信息安全管理手册 01

LOGOXXX有限公司文件编号HH-ISMS-01-01版本A/0类别信息安全管理手册生效日期20XX-XX-XX一级文件页次PagePAGE1ofNUMPAGES37信息安全管理手册(依据ISO/IEC27001:2013标准编制)受控状态：■受控□非受控制定部门制定/日期审核/日期批准/日期体系管理部文件发行栏□采购部□PMC部□工程部□固态成型部□液态成型部□加工部□PIE部□品管部□物管部□人力资源部□设计&开发部□工模部□体系管理部□管理者代表□总经理修改履历序号章节版次制定或修改內容日期1全部A/0新版发行2021-09-28目录封面1目录2公司概况3TOC\o"1-2"\h\z\u发布令4任命书5XXX有限公司组织机构图70前言97范围92规范性引用文件93术语和定义94组织环境94.1理解组织及其环境94.2理解相关方的需求和期望94.3确定信息安全管理体系的范围104.4信息安全管理体系105领导105.1领导和承诺105.2方针105.3组织角色、职责和权限116规划146.1应对风险和机会的措施146.2信息安全目标和规划实现157支持167.1资源167.2能力167.3意识167.4沟通167.5文件化信息168运行178.1运行的规划和控制178.2信息安全风险评估178.3信息安全风险处置179绩效评价179.1监视、测量、分析和评价179.2内部审核189.3管理评审1810改进1910.1不符合和纠正措施1910.2持续改进19附录1-职能分配表20附录2-风险评估流程图22附录.3-程序文件清单23附录4部门信息安全目标分解24附录.5-信息安全手册更履历25-公司概况XXX有限公司成立于2011年，属于外商独次企业。工厂坐落于东莞市樟木头镇金河工业区第三期海宏科技园。公司主要经营硅橡胶制品及模切制品的生产与销售。产品广泛应用于电子电器业、五金塑胶业、运动器材等。公司成立至今一直坚持以“群策群力，品质至上；精益求精，客户满意”的品质方针及“不断开拓，不断研究，不断进取”的精神为客户提供最好的产品及服务。电话：XXX传真：XXX网址：XXXE-mail：XXX发布令本《信息安全管理手册》(以下简称手册)第A/0版是我们公司按照ISO/IEC27001:2013《信息安全管理体系要求》，并结合我们公司管理工作的实践和公司组织机构的设置而编写的最新版本，体现了我们公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款的要求，符合我公司的实际运作情况，可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据，全体员工必须严格遵照执行。现予以批准，同意发布实施。总经理：2021年09月28日任命书为贯彻执行信息安全管理体系，满足ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》标准的要求，加强领导，特任命XXXX为XXX有限公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；负责与信息安全管理体系有关的协调和联络工作；确保在整个组织内提高信息安全风险的意识；审核风险评估报告、风险处理计划；批准发布程序文件；主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外审核情况。本授权书自任命日起生效执行。总经理：2021年09月28日XXX有限公司组织机构图总经理总经理管理者代表管理者代表行政部综合运营管理部综合管理部行政部综合运营管理部综合管理部0前言《信息安全管理体系手册》（以下简称本手册）依据ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》，参照ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。1范围为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。本《信息安全管理体系手册》采用了ISO/IEC27001:2013标准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明SoA》。2规范性引用文件下列文件中的条款通过本《信息安全管理体系手册》的引用而成为本《信息安全管理体系手册》的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本《信息安全管理体系手册》，然而，行政部应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本《信息安全管理体系手册》。ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》3术语和定义ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义以及下述定义适用于本《信息安全管理体系手册》。ISO/IEC27000中的术语和定义适用于本标准。4组织环境4.1理解组织及其环境本公司依据《信息安全风险管理程序》，建立组织的外部和内部环境，确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。4.2理解相关方的需求和期望本公司通过建立组织的外部和内部环境确定如下内容。a)与信息安全管理体系有关的相关方；b)这些相关方与信息安全有关的要求。注：相关方的要求可能包括法律法规要求和合同义务。4.3确定信息安全管理体系的范围本公司充分考虑如下内容：a)在4.1中提及的外部和内部问题；b)在4.2中提及的要求；c)组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性。确定信息安全管理体系的边界和适用性，建立信息安全管理体系的范围和边界：ISMS的范围是：MERGEFIELD"审核范围"接收金融机构委托从事外包的服务的安全管理活动ISMS的边界是：东莞市樟木头镇金河工业区第三期海宏科技园本信息安全策略适用于整个信息安全管理体系（ISMS），范围包括：属于公司的一切受知识产权保护的信息；公司持有一切相关客户资料信息公司持有的一切相关企业资料信息公司持有的一切关于供应商及合作伙伴的资料信息公司持有的一切合同信息属于公司的一切相关信息系统的物理实体公司所属的一切人员、IT系统，设备，文档，公司规章制度以及其他的信息和信息载体。4.4信息安全管理体系公司依据ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》建立、实施、保持和持续改进信息安全管理体系。5领导5.1领导和承诺高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：a)确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；b)确保将信息安全管理体系要求整合到组织的业务过程中；c)确保信息安全管理体系所需资源可用；d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；e)确保信息安全管理体系实现其预期结果；f)指挥并支持人员为信息安全管理体系的有效实施作出贡献；g)促进持续改进；h)支持其他相关管理角色在其职责范围内展示他们的领导力。5.2方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，公司高层管理者建立信息安全方针：信息安全、人人有责，持续改进、提高信赖内涵：信息安全管理的重点是人员有意识的维护公司信息资产安全。全体员工应本着主人翁精神，群策群力，共同构筑公司信息安全。公司遵守信息安全的相关法令、法规、业界方针及规范，建立信息安全管理体系。通过全体员工的持续努力来完善体系，通过切实的控制措施来保障公司及顾客的信息安全。信息安全，是公司正常经营活动的重要保障，是客户信赖的基础，也是我们认同的一种社会责任。公司通过完善的管理，赢得顾客的信赖，以此保障公司业务的持续发展。信息安全方针满足以下要求：a)适于组织的目标；b)包含信息安全目标（见6.2）或设置信息安全目标提供框架；c)包含满足适用的信息安全相关要求的承诺；d)包含信息安全管理体系持续改进的承诺。公司文件化信息安全方针，保持可用性，并在组织内部进行传达，适当时，对相关方可用。5.3组织角色、职责和权限高层管理者应确保分配并传达了信息安全相关角色的职责和权限。高层管理者应分配下列职责和权限：a)确保信息安全管理体系符合本标准的要求；b)将信息安全管理体系的绩效报告给高层管理者。注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。5.3.1信息安全组织机构本公司信息安全领导机构——行政部的职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由行政部承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，履行“5.1领导和承诺”中的相关职责。5.3.2信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：建立并实施信息安全管理体系必要的程序并维持其有效运行；对信息安全管理体系的运行情况和必要的改善措施向行政部或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。部门职责如下：总经理：任命管理者代表，明确管理者代表的职责和权限；确保在内部传达满足客户和法律法规的重要性；为信息安全管理体系配备必要的资源；主持管理评审；5）负遵守公司信息安全的相关规定以及本岗位相关的保密要求。负责管理重要内外联网访问权限的审批，以及重要信息应用系统用户的开通。责公司信息安全管理和企业管理的计划、组织、协调、监督、控制和考核工作；管理者代表:负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；负责公司信息安全管理手册的审核，程序文件的批准，组织并领导公司内部审核工作；负责向总经理报告信息安全体系运行的业绩和任何改进的需求；负责就信息安全管理体系有关事宜的对外联络；遵守公司信息安全的相关规定以及本岗位相关的保密要求。各部门的信息安全主管领导:部门的信息安全主管领导由本部门负责人担任；负责协助行政部建立本部门信息安全管理制度和流程；部门的信息安全主管领导系本部门信息安全管理责任人，负责本部门的信息安全管理工作，负责保护本部门所拥有和管理的信息资产的安全；负责采取有效办法，落实和推动信息安全政策的实施；负责指导和要求本部门员工遵守信息安全政策；对违反安全政策的行为进行内部处罚；落实针对本部门的纠正措施(包括内部审核整改意见)和预防措施。行政部（信息安全管理归口部门）：负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改进。负责本公司保密工作的管理。负责新进人员的甄选、招聘，确保招聘工作及时满足公司用人增补需求，员工的能力、意识和培训，员工离职管理。协助相关用人部门培训及考核上岗.培训：岗前培训、本公司知识培训、素质培训、专业培训检查。负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。参与涉密及司法介入的信息安全事件的调查。对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。及时处理重要来往文电信函的审阅、传递领导批示、审核和修改以公司名义签发的有关文件，抓好文书归档和用印管理工作。协助各部门制定部门、岗位职责和各类规章的实施细则，配合公司协调各部门的工作关系。做好公司人员的绩效考核和奖励惩罚工作。11）安全区域的保卫管理部门，负责安全区域的管理。12）负责公司资金运作管理、日常财务管理与分析、资本运作、筹资方略、对外合作谈判等。13）负责公司财务管理及内部控制，根据公司业务发展的计划完成年度财务预算，并跟踪其执行情况。14）按时向总经理提供财务报告和必要的财务分析，并确保这些报告可靠、准确。15）负责公司的整体信息安全管理工作，负责公司信息资产的安全；16）负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施；17）负责与国家信息安全主管机构、上级主管部门的沟通和交流，负责有关信息安全工作的落实和推行，并负责报告本公司有关信息安全状况和重要事件；18）负责协调公司内部信息安全工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在公司范围内的实施；19）负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；20）负责对信息安全管理体系进行内部评审和管理评审，审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项；21）负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；22）评审与监督重大信息安全事故的处理；23）负责组织对ISMS体系进行审核，以验证体系的符合性和有效性，并对发现的问题提出整改要求并组织实施整改；24）负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录；25）负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计；26）负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施(包括内部审核整改意见)和预防措施；27）负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；28）调查安全事件，并维护安全事件的记录报告(包括调查结果和解决方法)，定期总结安全事件记录报告；29）识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度，审核ISMS体系文档的合规性。综合管理部：了解市场信息,沟通相关部门策划适合市场的创新产品，跟踪行业发展趋势，建立和完善营销信息收集、处理、交流及保密系统；负责协调综合运营管理部开发及协调测试；为重大投标活动和工程咨询出谋划策；整理分析公司各综合管理部门的业务资料信息；协助相关部门对网站产品的运营，参与公司网站建设，提出新项目发布意见；负责合同评审、审批的管理，参与售前，售中，售后的服务工作；负责顾客满意度调查与投诉的处理。8）负责运维业务信息安全工作；综合运营管理部：负责系统集成项目的设计和开发；负责系统集成项目过程中信息安全管理；负责控制恶意软件管理工作；负责对恶意软件预防的培训工作；负责项目文档的管理；负责信息系统接收测试；负责网站产品的用户体验改进及服务的管理，在信息技术服务中提供技术支持；负责确认项目人员到岗情况，外地项目根据需求招聘新员工，并进行培训工作，做好各工序员工的情况记录，项目人员名单报后勤组；负责拟定新项目的计划书,明确项目的工作流程，制定各工序工作职责；负责布置加工场地，配合设备维护人员进行网络、设备、加工系统调试；负责项目开发过程中不合格的评审和处置。负责项目配置管理。6规划6.1应对风险和机会的措施6.1.1总则当规划信息安全管理体系时，公司应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：a)确保信息安全管理体系能实现其预期结果；b)防止或减少意外的影响；c)实现持续改进。公司应规划：d)应对这些风险和机会的措施；e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程；2)评价这些措施的有效性。6.1.2信息安全风险评估公司通过建立公司外部和内部环境，制定《信息安全风险控制程序》，定义并应用风险评估过程。行政部建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行《信息安全风险控制程序》进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。6.1.2.1建立并保持信息安全风险准则建立并保持信息安全风险准则，包括1)风险接受准则；2)执行信息安全风险评估的准则；定义风险评估的方法，确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果。6.1.2.2识别信息安全风险由行政部组建风险评估小组，风险评估小组应：1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；2)识别风险负责人；通过风险识别，形成《信息安全风险评估表》。6.1.2.3分析信息安全风险：1)评估6.1.2.2中所识别风险发生后将导致的潜在影响；2)评估6.1.2.2中所识别风险发生的现实可能性；3)确定风险级别；6.1.2.4评价信息安全风险；1)将风险分析结果同6.1.2.1建立的风险准则进行比较；2)为实施风险处置确定已分析风险的优先级。公司应保留信息安全风险评估过程的文件记录信息，详见《信息安全风险评估表》。6.1.3信息安全风险处置公司定义并应用信息安全风险处置过程，以：a)在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项；b)为实施所选择的信息安全风险处置选项，确定所有必需的控制措施；注：组织可按要求设计控制措施，或从其他来源识别控制措施。c)将6.1.3b）所确定的控制措施与附录A的控制措施进行比较，以核实没有遗漏必要的控制措施；注1：附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保不会遗漏必要的控制措施。注2：控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要另外的控制目标和控制措施。d)产生《信息安全适用性声明》。适用性声明要包含必要的控制措施（见6.1.3b）和c））、对包含的合理性说明（无论是否已实施）以及对附录A控制措施删减的合理性说明；e)制定《信息安全风险处置计划》；f)获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。6.2信息安全目标和规划实现公司在相关职能和层次上建立信息安全目标。信息安全目标应：a)与信息安全方针一致；b)可测量（如可行）；c)考虑适用的信息安全要求以及风险评估和风险处置结果；d)被传达；e)适当时进行更新。公司信息安全目标：为贯彻实施信息安全方针，根据公司实际情况，确定公司的信息安全目标如下：重大信息安全泄密事件0件客户信息外泄事件为0公司明确管理和测量信息安全目标的职责，明确测量的内容和频率要求，并对测量的结果进行评价，识别改进的机会。7支持7.1资源公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源，包括资金、人力、设施和技术等资源。7.2能力行政部制定并实施《人力资源控制程序》，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a)确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；b)确保人员在适当教育，培训和经验的基础上能够胜任工作；c)适用时，采取措施来获得必要的能力，并评价所采取措施的有效性；d)保留适当的文件记录信息作为能力方面的证据。注：例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作；雇用或签约有能力的人员。7.3意识公司通过教育、培训等手段，使员工在组织的控制下从事其工作时应意识到：a)信息安全方针；b)他们对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处；c)不符合信息安全管理体系要求可能的影响。7.4沟通公司确定有关信息安全管理体系在内部和外部进行沟通的需求，明确以下内容：a)什么需要沟通；b)什么时候沟通；c)跟谁进行沟通；d)由谁负责沟通；e)影响沟通的过程。7.5文件化信息7.5.1总则公司制定《文件控制程序》《记录控制程序》对文件化信息进行控制，公司的信息安全管理体系应包括：a)本标准要求的文件化信息；b)组织为有效实施信息安全管理体系确定的必要的文件化信息。7.5.2创建和更新创建和更新文件化信息时，应确保适当的：a)标识和描述（例如：标题、日期、作者或参考编号）；b)格式（例如：语言，软件版本，图表）和介质（例如：纸质介质，电子介质）；c)评审和批准其适用性和充分性。7.5.3文件记录信息的控制信息安全管理体系和本标准所要求的文件化信息应予以控制，以确保：a)无论何时何地需要，它都是可用并适合使用的；b)它被充分保护（例如避免丧失保密性、使用不当或丧失完整性）对于文件化信息的控制，适用时，组织应处理下列问题：c)分发、访问、检索和使用；d)存储和保存，包括可读性的保持；e)变更控制（例如版本控制）；f)保留和和处置。组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息，适当时应予以识别并进行控制。访问隐含一个权限决策：仅能查看文件记录信息，或有权去查看和变更文件记录信息等。8运行8.1运行的规划和控制公司应规划、实施和控制满足信息安全要求所需的过程（详见附录3《程序文件清单》），并实施6.1中确定的措施（详见《适用性声明》）。组织还应实施这些规划来实现6.2中所确定的信息安全目标。公司应控制计划了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响。组织应确保外包的过程已确定，并处于可控状态。8.2信息安全风险评估公司依据《信息安全风险控制程序》及6.1.2中建立的风险评估执行准则，每年定期执行一次信息安全风险评估，当重大变更被提出或发生时，应不定期执行信息安全风险评估。保留信息安全风险评估结果的文件化信息。8.3信息安全风险处置公司按建立的准则实现信息安全风险处置计划。9绩效评价9.1监视、测量、分析和评价信息安全风险处置公司应实施6.1.2中制定的《信息安全风险处置计划》，并执行变更了的处置计划。公司明确相关职责，定期评价信息安全绩效和信息安全管理体系的有效性。满足以下要求：a)什么需要监视和测量，包括信息安全过程和控制措施；b)监视、测量、分析和评价的方法，适用时，确保结果有效；c)什么时候应执行监视和测量；d)谁应实施监视和测量；e)什么时候应对监视和测量的结果进行分析和评价；f)谁应分析和评价这些结果。组织应保留适当的文件记录信息作为监视和测量结果的证据。9.2内部审核公司行政部按《内审与改进控制程序》的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。公司每年进行一次内部审核，以提供信息确定信息安全管理体系是否：a)符合1)组织自身信息安全管理体系的要求；2)本标准的要求；b)得到有效的实施和保持。公司应按《内审与改进控制程序》》执行如下活动：c)规划、建立、实施和保持审核方案，包括频次、方法、职责、计划要求和报告。审核方案应考虑所关注过程的重要性以及以往审核的结果；d)为每次审核定义审核准则和审核范围；e)审核员的选择和审核的实施应确保审核过程的客观性和公正性；f)确保审核结果报告给相关的管理者；g)保留文件记录信息作为审核方案和审核结果的证据。9.3管理评审行政部应每年组织进行一次管理评审并召开安全会议，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按《管理评审控制程序》进行。管理评审应包括下列方面的考虑：a)以往管理评审的措施的状态；b)与信息安全管理体系相关的外部和内部问题的变更；c)信息安全绩效的反馈，包括下列方面的趋势：1)不符合和纠正措施；2)监视和测量结果；3)审核结果；4)信息安全目标的实现；d)相关方的反馈；e)风险评估的结果和风险处置计划的状态；f)持续改进的机会。管理评审的输出应包括与持续改进机会有关的决定，以及变更信息安全管理体系的所有需求。组织应保留文件记录信息作为管理评审结果的证据。10改进本公司依据《纠正和预防措施控制程序》的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的有效性。10.1不符合和纠正措施本公司行政部处理纠正措施，不符合项的责任部门负责采取纠正措施，以消除与信息安全管理体系要求不符合的原因，以防止再发生。纠正措施的实施按《纠正和预防措施控制程序》进行。针对发生的不符合，公司应：a)对不符合作出反应，适用时：1)采取措施控制并纠正不符合；2)处理后果；b)为确保不符合不再发生或不在其他地方发生，通过下列方式评价消除不符合原因的措施需求：1)评审不符合；2)确定不符合的原因；3)确定是否存在或可能发生相似的不符合；c)实施所需的措施；d)评审所采取纠正措施的有效性；e)必要时，对信息安全管理体系实施变更。纠正措施应与所遇不符合的影响相适应。组织应保留文件记录信息作为下列事项的证据：f)不符合的性质以及所采取的所有后续措施；g)所有纠正措施的结果。10.2持续改进本公司依据《纠正和预防措施控制程序》的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的有效性。附录1信息安全体系要求与部门职能分配表要素部门管理层行政部综合运营管理部综合管理部4.1理解组织及其环境★○○○4.2理解相关方的需求和期望★○○○4.3确定ISMS范围★★○○4.4信息安全管理体系★○○○5.1领导和承诺★○○○5.2方针★○○○5.3组织角色、职责和权限★○○○6.1应对风险和机会的措施★★○○6.1.1总则○★○○6.1.2信息安全风险评估○★○○6.1.3信息安全风险处置○★