体系前期准备工作

1、四JI博源科技有限责任公司ISO27000体系前期准备设立领导小组信息安全管理组织结构图建议：信息安全实施小组成立后，设 QQ群便于文件编写、评审和咨询沟通交流。-信息安全管理委员会：1、建立信息安全管理体系的策略；2、负责信息安全方针和目标的建立；3、负责分配信息安全的角色的相关职责；4、负责公司信息安全组织结构的批准；5、负责信息安全管理体系管理者代表的任命；6、确保信息安全管理体系内部审核的实施；7、定期对信息安全管理体系进行管理评审；8、确保公司信息安全教育的落实；9、决定接受风险准则和风险的可接受的等级；-管理者代表（分管副总/安委会副主任）：1、监督信息安全管理体系的实施，并定期向

2、最高管理者汇报；2、向公司传达实现信息安全目标、符合信息安全策略、法律责任的 重要性以及持续改进的需要3、负责信息安全管理体系内审员的批准；4、负责程序文件的审批，包括修改的审批；5、确认信息安全管理手册内容，并负责后期工作的监督；6、审核批准内部审核计划，主持、监督信息安全内部审核，批复内 审报告；7、负责审核管理评审计划和管理评审报告，监督管理评审措施的落 实；8、负责组织和确认公司信息安全教育；-信息安全执行代表：1、在信息安全管理组确定的实施范围内，具体推广并落实各项策略 要求和控制措施；2、负责本部门信息安全的日常工作，负责本部门人员的信息安全意 识提升；3、对本部门信息资产进行风险

3、评估，根据公司的实情，讨论风险的 可接受标准，对不能接受的风险进行处置；4、负责本部门信息安全事件的应急处理；-信息安全内审小组：1、负责对各部门信息安全管理体系的实施运行情况进行监督和检查;2、负责内部审核和外部审核的具体工作；3、负责组织对信息安全管理体系文件的评审， 并提出文件评审意见；4、负责有效性测量工作的计划和实施；-各部门：1、负责收集与本部门相关的信息安全方面的法规及其他要求，并及 时上报信息安全委员会，同时负责在本部门内传达、贯彻和实施与部门相2、关的法规及其他要求；3、协助在本部门内宣传公司的信息安全管理体系文件的要求，提高 本部门员工的信息安全意识；4、按照信息安全体系文

4、件的要求，在本部门遵照执行；5、发生信息安全事故后负责配合信息安全委员会工作，并协助制定、 实施处置措施；6、协助信息安全审计小组进行体系的内部审查与外部评审；7、对信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用 性，防范对信息的未授权访问；8、负责本部门信息安全管理体系文件和记录的接收、编写、修改与 保存；9、处理本部门与信息安全相关的事宜，向信息安全委员会反馈本部 门在信息安全方面的要求和建议；10、在第三方或对外联络中积极宣传本公司的信息安全目标和方针；11、在与第三方或外界进行信息交流、接触时，保证信息的安全；二、定义各职能岗位 信息安全角色和职责三、硬件防护措施完善（

5、机房、门禁、计算机、打印 /复印等设备的物理防范措施等）四、补充、完善现有管理规范性文件（附相关文件清单）信息安全适用法律法规清单员工招聘及录用管理制度办公软件管理规范 机房管理规范软件管理规范一OA系统操作规范 路由器操作规范 门禁系统操作规范 一体机操作规范 UPS电源操作规范IT操作手册物理和环境安全管理制度信息安全事故管理规程一存储介质管理规范 员工惩戒管理制度 保密管理制度交换机操作规范一360杀毒规范消防应急预案一一信息交换管理规范一机房管理规范一服务器管理规范电务器操作规范一信息安全设备设施管理规范一信息交换管理规范一信息沟通管理规范网络安全管理规范-保密管理制度.份管理规范一打

6、印机、复印机、传真机、电话使用管理规范 防范恶意和移动代码管理规范计算机及网络管理规定计算机设备操作规程 网站管理有关规定物理和环境安全管理制度系统规划和验收管理规范一信息安全监视管理规范信息系统管理规范五、制定：信息安全适用性声明1、目的与范围2、职责3、声明六、资产设备识别、清理对资产的定义分类示例数据保存在信息媒介上的各种电子数据资料，包括：源代码、数据库数据、系统文档、运 行管理规程、计划、报告、用户手册等软件系统软件：操作系统、语言包、工具软件、各种数据库等应用软件：外部购买的应用软件、包括开发的应用软件等源程序：各种共享资源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网管

7、、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘传输线路：光钎、双绞线、光端机、光钎收发器等保障设备：动力保障设备（UPS变电设备等）机房空调、保险柜、文件柜、门禁、 消防设施等安全保障设备：防火墙、入侵检测系统、身份验证等其它：打印机、复印机、扫描机、传真机等服务办公服务：为提局效率而开发的管理信息系统（MIS）,包括各种内部配置管理、文件流转管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：对外依赖该系统开展的各类服务文档纸质的各种文件，如传真、电报、财务报告、发展计划等人员掌握重要信息和核

8、心业务的人员，如主机维护主管、网络维护主管及应用项日目经理 等其它企业形象，客户关系等-按部门建立资产清单:部资产清单资产类别资产名称资产责任人或责任岗位资产价值保密性完整性可用性资产等级(1 - 5)(1 - 5)(1 - 5)(1 - 5)数据资产硬件资产软件资产服务资产文档资产人员资产拟制:批准:审核:时间:时间:时间:部重要资产清单资产类别资产名称资产责任人或责任岗位资产价值等级(3 - 5)数据资产硬件资产软件资产服务资产文档资产人员资产备注拟制：审核：批准:时间:时间:时间:示例如：营销部门：资产名称资产责任人或责任岗位数据资产市场调研报告市场策划师行业分析报告行业分析师市场策划方

9、案市场策划师营销计划、方案营销中心销售部经理、大区总监产品宣传手册平卸设计师客户档案资料营销中心销售部经理助理招标文件标书主管投标文件标书主管技术方案标书主管合同、协议内务主管数据统计表内务主管工作联系单内务主管工作质量报告营销中心商务部经理助理工作周报、总结营销中心商务部经理助理制度体系文件营销中心商务部经理助理内审资料内务主管硬件资产笔记本电脑部门所有人员台式机部门所有人员文件柜部门所有人员U盘部门所有员工打印机内务主管软件资产Windows操作系统部门所有员工office应用软件部门所有员工文档资产市场调研报告市场策划师行业分析报告行业分析师市场策划方案市场策划师营销计划、方案营销中心销

10、售部经理助 理、大区总监产品宣传手册平卸设计师招标文件标书主管投标文件标书主管技术方案标书主管凭证资料（保函、保 证金收据等）内务主管合同、协议内务主管数据统计表内务主管工作联系单内务主管工作质量报告营销中心商务部经理助理制度体系文件营销中心商务部经理助理内审资料内务主管人员资产总监副总监总经理总经理部门经理总经理部门经理助理部门经理大区总监部门经理内务主管部门经理标书主管部门经理标书专员 内务专员部门经理部门经理平卸设计师部门经理行业分析师部门经理市场策划师部门经理区域销售经理部门经理部门秘书部门经理财务示例资产名称资产责任人或 责任岗位资产价值保密性完整性可用性资产等级(1 - 5)(1

11、- 5)(1 - 5)(1 - 5)数据资产账套电子数据所有财务人员4444账套纸质数据所有财务人员4444报表所有财务人员4444涉税数据所有财务人员4444统计报表数据所有财务人员4444合同数据所有财务人员4444硬件资广操作电脑（台式机）各使用人员4444笔记本电脑（经理）经理4444服务器所有财务人员4444打印机（带复印）所有财务人员4444点钞机出纳4444支票打印机出纳4444发票打印机销售会计4444专用发票认证机成本会计4444装订机所有财务人员4444移动硬盘总账会计4444软件资产用友财务软件所有财务人员4444账套局域网系统所有财务人员4444发票认证系统成本会计4444开祟系统