2026版《信息安全管理手册》符合ISO-IEC 27001标准要求

文件编号：JSHT/SC-2026版本状态：C/0受控状态：R受控£非受控发放编号：HT-007信息安全管理手册依据ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理系统要求》标准。编制:maszhc审核:×××批准:×××江苏××辉腾网络科技有限公司发布日期:2025年01月01日实施日期:2025年01月01日目录TOC\o"1-2"\h\u23480修订页 3260280.1颁布令 465550.2范围 5231300.3授权书 6196230.4手册说明 7147401.公司简介 10171552.规范性引用文件 1189633.术语和定义 1218684.组织环境 1387064.1了解公司现状及背景 13158374.2理解相关方的需求和期望 1377484.3确定信息安全管理体系的范围 13146794.4信息安全管理体系 13273215领导作用 14267385.1领导力和承诺 14114175.2信息安全管理体系的方针 1439385.3角色，责任和承诺 15255286策划 1744366.1应对风险和机遇的措施 17262606.2信息安全目标和实现目标的规划 1829385目标: 19306526.4变更计划 19173727.支持 2019197.1资源提供 20229727.2信息安全能力管理 2030787.3意识 20145517.4沟通 20274597.5文档化信息 20239548.运行 2334228.1运行计划及控制 23162538.2信息安全风险评估 2390978.3信息安全风险处置 2329129绩效评价 24200569.1监视、测量、分析和评价 24129639.2内部审核 24266549.3管理评审 25890710改进 27687010.1持续改进 272001710.2不符合及纠正措施 2726268附录1组织架构图 2814106附录2职能分配表 299422附录3信息安全职责 33修订页序号修改内容修改日期版本号修改审核批准1首次颁布

2018.1.10

A

maszhc×××

2第一次改版

2022.1.18B

maszhc×××

3第二次改版

2026.2.4Cmaszhc×××

0.1颁布令经江苏××辉腾网络科技有限公司全体员工的共同努力，依据ISO/IEC27001:2022《信息安全、网络安全和隐私保护信息安全管理系统要求》标准建立本公司信息安全管理体系已得到建立。指导管理体系运行的《信息安全管理手册》（2026版）经评审后，现予以批准发布。《信息安全管理手册》（2026版）的发布，标志着本公司从现在起，必须按照信息安全管理体系标准的要求和《信息安全管理手册》（2026版）所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供服务，以确立公司在社会上的良好信誉。《信息安全管理手册》（2026版）是公司规范内部管理的指导性文件，也是全体员工在产品产品及对客户的服务过程中必须遵循的行动准则。《信息安全管理手册》（2026版）一经发布，就是强制性文件，全体员工必须认真学习、切实执行。本《手册》自颁布之日起正式实施。总经理：×××2026年02月04日0.2范围本总纲所描述信息安全管理体系适用于本公司所有部门，所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。0.3授权书为贯彻执行ISO/IEC27001:2022《信息安全管理体系》，加强对信息管理体系运行的领导，特授权：0.3.1授权×××为公司管理者代表，其主要职责和权限为：确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息安全业务风险得到有效控制。向最高管理者报告信息安全管理体系业绩和任何改善需求，为最高管理者代表评审提供依据。确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。在信息安全管理体系事宜方面负责与外部的联络。0.3.2授权×××为ISMS信息安全管理项目责任人，其主要职责和权限为：确保信息安全管理方的控制措施得到形成、实施、运行和控制。0.3.3授权各部门主管为信息安全管理体系在本部门的责任人，对ISMS要求在本部门的实施负责。总经理：×××2026年02月04日0.4手册说明0.4.1总则《信息安全管理手册》（2026版）的编制，是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。《信息安全管理手册》（2026版）为审核信息安全管理体系提供了文件依据。《信息安全管理手册》（2026版）证明公司已经按照ISO/IEC27001：2022版标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》（2026版）的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断地持续改进来完善信息安全管理体系。0.4.2信息安全管理手册的批准综合部负责组织编制《信息安全管理手册》（2026版）及其相关规章制度，总经理负责批准。0.4.3信息安全管理手册的发放、作废与销毁综合部负责按《文件管理程序》（2026版）的要求，进行《信息安全管理手册》（2026版）的登记、发放、回收、归档、作废与销毁工作。各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。综合部按照规定发放修改后的《信息安全管理手册》（2026版），并收回失效的文件作出标识统一处理，确保有效文件的唯一性。综合部保留《信息安全管理手册》（2026版）修改内容的记录。0.4.4信息安全管理手册的修改《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合部对手册实施修改后，应及时发布修改信息，通知相关人员。《信息安全管理手册》（2026版）的修改分为两种：一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》（2026版）原件进行保存。在出现下列情况时，《信息安全管理手册》（2026版）可以进行修改：信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进；内部信息安全提出新的需求；组织机构和职能发生变化；经营环境和产品结构有调整；发现本手册中存在差错或不明确之处；引用的法规或体系标准有修改；体系审核或管理评审提出改进要求；本手册的更改控制按《文件管理程序》执行。0.4.5信息安全管理手册的换版《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新试试编制、审批工作。当依据的ISO/IEC27001：2022信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。《信息安全管理手册》发生需修改部分超过1/3时。《信息安全管理手册》执行已满3年时。0.4.6信息安全管理手册的控制《信息安全管理手册》标识分受控文件和非受控文件：受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。《信息安全管理手册》分为书面文件和电子文件两种。1.公司简介公司成立于2018年1月1日，注册地址为×××市×××区×××街道××路××号；2019年获评××省高新技术企业，2020年认定为科技型企业。1.1主营业务与技术方向公司以“云手机”为核心载体，提供面向多行业的端到端云终端解决方案：主打产品为×××××××××；技术聚焦端云协同，覆盖云手机、云应用、云算力运营三大方向；应用场景已拓展至房地产移动办公、银行业务升级、教育同屏教学、铁路公路交通一站式服务指引等领域；业务范围广泛，涵盖技术服务、软件开发、物联网/人工智能/云计算研发与集成、第二类增值电信业务、互联网信息服务等。1.2知识产权与研发实力公司持续投入技术研发，专利与软著成果丰富：拥有××项专利，包括“基于端云协同的云手机实时多路音频混音处理方法”和“桌面启动器延后启动方法”等核心技术；持有××项商标、××项行政许可，并完成×××项软件著作权登记；参与招投标项目××次，对外投资××家企业。2.规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本《信息安全管理手册》，然而，信息安全管理小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本《信息安全管理手册》。ISO/IEC27001:2022《信息技术-安全技术-信息安全管理体系-要求》；ISO/IEC27002:2022《信息技术-安全技术-信息安全管理实用规则》。3.术语和定义3.1术语ISO/IEC27000的术语和定义适用于本《信息安全管理手册》。本组织、本公司：××××网络信息技术技术有限公司3.2缩写ISMS：InformationSecurityManagementSystems信息安全管理体系；SOA:：StatementofApplicability适用性声明；PDCA:：PlanDoCheckAction计划、实施、检查、改进。4.组织环境4.1了解公司现状及背景本公司根据内外部环境因素，考虑公司的信息安全管理目的，这将作为公司实施信息安全管理体系的核心需求。4.2理解相关方的需求和期望本公司根据相关方提出的信息安全需求和期望，考虑建立信息安全管理体系，这些需求包括：法律法规、合同义务、地方规定等。相关方及期望主要以下：顾客-希望本公司提供的软件产品与服务能满足客户需求，符合法规与合同要求；供应商或服务商--对本公司提供产品或服务以支持本公司能够安全有效持续运营；公司内部管理层与各部门符合信息安全需求及监督运作是否合乎程序，确保机密资料作业流程受到保护，各部门保正公司持续运营，公司信息数据不受外泄或损毁。4.3确定信息安全管理体系的范围本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界：业务范围：与软件开发及计算机信息系统集成相关的信息安全管理活动。组织范围：全公司上下各部门与业务有直接相关的正式员工。物理范围：××××××。资产范围：与a)所述业务活动b)组织范围内及c)物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。《信息安全管理手册》采用了ISO/IEC27001:2022准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明SOA》。4.4信息安全管理体系本公司的信息安全管理体系按照ISO/IEC27001:2022《信息技术-安全技术-信息安全管理体系-要求》规定，参照ISO/IEC27002:2022《信息技术-安全技术-信息安全管理实用规则》标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。5领导作用5.1领导力和承诺本公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：建立信息安全方针(见《信息安全方针》)；确保信息安全目标和计划得以制定（见《信息安全目标》及相关记录）；提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第7.1章)；建立信息安全的角色和职责(见本手册附录3（规范性附录）《职责权限》和相应的管理程序；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；实施信息安全管理体系管理评审，确信安管系达其期效（见本手册第9章）；指和持工息安管体作有的贡;确保内部信息安全管理体系审核得以实施，促持改进（见本手册第9章）；支其相管色来示己领力因为适于们职范围。5.2信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：预防为主、分级保护、持续改进。方针诠释：预防为主‌：以风险评估为基础，前瞻性识别潜在威胁，优先采取防范措施，将安全管控融入业务全流程，最大限度降低信息安全事件发生概率。分级保护‌：依据信息资产价值与风险等级，实施差异化保护策略，确保关键信息得到重点防护，实现资源的高效配置与利用。持续改进‌：遵循PDCA（计划-执行-检查-改进）循环模型，定期评审体系适用性、充分性和有效性，推动安全管理机制与时俱进。5.3角色，责任和承诺5.3.1信息安全组织机构本公司成立信息安全领导机构——信息安全管理小组，职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由信息安全管理小组承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：确保安全活动的执行符合信息安全方针；确定怎样处理不符合；批准信息安全的方法和过程，如风险评估、信息分类；识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；评估信息安全控制措施实施的充分性和协调性；有效的推动组织内信息安全教育、培训和意识；评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。5.3.2信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：建立并实施信息安全管理体系必要的程序并维持其有效运行；对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门、人员有关信息安全职责分配见附录3（规范性附录）《职责权限》和相应的程序文件（管理标准）、规定及岗位说明书。5.3.3承诺为实现信息安全管理体系方针，本公司承诺：在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；识别并满足适用法律、法规和相关方信息安全要求；定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；制定并保持完善的业务连续性计划，实现可持续发展。6策划6.1应对风险和机遇的措施6.1.1总则公司制定《应对风险和机遇措施控制程序》，在规划信息安全管理体系时，应考虑4.1中提到的问题和4.2中提到的要求，并确定需要解决的风险和机会，以：确保信息安全管理体系能够实现其预期结果;防止或减少不良影响;实现持续改进。组织应规划:应对这些风险和机遇的措施;和如何整合和实施这些措施并将其纳入信息安全管理体系过程评估这些行动的有效性。6.1.2信息安全风险评估组织应定义并应用以下信息安全风险评估过程:建立并维护信息安全风险标准，包括:风险接受准则;和执行信息安全风险评估的准则。确保重复的信息安全风险评估产生一致、有效和可比较的结果;识别信息安全风险:应用信息安全风险评估流程，识别与信息安全管理体系范围内信息的保密性、完整性和可用性丧失相关的风险;而且识别风险所有者;分析信息安全风险:评估6.1.2（3）a)中确定的风险成为现实将会产生的潜在后果;评估6.1.2(3)a)中确定的风险发生的现实可能性;而且确定风险级别。评估信息安全风险:将风险分析结果与6.1.2（1）中建立的风险标准进行比较;而且将分析的风险按优先顺序进行风险处理。公司定义并应用风险评估过程，组织应保留有关信息安全风险评估过程的文件化信息。6.1.3风险处置信息安全管理领导小组应定义和实施信息安全风险处置过程：根据风险评估结果，选择适当的信息安全风险处理方案;确定实施所选信息安全风险处理方案所需的所有控制措施;注1:组织可以根据需要设计控制措施，或从任何来源识别控制。c.将上述b.中确定的控制与附件A中的控制进行比较，并确认没有遗漏必要的控制措施;注2:附件A包含可能的信息安全控制的列表。本文件的使用者请参阅附件A，以确保没有必要的信息安全控制被忽略。注3:附件A所列的信息安全控制并非详尽无遗和附加信息如果需要，可以包括安全控制。6.2信息安全目标和实现目标的规划公司在相关职能和级别建立信息安全目标。信息安全目标应:符合信息安全政策;可测量的(如果可行);考虑适用的信息安全要求，以及风险评估和风险处理的结果;被监控;沟通传达;适当更新;作为文件信息提供。公司保留关于信息安全目标的文件化信息。公司在规划如何实现其信息安全目标时，应确定:将要做什么;需要什么资源;谁将负责;何时完成;而且如何评价结果。目标:6.3.1根据公司的信息安全方针，经过最高管理者确认，公司的信息安全管理目标为：客户针对信息安全事件的投诉每年不超过1次;重要信息设备丢失每年不超过1起;机密和绝密信息泄漏事件每年不超过1次;大规模病毒爆发每年不超过1次.6.3.2信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施，明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照《信息安全目标及有效性测量程序》的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。6.4变更计划6.4.1变更时机的确定本公司应特别关注外部情况的动态变化，包括技术、市场、竞争或法律法规环境发生重大变化的征兆或早期迹象。当外部环境（包括：国家/行业/地方/法律法规、技术、竞争、文化、社会、经济和自然环境方面等）和内部环境发生重大变化时，本公司应对变更进行策划，对变更前、变更中、变更后全过程加以控制。6.4.2变更的实施当本公司确定需要对信息安全管理体系进行变更时，变更应按所策划的方式实施，组织应考虑：变更目的及其潜在后果（变更可能带来好的结果，也可能带来风险和挑战，进行变更策划时应充分考虑）；信息安全管理体系的完整性（如工艺发生变更后，工艺文件要发生变更，对工人也需培训新的工艺文件，这些均需充分考虑，以保持体系完整）；资源的可获得性（体系变更后，关键是资源能否满足动态的要求）；职责和权限的分配或再分配。7.支持7.1资源提供7.1.1公司领导层应确保提供以下方面所需的资源：实施、保持管理体系并持续改进其有效性所需的各种资源；满足客户要求，提高客户满意度所需的各种资源。7.1.2编制了《人力资源控制程序》，公司根据人员的学历、技能和经验，组织面向全员的信息安全意识培训及面向特定人员的专业IT技能培训，确保其能胜任工作。7.2信息安全能力管理7.2.1结合当前信息安全管理认证范围，依据《人力资源控制程序》对员工信息安全能力管理主要从以下几方面出发来实现：影响信息安全执行工作的人员岗位,在岗位设立时应明确信息安全能力的要求,并在招聘时严格把关(例如学历教育、能力测试等)；确保人员在适当教育、培训和经验的基础上能够胜任工作；在人员调岗时,应考虑相关人员信息安全能力的确定和培养。保留培训记录作为能力培养的证据。7.2.2本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。7.3意识对公司全体人员通过培训、学习、宣传等方式提高人员信息安全意识，需了解到：信息安全方针;他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益;不符合信息安全管理体系要求所带来的影响。7.4沟通公司需通过适当的手段保持在内部和外部在信息安全要求进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等，沟通方式在《信息安全沟通管理程序》进行规定。7.5文档化信息7.5.1总则本公司信息安全管理体系文件包括：文件化的信息安全方针，在《信息安全管理手册》中描述,选择的控制目标在《适用性声明SOA》中描述；《信息安全管理手册》（本手册，包括信息安全适用范围及引用的标准）；ISO/IEC27001:2022准中规定需文件化的程序；本手册涉及的相关支持性程序性文件，例如《风险评估与管理程序》；为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；《风险处理计划》以及信息安全管理体系要求的记录类；相关的法律、法规和信息安全标准；《适用性声明SOA》。7.5.2创建和更新信息安全管理小组按《文件控制程序》的要求，对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施控制，以确保在使用场所能够及时获得适用文件的有效版本。文件的创建和更新应确保：识别或描述文件时需包含标题、日期、作者、编号等;文件格式可以是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，可以是书面的或电子媒体的;文件发布前得到批准，以确保文件是充分的；必要时对文件进行评审、更新并再次批准。7.5.3文档化信息的控制7.5.3.1文件控制应保证：确保文件的更改和现行修订状态得到识别；确保在使用时，可获得相关文件的最新版本；确保文件可以为需要者所获得，并根据适用于他们类别的程序进行标识、保护、检索、转移、存储和最终的销毁；确保外来文件得到识别；确保文件的分发得到控制；防止作废文件的非预期使用；若因任何目的需保留作废文件时，应对其进行适当的标识。7.5.3.2外来文件管理外来文件包括信息安全法律、行政法规、部门规章、地方法规，按以下规定执行：信息安全适用的法律法规按照《信息安全法律法规管理程序》规定执行；外来的文件按照《文件控制程序》和其他相关规定执行；外来标准按本公司标准化管理的相关规定进行。

8.运行8.1运行计划及控制为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：形成《信息安全风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级；为实现已确定的安全目标、实施《信息安全风险处理计划》，明确各岗位的信息安全职责；实施所选择的控制措施，以实现控制目标的要求；确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；对运行过程中发生的非计划的变更进行规划，以减轻不良的影响。8.2信息安全风险评估8.2.1信息安全管理小组每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定是否存在新的风险及是否需要增加新的控制措施。8.2.2信息安全管理小组组织有关部门按照《信风险评估与管理程序》的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：组织；技术；业务目标和过程；已识别的威胁；实施控制的有效性；外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。8.3信息安全风险处置公司需保留信息安全风险处理计划的执行结果的文档化的记录。9绩效评价9.1监视、测量、分析和评价本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：及时发现处理结果中的错误、信息安全管理体系的事故和隐患；及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；使管理者确认人工或自动执行的安全活动达到预期的结果；使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；积累信息安全方面的经验。9.2内部审核9.2.1总则9.2.1.1要求本公司信息安全管理小组按《内部审核管理程序》的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。9.2.1.2活动本公司每年进行壹次信息安全管理体系内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：符合本标准的要求和相关法律法规的要求；符合已识别的信息安全要求；得到有效地实施和维护；按预期执行。9.2.2内审策划信息安全管理小组策划审核的过程、区域的状况、重要性以及以往审核的结果，对审核工作进行策划。应编制《年度内审计划》，确定审核的准则、范围、频次和方法。每次审核前，信息安全管理小组应编制《内部审核计划》，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。《内部审核计划》，经管理者代表批准，提前3天通知被审核部门，被审核部门到时应选派有关人员配合审核。9.2.3内审员内部审核员必须是熟悉本公司信息安全管理情况，参加内部审核员培训并考核合格的人员。内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，以保持工作的独立性。各部门选择符合内部审核员条件的候选人，参加内部审核员培训并考试合格，填写《内部审核员评定表》，经管理者代表批准，方取得内部审核员资格。9.2.4内审实施(1)活动应按审核计划的要求实施审核，包括：进行首次会议，明确审核的目的和范围，采用的方法和程序；实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，填写审核发现；对检查内容进行分析，对审核发现的问题在《不符合项报告及纠正报告单》中开出不符合项；审核组长编制《内部审核报告》。(2)不符合处理对审核中提出的不符合项，责任部门应制定纠正措施，由信息安全管理小组对纠正措施的实施情况进行跟踪、验证，将结果记入《不符合项报告及纠正报告单》。(3)记录内部审核记录由信息安全管理小组保存，并作为管理评审的输入之一。9.3管理评审9.3.1总经理应每年进行一次管理评审，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按《管理评审程序》进行。9.3.2管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括信息安全方针和信息安全目标。9.3.3管理评审的结果应清晰地形成文件，记录应加以保持。管理评审应考虑：以往管理评审的跟踪措施；任何可能影响信息安全管理体系的变更；不符合项和纠正措施的状况；有效性测量的结果；信息安全管理体系审核和评审的结果；信息安全目标的实现情况；相关方的反馈；风评的果险处的态；改进的机会和建议。10改进10.1持续改进10.1.1本公司依据《持续改进控制程序》的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的适性充性和效。10.1.2本公司开展以下活动，以确保信息安全管理体系的持续改进：实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；按照本手册的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。10.2不符合及纠正措施10.2.1本公司信息安全管理小组管理纠正措施，不符合事项的责任部门负责采取纠正措施，以消除与信息安全管理体系要求不符合的原因，以防止再发生。10.2.2纠正措施的实施按《持续改进控制程序》进行。纠正措施的制定和实施程序如下：识别信息安全事件及不符合；确定信息安全事件及不符合的原因；定否在似不符和生可评价确保不符合不再发生的措施要求；确定和实施所需的纠正措施；记录所采取措施的结果；评审所采取的纠正措施。10.2.3本公司信息安全管理小组定期组织进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别纠正措施要求。纠正措施的优先级应基于风险评估结果来确定。附录1组织架构图

附录2职能分配表部门要素部门总经理信息安全管理小组工程部综合部市场部▲△△△△▲△△△△▲△△△△

▲△△△▲△△△△▲△△△△▲△△△△

▲△△△

▲△△△▲△△△△

△△▲△

△△▲△

△△▲△

△△▲△

△△▲△

△△▲△

△△▲△

△△▲△

△△▲△▲△△△△▲△△△△▲△△△△A5.1信息安全策略▲△△△△A5.2信息安全的角色和责任▲△△△△A5.3职责分离▲△△△△A5.4管理层责任▲△△△△A5.5与职能机构的联系△△△▲△A5.6与特定相关方的联系△△△▲△A5.7威胁情报△△△▲△A5.8项目管理中的信息安全

△▲△△A5.9信息和其他相关资产的清单

△△▲△A5.10信息和其他相关资产的可接受的使用

△△▲△A5.11资产返还

△△▲△A5.12信息分类

△△▲△A5.13信息标签

△△▲△A5.14信息传递

△△▲△A5.15访问控制

△△▲△A5.16身份管理

△△▲△A5.17鉴别信息

△△▲△A5.18访问权限

△△▲△A5.19供应商关系中的信息安全

△△▲△A5.20解决供应商协议中的信息安全问题

△△▲△A5.21管理ICT供应链中的信息安全

△△▲△A5.22供应商服务的监控、审查和变更管理

△△▲△A5.23使用云服务的信息安全

△▲△△A5.24规划和准备管理信息安全事故

△△▲△A5.25信息安全事件的评估和决策

▲△△△A5.26应对信息安全事故

▲△△△A5.27从信息安全事故中吸取教训

▲△△△A5.28收集证据

△△▲△A5.29中断期间的信息安全

△△▲△A5.30关于业务连续性的ICT准备

△△▲△A5.31法律、法规、监管和合同

△△▲△A5.32知识产权

△△▲△A5.33记录保护

△△▲△A5.34PII隐私和保护

△△▲△A5.35信息安全独立审查

△△▲△A5.36信息安全策略、规则和标准的遵从性

△△▲△A5.37文件化的操作程序

△△▲△A6人员控制

△△▲△A6.1筛选

△△▲△A6.2雇佣条款和条件

△△▲△A6.3信息安全意识、教育和培训

△△▲△A6.4纪律程序

△△▲△A6.5雇佣关系终止或变更后的责任

△△▲△A6.6保密或不披露协议

△△▲△A6.7远程工作

△△▲△A6.8报告信息安全事件

△△▲△A7物理控制

△△▲△A7.1物理安全边界

△△▲△A7.2物理入口

△△▲△A7.3保护办公室、房间和设施

△△▲△A7.4物理安全监控

△△▲△A7.5抵御物理和环境威胁

△△▲△A7.6在安全区域工作

△△▲△A7.7桌面清理和屏幕清理

△△▲△A7.8设备安置和保护

△△▲△A7.9场外资产的安全

△△▲△A7.10存储介质

△△▲△A7.11支持性设施

△△▲△A7.12布线安全

△▲△△A7.13设备维护

△▲△△A7.14设备的安全作废或再利用

△▲△△A8技术控制

△▲△△A8.1用户终端设备

△▲△△A8.2特殊访问权

△▲△△A8.3信息访问约束

△▲△△A8.4获取源代码

△▲△△A8.5安全身份认证

△▲△△A8.6容量管理

△▲△△A8.7防范恶意软件

△▲△△A8.8技术漏洞的管理

△▲△△A8.9配置管理

△▲△△A8.10信息删除

△▲△△A8.11数据遮盖

△▲△△A8.12防止数据泄漏

△▲△△A8.13信息备份

△▲△△A8.14信息处理设备的冗余

△▲△△A8.15日志

△▲△△A8.16活动监测

△▲△△A8.17时钟同步

△▲△△A8.18特权实用程序的使用

△▲△△A8.19在操作系统上安装软件

△▲△△A8.20网络安全

△▲△△A8.21网络服务的安全性

△▲△△A8.22网络隔离

△▲△△A8.23网站过滤

△▲△△A8.24密码学的使用

△▲△△A8.25安全开发生命周期

△▲△△A8.26应用程序安全要求

△▲△△A8.27安全系统架构和工程原理

△▲△△A8.28安全编码

△▲△△A8.29开发和验收中的安全性测试

△▲△△A8.30外包开发不适用A8.31开发、测试和生产环境的分离

△▲△△A8.32变更管理

△▲△△A8.33测试信息

△▲△△A8.34审计测试期间信息系统的保护

△▲△△附录3信息安全职责1.信息安全管理小组：负责公司的整体信息安全管理工作，负责公司信息资产的安全；工程部是信息安全主管机构、与各部门的沟通和交流，负责有关信息安全工作的落实和推行，并负责报告本公司有关信息安全状况和重要事件；负责协调公司内部信息安全工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在公司范围内的实施；负责对与信息安全管理有关的重大事项进行决策，包括安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；负责对信息安全管理体系进行内部评审和管理评审，审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项；负责制定和实施与信息安全相关的奖惩措施和安全绩效考核体系；评审与监督重大信息安全事故的处理；对内部评审整改意见承担最终责任。2.总经理：负责信息安全方针制度、修订及宣告。建立信息安全系统组织，整合各部门信息安全系统业务。各项信息安全系统督导。主持管理评审会议。督导信息安全管理体系运作及目标制定。信息安全管理活动推行及考核以确保信息安全方针及控制目标有效达成。制定经营目标，提示工作重点。人力资源分配，干部选任、调派、晋升及效率审查。有关管理制度及规章的研制、审查及推行。将公司信息安全控制目标转换成具体可行的实施计划。协助各部门改善并提升经营质量。3.管理者代表：负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；负责公司信息安全管理手册的审核，程序文件的批准，组织并领导公司内部审核工作；负责向