ISO27001：2022信息安全管理手册+全套程序文件+表单

信息安全管理手册+程序文件表单全套目录ISMS-B-01信息安全风险管理程序ISMS-B-07]管理评审程序回ISMS-B-13]业务持续性管理程序ISMS-B-17员工聘用管理程序可ISMS-B-18员工培训管理程序回ISMS-B-27]恶意软件管理程序信息安全管理手册编制：日期：202X-11-01审核：日期：202X-11-01批准：日期：202X-11-01受控状态受控文件修订记录修订说明 11.1颁布令 1 21.3手册说明 32规范性引用文件 53术语和定义 54组织环境 54.1理解组织及其环境 54.2理解相关方的需求和期望 54.3确定ISMS的范围 54.4信息安全管理体系 65领导作用 65.1领导作用和承诺 5.3组织架构、职责和权限 7 76.1风险和机遇的应对措施 6.2信息安全目标及其实现规划 87支持 87.1资源 87.2能力 9 7.4沟通 7.5文件记录信息 8运行 8.1运行的策划和控制 8.2信息安全风险评估 8.3信息安全风险处置 9绩效评价 9.1监视、测量、分析和评价 9.3管理评审 10.1不符合和纠正措施 10.2持续改进 10.3纠正措施 10.4预防措施 附录1-组织简介 附录2-组织架构图 附录4-信息安全小组成员 25附录5-服务器拓扑图 26 271概述1.1颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2022《信息安全管理体系要求》标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了XXX有限公司《信息安全管理手册》。《信息安全管理手册》经评审后，现予以批准发布。《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客全体员工必须认真学习、切实执行。XXX有限公司202X年11月01日1.2任命书为贯彻执行ISO/IEC27001:2022《信息安全管理体系要求》,加强对信息管理体系运行的领导，特任命为公司管理者代表。授权信息安全管理者代表有如下职责和权限：1)确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信2)负责与信息安全管理体系有关的协调和联络工作；3)确保在整个组织内提高信息安全风险的意识；4)审核风险评估报告、风险处理计划；5)批准发布程序文件；6)主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7)向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本任命书自任命日起生效执行。XXX有限公司202X年11月01日1.3手册说明1.3.1总则《信息安全管理手册》的编制，是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。《信息安全管理手册》为审核信息安全管理体系提供了文件依据。《信息安全管理手册》证明公司已经按照ISO/IEC27001:2022标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1.3.2信息安全管理手册的批准管理者代表负责组织信息安全小组编制《信息安全管理手册》及其相关规章(1)综合管理部负责按《文件控制程序》的要求，进行《信息安全管理手册》的登记、发放、回收、归档、作废与销毁工作。(2)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》(3)综合管理部按照规定发放修改后的《信息安全管理手册》,并收回失效的文件做出标识统一处理，确保有效文件的唯一性。(4)综合管理部保留《信息安全管理手册》修改内容的记录。《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册实施修改后，应及时发布修改信息，通知相关人员。《信息安全管理手册》的修改分为两种：档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》原件进行保存。在出现下列情况时，《信息安全管理手册》可以进行修改：信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进>内部信息安全提出新的需求>组织机构和职能发生变化>经营环境和产品结构有调整>发现本手册中存在差错或不明确之处>引用的法规或体系标准有修改>体系审核或管理评审提出改进要求>本手册的更改控制按《文件管理程序》执行1.3.5信息安全管理手册的换版《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新编制、>当依据的ISO/IEC27001:2022信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。>相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生>《信息安全管理手册》发生需修改部分超过1/3时。>《信息安全管理手册》执行已满三年时。1.3.6信息安全管理手册的控制(1)《信息安全管理手册》标识分受控文件和非受控文件：>受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。>非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。(2)《信息安全管理手册》分为书面文件和电子文件两种。GB/T22080-2016信息技术安全技术信息安全管理体系要求；GB/T22081-2016信息安全管理实用规则；与公司运营相关的法律法规和技术标准。●本手册采用ISO/IEC27001:2022标准的术语和定义，并根据需要在相应章节所描述的要求中，增补了所涉及的术语和定义；●本手册出现的术语“产品”指的是公司提供的产品和服务；●ISMS-IntegratedManagementSystem的缩写，代表“信息安全管理体系”;4组织环境4.1理解组织及其环境公司定期识别和信息安全管理目标相关，并影响实现信息安全管理预期结果的内外4.2理解相关方的需求和期望b)这些相关方与信息安全有关的要求。4.3确定ISMS的范围本《信息安全管理手册》规定了<XXX有限公司>信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理活动区域范围：广东省深圳市八卦岭八卦路31号众鑫科技大厦1310室4.4.1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全员的信息安全意识，对信息安全风险进行有效管理，使全公司贯彻落实安全方针和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影响到信息安全的各种风险，防止安全事故的发生。同时确保全体员工理解并遵守执行信息安全管理体系文件，持续改进信息安全管理体系的有效性，树立公司良好的服务形象，增强用户对公司的技术和管理水平的信心，保证公司业务可持续开展，特制定本《信息安全管理手册》。计划并建立计划并建立修正监控并评审信息安全管理需求和期望持续并改进实施并运行信息安全管理5领导作用为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：满足客户要求，保障信息安全，遵守法律法规，持续改进管理。二、信息安全管理目标1.针对客户信息安全事件的投诉每年不超过1次2.重要信息设备丢失每年不超过1起3.机密和绝密信息泄漏事件每年不超过1次三、信息安全管理适用范围本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。附录2-组织架构图5.3.2ISMS管理职能分配见附录3-职能分配表见附录8-信息安全职责说明6规划信息安全小组组织有关部门根据风险评估结果，形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及完成时间。对于信息安全风险和给予，应考虑控制措施与费用的平衡原则，选用以下适当的措施：●控制风险，采用适当的内部控制措施。●接受风险(不可能将所有风险降低为零);●避免风险(如物理隔离);●转移风险(如将风险转移给保险者、供方、分包商)。6.2信息安全目标及其实现规划6.2.1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。a)与信息安全方针保持一致c)考虑适用的要求，以及风险评估和风险处置的结果；组织应保持有关信息安全目标的文件化信息。6.2.2在策划信息安全目标的实现时，公司确定：b)所需的资源(见7.1);e)如何评价结果。7支持7.1资源7.1.1总则总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的资源，应考虑现有的资源、能力、局限；7.1.2基础设施组织应识别、提供并保持实现产品/服务符合性所需的基础设施，这些设施包括：●工作场所相应的设施(办公电脑、服务器、软硬件、机房等);●服务过程设备，如各种通讯设备、监控设备和客户服务管理系统、业务系统(软件)等；●维修保养和保障设施(各种辅助设施、安全防护设施等);7.2能力●支持性服务，如运输、通讯信息系统等。7.1.3过程环境公司各部门应识别提供产品/服务所需环境中人和物的因素，并对其加以有效的控制，保证提供产品/服务过程中的人员、财产安全。过程环境可包括物理的、社会的、心理的和环境的因素。7.1.4监视和测量设备对照国际或国家的测量标准，在规定的时间间隔或在使用前进行校准和检定，如果没有上述标准的，应记录校准或检定(验证)的依据，以确保下列设备处于正常状态：●开发用途的电脑设备；●测试用途的电脑设备；●开发用途的软件；●测试用途的软件；●集成项目使用的设备。处于正常状态的设备应具备下列特征：●设备的型号能够符合预期的使用目的；●无论设备处于待用状态还是处于使用状态，设备均是正常的；●设备得到周期性的养护和校正，并标识其校准状态；●必要时，各部门使用设备进行测量前，应再次校准设备；●测试软件应确认其具有满足预期用途的能力，初次使用前应进行确认，必要时当发现软件或设备不符合要求时，应对以往的测量结果进行有效性评价和记录，并对受影响的产品采取适当的措施。校准和检定结果的记录应予保存。7.1.5知识公司应确保ISMS管理体系运行过程中，提供产品/服务的符合性和顾客满意所需的知识。这些知识应得到保持、保护、需要时便于获取。在应对变化的需求和趋势时，组织应考虑现有的知识基础，确定如何获取必需的更多知识。公司应根据岗位所需的教育、培训、技能和经验要求，安排人员，以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要，能胜任其工作。对于人员的配置，公司人事行政部应定岗定编并制定完善的岗位说明文件。公司在《员工培训管理程序》中对在职培训、人员的意识的灌输和工作能力的增长●确定从事影响产品/服务质量和信息安全的人员(包含营销、服务提供、质量检查、IT开发、顾客沟通、顾客信息反馈等)所必须的工作能力及培训需求；●提供培训或采取其他措施，以满足所确定的需求并确保达成必须的能力；●对培训的有效性进行评价；●确保员工能意识到他们工作的相关性和重要性，以及他们如何为达到ISMS目标●保存有关教育、经验、培训、资格的适当的记录。7.3意识●相关的信息安全目标；●他们对信息安全管理体系有效性的贡献，包括改进绩效的益处；●偏离信息安全管理体系要求的后果。7.4沟通管理者代表为信息安全沟通交流主管部门，负责内、外部信息的交流与管理，及时将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟通交流工作，收集与外部相关方的信息资料，并保存回复的证据。7.4.1内部信息·信息安全方针、目标及实施方案·监控与测量结果的反馈及法律、法规的符合情况7.4.2外部信息7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定《信息安全沟通协调管理程序》规范信息安全沟通过程，必要时，保留信息交流相关证据。7.5文件记录信息7.5.1文件体系结构信息安全管理体系的文件由上而下分为四个层次，如下图所示：程序文件作业指导、规范规章制度、计划表单记录信息安全管理体系文件包括：(1)管理手册(信息安全手册、信息安全策略):规定信息安全管理体系的文件，是公司内部的信息安全法规，阐述了信息安全管理体系的方针、目标、范围、组织结构和职责权限，同时描述了信息安全管理体系的主体文件(程序文件),是信息安全管理体系的纲领性文件。(2)程序文件：是信息安全手册的支持性文件，规定了实施与信息安全管理体系有关的各项活动的途径和方法，是各项活动得以有效实施的保障。与信息安全管理体系有关的各项活动必须按照程序文件规定实施，并定期对其进行评审，保持其有效性。(3)作业指导、规范规章制度、计划等：是现场或岗位使用的详细工作文件，是程序文件的支撑和补充性文件，是信息安全管理体系过程得以有效策划、运行、控制所需要的文件，也是信息安全活动的基础文件。(4)表单记录：通过表单模板，对信息安全管理体系实施的一系列活动进行规范，形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息安全小组组织协调各相关部门共同完成编写。7.5.2文件控制综合管理部组织编制《文件控制程序》,确保信息安全管理体系的文件在以下几个(1)文件发布前得到批准，以确保文件是充分与适宜的。(2)管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。(3)确保文件的更改和现行修订状态得到识别。(4)确保在使用处可获得适用文件的有关版本。(5)确保文件保持清晰、易于识别。(6)确保综合管理部确定的体系所需的外来文件得到识别，并控制其分发。(7)防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。(8)具体执行按《文件控制程序》的规定，对文件的审核、批准、发布、变更、修改、废止等环节进行控制。7.5.3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据，对记录的标识、储存、保护、检索、保管、废弃等事项进行了规定，各部门应根据《记录控制程序》的要求采取适当的方式妥善保管信息安全记录，具体记录如下：(1)建立并保持记录，以提供符合要求和信息安全管理体系有效运行的证据。(2)保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记录应保持合法，易于识别和检索。(3)编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和(4)记录的要求和管理：真实、完整、字迹清晰，可识别是何种产品或项目的何种活动。>填写及时、禁止未经许可的更改。>各部门应对本部门的记录自行归档保存，保存环境应适宜，以防止记录损坏、变质和丢失，保管方式便于存取和检索。>记录的保存期限应根据产品的特点、法规要求及合同要求来决定，见“记录清>超过保存期的质量记录处理应按审批规定进行处置。8运行8.1运行的策划和控制公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程，这些过程与公司ISMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别每一过程对满足客户服务要求的能力的影响，并确保营运活动中每个质量特性都受到有●服务标准●明确过程控制的准则和方法，制定必要的作业指导文件，为产品和服务实现提供资源和设施，保证其所需的工作环境；●保留服务过程提供及过程测量和检查结果的记录。经识别公司没有外包过程。对于公司的服务商，综合管理部按照《第三方服务管理程8.2信息安全风险评估8.2.1风险评估的方法信息安全小组负责组织编制《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法，在决定风险的可接受范围内，采取适当的风险控制措施。8.2.2识别风险在信息安全管理体系范围内，对所有信息资产进行识别评价，识别资产面临的威胁以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险，并通过这些项目的风险标识推算出对重要资产造成的影响。8.2.3分析和评价风险针对每一项信息资产，识别出其面临的所有威胁，并考虑现有的控制措施，识别出被该威胁可能利用的薄弱点。针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判断安全失效发生的可能性。根据《信息安全风险管理程序》计算风险等级以及风险接受准则，判断风险为可接8.2.4识别和评价风险处理的选择项目风险的识别贯穿整个业务活动过程，明确哪些风险可能影响项目造成影响、记录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析，依据影响对项目风险进行优先级排序。综合管理部根据风险评估的结果，形成《信息安全风险评估表(含<风险处理计划>)》,该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略，具体(1)适时适当的控制措施。(2)规避风险，采取有效的控制措施避免风险的发生。(3)接受风险，在一定程度上有意识、有目的地接受风险。(4)风险转移，转移相关业务风险到其他方面。(5)消减风险，通过适当的控制措施降低风险发生的可能性。8.3信息安全风险处置组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。详见《信息安全风险管理程序》8.3.1相关文件●《信息安全风险管理程序》9.1监视、测量、分析和评价综合管理部应组织相关部门，对质量服务信息安全措施的绩效和体系的有效性进行综合管理部应与各部门协调，根据公司管理的实际需要，建立恰当的度量体系，以度量员工、项目组的工作业绩。由综合管理部组织实施监视和测量，每年至少一次对对监视和测量的结果进行分析和评价，由总经理以及各部门经理分析和评价这些结果，保留相关的监视和测量证据。9.2内部审核公司应按计划的时间要求进行ISMS内部审核，以确定控制目标、控制措施、过程●符合标准及相关法律法规的要求；●符合确定的信息安全要求；●得到有效地实施和维护；●按期望运行。内部审核程序应进行计划，并考虑受审核的状况、重要性和受审核的区域以及上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己的工作。9.3管理评审9.3.1总则为确保信息安全管理体系持续运行，具体如下：(1)管理者代表组织并编制《管理评审程序》,指导管理评审工作的执行。(2)管理评审由最高管理者或其授权人员组织，每年至少一次。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：>公司管理体系发生重大变化。国家法律法规、相关标准发生重大变化。其他认为需要评审时。(3)各部门负责均需参加管理评审活动，需要时，由总经理或其授权人员决定具(4)管理评审会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行，并对执行状况予以跟踪评估。9.3.2评审输入在管理评审时，管理者代表应组织各相关部门提供以下资料，以供评审：a)以往管理评审的措施的状态；b)与信息安全管理体系相关的外部和内部问题的变更；c)信息安全绩效的反馈，包括下列方面的趋势：1)不符合和纠正措施；2)监视和测量结果；3)审核结果；4)信息安全目标的实现；e)风险评估的结果和风险处置计划的状态；f)持续改进的机会。9.3.3评审输出按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，管理评审输出包括以下方面有关的任何决定和措施：(1)信息安全管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。(2)信息安全管理方针和目标的修订。(3)与相关方/第三方有关的改进措施等。(4)风险的等级或可接受风险的水平，更新风险评估和风险评估表等。(5)业务需求的变更。(6)安全需求的变更。(7)资源需求以及影响现有业务需求的业务过程；(8)法律法规的环境。(9)改进测量控制措施有效性的方式。(10)对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。以上内容的详细规定见《管理评审程序》。公司应保留文件记录作为管理评审结果的证据。10.1不符合和纠正措施●评价消除不符合原因的措施的需求，通过采取以下措施防止不符合再次发生或在其他>确定不符合的原因；>确定类似不符合是否存在，或可能潜在发生●必要时，对体系实施变更。●不符合的性质及随后采取的措施●纠正措施的结果上述要求参见《纠正措施控制程序》。10.2持续改进通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全管理体系的改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。关注客户的投诉、抱怨、记录、评估服务改进建议，制定服务改进计划，评估服务改进情况，确保各项服务改进措施均已落实执行，并实现预期的目标，从而改进完善服务过程，提升服务质量，提高客户的满意度。规定各部门在持续改进活动中的角色和职责，并从服务过程的所有方面考虑服务改计划通过以下途径持续改进信息安全管理的有效性：(1)通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺。(2)通过信息安全管理体系目标的建立与实施，对持续改进进行评价。(3)通过内部审核不断发现问题，寻找体系改进的机会并予以实施。(4)通过数据分析不断寻求改进的机会，并做出适当的改进活动安排。(5)通过实施纠正和预防措施实现改进的活动。(6)监控安全事件并对事件进行分析。(7)确定纠正措施和预防措施的有效性。(8)根据管理评审的结果寻求改进体系的机会。(9)根据客户满意度调查寻求改进体系的机会。10.3纠正措施对于发现的不合格项，不仅要求责任人要纠正不合格行为，而且为了消除不合格项、与实施和运行信息安全管理体系有关的原因，人事行政部要求责任人应该制定纠正措施，以便防止不合格的再次发生。纠正措施的控制应该满足如下要求：(1)识别实施和运行信息安全管理体系的不合格事件。(2)分析并确定不合格的原因。(3)评价确保不合格不再发生的相关因素。(4)确定和实施所需的纠正措施。(5)检查、验证纠正措施的结果。(6)评审所采取的纠正措施的有效性。支持文件：10.4预防措施在信息安全管理体系运行的过程中，通过日常的过程控制、结果验证、体系审核等方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件，应该及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求：(1)识别潜在的信息安全事件及其原因，并确定。(2)评价预防不合格发生的措施的需求。(3)确定和实施所需的预防措施。(4)评价预防措施的有效性，并对所采取措施的结果进行记录。(5)识别并控制重大的已变更的防线。支持文件：XXX有限公司是一家总部位于中国深圳的全方位IT及解决方案服务提供商。主要依靠与多家航空领域的企事业单位建立的良好合作关系，经验，打造了一支经验丰富的管理团队。在坚持高品质的产品质量、雄厚的技术力量的我们的服务：公司一直坚持“满足客户的需求就是我们的追求的服务“宗旨”,我们将以最优质的服务为客户提供全方位的IT服务，提升客户的企业价值，提高客户的景，多年IT研发、管理经济的高层管理团队；经验丰富的研发团队一为客户提供专业发展战略：提供自主研发的一流软件和服务，持附录2-组织架构图信息安全小组附录3-职能分配表管理者综合管理部△▲△△△△4.2理解相关方的需求和期望△▲△△△△4.3明确信息安全管理体系的范围△▲▲△△△4.4信息安全管理体系△△▲△△△5领导5.1领导和承诺△▲△△△△5.2方针△▲△△△△5.3组织角色、职责和权力△▲△△△△6计划6.1处置风险和机遇▲▲△△△△6.2信息安全目标的计划和实现△▲△△△△7支持7.1资源△▲△△△△7.2能力△△△▲△△7.3意识△△△▲△△7.4沟通▲▲▲△△△7.5文档要求△△△▲△△8实施8.1运行计划和控制▲△△△△△8.2信息安全风险评估▲△△△△△▲△△△△△9绩效评价9.1监视、测量、分析和评价▲△△△△△9.2内部审核▲△△△△△9.3管理评审△▲△△△△10改进10.1不符合项和纠正措施△▲△△△△10.2持续改进△▲△△△△A.5信息安全策略A.5.1信息安全管理指导△△▲△△△A.6.1内部组织△▲▲△△△△△△△▲▲A.7人力资源安全A.7.1任用前△△△▲△△A.7.2任用中△△△▲△△△△△▲△△A.8资产管理A.8.1资产的责任△△△▲▲▲A.8.2信息分类△△△▲△△A.8.3介质处理△△△▲▲▲A.9.1访问控制的业务需求△△△▲△△△△△▲△△A.9.3用户责任△△△▲△△△△△▲△△A.10加密技术A.10.1加密控制△△△▲△△A.11物理和环境安全A.11.1安全区域△△△▲△△A.11.2设备安全△△△▲△△A.12操作安全A.12.1操作程序及职责△△△▲△△△△△▲▲▲A.12.3备份△△△▲▲▲△△△▲△△△△△▲△△△△△▲△△△△△▲△△A.13通信安全A.13.1网络安全管理△△▲△△A.13.2信息传输△△▲△△A.14系统的获取、开发及维护A.14.1信息系统安全需求△△△△▲△△△△△▲△A.14.3测试数据△△△△▲△A.15供应商关系A.15.1供应商关系的信息安全△△△▲△△△△△▲△△A.16信息安全事件管理A.16.1信息安全事件的管理和改进▲△△△△△A.16.1.1职责和程序▲△△△△△▲△△▲▲▲▲△△▲▲▲▲△△△△△▲△△△△△A.16.1.6从信息安全事故中学习▲△△△△△A.16.1.7收集证据▲△△△△△A.17业务连续性管理中的信息安全A.17.1信息安全的连续性△△△▲△△A.17.2冗余△△△▲△△A.18符合性A.18.1法律和合同规定的符合性△△△▲△△▲△△△△△附录4-信息安全小组成员为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全管理方针，特授权以下人员组成信息安全管理小组。成员名单如下：组长：XXX(总经理)执行组长：曹飞澎成员：综合管理部：张小波、销售部：曹飞澎、技术部：严玉成。附录5-服务器拓扑图附录6-信息安全职责说明一、总经理1、负责主持制定本公司的信息安全体系方针和目标，确保员工贯彻执行；2、制定公司战略，进行经营、营销、项目管理规划，承担公司的全面经营管理工作，包括人事、行政、财务、采购、管理等。3、确保实现方针和目标的相关资源；4、任命管理者代表，并授予其相应的职责和权限；5、负责对本公司组织结构的设置，规定各级人员的职责、权限，规定和各部门的职能及其在组织内的相互关系，具体岗位职责描述，参见相关《职位说明书》;6、组织制定项目整体施工组织计划；根据项目整体计划，审定年度、季、月进度计划，并贯彻执行；对直接下属进行绩效考核，对其进行提拔、奖励、惩处。7、严格执行公司财务制度，根据授权审批公司各项开支，但受董事长监督，各项开支在审批后，需报送董事长核准签名确认；制定公司的资金计划，资金运作管理，并按授权进行费用与合同审批二、管理者代表1、负责体系文件控制，审核信息安全手册、方针、目标；指导各部门负责人对相关文件之使用、保管、收集、整理与归档。负责对现有体系文件定期评审。2、审查各部门编制信息安全记录在案格式，并审批；指导各部门对信心安全记录之整3、向企业负责人报告信息安全体系运行情况，提出改进建议；制定管理评审计划、收集并提供管理评审所需之资料，编写管理评4、建立文件化的程序，确保认证标志的妥善保管和使用；5、建立信息安全体系，符合法律法规及其它要求，与外部各方联络。三、信息安全管理小组1、直接对信息安全管理代表负责，承担信息安全管理具体操作以及决策2、负责管理体系建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，3、负责对ISMS体系进行审核，以有效性和健全性提出内审建议；4、负责汇报审计结果并监督整改、改版工作，落实纠正措施和预防措施；5、负责调查安全事件，并维护安全事件的记录报告6、关注公司所有法律法规，行业主管部门颁发规章制度，审核ISMS体系文档的合规性。1,实施信息安全管理体系有关的程序文件，针对不合格项判定实施纠正预防措施；2、负责公司的项目销售工作，完成公司的项目销售目标；3、围绕公司下达的项目销售目标制定策略计划；d)负责维护已有项目用户的客户关系；4、把握重点客户关系，参与销售谈判；f)负责与公司业务相关的市场开拓；5、组织公司技术部门与用户进行相关技术交流；6、发起合同评审，并根据评审结果，修订销售合同；7、做好项目前期交流、项目合同签订、验收收款的协调工作；8,配合公司收集相关销售信息，并反馈给主管领导；9,完成公司主管交办的其他工作五、技术部1,负责按照的指派，为客户提供软件开发、软硬件运维服务；3,负责公司内部IT网络环境、服务器、交换机的正常运转；负责如实向顾客介绍产品、投标、与顾客洽谈合同和签订合同，确保所签合同规范、有效和可行；4,负责常规合同评审，组织有特殊要求合同的评审。5,参与组织对顾客技术培训。6,保持公司信息安全体系文件相关要素在本部门的贯彻实施，并管理相关记录；六、综合管理部1、根据公司发展战略制定用人规划、年度招聘计划、培训需求、绩效考核流程及体系、薪酬发展体系、推广企业文化、解决投诉与冲突、组织各类员工活动。2、根据公司发展需要制定日常办公管理等行政制度、申报公司经营相关资质、证件、筹备办公会议及形成会议纪要、确保公司IT系统的有效实施和运转(监控系统，门禁系统，广播系统、0A系统、邮箱系统、财务系统、服务器、电话交换机、网络宽带等)。3、培训发展管理：公司年度培训计划的制订与实施以及制订公司年度教育培训经费的预算并进行管理和使用。4、负责体系文件的发放、回收管理。5、负责相关法律、法规的识别与收集、合规性评价、文件控制及记录控制。6、负责网络的访问管理、机房设备管理。6、信息安全事件的调查及协助处理。7、对新供应商的开发、选择及监督；8、对供应商资质进行审核及维护。9、制定供应商现场评审表，并参与供应商现场评审。10、负责对供应商的交货及时率、配合度交货进行评估；对外协产品品质问题的处理及改善措施进行监督，并提供月度的相关考核数据，参与供应商绩效评审。11、负责公司合同条款的审核。12、信息安全事件的调查及协助处理。信息安全告知书202X-11-1发布202X-11-1实施修改履历同意同意文件编号信息安全管理手册文件版本秘密感谢您对公司一贯支持，为创造一个完善安全的信息沟通和传递途径，共同保障各方信息的安全，公司自202X年11月1日起按照IS027001:2013标准建立并实施信息安全管理体系，为确保管理体系实施的有效性，需要各相关方在工作交往及合作中给1.1信息安全方针关注客户需求，保障信息安全：客户的安全需求为公司安全建设的重要输入，按照标准要求建设信息安全框架，保障公司整体的信息安全。改进信息技术，通过风险管理，持续完善安全措施，并且保证措施的实施效果。1.2信息安全目标

顾客保密性抱怨/投诉的次数不超过1起/年。

受控信息泄露的事态发生不超过2起/年。

机密信息泄露的事态不得发生。重要信息设备丢失每年不超过0起

年度信息安全培训人员覆盖率100%

大面积内网中断时间每年累计不超过240分钟

大规模病毒爆发每年不超过2次1.3要求a)为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b)识别并满足适用法律、法规和相关方信息安全要求；c)与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；e)经总经理批准，并定期评审其适用性、充分性，必要时予以修订。1.4承诺a)在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全b)识别并满足适用法律、法规和相关方信息安全要求；c)定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保d)采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共e)对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和1文件编号文件版本秘密交本六科2文件编号文件版本密级秘密1目的与范围2相关文件3文件编号文件版本密级秘密条款号目标/控制是否选择理由目标依据业务要求和相关的法律法规提供管理指导并支控制信息安全方针评审控制确保方针持续的适宜性。每年利用管理评审对方针的适宜性进行评价，控制是否选择理由内部组织目标建立一个有效的信息安全管理组织机构。责控制雇员、承包方人员和第三方人员的安全角色和职责全方针定义并形成文件。职责分割控制4XXX有限公司文件编号密级与政府部门的联系控制与法律实施部门、标准机构管理、标准、法律法规方面与特定利益团体的联系控制a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的项目管理中的信息安全控制中a)信息安全目标纳入项目目标；b)在项目的早险评估，以识别必要的控制措施；c)信息安全监控成为项目每个阶段的组成部分。作目标控制本公司有笔记本电脑移动进行控制，防止其被盗窃、未经授权的访问等危害的5XXXXXX有限公司文件编号ISMS-A-02A.6.2.2远程工作控制YES宜实施策略和支持性安全措施来保护在远程站点访问，处理或存储的信息文件版本V1.0密级秘密条款号目标/控制是否选择理由目标确保雇员、承包方人员理解其职责、考虑对其承担的角色是合适的审查控制信息安全岗位进行年度考察，对于不符合安全行岗位调整。控制履行信息安全保密协议是雇佣任用中控制管理职责控制淡薄，从而对组织造成负面安公司管理层要求员工、合作方以及第三方用理制度与信息安全管理制度冲突时，首选信息安全管理制度执行。信息安全教育和培训控制安全意识及必要的信息系统操作技能培训是信息安全管理工与ISMS有关的所有员工，有关的物理访问者，应该接受安全意识、控制违背组织安全方针和程序的员工，公司将根据响进行处罚，处罚在安全破坏经过证实的情况下进行。处罚的形式目标宜将保护组织的利益融入到任用变化或终止的处理流程中。6XXX有限公司文件编号密级化的职责控制A.8资产管理条款号目标/控制是否选择理由目标实现和保持对组织资产的适当保护资产清单控制公司需建立重要资产清单并实施保护。《重要信息资产清单》,并明确资产负责人。资产负责人控制需要对所有的与信息处理设施有关的信息和资产指定责任人。资产的可接受使用控制识别与信息系统或服务相则，并将其文件化，予以实施。对于电子邮件和互联网的使用规则见本文件中的A10.8中的描述；7XXX有限公司文件编号文件版本秘密资产归还目标限、合同或协议终止时归还所负责的所有资产。目标确保信息受到与其对组织的重要性保持一致适当级别的保护控制本公司的信息安全涉及信息的敏感性(包括来自顾控制是必要的。序》规定的原则进行。控制对于属于机密信息的文件(无论任何媒体),密级确资产处理控制信息的使用、传输、存储等处理活动按《商业秘密目标防止存储在介质上的信息遭受未授权的泄露、修改、移动或销控制本公司存在含有敏感信息的告等可移动媒体。可移动计算媒体包括光盘、磁带、磁盘、盒式磁带和已经印刷好的报告，各部门按其管理权限并根据风险评估的结果8XXX有限公司文件编号密级当介质不再需要时，必须对不良保密制品)采用安全的控制本公司存在如文件、技术资料等信息介质传送及保密制品的运输活动，确定安全的价，并与之签订保密协议；目标限制信息与信息处理设施的访问控制明确访问的业务要求，并符理程序》中描述),明确规定访问的控制要求，规定访问控a)每个业务应用的安全要求；b)在不同系统与网络间，访问控制与信息分类策略要保持一致；c)数据和服务访问符合有关法律和合同义务的要求；d)对各种访问权限的实施管理。使用网络服务的控制制定策略，明确用户访问网非授权的网络访问。质量。9XXX有限公司文件编号目标本公司存在多用户信息系统，应建立用户登记和解除a)内部用户雇佣合同终止时；c)物理访问合同终止时；控制或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的评审是控制特权分配以“使用需要”(Need-to-use)和“事件紧跟”用户安全鉴别信息的管理控制按授权的范围进行访问的，的管理过程对口令进行分配a)管理员根据入职员工的工作岗位分配相XXX有限公司文件编号查控制或有的用户的访问权是有时限要求的，为防止非授权的访问，对用户访问的评审是撤销或调整访问控制所有是雇员和第三方人员对信息安全和信息处理设施的访问权应在任用、合同或协议终止时删用户职责目标安全鉴别信息的使用控制系统和应用的访问控制目标信息访问限制控制对信息服务系统的访问采用本公司通过域登录等技术手段提供安全的系控制连接到网络终端应有唯一的用户有唯一的识别符(USERID),以便用户单为的个人责任。用户ID由系统管理员根据授权的规定予以设置，用户识别符(USERID)不在多个用户之间共享。口令管理系统控制公司部署实施口令管理，通过技术手段提供有效的、互动的设施以确保口令质量。除非一次性的口令系统，通过XXX有限公司文件编号特权使用程序的使用控制对程序源代码的访问控制控制程序源库(源代码)存在，需序库(源代码)实施管理：a)可能的话，不将源程序库保存在运作系统b)各项应用应指定程序库管理员；c)信息技术支持人员不应当自由访问源程序库；条款号目标/控制是否选择理由目标确保适当并有效的密码的使用来保护信息的保密使用加密控制的控制与外部信息交换过程需要有加密控制措施来保护信息的安全数据，针对此类信息与外部交换的过程应使用加密控制。控制使用密钥来支持组织使用的文件编号文件版本密级秘密条款号目标/控制是否选择理由目标防止对组织信息和信息处理设施的未授权物理访问、损害和干扰控制设施的区域和储存重要信息资产及保密制品的区域。物理入口控制控制安全区域进入应经过授权，未经授权的非法访问会对信息办公室/房间和控制对安全区域内的后勤管理部、当有紧急自然灾害发生，则需a)大楼配备有一定数量的消防设施；b)房间装修符合消防安全的要求；的安全距离；d)办公室或房间无人时，应关紧窗户，锁好门；的安全保护控制火灾、水灾、地震，以及其它控制处理敏感信息的设备不易被窥视。公司范围浙江睿朗信息科技有限公司文件编号ISMS-A-02安全区域安全。交接区安全控制员直接进入传送物资是必要送货送餐过程中，未经允许不得进入前台接目标防止资产的损失、损坏、失窃或危机资产安全以组织的运营护控制设备存在火灾、吸烟、油污、胁和危害的风险，减少未经授权的访问机会，特采取以a)设备的定置，要考虑到尽可能减少对工作区不必要的访问；b)对需要特别保护的设备加以隔离；化学影响、电源干忧、电磁辐射等威胁造成的潜在的风险；d)禁止在信息处理设施附近饮食、吸烟。控制供电中断或异常会给信息系统造成影响，甚至影响正常的生产作业。针对重要服务器及设备提供ups,确保不间断和网络连接设备经风险评估可以接受供电中断的风险。控制的维护，以防止侦听和损坏。线路故障。通信电缆与电力电缆分开铺设，防止干扰。设备维护控制设备保持良好的运行状态是的基础。计算机信息网络系统设备及用户计算机终端(包括笔记本电脑)、各信息系统由综合管理部按照《信息处理设维护。资产的移动控制设备、信息、软件等重要信息重要信息设备、保密信息的迁移应被授权，迁移活动应被记录。XXX有限公司文件编号信息安全适用性声明文件版本密级资产未经授权的迁移会造成其丢失或非法访问的危害。计算机策略》。控制进行严格控制，防止其丢失和未经授权的访或再利用控制对本公司储存有关敏感信息的设备，如系统集成部的源代信息清除。置方法，将设备中存储的敏感信息清除并保存清除记无人值守的用户控制设备、信息、软件等重要信息资产未经授权的迁移会造成其丢失或非法访问的危害。重要信息设备、保密信息的迁移应被授权，迁移活信息处理设施(网络设备及计算机终端)的迁移控制执行《网络和计算机策略》。清洁桌面和清屏控制策略，会受到资产丢失、失窃各部门员工自觉履行该策略的日常实施。目标/控制是否选择理由目标浙江睿朗信息科技有限公司文件编号ISMS-A-02信息安全适用性声明文件版本V1.0密级秘密文件化操作程序控制控制控制系统故障，必须监控容量需行设施分离控制系统集成部具有应用软件和与业务设施必须进行分离，以防止意外的系统的更改或防范恶意软件目标控制的，特别是本公司许多电脑终端可以访问Internet互联当的系统访问和变更管理控制。目标防止数据丢失控制必须对重要信息和软件定期备份，以防止信息和软件的可持续性。应按照已设的备份策略，定期备份和测试信息和软件。XXX有限公司文件编号日志记录和监视目标控制事件记录(审核日志)是必日志信息的保护控制日志记录设施以及日志信息应该被保护，防止被篡改和管理员和操作员日志控制时钟同步控制采取适当的措施实施时钟同运行软件的控制目标装控制应予以控制，否则易受到未经授权的软件安装和更改的影响，导致系统及数据完整算机终端用户除非授权，否则严禁私自安装任何软件。目标防止技术脆弱性被利用控制的技术脆弱性的相关信息，XXX有限公司文件编号密级理相关风险。软件安装的限制控制控制的规则制定软件的安装规范虑目标控制要求和活动，应谨慎地加以规划并取得批准，以便最小网络安全管理目标确保对网络及信息处理设施中信息收到保护网络控制控制用系统和各种管理应用系统，网络结构简单，实施网本公司网络安全控制措施包括：a)内外网物理隔离；b)专用网络与生产网络隔离；特定项目网络隔离；c)对网络设备定期维护；d)对防火墙、交换机等实施安全配置管理；e)对用户访问网络实施授权管理；f)实施有效的安全策略；g)对系统的变更进行严格控制；h)对网络的运行情况进行监控；i)对网络设备的变更进行控制；j)对网络系统管理与操作人员的管理。控制明确规定网络服务安全属性XXX有限公司文件编号是实施网络安全管理的需网络的隔离控制涉密网络(如研发)应予以a)通过防火墙将内部网络与外部网络实施逻辑隔离；目标信息交换策略和控制和控制措施，以保护通过使用各类型通信设施的信息交换件、声音、传真和视频。出售现货的供应商处获得。务、法律和安全的含义。控制应建立组织和外部各方之间的业务信息的安全传输协议种协议宜是一致的。电子消息发送控制包含在电子消息发送中的信息应给予适当的保护社交网络，在业务通信中扮演了一个角色。议控制形成文档密协议的不同形式。求目标XXX有限公司文件编号信息安全适用性声明文件版本密级说明控制风险，增加新系统或扩大原有系统，应确定控制要求。a)系统的安全特性；b)对现有的系统安全影响；公共网络应用服控制网络传输的信息，以防止欺诈活动、合同纠纷、未授权的泄露和修改易控制误路由、未授权的信息篡改、息复制或重放中的安全目标确保应用系统软件和信息的控制信息安全方针、程序和控制，度、所涉及的过程以及风险a)组织的更改，包括加强当前提供的服务，开发新应用程序和系控制。b)第三方服务的更改，包括更改和加强网络，使用控制XXX有限公司文件编号与批准后方可进行。改后对应用的程序评审控制软件包的更改限制控制软件包的更改会引入脆弱安全系统工程的原则控制息系统开发工作中安全开发环境控制安全外包开发控制外包活动控制控制XXX有限公司文件编号须的。目标控制数据不适当的保护会涉及到保密性的破坏。a)对测试应用系统的活动进行授权；供求关系目标全控制处理供应商协议中的安全问题控制方(如分包商)。控制特定的信息与通信技术供应链风险管理实践全、质量、项目管理和系统工程实践之上，而XXX有限公司文件编号响信息与通信技术供应链的信息安全实践。目标视和评审控制组织应定期监视、评审、审控制更，包括保持和改进现有的信息安全策略、规程和控制措施，并考虑到业务系统和涉及过程的关键程度及风险的再评估供应商协议的变更；目标/控制是否选择理由目标确保对信息安全事件进行持续、有效地管理、包括信息安XXX有限公司文件编号控制证对信息安全事件快速、有态控制生，一旦发生必须报告。应立即向综合管理部报告，综合管理部和责任部门应及时对事情、报告信息安全弱点控制建立报告制度是预防发生的最好途径之一。胁，一旦发现应及时向有关人员或部门报告并记录，信息小组或安全管理负责人应采取有效的预防措施，防止威胁的发生。目标保证应用于信息安全事件管理的方法的一致和有的总结控制才能从中吸取教训，防止再控制当信息安全事件发生后对及到法律行为时，所提供的a)所呈证据应符合国家有关的证据法规；b)符合用于提供可接受证据的任何已发布的标准或法规；文件编号文件版本密级秘密条款号目标/控制择选择理由目标信息安全到的连续性应嵌入组织的业务连续性管理体系控制应保持独立的业务持续性计划的框架，以确定计划控制为确保本公司与设计、制中断能及时恢复，应编写并实施业务持续性计划。综合管理部应组织各相关部门编制《业务持续性管理战略计划》,由信息安全管理者代表批准，以便在储存数据、培训、测试等关键业务发生中断或故障后，实施持续性管理计划，以保证公司关键业持续性计划应对应急措施和有关部门与人员价信息安全连续性控制为保持业务持续性计划的时效和有效性，应定期试管理计划》进行测试，并保持测试记录；每次测试后，综合管理部组织与计划有关的部门对计划的时效和有效性进行评审，必要时，XXX有限公司文件编号目标信息处理设施的条款号目标/控制择选择理由符合法律与合同目标避免违反任何信息安全相关的法律、法令、法规或合同义务以可用法律与合同的要求的识别控制要求文件化。价，确定其实用范围和具体适用条款，形成适用的法律法规清单，适用的法律、法规的有效最新版本。每年对法XXX有限公司文件编号密级软件的使用与复制涉及知识产权问题(软件著作权),a)确定获得合法软件的途径；c)保留许可证、手册等拥有者的证明和证件；d)确保用户数不超过所允许的上限；e)只允许安装认可的软件和特许的产品；控制隐私和个人身份信息的保护控制应按国家有关法规或规章公司管理制度密码控制措施的规则控制与外部信息交换过程使用到加密控制措施信息安全的评审目标评审控制策划，避免对作业系统造成正式审核之前，审核组应明确技术性审核的项目与要求，防止审核XXX有限公司文件编号符合安全策略和控制控制安全技术标准，必要的技术回ISMS-B-03]记录控制程序回ISMS-B-05]预防措施控制程序回ISMS-B-06]内部审核管理程序回ISMS-B-07]管理评审程序回ISMS-B-09]商业秘密管理程序回ISMS-B-11]知识产权管理程序回ISMS-B-14]信息安全沟通协调管理程序回ISMS-B-15信息安全事件管理程序回ISMS-B-19]员工离职管理程序回ISMS-B-20]相关方信息安全管理程序ISMS-B-23门禁系统管理程序XXX有限公司信息安全风险管理程序日期：202X-08-19日期：202X-08-19日期：202X-08-19受控状态受控文件为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。3.1信息安全管理小组负责牵头成立风险评估小组。3.2风险评估小组负责编制《信息安全风险评估计划》,确认评估结果，形成《信息安全风险3.3各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。4相关文件《信息安全管理手册》《商业秘密管理程序》5.1.1成立风险评估小组信息安全小组牵头成立风险评估小组，小组成员应包含信息安全重要责任部门风险评估小组制定《信息安全风险评估计划》,下发各部门。5.2.1部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。5.2.2赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析，并在此基础上得出综合结果的过程。根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。级别分级1很低可对社会公开的信息公用的信息处理设备和系统资源等2低组织/部门内公开仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害3中等组织的一般性秘密其泄露会使组织的安全和利益受到损害4高密其泄露会使组织的安全和利益遭受严重损害5包含组织最重要的秘密定性的影响，如果泄露会造成灾难性的损害5.2.4完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。完整性(I)赋值的方法级别分级1很低完整性价值非常低未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略2低完整性价值较低未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补3中等未经授权的修改或破坏会对组织造成影响，对业务冲击明显4高未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补5键接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补5.2.5可用性(A)赋值根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。可用性(A)赋值的方法级别分级1很低合法使用者对信息及信息系统的可用度在正常工作2低可用性价值较低合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min3中等合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min4高55.2.7导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。5.3判定重要资产根据信息资产的机密性、完整性和可用性赋值的结果相加除以3得出“资产价值”,对于《信息资产清单》中“资产价值”在大于等于4的资产，作为重要信息资产记录到《重要信息资产清单》。风险评估小组对各部门资产识别情况进行审核，确保没有遗漏重要资产，导出《重要信息资产清单》,报总经理确认。5.4风险识别与分析5.4.1威胁识别与分析应根据资产组内的每一项资产，以及每一项资产所处的环境条件、以前曾发威胁示例设备硬件故障、通讯链路中断、系统本身或软件Bug断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、地等环境问题和自然灾害；TCO3无作为或操作失误由于应该执行而没有执行相应的操作，或无意地执行了错误的操作，对系统造成影响安全管理无法落实，不到位，造成安全管理不规范，或者管理混乱，从而破坏信息系统正常有序运行TC05恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的程序代码TCO6越权或滥用利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵物理接触、物理破坏、盗窃TC09泄密非法修改信息，破坏信息的完整性不承认收到的信息和所作的操作和交易生的安全事件等情况来进行威胁识别。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响；5.4.2脆弱性识别与分析脆弱性评估将针对资产组内所有资产，找出该资产组可能被威胁利用的脆弱性，获得脆弱性所采用的方法主要为：问卷调查、访谈、工具扫描、手动检查、类型脆弱性分类脆弱性示例技术脆弱物理环境(含操从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络作系统)安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理技术管理组织管理安全策略、组织安全、资产分类与控制、人员安全、符5.4.3现有控制措施识别与分析在识别威胁和脆弱性的同时，评估人员应对已采取的安全措施进行识别，对现有控制措施的有效性进行确认。在对威胁和脆弱性赋值时，需要考虑现有控制5.5风险评价本公司信息资产风险值通过风险各要素赋值相乘法来确定：风险影响赋值等级风险影响的不同维度5很高至社会公众公司大部分或全部核心业务受到严重影响4高整个公司，或部分客户公司大部分核心业务或日常活动受影响3中多个部门，或个别客户公司个别业务受影响，或日常办公活动中断2低本部门或部门内部人员公司业务不受影响，只是少部分日常办公活动活动受影响1很低基本不影响本部门业务和日常办公活动风险发生可能性的赋值标准：风险发生可能性赋值等级风险发生可能性时间频率发生机率5很高出现的频率很高(或>1次/日);或在大多过。不可避免(>99%)4高出现的频率较高(或>1次/周);或在大多数过。非常有可能〔90%3中出现的频率中等(或>1次/月);或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小(或>1次/年);或一般不太|可能发生；或在某种情况下可能会发生。可能性很小(1~1很低不可能(≤1%)注：风险的影响或发生可能性根据赋值标准，可能同时适用于二个维度，这种情况下，赋值取这二个维度赋值的最大值。5.5.2确定风险可接受标准风险等级采用分值计算表示。分值越大，风险越高。信息安全小组决定以下风险等级标准：赋值级别描述高如果发生将使资产遭受严重破坏，组织利益受到严重损失中发生后将使资产受到较重的破坏，组织利益受到损失低发生后将使资产受到的破坏程度和利益损失比较轻微5.5.3风险接受准则对于信息资产评估的结果，本公司原则上以风险值小于12分〔包括12分〕的风险为可接受风险，大于12分为不可接受风险，要采取控制措施进行控制。对于不可接受的风险，由于经济或技术原因，经管理者代表批准后，可以暂时接受风险，待经济或技术具有可行性时再采取适当的措施降低风险。5.5.4风险控制措施的选择和实施对于不可接受的风险，有四种风险处置方式可以选择：降低风险、转移风险、消除风险、接受风险。最常见的风险处置方式是降低风险，降低风险可以选择ISO27001:2013标准提供的14个域114项中的一项或几项控制措施。5.5.5控制措施有效性测量在风险控制措施全部或部分实施完成后，信息安全小组可以对风险控制措施的有效性进行测量；测量的范围可以测量全部的控制措施，也可以测量部分的控制措施，出于时间和经济成本的考虑，建议选取主要的控制措施进行测量，测试方法由信息安全小组视情况决定。5.6剩余风险评估对采取安全措施处理后的风险，信息安全小组应进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。5.6.2再处理某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。5.6.3审核批准剩余风险评估完成后，导出《信息安全残余风险评估报告》,报任继中审核、最高管理者批准。5.7信息安全风险的连续评估5.7.1定期评估信息安全小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。5.7.2非定期评估当企业发生以下情况时需及时进行风险评估：b)当信息网络系统发生重大更改时；c)信息安全小组确定有必要时。5.7.3更新资产各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。5.7.4调整控制措施信息安全小组应分析信息资产的风险变化情况，以便根据企业的资金和技术，确定、增加或调整适当的信息安全控制措施。6记录《信息安全风险评估计划》《信息资产清单》《重要信息资产清单》《信息安全风险评估表(含风险处置计划)》《信息安全残余风险评估报告》《信息安全风险评估报告》XXX有限公司日期：202X-08-19审核：XXX日期：202X-08-19日期：202X-08-19受控状态受控文件1目的册》(含信息安全方针)和《信息安全适用性声明》。3.3综合管理部4相关文件5.1管理内容与要求a)《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息5.3文件审批安全适用性声明);b)信息安全管理程序文件；c)信息安全管理作业文件；d)信息安全管理记录表格。a)各种媒介加载的各种格式的非纸质性文件；b)信息安全法律法规及设备说明书、国家标准等来自公司外部的文件。5.2文件编制和修订5.2.1要求信息安全管理文件编制和修订前，编制人员充分了解相关方的要求和信息，广泛收集有关的文件和资料。作为文件编写的依据，应重点考虑以下几个方面：a)相关的法律法规要求，国家标准、行业标准、地方标准的要求，尤其是强制性标准的要求，上级主管部门颁发的标准、规章、规定等。b)对客户和其他相关方的合同和承诺，客户与其他相关方的需求和期望方c)国内外同行先进水平和发展方向的信息。d)本组织现有的有关文件，领导的意图和要求。e)内容应与组织的实际情况相适应，并保证文件在现有的资源条件下，能5.2.2文件编制部门a)信息安全管理文件由信息安全小组组织，相关职能部门参与进行编制。b)技术标准由产品研发部负责，各相关部门参与。c)策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。信息安全管理文件发布前须经审批。5.3.2权限信息安全管理文件的审批权限如下：a)《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明)由总经理批准发布。b)信息安全程序文件和作业文件由职能部门组织审核，管理者代表审核，总经理批准发布。c)策划的管理方案由职能部门组织审核，管理者代表审核，总经理批准发d)其他管理、技术作业和相关支持性文件由归口管理部门负责审核，部门5.4文件标识为确保在使用处获得适用文件的有效版本，文件均要有明确的标识，包括文件编号、版本号、分发号、发布和实施日期、密级等。信息安全管理文件编号规则如下：SANDSTONE-ISMS-A-02《信息安全适用性声明》SANDSTONE-ISMS-B-XX程序文件SANDSTONE-ISMS-C-XX作业文件ISMS-D-XX-XX记录表单涉密文件应按《商业秘密管理程序》的规定分类并标识。5.5文件发放文件审批后，综合管理部登记并制定《信息安全文件一览表》和《文件发放/回收一览表》,按《文件发放/回收一览表》规定的范围进行发放。文件发放时，综合管理部应在文件第一页注明发放部门和发布日期。并标上“受控”标识。所发放使用的信息安全管理体系文件均为受控文件，各文件使用部门严格保管，不得外借和复制，并保持文件清晰、易于识别。当文件的当前内容和实施动作不一致时，综合管理部提出更改文件要求，由文件对口部门和综合管理部人员说明原因，填写《文件修改通知单》,经原审批部门批准后，由文件归口管理部门进行修改。初次发布的文件，版本号以1.0作为标识，当文件发生修改时，版本号以下a)修改内容不超过20%时，版本号以0.1位依次递进，例：1.1;1.2……1.9;1.10;1.11以此类推；b)修改内容超过20%时，版本号以1.0位依文件按文件修改通知单上的内容进行修改，并更新变更履历，变更后由综合管理部进行审核，总经理批准，确保所有文件更改到位。对已经过期，不适用本组织业务程序的文档，要进行“报废”处理；针对电子档文件需在首页打上“报废”水印，在变更履历中注明“报废”原因；针对纸5.7文件的评审当出现以下情况，综合管理部应组织对文件进行评审、必要时予以更新并再●信息安全活动、流程发生重大变化时。5.8外来文件的控制组织的外来文件包括与运行维护有关的国家、地方、行业的法律、法规、部门规章、标准，体现客户有关要求的文件等。组织的外来文件由综合管理部负责登记在《外来文件清单》上，《外来文件清单》应注明分布部门，以供使用者查阅。对外来法律法规文件，按《信息安全法律法规管理程序》控制。综合管理部须对受控中的外来文件