2019年GBT22080-2016信息安全管理体系全套程序文件

1、2019年GBT22080-2016信息安全管理体系全套程序文件信息安全风险评估管理程序1适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险 评估活动。2目的本程序规定了本公司所釆用的信息安全风险评估方法.通过识别 信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制 成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风 险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司 信息安全管理方针的要求。3范围本程序适用于第一次完整的风险评估和定期的再评估。在辨识资 产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系 统进行规划。辨识与评估的重点是

2、信息资产，不区分物理资产、软件 和硬件。4职责1成立风险评估小组办公室负责牵头成立风险评估小组。2策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环 境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制 信息安全风险评估计划，确认评估结果，形成信息安全风险评估报 告。3信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门 所涉及的信息资产的具体安全控制工作.3.1各部门负责人负责本部门的信息资产识别。3.2办公室经理负责汇总、校对全公司的信息资产。3.3办公室负责风险评估的策划.3.4信息安全小组负责进行第一次评估与定期的再评估。5程序5.

3、1风险评估前准备5.1.1办公室牵头成立风险评估小组，小组成员至少应该包含：信息 安全管理体系负责部门的成员、信息安全重要责任部门的成员。5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的 培训。5.2信息资产的识别2.1本公司的资产范围包括：2.1.1信息资产1）数据文档资产：客户和公司数据，各种介质的信息文件包括纸 质文件。2）软件资产：应用软件、系统软件、开发工具和适用程序。3）硬件资产：计算机设备、通讯设备、可移动介质和其他设备。4）服务：培训服务、租赁服务、公用设施（能源、电力）。5）人员：人员的资格、技能和

4、经验。6）无形资产：组织的声誉、商标、形象。3资产及其重要度3.1识别组织的资产识别在评估范围内的资产。对于在范围内的每一项资产都要恰 当统计；不在评估范围内的资产，也要进行记录；按一定的标准，将信息资产进行恰当的分类，在此基础上进行 下一步的风险评估工作。识别组织资产，参考资产等级分类及重要度（安全等级）划分3. 2评估资产的重要度1.对资产的等级进行定义，并表示成相对等级的形式。识别出资产之后，必须对资产的重要度进行评估。评估的依 据是资产的保密性、完整性和可用性在遭受损失之后的后果。不同资产的安全属性的重要程度是不一样的，例如：对财物 数据来说保密性和可核查性是最重要的安全属性，而对操作

5、软 件来说更强调可用性。对资产评估的过程本身就是对资产安全 属性损失后果的分析。在本程序中虽然不按照安全属性分别赋值，但是评估过程中 要充分考虑本节中列出的各种安全属性。资产重要度描述如下表。等级描述重要度赋 值3 （高）对这些资产的保密性、完整性或可用性等安全属性 的影响（即发生泄露、损坏、丢失或无法使用等） 将对组织造成极严重的或灾难性的损失，通常其直 接或间接的影响范围波及到公司整体。52 （中）对这些资产的保密性、完整性或可用性等安全属性 的影响（即发生泄露、损坏、丢失或无法使用等） 将对组织造成较重要的损失，通常其直接或间接的 影响范围波及到公司局部。3对这些资产的保密性、完整性或可

6、用性等安全属性 的影响（即发生泄露、损坏、丢失或无法使用等） 将对组织造成一定的损失，通常其直接或间接的影 响范围仅波及到公司很少部门。决定资产重要度时，需要考虑：资产的成本价格，更重要的是考虑资产对于组织业务的安全 重要性，即根据资产损失所引发的潜在的影响来决定；为确保资产重要度的一致性和准确性，建立一个统一的尺 度，以无歧义的方式对资产的重要度进行赋值；分析和评价资产受到侵害后的保密性、完整性和可用性损 失。决定资产重要度，参考资产安全等级分类5.4识别资产面临的威胁实施风险评估需要对要保护的每一项关键资产进行威胁的识 另U。威胁可以从资产的所有者、使用者、计划书、信息专家、社团 内部及外

7、部负责信息安全的组织等处获得。通常，一个可能的威胁 列表对完成威胁评估有所帮助。当应用威胁目录（列表）或者以前 的威胁评估结果时，必须意识到，威胁总是不断变化的，尤其是在 业务环境与信息发生变化时。分析本公司的信息系统存在的威胁种类，确定威胁分类的标 准。综合威胁来源、种类和其他因素后得出威胁列表；针对每一项需要保护的信息资产，找出可能面临的威胁。在识别资产所面临的威胁时，应该考虑下面三个方面的资料和信 息来源：通过历史的安全事件报告或记录，统计各种发生过的威胁和 其发生频率；在评估对象的实际环境中，通过IDS等系统获取的威胁发生 数据的统计和分析，各种日志中威胁发生的数据的统计和分析;过去一

8、年或两年来国际公司或机构（例如：微软公司）、社 团内部负责信息安全的组织（例如：CERT应急响应中心）、社团 外部负责信息安全的组织（例如：病毒防范产品公司）、业务关 联公司发布的对于整个社会或特定行业安全威胁及其发生频率 的统计数据。5.5识别威胁可以利用的脆弱性这一步是评估容易被攻击者（或威胁源）攻破（或破坏）的薄弱 点，包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、 系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环 境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多 种可能被威胁源所利用并可能导致危害的，由资产自身特性导致的 弱点。系统脆弱性往往需要与对应的威胁相

9、结合时才会对系统的安 全造成危害。一个没有对应威胁的脆弱性一般不会造成实在的风险，可以不 釆取相应的防护措施，但是有必要密切监视这种潜在的风险。注意, 脆弱性不仅是由于最初购置或制造时的原因产生的，资产的应用方 法、目的的不同、防护措施的不足都可能造成脆弱性。例如：e2prom 是一种可擦写的存储设备，可擦写是其设计时的一项标准，但可擦 写属性意味着e2prom所存储的信息未经授权的破坏成为可能，这就 是一个脆弱性。5. 6评估资产在威胁暴露度暴露度等级描述资产或资产安全属性受损害的程度，以下简称暴露度本节F估方法将暴露度的等级定义为5级。如下表所示:等级描述5资产被完全损害，或者极其严重4对

10、资产的损害程度很大3对资产损害的程度中等2对资产的损害的程度很小1对资产损害的程度几乎没有表：暴露度的等级定义在评估时可参考下面两个表的描述，即根据对资产的安全属 性（保密性、可用性、完整性）的损害及影响程度评价对应的暴露等级。等级资产的保密性或完整性5资产严重或完全损害，例如，从外部可接触，并影响业务利润 或成败4严重但对资产造成不完全损害，例如，影响业务利润或成败， 可从外部接触到。3中等损坏或损失，例如影响内部业务实施，导致运作成本增加 或利润减少2低损害或损失，例如，影响内部业务实行，无法评定成本的增 加1资产有轻微更改或无更改表：资产保密性/完整性暴露度的等级定义等级可用性描述5停工

11、实质性支持成本或业务承诺被取消4工作中断支持成本或业务承诺延迟可量化增长3工作延迟对支持成本或工作效率有显著的影响，无可 评定的业务影响2工作受干扰无可评定的影响，支持或基础结构成本有少 量增加1由正常业务操作 吸收对支持成本/工作效率或业务承诺无可评定 的影响表：资产可用性暴露度的等级定义5.7评估威胁发生的可能性容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易度与具体的信息系统没有关系。当与控制措 施结合之后才形成影响的发生可能性。对于发生容易度的等级，需要根据资产不同的安全属性分 别定义。本公司将发生容易度的等级定义为5级。参见下表：等级描述5发生容易度高4发生容易度

12、较高3发生容易度中2发生容易度较低1发生容易度低表：发生容易度等级定义5. 8识别与分析控目前控制手段的有效性控制措施可以减少风险发生可能性或者减轻发生后的影响。因此，必须识别出控制措施并对其有效性进行评估。根据控制措施的 有效性对控制措施赋值，以下简称控制度。公司将控制度的等级划分为1-5 （5为基本无效）。每一个等级都要对应相应的有效性系数 之后参加风险的计算。如下表。控制度描述1表示控制措施非常有效2表示控制措施有很大程度的效果3表示控制措施基本有效4表示控制措施有一定的效果5表示控制措施基本无效表：控制措施的控制度与控制措施有效性对应关系5. 9分析资产在威胁脆弱性下发生的影响度影响是

13、指威胁对脆弱性一次成功攻击所产生的负面影响。影响等级（以下简称影响度）是资产重要度等级和暴露等级的 乘积。确定影响度的定义，本公司釆取以下定义和计算方式影响度二（资产重要度等级*暴露等级）* 20%由资产重要度等级值（1-5）与暴露等级（1-5）相乘，并乘以 系数20%取整后，那么影响度等级为：l-5o5.10确定资产发生风险的可能性资产发生风险的可能性以下简称发生可能性。发生可能性二（发生容易度等级*控制度）* 20%由发生容易度等级值（1-5）与控制措施赋值（1-5）相乘，并 乘以系数20%取整后，那么影响发生可能性等级为：l-5o5.11计算风险大小风险大小量化后称为风险等级，以下简称风

14、险度。风险度二影响度*发生可能性表：风险计算矩阵本公司按照风险数值排序的方法，将上面的25的矩阵等级， 按照组织对风险的接受程度定义为高、中、低3个风险度的级别。 风险度为15 （含）以上时表示高，5 （含）、15表示中，5以下表示 低；这包括可接受风险与不可接受风险的划分，接受与不可接受的 界限应当考虑风险控制成本与风险（机会损失成本）的平衡；风险级别对应风险 度风险描述和必要行动高=15如果被评估为咼风险，那么便强烈要求有纠正 措施。一个现有系统可能要继续运行，但是必 须尽快部署针对性计划。中=5&15如果被评估为中风险，那么便要求有纠正行动， 必须在一个合理的时间段内制定有关计划来 实施

15、这些行动。低5如果被评估为低风险，须确定是否还需要釆取纠正行动或者是否接受风险。5. 12风险处理和接受准则本公司要求对“高”风险度制定风险处理计划，“中”风险 由信息安全小组决定是否釆取安全措施，“低”风险属于可以接受 的风险。总经理需要决定是否接受风险处理后的残余风险并承认 风险处理计划。5. 13不可接受风险的确定和处理各责任部门按照信息安全不可接受风险处理计划的要求釆取有 效安全控制措施后,原评估小组重新评估其计划效果，降至残余风险可 接受为止，确保所釆取的控制措施是充分的，该措施直到为再次风险 评估的输入。残余风险报告须经总经理批准。5.14评估时机5.14.1每年重新评估一次，以确

16、定是否存在新的威胁或薄弱点及是否 需要增加新的控制措施，对发生以下情况需及时进行风险评估：a）当发生重大信息安全事故时；b）当信息网络系统发生重大更改时；c）信息安全管理小组确定有必要时。5. 14. 2各部门对新增加、转移的或授权销毁的信息资产应及时按照本 程序在信息资产识别评价表、重要信息资产清单上予以添加或 变更。6相关/支持性文件信息安全适用性声明信息安全管理手册文件和资料管理程序信息安全风险评估报告7记录记录名称保存部门保存期限风险处理计划办公室3年信息安全风险评估报告办公室3年信息资产识别评估表办公室3年残余风险评价报告办公室3年重要信息资产清单办公室3年残余风险计算表办公室3年记

17、录管理程序适用本程序适用于本公司产生的记录的管理。目的为支持信息安全体系的运作而明确记录的管理。管理方法本公司釆用四级层次文件编写法。所有信息安全管理的记录均以 ISMS-JL作为开头，其后由2个数字构成记录顺序编号。后两个数字 为自然序列号；以此类推。如:ISMS-JL11记录清单。其中“ISMS”表示信息安全类文件；“JL” 表示记录文件，即：表格；“11”代表自然序列号。ISMSpL XX记录的顺序号信息安全管理体系在每个记录文件的页眉右上角标记出文件的编号及版本号。版本 及修订号的编制方法釆用“英文字母自然排序/数字自然排序”法。 如：“ISMSJLXX A/0” 以此类推。I 第0次

18、修定（按照数字自然顺序号,依次使用1、2、3） 第A版（按照英文字母自然排序， 依次使用B、C、D）在使用每个具体记录时，需要在每个记录上填写该记录的使用序 号（或称：编号）规则为：“部门的简写一自然顺序号二如：“XZ-01”。 以此类推。1自然顺序号办公室的简 称本公司本标准覆盖的部门，办公室简写：BG ；设计部简写：SJ； 质量部简写：ZL ；经营部简写；JY 釆购部简写：CG 财务部简写: CWo3.1保管方法（1）记录由各保管部门在可快速检索的条件下，决定保管场所，放在 箱子、柜子等适当容器中保管。（2）对保管场所的环境，本程序没有特别指定。由各保管部门考虑记 录媒体的特性做适当处理。

19、（3）以电子媒体保管的场合，为预防意外，需做适当的备份。备份的安全要求执行重要信息备份管理程序。（4）记录保管部门应建立记录清单，明确规定保管记录类别、记 录保存期限等。记录的保存应符合有关法律法规的要求，保存期限参 考本规格书第4条款。（5）因工作需要，借阅其他部门的秘密记录，应获得记录保管部门负 责人授权后方可借阅，并留下授权记录和借阅记录。借阅者在借阅期 内应妥善保管记录，并按期归还；机密记录只准在现场查阅.（6）记录的字迹应清晰、真实、文字表达准确、简练，记录不得随意 修改。确需修改时，必须在修改处作标识，并由修改人签名确认。3.2废弃超过保管期限的记录，由保管部门作为秘密文件处理废弃

20、。废弃 应釆用安全可靠的处置方法（如书面记录釆用粉碎方法、电子媒体釆 用格式化方法等），处置记录应予以保存。但若保管部门认为必要时， 仍可继续保管超出保管期限的记录。4.记录的分类和保存年限详见记录清单5.记录记录名称保存部门保存期 限记录清单办公室2年纠正预防措施控制程序1适用本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所釆取的纠正/预防措施的控制。2目的为对不符合/潜在不符合进行分析、釆取措施，并予以消除，以逐 步改进和完善信息安全管理体系，特制定本程序。3职责本公司办公室为公司信息安全管理体系纠正/预防措施的归口管 理部门，负责组织相关部门进行信息安全数据的收集及分析，确定不

21、 符合/潜在不符合原因，评价纠正/预防措施的需求，组织相关部门制 定纠正/预防措施，并由办公室负责跟踪验证。4程序4.1纠正/预防措施信息来源有：公司内外安全事件记录、事故报告、薄弱点报告；日常管理检查及技术检查中指出的不符合；信息安全监控记录；内、外部审核报告及管理评审报告中的不符合项；相关方的建议或抱怨；风险评估报告；其他有价值的信息等。4.2办公室每半年组织相关部门利用4.1条款所规定的信息来源，分 析确定不符合/潜在不符合及其原因，评价防止不符合发生的措施的需 求，并形成信息安全风险评估报告。釆取纠正/预防措施应与潜在 问题的影响程度相适应，对于以下情况的不符合/潜在不符合应釆取纠 正

22、/预防措施：可能造成信息安全事故；可能影响顾客满意程度、造成顾客抱怨与投诉；可能影响本公司的企业形象与经济利益；可能造成生产经营业务中断。对于各部门日常发现报告的重大安全隐患（安全薄弱点），办公室 应组织有关部门进行原因分析，釆取纠正/预防措施。4.3需制定纠正/预防措施时，办公室应将有关不符合/潜在不符合信 息及原因填入纠正/预防措施申请单，组织有关部门制定纠正/预防 措施对策，确定实施纠正/预防措施的部门，填入纠正/预防措施申 请单，经管理责任人批准后予以实施。4.4当问题原因不确定或责任重大时，由釆取纠正/预防措施的部门呈 报公司信息安全最高责任者，必要时，应提交公司信息安全管理委员 会

23、进行专题研究，商讨对策。4.5实施纠正/预防措施的部门应按照纠正/预防措施申请单要求 认真执行，并将执行结果记入相应纠正/预防措施申请单中。4.6办公室对纠正/预防措施实施结果进行验证，并将验证结果记录在 纠正/预防措施申请单上。验证内容包括：纠正/预防措施是否按纠正/预防措施计划的要求实施；是否消除了不符合/潜在不符合的原因。4.7经验证效果不理想，负责制定纠正/预防措施的部门应重新编制 纠正/预防措施申请单，依据本程序4. 3要求实施。4.8纠正/预防措施需要涉及文件更改的，应对文件进行评审，按文 件和资料管理程序更改文件。4.9办公室应做好纠正/预防措施相关记录的保存。管理评审前，将各

24、部门所采取的纠正/预防措施的有关情况汇总，提交管理评审。5记录记录名称保存部门保存期 限信息安全风险评估报告办公室3年纠正/预防措施申请单办公室3年管理评审控制程序1适用本程序对信息安全管理体系中要求进行的管理评审的实施程序作 规定.2目的为确保公司信息安全管理体系持续的适宜性、充分性和有效性， 评估公司信息安全管理体系改进和变更的需要，包括信息安全方针、 目标，特制定本程序。3相关文件信息安全手册4实施程序4. 1实施频率、时期管理评审每年至少进行一次。2召集和参加评审者4. 2.1由总经理指示信息安全管理体系的管理者代表（以下简称管理者 代表）召开管理评审会议。4. 2.2参加管理评审会议

25、者包括最高管理者、管理者代表及相关的部 门长（或高级主管）。受召集的部门长因不得己的理由而无法岀席时， 可让其他管理者代其出席。4. 2. 3除了每年定期召开一次管理评审会议外，最高管理者还可在发生 以下情况时，指示管理者代表召开管理评审会议。当本公司的产品、过程、系统、组织机构、人员和资源等有重 大变化时；当连续出现重大信息安全事故时；当相关方有重大投诉或抱怨时；内部审核、顾客审核或GBT22080-2016外部审核时，发现了对 全公司有影响，属信息安全管理体系上的重大不符合事项时；GBT22080-2016修订的情况下。4. 3评审程序4. 3.1管理者代表和各部门长准备以下资料，在管理评

26、审中向最高管理 者说明。管理输入包括：a）ISMS审核和评审的结果、方针和目标；b）相关方的反馈；c）可以用于改进ISMS业绩及有效性的技术、产品或程序；d）纠正和预防措施的实施情况；e）在以前风险评估没有充分提出的薄弱点或威胁；f）以往管理评审的跟踪措施；g）可能影响ISMS的任何更改；h）改进的建议。4. 3.2最高管理者接收了上述报告后，根据需要确认详细内容，对信 息安全体系的有效性和运用状况进行评价，对以下管理评审输出作指 zj O管理评审输出：a）ISMS有效性的改进；b）修改影响信息安全的程序文件，必要时，对可能影响ISMS的内外事件（events）发生的变更进行对应；这些变更包括

27、：1）业务要求；2）安全要求；3）影响现存业务要求的业务过程；4）法律法规环境；5）风险水平和/或风险接受水平。c）资源的需求。4.4跟踪4. 4.1管理者代表编写管理评审的会议记事录，经过最高管理者批准 后，发给各相关部门。同时，通过文件将最高管理者的指示内容发给 处置责任部门，委托推进纠正措施；4. 4. 2管理者代表确认纠正和预防措施的实施日程和进度状况，并将结 果书面报告给最高管理者；4. 4.3最高管理者针对上述报告，作适当的指示。4.5管理评审的记录管理评审的输入、输出、会议记录以及纠正和预防措施的记录由 管理者代表保管三年以上。文件和资料管理程序目的对信息安全管理体系所要求的文件

28、进行控制，确保可获得适用文 件的有效版本。适用范围本程序适用于公司各部门的信息安全管理体系有关的文件和资料 控制和管理。职责3.1办公室负责本程序文件的编制、更改、实施和控制管理；负责外 来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的 识别控制和管理。3.2办公室负责信息安全管理手册的编制、发放、更改和控制管 理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。3.3办公室负责编制规范、标准和标准图等有效版本控制清单，下发 到相关部门和单位，并组织对作废版本进行识别；3.4办公室负责组织项目工程竣工资料的审核验收；参与重大工程项 目施工组织设计编制工作。5办公室负责收集

29、国家颁布的信息安全方面的法律法规并进行有效 的控制和管理。6各职能部门负责本部门所管辖的业务和相关的外来文件；以及内部 文件资料的识别、控制与管理。文件和资料编号/版本规定4.1本公司釆用四级层次文件（含记录）编写法。所有信息安全管理的 文件均包含ISMS作为开头，表示为信息安全管理体系文件，其后由数 字构成顺序编号。其中信息安全管理手册的编号为：FX-ISMS-20XX,表示为飞翔公司信息安全管理文件20XX年发布。信息安全适用性声明的编号为：FX-ISMS-S0A-20XX,其中，SOA表示适用性声明。 程序文件的编号为：ISMS-COPXX, COP表示程序，XX为顺序号。 作业文件的编

30、号为：ISMS-WIXX, WI表示作业文件，XX为顺序号. 关于记录的编号规定见记录控制程序2版本及修订号的编制方法采用“英文字母自然排序/数字自然排序” 法。如：“A/0”。以此类推。 第0次修定（按照数字自然顺序号，依次使用1、2、 3） 第A版（按照英文字母自然排序，依次使用B、C、 D）版本及修订号的标注方法：1、2、3层次文件标注在封面。记录作 为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0 版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的 版本及修订号，以示区别。工作程序文*件修订5.2文件分类（见下表）序 号文件名称主 要 内 容1法律法规国家和地方

31、有关信息安全等方面的法律法规2公司文件信息安全管理手册、程序文件，与信息安全有关 的规章制度及行政文件、管理方案等3标准类文件包括国家、地方、行业颁发的有关信息安全的各类 技术规范、标准、标准图集、定额以及物理环境方 面的规定等4合同类文 件承包合同、分包合同、物资采购合同、租赁合同、 经济技术责任状、信息安全协议等5图纸类文件厂房、宿舍楼、办公楼竣工图纸等6外来文件包括当地政府或上级主管部门下发的与信息安全管 理体系有关的文件，还包括业主、分包商、供应商 等方面有关体系方面的往来文件7运行记录包括信息安全管理体系运行中的各类数据记录8系统文件本公司与信息安全有关的系统文件包括：7）系统操作手

32、册；8）关键商业作业流程；9）网络系统拓扑结构图；10）访问授权说明书及授权登记表；11）ISMS体系文件；监视系统网络图；其它系统文件。5.3文件的批准、发布和标识3.1信息安全管理手册由信息安全管理委员会编写，管理者代表 审核，最高管理者批准发布。5. 3. 2程序文件和三层文件在办公室组织下由主管该程序的职能部门 或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批 准发布。5. 3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照 公司按照国家颁布的信息安全方面的法律法规进行编写。5. 3.4其他管理文件由编写该文件的部门负责人审核，公司主管领导 批准。5. 3.5信

33、息安全管理手册和程序文件都应标识清楚文件的名称、编 号、版本、制文时间、发布部门和日期等。5. 3.6公司内行政文件的发文程序。文件编写部门在文件定稿以后，填 写文件审批接收单，标明文件名称、编号、份数、说明、主办单位、 接受部门，经部门领导审核签字后交办公室，办公室根据文件内容送 有关领导签发，填写发文编号打印后，加盖印章发出。5. 3. 7外来文件的管理程序。凡发到公司的与信息安全和有关的外来文 件均由办公室负责签收、登记、分类，由办公室先送公司有关领导阅 批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关 部门阅办或转发以后，其文件原件一律由公司办公室收回并存档案室。 各部门收

34、到的外来文件，应交办公室处理；凡地方有关部门或顾客直 接发到各职能部门与信息安全和有关的文件资料，各职能部门对照公 司文件控制管理工作程序进行文书处理。5.4文件的收发管理及使用5.4.1公司办公室设专职人员负责文件的收发、管理、更改和作废文件 的处置。5. 4.2文件发放时应确定发放范围，办理发放手续，建立发放台帐。5.4.3凡进入本单位、本部门的文件均要进行收文登记；凡发到下级单 位或个人的文件均要妥善保管，严防丢失和污损，确保文件清晰，易 于识别；凡需归档的文件，要按记录管理程序执行。5. 4. 4办公室负责汇总编制公司受控文件总清单，由管理者代表审批。5. 4.5各职能部门都要根据本部

35、门、本单位的实际建立文件清单，以便 对文件进行动态的管理。5. 4.6文件不得随意自行复印，如需要时使用者应办理复印审批手续， 经文件主控部门批准后方可复印，复印的文件与原文同等发放管理。5. 4. 7文件使用者变动为与原岗位无关的岗位或调出本单位时，其使用 的文件须办理交接，并填写文件交接单。5. 5文件评审和修改5. 5.1在文件实施过程中，各职能部门应及时收集不适宜之处，及时上 报主编单位，由原文件审批人决定是否进行更改。信息安全管理手 册、程序文件每年在内审时由办公室组织有关部门进行文件的评审， 必要时予以修订。5. 5. 2文件在评审中决定需要更改时，必须由该文件的编写单位填写审 批

36、单，经主管领导批准后下达文件审批接收单，各级文件管理人员 按通知要求进行更改，并将更改的情况写到文件变更记录页上。5. 5.3文件清单中列出的文件应为有效文件，并确保文件的更改和修订 状态得到识别。5. 6文件的作废处置5.6.1文件作废时，由发文单位下发文件审批接收单，持有文件的 各部门、各单位和人员在接到作废通知单后，应及时撤出作废文件， 标示后妥善保存或销毁，电子文件应在文件名后标注“作废”，防止作 废文件的非预期使用。相关支持性文件记录管理程序记录记录名称保存部门保存期限文件审批接收单办公室2年受控文件和资料发放清单办公室3年事故、事件、薄弱点与故障管理程序1适用本程序适用于公司信息安

37、全事故、事件、薄弱点、故障和风险处 置的管理。2目的为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的 报告、反应与处理机制，减少信息安全事故和故障所造成的损失，釆 取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程 序。3职责3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。各系统信息安全归口管理部门系统和相关 信息信息安全归口部门备注绘图、防伪、 出版系统设计部办公室协助参与火灾、雷 击、供电、盗窃、洪水等相 关的信息安全风险的整体 调査、处理和纠正措施管 理。喷墨印刷印刷厂及各车间检测系统质量部财务系统财务部3.2各系统使用人员负责相关系统安全事故、事

38、件、薄弱点、故障和 风险的评价、处置报告.4程序4. 1信息安全事故定义与分类4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意 破坏或工作失职等原因直接造成下列影响（后果）之一，均为信息安 全事故：a）涉密、受控信息泄露或丢失；b）服务器停运4小时以上；c）造成信息资产损失的火灾、洪水、雷击等灾害；d）损失在十万元以上的故障/事件。4. 1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意 破坏或工作失职等原因直接造成下列影响（后果）之一，属于重大信 息安全事故：a）企业秘密及国家秘密泄露；b）服务器停运8小时以上；c）造成机房设备毁灭的火灾、洪水、雷击等灾害；d）

39、损失在一百万元以上的故障/事件。4. 2故障与事故的报告渠道与处理4.2.1故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a）各个信息管理系统使用者（包括合同方和第三方人员），在使 用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报 告；如故障、事故会影响或巳经影响线上生产，必须立即报告相关部 门，采取必要措施，保证对生产的影响降至最低；b）发生火灾应立即触发火警并向安全监督部报告，启动消防应急 预案；c）涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d）发生重大信息安全事故，事故受理部门应向信息安全管理者代 表和有关公司领导报告。4. 2.2故障、事故的响

40、应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有 序的响应，包括釆取以下适当措施：a）报告者应保护好故障、事故的现场，并采取适当的应急措施， 防止事态的进一步扩大；b）按照有关的故障、事故处理文件（程序、作业手册）排除故障, 恢复系统或服务，必要时，启动业务持续性管理计划。4.3故障、事故调査处理与纠正措施4.3.1故障处理部门应对故障原因进行分析，必要时，釆取纠正措施， 故障的原因及釆取措施的结果予以记录。4. 3.2对于信息安全事故，在故障排除或釆取必要措施后，相关信息安 全管理职能部门会同事故责任部门，对事故的原因、类型、损失、责 任进行鉴定，形成事态事件脆弱性记录，报信息安全

41、管理者代表批 准；对于重大信息安全事故的处理意见应上报信息安全管理委员会讨 论通过。4. 3.3对于违反公司信息方针、程序及安全规章所造成的信息安全事故 责任者依据信息安全奖励、惩戒规定予以惩戒，并在公司内予以 通报。4. 3.4信息安全保密管理职能部门要求事故责任部门制定纠正措施并 实施，实施结果记录在事态事件脆弱性记录。4. 3. 5由信息安全保密管理职能部门对实施情况进行跟踪验证。4.4报告信息安全薄弱点与预防措施4. 4.1本公司与信息安全管理有关的所有员工对发现的信息安全薄弱 点或潜在威胁均应履行报告义务.4. 4.2发现者应填写事态事件脆弱性记录，交本部门负责人确认， 后提交各个系

42、统归门管理部门确定是否采取预防措施，确认责任部门 并实施。预防措施的实施、验证执行预防措施控制程序。4.5信息安全事件定义与分类4. 5.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意 破坏或工作失职等原因不一定造成不良影响（后果），但有出现失控的 状态，均为信息安全事件：服务、设备或设施的丢失；系统故障或超载；人为错误；策略或指南的不符合；物理安全安排的违规；未加控制的系统变更；软件或硬件故障；非法访问。4. 5. 2所有现场工作人员都需要知道他们各自责任尽可能快地报告任 何信息安全事态。报告程序应包括：报告人立即填写事态事件脆弱性记录；信息安全事态发生后应采取正确的行为，即：1

43、）立即记录下所有重要的细节（如，不符合或违规的类型， 事件故障，屏幕上显示的消息，异常行为）；2）不要釆取任何个人行为，但要立即按照本程序向资产负 责人报告；由资产责任人按照事态事件脆弱性记录要求的流程确定事 态的发生状态、内容确认、原因分析、和采取对策，由资产责 任人负责对策的绩效验证；并由行政部门按照信息安全奖励、 惩戒管理规定决定参考已制定的正式惩罚过程，来处现场工 作人员的安全违规行为。由于事态引发的事态事件脆弱性记录作为管理评审的输入, 定期评审。4.6风险处置流程4. 6.1由各部门按照所要求的范围提供信息资产识别评价表。4. 6.2由办公室牵头识别各资产的脆弱性和面临的威胁，并分

44、别对脆 弱性和威胁进行赋值。4. 6. 3依据规定的计算方法分别计算各资产的风险值和相对应的风险 等级。4. 6.4由办公室汇总各资产的风险等级，并决定哪一个级别为可接受 风险，形成信息安全风险评估报告，报信息安全管理委员会审批， 审批件报管理层评审，并作为管理评审的输入。4. 6.5依据获得信息安全管理委员会审批的信息安全风险评估报 告，由办公室协调各资产所有部门，分别制定责任资产范围内的信 息安全不可接受风险处理计划，该计划对不可接受风险釆用：转嫁、 控制、规避的方式进行控制。信息安全不可接受风险处理计划需要 获得信息安全管理委员会的最后批准，方能实施。4. 6.6由办公室依据监视和测量管

45、理程序定期对所釆取措施的有 效性进行评价，评价结果报信息安全委员会评审。5相关/支持性文件纠正预防措施控制程序监视和测量管理程序密级控制程序信息安全奖励、惩戒管理规定6记录记录名称保存部门保存期限信息安全风险评估报告行政部3年纠正/预防措施申请书事件直接相关职 能部门3年事态事件脆弱性记录事件直接相关职 能部门3年信息安全人员考察审批与保密管理程序1适用本规定适用于本公司的正式员工和借用员工聘用、任职期间及离 职的安全考察与保密控制以及其他相关人员（第三方、外包方、合同 方、临时员工）的安全考察与控制。2目的为防止品质不良或不具备一定技能的人员进入本公司，或不具备 一定资格条件的员工被安排在关

46、键或重要岗位，降低员工所带来人为 差错、盗窃、欺诈及滥用设施的风险，防止人员对于信息安全保密性、 完整性、可用性的影响，特制定本程序。3职责3.1办公室负责员工聘用、任职期间及离职的安全保密考察管理及保 密协议的签订及其他相关人员（合同方、临时员工）的安全考察与控制。3.2办公室负责第三方、外包方、合同方在合同存续期间的进入本公 司（物理及逻辑）访问人员的资质审查。3.3各部门负责本部门员工的日常考察管理工作。4信息安全保密办公室负责监督、指导与考核。4员工录用1人员考察策略4. 1.1所有员工在正式录用（借用）前应进行以下方面考察：a）良好的性格特征，如诚实、守信等；b）应聘者学历、个人简历

47、的检查（完整性和准确性）；c）学术或专业资格的确认；d）身份的查验。4.1.2员工从一般岗位转到信息安全重要岗位，应当对其进行信用及 能力考察。4. 1.3必要时，对承包商和临时工进行同样的考察。4.2对录用（借用）人员的考察4. 2.1办公室对拟录用（借用）人员重点进行以下方面考察：a）根据应聘资料及面试情况初判应聘者的职业素质；b）根据应聘者人事经历的记载，了解是否有重大惩戒及犯罪记 录；c）通过与应聘者沟通，并了解其应聘动机，判断其诚信度；4. 2.2在考察中发现应聘者存在不良倾向的，将不予录用（借用）。4. 2.3考察的结果记录在应聘人员诚信调查表中。4.3录用审批程序4. 3.1对经

48、历考察初步合格者，按照本规定审批。4. 3.2经审批批准后，由办公室办理正式录用手续。4. 3.3对正式录用员工应在劳动合同中附加有关保密方面的内容条款。4.4从普通工作岗位调整到重要信息安全岗位前，办公室应对其进行 业务能力和职业道德的考察，考察结果记入变更申请表。4.5办公室根据需要，对临时工作人员或外来服务人员进行必要的资 格认定和监控。4.6各部门负责人应当意识到员工的个人现状会影响他们的工作。如 果发现员工个人或财政问题、行为或生活方式的更改，重复的缺勤、 压力或压抑迹象可能导致欺诈、盗窃、差错或其它安全隐患，应及时 釆取必要的防范措施。5离职措施5.1员工离职涉及密级控制程序的保密

49、事项，应按要求釆取相应 的保密措施。5.2部门要加强员工离职时的涉密资料、口令等的交接工作。5.3部门在员工离职后要釆取相应的技术防范措施（如变更口令、程 序等），必要时应与办公室协调。4公司和部门要做好员工离职的教育工作，告知其离职后，不得向 第三方泄露其在任职期内所获得的公司的商业和技术秘密。6离职程序6.1员工必须在离职日前30天向本部门负责人提出书面离职报告。6.2部门负责人接到员工离职报告后，填写变更申请表，签署意见 后送办公室.3办公室负责人、公司主管领导和总经理审批。6.4员工离职得到批准，由部门通知离职员工来办公室办理离职手续。 离职员工在离职日前必须把担当的部门工作移交完毕。

50、6.5办理离职手续6. 5.1离职员工到办公室索取员工离职手续单。6. 5.2离职员工按员工离职手续单的内容至公司各部门办理移交 手续，各相关部门负责按照用户访问控制程序取消离职员工的访 问权限。6. 5.3离职员工移交完毕后，由办公室将职工离职通知单交于财 务部.6. 5.4设计部、车间部门、质量部及其他员工离职必须签订第三方 保密协定。6. 5.5员工离职后如发生泄密情况，应承担由此涉及的法律责任。7相关/支持性文件用户访问控制程序密级控制程序8记录记录名称保存部门保存期限应聘人员诚信调查表办公室至员工使用期 届满员工离职手续单办公室3年第三方保密协议办公室3年变更申请表办公室3年内部审核

51、管理程序1适用本程序适用于本公司内部审核（简称：内审）工作的实施和管理。2目的明确内审的实施方法，保证内审定期有效地实施，为管理评审和持续改进提供依据，确保质量体系和信息安全管理体系的有效运行。3审核组织3.1办公室负责内部审核的计划的制定、实施、顺利地进行内审。3.1.1办公室的职责1）制定年度内审计划办公室根据客户或外部审核结果以及前年度内审结果，来制定下 年度内审计划。可根据需要（例如重要目标未达成时，或发生严重不 符合项时）进行修改，并通知相关部门。2）审核实施时的联络办公室全面负责内审活动的联络，在同各有关部门协调后，以电 子媒体的形式来发送实施通知，并用电话确认。3）各种审核文件的

52、发行、管理办公室对各种审核文件取号并进行台帐管理，发行、送配也由办 公室实施。4）内审员的登录、管理由办公室编写内审员的登录清单，并进行维护管理。5）内审结果的总结办公室每年年底总结内审的结果、编写报告，提交最高管理层进 行管理评审。3.1.2关于审核事项的批准1）关于审核年度计划的策划、制定以及内审员的任命、登录等事 项，由管理者代表或其指定代理人员批准；2）关于审核的实施及报告书等事项，也由管理者代表或其指定代 理人员批准。3.2内审员2.1内审员的登录根据以下的程序登录内审员。1）候补内审员的选定各部门长根据业务情况选定本部门的候补内审员，候补内审员一 定要是本公司的正式员工。2）内审员

53、的培训选定的候补内审员必须通过办公室主办的培训课程。这个培训课程由具备资格的人员对各部门选出的候补内审员进行 培训。培训基本包括以下内容：信息安全管理体系标准；信息安全 管理手册；本程序等。3）办公室依据候补内审员的培训结果，向办公室主任或其指定代 理人员提出申请。4）办公室主任或其指定代理人员根据申请书，并判断其作为内审 员的登录.5）由办公室编写内审员登录清单并存档。2.2内审员资格的登录、撤消1）内审员的登录由办公室负责登录新内审员。2）内审员资格的撤消辞职或长期不在公司的场合；由于工作调动、安排需要，不再适 合继续担任内审员的场合；4内审的实施1.审核前准备4.1.1办公室办公室根据年

54、度计划书编写各要求、各部门的内部审核计划，并 指定内审小组1）内审小组由2名以上内审员组成；2）审核员必须与被审核部门没有直接责任关系；3）根据内审员的业务经验、审核实施的经验来指名内审组长；4）协调、联络内审员与被审核部门。1.2内审小组成员的准备事项1）与被审核部门协商确定审核实施的时间；2）审核检查表的准备。内审员可参考标准、手册、规程、规格书类、前次的内审指摘事 项以及内部审核Checklist等编写内部审核检查表。4. 1.3被审核部门的准备事项1）通知本部门的各相关人员；2）选定内审时的对应回答者。4. 2.审核的实施审核时、根据以下内容实施：1）首次会议由内审组长介绍本次审核的内

55、审员、说明本次审核的范围、目的 和时间安排等。2）现场审核内审员：以内部审核检查表以及办公室提供的checklist为参考、 各种关联的文件为基础进行审核。实施内审时的注意点：检查表是内审员进行内审时的一种自用工具，主要起备忘录的 作用。由内审员自己收集必要的记录。内审员不应以主观意志来判断不符合项（必须有客观证据）。3）不符合的记录内审员：在纠正、预防措施申请书中记入不符合内容、手册 或各类规程的要求条款、相关规程编号、重要度。重大不符合：没有执行手册中的要求事项或没有编写文件。没有执行文件中的规定要求事项。同类轻微不符合重复发生。轻微不符合：对手册、程序文件等的规定要求执行不认真，时有遗漏

56、。对有要求记录的事项没有进行记录.观察事项：基本符合要求事项，但在操作性和效果性方面还可加 以改善的方面。末次会议内审员：向被审核部门的处理人说明不符合事项的内容。4.3内审结果的报告内审小组在内审结论报告中记入审核结果。发现不符合事 项时，在纠正、预防措施申请书中记入不符合内容、重要度，并 委托被审核部门调查、分析发生原因和纠正措施内容的记入。纠正措 施责任部门必须在2周内作出回答。内审组长要对纠正、预防措施 申请书的内容进行批准。发现有观察事项时，可以记录在“观察事 项记录用纸”上。另外，把填写完毕的内审结论报告、纠正、预 防措施申请书、“观察事项记录用纸”以及内部审核检査表送交 办公室。

57、办公室在确认了内审结论报告、纠正、预防措施申请书、 “观察事项记录用纸”中的记入内容后，登记纠正、预防措施申请书、内审结论报告的编号，并将上述3份报告的原稿发行至对策 部门，复印件留存办公室。4.4纠正措施的实施1)纠正措施的实行及完成确认 办公室把纠正、预防措施申请书发行至被审核部门及相 关部门，委托其进行纠正措施。对策部门：调查不符合的原因，并记录在原因分析栏中。另 外，为了彻底消除导致不符合的因素，必须指定纠正措施的对策、完 成期限以及指定对策实施部门。对策部门主管：对原因分析及纠正措施对策的内容进行批准。对策实施部门完成以上事项后，把纠正、预防措施申请书还 给内审员。纠正措施完成的场合

58、，内审员对对策部门进行实施完成的确认后，送交办公室。2)纠正措施的效果确认办公室主任决定是否要进行效果确认，如需要就由内审组长 进行效果确认；如不需要就进行第(3)步。 内审组长在确认是否还有同样的不符合发生以及纠正措施的 有效性后，把结果填写在纠正措施申请书上，送交办公室；办公室在确认了纠正、预防措施申请书的内容后，由办 公室主任进行完成确认，如果有必要的话，委托对策部门进行再对策;完成后的纠正、预防措施申请书的原稿由办公室进行存 档、复印件废弃。5有关报告书的保管关系到内部审核的各种报告书由办公室保管，保管期限为三年。6信息安全内部审核活动应包括对各信息系统的技术性审核进行技术性审核时，内

59、部审核组至少拥有一名具有一定信息安全 技术的内部专家，审核组应在内部审核检查表中明确技术性审核 的项目与要求。技术性审核应在被监督的情况下进行。7相关文件信息安全管理手册监视和测量管理程序1目的通过对各项控制措施，满足控制目标的实现程度及法律、法规符 合性的监视、测量与分析，为策划、实施、持续改进信息安全管理体 系提供依据。2适用范围本程序适用于对本公司区域内所有业务职能部门的安全保密特性 控制、绩效及管理体系运行的监视和测量。3术语和定义引用GB/T22080-2016、GB/T19001-2016标准及本公司信息安全 管理手册中的术语和定义。4职责1信息安全管理者代表1.1负责掌握信息安全

60、管理体系的总体运行情况，并向最高管理者 汇报，对最高管理者负责。4.1.2负责每月组织对本公司职能部门目标、指标的完成情况进行考 核。2办公室2.1负责本程序的编制、修订和监督实施。2.2负责每月对各职能业务部门进行监视和测量，对各职能业务部 门的监视和测量执行情况进行监督、检查和指导，为纠正和预防提供 信息。2.3负责收集的顾客信息安全满意程度信息，并进行汇总、分析和 传递。2.4负责获取、识别、更新适用于本公司信息安全管理体系运行的 所有法律法规，发布信息安全法律法规清单，对本程序的实施情况 进行组织、监督和检查。负责法律法规的更新以及适用性的确认，并 传达给各部门。5控制措施和目标实现程