ISO27001手册信息安全管理手册

《ISO27001手册信息安全管理手册》由会员分享，可在线阅读，更多相关《ISO27001手册信息安全管理手册（31页珍藏版）》请在装配图网上搜索。

1、WORD格式信息平安管理手册专业资料整理WORD格式变更履历版本编号变化简要说明 (变更内容、序或 更 改 记状态变更位置、变更原因和变更日期变更人审核人批准人批准日期号录编号*变更X围 )11.0C创立，全页。2021-1-5金浩海金浩海曹立斌2021-1-5* 变化状态： C创立， A增加， M修改， D删除专业资料整理WORD格式目录01 信息平安管理手册发布令 . .402 信息平安方针批准令 . .503 任命 书 .704 公司介绍 .81.目的和X围 .111.1总那么 . .111.2X围 .111.3删减说明 .112.引用标准 . .113.术语和定义 .113.1术语 .

2、 .113.2缩写 . .114.信息平安管理体系 .114.1总要求 . .114.2建立和管理 ISMS .124.3文件要求 .165.管理职责 . .175.1管理承诺 .175.2资源管理 .185.2.3相关文件 .186.ISMS 内部审核 .186.1总那么 . .186.2内审筹划 .186.3内审实施 .197.ISMS 管理评审 .197.1总那么 . .197.2评审输入 .197.3评审输出 .198 ISMS 改进 .208.1持续改进 .208.2纠正措施 .209.记录 . .21表 A.1受控文件清单 .22表 A.3信息平安组织机构图 .27表 A.4信息平

3、安职责说明 . .28表 A.5*金商科技开展新点2021年 12月组织机构图 .31专业资料整理WORD格式1 信息平安管理手册发布令本信息平安管理手册( 以下简称手册 ) 第 1.0 版是我们公司按照ISO/IEC 27001:2005信息平安管理体系要求 ，并结合我们公司管理工作的实践和公司组织机构的设置而编写的，表达了我们公司对信息平安的承诺及持续改进的要求。本手册贯穿了我们公司信息平安管理体系各条款的要求，符合我公司的实际运作情况，可作为向客户及第三方组织提供信息平安保证和进展信息平安管理体系审核的依据，全体员工必须严格遵照执行。现予以批准，同意发布实施。总经理：批准日期：2021-

4、1-5专业资料整理WORD格式2 信息平安方针批准令信息平安管理体系方针1. 总体方针：满足客户要求，实施风险管理，确保信息平安，实现持续改进。2. 诠释：一、信息平安管理机制1我们通过计算机及网络设备提供软件开发业务、IT系统集成业务等效劳，因此，信息资产的平安性对我们来说是非常重要的事情。为了保证各种信息资产的*性、完整性、可用性，给客户提供更加安心的效劳，我们依据 ISO/IEC 27001:2005 标准，建立信息平安管理体系，全面保护公司的信息平安，并承诺如下：一、信息平安管理组织1. 总经理对信息平平安面负责，批准信息平安方针，确定平安要求，提供资源。2. 信息平安管理者代表负责建

5、立、实施、检查、改进信息平安管理体系，保证信息平安管理体系的持续适宜性和有效性。3. 在公司内部建立息平安组织机构：信息平安委员会及信息平安工作小组，负责信息平安管理体系的运行。4. 与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解平安要求和开展动态，获得对信息平安管理的支持。二、人员平安1. 信息平安需要全体员工的参与和支持，全体员工都有保护信息平安的职责，在劳动合同、岗位职责中应包含对信息平安的要求。特殊岗位的人员应规定特别的平安责任。对岗位调动或离职人员，应及时调整平安职责和权限。2. 对公司的相关方， 如：软硬件供应商、 效劳商、 保卫、消防、 清洁等人员， 也要明确平安要

6、求和平安职责。3. 定期对全体员工进展信息平安相关教育和培训，包括：技能、职责等，以提高平安意识。4. 全体员工及相关方人员必须履行平安职责，执行平安方针、程序和平安措施。三、识别法律、法规、合同中的平安1. 及时识别顾客、合作方、相关方、法律法规对信息平安的要求，采取措施，保证满足平安要求。四、风险评估1根据公司业务信息平安的特点、法律法规要求，建立风险评估程序，确定风险承受准那么。2定期进展风险评估，以识别公司风险的变化。公司或环境发生重大变化时，随时评估。3应根据风险评估的结果，采取相应措施，降低风险。五、报告平安事件1公司建立报告平安事件的渠道和相应部门。专业资料整理WORD格式2全体

7、员工有报告平安隐患、威胁、薄弱点、事故的责任，一旦发现平安事件，应立即按照规定的途径进展报告。3承受报告的相应部门应记录所有报告，及时相应处理，并向报告人员反响处理结果。六、监视检查1定期对信息平安进展定期或不定期的监视检查，包括：日常检查、专项检查、技术性检查、内部审核等，2对信息平安方针及其他信息平安政策进展定期评审至少一年一次或不定期评审七、业务持续性1公司根据风险评估的结果，建立业务持续性方案，减少信息系统的中断发生的几率，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。2定期对业务持续性方案进展测试演练和更新。八、违反信息平安要求的惩罚1对违反平安方针、职责、

8、程序和措施的人员，按规定进展处理。2021年 1月 5日*总经理：专业资料整理WORD格式03任命书为贯彻执行信息平安管理体系，满足ISO/IEC 27001:2005 信息技术 - 平安技术 - 信息平安管理体系要求标准的要求，加强领导，特任命行政部经理*X为 *X信息平安管理者代表。授权信息平安管理者代表有如下职责和权限：1确保按照标准的要求，进展资产识别和风险评估，全面建立、实施和保持信息平安管理体系；2负责与信息平安管理体系有关的协调和联络工作；3确保在整个组织内提高信息平安风险的意识；4审核风险评估报告、风险处理方案；5批准发布程序文件；6主持信息平安管理体系内部审核，任命审核组长，

9、批准内审工作报告；7向最高管理者报告信息平安管理体系的业绩和改进要求，包括信息平安管理体系运行情况、内外审核情况。本授权书自任命日起生效执行。专业资料整理WORD格式4 公司介绍一、公司简介首批通过认定的软件企业、*省高新技术企业；通过ISO9000 质量体系认定，通过CMMI L3认证评估；建筑智能化设计甲级、施工三级；*省软件和集成电路专项基金工程开发承担者。公司自建自用的专业资料整理WORD格式软件园占地面积1 公顷、建筑面积4300 平方米，设施齐全，条件优良。专业资料整理WORD格式专业从事电子政务软件、建筑行业软件的开发，年纯软件销售额超过2300万元。开发平台主要采用专业资料整理

10、WORD格式微软的.NET技术，及其它的微软系列开发工具。主要软件产品有：政府版OA、大师、数据整合、报专业资料整理WORD格式表统计、系列造价软件等，其中套装软件累计销售20000多套，同时为200 多个政府部门完成了700 多个专业资料整理WORD格式定制工程，业绩在业内领先。专业资料整理WORD格式经过 8 年摸索，公司现已进入快速扩X期，已在*各地及*、*、*、*设有数十个分支机构或效劳点，拟建立更多的销售效劳点。公司注册资本1000 万元，员工总人数超过150 人，本科学历为主体，平均年龄27 周岁。二、股权构造公司管理者公司骨干员工、三、部门划分董事会下的总经理负责制。主要部门有：

11、行政部：负责公司财务、人事、采购、资质管理、后勤等工作。拓展部：技术研究，方案设计，售前支持。开发部：公司所有软、硬件产品的开发。测试部：公司所有软、硬件产品的测试。市场部：市场推广，产品销售。又分为各软件事业部和地区办事处。实施部：售后支持，硬件施工，软件安装、调试、培训和效劳。四、指导思想推广和使用先进技术为社会提供有益的效劳和产品创造物质财富培养一批中产阶级五、长期目标建立良好的工作硬环境引导公司内部和谐的人际关系提供优厚的薪酬待遇专业资料整理WORD格式为员工个人开展提供平台建立长期*、平稳开展的机制六、主要业务软件开发：“一点智慧长期从事工程造价行业的软件研发，专业种类齐全。自99

12、年开场，几乎参与了*省建立厅所有专业定额的编制工作，还参与了*省水利厅、国家人防办的定额编制工作。目前正版软件套数已超1 万套，累计培训人数超过3 万人次，遍布*全省各地， 是最大的造价软件开发商之一。“一点智慧 定额计价系列包括：土建预决算、安装预决算、 修缮预决算、 园林预决算、 交通预决算、电力预决算；“一点智慧清单计价系列包括：建筑与装饰专业、安装专业、市政专业；“一点智慧行业造价应用包括：水利投标报价、水利概算、水利维修加固、农业开发造价、人防造价；“一点智慧其他建筑业软件包括：计算机辅助评标、投标管理、钢筋翻样、图形算工程量、施工组织设计、标书制作、施工平面设计；电子政务应用软件：

13、“一点智慧致力于政府的信息化建立，推出了一系列基于.NET 架构的政务应用软件，采用先进的浏览器技术，部署灵活，维护方便。已经形成一系列，包括，网上办公OA、网上审批、报表统计、数据采集等产品。公司除了拥有自己的软件产品之外，还针对客户的需要开发了专门的软件，这些软件有：暂住人口管理系统、招标办电子评标系统、*省建立厅造价企业系统、建筑质量监管系统等。建筑智能化设计和施工主要工程在X家港本地，凭借建筑施工和设计二级资质。七、员工管理科技以人为本，高素质、年轻化的人才队伍是企业开展的原动力，是“一点智慧骄傲的资本。公司一百五十多名员工中，本科以上毕业生占90%，其中不乏硕士、留学归国人员等中高级

14、人才。公司员工平均年龄 27 岁。实行内部集中培训和导师制；员工根据工作性质，实行岗位级别制；薪酬和业绩、工作量、 效益挂钩；在公司内部实行末尾淘汰制。八、企业文化1、员工是公司最重要的财富，也是公司赖以存在、开展和壮大的最重要的资源。2、公司努力为全体员工提供优厚的待遇、良好的工作环境， 随着公司的开展， 使员工个人也得到进步和开展。3、竞争鼓励先进、淘汰落后，保持活力。对公司如此，对个人亦如此。4、活动：体育比赛、培训、新春联欢会、集体婚礼专业资料整理WORD格式九、未来之路在“一点智慧人的眼里，未来充满着机遇、挑战和希望。根底：创新、标准、1、软件：标准化、规模化的软件工厂行业软件产品开

15、发国内定制软件开发国外定制软件开发2、弱电工程：特定行业内领先行业内的优秀解决方案自有知识产权的软硬件一体化产品专业资料整理WORD格式信息平安管理手册1. 目的和X围1.1总那么为了建立、实施、运行、监视、评审、保持和改进文件化的信息平安管理体系简称ISMS，确定信息平安方针和目标，对信息平安风险进展有效管理，确保全体员工理解并遵照执行信息平安管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2 X围专业资料整理WORD格式本手册适用于ISO/IEC 27001:20054.2.1a) 条款确定X围内的信息平安管理活动。专业资料整理WORD格式1) 业务X围：软件开发业务、

16、IT 系统集成业务及相关支持部门的活动2) 物理X围：X家港市经济开发区港城大道与长兴路交汇处新点软件办公大楼；3) 资产X围：与 1) 所述业务活动及 2物理环境内相关的软件，硬件，人员及支持性效劳等全部信息资产；4) 逻辑边界：公司连接互联网的效劳器及相关数据传输的活动；5)ISO27001 ： 2005 条款的适用性与公司最新版本的适用性声明一致。1.3 删减说明本信息平安管理手册采用了ISO/IEC27001:2005标准正文的全部内容，对附录 A 的删减见适用性声明SOA。2. 引用标准以下文件中的条款通过本信息平安管理手册的引用而成为本信息平安管理手册的条款。但凡注日期的引用文件，

17、其随后所有的修改单不包括订正的内容或修改版均不适用于本信息平安管理手册，然而，信息平安小组应研究是否可使用这些文件的最新版本。但凡不注日期的引用文件、其最新版本适用于本信息平安管理手册。ISO/IEC 17799:2005信息技术平安技术- 信息平安管理实施细那么ISO/IEC 27001:2005信息平安管理体系要求3. 术语和定义3.1术语专业资料整理WORD格式ISO/IEC 27001:2005信息技术- 平安技术- 信息平安管理体系要求、 ISO/IEC 17799:2005信息技术- 平安技专业资料整理WORD格式术 - 信息平安管理实施细那么规定的术语和定义适用于本信息平安管理手

18、册。专业资料整理WORD格式3.2缩写专业资料整理WORD格式ISMS：Information Security Management Systems信息平安管理体系；SOA: Statement of Applicability适用性声明；PDCA: Plan Do Check Action方案、实施、检查、改进。本手册采用ISO/IEC 27001:2005中的术语和定义。专业资料整理WORD格式4. 信息平安管理体系4.1总要求公司依据ISO/IEC 27001:2005 标准的要求，建立、实施、运行、监视、评审、保持和改进信息平安管理体系，形成文件；本公司全体员工将有效地贯彻执行并持续

19、改进有效性，对过程的应用和管理详见信息平安管理体系过程模式图图 1。信息平安管理体系是在公司整体经营活动和经营风险架构下，针对信息平安风险的管理体系；专业资料整理WORD格式相关方相关方建立实施 和保 持和运行改进信息平安ISMSISMS管理的的要求和信息安期望全输入监 视 和输出评审ISMS图 1 信息平安管理体系过程模式图4.2 建立和管理 ISMS4.2.1 建立 ISMS 公司应：a) 根据公司的业务特征、组织构造、地理位置、资产和技术定义ISMSX围和边界，包括在X围内任何删减的细节和理由见1.2 X围局部。b) 根据公司的业务特征、组织构造、地理位置、资产和技术定义ISMS方针，必

20、须满足以下要求：1) 为 ISMS目标建立一个框架并为信息平安活动建立整体的方向和原那么；2) 考虑业务及法律或法规的要求，以及合同的平安义务；3)与公司战略和风险管理相一致的环境下，建立和保持ISMS；4) 建立风险评价的准那么；5) 总经理批准发布 ISMS方针。c) 定义公司风险评估方法。行政部负责建立信息平安风险评估管理程序并组织实施。信息平安风险评估管理程序包括可承受风险准那么和可承受水平。1) 识别适用于 ISMS 和已经识别的业务信息平安、法律和法规要求的风险评估方法。2)建立承受风险的准那么并识别风险的可承受等级。选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。注

21、：风险评估具有不同的方法。具体参照国家信息平安风险评估标准标准。3) 公司的风险评估的流程公司制定信息平安风险评估控制程序 ，建立识别适用于信息平安管理体系和已经识别的业务信息平安、法律和法规要求的风险评估方法，建立承受风险的准那么并识别风险的可承受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。信息平安风险评估的流程见图2. 风险评估流程图。专业资料整理WORD格式确定 ISMSX围资产识别与重要资产确定威胁识别已有控制措施确认薄弱点识别事件发生的可能性事件发生的影响确定风险等级Yes保持已有的控制措施是否承受剩余风险评审No选择目标及控制措施实施图 2. 风险评估流程

22、图d) 识别风险：1)识别 ISMS 控制X围内的资产以及这些资产的所有者；在已确定的ISMS X围内，对所有的信息资产进展列表识别。 信息资产包括业务过程、 文档 / 数据、 软件 / 系统、 硬件 / 设施、 人力资源、效劳、无形资产等。 对每一项信息资产， 根据重要信息资产判断依据确定是否为重要信息资产，形成信息资产识别表 。2)识别对这些资产的威胁，一项资产可能面对假设干个威胁；3)识别可能被威胁利用的脆弱性，一项脆弱性也可能面对假设干个威胁；4)识别*性、完整性和可用性损失可能对资产造成的影响。e) 分析并评价风险：1)在资产识别的根底上，针对每一项重要信息资产，依据风险评估原那么中

23、的信息资产CIAB 分级标准，进展 CIAB 的资产赋值计算；2)针对每一项重要信息资产，参考风险评估原那么中的威胁参考表及以往的平安事故事件记录、信息资产所处的环境等因素，识别出重要信息资产所面临的所有威胁；专业资料整理WORD格式3) 按照风险评估原那么中的威胁分级标准对每一个威胁发生的可能进展赋值；4) 针对每一项威胁，考虑现有的控制措施，参考风险评估原那么中的脆弱性参考表识别出被该威胁可能利用的所有薄弱点，并根据风险评估原那么中的脆弱性分级标准对每一个脆弱性被威胁利用的难易程度进展赋值；5) 按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进展评价。6) 按照风险评估模型结合资产和

24、脆弱性赋值对风险发生的损失进展评价。7) 按照风险评估模型对风险发生可能性和风险发生的损失进展计算得出风险评估赋值，并按照风险评估原那么中的风险等级标准评价出信息平安风险等级。8) 对于信息平安风险，在考虑控制措施与费用平衡的原那么下制定的信息平安风险承受准那么，按照该准那么确定何种等级的风险为不可承受风险。f) 识别并评价风险处理的选择：对于信息平安风险，应考虑控制措施与费用的平衡原那么，选用以下适当的措施；1) 应用适当的控制以降低风险 ：这可能是降低事件发生的可能性， 也可能是降低平安失败 ( *性、完整性或可用性丧失 ) 的业务损害。2) 如果能证明风险满足公司的方针和风险承受准那么，

25、有意的、客观的承受风险；一般针对那些不可防止的风险，而且技术上、资源上不可能采取对策来降低，或者降低对公司来说不经济。“承受风险是针对判断为不可承受的风险所采取的处理方法，而不是针对那些低于风险承受水平的本来就可承受的风险。3) 防止风险；对于不是公司的核心工作内容的活动，公司可以采取防止某项活动或者防止采用某项不成熟的产品技术等来回避可能产生的风险。4) 将有关的业务风险转移到其他方，例如保险公司、供方。信息平安工作小组应组织有关部门根据风险评估的结果，形成风险处理方案，该方案应明确风险处理责任部门、方法及时间。g) 为风险的处理选择控制目标与控制措施。应选择并实施控制目标和控制措施，以满足

26、风险评估和风险处理过程所识别的要求。选择时，应考虑承受风险的准那么以及法律法规和合同要求。信息平安工作小组根据信息平安方针、业务开展要求及风险评估的结果，组织有关部门制定信息平安目标，并将目标分解到有关部门。信息平安目标应获得信息平安最高责任者的批准。从附录 A 中选择的控制目标和控制措施应作为这一过程的一局部，并满足上述要求。公司也可根据需要选择另外的控制目标和控制措施。注：附录 A 包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录 A 作为选择控制措施的出发点，以确保不会遗漏重要的控制可选措施。h) 获得最高管理者对建议的剩余风险的批准，剩余风险承受批准应该在风险

27、评估表上留下记录，并记录剩余风险处置批示报告。专业资料整理WORD格式i)获得管理者对实施和运行ISMS 的授权。 ISMS管理者代表的任命和授权、ISMS 文档的签署可以作为实施和运作ISMS的授权证据。专业资料整理WORD格式j) 准备适用性声明，内容应包括：1) 所选择的控制目标和控制措施，以及选择的原因；2) 当前实施的控制目标和控制措施；3) 附录 A 中控制目标和控制措施的删减，以及删减的理由。4)信息平安工作小组负责组织编制信息平安闲用性声明(SOA)。注：适用性声明提供了一个风险处理决策的总结。通过判断删减的理由，再次确认控制目标没有被无意识的遗漏。4.2.2实施并运作ISMS

28、为确保 ISMS有效实施，对已识别的风险进展有效处理，本公司开展以下活动：a) 制定风险处理方案说明为控制信息平安风险确定的适当的管理活动、职责以及优先权。b) 为了到达所确定的控制目标，实施风险处理方案，包括考虑资金以及角色和职责的分配，明确各岗位的信息平安职责；c) 实施所选的控制措施，以满足控制目标。d) 确定如何测量所选择的一个 / 组控制措施的有效性， 并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现筹划的控制目标的程度。e) 实施培训和意识方案。f) 对 ISMS的运作进展管理。g) 对 IS

29、MS的资源进展管理。h) 实施能够快速检测平安事情、响应平安事件的程序和其它控制。4.2.3监控并评审ISMSa) 本公司通过实施不定期平安检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：1快速检测处理结果中的错误；2快速识别失败的和成功的平安破坏和事件；3能使管理者确认人工或自动执行的平安活动到达预期的结果；4) 帮助检测平安事情，并利用指标预防平安事件；5确定解决平安破坏所采取的措施是否有效。b)定期评审ISMS的有效性 包括平安方针和目标的符合性，对平安控制措施的评审，考虑平安审核、事件、有效性测量的结果，以及所有相关方的建议和反响。c) 测量控制措施

30、的有效性，以证实平安要求已得到满足。d) 按照方案的时间间隔，评审风险评估，评审剩余风险以及可承受风险的等级，考虑到以下变化：1) 组织机构和职责；2) 技术；3) 业务目标和过程；专业资料整理WORD格式4) 已识别的威胁；5) 实施控制的有效性；6) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。e) 按照方案的时间间隔不超过一年进展ISMS内部审核。注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司的名义进展的审核。f)定期对 ISMS进展管理评审，以确保X围的充分性，并识别ISMS过程的改进。g) 考虑监视和评审活动的发现，更新平安方案。h) 记录

31、可能对 ISMS有效性或业绩有影响的活动和事情。4.2.4保持并持续改进ISMS本公司开展以下活动，以确保ISMS 的持续改进：a) 实施已识别的 ISMS改进措施。b) 采取适当的纠正和预防措施。吸取从其他公司的平安经历以及组织自身平安实践中得到的教训。c) 与所有相关方沟通措施和改进。沟通的详细程度应与环境相适宜，必要时，应约定如何进展。d) 确保改进到达其预期的目标。4.3文件要求4.3.1总那么本公司信息平安管理体系文件包括：a) 文件化的信息平安方针、控制目标；b) 信息平安管理体系手册本手册，包括信息平安闲用X围及引用的标准；c) 本手册要求的信息平安风险评估管理程序 、业务持续性

32、管理程序 、纠正和预防措施程序 、管理评审程序等支持性程序；d)ISMS 引用质量管理体系的支持性程序。如：文件控制程序 、记录控制程序 、内部审核控制程序等；e) 为确保有效筹划、运作和控制信息平安过程所制定的文件化操作程序；f) 风险评估报告 、风险处理方案以及ISMS要求的记录类；g) 相关的法律、法规和信息平安标准；h) 适应性声明。4.3.2信息平安管理手册a) 编写目的：向公司内部或外部提供关于信息平安管理体系的根本信息，用于对公司的信息平安管理体系做纲领性和概括性的描述。b) 信息平安管理手册的编写：由管理者代表负责组织编写，总经理批准后发布实施。c) 信息平安管理手册的管理：信

33、息平安工作小组负责保管及发放管理。d) 信息平安管理手册的发放：手册分“受控和“非受控两种。受控手册在封面上加盖红色“受控文件章，仅限于公司内部使用，当修订或换版时进展相应控制，且人员调离时应予归还；非受控手专业资料整理WORD格式册不盖任何印章，发放对象为认证机构、客户等，在修订和换版时不予控制。4.3.2文件控制公司制定并实施 文件控制程序 ，对信息平安管理体系所要求的文件进展管理。 对信息平安管理手册、程序文件、 管理规定、 作业指导书和为保证信息平安管理体系有效筹划、 运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定，以确保在使用场所能够

34、及时获得适用文件的有效版本。文件控制应保证：a) 文件在发放前应按规定的审核和批准权限进展批准后才能发布；b) 必要时对文件进展评审与更新，并按规定的权限重新批准；c) 由信息平安工作小组对文件的现行修订状态进展标识，文件更改由相应更改部门进展标识，确保文件的更改状态清晰明了；d) 信息平安工作小组应确保所有使用文件的场所能够获得有关文件的有效的最新版本；e) 确保文件保持清晰、易于识别；f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进展转移、存储和最终的销毁；g) 各部门获得外来文件应统一交相关部门保存，进展标识并控制发放，确保外来文件得到识别；h) 确保文件的分发得到控制；i

35、) 信息平安工作小组应控制作废文件的使用，假设各部门有必要保存作废文件时，应向信息平安工作小组报告，防止作废文件的非预期使用；j) 假设因任何目的需保存作废文件时，应对其进展适当的标识。4.3.3记录控制a) 信息平安管理体系所要求的记录是体系符合标准要求和有效运行的证据。信息平安小组负责整理制定 ISMS文件日常应用格式汇总 ，负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录控制程序 ，规定记录的标识、储存、保护、检索、保管、废弃等事项。b) 信息平安体系的记录包括4.2 中所列出的所有过程的结果及与ISMS相关的平安事故。各部门应根据记录控制程序的要求采取适当的方式妥善保管

36、信息平安记录4.3.5相关文件文件控制程序记录控制程序5. 管理职责5.1管理承诺公司管理者通过以下活动，对建立、 实施、 运作、监视、评审、 保持和改进信息平安管理体系的承诺提供证据：a) 建立信息平安方针 ( 见本手册第 04 章 ) ；b)确保信息平安目标和方案得以制定见信息平安闲用性声明(SOA)、风险处理方案及相关记录；c) 建立信息平安的角色和职责 ( 见信息平安职责说明 ) ；d) 向组织传达满足信息平安目标、符合信息平安方针、履行法律责任和持续改进的重要性；专业资料整理WORD格式e) 提供充分的资源， 以建立、实施、运作、监视、评审、保持并改进信息平安管理体系 ( 见本手册第

37、 5.2.1 章) ；f)决定承受风险的准那么和风险的可承受等级( 见信息平安风险评估控制程序及相关记录) ；g)确保内部信息平安管理体系审核见本手册第6章得以实施；h)实施信息平安管理体系管理评审见本手册第7章。5.2 资源管理5.2.1资源的提供公司确定并提供实施、保持信息平安管理体系所需资源；采取适当措施，使影响信息平安管理体系工作的员工的能力是胜任的，以保证：a) 建立、实施、运作、监视、评审、保持和改进信息平安管理体系；b) 确保信息平安程序支持业务要求；c) 识别并指出法律法规要求和合同平安责任；d) 通过正确应用所实施的所有控制来保持充分的平安；e) 必要时进展评审，并对评审的结

38、果采取适当措施；f) 需要时，改进信息平安管理体系的有效性。5.2.2培训、意识和能力公司制定并实施人力资源控制程序文件，确保被分配信息平安管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a) 确定承担信息平安管理体系各工作岗位的职工所必要的能力。通过岗位说明书的任职要求来确定，并在招聘活动中确认相关信息平安的任职要求；b) 提供职业技术教育和技能培训或采取其他的措施来满足这些需求；c) 评价所采取措施及培训的有效性；d) 保存教育、培训、技能、经历和资历的记录。公司还确保所有相关人员意识到其所从事的信息平安活动的相关性和重要性，以及如何为实现信息平安管理体系目标做出奉献。

39、5.2.3相关文件人力资源管理程序6. ISMS 内部审核6.1总那么公司建立并实施内部审核控制程序，内部审核控制程序应包括筹划和实施审核以及报告结果和保持记录的职责和要求。并按照筹划的时间间隔进展内部信息平安管理体系审核，以确定其信息平安管理体系的控制目标、控制措施、过程和程序是否：a) 符合本标准的要求和相关法律法规的要求；b) 符合已识别的信息平安要求；c) 得到有效地实施和维护；d) 按预期执行。6.2内审筹划6.2.1信息平安工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进展筹划。应编制内审年度方案，确定审核的准那么、X围、频次和方法。公司每年组织最少应

40、组织一次内部审核。6.2.2每次审核前，信息平安工作小组应编制内审方案，确定审核的准那么、X围、日程和审核组。审核员的选择和专业资料整理WORD格式审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。6.3内审实施6.3.1应按审核方案的要*施审核，包括：a进展首次会议，明确审核的目的和X围，采用的方法和程序；b实施现场审核，检查相关文件、记录和凭证，与相关人员进展交流，按照检查的情况填写检查表；c 进展对检查内容进展分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；d审核组长编制审核报告。6.3.2对审核中提出的不符合项报告，责任部门应编制纠正措施，由办公室组织

41、对受审部门的纠正措施的实施情况进展跟踪、验证；6.3.3按照记录控制程序的要求，保存审核记录。6.3.4内部审核报告，应作为管理评审的输入之一。6.3.5相关文件内部审核控制程序7. ISMS管理评审7.1总那么7.1.1公司建立并实施管理评审控制程序，管理者应按管理评审控制程序规定的时间间隔评审信息平安管理体系，每年最少进展一次，以确保其持续的适宜性、充分性和有效性。7.1.2管理评审应包括评价信息平安管理体系改进的时机和变更的需要，包括平安方针和平安目标。7.1.3管理评审的结果应清晰地形成文件，记录应加以保持。7.2评审输入管理评审的输入要包括以下信息：a) 信息平安管理体系审核和评审的

42、结果；b) 相关方的反响；c) 用于改进信息平安管理体系业绩和有效性的技术、产品或程序；d) 预防和纠正措施的状况；e) 以往风险评估没有充分强调的脆弱性或威胁；f) 有效性测量的结果；g) 以往管理评审的跟踪措施；h) 任何可能影响信息平安管理体系的变更；i) 改进的建议。7.3评审输出7.3.1管理评审的输出应包括与以下内容相关的任何决定和措施：a) 信息平安管理体系有效性的改进；b) 更新风险评估和风险处理方案；c) 必要时，修订影响信息平安的程序和控制措施，以反映可能影响信息平安管理体系的内外事件，包括以下方面的变化：1) 业务要求；2) 平安要求；3) 影响现有业务要求的业务过程；专

43、业资料整理WORD格式4) 法律法规要求；5) 合同责任；6) 风险等级和或风险承受准那么。d) 资源需求；e) 改进测量控制措施有效性的方式。f) 管理评审报告由管理者代表编制，经总经理批准后发往各部门，管理者代表负责存档。7.3.2相关文件：管理评审程序8 ISMS 改进8.1 持续改进公司的持续改进是信息平安管理体系得以持续保持其有效性的保证，公司在其信息管理体系平安方针、平安目标、平安审核、监控时间的分析、纠正和预防措施以及管理评审方面都要持续改进信息平安管理体系的有效性。8.2纠正措施8.2.1纠正措施公司制定并实施纠正和预防措施管理程序，针对发现的不符合现象，采取措施，消除不符合的

44、原因，并防止不符合项的再次发生。对纠正措施的实施和验证规定以下步骤：a) 识别不符合；b) 确定不符合的原因；c) 评价确保不符合不再发生的措施要求；d) 确定和实施所需的纠正措施；e) 记录所采取措施的结果；f) 评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。8.2.2预防措施公司制定并实施纠正和预防措施管理程序，针对潜在的不符合，采取措施，消除不符合的原因，并防止不合格的发生。对预防措施的实施和验证规定以下步骤：a) 识别潜在的不符合及其原因；b) 评价预防不符合发生的措施要求；c) 确定并实施所需的预防措施，预防措施的优先级应基于风险评估结果来确定；d) 记录所采取措施的结果；e) 评审所采取的预防措施将重大预防措施提交管理评审讨论。8.2.3相关文件纠正和预防措施管理程序专业资料整理WORD格式9. 记录本程序发生的记录汇总表见表1表式见 ISMS 文件日常应用格式汇总。保管保存表号记录编号记录名称保存形式备注场所期限表 A.1受控文件清单三年书面、电子表 A.2信息平安体系要求与部门职能分配表表 A.3信息平安组织机构图三年书面、电子表 A.4信息平安职责说明表 A.5组织机构图三年书面、电子专业资料整理WORD格式表 A.1受控文件清单序号文件编号程序文件文件版本11.021.031.041.051.061.071.081.091.0