SWISMSA信息安全管理手册

<佛山市三维计算机网络>信息安全管理手册[SW-ISMS-A-01]Ver1.1阁发布日期墓2023年占10月1日竖发布部门汇信息安全管漆理小组却实施日期苏2023年贩10月1日貌版本猾变更履历慎变更人/变宏更日期狠审核人/审卡核日期造批准人/批央准日期陪1.0楚初次发布餐蓝金桃晓/201曲4牧.10.1暴/201兰4缘.10.1泥王楚标/2或014.1皱0.1目录TOC\o"1-2"\h\z\u清颁布令不教iii贼授权书臭庙iv饺0查前言摘夺1耻1号范围早瘦1树1.1这总则屠宏1炭1.2勿应用滋列1园2俩规范性引用增文件详旧1带3广术语和定义貌允2饺3.1疮术语驼投2品3.2朱缩写阻困2匪4保信息安全挠管理体系殿肆2丘4.1旁总要求涨甜2挖4.2者建立和管理鞋信息安全管好理体系充总3叛4.3惰文件要求咏场9只5阀管理职责晶中11洲5.1富管理承诺班朱11速5.2臭资源管理察疏11订6币内部信息安捕全管理体系桌审核茂混12堪6.1陷总则猫液12婆6.2浇内审策划拆灭12瞧6.3满内审员泉税13葡6.4泳内审实施朱饲13番7抬管理评审掀丝14冰7.1脖总则膏泛14寨7.2残评审输入雀剩14寄7.3虎评审输出雾珍14魂8训信息安全管透理体系改进节炉15眉8.1她持续改进偏邻15病8.2枕纠正措施窑泄15亦8.3点预防措施说蓬15坟附录步1-摘组织概况拒熟16瞎附录贷2-才组织机构图筑超17翠附录纷3-破职能分配表摇例17张附录恒4-抵信息安全小真组成员虫帆21锡附录肠5-芝方针文件清箭单缓管21嚼附录舌6-横程序文件清恰单肥齐22张附录并7-狠公司外部环封境、内部环浸境及网络图竖绳23颁布令秩为提高我公染司的信息安捉全管理水平收，保障公司竟业务活动的井正常进行，废防止由于信饿息安全事件崖（信息系统沙的中断、数富据的丢失、羡敏感信息的蓝泄密）导致扮的公司和客与户的损失，蝶我公司开展透贯彻GB/恋T2208舅0-200蕉8idtI奶SO270横01:20帜05《信息气技术-安全跨技术-信息疑安全管理体声系要求》国亩际标准工作适，建立、实守施和持续改稍进文件化的甩信息安全管镇理体系，制奇定了轮佛山市三维玩计算机网络具《汉信息安全管喂理手册》。毁指导管理体正系运行的公膀司《弱信息安全凶管理防体系物手册》经评惠审后，现纷予以批准发椅布。镰《泡信息安全熊管理紫体系沟手册》的发英布，标志着摧我公司从现定在起，必须役按照饥信息安全管疼理其体系标准的板要求和公司痛《残信息安全绣管理寻体系欢手册》所描罪述的规定，蓝不断增强持虾续满足顾客美要求、相关告方要求和法过律法规要求贱的能力，再全心全意为纱顾客和相关府方提供优质缸、安全的全应用软件的学开发和维护杨服务育，以钥确立公司在灾社会上的良细好信誉。环《顿信息安全术管理刚体系耐手册》膝是公司规范进内部管理的睬指导性文件脖，也是全体辉员工在向顾忙客提供服务您过程必须遵裙循的行动准洒则。决《诊信息安全哈管理芽体系壮手册》跃一经发布，振就是强制性贼文件，全体伪员工必须认极真学习、切护实执行。裕本手册自赞2023年峡10月15石日溜正式实施。屡佛山市三维江计算机网络菠舱总经理利：洒王楚标晕2023忧年额08徐月柴19笛日授权书唐为贯彻执行吩ISO/I菌EC浆谁27001牢:捞2005《仰信息安全管可理体系》，首加强对拴信息康管理体系运磁行的领导，绘特授权恨斜蓝金桃检隶捕女士查为公司管理比者代表搏。纹授权信息安培全管理者代蹲表有如下职唤责和权限：词确保按照标榆准的要求，娘进行资产识否别和风险评困估，全面建臣立、实施和北保持信息安绝全管理体系砍；质负责与信息蚁安全管理体渔系有关的协成调和联络工气作；搅确保在整个弃组织内提高玻信息安全风续险的意识；米审核风险评下估报告、风券险处理计划茧；吃批准发布程砖序文件；姐主持信息安找全管理体系齿内部审核，党任命审核组枝长，批准内踢审工作报告附；提向最高管理俩者报告信息展安全管理体练系的业绩和厘改进要求，伤包括信息安杠全管理体系尼运行情况、键内外部审核厚情况。圾本授权书自搅任命日起生朗效执行。每守神线典佛山市三维筑计算机网络膀务2023应年鸡10判月穿1羡日0前言泪<然佛山市三维美计算机网络巧>技《信息安全绪管理体系手雾册》（以下糊简称本手册浙）依据速ISO/I脖EC27胜001:2割005取《信息技术民-安全技术艇-信息安全推管理体系-逮要求》，参怨照著ISO/I则EC27萄002:2逐005彼《信息技术贼-安全技术活-信息安全劝管理实用规樱则》，结合帽本行业信息党安全的特点愿编写。本手紧册对本公司摆信息安全管恒理体系作出冤了概括性描旧述，为建立越、实施和保隐持信息安全敏管理体系提述供框架。1范围劳1.1嘴总则鉴为建立、实垄施、运行、戚监视、评审枕、保持和改摩进文件化的撒信息安全管灭理体系，确稿定信息安全然方针和目标停，对信息安忙全风险进行赛有效管理，岸确保全体员衔工理解并遵园照执行信息项安全管理体恢系文件、持迅续改进信息艳安全管理体身系的有效性谋，特制定本么手册。播1.2英应用尾号湾覆盖范围应用范围：吹本《信息安端全管理体系因手册》规定葱了<患佛山市三维劫计算机网络大>伴信息安全管育理体系涉及辈的开发和维榴护信息安全秀管理、职责诞管理、内部士审核、管理俘评审和信息栏安全管理体庆系持续改进灿等方面内容趁。具体见携恨.1拆条款规定。地址范围：锯深圳市福田饮区景田商报去路奥林匹克墓大厦26楼耽B、C、D翼号规录此删减说明由本《信息安君全管理体系说手册》采用风了基ISO/I流EC270镇01:20拉05佣标准正文的久全部内容，浪对附录轿A碗的删减及理眯由详见《信矛息安全适用否性声明奶SoA猜》。辰2讨规范性引用碎文件现下列文件中卵的条款通过蛛本《信息安篮全管理体系疤手册》的引智用而成为本遥《信息安全柜管理体系手宋册》的条款氧。凡是标注舅日期的引用博文件，其随为后所有的修狸改单（不包达括勘误的内垒容）或修改闲版均不适用险于本《信息赔安全管理体前系手册》，半然而，信息莫安全管理小忠组应研究是挽否可使用这滨些文件的最赤新版本。凡叠是不注日期系的引用文件垦、其最新版左本适用于本贩《信息安全瘦管理体系手计册》。项ISO/I接EC27础001:2伟005反《信息技术鄙-安全技术亦-信息安全陶管理体系-且要求》弓ISO/I颤EC27吨002:2价005孩《信息技术爬-安全技术熟-信息安全教管理实用规必则》猫3养术语和定义羊3.1映术语旅ISO/I戏EC27宵001:2秘005慧《信息技术扁-安全技术单-信息安全还管理体系-捧要求》、般ISO/I塌EC27云002:2身005叫《信息技术联-安全技术锻-信息安全梳管理实用规冬则》规定的肢术语和定义拒以及下述定葵义适用于本谜《信息安全乏管理体系手沙册》。系本组织、本稼公司、我公叛司：指<绞佛山市三维象计算机网络椒>摧。窜3.2客缩写罩ISMS缠：闯Infor淋matio哥nSec约urity熊Mana伴gemen母tSys协tems胀信息安全管粮理体系；栽SoA:炮：灯State考ment散ofAp青plica俯bilit鸡y逆适用性声明圣；俘PDCA:躺：伞Plan洋DoCh悟eckA始ction雾出计划、实施强、检查、改般进。朽4届信息安全室管理体系重4.1殃总要求柱器骆要求耳本公司在软窝件开发、经育营、服务和萄日常管理活述动中按沿ISO/I抛EC27捉001:2乌005误《信息技术饺-安全技术变-信息安全上管理体系-弟要求》规定骑，参照坡ISO/I纸EC27典002:2丢005米《信息技术抚-安全技术谱-信息安全该管理实用规利则》标准建晶立、实施、绸运行、监视灾、评审、保虹持和改进文鉴件化的信息明安全管理体或系。屡宰喘PDCA模寄型励信息安全管旨理体系使用石的过程基于斩图除1吊所示的救PDCA危模型。建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS相关方信息安全要求和期望相关方受控的信息安全规划Plan检查Check处置Act实施Do欧图1信息葡安全管理体靠系PDCA殊模型眯4.2喝建立和管理出信息安全管闯理体系缩获架建立信息安违全管理体系愁体.1君信息安全管妖理体系的范敞围和边界采本公司根据查业务特征、傲组织结构、耽地理位置、搬资产和技术汇确定了范围弦和边界：胸本公司信息轨安全管理体急系的范围包牲括：纳a)本公事司涉及软件拖开发、营销涌、服务和日毫常管理的业称务系统；书b)与所城述信息系统租有关的活动相；榜c)与所达述信息系统晒有关的部门获和所有员工乔；盲d)所述碎活动、系统勾及支持性系袋统包含的全坑部信息资产阵。业务范围：庙桌面软、硬侵件运维服务葛；服务器硬悔件运维服务拔；网络设备懂运维服务的蜘信息安全管课理躲。物理范围：嫂本公司根据咳组织的业务唤特征、组织伸结构、地理煌位置、资产趴和技术定义仙了信息安全肌管理体系的融物理范围和谈信息安全边摆界。含本公司信息番安全管理体焦系的物理范掠围为：免佛山市禅城咸区江湾路三搂路28号广价东（佛山）伯软件产业园漠A区10号赵楼首层10秀3-105阀室元安全边界详齿见附录B（痕规范性附录未）《办公场欲所平面图》杆。理ISMS的递范围是：君计算机应用挎软件开发和凶维护、系统姐集成和后期钻维护；信息贴安全，IT形资产服务外反包，IT运司维服务辅本《信息安戒全管理体系叮手册》采用杨了盯ISO/I嗓EC赤予27001挤:2005流标准正文的强全部内容，术对附录铲A习的删减及理栽由详见《信发息安全适用稿性声明》；捡ISMS的兆边界渣地理位置莫图缠（详见《附自录7-公司泼外部环境、贩内部环境及慢网络图》）童暮.2森信息安全管称理体系的方搂针和目标箭柱.2.1庙方针钢为了满足适辟用法律法规状及相关方要共求，维持I鹅SMS范围雷内的业务正蜓常进行，实驼现业务可持箱续发展，本谨公司根据组且织的业务特均征、组织结浴构、地理位度置、资产和帐技术确定了触信息安全管悄理体系方针好：历信息安全，域人人有责。鹿派.2.1勾信息安全而目标杠客户针对信诊息安全事件死的投诉每年骗不超过1次询重要信息设循备丢失每年杏不超过洁1睬起隶机密和绝密挪信息泄漏事表件每年不超居过少1疗次叫大规模病毒讽爆发每年不崖超过1次放倾.2.2下要求钢本公司信息躺安全管理体晚系方针符合牧以下要求：因为信息安全童目标建立了线框架，并为犁信息安全活卧动建立整体亿的方向和原须则；畅识别并满足所适用法律、炒法规和相关传方信息安全扩要求；配与组织战略所和风险管理积相一致的环猜境下，建立侦和保持信息寿安全管理体螺系；稿建立了风险匙评价的准则联；月经总经理批氏准，并定期游评审其适用劈性、充分性打，必要时予柏以修订。咱析.2.3榴承诺知为实现信息淋安全管理体茎系方针，本练公司承诺：尚在公司内各仇层次建立完从整的信息安伐全管理组织灵机构，确定签信息安全方带针、安全目糟标和控制措讨施，明确信腿息安全的管帝理职责；惑识别并满足躲适用法律、胸法规和相关蜂方信息安全约要求；轿定期进行信淹息安全风险饭评估，信息费安全管理体冠系评审，采棵取纠正预防汤措施，保证纠体系的持续螺有效性；里采用先进有无效的设施和蕉技术，处理需、传递、储御存和保护各麦类信息，实务现信息共享葱；沫对全体员工腰进行持续的轨信息安全教狐育和培训，逃不断增强员溉工的信息安摄全意识和能慨力；胶制定并保持债完善的业务专连续性计划治，实现可持喂续发展。屋犬.3视风险评估的爷方法躺信息安全管芒理小组制定吧《信息安全夹风险管理程清序》，建立往识别适用于诉信息安全管雕理体系和已柴经识别的业应务信息安全凤、法律和法葬规要求的风长险评估方法黎，建立接受茂风险的准则他并识别风险地的可接受等枕级。按信息仪安全风险评惠估执行《信展息安全风险店管理程序》帖进行，以保借证所选择的燕风险评估方禽法应确保风镇险评估能产团生可比较的奉和可重复的科结果。次描.4氧识别风险狱在已确定的晃信息安全管夺理体系范围焰内，本公司煎按《信息安元全风险管理能程序》对所故有的资产和枯资产所有者戚进行了识别去；对每一项摧资产按重置宁成本级别、双保密性、完细整性、可用束性和资产价购值及重要性湖级别进行了甲量化赋值，荷根据重要资缓产判断准则枝确定是否为煤重要资产，肝形成《重要默资产清单》资。同时根据臣《信息安全谊风险管理程汪序》识别对裹这些资产的沟威胁、可能砖被威胁利用玩的脆弱性、汉现有的控制轻措施及现有爆控制措施的当有效性，并投通过对这些锡项目的赋值已计算出在丧灶失保密性、跪完整性和可席用性可能对降重要资产造肚成的影响。缘冷.5击分析和评价论风险于本公司按《纤信息安全风仁险管理程序思》，采用人灾工分析法，窝分析和评价抽风险：沫针对重要资耗产的自身价缝值、保密性鼓、完整性和月可用性、合旗规性和脆弱睁性严重程度不，计算出风局险发生的影总响值；渐针对每一项写威胁发生频蹲率、脆弱性焰被威胁利用星的容易程度栗进行赋值，变然后计算得单出风险发生露的可能性；饼根据《信息涌安全风险管禽理程序》计诉算风险等级而，从而得出光风险等级；啄根据《信息击安全风险管桂理程序》及夹风险接受准京则，判断风父险为可接受澡或需要处理蜓。薪限.6竹识别和评价爷风险处理的扔选择使信息安全管灵理小组和相亿关部门根据属风险评估的佣结果，形成简《信息安全宰风险处理计农划》，该计写划明确了风水险处理责任芹部门、负责衡人、处理方絮法及起始、失完成时间。守对于信息安秆全风险，应虹考虑控制措杠施与费用的碑平衡原则，以选用以下适补当的措施：番控制风险（陕采用适当的蚀内部控制措短施降低风险正发生的可能页性）；煎接受风险（习风险值不高天或者处理的沫代价高于风拐险引起的损话失，公司决拌定接受该风梢险/残余风竭险）；摄避免风险（耍决定不进行符引起风险的作活动，从而障避免风险）后；扶转移风险（割通过购买保贫险、外包等好方法把风险您转移到外部蔽机构）。预漫.7戏选择控制益目标与控制揭措施镇信息安全管新理小组根据盲相关法律法尚规要求、信系息安全方针唉、业务发展养要求及风险裕评估的结果绕，组织有关遵部门选择每和判制定了信息牺安全目标，银并将目标分兆解到有关部棒门（见《信醉息安全适用植性声明》）尺：松信息安全控塞制目标获得续总经理的批薯准。稠控制目标及形控制措施的织选择原则来烟源于访ISO/I躁EC27孕001:2打005步附录顷A旁，具体控制品措施参考扫ISO/I仓EC27向002:2秤005样《信息技术权-安全技术铃-信息安全垄管理实用规投则》。委本公司根据塘信息安全管统理的需要，辜可以选择标能准之外的其遣他控制措施具。暮毅.8呈寇剩余风险屑对风险处理云后的剩余风桐险应形成《骄信息安全剩贯余风险评估毫报告》并得指到公司管理年者的批准。春磁.9他授权沟管理者对实内施和运行信秀息安全管理锡体系进行授岸权。搭慈.10闷适用性声明祸信息安全管无理小组编制轮《信息安全豪适用性声明背（感SoA茫）》。该声梳明包括以下抬方面的内容拍：那所选择控制脱目标与控制急措施的概要锦描述，以及初选择的原因晴；将对酿ISO/I德EC27圣001:2颈005航附录氧A珍中未选用的捧控制目标及直控制措施理最由的说明。四捕首实施及运行差信息安全管最理体系拳昨.1携活动干为确保信息更安全管理体颂系有效实施颜，对已识别碰的风险进行蹦有效处理，柄本公司开展样以下活动：坚形成《信息双安全风险处年理计划》，登以确定适当院的管理措施徐、职责及安译全控制措施榜的优先级；钩为实现已确获定的安全目栽标、实施《梅信息安全风传险处理计划要》，明确各啊岗位的信息暴安全职责；竿实施所选择鲁的控制措施死，以实现控醋制目标的要趟求；短确定如何测铲量所选择的耍控制措施的幅有效性，并族规定这些测贞量措施如何碰用于评估控沾制的有效性挎以得出可比啄较的、可重污复的结果；或进行信息安堡全培训，提裤高全员信息舰安全意识和侧能力；剖对信息安全祥体系的运行图进行管理；称对信息安全沃所需资源进歪行管理；跨实施控制程女序，对信息横安全事故（坦或征兆）进京行迅速反应哈。看之.2需信息安全组盾织机构失本公司成立从信息安全领块导机构埋——戒信息安全管帖理小组，其竿职责是实现灿信息安全管获理体系方针吸和本公司承绿诺。具体职欲责是：研究术决定信息安植全工作涉及酒到的重大事腥项；审定公缸司信息安全型方针、目标势、工作计划及和重要文件燃；为信息安团全工作的有关序推进和信夏息安全管理猛体系的有效叙运行提供必泥要的资源。原本公司的信扫息安全职能缎由信息安全死管理小组承胶担，其主要培职责是：负均责制订、落乔实信息安全劫工作计划，奶对单位、部刑门信息安全僻工作进行检拣查、指导和戚协调，建立语健全企业的灵信息安全管禁理体系，保圾持其有效、榜持续运行。或本公司采取味相关部门代奶表组成的协究调会的方式置，进行信息浑安全协调和清协作，以：诉确保安全活公动的执行符颤合信息安全猜方针；制确定怎样处伏理不符合；研批准信息安催全的方法和末过程，如风巴险评估、信夹息分类；秧识别重大的樱威胁变化，焦以及信息和茎相关的信息论处理设施对缩威胁的暴露邪；赖评估信息安晒全控制措施呢实施的充分镰性和协调性浓；陆有效的推动狼组织内信息按安全教育、咐培训和意识报；模评价根据信抵息安全事件额监控和评审约得出的信息凳，并根据识悼别的信息安曾全事件推荐午适当的措施陡。女幕.3震信息安全番职责和权限帖本公司总经哲理为信息安继全最高责任魄者。总经理悠指定信息安沿全管理者代育表,无论信衣息安全管理患者代表其他通方面的职责淋如何，对信倦息安全负有任以下职责：崭建立并实施熔信息安全管释理体系必要臣的程序并维过持其有效运膨行；着对信息安全尽管理体系的铜运行情况和计必要的改善太措施向信息胆安全管理小湾组或最高责廊任者报告。考各部门负责衡人为本部门好信息安全管器理责任者，绣全体员工都害应按保密承权诺的要求自滨觉履行信息久安全保密义抖务。设各部门、人寒员有关信息芽安全职责分晋配见附录多3年（规范性附讯录）《职责港权限》和相新应的程序文杜件（管理标希准）、规定烟及岗位说明既书。时愁.4瓜控制措施塑各部门应按习照《信息安跌全适用性声傲明》中规定废的安全目标庆、控制措施城（包括信息饺安全运行的僵各种管理标探准、规章制殊度）的要求浩实施信息安问全控制措施地。乞则监督与评葬审信息安全朋管理体系拴泛.1角活动短本公司通过堡实施不定期斧安全检查、怨内部审核、称事故报告调浓查处理、电滩子监控、定酷期技术检查娘等控制措施寨并报告结果追以实现：贪及时发现处诱理结果中的辉错误、信息险安全管理体诚系的事故和呆隐患；子及时了解识便别失败的和火成功的安全装破坏和事件匠、信息处理样系统遭受的绍各类攻击；职使管理者确甚认人工或自访动执行的安况全活动达到存预期的结果驳；呈使管理者掌臭握信息安全践活动和解决虑安全破坏所御采取的措施米是否有效；棍积累信息安通全方面的经膨验。鼻滥.2孤管理评审烟根据以上活略动的结果以捕及来自相关费方的建议和疑反馈，由总俱经理主持，益每年至少一繁次对信息安逢全管理体系营的有效性进刊行评审，其该中包括信息何安全管理体博系的范围、铁方针、目标悄的符合性及拾控制措施有某效性的评审值，考虑信息肉安全审核、接事件、有效都性测量的结趋果，以及所克有相关方的轿建议和反馈厕。管理评审晕的具体要求姨，见本手册山第获7喷章。估满.3更检查和测任量蚂在管理标准舟中，对安全尸措施的实施扒规定了检查押和测量的要景求。同时，旨信息安全管决理小组应定指期的进行信存息安全检查牺和信息安全需技术监督，孝通过对安全晒措施的实施辣检查和信息浊安全技术监逮督，保证安亿全措施得到暮满足。撤闪.4楼风险再评估艇信息安全管垃理小组组织丽有关部门按摄照《信息安烛全风险管理炼程序》的要讲求，对风险悠处理后的残榨余风险进行叛定期评审，赚以验证残余孔风险是否达宵到可接受的爪水平，对以怖下方面变更澡情况应及时嫌进行风险评习估：组织；技术；搁业务目标和属过程；鼓已识别的威夫胁；挂实施控制的戏有效性；祸外部事件，攀例如法律或浆规章环境的凉变化、合同员责任的变化宿以及社会环弹境的变化。毅乔.5中内部审核逆按照计划的铃时间间隔进培行信息安全蒸管理体系内怠部审核，内娇部审核的具亲体要求，见昼本手册第登6糠章。谊邻.懒6更新计砖划叉考虑监视和悄评审活动的窗发现，更新葛信息安全计抄划。血稳.其7记录衬记录可能对波信息安全管宋理体系有效润性或业绩有窃影响的活动悬和事情。中推保持与持份续改进信息洪安全管理体沉系返我公司开展赌以下活动，接以确保信息寸安全管理体悦系的持续改给进：揉实施每年管默理评审、内陷部审核、安呀全检查等活柜动以确定需摧改进的项目沃；团按照本手册皂第感6口章和第劣8猴章的要求采仆取适当的纠装正和预防措己施；吸取其匆他组织及本网公司安全事塘故的经验教陕训，不断改恭进安全措施咳的有效性；比通过适当的酿手段保持在翅内部对信息诚安全措施的减执行情况与狗结果进行有手效的沟通。白包括获取外技部信息安全凡专家的建议距、信息安全撞政府行政主葡管部门的联图系及识别顾占客对信息安底全的要求等括；织对信息安全鞭目标及分解港进行适当的锅管理，确保锡改进达到预匪期的效果。未4.3往文件要求疤进谁总则漂本公司信息捧安全管理体蓄系文件包括温：走文件化的信捞息安全方针联，在《信息装安全管理体阳系手册》中鸡描述,选择兆的控制目标演在《信息安背全适用性声毕明SoA》士中描述；障《信息安全草管理体系手泡册》（本手间册，包括信眯息安全适用边范围及引用款的标准）；副ISO/I德EC茧环27001相:2005擦标准中规定持需文件化的民程序；泼本手册涉及齿的相关支持冰性程序性文汤件，例如《着信息安全风司险管理程序迟》；斜为确保有效悼策划、运作涛和控制信息聪安全过程所破制定的文件昏化操作程序包；惹《风险处理身计划》以及巨信息安全管为理体系要求季的记录类；贫相关的法律呼、法规和信佛息安全标准被；惜《信息安全僚适用性声明甘SoA跑》。语震坚文件控制蹄卫.1馋要求款信息安全管屡理小组按《团文件控制程创序》的要求蚊，对信息安听全管理体系丝所要求的文慢件进行管理悉。对《信息赛安全管理体驻系手册》、诊程序文件、娱管理规定、风作业指导书降和为保证信鲜息安全管理去体系有效策朋划、运行和传控制所需的蛛受控文件的树编制、评审菜、批准、标武识、发放、之使用、修订尚、作废、回榆收等工作实忽施控制，以栗确保在使用四场所能够及四时获得适用口文件的有效省版本。库难.2豪文件控制跟信息安全管圾理小组制定首并实施《文算件和资料管临理程序》，碗人事行政部问对信息安全佣管理体系所师要求的文件竖进行管理。同对《信息安岸全管理手册巧》、程序文牛件、管理规桑定、作业指雨导书和为保联证信息安全丝管理体系有无效策划、运危行和控制所岸需的受控文插件的编制、妥评审、批准枕、标识、发菠放、使用、父修订、作废吹、回收等管奉理工作做出摔规定，以确睡保在使用场赴所能够及时颜获得适用文间件的有效版第本。棚文件控制应谊保证：绪文件发布前亦得到批准，戴以确保文件僵是充分的；比必要时对文粮件进行评审问、更新并再缴次批准；步确保文件的蚁更改和现行编修订状态得晌到识别；赢确保在使用脚时，可获得圾相关文件的籍最新版本；旱确保文件保霸持清晰、易辱于识别；捡确保文件可采以为需要者再所获得，并酒根据适用于猫他们类别的薪程序进行转惩移、存储和裳最终的销毁浙；早确保外来文程件得到识别越；胀确保文件的菌分发得到控解制；监防止作废文存件的非预期队使用；祖若因任何目苦的需保留作爷废文件时，携应对其进行菠适当的标识晋。关井.3宰外来文件管候理榆外来文件包习括信息安全准法律、行政扫法规、部门漆规章、地方熔法规，按以添下规定执行渠：拐信息安全适蛙用的法律法填规按照《信讯息安全法律按法规管理程广序》规定执劣行；垦外来的文件核按照《文件眼控制程序》裂和其他相关佛规定执行；亿外来标准按狐本公司标准逐化管理的相示关规定进行造。骂肢妨记录控制齿卵.1础要求乡信息安全管暖理体系所要普求的记录是港信息安全管疾理体系符合趣标准要求和胶有效运行的功证据。阁弱.2秀职责慕信息安全管敢理小组按《打记录控制程编序》的要求忆，对记录的寒标识、储存是、保护、检回索、保管、扣废弃等进行模管理。捐盼.3北记录虾信息安全管径理的记录应宴包括本手册雾第犹4.2津条中所列出吩的所有过程傍的结果及与貌信息安全管神理体系相关岁的安全事故堵的记录。钢伤.4障分类跳信息安全管取理体系的记掏录按出处可蔑分为以下四贯类：尝程序文件所吃要求的记录生；苹工作标准和牵作业文件所浑要求的记录步；度规章制度、叛规定所要求脑的记录；排其他证实信蝴息安全管理例体系符合标伍准要求和有臂效运行的记帮录。妈撕.5间形式胶信息安全管岩理记录可以痰是表、单、腐卡、台帐、警记录本、报喜告、纪要、栏证、图等多分种适用的形呜式，可以是页书面的或电小子媒体的。深劳.6富归档淡需要归档的障记录，按《酿记录控制程肾序》执行，狗属于电子数妖据的记录，验按《重要信浊息备份管理贱程序》执行致。把5齿管理职责拐5.1周管理承诺饥我公司管理滋者通过以下断活动，对建抵立、实施、咳运作、监视劈、评审、保刚持和改进信铺息安全管理欢体系的承诺洗提供证据：竖建立信息安丸全方针；陕确保信息安鼠全目标和计络划得以制定县（见《信息寿安全适用性桑声明韵SoA邻》、《风险毒处理计划》浇及相关记录窃）；刻建立信息安陵全的角色和舍职责求(梅见本手册附律录苍3生（规范性附登录）《职责院权限》和相邀应的管理程大序；烧向组织传达摆满足信息安屈全目标、符淘合信息安全雹方针、履行思法律责任和盈持续改进的萝重要性；惹提供充分的料资源，以建隆立、实施、虫运作、监视刃、评审、保陪持并改进信魂息安全管理脊体系骂(御见本手册第嫂渡章袍)驶；输决定接受风付险的准则和惹风险的可接沫受等级苗(急见《信息安束全风险管理衰程序》及相房关记录负)喝；奥确保内部信要息安全管理锈体系审核（宗见本手册第圈6淡章）得以实在施；眼实施信息安师全管理体系枪管理评审（攀见本手册第励7啄章）。贿5.2区资源管理井消唇资源的提供不本公司确定拢并提供实施事、保持信息宇安全管理体尼系所需资源荒；采取适当妙措施，使影逮响信息安全聚管理体系工宿作的员工是慕有能力胜任更的，以保证攻：锻建立、实施康、运作、监掘视、评审、膨保持和改进液信息安全管愈理体系；怠确保信息安碎全程序支持春业务要求；椅识别并指出泡法律法规要乌求和合同安幸全责任；脂通过正确应钳用所实施的圈所有控制来比保持充分的厚安全；鼓必要时，进骄行评审，并乳对评审的结球果采取适当蜻措施；踢需要时，改港进信息安全爬管理体系的瞎有效性。胶非果培训、意识司和能力槐信息安全管缠理小组制定悄并实施《员舌工培训管理折程序》文件扇，确保被分鉴配信息安全或管理体系规脚定职责的所夜有人员，都挥必须有能力颜执行所要求需的任务。可图以通过：俊确定承担信粗息安全管理删体系各工作穷岗位的职工协所必要的能奔力；腿提供职业技抬术教育和技部能培训或采病取其他的措视施来满足这结些需求；滨评价所采取纯措施的有效无性；形保留教育、狱培训、技能拉、经验和资潮格的记录。严本公司还确歪保所有相关私人员意识到随其所从事的希信息安全活藏动的相关性准和重要性，弓以及如何为傲实现信息安钥全管理体系掠目标做出贡梅献。冈6仔内部信息安撕全管理体系滚审核请6.1辆总则疏称愤要求腿本公司信息梯安全管理小懂组按《内部屯审核管理程匙序》的要求俊策划和实施刑信息安全管拘理体系内部冶审核以及报播告结果和保可持记录。找带竞活动怜本公司每年冲进行一次信价息安全管理喘体系内部审两核，以确定谎其信息安全准管理体系的状控制目标、武控制措施、摇过程和程序庆是否：删符合本标准馒的要求和相撑关法律法规限的要求；钥符合已识别妙的信息安全好要求；徐得到有效地咏实施和维护煤；巡按预期执行望。数6.2适内审策划幕信息安全管好理小组策划肢审核的过程肿、区域的状交况、重要性蔽以及以往审凑核的结果，带对审核工作样进行策划。载应编制《年骄度内审计划确》，确定审束核的准则、弃范围、频次百和方法。烛每次审核前项，信息安全栗管理小组应代编制《内部混审核计划》炕，确定审核狐的准则、范提围、日程和隆审核组。审裁核员的选择贺和审核的实萄施应确保审碧核过程的客穴观性和公正棕性。审核员邻不应审核自牺己的工作。卫《内部审核走计划》，经默信息安全管痛理者代表批钱准，提前晃3门天通知被审于核部门，被哄审核部门到俊时应选派有金关人员配合释审核。策6.3丛内审员框内部审核员饥必须是熟悉醋本公司信息味安全管理情惕况，参加内手部审核员培泛训并考核合酸格的人员。咏内部审核员窝应来自于不后同的部门，企审核人员应马与被审活动贵无直接责任脉，以保持工恐作的独立性红。逮各部门选择刺符合内部审符核员条件的电候选人，参促加内部审核灯员培训并考乱试合格，填氧写《内部审肿核员评定表桶》，经信息丈安全管理者耗代表批准，炮方取得内部星审核员资格劣。题6.4朗内审实施晚对是活动退应按审核计骨划的要求实李施审核，包丧括：攀进行首次会阁议，明确审僻核的目的和算范围，采用庆的方法和程连序；听实施现场审艳核，检查相室关文件、记可录和凭证，透与相关人员霞进行交流，城填写审核发细现；钟对检查内容信进行分析，晕对审核发现趁的问题在《务不符合项报此告及纠正报涝告单》中开唇出不符合项蔽；等审核组长编宿制《内部审束核报告》。欠救击不符合处理市对审核中提甩出的不符合丑项，责任部窑门应制定纠佣正措施，由另信息安全管居理小组对纠揪正措施的实装施情况进行势跟踪、验证辩，将结果记繁入《不符合碧项报告及纠开正报告单》而。务址肝记录偿内部审核记存录由信息安阴全管理小组订保存，并作叛为管理评审勇的输入之一眯。率7播管理评审萌7.1萌总则失总经理应每舞年进行一次株管理评审，院以确保信息份安全管理体烈系持续的适摄宜性、充分狐性和有效性痕，管理评审膜按《管理评唯审程序》进抚行。膝管理评审应肺包括评价信法息安全管理窃体系改进的义机会和变更愧的需要，包忆括信息安全严方针和信息奥安全目标。差管理评审的迈结果应清晰呼地形成文件铲，记录应加恢以保持。腊7.2且评审输入切管理评审的邻输入要包括期以下信息：坏信息安全管叶理体系审核灰和评审的结桃果；英相关方的反侨馈；宵用于改进信训息安全管理胜体系业绩和吴有效性的技被术、产品或叉程序；临预防和纠正葱措施的状况将；补以往风险评劣估没有充分馋强调的脆弱野性或威胁；炎有效性测量眯的结果；悉以往管理评阻审的跟踪措茄施；顾任何可能影捕响信息安全嚷管理体系的剧变更；搁改进的建议碎。肿7.3喜评审输出也管理评审的着输出应包括樱与下列内容卧相关的任何陡决定和措施闷：颤信息安全管剑理体系有效理性的改进；遣更新风险评仰估和风险处跪理计划；脆必要时，修耗订影响信息虽安全的程序捧和控制措施帐，以反映可焦能影响信息谊安全管理体荷系的内外事阳件，包括以跟下方面的变蒜化：业务要求；安全要求；味影响现有业曾务要求的业吼务过程；质法律法规要恨求；合同责任；蛙风险等级和承（或）风险绸接受准则。资源需求；偏改进测量控旋制措施有效览性的方式。持8信息安艘全管理体系的改进厚8智.颜1度持续改进张本公司依据贵《纠正措施贪控制程序》扛和《预防措丘施控制程序嗽》的要求,偷通过使用信辟息安全方针代、信息安全疤目标、审核氏结果、监控蜘事件的分析繁、纠正和预蛛防措施以及晴管理评审（碗见本手册第限7创章），持续前改进信息安患全管理体系雁的有效性。载8.2添纠正措施鼓本公司信息萝安全管理小攻组处理纠正括措施，不符瑞合事项的责肉任部门负责贞采取纠正措村施，以消除俘与信息安全夺管理体系要划求不符合的萍原因，以防北止再发生。淘纠正措施的钟实施按《纠炉正措施控制申程序》进行市。皇纠正措施的斯制定和实施恐程序如下：烤识别信息安鞋全事件及不惊符合；非确定信息安币全事件及不烫符合的原因筋；价评价确保不英符合不再发桂生的措施要废求；带确定和实施迈所需的纠正今措施；凑记录所采取泛措施的结果界；疏评审所采取匪的纠正措施良。阶8.3搜预防措施选本公司信息淋安全管理小拦组处理预防甘措施，潜在遵不符合事项鸽的相关部门馅采取预防措煎施，以消除笨潜在与信息千安全管理体御系要求不符感合或不期望抄事项发生的愚原因，防止北其发生。谋所采取的预悲防措施应与字潜在问题的裙影响程度相拖适应。梨预防措施的羞实施按《预忆防措施控制出程序》进行妥。谜预防措施的纠制定与实施恩程序要求如涛下：魄识别潜在的个不符合及其茶原因；睬评价预防不院符合发生的猪措施要求；悲确定并实施晓所需的预防握措施；掉记录所采取枣措施的结果抖；珍评审所采取晃的预防措施培。刚我公司信息赶安全管理小傍组定期组织膝进行风险评膊估，以识别也变化的风险忆，并通过关欣注变化显著巷的风险来识沸别预防措施量要求。预防廊措施的优先扬级应基于风可险评估结果帅来确定。沫附录1-组爷织概况旬佛山市三维撇计算机网络总，煎为四川依米守康环境科技午股份有限公瞧司（股票代贸码：300模249）控波股的企业，菌是一家集动续力环境监控僵、数据屿部拿基础设施管行理、物流监只控、医疗自状动化等信息遇系统的研究言、咨询、设洋计、开发、畜应用、服务胞为一体的国寸家高新技术妇企业，在机胡房监控、数顷据撒部峰智能化管理泻、物流监管盲信息平台、黄智能化卡口帅监控、智能榆化手术室、虏节能等领域凑拥有多项软毛硬件创新技偏术和系列自者主知识产权扁产品。兄佛山三维熔以核心技术勾产品为基础离，为客户提友供优异的技影术解决方案嫁及优质的监息控和运维服铜务。愚狸佛山三维士项目实施能奔力已通过I者SO900雷1认证。从叛2003年竞成立至今，蚕已拥有50倾00余个成独功案例，广真泛应用于金可融、保险、革通信、电力遵、医院、学乌院、财税、停交通、广电敏、机关事业督单位等各个裁领域，具备枕几百个项目长同时实施的笨能力，赢得疗了客户的普此遍认可和高紧度赞誉。助附录2-组与织机构图坊哭公司组织架涂构:抹滔公司实行买董事会领导宁下的总经理睡(管理者代症表)负责制爪,下设渗业务部锋、技术闹部油、西工程部、财五务部逮、茫商务（培训系部）塔等五大部门妥.螺二.组织架蠢构图:他公司部门职秋责:近1.驳商务部嘱:尝制定并完善监公司管理制星度，并监督陆落实。蓬制定公司煌人力资源管禁理娱制度，负责尖公司的人力瓦资源的规划洪和管理。万人员的招聘狭、考核与转鄙正。应公司员工的扇培训。齐员工的薪酬出、考勤与纪胜律。链员工的档案浸管理；负责何建立和维护吓公司员工信沉息库。算员工福利、头保险的管理懂及办理。锈负责公司文色件资料的管脱理、归档、笔印刷、发放浮工作。荒负责公司后忙勤保障工作膛。洗负责管理公费司合同。秆体系的峰管理评审斯，推动雹内部审核活歉动。藏负责组织公距司年度,月茄度工作会议纸，或不定期兔的部门协调苦沟通会，并园对会议做出嘴的决定进行期落实。储对组织层的反服务可用性动、持续性、井服务能力提落供支持和资糖源保障。限负责服务资鬼源的统一规辉划和配置。而提供管理方孔面的信息和钢建议以改进写服务绩效。捏服务回访人液员负责对所发服务客户进院行回访，并顶对回访的情嫁况录入到C文RM管理系得统。骄公司其它的排行政管理及咳后勤保障工欺作，以及协推调沟通公共炎关系等工作呈。透2.财务甜部疼:犬负责公司的迅所有现金、兽银行和财务嫁帐目的管理者.断负责各部门凑成本项目、泊核算各部门扔预算完成情骡况;去向上级财务居主管部门、农税务部门、吼统计主管部资门等提供财驳务报告、报纠表和统计报谁告，保持联挡系并协调关绍系；码负责公司记枪帐、算帐和货报帐，出具率内部财务报性告，进行财稼务分析，提孝出财务建议隆;杜负责各部门灰预算与核算骄管理流程；僵根据公司中扎、长期管理前经营计划，备组织编制年刚度综合财务行计划和控制选标准，建立银、健全财务想管理体系;兰财务报表及搞财务预决算瓶的编制工作攻，为公司决牧策提供及时线有效的财务裕分析，保证牵财务信息对蚕外披露的正鹿常进行，有跑效地监督检成查财务制度与、预算的执爸行情况以及吓适当及时的针调整;隙对公司税收鸽进行整体筹贿划与管理，涝按时完成税枯务申报以及抬年度审计工趣作;筒比较精确地柿监控和预测杀现金流量，鸽确定和监控串公司负债和伏资本的合理横结构，统筹冲管理和运作猪公司资金并盐对其进行有脉效的风险控顿制;袋对公司重大遣的投资、融揪资、并购等唐经营活动提慢供建议和决饮策支持，参踢与风险评估滋、指导、跟秧踪和控制;例与财政、税术务、银行、玉证券等相关约政府部门及示会计师事务衰所等相关中扔介机构建立粉并保持良好榆的关系。野词3.炸业务部畅:蚕负责公司产段品的销售工厨作；忍重点负责企笑业客户的开绒发及项目的世跟踪落实;妇参与公司营悬销策略的制烈订；糠负责公司所返有销售产品助的安装调试尊及售后服务弹;渡负责公司工及程项目实施将及售后服务方;锻负责跟踪监瓶督售后服务微情况,及时机反馈客户意疏见。舅4.宣工程部宾:海负责公司产州品的询价和震采购工作；氏负责公司商责品的仓库管弟理,做到进兰出库商品准最确无误.申与财务部一督同进行月度蛇的库存盘点要.扫参与公司营起销策略的制竹订；医负责跟踪项躲目所采购商请品的到货情于况；抄负责公司采景购商品款的狗申请支付；娇负责合同评勺审管理；排负责与上游亲供应商的联岸系沟通.5.技术部骗负责公司产煤品的设计、合开发；飞负责公司开油展业务的技站术支持；泊参与公司技贤术发展规划猜的制定沫负责解决产勾品的测试躲记录并跟踪丈客户定制化系开发,及时堵通知客户其膀请求的当前瓶状况和最新奔进展,并对炸客户请求从折提出直至验僚证和终止的袄整个过程进浮行管理。内附录3-职澡能分配表雷部门唐要素村高层管理/透管理者代表薪信息安全小震组布商务部辜技术翠部酿打工程部状业务部碎财务闭部没4巴.钉1总要求寨▲盘△喂△减△教△勉勾建立IS胆MS宇▲亏▲粗△异▲壁△尘△那蚂实施和运行咸ISMS剪棕▲哨▲咳▲颤△沃△饼4.2.推3监视和评惜审ISM件S趁▲肥▲脖▲艳△样△虫4.2.去4保持和改跨进ISM转S黑▲吹▲并▲在△绞△慰斑文件要求盘总则茄▲淡△喊△蜡△冰△傅△屑堂文件控制战▲柄△黑△撒△帮△凉△蹦亏记录控制避灿▲考△威△玻△先△嫂△涨5.1致管理职责龙管理承礼诺严▲凡△浩△升△绪△土蛮资源管理规资源提供苏简▲原△辱△捏△扎△触△可腾培训，意识幼和能力执▲累△仿△希△问△晌6况内部ISM迈S审核际▲测△交△满△黄△延7荷ISMS缎的管理评审哑▲宾△筋△房△仅△移△糕8筛ISMS刑改进孕▲闸△梦△屋△玻△内A.5冠安全方针踢▲内△樱△舅△种△续急信息安全童组织内稼部组织伐▲僚△椅△兼△淋导外部各方汇勺▲泼△费△苏△