a)形成《信息安全不可接受风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级；

b)为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》，明确各岗位的信息安全职责；

c)实施所选择的控制措施，以实现控制目标的要求；

第 14 页 共 37页

信息安全管理手册

d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；

e)进行信息安全培训，提高全员信息安全意识和能力； f)对信息安全体系的运作进行管理； g)对信息安全所需资源进行管理；

h)实施控制程序，对信息安全事件（或征兆）进行迅速反应。 4.2.2.2 信息安全组织机构

本公司成立了信息安全领导机构-信息安全委员会，其职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。

本公司体系推进由行政中心负责，其主要负责制订、落实贯标工作计划，对单位、部门贯标工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。

本公司由相关部门代表组成信息安全委员会，采用联席会议（协调会）的方式，进行信息安全协调和协作，以：

a) 确保安全活动的执行符合信息安全方针； b) 确定怎样处理不符合；

c) 批准信息安全的方法和过程，如风险评估、信息分类；

d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露； e) 评估信息安全控制措施实施的充分性和协调性； f) 有效的推动组织内信息安全教育、培训和意识；

g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。

4.2.2.3信息安全职责和权限

本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责：

a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；

第 15 页 共 37页

信息安全管理手册

b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全委员会或最高责任者报告。

各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；

各部门、人员有关信息安全职责分配见附录C（规范性附录）《信息安全管理职责明细表》和相应的程序文件。

4.2.2.4 各部门应按照《适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。

4.2.3 监督与评审信息安全管理体系

4.2.3.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：

a)及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；

b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击； c)使管理者确认人工或自动执行的安全活动达到预期的结果； d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效； e)积累信息安全方面的经验。

4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7章。

4.2.3.3 行政中心应组织有关部门按照《信息安全风险评估管理程序》的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：

a) 组织； b) 技术；

c) 业务目标和过程； d) 已识别的威胁； e) 实施控制的有效性；

f) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。

第 16 页 共 37页

信息安全管理手册

4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体要求，见本手册第6章。

4.2.3.5定期对信息安全管理体系进行管理评审，以确保范围的充分性，并识别信息安全管理体系过程的改进，管理评审的具体要求，见本手册第7章。 4.2.3.6考虑监视和评审活动的发现，更新安全计划。

4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。

4.2.4 保持与持续改进信息安全管理体系

我公司开展以下活动，以确保信息安全管理体系的持续改进：

a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目； b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故（事件）的经验教训，不断改进安全措施的有效性；

c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；

d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。

4.3

4.3.1 总则

文件要求

本公司信息安全管理体系文件包括：

a) 文件化的信息安全方针、控制目标，在《信息安全管理手册》中描述； b) 《信息安全管理手册》（本手册，包括信息安全适用范围及引用的标准）； c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序；

d) 信息安全管理体系引用的支持性程序。如：《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等；

e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序； f)《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息安全管理体系要求的记录类文件；

g) 相关的法律、法规和信息安全标准；

第 17 页 共 37页

信息安全管理手册

h) 适用性声明（SOA）。

4.3.2 文件控制

行政中心制定并实施《文件和资料管理程序》，对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。

文件控制应保证：

a) 文件发布前得到批准，以确保文件是充分的； b) 必要时对文件进行评审、更新并再次批准； c) 确保文件的更改和现行修订状态得到识别； d) 确保在使用时，可获得相关文件的最新版本； e) 确保文件保持清晰、易于识别；

f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；

g) 确保外来文件得到识别； h) 确保文件的分发得到控制； i) 防止作废文件的非预期使用；

j) 若因任何目的需保留作废文件时，应对其进行适当的标识。

4.3.3 记录控制

4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政中心负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的《记录管理程序》，规定记录的标识、储存、保护、检索、保管、废弃等事项。

4.3.3.2 信息安全体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事故（事件）的记录。

4.3.3.3各部门应根据《记录管理程序》的要求采取适当的方式妥善保管信息安全记录。

第 18 页 共 37页

信息安全管理手册

5

管理职责

5.1

管理承诺

我公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：

a) 建立信息安全方针(见本手册第0.4章)；

b) 确保信息安全目标得以制定（见本手册第0.4章、《适用性声明》、《信息安全不可接受风险处理计划》及相关记录）；

c) 建立信息安全的角色和职责（见本手册附录E）；

d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；

e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2章)；

f) 决定接受风险的准则和风险的可接受等级(见《信息安全风险评估管理程序》及相关记录)；

g) 确保内部信息安全管理体系审核（见本手册第6章）得以实施； h) 实施信息安全管理体系管理评审（见本手册第7章）。

5.2

资源管理

5.2.1 资源的提供

本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证：

a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系； b) 确保信息安全程序支持业务要求； c) 识别并指出法律法规要求和合同安全责任；

d) 通过正确应用所实施的所有控制来保持充分的安全； e) 必要时进行评审，并对评审的结果采取适当措施； f) 需要时，改进信息安全管理体系的有效性。

5.2.2 培训、意识和能力

第 19 页 共 37页

信息安全管理手册

行政中心制定并实施《人力资源管理程序》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：

a)确定承担信息安全管理体系各工作岗位的职工所必要的能力； b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求； c)评价所采取措施的有效性；

d)保留教育、培训、技能、经验和资历的记录。

本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。

6

内部信息安全管理体系审核

6.1

总则

行政中心负责建立并实施《内部审核管理程序》，《内部审核管理程序》应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：

a) 符合本标准的要求和相关法律法规的要求； b) 符合已识别的信息安全要求； c) 得到有效地实施和维护； d) 按预期执行。

6.2

内审策划

6.2.1行政中心应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。 6.2.2每次审核前，行政中心应编制内审计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。

6.3

内审实施

6.3.1 应按审核计划的要求实施审核，包括：

a）进行首次会议，明确审核的目的和范围，采用的方法和程序； b）实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流；

第 20 页 共 37页

信息安全管理手册

c）进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；

d）审核组长编制审核报告。

6.3.2 对审核中提出的不符合项报告，责任部门应编制纠正措施，由行政中心组织对受审部门的纠正措施的实施情况进行跟踪、验证。 6.3.3 按照《记录管理程序》的要求，保存审核记录。6.3.4 内部审核报告，应作为管理评审的输入之一。

第 21 页 共 37页

信息安全管理手册

7

管理评审

7.1

总则

7.1.1行政中心负责每年下半年组织信息安全管理体系管理评审，以确保其持续的适宜性、充分性和有效性。

7.1.2管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。

7.1.3管理评审的结果应清晰地形成文件，记录应加以保持。

7.2

评审输入

管理评审的输入要包括以下信息： a) 信息安全管理体系审核和评审的结果； b) 相关方的反馈；

c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序； d) 预防和纠正措施的状况；

e) 以往风险评估没有充分强调的脆弱性或威胁； f) 有效性测量的结果； g) 以往管理评审的跟踪措施；

h) 任何可能影响信息安全管理体系的变更； i) 改进的建议。

7.3

评审输出

管理评审的输出应包括与下列内容相关的任何决定和措施： a) 信息安全管理体系有效性的改进； b) 更新风险评估和风险处理计划；

c) 必要时，修订影响信息安全的程序和控制措施，以反映可能影响信息安全管理体系的内外事件，包括以下方面的变化：

1) 业务要求； 2) 安全要求；

3) 影响现有业务要求的业务过程； 4) 法律法规要求；

第 22 页 共 37页

信息安全管理手册

5) 合同责任；

6) 风险等级和（或）风险接受准则。 d) 资源需求；

e) 改进测量控制措施有效性的方式。

7.4

评审程序

7.4.1 行政中心根据信息安全管理体系运行情况和内、外审的结果，针对评审输入信息要求，制定《管理评审计划》，送交总经理批准后，通知相关职能部门准备及提供评审资料。

7.4.2相关部门按《管理评审计划》，准备相关的信息、资料，对信息安全管理体系文件的适宜性、充分性及有效性做出评价，提出改进措施。

7.4.3 最高管理者主持召开管理评审会议，并根据评审结果，做出管理评审结论性评价，对信息安全管理体系中存在主要问题确定纠正和预防措施责成有关部门落实整改。 7.4.4 管理评审应形成《管理评审报告》，《管理评审报告》由管理者代表审核，最高管理者批准。

7.4.5 根据“管理评审报告”提出的要求，管理者代表组织各相关部门制定纠正、预防措施，并对实施情况进行协调、监督、检查。

第 23 页 共 37页

信息安全管理手册

8

信息安全管理体系改进

8.1

持续改进

本公司制定和实施《纠正措施管理程序》、《预防措施管理程序》《内部审核管理程序》等文件，通过下列途径持续改进信息安全管理体系的有效性：

a) 通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺； b) 通过建立信息安全管理体系目标明确改进的方向；

c) 通过内部审核不断发现问题，寻找体系改进的机会并予实施，详见《内部审核管理程序》；

d) 通过数据分析不断寻求改进的机会，并做出适当的改进活动安排，详见《纠正措施管理程序》；

e) 通过实施纠正和预防措施实现改进，详见《纠正措施管理程序》和《预防措施管理程序》；

f) 通过管理评审输出的有关改进措施的实施实现改进，详见本手册第7章。

8.2

纠正措施

8.2.1 行政中心负责建立并实施《纠正措施管理程序》，采取纠正措施，消除与信息安全管理体系要求不符合的原因，以防止再发生。 8.2.2 《纠正措施管理程序》应规定以下方面的要求：

a) 识别存在的不符合； b) 确定不符合的原因；

c) 评价确保不符合不再发生的措施要求； d) 确定和实施所需的纠正措施； e) 记录所采取措施的结果； f) 评审所采取的纠正措施。

8.3

预防措施

8.3.1 行政中心建立并实施《预防措施管理程序》，规定采取以下措施，以消除潜在与信息安全管理体系要求不符合的原因，防止其发生。 8.3.2 所采取的预防措施应与潜在问题的影响程度相适应。

第 24 页 共 37页

信息安全管理手册

8.3.3 《预防措施管理程序》应规定以下方面的要求：

a) 识别潜在的不符合及其原因； b) 评价预防不符合发生的措施要求； c) 确定并实施所需的预防措施； d) 记录所采取措施的结果； e) 评审所采取的预防措施。

8.3.4 公司风险评估小组应定期进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。

第 25 页 共 37页

信息安全管理手册

附录A （规范性附录） 信息安全管理组织结构图

信息安全委员会 （最高管理者） 信息安全内审小组 管理者代表 信息安全执行代表（各部门）

第 26 页 共 37页

信息安全管理手册

附录B （规范性附录） 办公大楼平面图

201室：总经理室 202室：行政中心 203室：项目中心 204室：机房 205室：客服中心 206室：会议室

其中201室、203室、204室为公司重要安全区域，202室、205室、206室为公司普通安全区域。

第 27 页 共 37页

信息安全管理手册

附录C （规范性附录） 信息安全管理职责明细表

部门/职位 信息安全管理委员会 ? ? ? ? ? ? ? ? ? ? 建立信息安全管理体系的策略。 负责信息安全方针和目标的建立。 负责分配信息安全的角色和相关职责。 负责公司信息安全组织结构的批准。 负责信息安全管理体系管理者代表的任命。 确保信息安全管理体系内部审核的实施。 定期对信息安全管理体系进行管理评审。 确保公司信息安全教育的落实。 决定接受风险准则和风险的可接受的等级。 为信用卡中心信息安全管理体系的建立、实施、运作、监视保持和改进配备必要的资源。 管理者代表 ? 监督信息安全管理体系的实施，监控公司的信息安全情况，并定期向最高管理者汇报。 ? 向公司传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要。 ? ? ? ? ? ? 信息安全执行代表 ? ? ? 负责信息安全管理体系内审员的批准。 负责程序文件的审批，包括修改的审批。 确认信息管理手册内容，并负责后期工作的监督。 审核批准内部审核计划，主持、监督信息安全内部审核，批复内审报告。 负责审核管理评审计划和管理评审报告，监督管理评审措施的落实。 负责组织和确认公司信息安全教育。 在信息安全管理组确定的实施范围内，具体推广并落实各项策略要求和控制措施。 负责本部门信息安全的日常工作，负责本部门人员的信息安全意识提升。 对本部门信息资产进行风险评估，根据公司的实情，讨论风险的可接受标准，对不能接受的风险进行处置。 职责 ? 信息安全内审小组 ? ? ? 负责本部门信息安全事件的应急处理。 负责对各部门信息安全管理体系的实施运行情况进行监督和检查。 负责内部审核和外部审核的具体安排。 负责组织对信息安全管理体系文件的评审，并提出文件评审意见。 负责有效性测量工作的计划和实施。 负责收集与本部门相关的信息安全方面的法规及其他要求，并及时上报信息安全委员会，同时负责在本部门内传达，贯彻和实施与部门相关的法规及其他要求。 ? 各部门 ? ? 协助在本部门内宣传公司的信息安全管理体系文件的要求，提高本部门员工的信 第 28 页 共 37页

信息安全管理手册

息安全意识。 ? ? ? ? 按照信息安全体系文件的要求，在本部门遵照执行。 发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实施处置措施。 协助信息安全审计小组进行体系的内部审查与外部评审。 对信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性，防范对信息的未经授权访问。 ? ? 负责本部门信息安全管理体系文件和记录的接收、编写、修改与保存。 处理本部门与信息安全相关的事宜，向信息安全委员会反馈本部门在信息安全方面的要求和建议。 ? ? 在第三方或对外联络中积极宣传本公司的信息安全目标和方针。 在与第三方或外界进行信息交流、接触时，保证信息的安全。

第 29 页 共 37页

信息安全管理手册

附录D （资料性附录） 信息安全管理体系程序文件清单 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

第 30 页 共 37页

文件名称 文件和资料管理程序 记录管理程序 密级控制程序 信息安全风险评估管理程序 业务持续性管理程序 信息安全合规性管理程序 人力资源管理程序 相关方信息安全管理程序 信息安全沟通管理程序 安全区域管理程序 网络安全管理程序 用户访问管理程序 信息交换管理程序 系统开发与维护控制程序 更改控制程序 事故、事件、薄弱点与故障管理程序 软件管理程序 介质管理程序 信息处理设备管理程序 恶意软件控制程序 重要信息备份管理程序 信息系统监控管理程序 适用性声明 内部审核管理程序 管理评审控制程序 纠正措施管理程序 预防措施管理程序 文件编号 ISMS-2001 ISMS-2002 ISMS-2003 ISMS-2004 ISMS-2005 ISMS-2006 ISMS-2007 ISMS-2008 ISMS-2009 ISMS-2010 ISMS-2011 ISMS-2012 ISMS-2013 ISMS-2014 ISMS-2015 ISMS-2016 ISMS-2017 ISMS-2018 ISMS-2019 ISMS-2020 ISMS-2021 ISMS-2022 ISMS-2023 ISMS-2024 ISMS-2025 ISMS-2026 ISMS-2027 信息安全管理手册

附录E

（规范性附录） 信息安全角色和职责

? 总经理

a) 根据董事会或公司提出的战略目标，制定公司战略，提出公司的业务规划、

经营方针和经营形式，经公司或董事会确定后组织实施。 b) 拟订公司内部管理机构设置方案和基本管理制度；

c) 审定公司具体规章、奖罚条例，审定公司工资奖金分配方案，审定经济责

任挂钩办法并组织实施； d) 审核签发以公司名义发出的文件；

e) 召集、主持总经理办公会议，检查、督促和协调各部门的工作进展，主持

召开行政例会、专题会等会议，总结工作、听取汇报； f) 主持公司的全面经营管理工作，组织实施董事会决议；

g) 向董事会或公司提出企业的更新改造发展规划方案、预算外开支计划； h) 处理公司重大突发事件； i) 推进公司企业文化的建设工作。 ? 副总经理

a) b) c) d) e) f) g) h) i)

协助总经理制定公司发展战略规划、经营计划、业务发展计划； 将公司内部管理制度化、规范化；

制定公司组织结构和管理体系、相关的管理、业务规范和制度； 组织、监督公司各项规划和计划的实施； 开展企业形象宣传活动；

按时提交公司发展现状报告、发展计划报告； 指导公司人才队伍的建设工作；

协助总经理对公司运作与各职能部门进行管理，协助监督各项管理制 度的制定及推行；

协助总经理推进公司企业文化的建设工作；

完成总经理临时下达的任务。 ? 行政中心

1） 出纳

a) 负责现金支票的收入保管、签发支付工作；

b) 严格按照公司的财务制度报销结算公司各项费用并编制相关凭证；

第 31 页 共 37页

信息安全管理手册

c) 及时准确编制记账凭证并逐笔登记总账及明细账，定期上缴各种完整

的原始凭证； d) 及时与银行定期对账；

e) 根据公司领导的需要，编制各种资金流动报表； f) 配合会计人员做好每月的报税和工资的发放工作； g) 管理银行账户、转账支票与发票；

h) 完成其他由上级主管指派及自行发展的工作。 2） 部门经理

a) b) c) d) e) f) g) h) i)

组织制定行政中心工作发展规划、计划与预算方案； 组织制定行政管理规章制度及督促、检查制度的贯彻执行； 组织、协调公司年会、员工活动、市场类活动及各类会议，负责外联

工作及办理公司所需各项证照； 起草及归档公司相关文件；

搜集、整理公司内部信息，及时组织编写公司大事记； 管理公司重要资质证件；

组织好来客接待和相关的外联工作；

主持部门内部的建设工作，建设及维护内部网络； 协调公司内部行政人事等工作；

j) 对控制成本的方法提出建议。 3）行政专员

a) 协助上级制定行政、总务及安全管理工作发展规划和计划； b) 协助审核、修订行政管理规章制度，进行日常行政工作的组织与管理； c) 协助高级管理人员进行财产、内务、安全管理，为其他部门提供及时

有效的行政服务； d) 考核和指导行政中心工作人员的工作并给予业务指导； e) 协助承办公司相关法律事务； f) 参与公司经营事务的管理和执行工作； g) 会务安排。

4） 人事专员

a) b) c) d)

协助上级掌握人力资源状况；

管理劳动合同，办理用工、退工手续以及员工的工资和考勤结算； 填制和分析各类人事统计报表； 拟订公司规章制度、招聘制度草案；

第 32 页 共 37页

信息安全管理手册

e) f) g)

帮助建立积极的员工关系，协调员工与管理层的关系，组织策划员工的各类活动；

协助上级推行公司各类规章制度的实施； 协助上级完成对员工的年度考核；

h) 管理争端解决程序。

? 项目中心

1）技术总监 a) b) c) d) e) f) g) h)

参与制定公司发展战略、年度经营计划和预算方案；

组织研究行业最新产品的技术发展方向，主持制定技术发展战略规划；

管理公司的整体核心技术，组织制定和实施重大技术决策和技术方案；

及时了解和监督技术发展战略规划的执行情况； 研究决策公司技术发展路线，规划公司产品；

指导、审核项目总体技术方案，对各项目进行最后的质量评估； 与用户进行技术交流，了解用户在技术与业务上的发展要求，并解答用户提出的与产品技术相关问题；

对潜在或具体的项目、用户进行跟踪，管理所在区域内的用户拜访、技术交流、方案制作及合同谈判；

i) 制定技术人员的培训计划，并组织安排公司其他相关人员的技术培训。 2）项目经理 a) b) c) d) e) f) g)

跟踪本行业及与公司业务相关的国内外技术发展趋势，结合公司现行

业务优势，为公司业务的发展方向提出市场开发和技术研制计划； 对项目的组成部分或模块进行完整系统设计； 对项目进行分析和需求策划；

进行项目背景调查，收集整理项目相关资料； 撰写项目调查报告和信息综述；

联系项目相关单位和相关技术专家，制定初步的项目可行性研究报告；

协同配合制定和申报立项报告材料；

h) 配合投资部对项目进行良好的控制。 3）软件工程师 a) b)

参与项目需求分析,进行系统框架和核心模块的详细设计； 根据新产品开发进度和任务分配，开发相应的软件模块；

第 33 页 共 37页

信息安全管理手册

c) d) e) f)

根据公司技术文档规范编写相应的技术文档； 根据需要不断修改完善软件； 编制项目文档、记录质量测试结果； 完成程序测试；

g) 研究项目技术细节，编写相应的说明书。 5） 系统测试工程师

a) b) c) d) e) f)

协同项目开发负责人制定项目测试计划、测试方案； 设计测试环境并协助搭建；

全面协调并组织实施测试计划、测试方案，提供必要的技术支持和改

进建议；

记录测试情况，签定审核需求文档、接口文档，并及时将测试结果反馈给有关部门；

及时反映测试中的问题，并提交项目进展报告； 编制用户说明手册；

g) 维护、更新适用的测试版本和结构。 4）网络管理员 a) b) c) d) e) f)

维护公司计算机硬件；

搭建与配备计算机网络，根据需求设计网络方案； 维护和监控公司局域网，保证其正常运行；

安装和维护公司计算机、服务器系统软件和应用软件，同时为其他部门的软硬件提供技术支持；

解决排除各种软硬件故障，做好记录，定期制作系统运行报告； 维护数据中心，对系统数据进行备份；

g) 协助网站相关应用软件的开发。

? 客服中心

1） 售后客服 a) b) c) d) e) f)

进行有效的客户管理和沟通，了解并分析客户需求，并进行方案规划； 发展维护良好的客户关系； 组织公司产品的售后服务；

建立售后服务信息管理系统（客户服务档案、质量跟踪及反馈）； 向领导和质量部门提供数据、产品质量信息，为解决问题提供建议； 制定各类培训文档，负责对客户的培训工作（远程&现场）；

第 34 页 共 37页

信息安全管理手册

附录F （规范性附录）

无锡********安全技术研究有限公司组织机构图

总经理 项客行目服政中中中心心心 信息设应应应安备用用用I全安开II保全组发组障开（） （组发）特企 种业 第 35 页 共 37页

信息安全管理手册

附录G （规范性附录） ISMS职能分配表

注：▲ 主要责任 △ 次要责任 管 行项客主 管 部 门 总 理 政目服 经 者 中中中手册条款 理 代 心 心 心 表 4 总体要求 ▲ △ △ △ △ 信建立ISMS ▲ ▲ ▲ ▲ 息安实施ISMS ▲ ▲ ▲ ▲ 全监视和评审ISMS ▲ △ △ △ 管保持和改进ISMS ▲ △ △ △ 理文件控制 △ ▲ △ △ 体系 记录控制 △ ▲ △ △ 5 管理承诺 ▲ △ △ △ 管资源提供 ▲ △ △ △ 理▲ △ △ 职培训意识和能力 ▲ 责 6 ISMS内部审计 ▲ ▲ △ △ 7 ISMS管理评审 ▲ △ ▲ △ △ 8 持续改进 ▲ ▲ ▲ △ △ 改纠正措施 ▲ ▲ △ △ 进 预防措施 ▲ △ ▲ △ △ A5 安全方针 ▲ △ △ △ A6 信息安全组织 ▲ △ △ △ A7 资产管理 ▲ ▲ △ △ A8 人力资源管理 ▲ ▲ △ △ A9 物理和环境安全 ▲ ▲ △ △ A10 通讯和操作管理 ▲ △ ▲ △ A11 访问控制 ▲ △ ▲ △ A12 信息系统的获取，开发和维护 ▲ △ ▲ △ A13 信息安全事故管理 ▲ ▲ △ △ A14 业务持续性管理 ▲ △ ▲ △ A15 符合性 ▲ ▲ △ △

第 36 页 共 37页

本文来源：https://www.bwwdw.com/article/0ik6.html