ISO27001信息安全管理体系全套程序文件

1、 23/23ISO27001信息安全管理体系全套程序文件 东莞市有限公司 信息安全风险评估管理程序 文件编号：ISMS-COP01 状态：受控 编写：信息安全管理委员会2018年05月10日 审核：2018年05月10日 批准：陈世胜2018年05月12日 发布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分发：各部门接受部门：各部门 变更记录 信息安全风险评估管理程序 1 适用 本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。 2 目的 本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估，认知本公司的信息安全风险

2、，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。 3 范围 本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。 4 职责 4.1 成立风险评估小组 办公室负责牵头成立风险评估小组。 4.2 策划与实施 风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成

3、信息安全风险评估报告。 4.3 信息资产识别与风险评估活动 各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。 4.3.1各部门负责人负责本部门的信息资产识别。 4.3.2办公室经理负责汇总、校对全公司的信息资产。 4.3.3 办公室负责风险评估的策划。 4.3.4信息安全小组负责进行第一次评估与定期的再评估。 5 程序 5.1 风险评估前准备 5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。 5.1.3必要时应

4、对各部门内审员进行风险评估相关知识和表格填写的培训。 5.2 信息资产的识别 5.2.1 本公司的资产范围包括： 5.2.1.1信息资产 1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。 2)软件资产：应用软件、系统软件、开发工具和适用程序。 3)硬件资产：计算机设备、通讯设备、可移动介质和其他设备。 4)服务：培训服务、租赁服务、公用设施（能源、电力）。 5)人员：人员的资格、技能和经验。 6)无形资产：组织的声誉、商标、形象。 5.3资产及其重要度 5.3.1识别组织的资产 识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计；不在评估范 围内的资产，也要进行记录

5、； 按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工 作。 识别组织资产，参考资产等级分类及重要度(安全等级)划分 5.3.2评估资产的重要度 1.对资产的等级进行定义，并表示成相对等级的形式。 识别出资产之后，必须对资产的重要度进行评估。评估的依据是资产的保密性、完整性和可用性在遭受损失之后的后果。 不同资产的安全属性的重要程度是不一样的，例如：对财物数据来说保密性和可核查性是最重要的安全属性，而对操作软件来说更强调可用性。对资产评估的过 程本身就是对资产安全属性损失后果的分析。 在本程序中虽然不按照安全属性分别赋值，但是评估过程中要充分考虑本节中列出的各种安全属性。

6、 资产重要度描述如下表。 2.决定资产重要度时，需要考虑： 资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资 产损失所引发的潜在的影响来决定； 为确保资产重要度的一致性和准确性，建立一个统一的尺度，以无歧义的方式 对资产的重要度进行赋值； 分析和评价资产受到侵害后的保密性、完整性和可用性损失。 决定资产重要度，参考资产安全等级分类 5.4识别资产面临的威胁 实施风险评估需要对要保护的每一项关键资产进行威胁的识别。威胁可以从资产的所有者、使用者、计划书、信息专家、社团内部及外部负责信息安全的组织等处获得。 通常，一个可能的威胁列表对完成威胁评估有所帮助。当应用威胁目录（列表）

7、或者以前的威胁评估结果时，必须意识到，威胁总是不断变化的，尤其是在业务环境与信息发生变化时。 1.分析本公司的信息系统存在的威胁种类，确定威胁分类的标准。 2.综合威胁来源、种类和其他因素后得出威胁列表； 3.针对每一项需要保护的信息资产，找出可能面临的威胁。 在识别资产所面临的威胁时，应该考虑下面三个方面的资料和信息来源： 通过历史的安全事件报告或记录，统计各种发生过的威胁和其发生频率； 在评估对象的实际环境中，通过IDS等系统获取的威胁发生数据的统计和分析， 各种日志中威胁发生的数据的统计和分析； 过去一年或两年来国际公司或机构（例如：微软公司）、社团内部负责信息安 全的组织（例如：CER

8、T应急响应中心）、社团外部负责信息安全的组织（例如：病 毒防范产品公司）、业务关联公司发布的对于整个社会或特定行业安全威胁及其发 生频率的统计数据。 5.5识别威胁可以利用的脆弱性 这一步是评估容易被攻击者(或威胁源)攻破(或破坏)的薄弱点，包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的，由资产自身特性导致的弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。 一个没有对应威胁的脆弱性一般不会造成实在的风险，可以不采取相

9、应的防护措施，但是有必要密切监视这种潜在的风险。注意，脆弱性不仅是由于最初购置或制造时的原因产生的，资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。例如：E2PROM是一种可擦写的存储设备，可擦写是其设计时的一项标准，但可擦写属性意味着E2PROM所存储的信息未经授权的破坏成为可能，这就是一个脆弱性。 5.6评估资产在威胁暴露度 暴露度等级描述资产或资产安全属性受损害的程度，以下简称暴露度。 本评估方法将暴露度的等级定义为5级。如下表所示： 表：暴露度的等级定义 在评估时可参考下面两个表的描述，即根据对资产的安全属性（保密性、可用性、完整性）的损害及影响程度评价对应的暴露等级。 表

10、：资产保密性/完整性暴露度的等级定义 表：资产可用性暴露度的等级定义 5.7评估威胁发生的可能性 容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易 度与具体的信息系统没有关系。当与控制措施结合之后才形成影响的发生可能性。 对于发生容易度的等级，需要根据资产不同的安全属性分别定义。本公司将发生容易度的等级定义为5级。参见下表： 表：发生容易度等级定义 5.8识别与分析控目前控制手段的有效性 控制措施可以减少风险发生可能性或者减轻发生后的影响。因此，必须识别出控制措施并对其有效性进行评估。根据控制措施的有效性对控制措施赋值，以下简称控制度。 公司将控制度的等级划分为1-5（5为

11、基本无效）。每一个等级都要对应相应的有效性系数之后参加风险的计算。如下表。 表：控制措施的控制度与控制措施有效性对应关系 5.9分析资产在威胁脆弱性下发生的影响度 影响是指威胁对脆弱性一次成功攻击所产生的负面影响。 影响等级（以下简称影响度）是资产重要度等级和暴露等级的乘积。 确定影响度的定义，本公司采取以下定义和计算方式 影响度= （资产重要度等级* 暴露等级）* 20% 由资产重要度等级值（1-5）与暴露等级（1-5）相乘，并乘以系数20%取整后，那 么影响度等级为：1-5。 5.10确定资产发生风险的可能性 资产发生风险的可能性以下简称发生可能性。 发生可能性= （发生容易度等级* 控制

12、度）* 20% 由发生容易度等级值（1-5）与控制措施赋值（1-5）相乘，并乘以系数20%取整后， 那么影响发生可能性等级为：1-5。 5.11计算风险大小 风险大小量化后称为风险等级，以下简称风险度。 风险度 = 影响度 * 发生可能性 表：风险计算矩阵 本公司按照风险数值排序的方法，将上面的25的矩阵等级，按照组织对风险的接受程度定义为高、中、低3个风险度的级别。风险度为15（含）以上时表示高，5（含）15表示中，5以下表示低；这包括可接受风险与不可接受风险的划分，接受与不可接受的界限应当考虑风险控制成本与风险（机会损失成本）的平衡； 5.12风险处理和接受准则 本公司要求对“高”风险度制

13、定风险处理计划，“中”风险由信息安全小组决定是否采取安全措施，“低”风险属于可以接受的风险。总经理需要决定是否接受风险处理后的残余风险并承认风险处理计划。 5.13不可接受风险的确定和处理 各责任部门按照信息安全不可接受风险处理计划的要求采取有效安全控制措施后,原评估小组重新评估其计划效果，降至残余风险可接受为止，确保所采取的控制措施是充分的，该措施直到为再次风险评估的输入。残余风险报告须经总经理批准。 5.14 评估时机 5.14.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估： a) 当发生重大信息安全事故时； b) 当信息

14、网络系统发生重大更改时； c) 信息安全管理小组确定有必要时。 5.14.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在信息资产识别评价表、重要信息资产清单上予以添加或变更。 6 相关/支持性文件 ?信息安全适用性声明 ?信息安全管理手册 ?文件和资料管理程序 ?信息安全风险评估报告 7 记录 东莞市有限公司 记录管理程序 文件编号：ISMS-COP02 状态：受控 编写：信息安全管理委员会2018年05月10日审核：2018年05月10日批准：陈世胜2018年05月12日发布版次：A/0版2018年05月12日 生效日期：2018年05月18日分发：各部门接受部门：各部门

15、变更记录 记录管理程序 1.适用 本程序适用于本公司产生的记录的管理。 2.目的 为支持信息安全体系的运作而明确记录的管理。 3.管理方法 本公司采用四级层次文件编写法。所有信息安全管理的记录均以ISMS-JL作为开头，其后由2个数字构成记录顺序编号。后两个数字为自然序列号；以此类推。 如：ISMS-JL11记录清单。其中“ISMS”表示信息安全类文件；“JL”表示记录文件，即：表格；“11”代表自然序列号。 ISMSJL 记录的顺序号 信息安全管理体系 在每个记录文件的页眉右上角标记出文件的编号及版本号。版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。 如：“ISMSJLA/

16、0”以此类推。 第0次修定（按照数字自然顺序号，依次使用1、2、3） 第A版（按照英文字母自然排序，依次使用B、C、D） 在使用每个具体记录时，需要在每个记录上填写该记录的使用序号（或称：编号）规则为：“部门的简写自然顺序号”。如：“XZ - 01”。以此类推。 自然顺序号 办公室的简称 本公司本标准覆盖的部门，办公室简写：BG ；设计部简写：SJ；质量部简写：ZL ；经营部简写；JY 采购部简写：CG 财务部简写：CW。 3.1 保管方法 （1）记录由各保管部门在可快速检索的条件下，决定保管场所，放在箱子、柜子等适当容器中保管。 （2）对保管场所的环境，本程序没有特别指定。由各保管部门考虑记

17、录媒体的特性做适当处理。 （3）以电子媒体保管的场合，为预防意外，需做适当的备份。备份的安全要求执行重要信息备份管理程序。 （4）记录保管部门应建立记录清单，明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求，保存期限参考本规格书第4条款。 （5）因工作需要，借阅其他部门的秘密记录，应获得记录保管部门负责人授权后方可借阅，并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录，并按期归还；机密记录只准在现场查阅。 （6）记录的字迹应清晰、真实、文字表达准确、简练，记录不得随意修改。确需修改时，必须在修改处作标识，并由修改人签名确认。 3.2 废弃 超过保管期限的记录，由

18、保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置方法（如书面记录采用粉碎方法、电子媒体采用格式化方法等），处置记录应予以保存。但若保管部门认为必要时，仍可继续保管超出保管期限的记录。 4.记录的分类和保存年限详见记录清单 5.记录 东莞市有限公司 纠正预防措施控制程序 文件编号：ISMS-COP03 状态：受控 编写：信息安全管理委员会2018年05月10日 审核：2018年05月10日 批准：陈世胜2018年05月12日 发布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分发：各部门接受部门：各部门 变更记录 纠正预防措施控制程序 1 适用 本程序适用于对本公

19、司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的控制。 2 目的 为对不符合/潜在不符合进行分析、采取措施，并予以消除，以逐步改进和完善信息安全管理体系，特制定本程序。 3 职责 本公司办公室为公司信息安全管理体系纠正/预防措施的归口管理部门，负责组织相关部门进行信息安全数据的收集及分析，确定不符合/潜在不符合原因，评价纠正/预防措施的需求，组织相关部门制定纠正/预防措施，并由办公室负责跟踪验证。 4 程序 4.1 纠正/预防措施信息来源有： a. 公司内外安全事件记录、事故报告、薄弱点报告； b. 日常管理检查及技术检查中指出的不符合； c. 信息安全监控记录； d. 内、外部

20、审核报告及管理评审报告中的不符合项； e. 相关方的建议或抱怨； f. 风险评估报告； g. 其他有价值的信息等。 4.2 办公室每半年组织相关部门利用4.1条款所规定的信息来源，分析确定不符合/潜在不符合及其原因，评价防止不符合发生的措施的需求，并形成信息安全风险评估报告。采取纠正/预防措施应与潜在问题的影响程度相适应，对于以下情况的不符合/潜在不符合应采取纠正/预防措施： a. 可能造成信息安全事故； b. 可能影响顾客满意程度、造成顾客抱怨与投诉； c. 可能影响本公司的企业形象与经济利益； d. 可能造成生产经营业务中断。 对于各部门日常发现报告的重大安全隐患（安全薄弱点），办公室应组

21、织有关部门进行原因分析，采取纠正/预防措施。 4.3需制定纠正/预防措施时，办公室应将有关不符合/潜在不符合信息及原因填入纠正/预防措施申请单，组织有关部门制定纠正/预防措施对策，确定实施纠正/预防措施的部门，填入纠正/预防措施申请单，经管理责任人批准后予以实施。 4.4 当问题原因不确定或责任重大时，由采取纠正/预防措施的部门呈报公司信息安全最高责任者，必要时，应提交公司信息安全管理委员会进行专题研究，商讨对策。 4.5 实施纠正/预防措施的部门应按照纠正/预防措施申请单要求认真执行，并将执行结果记入相应纠正/预防措施申请单中。 4.6办公室对纠正/预防措施实施结果进行验证，并将验证结果记录

22、在纠正/预防措施申请单上。 验证内容包括： a. 纠正/预防措施是否按纠正/预防措施计划的要求实施； b. 是否消除了不符合/潜在不符合的原因。 4.7经验证效果不理想，负责制定纠正/预防措施的部门应重新编制纠正/预防措施申请单，依据本程序4.3要求实施。 4.8纠正/预防措施需要涉及文件更改的，应对文件进行评审，按文件和资料管理程序更改文件。 4.9 办公室应做好纠正/预防措施相关记录的保存。管理评审前，将各部门所采取的纠正/预防措施的有关情况汇总，提交管理评审。 5 记录 管理评审控制程序 东莞市有限公司 文件编号：ISMS-COP04 状态：受控 编写：信息安全管理委员会2018年05月

23、10日 审核：2018年05月10日 批准：陈世胜2018年05月12日 发布版次：A/0版2018年05月12日 生效日期：2018年05月18日分发：各部门接受部门：各部门 变更记录 管理评审控制程序 1 适用 本程序对信息安全管理体系中要求进行的管理评审的实施程序作规定。 2 目的 为确保公司信息安全管理体系持续的适宜性、充分性和有效性，评估公司信息安全管理体系改进和变更的需要，包括信息安全方针、目标，特制定本程序。 3 相关文件 信息安全手册 4 实施程序 4.1 实施频率、时期 管理评审每年至少进行一次。 4.2 召集和参加评审者 4.2.1由总经理指示信息安全管理体系的管理者代表（

24、以下简称管理者代表）召开管理评审会议。 4.2.2参加管理评审会议者包括最高管理者、管理者代表及相关的部门长（或高级主管）。受召集的部门长因不得已的理由而无法出席时，可让其他管理者代其出席。 4.2.3除了每年定期召开一次管理评审会议外，最高管理者还可在发生以下情况时，指示管理者代表召开管理评审会议。 a.当本公司的产品、过程、系统、组织机构、人员和资源等有重大变化时； b.当连续出现重大信息安全事故时； c.当相关方有重大投诉或抱怨时； d.内部审核、顾客审核或ISO27001：2005外部审核时，发现了对全公司有影响，属信息安全管理体系上的重大不符合事项时； e. ISO27001：200

25、5修订的情况下。 4.3 评审程序 4.3.1管理者代表和各部门长准备以下资料，在管理评审中向最高管理者说明。 管理输入包括： a) ISMS审核和评审的结果、方针和目标； b) 相关方的反馈； c) 可以用于改进ISMS业绩及有效性的技术、产品或程序； d) 纠正和预防措施的实施情况； e) 在以前风险评估没有充分提出的薄弱点或威胁； f) 以往管理评审的跟踪措施； g) 可能影响ISMS的任何更改； h) 改进的建议。 4.3.2 最高管理者接收了上述报告后，根据需要确认详细内容，对信息安全体系的有效性和运用状况进行评价，对以下管理评审输出作指示。 管理评审输出： a) ISMS有效性的改

26、进； b) 修改影响信息安全的程序文件，必要时，对可能影响ISMS的内外事件（events)发生的变更进行对应；这些变更包括： 1) 业务要求； 2) 安全要求； 3) 影响现存业务要求的业务过程； 4) 法律法规环境； 5) 风险水平和/或风险接受水平。 c) 资源的需求。 4.4 跟踪 4.4.1管理者代表编写管理评审的会议记事录，经过最高管理者批准后，发给各相关部门。同时，通过文件将最高管理者的指示内容发给处置责任部门，委托推进纠正措施； 4.4.2管理者代表确认纠正和预防措施的实施日程和进度状况，并将结果书面报告给最高管理者； 4.4.3最高管理者针对上述报告，作适当的指示。 4.5

27、管理评审的记录 管理评审的输入、输出、会议记录以及纠正和预防措施的记录由管理者代表保管三年以上。 东莞市有限公司 文件和资料管理程序 文件编号：ISMS-COP05 状态：受控 编写：信息安全管理委员会2018年05月10日 审核：2018年05月10日 批准：陈世胜2018年05月12日 发布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分发：各部门接受部门：各部门 变更记录 文件和资料管理程序 1. 目的 对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。 2. 适用范围 本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。 3

28、. 职责 3.1 办公室负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。 3.2 办公室负责信息安全管理手册的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。 3.3 办公室负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别； 3.4 办公室负责组织项目工程竣工资料的审核验收；参与重大工程项目施工组织设计编制工作。 3.5 办公室负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。 3.6各职能部门负责本部门所管辖的业务和相关

29、的外来文件；以及内部文件资料的识别、控制与管理。 4. 文件和资料编号/版本规定 4.1本公司采用四级层次文件（含记录）编写法。所有信息安全管理的文件均包含ISMS作为开头，表示为信息安全管理体系文件，其后由数字构成顺序编号。 其中信息安全管理手册的编号为： FX-ISMS-20XX,表示为飞翔公司信息安全管理文件20XX年发布。 信息安全适用性声明的编号为：FX-ISMS-SOA-20XX, 其中，SOA表示适用性声明。 程序文件的编号为：ISMS-COPXX,COP表示程序，XX为顺序号。 作业文件的编号为：ISMS-WIXX,WI表示作业文件，XX为顺序号。 关于记录的编号规定见记录控制

30、程序 4.2版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。 如：“A/0”。以此类推。 第0次修定（按照数字自然顺序号，依次使用1、2、3） 第A版（按照英文字母自然排序，依次使用B、C、D）版本及修订号的标注方法：1、2、3层次文件标注在封面。记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的版本及修订号，以示区别。 5. 工作程序 5.3 文件的批准、发布和标识 5.3.1信息安全管理手册由信息安全管理委员会编写，管理者代表审核，最高管理者批准发布。 5.3.2程序文件和三层文件在办公室组织下由

31、主管该程序的职能部门或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批准发布。 5.3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照公司按照国家颁布的信息安全方面的法律法规进行编写。 5.3.4 其他管理文件由编写该文件的部门负责人审核，公司主管领导批准。 5.3.5信息安全管理手册和程序文件都应标识清楚文件的名称、编号、版本、制文时间、发布部门和日期等。 5.3.6公司内行政文件的发文程序。文件编写部门在文件定稿以后，填写文件审批接收单，标明文件名称、编号、份数、说明、主办单位、接受部门，经部门领导审核签字后交办公室，办公室根据文件内容送有关领导签发，填写发文编号打印

32、后，加盖印章发出。 5.3.7外来文件的管理程序。凡发到公司的与信息安全和有关的外来文件均由办公室负责签收、登记、分类，由办公室先送公司有关领导阅批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关部门阅办或转发以后，其文件原件一律由公司办公室收回并存档案 室。各部门收到的外来文件，应交办公室处理；凡地方有关部门或顾客直接发到各职能部门与信息安全和有关的文件资料，各职能部门对照公司文件控制管理工作程序进行文书处理。 5.4 文件的收发管理及使用 5.4.1公司办公室设专职人员负责文件的收发、管理、更改和作废文件的处置。 5.4.2文件发放时应确定发放范围，办理发放手续，建立发放台帐。

33、5.4.3凡进入本单位、本部门的文件均要进行收文登记；凡发到下级单位或个人的文件均要妥善保管，严防丢失和污损，确保文件清晰，易于识别；凡需归档的文件，要按记录管理程序执行。 5.4.4办公室负责汇总编制公司受控文件总清单，由管理者代表审批。 5.4.5各职能部门都要根据本部门、本单位的实际建立文件清单，以便对文件进行动态的管理。 5.4.6文件不得随意自行复印，如需要时使用者应办理复印审批手续，经文件主控部门批准后方可复印，复印的文件与原文同等发放管理。 5.4.7文件使用者变动为与原岗位无关的岗位或调出本单位时，其使用的文件须办理交接，并填写文件交接单。 5.5文件评审和修改 5.5.1在文

34、件实施过程中，各职能部门应及时收集不适宜之处，及时上报主编单位，由原文件审批人决定是否进行更改。信息安全管理手册、程序文件每年在内审时由办公室组织有关部门进行文件的评审，必要时予以修订。 5.5.2文件在评审中决定需要更改时，必须由该文件的编写单位填写审批单，经主管领导批准后下达文件审批接收单，各级文件管理人员按通知要求进行更改，并将更改的情况写到文件变更记录页上。 5.5.3文件清单中列出的文件应为有效文件，并确保文件的更改和修订状态得到识别。 5.6 文件的作废处置 5.6.1文件作废时，由发文单位下发文件审批接收单，持有文件的各部门、各单位和人员在接到作废通知单后，应及时撤出作废文件，标

35、示后妥善保存或销毁，电子文件应在文件名后标注“作废”，防止作废文件的非预期使用。 6. 相关支持性文件 记录管理程序 7. 记录 东莞市有限公司 事故、事件、薄弱点与 故障管理程序 文件编号：ISMS-COP06 状态：受控 编写：信息安全管理委员会2018年05月10日 审核：2018年05月10日 批准：陈世胜2018年05月12日 发布版次：A/0版2018年05月12日生效日期：2018年05月18日分发：各部门接受部门：各部门 变更记录 事故、事件、薄弱点与故障管理程序 1 适用 本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故

36、、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 各系统信息安全归口管理部门 3.2 各系统使用人员负责相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类 4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果）之一，均为信息安全事故： a) 涉密、受控信息泄露或丢失； b) 服务器停运4小时以上； c)

37、 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果）之一，属于重大信息安全事故： a) 企业秘密及国家秘密泄露； b) 服务器停运8小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.2 故障与事故的报告渠道与处理 4.2.1故障、事故报告要求 故障、事故的发现者应按照以下要求履行报告任务： a) 各个信息管理系统使用者（包括合同方和第三方人员），在使用过程中如果发现软硬件故障、事故，应该向该系统归口

38、管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低； b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案； c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告； d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。 4.2.2故障、事故的响应 故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适当措施： a) 报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的进一步扩大； b) 按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系

39、统或服务， 必要时，启动业务持续性管理计划。 4.3 故障、事故调查处理与纠正措施 4.3.1故障处理部门应对故障原因进行分析，必要时，采取纠正措施，故障的原因及采取措施的结果予以记录。 4.3.2对于信息安全事故，在故障排除或采取必要措施后，相关信息安全管理职能部门会同事故责任部门，对事故的原因、类型、损失、责任进行鉴定，形成事态事件脆弱性记录，报信息安全管理者代表批准；对于重大信息安全事故的处理意见应上报信息安全管理委员会讨论通过。 4.3.3对于违反公司信息方针、程序及安全规章所造成的信息安全事故责任者依据信息安全奖励、惩戒规定予以惩戒，并在公司内予以通报。 4.3.4信息安全保密管理职

40、能部门要求事故责任部门制定纠正措施并实施，实施结果记录在事态事件脆弱性记录。 4.3.5由信息安全保密管理职能部门对实施情况进行跟踪验证。 4.4 报告信息安全薄弱点与预防措施 4.4.1本公司与信息安全管理有关的所有员工对发现的信息安全薄弱点或潜在威胁均应履行报告义务。 4.4.2发现者应填写事态事件脆弱性记录，交本部门负责人确认，后提交各个系统归口管理部门确定是否采取预防措施，确认责任部门并实施。预防措施的实施、验证执行预防措施控制程序。 4.5 信息安全事件定义与分类 4.5.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因不一定造成不良影响（后果），但有出

41、现失控的状态，均为信息安全事件： ?服务、设备或设施的丢失； ?系统故障或超载； ?人为错误； ?策略或指南的不符合； ?物理安全安排的违规； ?未加控制的系统变更； ?软件或硬件故障； ?非法访问。 4.5.2所有现场工作人员都需要知道他们各自责任尽可能快地报告任何信息安全事态。报告程序应包括： 6.报告人立即填写事态事件脆弱性记录； 7.信息安全事态发生后应采取正确的行为，即： 1）立即记录下所有重要的细节（如，不符合或违规的类型，事件故障，屏幕上显示的消息，异常行为）； 2）不要采取任何个人行为，但要立即按照本程序向资产负责人报告； 8.由资产责任人按照事态事件脆弱性记录要求的流程确定事

42、态的发生状态、内 容确认、原因分析、和采取对策，由资产责任人负责对策的绩效验证；并由行政 部门按照信息安全奖励、惩戒管理规定决定参考已制定的正式惩罚过程，来 处现场工作人员的安全违规行为。 9.由于事态引发的事态事件脆弱性记录作为管理评审的输入，定期评审。 4.6 风险处置流程 4.6.1 由各部门按照所要求的范围提供信息资产识别评价表。 4.6.2 由办公室牵头识别各资产的脆弱性和面临的威胁，并分别对脆弱性和威胁进行赋值。 4.6.3依据规定的计算方法分别计算各资产的风险值和相对应的风险等级。 4.6.4由办公室汇总各资产的风险等级，并决定哪一个级别为可接受风险，形成信息安全风险评估报告，报

43、信息安全管理委员会审批，审批件报管理层评审，并作为管理评审的输入。 4.6.5依据获得信息安全管理委员会审批的信息安全风险评估报告，由办公室协调各资产所有部门，分别制定责任资产范围内的信息安全不可接受风险处理计划，该计划对不可接受风险采用：转嫁、控制、规避的方式进行控制。信息安全不可接受风险处理计划需要获得信息安全管理委员会的最后批准，方能实施。 4.6.6由办公室依据监视和测量管理程序定期对所采取措施的有效性进行评价，评价结果报信息安全委员会评审。 5 相关/支持性文件 ?纠正预防措施控制程序 ?监视和测量管理程序 ?密级控制程序 ?信息安全奖励、惩戒管理规定 6 记录 东莞市有限公司 信息

44、安全人员考察审批与保密 管理程序 文件编号：ISMS-COP07 状态：受控 编写：信息安全管理委员会2018年05月10日 审核：2018年05月10日批准：陈世胜2018年05月12日发布版次：A/0版2018年05月12日生效日期：2018年05月18日分发：各部门接受部门：各部门 变更记录 信息安全人员考察审批与保密管理程序 1 适用 本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以及其他相关人员（第三方、外包方、合同方、临时员工）的安全考察与控制。 2 目的 为防止品质不良或不具备一定技能的人员进入本公司，或不具备一定资格条件的员工被安排在关键或重要岗

45、位，降低员工所带来人为差错、盗窃、欺诈及滥用设施的风险，防止人员对于信息安全保密性、完整性、可用性的影响，特制定本程序。 3 职责 3.1办公室负责员工聘用、任职期间及离职的安全保密考察管理及保密协议的签订及其他相关人员（合同方、临时员工）的安全考察与控制。 3.2办公室负责第三方、外包方、合同方在合同存续期间的进入本公司（物理及逻辑）访问人员的资质审查。 3.3各部门负责本部门员工的日常考察管理工作。 3.4信息安全保密办公室负责监督、指导与考核。 4 员工录用 4.1 人员考察策略 4.1.1所有员工在正式录用（借用）前应进行以下方面考察： a) 良好的性格特征，如诚实、守信等； b) 应

46、聘者学历、个人简历的检查（完整性和准确性）； c) 学术或专业资格的确认； d) 身份的查验。 4.1.2员工从一般岗位转到信息安全重要岗位，应当对其进行信用及能力考察。 4.1.3必要时，对承包商和临时工进行同样的考察。 4.2 对录用（借用）人员的考察 4.2.1办公室对拟录用（借用）人员重点进行以下方面考察： a) 根据应聘资料及面试情况初判应聘者的职业素质； b) 根据应聘者人事经历的记载，了解是否有重大惩戒及犯罪记录； c) 通过与应聘者沟通，并了解其应聘动机，判断其诚信度； 4.2.2 在考察中发现应聘者存在不良倾向的，将不予录用（借用）。 4.2.3考察的结果记录在应聘人员诚信调

47、查表中。 4.3 录用审批程序 4.3.1对经历考察初步合格者，按照本规定审批。 4.3.2经审批批准后，由办公室办理正式录用手续。 4.3.3对正式录用员工应在劳动合同中附加有关保密方面的内容条款。 4.4 从普通工作岗位调整到重要信息安全岗位前，办公室应对其进行业务能力和职业道德的考察，考察结果记入变更申请表。 4.5办公室根据需要，对临时工作人员或外来服务人员进行必要的资格认定和监控。 4.6 各部门负责人应当意识到员工的个人现状会影响他们的工作。如果发现员工个人或财政问题、行为或生活方式的更改，重复的缺勤、压力或压抑迹象可能导致欺诈、盗窃、差错或其它安全隐患，应及时采取必要的防范措施。

48、 5 离职措施 5.1员工离职涉及密级控制程序的保密事项，应按要求采取相应的保密措施。 5.2 部门要加强员工离职时的涉密资料、口令等的交接工作。 5.3部门在员工离职后要采取相应的技术防范措施（如变更口令、程序等），必要时应与办公室协调。 5.4公司和部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获得的公司的商业和技术秘密。 6 离职程序 6.1 员工必须在离职日前30天向本部门负责人提出书面离职报告。 6.2 部门负责人接到员工离职报告后，填写变更申请表，签署意见后送办公室。 东莞市有限公司 6.3办公室负责人、公司主管领导和总经理审批。 6.4员工离职得到批准

49、，由部门通知离职员工来办公室办理离职手续。离职员工在离职日前必须把担当的部门工作移交完毕。 6.5 办理离职手续 6.5.1 离职员工到办公室索取员工离职手续单。 6.5.2 离职员工按员工离职手续单的内容至公司各部门办理移交手续，各相关部门负责按照用户访问控制程序取消离职员工的访问权限。 6.5.3 离职员工移交完毕后，由办公室将职工离职通知单交于财务部。 6.5.4 设计部、车间部门、质量部及其他员工离职必须签订第三方保密协定。 6.5.5员工离职后如发生泄密情况，应承担由此涉及的法律责任。 7 相关/支持性文件 ?用户访问控制程序 ?密级控制程序 8 记录 文件编号：ISMS-COP08

50、 状态：受控 编写：信息安全管理委员会 2018年05月10日 审核： 2018年05月10日 批准：陈世胜 2018年05月12日 发布版次：A/0版 2018年05月12日 生效日期： 2018年05月18日 分发：各部门 接受部门：各部门 变 更 记 录 内部审核管理程序 内部审核管理程序 1 适用 本程序适用于本公司内部审核（简称：内审）工作的实施和管理。 2 目的 明确内审的实施方法，保证内审定期有效地实施，为管理评审和持续改进提供依据，确保质量体系和信息安全管理体系的有效运行。 3 审核组织 3.1 办公室负责内部审核的计划的制定、实施、顺利地进行内审。 3.1.1办公室的职责 1

51、) 制定年度内审计划 办公室根据客户或外部审核结果以及前年度内审结果，来制定下年度内审计划。可根据需要（例如重要目标未达成时，或发生严重不符合项时）进行修改，并通知相关部门。 2) 审核实施时的联络 办公室全面负责内审活动的联络，在同各有关部门协调后，以电子媒体的形式来发送实施通知，并用电话确认。 3) 各种审核文件的发行、管理 办公室对各种审核文件取号并进行台帐管理，发行、送配也由办公室实施。 4) 内审员的登录、管理 由办公室编写内审员的登录清单，并进行维护管理。 5) 内审结果的总结 办公室每年年底总结内审的结果、编写报告，提交最高管理层进行管理评审。 3.1.2关于审核事项的批准 1)

52、 关于审核年度计划的策划、制定以及内审员的任命、登录等事项，由管理者代表或其指定代理人员批准； 2) 关于审核的实施及报告书等事项，也由管理者代表或其指定代理人员批准。 3.2 内审员 3.2.1 内审员的登录 根据以下的程序登录内审员。 1) 候补内审员的选定 各部门长根据业务情况选定本部门的候补内审员，候补内审员一定要是本公司的正式员工。 2) 内审员的培训 选定的候补内审员必须通过办公室主办的培训课程。 这个培训课程由具备资格的人员对各部门选出的候补内审员进行培训。 培训基本包括以下内容：信息安全管理体系标准；信息安全管理手册；本程序等。 3) 办公室依据候补内审员的培训结果，向办公室主

53、任或其指定代理人员提出申请。 4) 办公室主任或其指定代理人员根据申请书，并判断其作为内审员的登录。 5) 由办公室编写内审员登录清单并存档。 3.2.2内审员资格的登录、撤消 1) 内审员的登录 由办公室负责登录新内审员。 2) 内审员资格的撤消 辞职或长期不在公司的场合；由于工作调动、安排需要，不再适合继续担任内审员的场合； 4 内审的实施 4.1.审核前准备 4.1.1 办公室 办公室根据年度计划书编写各要求、各部门的内部审核计划，并指定内审小组 1) 内审小组由2名以上内审员组成； 2) 审核员必须与被审核部门没有直接责任关系； 3) 根据内审员的业务经验、审核实施的经验来指名内审组长

54、； 4) 协调、联络内审员与被审核部门。 4.1.2内审小组成员的准备事项 1) 与被审核部门协商确定审核实施的时间； 2) 审核检查表的准备。 内审员可参考标准、手册、规程、规格书类、前次的内审指摘事项以及内部审核Checklist 等编写内部审核检查表。 4.1.3被审核部门的准备事项 1) 通知本部门的各相关人员； 2) 选定内审时的对应回答者。 4.2.审核的实施 审核时、根据以下内容实施： 1) 首次会议 由内审组长介绍本次审核的内审员、说明本次审核的范围、目的和时间安排等。 2) 现场审核 内审员：以内部审核检查表以及办公室提供的checklist为参考、各种关联的文件为基础进行审

55、核。 实施内审时的注意点： ?检查表是内审员进行内审时的一种自用工具，主要起备忘录的作用。 ?由内审员自己收集必要的记录。 ?内审员不应以主观意志来判断不符合项（必须有客观证据）。 3) 不符合的记录 内审员：在纠正、预防措施申请书中记入不符合内容、手册或各类规程的要求条款、相关规程编号、重要度。 重大不符合： 没有执行手册中的要求事项或没有编写文件。 没有执行文件中的规定要求事项。 同类轻微不符合重复发生。 轻微不符合： 对手册、程序文件等的规定要求执行不认真，时有遗漏。 对有要求记录的事项没有进行记录。 观察事项：基本符合要求事项，但在操作性和效果性方面还可加以改善的方面。 4) 末次会议

56、 内审员：向被审核部门的处理人说明不符合事项的内容。 4.3 内审结果的报告 1) 内审小组在内审结论报告中记入审核结果。发现不符合事项时，在纠正、预防措施申请书中记入不符合内容、重要度，并委托被审核部门调查、分析发生原因和纠正措施内容的记入。纠正措施责任部门必须在2周内作出回答。内审组长要对纠正、预防措施申请书的内容进行批准。发现有观察事项时，可以记录在“观察事项记录用纸”上。另外，把填写完毕的内审结论报告、纠正、预防措施申请书、“观察事项记录用纸”以及内部审核检查表送交办公室。 2) 办公室在确认了内审结论报告、纠正、预防措施申请书、“观察事项记录用纸” 中的记入内容后，登记纠正、预防措施

57、申请书、内审结论报告的编号，并将上述3份报告的原稿发行至对策部门，复印件留存办公室。 4.4 纠正措施的实施 1) 纠正措施的实行及完成确认 (1) 办公室把纠正、预防措施申请书发行至被审核部门及相关部门，委托其进行纠正措施。 (2) 对策部门：调查不符合的原因，并记录在原因分析栏中。另外，为了彻底消除导致不符合的因素，必须指定纠正措施的对策、完成期限以及指定对策实施部门。 对策部门主管：对原因分析及纠正措施对策的内容进行批准。 对策实施部门完成以上事项后，把纠正、预防措施申请书还给内审员。 (3) 纠正措施完成的场合，内审员对对策部门进行实施完成的确认后，送交办公室。 2) 纠正措施的效果确

58、认 (1) 办公室主任决定是否要进行效果确认，如需要就由内审组长进行效果确认； 如不需要就进行第(3)步。 (2) 内审组长在确认是否还有同样的不符合发生以及纠正措施的有效性后，把结果填写在纠正措施申请书上，送交办公室； (3) 办公室在确认了纠正、预防措施申请书的内容后，由办公室主任进行完成确认，如果有必要的话，委托对策部门进行再对策； (4) 完成后的纠正、预防措施申请书的原稿由办公室进行存档、复印件废弃。 5 有关报告书的保管 关系到内部审核的各种报告书由办公室保管，保管期限为三年。 6 信息安全内部审核活动应包括对各信息系统的技术性审核 进行技术性审核时，内部审核组至少拥有一名具有一定

59、信息安全技术的内部专家，审核组应在内部审核检查表中明确技术性审核的项目与要求。技术性审核应在被监督的情况下进行。 7 相关文件 信息安全管理手册 东莞市有限公司 监视和测量管理程序 文件编号：ISMS-COP09 状态：受控 编写：信息安全管理委员会2018年05月10日 审核：2018年05月10日 批准：陈世胜2018年05月12日 发布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分发：各部门接受部门：各部门 变更记录 监视和测量管理程序 1 目的 通过对各项控制措施，满足控制目标的实现程度及法律、法规符合性的监视、测量与分析，为策划、实施、持续改进信息安全管理

60、体系提供依据。 2 适用范围 本程序适用于对本公司区域内所有业务职能部门的安全保密特性控制、绩效及管理体系运行的监视和测量。 3 术语和定义 引用GB/T22080-2008、GB/T19001-2008标准及本公司信息安全管理手册中的术语和定义。 4 职责 4.1 信息安全管理者代表 4.1.1 负责掌握信息安全管理体系的总体运行情况，并向最高管理者汇报，对最高管理者负责。 4.1.2 负责每月组织对本公司职能部门目标、指标的完成情况进行考核。 4.2办公室 4.2.1负责本程序的编制、修订和监督实施。 4.2.2 负责每月对各职能业务部门进行监视和测量，对各职能业务部门的监视和测量执行情况