《某科技有限公司信息安全管理手册10347.docx》由会员分享,可在线阅读,更多相关《某科技有限公司信息安全管理手册10347.docx(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、江苏XXXXX科科技有限限公司编号XX-IISMSS-011版本A/0密 级内部限制制受 控是信息安全管理手册生效日期期核 准审 查制 订20166.3.1修改记录录序号修改原因因修改内容容修改人/时间批准人/时间备注目 录0.1、信息安安全管理理手册发发布令0.2、管理者者代表任任命书0.3、公司简简介0.4、信息安安全方针针0.5、信息安安全目标标1、范围围2、引用用标准3、术语语和定义义4、信息息安全管管理体系系4.1 组织环环境4.2 理解相相关方的的需求和和期望4.3 明确信信息安全全管理体体系的范范围4.4 信息安安全管理理体系5、领导导5.1 领导和和承诺5.2 方针5.3 组织
2、角角色、职职责和权权力6、计划划6.1 处置风风险和机机遇6.2 信息安安全目标标的计划划和实现现7、支持持7.1 资源7.2 能力7.3 意识7.4 沟通7.5 文档要要求8、实施施8.1 运行计计划和控控制8.2 信息安安全风险险评估8.3 信息安安全风险险处置9、绩效效评价9.1 监视、测量、分析和和评价9.2 内部审审核9.3 管理评评审10、改改进10.11 不符符合项和和纠正措措施10.22 持续续改进附件:附件一:信息安安全职能能分配表表附件二:信息安安全职责责附件三:信息安安全管理理体系程程序文件件清单附件四:信息安安全管理理体系作作业指导导书文件件清单0.1 信息息安全管管理
3、手册册发布令令为提高江江苏XXXXX科科技有限限公司的的信息安安全管理理水平,保保障企业业经营、服务和和日常管管理活动动,防止止由于信信息系统统的中断断、数据据的丢失失、敏感感信息的的泄密所所导致的的业务中中断或安安全事故故,公司司开展贯贯彻ISSO/IIEC 270001:20113信信息技术术-安全全技术-信息安安全管理理体系要要求标标准的工工作,建建立文件件化的信信息安全全管理体体系,制制定了江江苏XXXXX科科技有限限公司信信息安全全管理手手册(以下简称称手册)。本手册是是企业的的法规性性文件,是是指导企企业建立立并实施施信息安安全管理理体系的的纲领和和行动准准则,用用于贯彻彻企业的的
4、信息安安全管理理方针、管理目目标,实实现信息息安全管管理体系系有效运运行、持持续改进进,是江苏XXXXX科科技有限限公司信信息安全全管理工工作长期期遵循的的准则。全体职工工必须严严格按照照手册的的要求,自自觉执行行管理方方针,贯贯彻实施施本手册册的各项项规定,努努力实现现江苏XXXXX科科技有限限公司的的管理目目标和管管理承诺诺。本手册自自颁布之之日起生生效执行行。江苏XXXXX科科技有限限公司总总经理:二一六六年三月月一日0.2管管理者代代表任命命书兹委任担担任江苏苏XXXXX科技技有限公公司ISSO2770011信息安安全管理理体系管管理者代代表。 他将履履行以下下职责及及权限:1、 负责
5、公司司ISOO270001的的推行认认证工作作,负责责组织信信息安全全管理体体系建立立、实施施和维持持,确保保公司的的信息安安全管理理体系运运作符合合信息安安全管理理体系标标准;2、 信息安全全管理体体系内部部审核的的策划、组织及及实施;3、 批准信息息安全管管理体系系程序文文件;4、 代表公司司就信息息安全的的有关事事项和外外部进行行联络。总经理:日期:二二一六六年三月月一日0.3、公司简简介公司组织织架构如如下图所所示:总 经 理管理者代表信息安全委员会 技 术 部 财 务 部 综 合 部 研 发 部 销 售 部0.4 信息息安全方方针实施风险险管理,确确保信息息安全,保保障业务务可持续续
6、发展。信息安全全方针含含义:a.根据据本公司司业务信信息安全全的特点点、法律律法规要要求,建建立风险险评估程程序,确确定风险险接受准准则。定定期进行行风险评评估,以以识别本本公司风风险的变变化。本本公司或或环境发发生重大大变化时时,随时时评估。应根据据风险评评估的结结果,采采取相应应措施,降降低风险险。b.在日日常企业业生产和和管理中中,对信信息安全全予以重重视,全全面识别别和分析析全部信信息资产产,系统统考虑企企业信息息系统薄薄弱点、可能存存在的威威胁,考考虑成本本、利益益、风险险的综合合平衡,对对资产进进行分类类保护,以以适宜的的成本达达到系统统保护的的要求。c.建立立健全信信息安全全监督
7、和和保证体体系,明明确各级级、各岗岗位的信信息安全全责任,以以人为本本,坚持持全员、全方位位、全过过程信息息安全管管理。通通过测量量和监控控,持续续改进,保保证信息息安全管管理体系系的有效效运行,做做到制度度执行有有记录、记录记记载可追追溯,最最终保障障企业生生产、经经营、管管理和服服务的持持续和安安全,实实现企业业发展目目标。 0.5、信信息安全全目标:本公司信信息安全全目标:1)安全全事件发发生次数数:重大安全全事件目目标值:0次/年 ;较大安安全事件件目标值值:不大大于 44次/年年;一般般安全事事件目标标值:不不大于88次/年年。2)信息息泄密次次数:保证各种种需要保保密的资资料(包包
8、括电子子文档、光盘等等)不被被泄密,确确保秘密密、机密密信息不不泄漏给给非授权权人员。信息泄泄密次数数目标值值:0次次/年各部门信信息安全全目标:部 门部门信息安全目标统计方式监测频率综合部1、人员招聘手续办理完成率100%;2、人员教育或培训实施率100%;3、人员离职手续办理完成率100%;4、办公环境消防设施配置率100%;5、办公环境消防设施点检率100%;6、每年至少组织实施完成1次信息安全内审,且资料齐全;7、每年至少组织实施完成1次信息安全管理评审,且资料齐全;8、每年至少进行1次信息安全体系文件评审及更新;9、每年至少组织实施完成1次风险评估。1、查看全部员工入职手续办理情况;
9、2、查看培训计划及培训实施情况;3、查看实际人员离职及手续办理情况;4、现场检查办公环境消防器材配备情况;5、现场检查办公环境消防器材的检修情况;7、按照信息安全内审计划执行内审及改进,及时整理信息安全内审资料;8、按照信息安全管理评审计划执行评审及改进,及时整理信息安全管理评审资料;9、每年集中对信息安全管理体系文件进行评审,必要时进行更新;10、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估。每年研发部1、网络非正常中断每月1次。2、主机系统非正常中断每月1次。1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据每半年其他部门重要文档及数据被正确保管
10、及使用,机密信息泄露次数为0次每半年检查一次日常工作文件及数据是否被正确保管及使用,以及机密信息泄露相关事件。每年1、范围围1.1 总则为了建立立、实施施、运行行、监视视、评审审、保持持和改进进文件化化的信息息安全管管理体系系(简称称ISMMS),确确定信息息安全方方针和目目标,对对信息安安全风险险进行有有效管理理,确保保全体员员工理解解并遵照照执行信信息安全全管理体体系文件件、持续续改进信信息安全全管理体体系的有有效性,特特制定本本手册。1.2 应应用1.2.1覆盖盖范围本信息安安全管理理手册规规定了江江苏XXXXX科科技有限限公司信信息安全全管理体体系的建建立和管管理、管管理职责责、内部部
11、审核、管理评评审和体体系持续续改进等等方面内内容。1.2.2删减减说明本信息安安全管理理手册采采用了IISO/IECC270001:20113标准准正文的的全部内内容,对对附录AA的删减减见适适用性声声明SooA。2、规范范性引用用文件ISO/IECC 2770011:20013信信息技术术-安全全技术-信息安安全管理理体系要要求ISO/IECC 2770022:20013信信息技术术-安全全技术-信息安安全管理理实施细细则3、术语语和定义义3.3.1 ISOO/IEEC 2270001:220133信息息技术-安全技技术-信信息安全全管理体体系要求求、IISO/IECC 2770022:20
12、013信信息技术术-安全全技术-信息安安全管理理实施细细则规规定的术术语和定定义适用用于本信信息安全全管理手手册。3.3.2 本组织织、本公公司、我我司:指指江苏XXXXXX科技有有限公司司。4、信息息安全管管理体系系4.1 组织环环境 组织外部部环境包包括如下下几个方方面,但但并不局局限于此此: 文化化、政治治、法律律、规章章、金融融、技术术、经济济、自然然环境以以及竞争争环境,无无论是国国际、国国内、区区域或地地方; 影响响组织目目标的主主要驱动动因素和和发展趋趋势; 外部部利益相相关者的的观点和和价值观观。 组织内部部环境包包括如下下几个方方面,但但并不局局限于此此: 资源源与知识识的理
13、解解能力(如如:资本本、时间间、人力力、流程程、系统统和技术术); 信息息系统、信息流流动以及及决策过过程(包包括正式式和非正正式的); 内部部利益相相关者; 政策策,为实实现的目目标及战战略; 观念念、价值值观、文文化; 组织织通过的的标准以以及参考考模型;以上相关关因素将将影响公公司实现现信息安安全管理理体系的的预期成成果。4.2 理解相相关方的的需求和和期望a)与本本公司信信息安全全管理体体系有关关的相关关方有:供方、合同方方、顾客客及其他他第三方方访问者者。b) 各各相关方方对我司司的信息息安全需需求,包包括了信信息安全全相关法法律法规规要求和和合同规规定的义义务。4.3 本公公司信息
14、息安全管管理体系系的范围围和边界界本公司根根据业务务特征、组织结结构、地地理位置置、资产产和技术术定义了了范围和和边界,本本公司信信息安全全管理体体系的范范围包括括:a) 业务范围围:。的设设计开发发和服务务的信息息安全管管理活动动;b) 信息系统统范围:所述活活动、系系统及支支持性系系统包含含的全部部信息资资产;c) 组织范围围:与所所述业务务有关的的部门和和所有员员工;d) 地理范围围:。4.4 信息安安全管理理体系本公司按按照ISSO/IIEC 270001:20113信信息技术术-安全全技术-信息安安全管理理体系-要求规规定,参参照ISSO/IIEC 270002:20113信信息技术
15、术-安全全技术-信息安安全管理理实用规规则,建建立、实实施、运运行、监监视、评评审、保保持和改改进文件件化的信信息安全全管理体体系。5 领导导5.1 领导和和承诺本公司通通过以下下行动证证明公司司实施了了与信息息安全管管理体系系有关的的领导工工作与承承诺:a) 确保建建立与组组织战略略目标一一致的信信息安全全方针和和信息安安全目标标;b) 确保信信息安全全管理体体系要求求集成到到组织的的管理流流程;c) 确保提提供信息息安全管管理体系系需要的的各项资资源;d) 传达信信息安全全管理的的重要性性及信息息安全管管理体系系要求;e) 确保信信息安全全管理体体系实现现其预期期目标;f) 指导和和支持信
16、信息安全全团队;g) 促使持持续改进进;h) 支持其其他相关关的管理理者在其其职责范范围内履履行管理理职责。5.2 方针为了满足足适用法法律法规规及相关关方要求求,维持持公司经经营和管管理的正正常进行行,实现现业务可可持续发发展的目目的。本本公司根根据组织织的业务务特征、组织结结构、地地理位置置、资产产和技术术定义了了ISMMS方针针,见本本信息安安全管理理手册第第0.44条款。该信息息安全方方针符合合以下要要求:1) 为信息安安全目标标建立了了框架,并并为信息息安全活活动建立立整体的的方向和和原则;2) 考虑业务务及法律律或法规规的要求求,及合合同的安安全义务务;3) 与组织战战略和风风险管
17、理理相一致致的环境境下,建建立和保保持ISSMS;4) 建立了风风险评价价的准则则;5) 经最高管管理者批批准。5.3 组织角角色、职职责和权权力5.3.1信息息安全组组织机构构本公司成成立了由由最高管管理者、管理者者代表及及各部门门负责人人组成的的信息安安全委员员会,其其职责是是实现信信息安全全管理体体系方针针和本公公司承诺诺,负责责制订、落实信信息安全全管理工工作计划划,建立立健全企企业的信信息安全全管理体体系,保保持其有有效、持持续运行行。本公司采采取相关关部门代代表组成成的运行行分析会会议的方方式,进进行信息息安全协协调和协协作,以以:a) 确确保安全全活动的的执行符符合信息息安全方方
18、针;b) 确确定怎样样处理不不符合;c) 批批准信息息安全的的方法和和过程,如如风险评评估、信信息分类类;5.3.2信息息安全职职责和权权限本公司总总经理为为信息安安全最高高管理者者,对信信息安全全全面负负责,主主要包括括:a) 组组织制定定信息安安全方针针及目标标,任命命管理者者代表,明明确管理理者代表表的职责责和权限限。b)确保保在内部部传达满满足客户户、法律律法规和和公司信信息安全全管理要要求的重重要性。c)为信信息安全全管理体体系配备备必要的的资源。各部门负负责人为为本部门门信息安安全管理理责任者者,全体体员工都都应按保保密承诺诺的要求求自觉履履行信息息安全保保密义务务;各部门有有关信
19、息息安全职职责分配配见信信息安全全管理职职能分配配表。各部门应应按照信信息安全全适用性性声明中中规定的的安全目目标、控控制措施施(包括括安全运运行的各各种控制制程序)的的要求实实施信息息安全控控制措施施。6.1 处置风风险和机机遇6.1.1总则则为实现公公司信息息安全管管理体系系方针和和目标,我我司参考考组织环环境中的的问题和和相关方方的需求求和,来来决定需需要被处处置的风风险和机机遇:a) 确保信信息安全全管理体体系可以以实现其其预期目目标;b) 避免或或减少不不良影响响; c) 实现持持续改进进。 公司对以以下方面面进行规规划:a) 处置风风险和机机遇的行行动;b) 如何1) 将将实施行行
20、动整合合到信息息安全管管理体系系流程中中;2) 评评价行动动的有效效性。6.1.2信息息安全风风险评估估公司制定定信息息安全风风险评估估控制程程序,建建立识别别适用于于信息安安全管理理体系和和已经识识别的业业务信息息安全、法律和和法规要要求的风风险评估估方法,建建立接受受风险的的准则并并识别风风险的可可接受等等级。所所选择的的风险评评估方法法应确保保风险评评估能产产生可比比较的和和可重复复的结果果。信息安全全风险评评估的流流程见 图2.风险评评估流程程图。公司实施施信息安安全风险险评估流流程,从从而:a) 建建立和维维护信息息安全风风险标准准,包括括:1) 风险接接受标准准;2) 实施信信息安
21、全全风险评评估的标标准;b) 确保信信息安全全风险评评估活动动产生一一致性,产产生有效效的和可可比较的的结果;c) 识别信信息安全全风险:1) 在信息息安全管管理体系系范围内内,通过过信息安安全风险险评估流流程,识识别由于于信息的的机密性性、完整整性和可可用性的的丧失带带来的风风险;2) 识别风风险的属属主;d) 分分析信息息安全风风险:1) 评估在在信息安安全风险险评估中中识别的的风险产产生的潜潜在后果果; 2) 评估在在信息安安全风险险评估中中识别的的风险转转化为事事件的可可能性;3) 确定风风险的等等级;e) 评价信信息安全全风险:1) 将风险险分析结结果与在在信息安安全风险险评估中中所
22、定义义的风险险标准进进行比较较;2) 根据风风险等级级确定风风险处置置的优先先级。 f) 组织保保留有关关信息安安全风险险评估的的过程文文档。 6.1.3 信息安安全风险险处置 公司根据据风险评评估的结结果,形形成风风险处理理计划,该该计划明明确了风风险处理理责任部部门、负负责人、处理方方法及起起始、完完成时间间。对于信息息安全风风险,应应考虑控控制措施施与费用用的平衡衡原则,选选用以下下适当的的措施:a)采用用适当的的内部控控制措施施;b)接受受风险(不不可能将将所有风风险降低低为零);c)避免免风险(如如物理隔隔离);d)转移移风险(如如将风险险转移给给保险者者、供方方、分包包商)。控制目
23、标标及控制制措施的的选择原原则来源源于ISSO/IIEC 270001:20113附录录A,具具体控制制措施参参考ISSO/IIEC 270002:20113信信息技术术-安全全技术-信息安安全管理理实用规规则组织保留留信息安安全风险险处置的的过程文文档。6.2 信息安安全目标标的计划划和实现现本公司建建立不同同职能及及层级的的信息安安全目标标。详见见本手册册0.55章内容容。此信信息安全全目标应应:a) 与信息息安全方方针一致致;b) 可度量量(如果果可操作作);c) 考虑适适用的信信息安全全要求,以及风风险评估估和风险险处置结结果;d) 得到沟沟通;e) 及时更更新。 信息安全全目标以以文
24、档化化形式保保留。在在规划如如何实现现信息安安全目标标时,公公司明确确:a) 要做什什么;b) 需要什什么资源源;c) 谁来负负责;d) 什么时时候完成成;e) 如何评评价结果果。7.1资源本公司确确定并提提供实施施、保持持信息安安全管理理体系所所需资源源;采取取适当措措施,使使影响信信息安全全管理体体系工作作的员工工的能力力是胜任任的,以以保证:a) 建建立、实实施、运运作、监监视、评评审、保保持和改改进信息息安全管管理体系系;b) 确确保信息息安全程程序支持持业务要要求;c) 识识别并指指出法律律法规要要求和合合同安全全责任;d) 通通过正确确应用所所实施的的所有控控制来保保持充分分的安全
25、全;e) 必必要时进进行评审审,并对对评审的的结果采采取适当当措施;f) 需需要时,改改进信息息安全管管理体系系的有效效性。7.2能力公司制定定并实施施人力力资源安安全管理理程序文文件,确确保被分分配信息息安全管管理体系系规定职职责的所所有人员员,都必必须有能能力执行行所要求求的任务务。可以以通过:a)确定定承担信信息安全全管理体体系各工工作岗位位的职工工所必要要的能力力;b)提供供职业技技术教育育和技能能培训或或采取其其他的措措施来满满足这些些需求;c)评价价所采取取措施的的有效性性;d)保留留教育、培训、技能、经验和和资历的的记录。本公司还还确保所所有相关关人员意意识到其其所从事事的信息息
26、安全活活动的相相关性和和重要性性,以及及如何为为实现信信息安全全管理体体系目标标做出贡贡献。7.3意识公司员工工应理解解:a) 信信息安全全方针;b) 个个人对于于实现信信息安全全管理的的重要性性,提高高组织信信息安全全绩效的的收益; c) 不不符合信信息安全全管理体体系要求求所造成成的影响响。7.4沟通公司制定定信息息沟通协协调管理理规范,以以明确与与信息安安全管理理体系相相关的内内、外部部沟通需需求,包包括: a) 沟沟通什么么;b) 何何时沟通通; c) 和和谁沟通通;d) 谁谁应该沟沟通;e) 哪哪种沟通通过程有有效。7.5 文档要要求7.5.1 综综述组织的信信息安全全管理体体系包括
27、括: a) 符符合ISSO/IIEC2270001:220133标准的的文件包包括:信信息安全全管理手手册、程程序文件件、管理理规定、作业指指导书和和为保证证信息安安全管理理体系有有效策划划、运行行和控制制所需的的受控文文件;b) 组组织所明明确的,表表明信息息安全管管理体系系有效性性的必要要的记录录文档。7.5.2创建建和更新新公司制定定并实施施文件件控制程程序,对对信息安安全管理理体系所所要求的的文件进进行管理理,以确确定:a)识别别和描述述(例如如:标题题、日期期、作者者和版本本号); b)格式式(例如如:语言言、软件件版本和和图形)与与介质(例例如:纸纸质、电电子); c)适宜宜性和充
28、充分性经经过评审审。7.5.3文档档控制 公司制定定并实施施文件件控制程程序,对对信息安安全管理理体系所所要求的的文件进进行管理理。以确确保: a) 在在需要的的时间和和场合可可用; b)文档档得到充充分保护护(例如如:防止止泄密、不当使使用或丧丧失完整整性)。 文档控制制应保证证:a)文件件发布前前得到批批准,以以确保文文件是充充分的;b)必要要时对文文件进行行评审、更新并并再次批批准;c)确保保文件的的更改和和现行修修订状态态得到识识别;d)确保保在使用用时,可可获得相相关文件件的最新新版本;e)确保保文件保保持清晰晰、易于于识别;f)确保保文件可可以为需需要者所所获得,并并根据适适用于他
29、他们类别别的程序序进行转转移、存存储和最最终的销销毁;g)确保保外来文文件得到到识别;h)确保保文件的的分发得得到控制制;i)防止止作废文文件的非非预期使使用;j)若因因任何目目的需保保留作废废文件时时,应对对其进行行适当的的标识。8 实施施8.1 运行计计划和控控制为确保信信息安全全管理体体系有效效实施,对对已识别别的风险险进行有有效处理理,本公公司开展展以下活活动:a)形成成风险险处理计计划,以以确定适适当的管管理措施施、职责责及安全全控制措措施的优优先级;b)为实实现已确确定的安安全目标标、实施施风险险处理计计划,明明确各岗岗位的信信息安全全职责;c)实施施所选择择的控制制措施,以以实现
30、控控制目标标的要求求;d)确定定如何测测量所选选择的控控制措施施的有效效性,并并规定这这些测量量措施如如何用于于评估控控制的有有效性以以得出可可比较的的、可重重复的结结果;e)进行行信息安安全培训训,提高高全员信信息安全全意识和和能力;f)对信信息安全全体系的的运作进进行管理理;g)对信信息安全全所需资资源进行行管理;h)实施施控制程程序,对对信息安安全事故故(或征征兆)进进行迅速速反应。公司保留留以上必必要的过过程文档档信息,以以表明相相关过程程已按照照计划执执行。控控制计划划更改,并并审核计计划变更更的影响响,如有有必要采采取措施施减少不不利影响响。确保保外包过过程受控控。8.2 信息安安
31、全风险险评估8.2.1识别别风险在已确定定的信息息安全管管理体系系范围内内,按照照计划,或或者在重重大改变变提出或或发生时时进行信信息安全全风险评评估,本本公司执执行信信息安全全风险评评估控制制程序,对对所有的的资产进进行列表表识别,并并识别这这些资产产的所有有者。资资产包括括硬件与与设施、软件与与系统、数据与与文档、服务及及人力资资源。对对每一项项资产按按自身价价值、信信息分类类、保密密性、完完整性、法律法法规符合合性要求求进行了了量化赋赋值,形形成资资产清单单。同时,根根据信信息安全全风险评评估控制制程序,识识别对这这些资产产的威胁胁、可能能被威胁胁利用的的脆弱性性、识别别资产价价值、保保
32、密性、完整性性和可用用性、合合规性损损失可能能对资产产造成的的影响。8.2.2分析析和评价价风险本公司按按信息息安全风风险评估估控制程程序,分分析和评评价风险险:a)针对对重要资资产自身身价值、保密性性、完整整性和可可用性、合规性性损失导导致的后后果进行行赋值;b)针对对每一项项威胁、薄弱点点,对资资产造成成的影响响,考虑虑现有的的控制措措施,判判定安全全失效发发生的可可能性,并并进行赋赋值;c)根据据信息息安全风风险评估估控制程程序计计算风险险等级;d)根据据信息息安全风风险评估估控制程程序中中的风风险接受受准则,判判断风险险为可接接受或需需要处理理。8.3 信息安安全风险险处置公司根据据风
33、险评评估的结结果,形形成了风风险处理理计划,该该计划明明确了风风险处理理责任部部门、负负责人、处理方方法及起起始、完完成时间间。公司司根据计计划进行行了处置置,并保保持处置置的记录录。对风风险处理理后的剩剩余风险险,得到到了管理理者的批批准。9 绩效效评价9.1 监视、测量、分析和和评价本公司通通过实施施监视视、测量量、分析析和评价价控制程程序以以监视、测量、分析和和评价公公司信息息安全管管理状况况结果,以以实现:a)及时时发现处处理结果果中的错错误、信信息安全全体系的的事故和和隐患;b)及时时了解识识别失败败的和成成功的安安全破坏坏和事件件、信息息处理系系统遭受受的各类类攻击;c)使管管理者
34、确确认人工工或自动动执行的的安全活活动达到到预期的的结果;d)使管管理者掌掌握信息息安全活活动和解解决安全全破坏所所采取的的措施是是否有效效;e)积累累信息安安全方面面的经验验;9.2 内部审审核公司建立立内部部审核控控制程序序。内内部审核核控制程程序包包括策划划和实施施审核以以及报告告结果和和保持记记录的职职责和要要求。并并按照策策划的时时间间隔隔(两次次内部审审核的间间隔不得得超过112个月月)进行行内部信信息安全全管理体体系审核核,以确确定其信信息安全全管理体体系的控控制目标标、控制制措施、过程和和程序是是否:a) 符符合本标标准的要要求和相相关法律律法规的的要求;b) 符符合已识识别的
35、信信息安全全要求;c) 得得到有效效地实施施和维护护;d) 按按预期执执行。内部审核核的过程程文档应应清晰地地形成记记录,并并加以保保持。9.3 管理评评审公司建立立并实施施管理理评审控控制程序序,公公司管理理者应按按管理理评审控控制程序序规定定的时间间间隔(两两次管理理评审的的间隔不不得超过过12个个月)评评审信息息安全管管理体系系,以确确保其持持续的适适宜性、充分性性和有效效性。管理评审审应包括括评价信信息安全全管理体体系改进进的机会会和变更更的需要要,包括括安全方方针和安安全目标标。管理评审审的结果果应清晰晰地形成成文件,记记录应加加以保持持。10 改改进10.11 不符符合和纠纠正措施
36、施公司建立立并实施施纠正正与预防防控制程程序,当当出现不不符合情情况时:a) 对对不符合合情况采采取措施施,如: 1) 采采取措施施,以控控制和改改正它;2) 处处置影响响;b) 明明确必要要的控制制措施,以以消除不不符合情情况产生生的原因因,确保保它不会会再发生生或在其其他地方方 发生生,通过过:1) 评评审不符符合项;2) 明明确不符符合项产产生的原原因;3) 明明确是否否存在或或可能发发生类似似的不符符合项; c) 采采取必要要的措施施;d) 评评审已采采取的改改正措施施的有效效性; e) 必必要时改改进信息息安全管管理体系系。纠正措施施应与所所发生的的不符合合的影响响程度相相适应。 组
37、织织应保留留以下文文档信息息作为证证据:f) 不不符合情情况的性性质和所所采取的的后续行行动;g) 纠纠正措施施的结果果。10.22 持续续改进本公司通通过使用用信息安安全方针针、信息息安全目目标、审审核结果果、监控控事件的的分析、纠正和和预防措措施以及及管理评评审,不不断完善善信息安安全管理理体系的的适宜性性、充分分性和有有效性。附件一:信息安安全职能能分配表表(注: 负责责部门;相关部部门):管理单位位体系要求求信息安全全委员会会总经理管理者代代表综合部研发部技术部财务部销售部4.组织织环境4.1 理解组组织及其其环境4.2 理解相相关方的的需求和和期望4.3 明确信信息安全全管理体体系的
38、范范围4.4 信息安安全管理理体系5 领导导5.1 领导和和承诺5.2 方针5.3 组织角角色、职职责和权权力6 计划划6.1 处置风风险和机机遇6.2 信息安安全目标标的计划划和实现现7 支持持7.1 资源7.2 能力7.3 意识7.4 沟通7.5 文档要要求8 实施施8.1 运行计计划和控控制8.2 信息安安全风险险评估8.3 信息安安全风险险处置9 绩效效评价9.1 监视、测量、分析和和评价9.2 内部审审核9.3 管理评评审10 改改进10.11 不符符合项和和纠正措措施10.22 持续续改进A.5 信息安安全方针针A.5.1 信信息安全全管理指指引A.6信息安安全组织织A.6.1 内
39、内部组织织A.6.2 移移动设备备和远程程办公A.7 人力资资源安全全A.7.1 任任用前A.7.2 任任用中A.7.3 任任用终止止和变更更A.8 资产管管理A.8.1 资资产的责责任A.8.2 信信息分类类A.8.3 介介质处理理A.9 访问控控制A.9.1 访访问控制制的业务务需求A.9.2 用用户访问问管理A.9.3 用用户责任任A.9.4 系系统和应应用访问问控制A.100 加密密技术A.100.1 加密控控制A.111 物理理和环境境安全A.111.1 安全区区域A.111.2 设备安安全A.122 操作作安全A.122.1 操作程程序及职职责A.122.2 防范恶恶意软件件A.122.3 备份A.122.4 日志记记录和监监控A.122.5 操作软软件的控控制A.122.6 技术脆脆弱性管管理A.122.7 信息系系统审计计的考虑虑因素A.133 通信信安全A.133.1 网络安安全管理理A.133.2 信息传传输