ISO27001手册信息安全管理手册.doc

信息安全管理手册变更履历序号版本编号或更改记录编号变化 状态 *简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期11.0C创建，全页。2009-1-5金浩海金浩海曹立斌2009-1-5*变化状态：C创建，A增加，M修改，D删除目 录01信息安全管理手册发布令402信息安全方针批准令503任 命 书704公司介绍81.目的和范围91.1 总则91.2范围91.3删减说明92.引用标准93.术语和定义93.1 术语93.2 缩写94.信息安全管理体系94.1 总要求94.2 建立和管理ISMS104.3 文件要求145.管理职责165.1 管理承诺165.2 资源管理165.2.3 相关文件176. ISMS内部审核176.1 总则176.2 内审策划176.3 内审实施177. ISMS 管理评审177.1 总则177.2 评审输入177.3 评审输出188 ISMS改进188.1持续改进188.2 纠正措施189. 记录19表A.1受控文件清单20表A.3 信息安全组织机构图25表A.4 信息安全职责说明26表A.5 江苏苏州金商科技发展有限公司新点2008年12月组织机构图3001信息安全管理手册发布令本信息安全管理手册(以下简称手册)第1.0版是我们公司按照 ISO/IEC 27001:2005信息安全管理体系要求，并结合我们公司管理工作的实践和公司组织机构的设置而编写的，体现了我们公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款的要求，符合我公司的实际运作情况，可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据，全体员工必须严格遵照执行。现予以批准，同意发布实施。总经理： 批准日期：2009-1-502信息安全方针批准令信息安全管理体系方针1.总体方针：满足客户要求，实施风险管理，确保信息安全，实现持续改进。2.诠释：一、信息安全管理机制1我们通过计算机及网络设备提供软件开发业务、IT系统集成业务等服务，因此，信息资产的安全性对我们来说是非常重要的事情。为了保证各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，我们依据ISO/IEC 27001:2005标准，建立信息安全管理体系，全面保护公司的信息安全，并承诺如下：一、信息安全管理组织1. 总经理对信息安全全面负责，批准信息安全方针，确定安全要求，提供资源。2. 信息安全管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。3. 在公司内部建立息安全组织机构：信息安全委员会及信息安全工作小组，负责信息安全管理体系的运行。4. 与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。二、人员安全1. 信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。2. 对公司的相关方，如：软硬件供应商、服务商、保卫、消防、清洁等人员，也要明确安全要求和安全职责。 3. 定期对全体员工进行信息安全相关教育和培训，包括：技能、职责等，以提高安全意识。4. 全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。三、识别法律、法规、合同中的安全1. 及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。四、风险评估1 根据公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。2 定期进行风险评估，以识别公司风险的变化。公司或环境发生重大变化时，随时评估。3 应根据风险评估的结果，采取相应措施，降低风险。五、报告安全事件1 公司建立报告安全事件的渠道和相应部门。2 全体员工有报告安全隐患、威胁、薄弱点、事故的责任，一旦发现安全事件，应立即按照规定的途径进行报告。3 接受报告的相应部门应记录所有报告，及时相应处理，并向报告人员反馈处理结果。六、监督检查1 定期对信息安全进行定期或不定期的监督检查，包括：日常检查、专项检查、技术性检查、内部审核等，2 对信息安全方针及其他信息安全政策进行定期评审（至少一年一次）或不定期评审七、业务持续性1 公司根据风险评估的结果，建立业务持续性计划，减少信息系统的中断发生的几率，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。2 定期对业务持续性计划进行测试演练和更新。八、违反信息安全要求的惩罚1 对违反安全方针、职责、程序和措施的人员，按规定进行处理。2009年1月 5 日XXXX有限公司总经理： 03任 命 书为贯彻执行信息安全管理体系，满足ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求标准的要求，加强领导，特任命行政部经理XXX为XXXXX有限公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1 确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2 负责与信息安全管理体系有关的协调和联络工作；3 确保在整个组织内提高信息安全风险的意识；4 审核风险评估报告、风险处理计划；5 批准发布程序文件；6 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外审核情况。本授权书自任命日起生效执行。04公司介绍一、 公司简介首批通过认定的软件企业、江苏省高新技术企业；通过ISO9000质量体系认定，通过CMMI L3认证评估；建筑智能化设计甲级、施工三级；江苏省软件和集成电路专项基金项目开发承担者。公司自建自用的软件园占地面积1公顷、建筑面积4300平方米，设施齐全，条件优良。专业从事电子政务软件、建筑行业软件的开发，年纯软件销售额超过2300万元。开发平台主要采用微软的.NET技术，及其它的微软系列开发工具。主要软件产品有：政府版OA、网站大师、数据整合、报表统计、系列造价软件等，其中套装软件累计销售20000多套，同时为200多个政府部门完成了700多个定制项目，业绩在业内领先。经过8年摸索，公司现已进入快速扩张期，已在江苏各地及上海、安徽、山东、浙江设有数十个分支机构或服务点，拟建立更多的销售服务点。公司注册资本1000万元，员工总人数超过150人，本科学历为主体，平均年龄27周岁。二、 股权结构公司管理者公司骨干员工、三、 部门划分董事会下的总经理负责制。主要部门有：行政部：负责公司财务、人事、采购、资质管理、后勤等工作。拓展部：技术研究，方案设计，售前支持。开发部：公司所有软、硬件产品的开发。测试部：公司所有软、硬件产品的测试。市场部：市场推广，产品销售。又分为各软件事业部和地区办事处。实施部：售后支持，硬件施工，软件安装、调试、培训和服务。四、 指导思想l 推广和使用先进技术l 为社会提供有益的服务和产品l 创造物质财富l 培养一批中产阶级五、 长期目标l 建立良好的工作硬环境l 引导公司内部和谐的人际关系l 提供优厚的薪酬待遇l 为员工个人发展提供平台l 建立长期健康、平稳发展的机制六、 主要业务l 软件开发：“一点智慧”长期从事工程造价行业的软件研发，专业种类齐全。自99年开始，几乎参与了江苏省建设厅所有专业定额的编制工作，还参与了江苏省水利厅、国家人防办的定额编制工作。目前正版软件套数已超1万套，累计培训人数超过3万人次，遍布江苏全省各地，是最大的造价软件开发商之一。“一点智慧”定额计价系列包括：土建预决算、安装预决算、修缮预决算、园林预决算、交通预决算、电力预决算；“一点智慧”清单计价系列包括：建筑与装饰专业、安装专业、市政专业；“一点智慧”行业造价应用包括：水利投标报价、水利概算、水利维修加固、农业开发造价、人防造价；“一点智慧”其他建筑业软件包括：计算机辅助评标、投标管理、钢筋翻样、图形算工程量、施工组织设计、标书制作、施工平面设计；电子政务应用软件：“一点智慧”致力于政府的信息化建设，推出了一系列基于.NET架构的政务应用软件，采用先进的浏览器技术，部署灵活，维护方便。已经形成一系列，包括，网上办公OA、网上审批、报表统计、数据采集等产品。公司除了拥有自己的软件产品之外，还针对客户的需要开发了专门的软件，这些软件有：暂住人口管理系统、招标办电子评标系统、江苏省建设厅造价企业系统、建筑质量监管系统等。l 建筑智能化设计和施工主要工程在张家港本地，凭借建筑施工和设计二级资质。七、 员工管理 科技以人为本，高素质、年轻化的人才队伍是企业发展的原动力，是“一点智慧”骄傲的资本。公司一百五十多名员工中，本科以上毕业生占90%，其中不乏硕士、留学归国人员等中高级人才。公司员工平均年龄27岁。 实行内部集中培训和导师制；员工根据工作性质，实行岗位级别制；薪酬和业绩、工作量、效益挂钩；在公司内部实行末尾淘汰制。八、 企业文化1、员工是公司最重要的财富，也是公司赖以存在、发展和壮大的最重要的资源。2、公司努力为全体员工提供优厚的待遇、良好的工作环境，随着公司的发展，使员工个人也得到进步和发展。3、竞争鼓励先进、淘汰落后，保持活力。对公司如此，对个人亦如此。4、活动：体育比赛、培训、新春联欢会、集体婚礼九、 未来之路在“一点智慧”人的眼里，未来充满着机遇、挑战和希望。基础：创新、规范、1、软件：规范化、规模化的软件工厂行业软件产品开发国内定制软件开发国外定制软件开发2、弱电工程：特定行业内领先行业内的优秀解决方案自有知识产权的软硬件一体化产品信息安全管理手册1.目的和范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2范围本手册适用于ISO/IEC 27001:20054.2.1a)条款确定范围内的信息安全管理活动。1)业务范围：软件开发业务、IT系统集成业务及相关支持部门的活动2)物理范围：张家港市经济开发区（港城大道与长兴路交汇处）新点软件办公大楼；3)资产范围：与1)所述业务活动及2）物理环境内相关的软件，硬件，人员及支持性服务等全部信息资产；4)逻辑边界：公司连接互联网的服务器及相关数据传输的活动；5)ISO27001：2005条款的适用性与公司最新版本的适用性声明一致。1.3删减说明本信息安全管理手册采用了ISO/IEC27001:2005标准正文的全部内容，对附录A的删减见适用性声明SOA。2.引用标准下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本信息安全管理手册，然而，信息安全小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。ISO/IEC 17799:2005 信息技术安全技术-信息安全管理实施细则ISO/IEC 27001:2005信息安全管理体系要求3.术语和定义3.1 术语ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求、ISO/IEC 17799:2005信息技术-安全技术-信息安全管理实施细则规定的术语和定义适用于本信息安全管理手册。3.2 缩写ISMS：Information Security Management Systems 信息安全管理体系；SOA: Statement of Applicability 适用性声明； PDCA: Plan Do Check Action 计划、实施、检查、改进。本手册采用ISO/IEC 27001:2005中的术语和定义。4.信息安全管理体系4.1 总要求公司依据ISO/IEC 27001:2005标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全管理体系，形成文件；本公司全体员工将有效地贯彻执行并持续改进有效性，对过程的应用和管理详见信息安全管理体系过程模式图（图1）。信息安全管理体系是在公司整体经营活动和经营风险架构下，针对信息安全风险的管理体系；输入输出相关方信息安全的要求和期望相关方管理的信息安全建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMSPlanDoCheckAction图1信息安全管理体系过程模式图4.2 建立和管理ISMS4.2.1 建立ISMS公司应：a)根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界，包括在范围内任何删减的细节和理由（见1.2范围部分）。b)根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS方针，必须满足以下要求：1) 为ISMS目标建立一个框架并为信息安全活动建立整体的方向和原则；2) 考虑业务及法律或法规的要求，以及合同的安全义务；3) 与公司战略和风险管理相一致的环境下，建立和保持ISMS；4) 建立风险评价的准则；5) 总经理批准发布ISMS方针。c) 定义公司风险评估方法。行政部负责建立信息安全风险评估管理程序并组织实施。信息安全风险评估管理程序包括可接受风险准则和可接受水平。1) 识别适用于ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。2) 建立接受风险的准则并识别风险的可接受等级 。选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。注：风险评估具有不同的方法。具体参照国家信息安全风险评估规范标准。3) 公司的风险评估的流程公司制定信息安全风险评估控制程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。信息安全风险评估的流程见图2.风险评估流程图。确定ISMS范围事件发生的影响事件发生的可能性资产识别与重要资产确定威胁识别已有控制措施确认薄弱点识别保持已有的控制措施施施施选择目标及控制措施实 施残余风险评审YESNo是否接受确定风险等级Yes图2.风险评估流程图d) 识别风险： 1) 识别ISMS控制范围内的资产以及这些资产的所有者；在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括业务过程、文档/数据、软件/系统、硬件/设施、人力资源、服务、无形资产等。对每一项信息资产，根据重要信息资产判断依据确定是否为重要信息资产，形成信息资产识别表。2) 识别对这些资产的威胁，一项资产可能面对若干个威胁；3) 识别可能被威胁利用的脆弱性，一项脆弱性也可能面对若干个威胁；4) 识别保密性、完整性和可用性损失可能对资产造成的影响。e) 分析并评价风险：1) 在资产识别的基础上，针对每一项重要信息资产，依据风险评估原则中的信息资产CIAB分级标准，进行CIAB的资产赋值计算；2) 针对每一项重要信息资产，参考风险评估原则中的威胁参考表及以往的安全事故（事件）记录、信息资产所处的环境等因素，识别出重要信息资产所面临的所有威胁；3) 按照风险评估原则中的威胁分级标准对每一个威胁发生的可能进行赋值；4) 针对每一项威胁，考虑现有的控制措施，参考风险评估原则中的脆弱性参考表识别出被该威胁可能利用的所有薄弱点，并根据风险评估原则中的脆弱性分级标准对每一个脆弱性被威胁利用的难易程度进行赋值；5) 按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价。6) 按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价。7) 按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估赋值，并按照风险评估原则中的风险等级标准评价出信息安全风险等级。8) 对于信息安全风险，在考虑控制措施与费用平衡的原则下制定的信息安全风险接受准则，按照该准则确定何种等级的风险为不可接受风险。f) 识别并评价风险处理的选择：对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施；1) 应用适当的控制以降低风险：这可能是降低事件发生的可能性，也可能是降低安全失败(保密性、完整性或可用性丢失)的业务损害。2) 如果能证明风险满足公司的方针和风险接受准则，有意的、客观的接受风险；一般针对那些不可避免的风险，而且技术上、资源上不可能采取对策来降低，或者降低对公司来说不经济。 “接受风险”是针对判断为不可接受的风险所采取的处理方法，而不是针对那些低于风险接受水平的本来就可接受的风险。3) 避免风险；对于不是公司的核心工作内容的活动，公司可以采取避免某项活动或者避免采用某项不成熟的产品技术等来回避可能产生的风险。4) 将有关的业务风险转移到其他方，例如保险公司、供方。信息安全工作小组应组织有关部门根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任部门、方法及时间。g) 为风险的处理选择控制目标与控制措施。应选择并实施控制目标和控制措施，以满足风险评估和风险处理过程所识别的要求。选择时，应考虑接受风险的准则以及法律法规和合同要求。信息安全工作小组根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标，并将目标分解到有关部门。信息安全目标应获得信息安全最高责任者的批准。从附录A中选择的控制目标和控制措施应作为这一过程的一部分，并满足上述要求。公司也可根据需要选择另外的控制目标和控制措施。注：附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点，以确保不会遗漏重要的控制可选措施。h) 获得最高管理者对建议的剩余风险的批准，剩余风险接受批准应该在风险评估表上留下记录，并记录残余风险处置批示报告。i) 获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。j) 准备适用性声明，内容应包括：1) 所选择的控制目标和控制措施，以及选择的原因；2) 当前实施的控制目标和控制措施；3) 附录A中控制目标和控制措施的删减，以及删减的理由。4) 信息安全工作小组负责组织编制信息安全适用性声明(SOA)。注：适用性声明提供了一个风险处理决策的总结。通过判断删减的理由，再次确认控制目标没有被无意识的遗漏。4.2.2 实施并运作ISMS为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a) 制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。b) 为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色和职责的分配，明确各岗位的信息安全职责；c) 实施所选的控制措施，以满足控制目标。d) 确定如何测量所选择的一个/组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控制目标的程度。e) 实施培训和意识计划。f) 对ISMS的运作进行管理。g) 对ISMS的资源进行管理。h) 实施能够快速检测安全事情、响应安全事件的程序和其它控制。4.2.3 监控并评审ISMSa) 本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：1）快速检测处理结果中的错误；2）快速识别失败的和成功的安全破坏和事件；3）能使管理者确认人工或自动执行的安全活动达到预期的结果；4) 帮助检测安全事情，并利用指标预防安全事件；5）确定解决安全破坏所采取的措施是否有效。b) 定期评审ISMS的有效性（包括安全方针和目标的符合性，对安全控制措施的评审），考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。c) 测量控制措施的有效性，以证实安全要求已得到满足。d) 按照计划的时间间隔，评审风险评估，评审剩余风险以及可接受风险的等级，考虑到下列变化：1) 组织机构和职责；2) 技术；3) 业务目标和过程；4) 已识别的威胁；5) 实施控制的有效性； 6) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。e) 按照计划的时间间隔（不超过一年）进行ISMS内部审核。注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司的名义进行的审核。f) 定期对ISMS进行管理评审，以确保范围的充分性，并识别ISMS过程的改进。g) 考虑监视和评审活动的发现，更新安全计划。h) 记录可能对ISMS有效性或业绩有影响的活动和事情。4.2.4 保持并持续改进ISMS本公司开展以下活动，以确保ISMS的持续改进：a) 实施已识别的ISMS改进措施。 b) 采取适当的纠正和预防措施。吸取从其他公司的安全经验以及组织自身安全实践中得到的教训。c) 与所有相关方沟通措施和改进。沟通的详细程度应与环境相适宜，必要时，应约定如何进行。d) 确保改进达到其预期的目标。4.3 文件要求4.3.1 总则本公司信息安全管理体系文件包括：a)文件化的信息安全方针、控制目标；b)信息安全管理体系手册（本手册，包括信息安全适用范围及引用的标准）；c)本手册要求的信息安全风险评估管理程序、业务持续性管理程序、纠正和预防措施程序、管理评审程序等支持性程序；d)ISMS引用质量管理体系的支持性程序。如：文件控制程序、记录控制程序、内部审核控制程序等； e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；f)风险评估报告、风险处理计划以及ISMS要求的记录类；g)相关的法律、法规和信息安全标准；h)适应性声明。 4.3.2 信息安全管理手册a)编写目的：向公司内部或外部提供关于信息安全管理体系的基本信息，用于对公司的信息安全管理体系做纲领性和概括性的描述。b)信息安全管理手册的编写：由管理者代表负责组织编写，总经理批准后发布实施。c)信息安全管理手册的管理：信息安全工作小组负责保管及发放管理。d)信息安全管理手册的发放：手册分“受控”和 “非受控”两种。受控手册在封面上加盖红色“受控文件”章，仅限于公司内部使用，当修订或换版时进行相应控制，且人员调离时应予归还；非受控手册不盖任何印章，发放对象为认证机构、客户等，在修订和换版时不予控制。4.3.2 文件控制公司制定并实施文件控制程序，对信息安全管理体系所要求的文件进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证：a)文件在发放前应按规定的审核和批准权限进行批准后才能发布；b)必要时对文件进行评审与更新，并按规定的权限重新批准；c)由信息安全工作小组对文件的现行修订状态进行标识，文件更改由相应更改部门进行标识，确保文件的更改状态清晰明了；d)信息安全工作小组应确保所有使用文件的场所能够获得有关文件的有效的最新版本；e)确保文件保持清晰、易于识别；f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g)各部门获得外来文件应统一交相关部门保存，进行标识并控制发放，确保外来文件得到识别；h)确保文件的分发得到控制；i)信息安全工作小组应控制作废文件的使用，若各部门有必要保存作废文件时，应向信息安全工作小组报告，防止作废文件的非预期使用；j)若因任何目的需保留作废文件时，应对其进行适当的标识。4.3.3记录控制a)信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。信息安全小组负责整理制定ISMS文件日常应用格式汇总，负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录控制程序，规定记录的标识、储存、保护、检索、保管、废弃等事项。b)信息安全体系的记录包括4.2中所列出的所有过程的结果及与ISMS相关的安全事故。各部门应根据记录控制程序的要求采取适当的方式妥善保管信息安全记录4.3.5 相关文件文件控制程序记录控制程序5.管理职责5.1 管理承诺公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：a) 建立信息安全方针(见本手册第04章)；b) 确保信息安全目标和计划得以制定（见信息安全适用性声明(SOA)、风险处理计划及相关记录）；c) 建立信息安全的角色和职责(见信息安全职责说明)；d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2.1章)；f) 决定接受风险的准则和风险的可接受等级(见信息安全风险评估控制程序及相关记录)；g) 确保内部信息安全管理体系审核（见本手册第6章）得以实施； h) 实施信息安全管理体系管理评审（见本手册第7章）。5.2 资源管理5.2.1 资源的提供公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证：a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系；b) 确保信息安全程序支持业务要求；c) 识别并指出法律法规要求和合同安全责任；d) 通过正确应用所实施的所有控制来保持充分的安全；e) 必要时进行评审，并对评审的结果采取适当措施；f) 需要时，改进信息安全管理体系的有效性。5.2.2 培训、意识和能力公司制定并实施人力资源控制程序文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a)确定承担信息安全管理体系各工作岗位的职工所必要的能力。通过岗位说明书的任职要求来确定，并在招聘活动中确认相关信息安全的任职要求；b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求；c)评价所采取措施及培训的有效性；d)保留教育、培训、技能、经验和资历的记录。公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。5.2.3 相关文件人力资源管理程序6. ISMS内部审核6.1 总则公司建立并实施内部审核控制程序，内部审核控制程序应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部信息安全管理体系审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a) 符合本标准的要求和相关法律法规的要求；b) 符合已识别的信息安全要求；c) 得到有效地实施和维护；d) 按预期执行。6.2 内审策划6.2.1信息安全工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。公司每年组织最少应组织一次内部审核。6.2.2每次审核前，信息安全工作小组应编制内审计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。6.3 内审实施6.3.1 应按审核计划的要求实施审核，包括：a）进行首次会议，明确审核的目的和范围，采用的方法和程序；b）实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，按照检查的情况填写检查表；c）进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；d）审核组长编制审核报告。6.3.2 对审核中提出的不符合项报告，责任部门应编制纠正措施，由办公室组织对受审部门的纠正措施的实施情况进行跟踪、验证；6.3.3 按照记录控制程序的要求，保存审核记录。6.3.4 内部审核报告，应作为管理评审的输入之一。6.3.5相关文件内部审核控制程序7. ISMS 管理评审7.1 总则7.1.1公司建立并实施管理评审控制程序，管理者应按管理评审控制程序规定的时间间隔评审信息安全管理体系，每年最少进行一次，以确保其持续的适宜性、充分性和有效性。7.1.2管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。7.1.3管理评审的结果应清晰地形成文件，记录应加以保持。7.2 评审输入管理评审的输入要包括以下信息：a) 信息安全管理体系审核和评审的结果；b) 相关方的反馈；c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序；d) 预防和纠正措施的状况；e) 以往风险评估没有充分强调的脆弱性或威胁；f) 有效性测量的结果；g) 以往管理评审的跟踪措施；h) 任何可能影响信息安全管理体系的变更；i) 改进的建议。7.3 评审输出7.3.1管理评审的输出应包括与下列内容相关的任何决定和措施：a) 信息安全管理体系有效性的改进；b) 更新风险评估和风险处理计划；c) 必要时，修订影响信息安全的程序和控制措施，以反映可能影响信息安全管理体系的内外事件，包括以下方面的变化：1) 业务要求；2) 安全要求；3) 影响现有业务要求的业务过程；4) 法律法规要求；5) 合同责任； 6) 风险等级和（或）风险接受准则。d) 资源需求；e) 改进测量控制措施有效性的方式。f)管理评审报告由管理者代表编制，经总经理批准后发往各部门，管理者代表负责存档。7.3.2 相关文件：管理评审程序8 ISMS改进8.1持续改进公司的持续改进是信息安全管理体系得以持续保持其有效性的保证，公司在其信息管理体系安全方针、安全目标、安全审核、监控时间的分析、纠正和预防措施以及管理评审方面都要持续改进信息安全管理体系的有效性。8.2 纠正措施8.2.1 纠正措施公司制定并实施纠正和预防措施管理程序，针对发现的不符合现象，采取措施，消除不符合的原因，并防止不符合项的再次发生。对纠正措施的实施和验证规定以下步骤：a) 识别不符合；b) 确定不符合的原因；c) 评价确保不符合不再发生的措施要求；d) 确定和实施所需的纠正措施；e) 记录所采取措施的结果；f) 评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。8.2.2 预防措施公司制定并实施纠正和预防措施管理程序，针对潜在的不符合，采取措施，消除不符合的原因，并防止不合格的发生。对预防措施的实施和验证规定以下步骤：a) 识别潜在的不符合及其原因；b) 评价预防不符合发生的措施要求；c) 确定并实施所需的预防措施，预防措施的优先级应基于风险评估结果来确定；d) 记录所采取措施的结果；e) 评审所采取的预防措施将重大预防措施提交管理评审讨论。8.2.3相关文件纠正和预防措施管理程序9. 记录本程序发生的记录汇总表见表1（表式见ISMS文件日常应用格式汇总）。表号记录编号记录名称保管场所保存期限保存形式备注表A.1受控文件清单三年书面、电子表A.2信息安全体系要求与部门职能分配表表A.3信息安全组织机构图三年书面、电子表A.4信息安全职责说明表A.5组织机构图三年书面、电子表A.1受控文件清单序号文件编号程序文件文件版本11.021.031.041.051.061.071.081.091.0101.0111.0121.0131.0141.0151.0161.0171.0181.0191.0201.0211.0221.0231.0241.0251.0261.0表2 信息安全体系要求与部门职能分配表ISO 27001条文要求总经理管理者代表行政部实施部开发部信息安全工作小组4信息安全管理体系4.1总要求4.2建立并管理ISMS4.2.1 建立ISMS4.2.2 实施和运行ISMS4.2.3 监视和评审ISMS4.2.4 保持和改进ISMS4.3文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制5管理职责5.1管理者承诺5.2资源管理5.2.1 资源提供5.2.2 培训、意识和能力6ISMS内部审核7ISMS 管理评审7.1总则7.2评审输入7.3评审输出8ISMS 改进8.1持续改进8.2纠正措施8.3预防措施附录A条文要求总经理管理者代表行政部实施部开发部信息安全工作小组A.5安全方针 A.5.1信息安全方针A.6信息安全组织 A.6.1内部组织A.6.2 外部相关方A.7资产管理A.7.1 资产责任A.7.2 信息分类A.8人力资源安全A.8.1 聘用前A.8.2 聘用期间A.9物理和环境安全A.9.1 安全区域A.9.2设备安全A.10通信和操作管理 A.10.1 操作程序和职责A.10.2 第三方服务交付管理A.10.3 系统策划与接收A.10.4防范恶意和可移动代码A.10.5 备份A.10.6 网络安全管理A.10.7 介质的处理A.10.8 信息交换A.10.9 电子商务服务（只包括A.10.9.3公共信息）A.10.10 监控A.11访问控制A.11.1 访问控制的业务要求A.11.2 用户访问管理A.11.3 用户责任A.11.4 网络访问控制A.11.5 操作系统访问控制A.11.6 应用程序及信息访问控制A.11.7 移动PC计算和远程工作A.12信息系统获取开发和维护A.12.1 信息系统的安全需求A.12.2 应用程序的正确处理A.12.3 加密控制A.12.4 系统文件安全A.12.5 开发和支持过程的安全A.12.6 技术薄弱点管理A.13信息安全事件管理A.13.1 报告信息安全事情和薄弱点A.13.2 信息安全事件和改进管理A.14业务连续性管理A.14.1 业务连续性管理中的信息安全事项A.15符合性A.15.1 符合法律要求A.15.2符合安全方针和标准，以及技术符合A.15.3 信息系统审核相关事宜*注：领导职责以“”表示；负责部门以“”表示；相关部门以“”表示。表A.3 信息安全组织机构图XX有限公司新点信息安全组织结构图制表日期：2009.1.6ISMS管理者代表信息安全委员会职务姓名部门备注主任经理室副主任经理室成员开发部行政部市场部市场部市场部实施部测试部开发部开发部开发部开发部开发部开发部开发部 信息安全工作小组职务姓名部门备注组长行政部成员行政部行政部行政部开发部实施部市场部表A.4 信息安全职责说明序号单位/部门信息安全职责1信息安全委员会1) 负责公司的整体信息安全管理工作，负责公司信息资产的安全；2) 负责与国家信息安全主管机构、上级主管部门的沟通和交流，负责有关信息安全工作的落实和推行，并负责报告本公司有关信息安全状况和重要事件；3) 负责协调公司内部信息安全工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在公司范围内的实施；4) 负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；5) 负责对信息安全管理体系进行内部评审和管理评审，审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项；6) 负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；7) 评审与监督重大信息安全事故的处理； 8) 对内部评审整改意见负最终责任。2信息安全工作小组1) 直接对信息安全管理委员会负责，承担信息安全管理委员会的具体工作，协助在信息安全事务上的决策；2) 负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施；3) 负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理委员会汇报；4) 协助行政部对员工进行信息安全意识教育和安全技能培训；5) 协助行政部和各业务部门对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理；6) 协调各部门以及与外部组织间有关的信息安全工作，负责建立各部门、关联公司、外部安全管理主管机构之间的定期联系和沟通机制；7) 负责对ISMS体系进行审核，以验证体系的健全性和有效性，并对发现的问题提出内部审核建议；8) 负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计；9) 负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施(包括内部审核整改意见)和预防措施。10) 负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；11) 负责调查安全事件，并维护安全事件的记录报告(包括调查结果和解决方法) ，定期总结安全事件记录报告；12) 识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度，审核ISMS体系文档的合规性3总经理1) 任命管理者代表，明确管理者代表的职责和权限；2) 确保在内部传达满足客户和法律法规的重要性；3) 为信息安全管理体系配备必要的资源；4) 主持管理评审；5) 负责公司信息安全管理和企业管理的计划、组织、协调、监督、控 6) 制和考核工作。7) 遵守公司信息安全的相关规定以及本岗位相关的保密要求4管理者代表1) 负责建立、实施、保持和改进信息安全管理体系，保证信息安全体2) 系的有效运行；3) 负责公司信息安全管理手册的审核，程序文件的批准，组织并领导4) 公司内部审核工作； 5) 负责向总经理报告信息安全体系运行的业绩和任何改进的6) 需求；7) 负责就信息安全管理体系有关事宜的对外联络。8) 遵守公司信息安全的相关规定以及本岗位相关的保密要求5各部门的信息安全主管领导1) 部门的信息安全主管领导由本部门部门长担任；2) 负责协助信息安全工作小组建立本部门信息安全管理制度和流程；3) 部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安全；4) 负责采取有效办法，落实和推动信息安全政策的实施；5) 负责指导和要求本部门员工遵守信息安全政策；6) 对违反安全政策的行为进行内部处罚；7) 落实针对本部门的纠正措施(包括内部审核整改意见)和预防措施。6部门信息安全工作小组成员1) 负责本部门日常的具体信息安全工作，并参加信息安全管理工作小组所要求的各项活动；2) 负责按照ISMS体系的要求，对本部门所拥有和管理的信息资产进行维护，包括资产的识别和分类、资产的威胁和脆弱性识别及安全需求级别确定等工作；3) 负责根据ISMS安全政策要求，在本部门提高员工安全意识，落实责任，保护信息资产的安全，并确保已建立的安全控制措施持续有效；4) 负责向信息