ISO27001信息安全管理体系文件+表单.docx

《ISO27001信息安全管理体系文件+表单.docx》由会员分享，可在线阅读，更多相关《ISO27001信息安全管理体系文件+表单.docx（167页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、IS027001-2013体系文件全套目录ISMS-B-01信息安全风险営理程序ISMS-B-02文牛控制程序宜!ISMS-B-03记录控制程序国ISMS-B-04以正措献制程序 ISMS-B-05预防措施控制程序国ISMS-B-06内部亩核告理程序 ISMS-B-07管理评亩程序由ISMS-B-08信息縦言理程序宜|ISMS-B-09商业秘密肯理程序 ISMS-B-10信息安全法律法告理程序ISMS-B-11知识产权管理程序 ISMS-B-12重要信息备份管理程序团ISMS-B-13业务持旗性曾理程序ISMS-B-14信息安全沟通协濶肯理程序 ISMS-B-15憎息安全事1牛告理程序 ISM

2、S-B-16信息安全奖惩苣理程序 ISMS-B-17员聘用言理程序国ISMS-B-18员培训0程序宜|ISMS-B-19員葡职管理程序宜!ISMS-B-20相关方信息安全肯理程序 ISMS-B-21箋三方囲务程序 ISMS-B-22安全区域肯理程序 ISMS-B-23门禁系統告建程序 ISMS-B-24网将殳备安全配置管理程序 ISMS-B-25计算机管理程序 ISMS-B-26电子濟件管理程序 ISMS-B-27I恶意软件管理程序 ISMS-B-28J可移动介质営理程序 ISMS-B-29用户访问営理程序 ISMS-B-30信息处理设施安装使用管理程序 ISMS-B-31信息至统验收肯理程序

3、 ISMS-B-32信息处理设施维护肯理程序 ISMS-B-33变更管理程序 ISMS-B-34信息系统访问与使用监控莒理程序 ISMS-B-35J软件开发告理程序XXX有限公司信息安全风险管理程序编 号：ISMS-B-01版本号:VI. 0编制:XXX日期:20XX-08-19审核:XXX日期:20XX-08-19批准:XXX日期:20XX-08-19受控状态受控文件作者笔名:何姗1目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式, 将信息安全风险控制在可接受的水平,特制定本程序。2范围本程序适用信息安全管理体系（ISMS）范围内信息安全风险评估活动的管理。3职责3.1信

4、息安全管理小组负责牵头成立风险评估小组。3. 2风险评估小组负责编制信息安全风险评估计划,确认评估结果，形成信息安全风险 评估报告。3. 3各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资 产的具体安全控制工作。4相关文件信息安全管理手册商业秘密管理程序5程序5.!风险评估前准备5.1.1成立风险评估小组信息安全小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门 的成员。5. 1. 2制定计划风险评估小组制定信息安全风险评估计划,下发各部门。5. 2资产赋值5.2. 1部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。5. 2. 2赋值计算资产赋值

5、的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并 在此基础上得出综合结果的过程。5.2.3保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在 保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。保密性分类赋值方法级别价值分级描述1很低可对社会公开的信 息公用的信息处理设备和系统资源等2低组织/部门内公开仅能在组织内部或在组织某一部门内部公开的信 息,向外扩散有可能对组织的利益造成轻微损害3中等组织的一般性秘密其泄露会使组织的安全和利益受到损害4高包含组织的重要秘 密其泄露会使组织的安全和利益遭受严重损害5很高包含组织最重要的 秘密关系未来发

6、展的前途命运,对组织根本利益有着决 定性的影响,如果泄露会造成灾难性的损害5.2.4完整性(D赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产 在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。完整性(D赋值的方法级别价值分级描述1很低完整性价值非常低未经授权的修改或破坏对组织造成的影响可以忽 略,对业务冲击可以忽略2低完整性价值较低未经授权的修改或破坏会对组织造成轻微影响,对 业务冲击轻微,容易弥补3中等完整性价值中等未经授权的修改或破坏会对组织造成影响,对业务 冲击明显4高完整性价值较高未经授权的修改或破坏会对组织造成重大影响,对 业务冲击严重,较难弥补5很

7、高完整性价值非常关键未经授权的修改或破坏会对组织造成重大的或无法 接受的影响,对业务冲击重大,并可能造成严重的 业务中断,难以弥补5. 2. 5可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。可用性(A)赋值的方法级别价值分级描述1很低可用性价值可以忽略合法使用者对信息及信息系统的可用度在正常工作 时间低于25%2低可用性价值较低合法使用者对信息及信息系统的可用度在正常工作 时间达至25%以上,或系统允许中断时间小于60min3中等可用性价值中等合法使用者对信息及信息系统的可用度在正常工作 时间达到70%以上，或系统允许中断时间小于

8、30min4高可用性价值较高合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于lOmin5很高可用性价值非常高合法使用者对信息及信息系统的可用度达到年度99. 9%以上,或系统不允许中断5.2.7导出资产清单识别出来的信息资产需要详细登记在信息资产清单中。5. 3判定重要资产根据信息资产的机密性、完整性和可用性赋值的结果相加除以3得出“资产 价值”,对于信息资产清单中“资产价值”在大于等于4的资产,作为重要 信息资产记录到重要信息资产清单。5. 3. 1审核确认风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导出重要信息资产清单,报总经理确认。5.4风

9、险识别与分析5. 4. 1威胁识别与分析应根据资产组内的每项资产,以及每项资产所处的环境条件、以前曾发威胁种类威胁示例TC01软硬件故障设备硬件故障、通讯链路中断、系统本身或软件BugTC02物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、 地等环境问题和自然灾害；TC03无作为或操作 失误由于应该执行而没有执行相应的操作,或无意地执行了错误的操 作，对系统造成影响TC04管理不到位安全管理无法落实,不到位,造成安全管理不规范，或者管理混 乱,从而破坏信息系统正常有序运行TC05恶意代码和病 毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码TC06越权或滥用通过采

10、用些措施,超越自己的权限访问了本来无权访问的资源； 或者滥用自己的职权，做出破坏信息系统的行为TC07黑客攻击利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻 击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息 系统进行攻击和入侵TC08物理攻击物理接触、物理破坏、盗窃TC09泄密机密泄漏，机密信息泄漏给他人TC10篡改非法修改信息,破坏信息的完整性TC11抵赖不承认收到的信息和所作的操作和交易生的安全事件等情况来进行威胁识别。项资产可能面临着多个威胁,同样个威胁可能对不同的资产造成影响;5. 4. 2脆弱性识别与分析脆弱性评估将针对资产组内所有资产,找出该资产组可能被威胁利用的

11、脆弱 性,获得脆弱性所采用的方法主要为:问卷调査、访谈、工具扫描、手动检查、文档审查、渗透测试等;类型脆弱性分类脆弱性示例物理环从机房场地、机房防火、机房供配电、机房防静电、机技 术 脆 弱 性.境房接地与防雷、电磁防护、通信线路的保护、机房区域防护、 机房设备管理等方面进行识别。服务器（含操 作系统）从物理保护、用户帐号、口令策略、资源共享、事件审 计、访问控制、新系统配置（初始化）、注册表加固、网络 安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部 访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和 服

12、务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通 信、鉴别机制、密码保护等方面进行识别。管理 脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开 发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符 合性5. 4. 3现有控制措施识别与分析在识别威胁和脆弱性的同时,评估人员应对已采取的安全措施进行识别,对 现有控制措施的有效性进行确认。在对威胁和脆弱性赋值时,需要考虑现有控制 措施的有效性。5. 5风险评价本公司信息资产风险值通过风险各要素赋值相乘法来确定:风险值计算公式:R=i*p其中,R表示安全风险

13、值;i表示风险影响;p表示风险发生可能性。风险影响的赋值标准:风险影响赋值等 级风险影响的不同维度相关方业务连续性5很高全部或大部分客户、监控机构、其 至社会公众公司大部分或全部核心业务受到 严重影响4高整个公司,或部分客户公司大部分核心业务或日常活动 受影响3中多个部门,或个别客户公司个别业务受影响,或日常办 公活动中断2低本部门或部门内部人员公司业务不受影响,只是少部分 日常办公活动活动受影响1很低个人基本不影响本部门业务和日常办 公活动风险发生可能性的赋值标准:风险发生可能性赋值等级风险发生可能性时间频率发生机率5很高出现的频率很高（或1次/日）;或在大多 数情况下几乎不可避免;或可以证

14、实经常发生 过。不可避免（99%）4 咼出现的频率较高（或）1次/周）;或在大多数 情况下很有可能会发生;或可以证实多次发生 过。非常有可能（90%99%）3中出现的频率中等（或）1次/月）；或在某种情 况下可能会发生;或被证实曾经发生过。可能(10%90%)2低出现的频率较小（或）1次/年）;或一般不大 可能发生;或在某种情况下可能会发生。可能性很小（110%）1很低威胁几乎不可能发生,仅可能在非常见和例 外的情况下发生，或没有被证实发生过。不可能（1%）注:风险的影响或发生可能性根据赋值标准,可能同时适用于二个维度,这 种情况下,赋值取这个维度赋值的最大值。5. 5. 2确定风险可接受标准

15、风险等级采用分值计算表示。分值越大,风险越高。信息安全小组决定以下风险等级标准:赋值级别描述15-25高如果发生将使资产遭受严重破坏，组织利益受到严重损失6-12中发生后将使资产受到较重的破坏，组织利益受到损失0-5低发生后将使资产受到的破坏程度和利益损失比较轻微5. 5. 3风险接受准则对于信息资产评估的结果,本公司原则上以风险值小于12分（包括12分）的 风险为可接受风险，大于12分为不可接受风险，要采取控制措施进行控制。对于不可接受的风险，由于经济或技术原因,经管理者代表批准后,可以暂 时接受风险,待经济或技术具有可行性时再采取适当的措施降低风险。5. 5. 4风险控制措施的选择和实施对

16、于不可接受的风险，有四种风险处置方式可以选择:降低风险、转移风险、 消除风险、接受风险。最常见的风险处置方式是降低风险,降低风险可以选择ISO27001： 2013标准 提供的14个域114项中的项或几项控制措施。5. 5. 5控制措施有效性测量在风险控制措施全部或部分实施完成后,信息安全小组可以对风险控制措施 的有效性进行测量;测量的范围可以测量全部的控制措施,也可以测量部分的控 制措施,出于时间和经济成本的考虑,建议选取主要的控制措施进行测量,测试 方法由信息安全小组视情况决定。5. 6剩余风险评估5. 6. 1再评估对采取安全措施处理后的风险,信息安全小组应进行再评估,以判断实施安全 措

17、施后的残余风险是否已经降低到可接受的水平。5. 6.2再处理某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考 虑是否接受此风险或进步增加相应的安全措施。5. 6.3审核批准剩余风险评估完成后,导出信息安全残余风险评估报告，报任继中审核、 最高管理者批准。5.7信息安全风险的连续评估5. 7.1定期评估信息安全小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变 化,确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。5. 7. 2非定期评估当企业发生以下情况时需及时进行风险评估:a）当发生重大信息安全事故时;b）当信息网络系统发生重大更改时;c）信息安全小组确定

18、有必要时。5. 7. 3更新资产各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。5. 7. 4调整控制措施信息安全小组应分析信息资产的风险变化情况,以便根据企业的资金和技术, 确定、增加或调整适当的信息安全控制措施。6记录信息安全风险评估计划信息资产清单重要信息资产清单信息安全风险评估表（含风险处置计划）信息安全残余风险评估报告信息安全风险评估报告XXX有限公司文件控制程序编 号：ISMS-B-02版本号:VI. 0编制:XXX日期:20XX-08-19审核：XXX日期：20XX-08-19批准:XXX日期:20XX-08-19受控状态I受控文件I目的为了对信息安全管理文件的编制、审

19、核、批准、标识、发放、管理、使用、 评审、更改、修订、作废等过程的实施有效控制,特制定本程序。2范围本程序适用于与信息安全管理体系有关文件的管理与控制。3职责3.1总经理负责批准信息安全管理文件的制订、修订计划,负责批准信息安全管理手 册（含信息安全方针）和信息安全适用性声明。3. 2管理者代表负责审定信息安全管理文件,负责批准信息安全程序文件和作业文件。3. 3综合管理部d）负责信息安全管理文件的归管理。e）负责组织信息安全管理文件的制订、修订和评审等管理工作。f）负责信息安全管理文件的标识、作废、回收等日常工作。4相关文件信息安全管理手册信息安全适用性声明商业秘密管理程序信息安全法律法规管

20、理程序5程序1.1 管理内容与要求1.1.1 文件分类信息安全管理文件:a）信息安全管理手册（含信息安全方针、方针文件、目标文件、信息安全适用性声明）；b）信息安全管理程序文件;c）信息安全管理作业文件;d）信息安全管理记录表格。其他文件:a）各种媒介加载的各种格式的非纸质性文件;b）信息安全法律法规及设备说明书、国家标准等来自公司外部的文件。1.2 文件编制和修订5. 2.I要求信息安全管理文件编制和修订前,编制人员充分了解相关方的要求和信息, 广泛收集有关的文件和资料。作为文件编写的依据,应重点考虑以下几个方面：a）相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是 强制性标准

21、的要求,上级主管部门颁发的标准、规章、规定等。b）对客户和其他相关方的合同和承诺,客户与其他相关方的需求和期望方 面的信息。c）国内外同行先进水平和发展方向的信息。d）本组织现有的有关文件,领导的意图和要求。e）内容应与组织的实际情况相适应,并保证文件在现有的资源条件下，能 得到有效实施。6. 2.2文件编制部门a）信息安全管理文件由信息安全小组组织，相关职能部门参与进行编制。b）技术标准由产品研发部负责,各相关部门参与。c）策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相 关职能部门、单位编制。5.3文件审批5. 3.1审批信息安全管理文件发布前须经审批。5. 3. 2权限信息

22、安全管理文件的审批权限如下:a）信息安全管理手册（含信息安全方针、方针文件、目标文件、信息安 全适用性声明）由总经理批准发布。b）信息安全程序文件和作业文件由职能部门组织审核,管理者代表审核, 总经理批准发布。c）策划的管理方案由职能部门组织审核,管理者代表审核,总经理批准发 布。d）其他管理、技术作业和相关支持性文件由归管理部门负责审核，部门 负责人审核批准。5.4文件标识为确保在使用处获得适用文件的有效版本，文件均要有明确的标识，包括文 件编号、版本号、分发号、发布和实施日期、密级等。信息安全管理文件编号规则如下:SANDST0NE-ISMS-A-01信息安全管理手册SANDST0NE-I

23、SMS-A-02信息安全适用性声明SANDSTONE-ISMS-B-XX 程序文件SANDSTONE-ISMS-C-XX 作业文件ISMS-D-XX-XX记录表单涉密文件应按商业秘密管理程序的规定分类并标识。5. 5文件发放文件审批后,综合管理部登记并制定信息安全文件览表和文件发放/ 回收览表,按文件发放/回收览表规定的范围进行发放。文件发放时,综合管理部应在文件第一页注明发放部门和发布日期。并标上 “受控”标识。所发放使用的信息安全管理体系文件均为受控文件,各文件使用部门严格保 管，不得外借和复制,并保持文件清晰、易于识别。5.6 文件的更改及版本管理当文件的当前内容和实施动作不一致时,综合

24、管理部提出更改文件要求，由 文件对口部门和综合管理部人员说明原因,填写文件修改通知单，经原审批 部门批准后,由文件归口管理部门进行修改。版本号规定:初次发布的文件,版本号以L0作为标识,当文件发生修改时,版本号以下列方式进行编制:a）修改内容不超过20%时,版本号以0. 1位依次递进,例:1. 1 ； 1.21.9 ；1. 10 ； 1. 11以此类推;b）修改内容超过20%时,版本号以1. 0位依次递进,例:1. 0, 2. 0。文件按文件修改通知单上的内容进行修改,并更新变更履历,变更后由综合 管理部进行审核，总经理批准,确保所有文件更改到位。对已经过期,不适用本组织业务程序的文档,要进行

25、“报废”处理;针对电 子档文件需在首页打上“报废”水印,在变更履历中注明“报废”原因;针对纸 质文件,盖上“作废”章,并及时销毁处理。5.7 文件的评审当出现以下情况,综合管理部应组织对文件进行评审、必要时予以更新并再次批准:a）信息安全管理体系结构发生重大变化时;b）信息安全管理体系标准发生重大变化时;c）组织结构发生重大变化时;d）信息安全活动、流程发生重大变化时。5.8 外来文件的控制组织的外来文件包括与运行维护有关的国家、地方、行业的法律、法规、部 门规章、标准,体现客户有关要求的文件等。组织的外来文件由综合管理部负责登记在外来文件清单上,外来文件 清单应注明分布部门,以供使用者查阅。

26、对外来法律法规文件，按信息安全法律法规管理程序控制。综合管理部须对受控中的外来文件进行编号管理，以便于查看。5.9 文件的销毁若受控文件已不在适合本组织时,可对文件进行“回收”处理,判定文件是 否可被销毁,可以在信息安全内部审核或管理评审时提出,由综合管理部成员表 决,总经理批准。如果文件被批准销毁，综合管理部需重新修改信息安全文件 览表、并将最新信息登记到文件发放/回收览表。电子文件可以仍然保 存在服务器中,但名称中要加入“作废”标记;同时,文件的“受控”标识也要 改为“作废标识。6记录文件发放/回收览表文件修改通知单外来文件清单XXX有限公司记录控制程序编 号：ISMS-B-03版本号:V

27、I. 0编制:XXX日期：20XX-08-19审核:XXX日期：20XX-08-19批准:XXX日期:20XX-08-19受控状态受控文件1目的为确保对信息安全记录的标识、贮存、保护、检索、保存期限和处置实施有 效管理,特制定本程序。2范围本程序适用于本组织证实信息安全管理体系符合要求和有效运行的记录管 理。3职责综合管理部负责信息安全记录的管理。4相关文件信息安全管理手册商业秘密管理程序重要信息备份管理程序信息安全记录分类与保存期限清单5.1 记录的标识5.1 . 1标识信息安全记录应有追溯标识（如流水号）,追溯标识由各职能部门确定。文件编号按照八面510亚15乂5402文件控制程序“5.4

28、文件标识“中 定义的规则进行。5.2 .2密级记录的密级分类按商业秘密管理程序规定进行,涉密信息应将密级标识 在记录上。5. 2记录的保管5. 2.1保管形式纸质记录由各保管部门按规定存放于文件夹/文件柜中,电子记录由各保管 部门以电子档的形式保存在服务器上。5. 2.2备份要求以电子媒体保管的场合,为预防意外,需做适当的备份。备份的安全要求执 行重要信息备份管理程序。5. 3.1权限因工作需要,借阅其他部门的秘密记录,应获得记录保管部门经理授权后方 可借阅,并填写记录借阅登记表,留下授权记录。5. 3.2控制借阅者在借阅期内不得改动记录,借阅完毕后,保管部门经理删除其访问阅 读权限。5.4记

29、录的错毁5. 4.1废弃超过保管期限的记录,应填写记录销毁记录表，经综合管理部批准后, 由保管部门作为秘密文件处理废弃。6记录信息安全记录览表记录借阅登记表记录销毁记录表XXX有限公司纠正措施控制程序编 号:-ISMS-B-04版本号:VI. 0编制:XXX 日期:20XX-08-19审核：XXX日期：20XX-08-19批准:XXX日期:20XX-08-19受控状态受控文件I目的为消除与信息安全管理体系要求不符合的原因,防止其再次发生,持续改进 和信息安全管理体系的有效性,特制定本程序。2范围本程序适用于消除信息安全管理体系不符合原因所采取的纠正措施的管理。3职责3.1综合管理部负责归管理纠

30、正措施实施,组织相关部门制定纠正措施,并负责跟踪验证。3. 2信息安全管理小组负责信息系统方面纠正措施的制定与实施。4相关文件信息安全管理手册文件控制程序5程序5.1 不符合信息来源g）组织内、外部审核中发现的问题;h）日常信息安全管理检查、监控及技术检查中指出的不符合项;i）突发的信息安全事件;j）相关方的建议或抱怨;k）风险评估报告。5. 2不符合项分析各部门对本部门产生的不符合,应分析产生的原因,评价纠正措施的需求。5. 3纠正措施采取纠正措施应与问题的影响程度相适应,对于以下情况的不符合应采取纠 正措施:a）可能造成信息安全事故;b）可能影响顾客满意程度、造成顾客抱怨与投诉;c）可能影

31、响本公司的企业形象与经济利益;d）可能造成生产经营业务中断。5. 4重大事件范畴对于信息系统的重大事件，技术部应进行原因分析，采取纠正措施,以下事 件属于重大事件范畴:a）网络遭受大规模病毒攻击;b）组织信息资产被盗用;c）公司应用管理系统数据中断。5. 5纠正措施批准需制定纠正措施时，应将不符合原因填入纠正与预防措施报告,制定纠 正措施对策,经综合管理部批准后予以实施。5. 6纠正措施结果记录实施纠正措施的部门应按照纠正与预防措施报告要求认真执行,并将执 行结果记入相应纠正与预防措施报告中。5.7 验证综合管理部对纠正措施实施结果进行验证,并将验证结果记录在纠正与预防措施报告上。5.8 相关

32、文件更改纠正措施需要涉及文件更改的,应对文件进行评审,按文件控制程序更 改文件。5. 9保管责任综合管理部应做好纠正措施相关记录的保存。5.10管理评审输入管理评审前,将各部门所采取的纠正措施的有关情况汇总,提交管理评审。6记录纠正与预防措施报告XXX有限公司预防措施控制程序编 号：ISMS-B-05版本号:VI. 0编制:XXX 日期:20XX-08-19审核：XXX日期：20XX-08-19批准:XXX日期:20XX-08-19受控状态受控文件I目的为消除潜在的与信息安全管理体系要求不符合的原因,防止其发生,持续改 进和信息安全管理体系的有效性,特制定本程序。2范围本程序适用于消除信息安全

33、管理体系潜在不符合原因所采取的预防措施的 管理。3职责3.1 综合管理部负责组织相关部门进行信息安全数据的收集及分析,确定潜在不符合原因, 评价预防措施的需求,组织相关部门制定预防措施,并负责跟踪验证。3. 2信息安全管理小组负责收集和分析信息系统方面的事件和异常情况,确定潜在不符合原因，采 取预防措施。4相关文件信息安全管理手册文件控制程序5程序3.2 预防措施信息来源a）组织内外安全事件记录、事故报告、薄弱点报告;b）日常管理检查及技术检查中指出的不符合;c）信息安全监控记录;d）内、外部审核报告及管理评审报告中的不符合项;e）相关方的建议或抱怨;f）风险评估报告;g）其他有价值的信息等。

34、3.3 执行时机综合管理部每半年组织相关部门利用5. 1条款所规定的信息来源,分析确定 潜在不符合及其原因,评价防止不符合发生的措施的需求,并形成纠正与预防 措施报告。5. 3预防措施要求采取预防措施应与潜在问题的影响程度相适应，对于以下情况的潜在不符合 应采取预防措施:a）可能造成信息安全事故;b）可能影响顾客满意程度、造成顾客抱怨与投诉;c）可能影响本组织的组织形象与经济利益;d）可能造成业务中断。5.4 原因分析对于信息系统发现报告的重大安全隐患（安全薄弱点）,综合管理部应组织 有关部门进行原因分析,采取预防措施。5.5 批准需制定预防措施时,应将有关潜在的不符合信息及原因填入纠正与预防

35、措 施报告,组织有关部门制定预防措施对策,确定实施预防措施的部门,并将相 关信息填入纠正与预防措施报告,经综合管理部批准后予以实施。5.6 重大事项处理当问题原因不确定或责任重大时,由采取预防措施的部门呈报公司总经理。 必要时，应提交公司综合管理部进行专题研究,商讨对策。实施预防措施的部门应按照纠正与预防措施报告要求认真执行,并将执 行结果记入相应纠正与预防措施报告中。5.8验证综合管理部对预防措施实施结果进行验证,并将验证结果记录在纠正与预 防措施报告上。验证内容包括:1）预防措施是否按预防措施计划的要求实施;m）是否消除了潜在不符合的原因。5. 9返工处理经验证效果不理想,负责制定预防措施

36、的部门应重新编制纠正与预防措施 报告实施。5.10 文件更改预防措施需要涉及文件更改的，应对文件进行评审,按文件控制程序更 改文件。5.11 记录的保存综合管理部应做好预防措施相关记录的保存。5.12 管理评审输入管理评审前,将各部门所采取的预防措施的有关情况汇总，提交管理评审。6记录纠正与预防措施报告XXX有限公司内部审核管理程序编 号:ISMS-B-06版本号:VI. 0编制:XXX日期:20XX-08-19审核：XXX日期：20XX-08-19批准:XXX日期:20XX-08-19受控状态受控文件I目的为明确信息安全管理体系内审的实施方法,保证内审定期有效地实施,为管 理评审和持续改进提

37、供依据,确保信息安全管理体系的有效运行,特制定本程序。2范围本程序适用于本公司信息安全管理体系内部审核（简称:内审）工作的实施和 管理。3职责3.1 综合管理部负责制定年度审核计划与每次的审核计划,制定内审检查表以供各部门检查 各项活动是否在信息安全保障内;3.2 信息安全管理小组任命内部审核小组可以进行内审;负责管理和监督内审的进行与内审结果的确认。3. 3其他各部门配合内部审核小组进行内审,对内审中发现的问题进行整改。4相关文件信息安全管理手册5.1 年度内审计划5.1.1 计划制定综合管理部制定年度审核计划,确认当年年度的审核的目的范围,受审 部门及受审的时间安排。交由综合管理部审批。5

38、. 2内审5. 2.1内审时机内部审核原则上每年进行次,由综合管理部制定内部审核计划,经总 经理批准后实施;若在非内审期内发现特殊情况,如有重要信息安全事件发生, 或公司重要业务发生变化，可由综合管理部申请增加内审的次数，由总经理决定 是否进行内审。5. 2.2任命每次审核前,由管理者代表任命审核组长,对参加信息安全审核的人员及部 门进行任命。信息安全管理小组应制定内部审核计划及内审检查表,经 总经理批准,并由信息安全管理小组通知被审核部门,被审核部门到时应选派有 关人员配合审核。5. 2.3内部审核员5. 2. 3.1资格要求内部审核员必须是熟悉本组织业务和信息系统情况,参加信息安全管理体系

39、 内部审核员培训并考核合格的本组织人员。5. 2. 3. 2独立性要求内部审核员应来自于不同的职能部门,审核人员应与被审活动无直接责任, 以保持工作的独立性。5.3内部审核的实施5. 3.1审核实施内部审核员应按内部审核计划规定实施审核，各有关部门应积极配合。6. 3.2不符合项开具对审核中发现的不符合项,由内部审核员开出不符合项报告7. 4纠正措施与跟踪审核8. 4. 1纠正所有不符合项应由不符合项的责任部门负责按以下要求制定纠正措施并认 真实施:n）检查本部门其他方面和其他各部门是否存在类似情况;）对所有存在的不符合的问题按有关规定改正过来;p）调查产生该不符合项的原因,填入不符合项报告的

40、产生不符合项的 原因”栏内,调查人要签字,并写明日期;q）列明消除不符合项产生原因的措施计划,并说明具体步骤及完成日期, 填入不符合项报告的“纠正措施”栏内,经部门领导批准,并写明 日期;r）按制定的纠正措施认真实施，并将实施结果记入不符合项报告的“实 施结果栏内,记录人要签字,并写明日期。5. 4. 2跟踪内部审核员在规定期限进行跟踪审核，对纠正措施的实施及有效性进行验 证,并将验证结果记入不符合项报告。5. 5审核报告5. 5.1审核报告内部审核结束后,审核组长应起草内部审核报告，报总经理审阅,总经 理签署意见后发至各部门。5. 5. 2管理评审输入内部审核的结果应作为管理评审输入的一部分

41、。5. 5. 3记录保管综合管理部应妥善保存评审记录。6记录年度内审计划内部审核计划内审检查表会议签到表不符合项报告内部审核报告XXX有限公司管理评审程序编 号：ISMS-B-07版本号:VI. 0编制:XXX日期:20XX-08-19审核：XXX日期：20XX-08-19批准:XXX日期:20XX-08-19受控状态|受控文句1目的为确保组织信息安全管理体系持续的适宜性、充分性和有效性,评估组织信 息安全管理体系改进和变更的需要,特制定本程序。2范围本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管 理。3职责3.1 总经理主持信息安全管理体系管理评审。3.2 综合管理部负责信

42、息安全管理体系管理评审的归口管理。4相关文件信息安全管理手册文件控制程序记录控制程序5程序5.1 管理评审策划5.1.1 管理评审的频次5.1.1.1 定期管理评审由总经理主持,通常每年进行次,一般在内部审核后进行。5.1.1 . 2非定期当遇到下列情况时,可不受5. 1.1.1的限制,由综合管理部制定计划,信息 安全管理小组审核,报总经理批准后实施:s）当出现重大信息安全事件时;t）当信息安全管理体系发生较大变化时;u）当客户要求或外部环境条件发生重大变化时;v）内部审核、客户审核或ISO/IEC27001外部审核时,发现了对全组织有影响,属信息安全管理体系上的重大不符合事项时。5.1.2

43、管理评审的方式管理评审以专题会议的方式进行,由总经理主持管理评审,评审会议由总经 理、相关部门负责人参加,必要时可吸收对应专业管理人员参加。5.1.3 管理评审的准备5.1. 3.1计划编制综合管理部根据管理评审要求组织编制管理评审计划，报信息安全管理 小组审核，总经理批准后，提前一周下发至各相关部门。5.1.3.2相关准备相关部门按管理评审计划要求，对照信息安全管理体系运行情况进行自 评,按各自职责做好相关信息、资料的准备工作,并将有关信息、资料于管理评 审会议召开前3天提供给综合管理部。5.1. 3. 3资料汇总综合管理部将各相关部门提供的材料汇总、分析后编写信息安全管理体系 运行情况报告于管理评审前1天交信息安全小组审核。5.1. 3. 4 议程管理评审会议召开前1天，综合管理部应安排好会议的议程,通过总经理批 准后填写管理评审通知单，并发放至评审计划要求参加的各相关部门（人员）。各相关部门接到管理评审计划后应向综合管理部提供如下材料和信息:a）以往管理评审的措施的状态;b）与信息安全管理体系相关的外部和内部问题的变更;c）信息安全绩效的反馈,包括下列方面的趋势:1）不符合和纠正措施;2）监视和测量结果;3）审核结果;4）信息安全目标的实现;d）相关方的反馈;e）风险评估的结果和风险处置计划的状态;f