2016信息安全管理体系管理手册及程序文件

22080-2016/r/n信息安全管理体系管理手册及程序文件/r/n信/r/n息/r/n安全管理手册/r/n目录/r/n./r/n概述/r/n目的/r/n适用范围/r/n颁布令/r/n授权书/r/n.依据文件和术语/r/n.1/r/n依据文件/r/n./r/n2/r/n术/r/n语定义/r/n./r/n裁剪说明/r/n4,/r/n组织环境/r/n.!/r/n组织环境描述/r/n信息安全相关方的需求和期望/r/n信息安全管理体系范围的确定/r/n体系概述/r/n./r/n领导カ/r/nI/r/n领导カ和承诺/r/n信息安全方针和目标/r/n组织角色、职责和权限/r/n./r/n策划/r/n风险评估和处置/r/n目标实现过程/r/n./r/n支持/r/nI/r/n资源提供/r/n2/r/n信息安全能力管理/r/n3/r/n意识培训/r/n4/r/n信息安全沟通管理/r/n5/r/n存档信息控制/r/n./r/n运行/r/n体系策划与运行/r/n./r/n绩效评价/r/n9.1/r/n能力评价/r/n9./r/n2/r/n有效性测量/r/n9.3/r/n内部审核/r/n9./r/n4/r/n管理评审/r/n./r/n改进/r/nn/r/n.信息安全总体控制/r/nA./r/n5/r/n信息安全策略/r/nA./r/n6/r/n信息安全组织/r/nA./r/n7/r/n人力资源安全/r/nA./r/n8/r/n资产管理/r/nA./r/n9/r/n访问控制/r/nA.10/r/n密码控制/r/nA./r/n11/r/n物理和环境安全/r/nA./r/n12/r/n操作安全/r/nA./r/n13/r/n通信安全/r/nA./r/n14/r/n系统获取、开发和维护/r/nA./r/n15/r/n供应商关系/r/nA./r/n16/r/n信息安全事故/r/nA./r/n17/r/n业务连续性管理的信息安全方面/r/nA./r/n18/r/n符合性/r/n附件ー:信息安全组织架构映射表/r/n附件二:信息安全职责分配表/r/n为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,/r/nXXX/r/n软件有限公司（以下简称“公司”）依据信息安全管理标准/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息/r/n技术/r/n安全技/r/n术/r/n信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需/r/n求，/r/n己建立实施了一套科学有效的信息安全管理/r/n体系，/r/n并通过体系的有效运行，实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。/r/n目的/r/n本总纲为公司信息安全管理体系的纲领性文件,描述/r/n了/r/n信息安全管理体系的方针、目标、管理机制和要求等方面的内容。/r/n通过建立策划/r/n（P）/r/nつ执行/r/n（D）/r/nラ检查/r/n（C）/r/nつ改进/r/n（A）/r/n的持续改进机制，不断提高公司的信息安全管理水平,确保日常信息安全管理活动的安全、稳定、高效,提升企业核心竞争力。/r/n适用范围/r/n本总纲所描述信息安全管理体系适用/r/n于/r/n公司所有部门,所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、/r/n人/r/n员的信息安全、数据的安全等在内的各项信息安全管理相关活动。/r/n颁布令/r/n为提高信息安全管理水平,贯彻落实/r/n“以/r/n客户为中心,将安全意识融/r/n入日/r/n常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。”的基本方针,保障公司的生产、经营、服务和日常管理活动,防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,公司特/r/n依/r/n据/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息/r/n技术/r/n安全/r/n技/r/n术信息安全管理体系要求》标准要求,建立/r/n了/r/n文件化的信息安全管理体系。/r/n本体系是信息安全管理的纲领性文件,是指导公司建立并实施信息安全管理体系的纲领和行动准则,用于贯彻信息安全管理方针,实现信息安全管理体系的有效运行和持续改进。/r/n全体员エ必须严格按照本总纲的要求,/r/n自/r/n觉贯彻管理方针，严格执行本总纲的各项规定,努力实现公司生产运行和日常办公的安全。并传达给外部相关方。/r/n本手册自颁布之日起生效执行。/r/n公司总经理:/r/nXXX/r/n授权书/r/n为了贯彻执行信息安全/r/n管理/r/n体系,满足/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信/r/n息技术安全技/r/n术/r/n信/r/n息安全/r/n管理/r/n体系要求》的要求,加强对信息安全/r/n管理/r/n体系建设和持续运行的领导工作,特任/r/n命ー/r/nXXX_/r/n先生为公/r/n司信/r/n息安全/r/n管理者/r/n代表。/r/n授权信息安全/r/n管理者/r/n代表有/r/n如下职/r/n责和权限:/r/n1）/r/n领导信/r/n息安全/r/n管理/r/n体系的建立、运行和维护,开展资产识别和风险评估;/r/n2）/r/n协调与信/r/n息安全/r/n管理/r/n体系有关的各项工作;/r/n3）/r/n确保提高员エ信息安全意识;/r/n4）/r/n督促信/r/n息安全/r/n管理/r/n体系内部审核和信息安全检查的开展；/r/n5）/r/n协助最高/r/n管理者进行信/r/n息安全/r/n管理/r/n体系的/r/n管理/r/n评审；/r/n6）/r/n向最高/r/n管理者/r/n报告信息安全/r/n管理/r/n体系的业绩和改进要求。/r/n本授权书自任命日起生效执行。/r/n公司总经理:/r/nXXX/r/n./r/n依据文件和术语/r/n依据文件/r/n本总纲的/r/n制定/r/n参考并依据/r/n了/r/n下列文件资料,详见/r/n《符合/r/n性实施/r/n制度》。/r/n1）/r/n法律法规:是指我国颁布的、所有相/r/n关/r/n且具有约束和指导作用的法律、法规;/r/n2）/r/n监管规/r/n定:是指/r/n证监会/r/n及其分支机构颁布的/r/n具有/r/n约束和指导作用的所有文件、规定等;/r/n3）/r/n文件:公司下发的对/r/n信/r/n息业务系统、信息安全/r/n管理/r/n等有约束力和指导作/r/n用/r/n的所有文件;/r/n4）/r/n国际惯例:是/r/n指/r/n开展业务以及提供信息安全建设过程中必须遵循的/r/n具有/r/n约束和指导作用的国际通用惯例;/r/n5）/r/n标准：/r/n>/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技术安全技/r/n术/r/n信息安全/r/n管理/r/n体系要求》;/r/n术语定义/r/n1）/r/n信/r/n息安全:对信息的机密性、/r/n完/r/n整性和可用性的保护;/r/n2）/r/n机密性：确/r/n保信/r/n息仅供给/r/n那/r/n些获得授权的人使用;/r/n3）/r/n完/r/n整性：保护信息及/r/n信/r/n息处理方法的准确性和/r/n完全/r/n性;/r/n4）/r/n可用性：确保获得授权使用该信息及/r/n信/r/n息系统的人/r/n能/r/n及时、可/r/n靠/r/n地使用;/r/n5）/r/n风险评估:评估信息及信息处理系统所存在的或可能产生的威胁、影/r/n响/r/n和薄弱环节,是风险分析和风险评价的全过程;/r/n6）/r/n风险管理：指导和控/r/n制/r/n组织通过区分、控/r/n制、/r/n减少或去/r/n除/r/n等方法将风险/r/n控制在可承受范围内的活动;/r/n./r/n裁剪说明/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技/r/n术/r/n安全技/r/n术/r/n信息安全管理体系要求》的条款与公司信息安全管理体系的适用关系,详见《信息安全管理体系适用性声明/r/n（S0A）/r/n》/r/n。/r/n./r/n组织环境/r/n组织环境描述/r/n1/r/n、/r/n外部组织关系/r/nXXX/r/n有限公司成立于/r/n2001/r/n年,是中国领先的呼叫中心与云计算应用服务提供商。公司倡导“人性/r/n化/r/n科技帮助客户提升业/r/n绩”,/r/n致カ于帮助企业/r/n利用/r/n云计算技/r/n术,以/r/n客户为中心,协同各种经营资源,改善营销流和服务流,/r/n从/r/n而提/r/n高人/r/n均产值,重塑客户体验。讯鸟软件是中国云计算应用//r/nSaaS/r/n、/r/nPaaS/r/n应用的先驱,/r/n从/r/n2005/r/n年即开始研发云计算/r/nSaaS/r/n产品,拥有上/r/n百人/r/n的云计算专业研发队伍、国内一流的云计算业务咨询顾问和运营服务团队,拥有/r/n50/r/n余项自主知识/r/n产权。/r/n2/r/n、法律法规环境/r/n公司应遵循信/r/n息/r/n安全/r/n法律/r/n法规要求/r/n和义务/r/n,避/r/n免/r/n员エ违/r/n反/r/n法律、法规的/r/n要求,/r/n控制相关/r/n法律/r/n风险。具体要求见《符合性实施制度》。/r/n3/r/n、/r/n组织架/r/n构/r/n及部门职责/r/n公司组织架构图如/r/n下,部/r/n门包括总裁/r/n办、/r/n行政部、/r/n人力/r/n资源/r/n部、商/r/n务采购/r/n部、/r/n财务部、产品部、销售/r/n部、/r/n服务部、研发部、测试部。如下图所/r/n示:/r/n研/r/n发/r/n服/r/n务/r/n体系/r/n研/r/n发/r/n服/r/n务/r/n体系/r/n1）/r/n总裁办/r/n负责协助总裁执行日常工作计划和/r/n其/r/n他工作安排;执行相关信息安全/r/n管理/r/n规章/r/n制度。/r/n2）/r/n行政部/r/n负责公司各项行政事务管理工作;/r/n完/r/n善公司内部控/r/n制/r/n制度建设;负责日常行政事务工作和办公设施、办/r/n公/r/n场所等/r/n管理/r/n工作；上级领导交办的其他工作；负责制定并执行相关信息安全管理的规章制度。/r/n3）/r/n人力/r/n资源部/r/n负责/r/n人力/r/n资源规划的制定、实施及/r/n完/r/n善；负责组织机构方案、人员编制、/r/n岗/r/n位评价方案的研拟与执/r/n行；/r/n负责培训/r/n体系、/r/n绩效考评体系的制定、实施及追踪；负责公司/r/n人力成本/r/n的预算及调控；部门费用预算的控制；负责企业文化的建立、宣传及推动；员エ职业生涯的规划/r/n设计；/r/n负责员エ的招聘、高级/r/n人才的/r/n引进；执行相关信/r/n息/r/n安全/r/n管理/r/n的规章/r/n制度。/r/n4）/r/n商务采购部/r/n负责公司/r/n第三/r/n方服务业务谈判及组织实施；负责各项/r/n第三/r/n方服务业务合同的保管、查询、建立合同档案,定期检查合同执行情况,不断完/r/n善/r/n合同的各项条款；负责各项/r/n第三/r/n方服务业务合同的签订、变更、执行、终/r/n止；/r/n负责各种促销活动方案中商户的协调和落实；执行相关/r/n信/r/n息安全/r/n管理/r/n的规章制度；/r/n5）/r/n财务部/r/n围绕公司的经营发展规划和工作计划,负责编/r/n制/r/n公司财务计划和费用预算，有效地筹划和运用公司资金；财务制度的建设和规范的制定；做好财务统计和会计账目、报表及年终结算工作,并妥善保管会计凭证,/r/n账/r/n簿、报表和其他档案资料；财务部日常/r/n管理/r/n工作,/r/n部/r/n门人员的/r/n管理、/r/n培训、考/r/n核；/r/n建立健全公司内部核算的组织、指导和数/r/n据/r/n管理/r/n体系,/r/n以/r/n及/r/n核/r/n算和财务/r/n管理/r/n的规章制度；做好公司各项资金的收取与支出管理工作；执行相/r/n关/r/n信息安全管理的规章制度。/r/n6）/r/n产/r/n品部/r/n为/r/n公司提供准确的行业/r/n定位,/r/n及时提供市场信息反馈；制定和实施年度产品推广计划和/r/n新/r/n产品开发计划/r/n（依/r/n据市场需求的变化，要提出合理化建议）/r/n；/r/n依据市场变化要随时调整产品战略与营销战术（包括产品价格的调整等）,并组织相关人员接受最新产品知识的培训;制定公司品牌管理与发展策略,维护公司品牌;管理、监督和控制市场政策执行情况;执行相关信息安全管理的规章制度。/r/n7）/r/n销售部/r/n负责产品或服务的销售工作；负责代理人市场的推广,特别是战略客户的市场推广策略并实施；负责制定并管理销售业务流程；负责对销售业务流程执行的监督；执行相关信息安全管理规章制度。/r/n8）/r/n服务部/r/n负责对本部门新员エ的工作技能进行培训,并进行考核；负责云端产品部署、管理、维护、运营和服务运营质量的管理和提升工作；负责客户关系的维护、客户的技术培训、合同的执行,项目验收等相关工作；负责大数据的运营、自建呼叫中心平台及云端产品的客户业务和售后服务工作,保证客户的满意度；负责制定和执行服务运营及环境维护管理规章制度和相关信息安全管理的规章制度。/r/n9）/r/n研发部/r/n负责提供符合客户要求和认可的技术支持和解决方案；承担产品设计和开发工作;负责技术方案的评审工作，保证技术方案的可行性；负责组织和协调开发项目的资源,保证项目按计划进行；负责制定项目计划,并根据各种变化修改项目计划；制定有效的项目决策过程；负责实施项目的管理、开发、质量保证过程,确保客户的成本、进度、绩效和质量目标；负责确保在项目生命周期中遵循实施公司的管理和质量政策；负责招聘和培训必须的项目成员；负责确定项目的人员组织结构;进行风险管理；负责定期举行项目评估/r/n（review）/r/n会议；负责为项目所有成员提供足够的设备、有效的工具和项目开发过程；负责有效管理项目资源；负责制定并执行相关信息安全管理的规章制度。/r/n10）/r/n测试部/r/n负责协调业务管理体系下各部门工作；负责源代码及软件的完整性、可用性、功能、性能进行系统性测试；负责对各业务系统及运行环境进行系统性测

/r/n试和安全性检测;负责对源代码资源系统管理及备份;负责制定并执行相关信息安全管理的规章制度。/r/n信息安全相关方的需求和期望/r/n公司信息安全相关方包括认证单位、客户、供应商、内部部门及员エ等。各/r/n相关方的信息安全要求和期望均应及时识别,并在实际业务开展时应遵照执行。/r/n相关方/r/n识别原因/r/n信息安全要求和期望/r/n更新频率/r/n识别方法/r/n认证单/r/n位/r/nIS027001/r/n符合体系标准要求方可通过认证/r/n相关资质的信息/r/n安全要求/r/n认证/r/n标准发布/r/n周期/r/n与认证单位联系/r/n客户/r/n合同关系/r/n合同中要求的信/r/n息安全内容/r/n合同要求更新周期/r/n合同/r/n供应商/r/n合同关系/r/n合同中要求的信息安全内容/r/n合同要求更新周期/r/n合同/r/n内部部门及员エ/r/n信息安全/r/nエ/r/n作执行层/r/n各部门实际工作中的信息安全要求/r/n个人隐私安全/r/n不定/r/n期/r/n安全/r/n会/r/n信息安全管理体系范围的确定/r/n体系范围的确/r/n定/r/n主要考虑到公司的实际业务特点和资源的合理利用,在公司范围内建立信息安全管理体系,有利于全面的提高公司信息安全管理水平,保障业务稳定发展的需求。/r/n•/r/n业务范围:/r/n云呼叫中心软件平台的开发及运维、呼叫中心业务及相关信息服务;/r/n•/r/n物理范围:/r/n北京市海淀区知春路/r/n113/r/n号银网中心/r/nA/r/n座/r/n302-304/r/n室;/r/n•/r/n资产范围:/r/n支撑业务活动的文档、数据、软硬件系统、物理环境、人员/r/n及支持性第三方服务、无形资产（专利）等全部信息资产;/r/n组织范围:总/r/n裁办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。/r/n体系概述/r/n公司依据/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技术安全技术信息安全管理体系要求》的要求,同时考虑行业的特点,从业务需求出发,遵从风险管理的理念,注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技/r/n术、/r/n管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件,保障公司信息的保密性、完整性和可用性，确保各项业务的连续性。/r/n5./r/n领导カ/r/n领导カ和承诺/r/n由公司负责人授权管理者代表全权负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色,协调与信息安全管理体系有关的各项工作。/r/n信息安全方针和目标/r/n信息安全方针:/r/n以/r/n客户为中心，将安全意识融/r/n入日/r/n常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。/r/n信息安全目标:/r/n为落实上述方针,公司定/r/n义/r/n如下信息安全目标:/r/n1）/r/n全年不发生重大信息安全事件和二级以上运行安全事故;/r/n2）/r/n重要保障时期不发生三级以上安全事件。/r/n组织角色、职责和权限/r/n•/r/n信息安全管理体系负责人（工作小组组长）：/r/n1）/r/n负责组织建立、实施、保持和改进信息安全/r/n管理/r/n体系,保证信息安全体系的有效运行;/r/n2）/r/n负责公司/r/n信/r/n息安全/r/n管理/r/n手册/r/n（一/r/n级）的审/r/n核,/r/n制度/r/n文件/r/n（二/r/n级）的/r/n审/r/n批;/r/n3）/r/n组织并领导公司内部审核工作;/r/n4）/r/n负责组织发起/r/n信/r/n息安全/r/n管理/r/n体系的/r/n管理/r/n评审工作；/r/n5）/r/n负责向领导小组报告/r/n信/r/n息安全体系运行的业绩和任何改进的需求。/r/n•/r/n信息安全工作小组:/r/n1）/r/n负责本部门的/r/n信/r/n息安全/r/n管理/r/n工作，负责保护本部门/r/n所管理、/r/n使用的信息资产的安全；/r/n2）/r/n负责指导和要求本部门员エ/r/n遵守信/r/n息安全政策；/r/n3）/r/n组织落实部门/r/n信/r/n息安全纠正措施（包括内部审核整改意见）和/r/n预防措施。/r/n•/r/n公司全体员エ:/r/n1）/r/n严格遵守所有与信息安全相关的国家法律、法规和政策,遵守公司所有的信息安全政策,并签字承诺遵守保/r/n密/r/n协议的有关规定；/r/n2）/r/n以/r/n安全负责的方式使用公司的/r/n信/r/n息资产；/r/n3）/r/n积极/r/n参加信/r/n息安全教育与培训,提/r/n高信/r/n息安全意识；/r/n4）/r/n有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全/r/n管理/r/n员及其/r/n他/r/n相/r/n关/r/n人员。/r/n6./r/n策划/r/n风险评估和处置/r/n为建立和实施信息安全管理体系,公司信息安全管理采用过程方法,把与信息安全相关的资源和活动作为过程来管理，即应用/r/nPDCA/r/n过程方法,持续改进信息安全管理体系。具体包括:/r/n1）/r/n识别并确定信息安全管理体系相关的策略、目标、过程和制度，改进信息安全以达到期望的结果;/r/n2）/r/n依据“过程模式”确定上述过程的顺序和相互关系;/r/n3）/r/n将过程充分展开,明确信息安全控制点,编制形成信息安全管理体系文件;/r/n4）/r/n配置适当的资源，提供必要的支持和信息，/r/n以/r/n保证过程的有效运作；持续测量、监控和分析这些过程,并进行必要的改进。/r/n风险评估及机遇/r/n信息安全管理领导小组应定/r/n义/r/n并应用风险评估过程，识别影响业务的潜在风险及发展机遇/r/n以:/r/n./r/n建立和维护信息安全风险标准，包括:/r/n1）/r/n风险接受标准;/r/n2）/r/n实施信息安全风险评估的标准。/r/n./r/n确保信息安全风险评估活动一致性,产生有效的和可比较的结果；/r/n./r/n识别信息安全风险;/r/n1）/r/n在信息安全管理体系范围内,通过信息安全风险评估流程,识别由于信息的机密性、完整性和可用性的丧失带来的风险；/r/n2）/r/n识别风险责任/r/n人。/r/n./r/n分析信息安全风险；/r/n1）/r/n评估识别的风险产生的潜在后果；/r/n2）/r/n评估识别的风险转化为事件的可能性；/r/n3）/r/n确定风险的等级/r/n./r/n评价信息安全风险:/r/n1）/r/n将风险分析结果与所定/r/n义/r/n的风险标准进行比较;/r/n2）/r/n根据风险等级确定风险处置的优先级。/r/n风险处置/r/n信息安全管理领导小组应定/r/n义/r/n和实施信息安全风险处置过程:/r/n1）/r/n依据风险评估的结论,选择适当的信息安全风险处置方式;/r/n2）/r/n确定信息安全风险处置所需的各项控制措施;/r/n3）/r/n将风险处置中所选的各项控制措施的和标准附录/r/nA/r/n中的控制措施进行比较,确保没有遗漏必要的控制措施；/r/n4）/r/n制定具备必要控制措施的适用性声明/r/nSOA,/r/n适用性声明要包含必要的控制措施、对包含的控制措施的合理性说明（无论是否实施）/r/n以/r/n及对标准附录/r/nA/r/n控制措施删减的合理性说明；/r/n5）/r/n制定信息安全风险处置计/r/n划；/r/n6）/r/n需得到风险责任/r/n人/r/n对信息安全风险处置计划和残余风险接受的审核。有关风险评估和处置的具体操作指导详见《风险评估管理制度》。/r/n目标实现过程/r/n信息安全/r/n目/r/n标将通过对信息安全风险的来源识别、风险处置、风险跟踪验证、/r/n以/r/n及信息安全管理体系各流程的落地跟踪,举行不定期的安全评审会议的综合过程来实现,同时保留相关文档内容。/r/n整体信息安全/r/n目/r/n标实现过程内容如/r/n下;/r/n./r/n风险来源/r/n1）/r/n日常信息安全风险管理工作:月度安全工作会议中发现的信息安全问题进行评估,并全部进行风险处置。/r/n2）/r/n每年进行一次集中风险评估工作,具体开展过程为：定期的信息安全风险评估活动:每年开展信息安全风险评估活动,并根据信息安全风险接受水平对活动中发现的中、高风险进行处置。/r/n3）/r/n做好各体系流程监控工作:做好生产运营和信息安全相关的信息资产管理、系统交付投产、运行监控、变更管理、数据提取与使用、补丁管理、密钥管理、移动介质管理、病毒防范、应急处理和安全运营奖惩、故障分级评估、事故问责等方面的制度/r/n或/r/n流程的运行情况监控,发现问题及时纠正。每年对各流程要求进行回顾、评估和更新。/r/n./r/n风险处置/r/n1）/r/n针对以上途径发现的信息安全风险,各部门负责制定相应的整改计划。针对信息安全管理类风险如因制度/r/n或/r/n流程的缺失、制度/r/n或/r/n流程/r/n未/r/n严格执行造成的安全风险,由责任部门新增安全管理制度及流程或监督本部门员エ严格执行安全制度。/r/n2）/r/n针对信息安全技/r/n术/r/n类风险如渗透测试、主机扫描发现的安全漏洞,由公司/r/n技术/r/n部门统一负责整改。对于部分需要通过新增安全设备才能完全消减的风/r/n险,/r/n在公司经济条件许可的情况下,由责任部门负责采购并部署。/r/n./r/n信息安全风险处置的监督和验证/r/n信息安全工作组负责督促并监督各组对信息安全风险的处置。针对信息安全管理类风险的处置情况，由信息安全工作组通过定期安全内审的方式进行验证。针对信息安全技/r/n术/r/n类风险的跟踪,由信息安全工作组负责对安全漏洞的整改情况进行复查验证。/r/n./r/n评价周期及起始时间/r/n对安全目标实现的评价,信息安全工作组每年组织召开信息安全管理评审会议,并邀请公司领导层参会,由信息安全管理/r/n体系/r/n负责人汇报信息安全管理体系运行状况及/r/n目/r/n标达成情况,与参会人员共同讨论、最终评价信息安全目标的达/r/n成/r/n情况。/r/n信息安全管理目标的实现,/r/n不/r/n强制/r/n依/r/n赖于每年一次的信息安全管理评审会/r/n议,具体的信息安全管理目标的达成情况判定,可通过每月的信息安全会议,并根据目标达成情况,采取相应的纠正预防措施。/r/n7./r/n支持/r/n资源提供/r/n公司领导层应确保提供以下方面所需的资源:/r/n1）/r/n实施、保持管理体系并/r/n持/r/n续改进其有效性所需的各种资源;/r/n2）/r/n满足客户要求,提高客户满意度所需的各种资源。/r/n编制了《人力资源管理制度》,公司根据人员的学历、技能和经验,组织面向全员的信/r/n息/r/n安全意识培训及面向特定/r/n人/r/n员的专业/r/nIT/r/n技能培训,确保/r/n其/r/n能胜任工作。/r/n信息安全能力管理/r/n结合当前信息安全管理认证范围,对员エ信息安全能力管理主要从以下几方面出发来/r/n实现:/r/n1）/r/n影响信息安全执行工作的人员岗位,在岗位设立时应明确信息安全能力的要求,并在招聘时严格把关（例如学历教育、能力测试等）/r/n；/r/n2）/r/n确/r/n保人/r/n员在适当教育、培训和经验的基础上能够胜任工作;在/r/n人/r/n员调岗时,应考虑相关/r/n人/r/n员信息安全能力的确定和培养。/r/n3）/r/n保留培训记录作为能力培养的证据。/r/n意识培训/r/n每季度对当季入职的所有新员工进行信息安全意识培训并进行考试,对于信息安全小组成员应进行岗位相关的信息安全专业培训/r/nI,/r/n对于信息安全岗位的工作人员（如系统管理员）应安排专业技能培训。/r/n信息安全沟通管理/r/n公司的利益相关方由三类/r/n群体/r/n构/r/n成，/r/n分别是客户、员エ、供应商。针对不同的相关方群体，沟通方式分为内部和外部两类,并建立起不同的沟通机制和联系通讯录,以及时了解来自利益相关方的信息安全要求/r/n或/r/n将公司的信息安全要求传达给利益相关方。/r/n沟通对象/r/n沟通机制与形式/r/n沟通内容/r/n沟通频率/r/n沟通责任部门/r/n

/r/n客/r/n户/r/n客户满意度调/r/n杳/r/n改善服务,提/r/n升/r/n客户满/r/n意度/r/n客户对信息安全的要/r/n求/r/n信息安全相关情况及问题沟通信息安全事件通报/r/n定/r/n期、/r/n发生/r/n时/r/n服务部/r/nロ/r/n贝/r/nェ/r/n信息安全意识/r/n培训/r/n1/r/n信息安全目标和方针/r/n信息安全制度要求/r/n信息安全职责/r/n信息安全意识调查/r/n不定/r/n期/r/n信息安全/r/n小组/r/n供/r/n应商/r/n供应商评价项目合作邮件往来/r/n电话咨询/r/n供应商服务评价公司信息安全要求信息安全咨询建议信息安全事件响应和/r/n处理/r/n不定/r/n期/r/n商务采购/r/n部/r/n存档信息控制/r/n存档信息是指支撑和维持公司信息安全管理体系运行的相关信息,以确保存储信息能够符合信息安全管理目标,体现形式包括（但不限于）如下内容:/r/n1）/r/n^GB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技术安全技术信息安全管理体系要求》所要求的管理手册;/r/n2）/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技术安全技术信息安全管理体系要求》所要求的制度文件和作业指导书,即各项流程管理办法、管理办法、实施细则等;/r/n3）/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技术安全技术信息安全管理体系要求》所要求的各项记录和日志；/r/n4）/r/n信息安全管理体系运行所需要的其他相关信息,包括但不限于文档、数/r/n文件架构/r/n信息安全管理体系文件包括四个层次:即信息安全管理手册、管理办法/制度类文件、管理办法/实施细则/操作指南类文件、记录/日志。如下图所示:/r/nIt/r/n作播幻.技/r/n术/r/n手能/r/n裏/r/nWJS/r/n各层级文件所关注的内容依次如下:/r/nー阶文件:关于信息安全管理体系的策略声明文件,即信息安全管理手册。/r/n二阶文件:关于/r/n＜GB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技术安全技术信息安全管理体系要求》各个控制域的标准指南文件,体现信息安全管理/r/n体/r/n系在各个方面的/r/n目/r/n标规范和基/r/n本/r/n要求。/r/n三阶/r/n文件:关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制和对具体业务工作的安全管理要求。/r/n四阶文件：关于信息安全体系运行的各类记录和报告,/r/n体/r/n现各项工作能够按照文件的具体要求有效开展。/r/n具体文件见《信息安全管理体系文件矩阵表》。/r/n文件控制/r/n公司对信息安全管理体系的相关文件进行全面控制,以满足/r/n《/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n信息技/r/n术/r/n安全/r/n技/r/n术信息安全管理体系要求》标准,具体要求包括：/r/n1）/r/n确保文件编制、评审、批准、发放、使用、修改、作废得到有效的控制;/r/n2）/r/n确保文件清晰可辨,版本标示清楚,易于识别和检索;/r/n3）/r/n确保在使用时可获得最新、有效版本的适用文件;/r/n4）/r/n确保外来文件得到识别,对文件的分发加以控制;/r/n5）/r/n对不同媒体和不同种类的文件，采取相应的控制；/r/n6）/r/n防止作废文件的非授权使用,保留作废文件时,需对这些文件进行明确的标识。/r/n公司对信息安全管理体系文件的控制、文件分发及保管等控制做出规定,明确体系文件的最新版本应从指定保管部门获得,相关控制要求参见《文档管理规范》。/r/n记录控制/r/n为提供符合信息安全管理体系要求的证据且体现体系的有效运行,保证管理过程的可追溯性,公司编制并实施了相关制度文件和流程管理办法及实施细则，通过规定信息安全管理相关记录的标识、收集、归档、保管、借阅、销毁和检查等要求，确保相关记录能够保持完备、易于识别和检索。/r/n建立相应的信息记录控制清单并明确责任部门、保存期限及存档要求,相关控制要求参见《记录控制制度》。/r/n8./r/n运行/r/n体系策划与运行/r/n公司依据/r/nPDCA/r/n的持续改进模型建立信息安全管理体系。/r/n体系的策划/r/n1）/r/n确定体系的管理范围、方针和目标；/r/n2）/r/n依据/r/nGB/T22080-2016/IS0/IEC/r/n27001:2013/r/n要求和公司管理要求，进行/r/n差距和信息安全风险评估;/r/n3）/r/n设计符合公司业务特点的信息安全管理体系架构;/r/n4）/r/n建立安全管理规范,制定表单、计划、报告模板等;/r/n5）/r/n落实岗位、角色和职责。/r/n体系的实施和运行/r/n1）/r/n为确保信息安全管理体系的正常运行,公司进行如下部署以确保体系的执行力;/r/n＞/r/n实施信息安全意识培训；/r/n＞/r/n严格按照管理体系要求,保留运行记录,确保工作过程可追溯、工作结果可考核。/r/n9,/r/n绩效评价/r/n能力评价/r/n员エ所在部门领导通过日常工作情况,/r/n根/r/n据岗位工作成绩量化指标,对员エ的岗位目标进行量化考核,同时对重要岗位人员的信息安全能力进行评估。如发现信息安全能力不足,相关部门负责人应及时向人力资源管理部提出。/r/n人カ/r/n资源管理部应从以下方面保证员エ信息安全能力满足要求。/r/n＞/r/n招聘信息安全能力合格的新员エ;/r/n＞/r/n通过培训提高现有人员的信息安全能力;/r/n＞/r/n购买信息安全服务,弥补信息安全不足可能造成的风险。/r/n有效性测量/r/n定期/r/n依/r/n据有效性测量的项目和目标值对信息安全体系运作的有效性进行测量,对测量的结果进行分析和评价,并编制相关报告。/r/n信息安全管理体系控制措施有效性测量是实现信息安全管理体系目标的重/r/n要保障机制,应按照循序渐进、持续改进的原则,紧密结合信息安全方针,实现控制措施的可监督和可测量,逐步完善测量项目和目标值。参见《有效性测量控制制度》。/r/n实施流程/r/n./r/n设计测量指标/r/n信息安全工作组依据信息安全管理策略设计衡量控制措施有效性的测量指标。测量指标应集中在对公司相对重要的信息安全重点管控领域,包括但不限于:人员信息安全管理、资产管理、物理和环境管理、通讯与操作管理、访问控制、信息安全事件管理等信息安全管理领域。/r/n信息安全工作组应依据测量指标制定相应的测量方法、测量周期及目标值。/r/n信息安全工作组应将测量指标、测量方法、目标值、测量周期等信息,提交信息安全管理领导小组审核,经审核后形成有效性测量统计表。/r/n./r/n实施测量/r/n信息安全工作组应在管理评审会议召开前，依据有效性测量统计表要求的测量周期,组织各小组开展有效性测量活动。/r/n各小组信息安全员应依据有效性测量统计表定义的数据来源收集、统计信息安全管理体系运行数据，并提交信息安全工作组。/r/n信息安全工作组对运行数据进行统计分析，将测量指标的实际值记录于有效性测量统计表,并将实际值与目标值进行对比，若存在测量指标未达标项，将其提交信息安全管理领导小组确认。/r/n信息安全工作组应组织协调测量指标未达标的责任小组依据《纠正和预防控制制度》进行改善。/r/n信息安全管理体系有效性测量活动应在内审及管理评审前开展，以保证通过内审活动能有效地检验测量指标的正确性，并将有效性测量的结果作为管理评审活动的输入项。/r/n./r/n持续改进测量/r/n根据“循序渐进、持续改进”的原则,信息安全工作组负责对有效性测量指/r/n标不断进行完善。/r/n信息安全管理领导小组应对测量指标定期组织评估,结合实际环境的变化对现有的测量指标进行修订或完善。评估周期应不超过内审活动的周期（每年至/r/n少/r/n一次）,因此测量指标修订和完善的周期不能超过一年。/r/n内部审核/r/n通过定期组织内审活动,检查信息安全管理活动及其结果是否符合有关标准或文件制度要求,对信息安全管理体系运行情况进行的全面的、系统的检查和评价活动，包括检查信息安全策略、标准、规定及其他相关规章制度是否得到正确实施，信息系统是否符合技术服务和安全实施标准，安全控制措施是否得当,为体系的持续改进提供/r/n依/r/n据，确保管理体系持续有效地运行。/r/n管理评审/r/n通过定期的管理评审工作,为信息安全管理体系的适宜性、充分性和有效性的评审提供指导意见,使公司信息安全管理体系满足信息安全管理策略要求,且持续完善并有效运行,实现公司信息安全管理目标。/r/n监控和评审/r/n建立对日常工作的监控检查和对信息安全管理体系的全面、系统化的监控和评审机制。通过内审、管理评审等方式获悉信息安全管理体系的运行情况。具体包括:/r/n1）/r/n日常工作的监督检查:通过设立日常检查机制，确保员エ按照规定的要求和规范进行作业和操作，降低操作风险,提高工作效率;/r/n2）/r/n安全管理制度的落实推进，跟踪信息安全工作的开展力度,监控信息安全事件的发生情况;/r/n3）/r/n流程监控和汇报:流程经理按照各管理流程要求，跟踪监督流程执行,定期编制流程管理报告,反馈流程运行情况，分析运行的效果和效率；/r/n4）/r/n管理体系的内部审/r/n核:/r/n通过组织体系的内部审/r/n核，/r/n评价信息安全管理的执行力、有效性,识别差距和不足。具体参见《内部审核控制制度》;/r/n5）/r/n管理体系的评审:每年定期对信息安全管理体系进行评审回顾,以评价/r/n体系的适应性、充分性和有效性,从而明确下ー阶段或下一年度的改进方向和重点,记录会议纪要。具体参见《管理评审控制制度》。/r/n10./r/n改进/r/n针对信息安全管理体系在监控和评审过程中发现的问题，通过/r/n不/r/n符合和纠正措施两种方式对体系进行改进。/r/n组织应保留文件/r/n化/r/n信息作为以下方面的证/r/n据:/r/n包括不符合的性质及所采取的后续措施以及纠正措施的结果。/r/n1）/r/n不符合/r/n＞/r/n通过定期的安全总结、分析发现与当前信息安全管理文档要求存在/r/n不/r/n相符合的地方,进行相应的体系制度要求的落地;对已明确的安全管理和技术在实施过程中存在相应的执行偏差,在这样的情况/r/n下,/r/n进行相应的不符合处置措施。使之实现既定的安全目标。/r/n2）/r/n纠正措施和持续改进/r/n＞/r/n各流程或安全工作组分析自身存在的问题原因，制定切实可行的改进计划并贯彻实施。/r/n＞/r/n检查和验证改进计划的有效性。/r/n具体的做法参考《内部审核控制制度》《管理评审控制制度》及《纠正和预防措施控制制度》/r/n。/r/n11./r/n信息安全总体控制/r/nA./r/n5/r/n信息安全策略/r/n./r/n通过建立信息安全管理组织,启动和控制公司信息安全工作的实施,批准信息安全方针与策略,确定信息安全管理人员和职责分エ,协调整/r/n个/r/n信息安全管理体系的有效运行。/r/n./r/n公司还需要建立与服务客户、安全服务厂商、上级监管单位、外部安全咨询专家等外部组织的联系，以便跟踪行业趋势,学习各类先进的信息安全技术/r/n和管理手段。/r/n./r/n公司将不可避免地需要与外界进行业务往来和信息沟通,经常需要向外部组织开放其信息资产和信息处理设施。因此,需要对由于外部组织访问而带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订保密协议，向其声明公司的信息安全方针与策略，确定所需的安全控制措施。/r/nA./r/n6/r/n信息安全组织/r/n./r/n信息安全组织框架/r/n公司信息安全组织框架包括管理决策、监督检查、贯彻执/r/n行三/r/n层架构。其中,公司的管理决策职能由信息安全管理领导小组和管理者代表承/r/n担，/r/n领导公司信息安全总体工作,领导小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担,工作组由一名工作组组长及工作组成员构成,主要负责信息安全各项工作的日常监督和持续检查,信息安全工作组组长由公司安全负责人担任，其成员由各小组负责/r/n人、/r/n信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组及小组员エ承担,遵循信息安全管理要求,落实各项信息安全工作,配合监督和检查;同时,公司各小组设置专职的信息安全员（或兼职信息安全员）,负责本小组信息安全工作的具体协调和落实（具体内容参见附件ー:信息安全组织映射表及附件/r/n二:/r/n信息安全职责分配表）。/r/n管理决策/r/n信息安全管理领导小

组/r/n管浬监督/r/n信/r/n息安全工作小组/r/n贯沏执行/r/n全体员エ/r/n./r/n信息安全职责/r/n1）/r/n信息安全管理领导小组/r/n信息安全管理体系的决策机构,确定信息安全管理体系的建设方向,制订方针目标等。/r/na）/r/n确立公司信息安全和风险管理的方针政策,并贯彻落实;/r/nb）/r/n组织制定公司信息安全和风险管理的总体规划;/r/nc）/r/n对信息安全事件提出处置策略;/r/nd）/r/n研究部署和讨论决定公司信息安全和风险管理工作的重大事项;/r/ne）/r/n授权相关部门对公司信息安全工作进行考/r/n核,/r/n审批考核结果并做决策。/r/nf）/r/n每年在管理评审会上对信息安全方针进行评审。/r/n2）/r/n管理者代表/r/n由公司负责人授/r/n权全权/r/n负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色等。/r/na）/r/n提出信息安全目标,领导信息安全管理体系的建立、运行和维护;/r/nb）/r/n协调与信息安全管理体系有关的各项工作;/r/nc）/r/n确保在公司内提高员エ的信息安全意识;/r/nd）/r/n督促信息安全管理体系内部审核和信息安全检查的开展;/r/ne）/r/n协助最高管理者进行信息安全管理体系的管理评审;/r/nf）/r/n向最高管理者报告信息安全管理体系的执行情况和改进要求。/r/ng）/r/n定期举行管理评审,保证信息安全管理体系的适宜性、充分性和有效性。/r/n3）/r/n信息安全工作小组/r/n负责信息安全政策的贯彻、落实和监督检查,并协调各信息安全执行小组以及与外部组织间有关的信息安全工作。/r/na）/r/n组织识别信息安全需/r/n求,/r/n向信息安全管理领导小组提出改进建议;/r/nb）/r/n维护信息安全管理体系,组织制订和修订信息安全管理制度；/r/nc）/r/n制定风险评估计/r/n划，/r/n组织进行风险评估,制定风险处理计/r/n划；/r/nd）/r/n根据信息安全方针和风险管理总体规划,组织制定信息安全和风险管理的规章、制度；/r/ne）/r/n监督和考核各小组信息安全管理工作的执行情况;/r/nf）/r/n向信息安全管理领导小组汇报信息安全工作的执行情况。/r/ng）/r/n组织、发起信息安全相关会议，安排会议议程，提供会议材料,部署和跟踪会议决议的执行情况；/r/nh）/r/n跟踪信息安全事件处理并报告；/r/ni）/r/n组织实施内部信息安全检查和内部审/r/n核；/r/nj）/r/n组织对员エ进行信息安全意识教育和基础培训,促使日常工作的安全有/r/n序开展,同时在项目实施过程中满足相关安全规范要求;/r/nk）/r/n对各小组的信息安全工作进行监督、指导;/r/n1）/r/n与政府相关部门、外部信息安全组织、机构联系和沟通/r/n4）/r/n全体员エ/r/n根/r/n据相关信息安全要求,配合相关人员工作开展,理解并遵守/r/n本/r/n规定定/r/n义/r/n的内容。/r/na）/r/n遵守信息安全规章制度,遵循操作规范和流程;/r/nb）/r/n履行岗位信息安全职责,执行信息安全工作任务;/r/nc）/r/n作为信息资产使用者,妥善使用并保护工作所涉及的信息资产;/r/nd）/r/n及时上报信息安全事件或隐患;/r/ne）/r/n参与信息安全教育和培训。/r/nA./r/n7/r/n人力资源安全/r/n./r/n制定并实施对员エ的任用前、任用中、任用后各阶段的规定,确保员エ行为符合要求并能够忠于职守；制定并实施对外部人员合作前、合作中和合作结束后各阶段的规定,确保外部人员在公司工作期间履行其信息安全义务。/r/n./r/n对公司员工和/r/n第三/r/n方人员进行充分的信息安全意识培训,明确员エ在エ作中的信息安全职责，使其掌握所处岗位的信息安全技能；明确/r/n第三/r/n方在公司エ作时所应遵循的信息安全要求和所应履行的信息安全责任和义务。/r/n具体管理策略请参见《人力资源管理制度》/r/n《第三/r/n方服务管理规定》/r/n。/r/nA./r/n8/r/n资产管理/r/n./r/n对信息资产进行识别和管理；根据不同类型信息资产的特征,制定并实施正确使用信息资产的操作规程。/r/n./r/n基/r/n于/r/n信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求,进行相应程度的保护。/r/n具体管理策略请参见《信息资产分类分级管理制度》。/r/nA.9/r/n访问控制/r/n./r/n加强对公司资产的访问控制管理,规范用户管理、密码管理、系统配置等要求,并提出访问控制管理的各项基本要求。/r/n2,/r/n通过实施用户管理，确保相关/r/n人/r/n员获取适合其工作职责的访问权限,形成用户访问权限的清单并定期审核,用户离岗或离职时及时进行权限的调整和清除。/r/n具体管理策略请参见《访问控制管理制度》。/r/nA./r/n10/r/n密码控制/r/n通过建立制度,完善密码使用和管理,制定和实施密钥的使用,保护,使用期策略并贯穿其整/r/n个/r/n生命周期。/r/n具体管理策略请参见《密码控制管理制度》/r/n。/r/nA./r/n11/r/n物理和环境安全/r/n./r/n明确安全区域的边界,并采取适当的控制措施,如:物理隔离、门禁系统、视频监控等。/r/n./r/n准确识别并管理各类设备设施,并将其放置于适当的区域。/r/n具体管理策略请参见《物理和环境安全管理制度》和《设备管理规定》/r/n。/r/nA./r/n12/r/n操作安全/r/n.信息处理和通信设施的系统活动须具备成文的制度规范,例如备份管理、软件管理、设备管理、介质处理和防病毒及恶意软件管理等。应当为所有的信息处理设施建立必要的管理和操作职责及制度。/r/n./r/n确保每/r/nー/r/n个/r/n信息系统都能够识别容量要求,确保在必要时能够对系统的可用性和效率进行及时评估和改进。对系统未来容量的推测应考虑到新业务的开展、系统自身发展要求以及当前的信息处理能力和未来发展的趋势。/r/n3,/r/n建立有效的计算机病毒预防及查杀机制，实施防止恶意软件的侦查与防/r/n护控制,并提高员エ的防范意识。/r/n./r/n根/r/n据备份策略对数据进行备份并定期对备份数据进行有效性测试。/r/n./r/n在选用介质时应当考虑备份的信息需要保存的周期长短,保存信息的/r/n存/r/n储介质包括硬盘、磁带、/r/nU/r/n盘、可移动硬件驱动器、/r/nCD/r/n、/r/nDVD/r/n和打印介质等。储/r/n存/r/n介质的管理人员应检查和标记所有的储存媒介,为使存储介质中的数据和系统文件免遭/r/n未/r/n授权泄露、篡改和破/r/n坏,/r/n应建立关于存储介质使用、保存、删除和销毁的操作策略和相关制度。/r/n./r/n应制定/r/n处/r/n置、/r/n处/r/n理、存储与分类一致的信息与其通信的管理制度。并按照所设置的分类级/r/n别,/r/n处置和标记所有介质。明确防止/r/n未/r/n授/r/n权人员/r/n访问的限制要/r/n求,/r/n并/r/n根/r/n据制造商的存储规范来保存介质,同时,清晰地标记数据的所有拷贝,/r/n以/r/n引起/r/n数/r/n据所有者的关注。/r/n./r/n应建立日志保护的管理制度/r/n以/r/n防止日志保存设施被/r/n未授权/r/n更改和出现操作问题,重要的审计日志需要被存档保存,审计日志包括用户/r/nID/r/n、/r/n日/r/n期、时间和关键事态等细节,/r/n以/r/n及系统配置、特殊权限、系统实用工具和应用程序的使用。/r/nA./r/n13/r/n通信安全/r/n实施网络安全管理,/r/n划/r/n分网络安全区域,对网络/r/n设备、/r/n网络活动进行监控和管理,制定网络安全策略和操作规程,对网络信息及其支持设施进行保护。具体管理策略由公司网络管理员进行部署实施，具体管理策略请参见《通信安全管理制度》。/r/nA./r/n14/r/n系统获取、开发和维护/r/n./r/n在进行信息系统开发活动前,应明确在信息系统中包含基本的自动控制措施,/r/n以/r/n及支持性的人工控制措施的需求。信息系统的安全要求与信息系统建设过程的安全要求应在信息系统项目的早期阶段被集成。购买成熟的软件产品应遵循/r/n一/r/n个正式的测试和获取过程。与供货商签的合同应提出已确定的安全要求。/r/n2,/r/n在信息系统设计和开发过程中,应将数据的校验和检查功能集成在信息系统数据处理的整/r/n个/r/n过程,/r/n以/r/n保证信息系统在处理数据的过程中,数据的完整性/r/n没有丧失或遭到破坏。/r/n./r/n在进行信息系统建设的过程中,需进行安全风险评估/r/n以/r/n判定是否需要保证消息完整性,并确定最合适的实施方法。/r/n./r/n在制定密码策略时，应考虑下列内容:组织间使用密码控制的管理方法,包括保护业务信息的一般原则，基于风险评估,应确定需要的保护级别,并考虑需要的加密算法的类型、强度和质量;使用密码保护通过移动电话、可移动介质、设备或者通过通信线路传输的敏感信息。/r/n./r/n公司对程序源/r/n代/r/n码和相关事项（诸如设计、说明书、确认计划和验证计划）的访问需严格控制,对于程序源代码的保存,通过代码的中央存储控制来实现,最好是放在源程序库中。/r/n./r/n评审应用系统中控制和完整性的程序,以确保它们不因操作系统变更而损坏,确保年度支持计划和预算中包括由于操作系统变更而引起的评审和系统测试,及时提供操作系统变更的通知,以便于在实施之前进行合适的测试和评审,同时对业务连续性计划进行合适的变更。/r/n./r/n需定期评估隐藏信息的对外通信安全,掩盖和调整系统的通信行为,/r/n以/r/n减少/r/n第三/r/n方从这些行为中推断信息的可能性。公司还应在现有法律或法规允许的情况/r/n下，/r/n定期监视个/r/n人/r/n和系统的活动。监视计算机系统的资源使用。/r/n./r/n需及时获得组织所使用的各类操作系统、应用系统、软件工具等信息系统的技术脆弱性信/r/n息,/r/n评估组织对此类技术脆弱点的保护，并采取适当的控制措施。/r/n具体管理策略请参见《信息系统获取、开发及维护管理制度》。/r/nA./r/n15/r/n供应商关系/r/n./r/n第三/r/n方交付的服务应包括商定的安全计划、服务定义和服务管理各方面内容。确保/r/n第三/r/n方有足够的服务能力、拥有可用性可持续性计划,/r/n以/r/n确保商定的服务在故障/r/n或灾/r/n难后能够得以继续保持。/r/n./r/n检查协议的要求,监管协议执行的一致性,/r/n以/r/n确保交付的服务满足与第/r/n三方商定的所有要求。/r/n具体管理策略请参见《第三方服务管理控制制度》。/r/nA./r/n16/r/n信息安全事故/r/n信息安全事故应进行集中管控、统计、分析,并采取相应的措施,建立和完善信息安全事故的监测、报告、预警、处置和整改机制。/r/n具体管理策略请参见《信息安全事件管理制度》/r/n。/r/nA./r/n17/r/n业务连续性管理的信息安全方面/r/n识别可能导致业务过程中断的隐患,以及这类中断发生的可能性和影响、中断的信息安全后果;制定连续性计划和实施应急演练,以确保在关键业务过程中断或失效后能够根据要求及时恢复,并确保信息的可用。/r/n具体管理策略请参见《业务连续性管理制度》。/r/nA./r/n18/r/n符合性/r/n通过建立制度完善信息安全相关法律法规收集和识别的要求，并在各项规章制度中体现相应要求并开展培训,使员エ明确相关法律法规要求并遵照执行。/r/n具体管理策略请参见《符合性实施制度》。/r/n

/r/n附件ー:信息安全组织架构映射表/r/n组织/r/n职务/r/n姓名/r/n职责/r/n信息安全管理领导小组/r/n组长/r/n1）/r/n是信息安全管理体系的最高决策机构;/r/n2）/r/n负责公司信息安全管理手册（级）,包括:信息安全管理范围、方针、目标的审批与发布;/r/n3）/r/n负责对信息安全管理体系进行管理评审；/r/n4）/r/n确认可接受的风险和风险等级；/r/n5）/r/n支持和推动信息安全工作在公司范围内的实施；/r/n6）/r/n评审重大信息安全事故的处理。/r/n成员/r/n—/r/n信息安全/r/n工作小组/r/n组长/r/n1）/r/n负责组织建立、实施、保持和改进信息安全管理体/r/n系,保证信息安全体系的有效运行；/r/n2）/r/n负责公司信息安全管理体系二级程序文件的审批；/r/n3）/r/n组织并领导公司内部审核工作；/r/n4）/r/n负责组织发起信息安全管理体系的管理评审工作；/r/n副组/r/n长/r/n协助组长处理信息安全事务。/r/n成员/r/n1）/r/n负责本部门的信息安全管理工作,负责保护本部门所管理、使用的信息资产的安全；/r/n2）/r/n负责指导和要求本部门员エ遵守信息安全政策；/r/n3）/r/n组织落实部门信息安全纠正措施（包括内部审核整改意见）和预防措施。/r/n附件二:信息安全职责分配表/r/n标准要求/r/n小组/r/n信息安全管理领导小组/r/n总/r/n裁/r/n办/r/n财务部/r/n行政/r/n部/r/n人力资源部/r/n商务采购部/r/n销售部/r/n产品部/r/n研发部/r/n测试部/r/n服务部/r/n对应的文件/r/n4/r/n组织环境/r/n4./r/n1/r/n理解组织及其环境/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n4.2/r/n理解/r/n相关方的/r/n需/r/n求和期/r/n望/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n4.3/r/n确定信息安全管理体系的范围/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n4.4/r/n信息安全管理体系/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n5/r/n领导/r/n5./r/n!/r/n领导和承诺/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n5./r/n2/r/n方针/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n5.3/r/n组织角色、职责和权限/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n6/r/n规划/r/n6./r/n1/r/n应对风险和机会的措施/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n信息安全风险评估控制制度/r/n6./r/n2/r/n信/r/n息安全目标和规/r/n划实现/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n体系管理手册/r/n7/r/n支持/r/n7.1/r/n资源/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n7./r/n2/r/n能力/r/n★/r/n▲/r/n★/r/n★/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n7./r/n3/r/n意识/r/n★/r/n▲/r/n★/r/n★/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n7./r/n4/r/n沟通/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系管理手册/r/n负责/r/n▲/r/n7./r/n5/r/n文件记录信息/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n文档管理流程/r/n8/r/n运行/r/n8./r/n1/r/n运行的规划和控/r/n制/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n体系/r/n管理/r/n手册文档/r/n管理流程/r/n8./r/n2/r/n信息安全风险评估/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n信/r/n息安全风险评估控/r/n制/r/n制度/r/n8./r/n3/r/n信/r/n息安全风险处置/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n信息安全风险评估控制制度/r/n9/r/n绩效评价/r/n9./r/n1/r/n监视、测量、/r/n分析/r/n和评价/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n★/r/n★/r/n内部审核控制/r/n制/r/n度/r/n9.2/r/n内部审核/r/n▲/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n内部审核控制/r/n制/r/n度/r/n9.3/r/n管理评审/r/n★/r/n▲/r/n▲/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n管理评审控/r/n制制/r/n度/r/n10/r/n改进/r/n10./r/n1/r/n不符合和纠正措施/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n纠/r/n正和预防控/r/n制/r/n制度/r/n体系/r/n管理/r/n手/r/n册/r/n10./r/n2/r/n持续改进/r/n★/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n▲/r/n体系/r/n管理/r/n手/r/n册/r/n表示/r/n表示/r/n信息安全目/r/n标/r/n./r/n目的和范围/r/n确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标,并规定信息安全目标的计算方法,以便于目标达成情况的考核。/r/n适用于本公司信息安全目标的制定、计/r/n算。/r/n./r/n职责和权限/r/n1）/r/n信息安全管理领导小组/r/n:/r/n负责建立、批准与评审公司的信息安全目标。/r/n2）/r/n体系负责人/r/n:/r/n负责向信息安全领导小组会汇报公司的信息安全目标达成/r/n情况,并组织相关/r/n人/r/n员每年对信息安全目标逬行评审。/r/n3）/r/n各部门:负责与本部门相关的信息安全目标的统计、分析,当目标不能/r/n达标时,进行原因分析并逬行改逬。/r/n3,/r/n控制流程/r/n3.1/r/n.信息安全目标/r/n1）/r/n全年不发生重大信息安全事件和"二级"以上运行安全事故;/r/n2）/r/n重要保障时期不发生三级以上事故。/r/n对于未达成信息安全目标的,相关部门要进行原因分析,并提出解决办法;对于连续未达成目标的,信息安全工作小组要向相关部门/r/n开/r/n出《不符合纠正预防措施通知单》逬行处理。/r/n22080-2016/r/n信息安全管理体系信息安全适用性声明/r/nSoA/r/n更新日期:/r/n2020./r/n04./r/n07/r/n标准条款/r/n是否适/r/n用/r/n控/r/n制措施描述/r/n负责部/r/n门/r/n有关的/r/n!s/r/n文件/r/nA./r/n5/r/n信息安全策/r/n略/r/nA.5./r/n1/r/n信息安全管/r/n理指导/r/n目标:/r/n依据业务要求和相关法/r/n律法规提供管理指导并/r/n支持信息安全/r/nA.5./r/n信息安全策/r/n控制措施/r/n是/r/n以客户为中心,将安全意识/r/n总裁办/r/n《信息安全/r/n

/r/n1./r/n1/r/n略/r/nー组信息安全策略应由管理者制定、批准、发布并传达给员工和外部相关方。/r/n融入日常工作、严格审查各项控制措施、/r/n及/r/n时/r/n消/r/n除/r/n安全/r/n隐/r/n患、/r/n保/r/n障/r/n业务连续性。全体员エ必须严格/r/n按/r/n照本总纲的/r/n要求,自/r/n觉贯彻管理方针，严格执/r/n行本/r/n总纲的/r/n各/r/n项规/r/n定,努力/r/n实现公司生产运行和日常/r/n办/r/n公的/r/n安全。/r/n并传达给外部相关方。/r/n管理手册》/r/nA.5./r/n1.2/r/n信息安全策/r/n略的评审/r/n控制措施/r/n应按计划的时间间隔或/r/n当/r/n重大变化时进行信息安全策略的评审,以确保持续的适宜/r/n性,/r/n充分/r/n性和/r/n有效性。/r/n是/r/n通过管理评审，每年至少ー/r/n次对方针进行评审/r/n信息安/r/n全管理领导小组/r/n《信息/r/n安全/r/n管理手册》/r/n《管理评审制/r/n度》/r/nA.6/r/n信息安全组/r/n织/r/nA.6./r/n1/r/n内部组织/r/n目标:/r/n建立管理框架以发起和控制组织内信息安全的实施和运行。/r/nA.6./r/n1.1/r/n信息安全角/r/n色和职责/r/n控制措施/r/n所有的信息安全职责应予以定义并分配。/r/n是/r/n定义/r/n了信/r/n息安全管理领导/r/n小组、/r/n信/r/n息安全/r/n工作小组等的职/r/n責/r/n总裁办/r/n《信息安全/r/n组织管理制度》/r/nA.6./r/n1.2/r/n职责分割/r/n控制措施/r/n互相冲突的责任及职责范围应加以分割、以降低未授权或无意识的修改或者不当使用组织资/r/n是/r/n为/r/n防止未/r/n授权的/r/n更改或误/r/n用信息或服务的机会，/r/n按/r/n以下要/r/n求进/r/n行职责/r/n分配:/r/na）/r/n系统/r/n管理/r/n职责与/r/n操作职责分/r/n离;/r/n信息/r/n安/r/n全/r/n管理领导/r/n小组/r/n《信息/r/n安全/r/n组织/r/n管理/r/n制度》/r/n

/r/n产的机会。/r/nb）/r/n信息安全审核具有独立性。/r/nA.6./r/n1.3/r/n与监管机构/r/n的联系/r/n控制措施/r/n应保持与政府相关部门的适当联系。/r/n是/r/n利益/r/n相/r/n关/r/n的/r/n构/r/n成/r/n为客户/r/n、员エ、/r/n供应商。并定/r/n义了/r/n沟通的方式、周期/r/n及/r/n接口部门等内容。/r/n商务采/r/n购部、行政/r/n部/r/