某有限公司信息安全管理手册

一级文件文件编号IT-IT-M-0003版 本V1.0保密等级内部使用标 题信息安全管理手册生效日期2011年01月01日xxxx有限公司信息安全管理手册密级机密 保密 内部使用 公开信息受控状态受控 非受控2011-12-01颁布 封面 2011-01-01 实施 深圳市xxxx有限公司 信息中心 发布文件历史控制记录文件名称信息安全管理手册文件编号IT-IT-M-0003对应OA文号版次编制与修订概要完成日期状态角色人员编写初审会签审核批准第一章 前言随着xxxx有限公司业务发展日益增长，信息交换互连面也随之增大，信息业务系统依赖性扩大，所带来的信息安全风险和信息脆弱点也逐渐呈现，原有信息安全技术和管理手段很难满足目前和未来信息化安全的需求，为确保xxxx有限公司信息及信息系统的安全，使之免受各种威胁和损害，保证各项信息系统业务的连续性，使信息安全风险最小化，xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评，定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改，分析了信息安全管理上的不足与缺陷，编制了差距测评报告。通过开展信息安全风险评估和等级保护测评，了解xxxx有限公司信息安全现状和未来需求，为建立xxxx有限公司信息安全管理体系奠定了基础。2011年7月开展信息安全管理体系持续改进建设，依据信息安全现状和未来信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求，建立了符合xxxx有限公司信息安全管理现状和管理需求的信息安全管理体系，该体系覆盖了GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求12个控制领域、39个控制目标和133个控制措施。本手册是xxxx有限公司信息安全管理体系的纲领性文件，由信息中心归口负责解释。第二章 信息安全管理手册颁布令xxxx有限公司（以下简称公司）依据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求，结合限公司实际情况，在原有的各项管理制度的基础上编制完成了xxxx有限公司信息安全管理体系手册第一版，现予以批准实施。xxxx有限公司信息安全管理体系手册是公司在信息及信息系统安全方面的规范性文件，手册阐述了限公司信息安全服务方针，信息安全目标及信息安全管理体系的过程方法和策略，是公司信息安全管理体系建设实施的纲领和行动准则，是公司开展各项服务活动的基本依据；是对社会各界证实我公司有能力稳定地提供满足国际标准信息安全要求以及客户和法律法规相关要求的有效证据。适合公司信息化目前发展趋势需求，且内容充分、表达准确，现予颁布。本手册定于2011年8月1日起实施，属强制性文件，要求各部门所有人员必须正确理解并严格贯彻全面执行。 xxxx有限公司总经理签名：日期： 2011年01月01日第三章 公司介绍1. 企业简介xxxx有限公司（以下简称xxxx）始创于2002年4月，大致经过三个发展阶段：第一阶段，2002年2004年，为创业期，全力开拓市场，实现在竞争激烈的行业中立足；第二阶段，20042006年，为整合期，整合一切有效资源，重力推出新产品，奠定以优质产品占据市场的方向，梳理并确立了经营理念、发展愿景、经营方针，完成了股份制改革；第三阶段，2006至今，为蜕变期，立足电气传动、工业控制领域，为全球用户提供专业化产品和服务，于2010年在深交所A股上市，股票代码：，步入不断提升企业核心竞争力，并实现飞跃的阶段。目前xxxx设有国内办事处30多个，海外办事处2个，拥有海内外经销合作伙伴上百家，用户遍布全球50多个国家和地区。xxxx是国家级高新技术企业，拥有深圳市唯一的“变频器工程技术研究开发中心”。在吸收国外先进技术的基础上，结合近十年变频推广应用经验和当今电力电子最新控制技术，研制出高、中、低压通用及各行业专用变频器、交流伺服系统、制动单元、能量回馈单元等产品。并在市政、建材、塑胶、油田、机械、化工、冶金、纺织、印刷、机床、矿山等行业广泛应用。xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压660V/1140V系列、高压CHH（3KV/6KV/10KV）系列等，功率范围涵盖0.48000kW，满足不同行业不同场合的各种变频控制应用需求。成熟矢量控制技术、各行业专用变频控制技术的掌握以及国际领先四象限控制技术的突破使xxxx的发展持续领先，成为中国变频器行业的领导者。高性能交流伺服系统的开发与成功应用标志着xxxx向运动控制领域的拓展与延伸。xxxx在“众诚德厚、业精志远”的经营理念指导下，坚持在不断创新、精益求精中与包括员工、股东、供应商、客户等广大合作伙伴共同发展，公司的自主创新及品牌美誉度在行业中已经占有重要地位，并得到社会的广泛认同。2. 企业文化经营理念：众诚德厚业精志远愿 景：成为全球领先、受人尊敬的电气传动、工业控制领域的产品和服务供应商。使 命：竭尽全力提供物超所值的产品和服务，让客户更有竞争力。经营方针：创新 品质 标准化 共同发展核心价值观：众诚德厚拼搏创新人才理念：人才是企业第一资本 尊重人才，经营人才质量方针：提供不断优化的产品和服务，提高客户满意度。3. 企业标识：标识释义：xxxx企业标徽有两种色彩：xxxx红（M100 Y80）、xxxx蓝（C100 M80 K40），红色体现进取和活力，蓝色象征包容和专注的钻研精神。字体设计简洁、凝聚、浑厚、扩张，传达xxxx通过与合作伙伴和员工的合力凝聚坚固产品品质，厚重企业诚信、拼搏创新、走向国际、再创新高的思想。 “INVT”是变频器（inverter），也是创新（innovation）和美德（virtue）的结合，是xxxx核心价值观“众诚德厚，拼搏创新”的标识承载； 首字母“i”色彩红蓝结合，强调xxxx企业个人与团队、个人与公司、xxxx与客户、供应商的相互信赖，共同发展； 红色圆点是旭日也是星球，蓝色体现企业所在地域滨海城市深圳，体现xxxx电气立足本土，致力于成为全球领先、受人尊敬的电气传动、工业控制领域产品/服务供应商的远景目标。第四章 信息安全管理目标根据国家信息安全等级保护要求、公司下达的目标与指标、公司信息化发展战略目标、信息安全风险评估结果、信息用户的满意度，结合公司实现目标所需的资源，识别公司的信息安全目标与指标。公司每年年底制定下一年度的信息安全目标与指标，公司制定完成信息安全目标与指标的工作计划，将目标、指标的层层分解，并落实完成。下列是详细的信息安全目标：目标类别目标项目标值目标换算方法统计周期信息安全目标不可接受风险处理率100%（不可接受风险数处理数/不可受风险总数）100%年机密信息泄密事件0次按实际发生次数统计年秘密信息泄密事件0次按实际发生次数统计年特别重大突发事件（级）0次按实际发生次数统计年重大突发事件（级）0次按实际发生次数统计年较大突发事件（级）0次按实际发生次数统计年一般突发事件（级）0次按实际发生次数统计年内部审核及管理评审实施及时率100%按计划实施年员工入职培训完成率100%（入职员工参训人数/入职员工总数）100%年信息安全培训计划完成率100%（实际培训次数/计划培训次数）100%年信息安全运行指标大面积感染计算机病毒次数0次按实际发生次数统计年由于网络故障导致关键业务中断次数0次按实际发生次数统计年员工保密协议签订率100%（实际签订人数/入职总人数）100%年重要信息备份及时率100%（实际备份数/计划备份数）100%年内部审核不符合项整改率90%（不符合项整改完成数/不符合项总数）100%年计算机故障处理完成率100%（实际处理数/故障总数）100%年容量不足导致业务故障次数3按实际发生次数统计年计算机口令强度符合率100%（帐号符合数/帐号总数）100%年注：公司的信息安全目标不限此，可根据各部门的实际业务进行调整或分解。第五章 信息安全会议1. 信息安全会议要求1.1. 公司应在每年一次的信息化工作会议上，总结汇报本年度的信息安全工作情况。1.2. 公司应在每季度召开的计算机管理会议中，总结本季度的信息安全工作情况。1.3. 公司信息中心应在每月召开的信息管理工作例会中，总结本月的信息安全工作情况。1.4. 公司应根据风险变化的需要或在重大活动期间，不定期召开信息安全专题会。2. 信息安全会议记录管理2. 信息安全管理文件与数据的管控2.1. 公司应及时制定相关的信息安全管理文件、信息安全数据与记录。2.2. 信息安全管理数据与记录包括：1) 信息安全会议纪要2) 信息安全事故调查报告3) 信息安全事件整改报告4) 信息安全检查整改方案5) 信息安全审计记录6) 技术档案资料7) 培训记录8) 信息安全作业活动数据与记录9) 信息安全事件通报、整改活动10) 信息安全检查活动11) 应急演练活动12) 信息系统定级备案活动13) 信息安全审计活动14) 信息安全风险评估活动15) 数据与记录要求：真实、完整、齐全、准确、及时。3. 信息文件的管理3. 信息安全管理流程与变化管理3.1. 根据精简、高效的原则，制定公司信息安全工作和管理流程，包括：1) 信息安全管理流程2) 信息安全事件处理流程3) 信息安全应急流程4) 其它相关流程3.2. 每年回顾流程的效率，必要时修订、增加或废除不必要的流程或环节。3.3. 信息安全管理流程和信息安全事件处理流程纳入信息安全管理体系中管理3.4. 信息安全应急流程纳入xxxx有限公司网络与信息安全专项应急预案中管理。3.5. 根据管理变化、技术变化，公司定期修订如下：1) 更新管理手册、程序文件、作业指导书或管理制度、办法；2) 更新培训要求；3) 更新应急处置程序；3.6. 对涉及到的所有信息安全风险进行回顾分析；3.7. 变化管理需文件化，并保存变化过程的相关记录。第六章 信息安全管理体系1. 总则1.1. 为了加强xxxx有限公司（以下简称“xxxx有限公司或公司”）信息安全管理工作，保护信息系统的安全，促进信息系统的应用和发展，根据国家有关法律法规，以及变频器行业的管理规范、行业标准，并遵照公司信息系统安全的有关规定，特制定本手册。1.2. 信息系统的安全保护范围包括各信息系统相关的和配套的软件、硬件、信息、网络和运行环境的安全。1.3. xxxx有限公司信息系统安全管理应遵循“统一规划、预防为主、集中管理、分层保护、明确责任”的原则。1.4. xxxx有限公司运行中的信息系统是支撑生产的运行设备，各级安全生产责任人对其职责范围内的信息系统安全运行负有安全管理责任。1.5. 任何人不得利用信息系统从事危害国家利益、集体利益和其他公民权益的活动，不得从事危害xxxx有限公司信息系统安全的活动。1.6. 本手册适用于公司本部、各基层单位的信息系统的安全保护工作。公司多经企业参照执行。2. 规范性引用标准2.1. 信息安全等级保护管理办法（公通字200743 号）2.2. 信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）2.3. 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008）2.4. 信息安全技术 信息安全管理实用规则（GB/T 22081-2008）2.5. 信息安全技术 信息安全风险评估规范（GB/T 20984-2007）2.6. 国家相关法律、法规及合同的要求。3. 术语与定义3.1. 资产 asset任何对组织有价值的东西。3.2. 可用性 availability根据授权实体的要求可访问和利用的特性。3.3. 保密性confidentiality信息不能被未授权的个人、实体或者过程利用或知悉的特性。3.4. 信息安全information security保证信息的保密性、完整性、可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。3.5. 信息安全事态 information security event信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。3.6. 信息安全事件 information security incident一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。3.7. 信息安全管理体系 information security management system是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。3.8. 完整性integrity保护资产的准确和完整的特性。3.9. 残余风险 residual risk经过风险处理后遗留的风险。3.10. 风险接受risk acceptance接受风险的决定。3.11. 风险分析risk analysis系统地使用信息来识别风险来源和估计风险。3.12. 风险评估risk assessment风险分析和风险评价的整个过程。3.13. 风险评价risk evaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。3.14. 风险管理risk management指导和控制一个组织相关风险的协调活动。3.15. 风险处理risk treatment选择并且执行措施来更改风险的过程。注：在本标准中，术语“控制措施”被用作“措施”的同义词。3.16. 适用性声明statement of applicability描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。3.17. 信息系统是指由计算机及其相关配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括管理信息系统和生产控制系统。3.18. 信息安全保持信息的保密性、完整性和可用性，另外也可包括诸如真实性，可核查性，不可否认性和可靠性等。3.19. 信息系统运行单位是指信息系统资产归属单位，对于托管的信息系统有另行约定的除外。3.20. 信息安全工作人员是指包括信息安全管理人员、信息安全技术人员（包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等信息安全相关设备的管理员）和信息安全审计员。3.21. 信息工作人员是指与关键信息系统（涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统）直接相关的系统管理人员、网络管理人员、关键业务信息系统开发人员、系统维护人员、关键业务信息系统操作人员等。3.22. 第三方是指软件开发商、硬件供应商、系统集成商、设备维护商、服务提供商以及其它外协单位。3.23. 第三方人员是指包括软件开发商出、硬件供应商、系统集成商、设备维护商、服务提供商及其它外协服务单位的工作人员，以及实习学生和其他临时工作人员。3.24. 信息资产是指公司在生产、经营和管理过程中，所需要的以及所产生的，用以支持（或指导、或影响）公司生产、经营和管理的一切有用的数据和资料等非财务的无形资产，其范围包括现在的和历史的。3.25. 信息系统运行维护单位是指与信息系统运行单位签订维护合同的专业服务提供商。3.26. 信息安全等级保护是指根据国家信息安全等级保护相关管理文件，确定信息系统的安全保护等级，并开展相应的信息系统安全等级保护工作。3.27. 信息安全评估是指，按照管理办法和有关技术标准，开展信息系统安全等级保护的自查自纠、差距评测、安全整改等续工作。3.28. 安全风险管理是指采用风险管理的理念与方法来识别、评估信息系统面临的风险，制定风险控制措施，并将风险降低到可接受的程度，安全风险管理包括风险评估和风险控制。注：基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求，制定控制目标和控制措施。3.29. 标准缩写ISMS：信息安全管理体系（Information Security Management Systems）；SoA：适用性声明（Statement of Applicability）；PDCA：建立、实施和运行、监视和评审、保持和改进（Plan、Do、Check、Act）。4. 信息安全管理体系4.1. 总要求根据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系 要求标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。ISMS所涉及的过程基于以下PDCA模式：建立ISMS保持和改进ISMS实施和运作ISMS监控&评审 ISMS相关方已被管理的信息安全相关方信息安全要求&期望、法律法规策划（D）措施实施检查 图 4-1 PDCA模型规划（建立ISMS）建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果。实施（实施和运行ISMS）实施和运行ISMS方针、控制措施、过程和程序。检查（监视和评审ISMS）对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。处置（保持和改进ISMS）基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。本手册中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：a) 理解xxxx有限公司的信息安全要求和建立信息安全方针与目标的需要；b) 从组织整体业务风险的角度，实施和运行控制措施，以管理xxxx有限公司的信息安全风险；c) 监视和评审ISMS的执行情况和有效性；d) 基于客观测量的持续改进。本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA） 模型，该模型可应用于所有的ISMS过程。图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图4-1描述了4、5、6、7和8章所提出的过程间的联系。采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）中所设置的原则。本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。4.2. ISMS的建立、实施和运作、监督和评审、保持和改进4.2.1. 建立ISMS4.2.1.1. xxxx有限公司ISMS的范围和边界根据业务、组织、资产、位置等方面的特性，确定ISMS的范围和边界。xxxx有限公司信息安全管理体系的范围和边界包括：(1) 业务边界：xxxx有限公司为开展供电业务，在管理信息大区范围内实施的信息安全管理。(2) 组织边界：xxxx有限公司信息中心；(3) 资产边界：xxxx有限公司负责管理的信息资产；(4) 物理边界：广东省广州市天河区天南二路239号和梅花路机房4.2.1.2. 确定xxxx有限公司ISMS方针应满足以下要求(1) 确保为ISMS方针建立一个框架并为信息安全实施和运作、监督和评审、保持和改进的活动建立系统的方向与原则；(2) 确定业务发展、法律法规要求及其它相关方合同涉及的信息安全要求；(3) 在组织的战略和风险管理下，建立和保持ISMS；(4) 建立风险评价的准则和机团队；(5) 获得信息安全领导小组批准。4.2.1.3. 风险评估的系统方法xxxx有限公司信息中心负责建立信息安全风险评估控制程序并组织实施。风险评估控制程序包括可接受风险准则和可接受水平，所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。具体的风险评估过程控制执行信息安全风险评估程序，以下是风险评估流程图；确定ISMS范围资产识别与重要信息资产确定威胁识别与评价已有控制措施确认薄弱点识别与评价风险评估（测量）是否接受保持已有的控制措施施 施选择安全目标及控制措施实 施残余风险评审YESNO风险评估流程图4.2.1.4. 风险识别在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、服务、人力资源。对每一项信息资产，根据重要信息资产判断依据确定是否为重要信息资产，形成重要信息资产清单。4.2.1.5. 评估风险(1) 针对每一项重要信息资产，参考信息安全威胁列表及以往的安全事故（事件）记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临的威胁；(2) 针对每一项威胁，考虑现有的控制措施，参考信息安全薄弱点列表识别出可能被该威胁利用的薄弱点；(3) 综合考虑以上2点，按照威胁发生可能性等级表中的判定准则对每一个威胁发生的可能性进行赋值；(4) 根据威胁影响程度判断准则，判断一个威胁发生后对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害及对公司业务的威胁影响程度，对其威胁影响程度进行赋值；(5) 进行风险大小计算时，考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合，根据风险计算公式来计算风险等级；(6) 对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风险为不可接受风险。4.2.1.6. 风险处理方法的识别与评价xxxx有限公司信息中心组织有关部门根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任部门、方法及时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：(1) 采用适当的内部控制措施；(2) 接受某些风险（不可能将所有风险降低为零）；(3) 规避某些风险（如物理隔离）；(4) 转移某些风险（如将风险转移给保险公司、供应方）。4.2.1.7. 选择控制目标与控制措施(1) 信息中心根据信息安全方针、业务发展要求及风险评估的结果， 组织有关部门制定信息安全目标，并将目标分解到有关部门。信息安全目标应获得信息安全领导小组的批准。(2) 控制目标及控制措施的选择原则来源于GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系 要求标准附录A，具体控制措施可以参考GB/T22081-2008/ISO/IEC27002:2005信息技术安全技术信息安全管理实施细则。xxxx有限公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2.1.8. 适用性声明信息中心负责信息安全管理体系适用性声明（SoA）编制，由信息中心归口管理。该声明包括以下方面的内容：(1) 所选择控制目标与控制措施的概要描述；(2) 当前已经实施的控制；(3) 对GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系要求附录A中未选用的控制目标及控制措施的说明。注：该声明的详细内容见信息安全管理体系适用性声明。4.2.2. ISMS实施及运行4.2.2.1. ISMS岗位职责和权限(1) 信息安全领导小组组长为公司信息安全最高管理者。领导小组主要职责：a) 国家有关信息安全的政策、法律和法规，以及南方电网公司和公司的统一部署要求，审查、批准xxxx有限公司信息安全策略、管理规范和技术标准；b) 部署信息安全总体工作，审定信息安全投资策略，建立工作考评机制；c) 指导信息安全保障体系建设和应急管理。(2) 信息安全工作小组主要职责：a) 根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；b) 贯彻执行信息安全领导小组的决议，协调、督促各部门、各单位的信息安全工作；c) 制订信息安全策略和投资策略，组织对信息安全工作制度和技术操作策略的审查，并监督执行；d) 接受各单位的紧急信息安全事件报告，组织信息安全应急处置工作，并开展事件调查、分析原因、涉及范围和评估安全事件的严重程度，提出信息安全事件防范措施；e) 及时向信息安全领导小组和上级有关部门、单位报告信息安全事件；f) 跟进先进的信息安全技术，组织信息安全知识的培训和宣传工作。(3) 信息安全管理体系的管理者代表对公司信息安全负有以下职责：a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组报告。(4) 各部门负责人为本部门信息安全管理者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；4.2.2.2. 各部门应按照信息安全管理体系适用性声明中选择的控制目标与目标的控制措施，确保ISMS有效实施与运行，并开展以下活动：(1) 确保信息安全风险的有效管理，制定风险处理计划，以便明确管理措施、所需资源、工作职责及识别活动的优先顺序；保证已识别的控制目标实施风险处理计划；(2) 确保处理风险所选择的控制措施，以满足控制目标；(3) 确保所选控制措施有效测量；(4) 制定信息安全培训计划并加以实施，提高全员信息安全意识和能力；(5) 管理ISMS的运行；(6) 管理ISMS的资源；(7) 制定信息安全事件或事故的程序控制措施，以便迅速的检测安全事件与安全事故的响应。4.2.2.3. ISMS的监督检查与评审通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查（如日志审核）等控制措施并报告结果以实现：(1) 及时发现信息安全体系的事故和隐患；(2) 及时了解信息处理系统遭受的各类攻击；(3) 使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；(4) 积累信息安全方面的经验。4.2.2.4. 根据以上活动的结果以及来自相关方的建议和反馈，由信息安全工作小组组长主持，定期（每年至少一次）对ISMS的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求，见本手册第7章。4.2.2.5. 信息中心应组织有关部门按照信息安全风险管理程序的要求对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：(1) 组织机构发生重大变更时；(2) 信息处理技术发生重大变更时；(3) xxxx有限公司业务目标及流程发生重大变更时；(4) 发现信息资产面临重大威胁时；(5) 外部环境，如法律法规或信息安全标准发生重大变更时。4.2.2.6. 保持上述活动和措施的记录。4.2.3. ISMS保持与改进xxxx有限公司开展以下活动，以确保ISMS的持续改进：4.2.3.1. 实施每年安全检查、内部审核、管理评审等活动以确定需改进的项目；4.2.3.2. 按照内部审核管理程序、纠正与预防措施控制程序的要求采取适当的纠正和预防措施；吸取其他组织及xxxx有限公司安全事故的经验教训，不断改进现有安全措施。4.2.3.3. 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。4.2.3.4. 为了确保信息安全管理体系的持续有效，各级管理者应通过适当的手段对信息安全措施的执行情况与结果进行有效的交流与沟通。与外部信息安全专家、信息安全机构、政府行政主管部门、电信运营商等组织保持联系。与外部专家、服务商等外部机构的联系方式见对外联系表。4.3. 文件要求4.3.1. 总则根据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求并结合xxxx有限公司实际情况建立xxxx有限公司信息安全管理体系文件结构，体系文件分为四级，分别为一级文件、二级文件、三级文件及四级记录性文件。(1) 一级文件为信息安全管理体系手册（包含信息安全方针、目标）和适用性声明等；(2) 二级文件为信息安全管理体系建立实施的相关程序文件；(3) 三级文件为信息安全管理体系建立实施的相关制度、办法和规程等；(4) 四级文件为信息安全管理体系实施运行过程中的记录类文件。4.3.2. 文件控制为确保文件的修订得到控制，使用现场得到有效版本的文件，防止作废文件的非预期使用，在文件控制程序中明确规定了文件的编制、评审、批准、发放、使用、更改、再次批准、标识、回收、作废和保存期限等管理。注：以上程序详细内容见文件控制程序。4.3.3. 记录控制为提供有效的信息安全管理体系运行的符合性证据，并具有追溯、证实和依据记录采取纠正和预防措施的作用，在记录控制程序中明确规定了记录的填写要求、标识、收集、储存、检索、防护、保存期限和处理所需的控制。注：以上程序详细内容见记录控制程序。5. 管理职责5.1. 管理承诺信息安全领导小组承诺按GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求建立、实施、运行、监视和评审，并通过持续保持和改进，使体系不断发展和完善。通过以下活动，确保上述承诺得以实现：制定ISMS方针：(1) 制定ISMS目标和实施计划；(2) 建立信息安全组织机构并明确职责；(3) 通过适当的沟通方式，利用多种方式向全体员工传达并使他们认识到满 足信息安全目标、符合信息安全方针以及法律、法规要求，持续改进信息安全的重要性；(4) 提供适当的资源以满足信息安全管理体系建立、实施、运行、监视、评审、保持和改进的需要；(5) 对可接受风险的等级进行判断；(6) 组织实施ISMS内部审核；(7) 组织实施ISMS管理评审。5.2. 资源管理5.2.1. 资源提供确保并提供实施、保持信息安全管理体系所需资源，并采取适当措施，以保证：(1) 建立、实施、运作、监视、评审、保持和改进ISMS；(2) 确保信息安全管理程序符合业务支持流程要求；(3) 识别和满足法规要求以及合同中的安全义务；(4) 通过正确实施所有的控制措施保持适当的信息安全；(5) 必要时，应对资源提供进行评审，并按评审结果执行；(6) 在需要时，改进ISMS资源的有效性。5.2.2. 能力、意识和培训为提高全员信息安全的意识，确保相关人员履行信息安全职责所需的能力，应采取并实施以下的管理活动：(1) 确保与ISMS有关工作人员具备必要的信息安全能力；(2) 实施信息安全意识和能力的教育及培训并评价其培训的有效性；(3) 通过宣传和其他活动使员工普遍认识到信息安全职责的重要性，为实现信息安全目标做出各自的贡献；(4) 保持教育、培训、技能、经历和资格或其他活动的记录；注：以上程序详细内容见教育培训控制程序5.3. 安全职责5.3.1. 信息安全管理组织机构和人员职责xxxx有限公司信息安全管理机构有xxxx有限公司信息安全领导小组和xxxx有限公司信息安全工作小组，并配置相应的信息安全工作人员，包括信息安全管理人员、信息安全技术人员、信息安全审计员。5.3.2. xxxx有限公司信息安全领导小组5.3.2.1. xxxx有限公司成立信息安全领导小组。xxxx有限公司信息安全领导小组是公司信息安全的最高决策机构。5.3.2.2. xxxx有限公司信息安全领导小组组长由分管生产安全的公司领导担任。5.3.2.3. 信息安全领导小组主要职责如下：a) 对公司信息安全领导小组负责。b) 根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准。c) 确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。d) 信息安全领导小组下设两个信息安全工作小组（包括管理信息系统信息安全工e) 作小组和生产控制系统信息安全工作小组）和应急处理工作小组，并负责指导两个工作组的工作。5.3.3. xxxx有限公司信息安全工作小组5.3.3.1. xxxx有限公司信息安全工作组隶属xxxx有限公司信息安全领导小组，是领导小组决策的执行机构，工作组的日常工作由xxxx有限公司信息中心承担。5.3.3.2. xxxx有限公司信息安全工作组组长由xxxx有限公司信息中心领导担任。5.3.3.3. xxxx有限公司信息安全工作组主要职责如下：a) 贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；b) 根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；c) 组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；d) 负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；e) 组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；f) 负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；g) 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。h) 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。5.3.4. xxxx有限公司应急处理工作小组5.3.4.1. xxxx有限公司应急处理工作小组组长由xxxx有限公司信息中心领导担任。5.3.4.2. xxxx有限公司应急处理工作小组主要职责如下：a) 审定公司信息系统的安全应急策略及应急预案。b) 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统。c) 每年组织对信息安全应急策略和应急预案进行测试和演练。d) 应对公司内发生的大规模信息安全事件，协调指挥事故处理以及事故后系统恢复工作。5.3.5. xxxx有限公司信息中心xxxx有限公司信息中心是xxxx有限公司信息安全小组领导下的信息系统安全的职能和技术归口管理部门，并直接负责管理信息系统的安全管理和技术监督工作，其职责主要包括：5.3.5.1. 组织制定xxxx有限公司信息安全保护工作的总体目标和总体策略。并且根据信息系统管理要求、运行环境的变化，以及系统本身的变化，及时更新信息安全保护工作的总体目标、策略、规划、技术标准和管理制度。不断提高信息安全管理的技术水平和管理手段。5.3.5.2. 组织开展xxxx有限公司的信息安全等级保护工作，并进行xxxx有限公司信息安全评估和风险管理工作，组织编写信息安全保护工作的总体技术规范、管理制度、技术方案和实施计划，并负责组织实施。5.3.5.3. 负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；5.3.5.4. 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。5.3.5.5. 监督指导各管理信息系统的开发建设人员、运行人员、维护人员、业务使用人员执行信息系统安全保护的技术标准和管理制度。5.3.5.6. 组织对信息安全事故的调查取证工作，对其中涉及违纪违法、严重违规的事故配合人力资源部进行调查，并提出处理意见。5.3.5.7. 负责监督管理数据中心及公司本部网络、设备、运行环境，以及集中管理的信息系统的安全保护工作。5.3.5.8. 完成其他上级信息安全管理机构交办的信息管理系统安全防护工作。5.3.6. 各级安全责任人各级安全生产责任人是其职责范围内的信息系统安全运行管理的责任人。各级安全生产责任人职责：5.3.6.1. 负责监督执行xxxx有限公司制定的信息安全策略、管理制度和技术标准。5.3.6.2. 负责监督管理其职责范围内信息系统及其附属网络、设备、软件、信息、运行环境的安全保护工作。5.3.6.3. 负责监督执行xxxx有限公司信息安全保护的其他工作。5.3.7. 基层单位计算机及网络专责基层单位计算机及网络专责是本单位范围内管理信息系统安全运行工作的责任人兼信息安全员。基层单位自动化专责是本单位范围内生产控制系统信息安全运行工作的责任人兼信息安全员。其安全职责：5.3.7.1. 负责执行公司制定的信息安全策略、管理制度和技术标准。5.3.7.2. 负责执行责任范围内信息系统及其附属网络、设备、软件、信息、运行环境的安全保护工作。5.3.7.3. 定期向技术监督部门报告本单位的信息安全情况，对安全缺陷和事故应及时汇报。管理信息系统类安全情况向信息中心汇报，生产控制系统类安5.3.7.4. 全情况向调度中心汇报。组织本单位员工进行信息安全知识的培训和宣传工作。5.3.7.5. 在职能管理部门指导下，完成xxxx有限公司信息安全等级保护、安全评估、风险管理及其他工作。5.3.8. 信息安全工作人员5.3.8.1. 信息安全工作人员基本要求5.3.8.2. 信息安全工作人员应由政治可靠、业务素质高、遵纪守法、恪尽职守的人员担任。5.3.8.3. 信息安全工作人员应有计算机专业工作三年以上经历，及具备本科以上学历。5.3.8.4. 兼职信息安全人员应有电力生产业务工作五年以上或专职计算机管理工作三年及以上经历，具备专科以上学历。5.3.8.5. 违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全相关工作。5.3.8.6. 信息安全工作人员在行使职责时，确因工作需要，经批准，可了解涉及电力生产、经营与管理有关的信息系统的机密信息。5.3.8.7. 信息安全工作人员基本职责：a) 信息安全工作人员发现本单位重大信息安全隐患，有权向公司信息中心报告。b) 信息安全工作人员发现信息工作人员使用不当，应及时建议有关单位、部门进行调整。c) 信息安全工作人员必须严格遵守国家有关法律、法规和公司有关规章制度，严守公司商业秘密。5.3.8.8. 信息安全工作人员包括信息安全管理人员、信息安全技术人员、信息安全审计员，其相应的职责分别如下：a) 负责信息安全管理的日常工作。b) 组织开展信息安全检查，对信息工作人员安全工作进行指导和监督。c) 组织开展信息安全知识的培训和宣传工作。d) 监控信息安全总体状况，提出信息安全分析报告。e) 及时向信息安全领导小组和有关部门、单位报告信息安全事件。5.3.9. 信息安全技术人员职责a) 负责信息安全相关设备（包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等）的日常运行维护管理。b) 负责防火墙系统策略的安全配置。c) 负责定期查看入侵检测系统日志，对入侵检测系统发现的恶意攻击行为进行跟踪处理。d) 负责漏洞扫描软件（包括漏洞库）的管理、更新和公布。e) 负责对网络系统所有服务器和专用网络设备的首次、周期性和紧急的漏洞扫描。f) 负责设备、系统等补丁升级、安全加固。g) 负责定期更新反病毒数据库和程序模块，定期执行查杀病毒任务。h) 负责定期升级垃圾邮件网关特征库、定期维护垃圾邮件网关黑白名单和规则库设置。i) 负责密切注意最新网络攻击行为的发生、发展情况，关注和追踪业界公布的攻击事件。j) 负责密切注意最新漏洞的发生、发展情况，关注和追踪业界公布的漏洞疫情；k) 负责密切关注权威机构最近公布的病毒分析报告、最新恶性病毒的防范报警以及应急处理办法。5.3.10. 信息安全审计员职责a) 负责监督检查单位内部信息安全审计制度及其实施情况。b) 定期检查信息系统的用户权限设置及安全配置是否与信息系统安全策规定相符合，监督检查信息系统数据安全管理工作。c) 监督信息系统的运行情况，定期查看日志记录，对信息系统资源的各种非法访问事件进行分析、提出安全风险防范对策。5.3.11. 信息工作人员信息工作人员包括系统管理员、系统维护员、系统开发员、数据库系统管理员、应用系统管理员、网络管理员、业务操作员，其相应的安全责任如下。5.3.12. 系统管理员安全责任a) 负责系统的运行管理，实施系统安全运行细则。b) 严格用户权限管理，维护系统安全正常运行。c) 负责对所管辖的服务器操作系统进行安全配置，并定期对所管辖的服务器操作系统进行安全检查。d) 认真记录系统安全事项，及时向信息安全人员报告安全事件。e) 对进行系统操作的其他人员予以安全监督。5.3.13. 系统维护员安全责任a) 负责系统维护，及时解除系统故障，确保系统正常运行。b) 不得擅自改变系统配置和功能。c) 不得安装与系统无关的计算机程序。d) 维护过程中，发现安全漏洞应及时报告信息安全工作人员。5.3.14. 系统开发员安全责任系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现。a)