ISOIEC27001-2013信息安全管理手册.docx

《ISOIEC27001-2013信息安全管理手册.docx》由会员分享，可在线阅读，更多相关《ISOIEC27001-2013信息安全管理手册.docx（30页珍藏版）》请在课桌文档上搜索。

1、信息安全管理手册ISOIEC27001-2013目录1 .概述41.1 目的41.2 适用范围41.3 颁布令41.4 授权书52 .依据文件和术语52.1 依据文件52.2 术语定义63 .裁剪说明64 .组织环境64.1 组织环境描述64.2 信息安全相关方的需求和期望94.3 信息安全管理体系范围的确定104.4 体系概述105 .领导力105.1 领导力和承诺105.2 信息安全方针和目标105.3 组织角色、职责和权限116 .策划126.1 风险评估和处置126.2 目标实现过程131.1 资源提供141.2 信息安全能力管理141.3 意识培训151.4 信息安全沟通管理151.

2、5 存档信息控制168 .运行178.1 体系策划与运行179 .绩效评价189.1 能力评价189.2 有效性测量189.3 内部审核199.4 管理评审2010 .改进2011 .信息安全总体控制21A.5信息安全策略21A.6信息安全组织21A.7人力资源安全24A.8资产管理24A.9访问控制24A.10密码控制24A.11物理和环境安全25A.12操作安全25A.13通信安全25A.14系统获取、开发和维护26A.15供应商关系27A.16信息安全事故27A.17业务连续性管理的信息安全方面27附件一：信息安全组织架构映射表27附件二：信息安全职责分配表291 .概述为提高服务质量，

3、规范管理活动，保障系统安全运行，提升人员安全意识水平，北京讯鸟软件有限公司（以下简称“公司”）依据信息安全管理标准GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。1.1 目的本总纲为公司信息安全管理体系的纲领性文件,描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。通过建立策划（P）分执行（D）分检查（C）今改进（A）的持续改进机制，不断提高

4、公司的信息安全管理水平，确保日常信息安全管理活动的安全、稳定、高效，提升企业核心竞争力。1. 2适用范围本总纲所描述信息安全管理体系适用于公司所有部门，所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。2. 3颁布令为提高信息安全管理水平，贯彻落实“以客户为中心，将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。”的基本方针，保障公司的生产、经营、服务和日常管理活动，防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司特依据GB/T22080

5、2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准要求，建立了文件化的信息安全管理体系。本体系是信息安全管理的纲领性文件,是指导公司建立并实施信息安全管理体系的纲领和行动准则，用于贯彻信息安全管理方针，实现信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本总纲的要求，自觉贯彻管理方针,严格执行本总纲的各项规定，努力实现公司生产运行和日常办公的安全。并传达给外部相关方。本手册自颁布之日起生效执行。公司总经理：XXX二零二二年八月二日1. 4授权书为了贯彻执行信息安全管理体系，满足GB/T22080-20161.SOAEC27001:2013信息技术安全

6、技术信息安全管理体系要求的要求，加强对信息安全管理体系建设和持续运行的领导工作，特任命陈俊祥先生为公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1）领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估：2）协调与信息安全管理体系有关的各项工作；3）确保提高员工信息安全意识；4）督促信息安全管理体系内部审核和信息安全检查的开展；5）协助最高管理者进行信息安全管理体系的管理评审；6）向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。公司总经理：二零二二年八月二日2.依据文件和术语2. 1依据文件本总纲的制定参考并依据了下列文件资料，详见符合性

7、实施制度。1）法律法规：是指我国颁布的、所有相关且具有约束和指导作用的法律、法规：2）监管规定：是指证监会及其分支机构颁布的具有约束和指导作用的所有文件、规定3）文件：公司下发的对信息业务系统、信息安全管理等有约束力和指导作用的所有文件：4）国际惯例：是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和指导作用的国际通用惯例；5）标准：GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求：2.2术语定义1）信息安全：对信息的机密性、完整性和可用性的保护；2）机密性：确保信息仅供给那些获得授权的人使用；3）完整性：保护信息及信息处理方法的准确

8、性和完全性；4）可用性：确保获得授权使用该信息及信息系统的人能及时、可靠地使用；5）风险评估:评估信息及信息处理系统所存在的或可能产生的威胁、影响和薄弱环节,是风险分析和风险评价的全过程；6）风险管理：指导和控制组织通过区分、控制、减少或去除等方法将风险控制在可承受范围内的活动：3 .裁剪说明GBT22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的条款与公司信息安全管理体系的适用关系，详见信息安全管理体系适用性声明（SOA）o4 .组织环境4. 1组织环境描述1、外部组织关系北京讯鸟软件有限公司成立于2001年，是中国领先的呼叫中心与云计算应用服务提

9、供商。公司倡导“人性化科技帮助客户提升业绩”，致力于帮助企业利用云计算技术，以客户为中心，协同各种经营资源，改善营销流和服务流，从而提高人均产值，重塑客户体验。讯鸟软件是中国云计算应用/SaaS、PaaS应用的先驱，从2005年即开始研发云计算SaaS产品，拥有上百人的云计算专业研发队伍、国内一流的云计算业务咨询顾问和运营服务团队,拥有50余项自主知识产权。2、法律法规环境公司应遵循信息安全法律法规要求和义务，避免员工违反法律、法规的要求，控制相关法律风险。具体要求见符合性实施制度。3、组织架构及部门职责公司组织架构图如下，部门包括总裁办、行政部、人力资源部、商务采购部、财务部、产品部、销售部

10、、服务部、研发部、测试部。如下图所示：研发服务体系研发部测试部1）总裁办负责协助总裁执行日常工作计划和其他工作安排：执行相关信息安全管理规章制度。2）行政部负责公司各项行政事务管理工作；完善公司内部控制制度建设；负责日常行政事务工作和办公设施、办公场所等管理工作；上级领导交办的其他工作；负责制定并执行相关信息安全管理的规章制度。3）人力资源部负责人力资源规划的制定、实施及完善；负责组织机构方案、人员编制、岗位评价方案的研拟与执行；负责培训体系、绩效考评体系的制定、实施及追踪；负责公司人力成本的预算及调控；部门费用预算的控制；负责企业文化的建立、宣传及推动；员工职业生涯的规划设计；负责员工的招聘

11、、高级人才的引进；执行相关信息安全管理的规章制度。4）商务采购部负责公司第三方服务业务谈判及组织实施；负责各项第三方服务业务合同的保管、查询、建立合同档案，定期检查合同执行情况，不断完善合同的各项条款；负责各项第三方服务业务合同的签订、变更、执行、终止；负责各种促销活动方案中商户的协调和落实；执行相关信息安全管理的规章制度：5）财务部围绕公司的经营发展规划和工作计划，负责编制公司财务计划和费用预算，有效地筹划和运用公司资金；财务制度的建设和规范的制定；做好财务统计和会计账目、报表及年终结算工作，并妥善保管会计凭证，账簿、报表和其他档案资料；财务部日常管理工作，部门人员的管理、培训、考核；建立健

12、全公司内部核算的组织、指导和数据管理体系，以及核算和财务管理的规章制度；做好公司各项资金的收取与支出管理工作；执行相关信息安全管理的规章制度。6）产品部为公司提供准确的行业定位，及时提供市场信息反馈；制定和实施年度产品推广计划和新产品开发计划（依据市场需求的变化，要提出合理化建议）；依据市场变化要随时调整产品战略与营销战术（包括产品价格的调整等），并组织相关人员接受最新产品知识的培训I；制定公司品牌管理与发展策略，维护公司品牌；管理、监督和控制市场政策执行情况；执行相关信息安全管理的规章制度。7）销售部负责产品或服务的销售工作；负责代理人市场的推广，特别是战略客户的市场推广策略并实施；负责制定

13、并管理销售业务流程；负责对销售业务流程执行的监督；执行相关信息安全管理规章制度。8）服务部负责对本部门新员工的工作技能进行培训，并进行考核；负责云端产品部署、管理、维护、运营和服务运营质量的管理和提升工作；负责客户关系的维护、客户的技术培训、合同的执行，项目验收等相关工作；负责大数据的运营、自建呼叫中心平台及云端产品的客户业务和售后服务工作，保证客户的满意度：负责制定和执行服务运营及环境维护管理规章制度和相关信息安全管理的规章制度。9)研发部负责提供符合客户要求和认可的技术支持和解决方案；承担产品设计和开发工作；负责技术方案的评审工作，保证技术方案的可行性；负责组织和协调开发项目的资源，保证项

14、目按计划进行;负责制定项目计划,并根据各种变化修改项目计划;制定有效的项目决策过程；负责实施项目的管理、开发、质量保证过程，确保客户的成本、进度、绩效和质量目标；负责确保在项目生命周期中遵循实施公司的管理和质量政策；负责招聘和培训必须的项目成员；负责确定项目的人员组织结构;进行风险管理；负责定期举行项目评估(review)会议；负责为项目所有成员提供足够的设备、有效的工具和项目开发过程；负责有效管理项目资源;负责制定并执行相关信息安全管理的规章制度。10)测试部负责协调业务管理体系下各部门工作；负责源代码及软件的完整性、可用性、功能、性能进行系统性测试；负责对各业务系统及运行环境进行系统性测试

15、和安全性检测；负责对源代码资源系统管理及备份：负责制定并执行相关信息安全管理的规章制度。4.2信息安全相关方的需求和期望公司信息安全相关方包括认证单位、客户、供应商、内部部门及员工等。各相关方的信息安全要求和期望均应及时识别，并在实际业务开展时应遵照执行。相关方识别原因信息安全要求和期望更新频率识别方法认证单位IS027001符合体系标准要求方可通过认证相关资质的信息安全要求认证标准发布周期与认证单位联系客户合同关系合同中要求的信息安全内容合同要求更新周期合同供应商合同关系合同中要求的信息安全内容合同要求更新周期合同内部部门及员工信息安全工作执行各部门实际工作中的信息安全要求个人隐私安全不定期

16、安全会4. 3信息安全管理体系范围的确定体系范围的确定主要考虑到公司的实际业务特点和资源的合理利用，在公司范围内建立信息安全管理体系，有利于全面的提高公司信息安全管理水平，保障业务稳定发展的需求。 业务范围：云呼叫中心软件平台的开发及运维、呼叫中心业务及相关信息服务； 物理范围：北京市海淀区知春路113号银网中心A座302-304室； 资产范围：支撑业务活动的文档、数据、软硬件系统、物理环境、人员及支持性第三方服务、无形资产（专利）等全部信息资产；组织范围：总裁办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。4. 4体系概述公司依据GB/T220802016

17、/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，同时考虑行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，保障公司信息的保密性、完整性和可用性，确保各项业务的连续性。5.领导力5. 1领导力和承诺由公司负责人授权管理者代表全权负责信息安全管理体系的日常工作，包括批准并正式发布各项制度、规定，建立体系推进组织，任命相关角色，协调与信息安全管理体系有关的各项工作。5.2信息安全方针和目标信息安全

18、方针：以客户为中心,将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。信息安全目标：为落实上述方针，公司定义如下信息安全目标：1）全年不发生重大信息安全事件和二级以上运行安全事故；2）重要保障时期不发生三级以上安全事件。5 .3组织角色、职责和权限 信息安全管理体系负责人（工作小组组长）：1）负责组织建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行；2）负责公司信息安全管理手册（一级）的审核，制度文件（二级）的审批；3）组织并领导公司内部审核工作：4）负责组织发起信息安全管理体系的管理评审工作；5）负责向领导小组报告信息安全体系运行的业绩和任何改

19、进的需求。 信息安全工作小组：1）负责本部门的信息安全管理工作，负责保护本部门所管理、使用的信息资产的安全；2）负责指导和要求本部门员工遵守信息安全政策；3）组织落实部门信息安全纠正措施（包括内部审核整改意见）和预防措施。 公司全体员工：1）严格遵守所有与信息安全相关的国家法律、法规和政策，遵守公司所有的信息安全政策，并签字承诺遵守保密协议的有关规定；2）以安全负责的方式使用公司的信息资产；3）积极参加信息安全教育与培训，提高信息安全意识；4）有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员。6 .策划6. 1风险评估和处置为建立和实施信息安全管理体系，公司信息

20、安全管理采用过程方法，把与信息安全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体系。具体包括：1）识别并确定信息安全管理体系相关的策略、目标、过程和制度，改进信息安全以达到期望的结果；2）依据“过程模式”确定上述过程的顺序和相互关系；3）将过程充分展开，明确信息安全控制点，编制形成信息安全管理体系文件；4）配置适当的资源，提供必要的支持和信息，以保证过程的有效运作；持续测量、监控和分析这些过程，并进行必要的改进。6.1.1风险评估及机遇信息安全管理领导小组应定义并应用风险评估过程，识别影响业务的潜在风险及发展机遇以：1 .建立和维护信息安全风险标准，包括：1）风

21、险接受标准；2）实施信息安全风险评估的标准。2 .确保信息安全风险评估活动一致性，产生有效的和可比较的结果；3 .识别信息安全风险：1）在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性和可用性的丧失带来的风险；2）识别风险责任人。4 .分析信息安全风险：1）评估识别的风险产生的潜在后果；2）评估识别的风险转化为事件的可能性；3）确定风险的等级。5 .评价信息安全风险：1）将风险分析结果与所定义的风险标准进行比较；2）根据风险等级确定风险处置的优先级。6.1.2风险处置信息安全管理领导小组应定义和实施信息安全风险处置过程：1）依据风险评估的结论，选择适当的信息安全

22、风险处置方式；2）确定信息安全风险处置所需的各项控制措施；3）将风险处置中所选的各项控制措施的和标准附录A中的控制措施进行比较，确保没有遗漏必要的控制措施；4）制定具备必要控制措施的适用性声明SOA,适用性声明要包含必要的控制措施、对包含的控制措施的合理性说明（无论是否实施）以及对标准附录A控制措施删减的合理性说明；5）制定信息安全风险处置计划；6）需得到风险责任人对信息安全风险处置计划和残余风险接受的审核。有关风险评估和处置的具体操作指导详见风险评估管理制度。6. 2目标实现过程信息安全目标将通过对信息安全风险的来源识别、风险处置、风险跟踪验证、以及信息安全管理体系各流程的落地跟踪，举行不定

23、期的安全评审会议的综合过程来实现，同时保留相关文档内容。整体信息安全目标实现过程内容如下：1 .风险来源1）日常信息安全风险管理工作：月度安全工作会议中发现的信息安全问题进行评估，并全部进行风险处置。2）每年进行一次集中风险评估工作，具体开展过程为：定期的信息安全风险评估活动:每年开展信息安全风险评估活动，并根据信息安全风险接受水平对活动中发现的中、高风险进行处置。3）做好各体系流程监控工作：做好生产运营和信息安全相关的信息资产管理、系统交付投产、运行监控、变更管理、数据提取与使用、补丁管理、密钥管理、移动介质管理、病毒防范、应急处理和安全运营奖惩、故障分级评估、事故问责等方面的制度或流程的运

24、行情况监控,发现问题及时纠正。每年对各流程要求进行回顾、评估和更新。2 .风险处置1）针对以上途径发现的信息安全风险，各部门负责制定相应的整改计划。针对信息安全管理类风险如因制度或流程的缺失、制度或流程未严格执行造成的安全风险，由责任部门新增安全管理制度及流程或监督本部门员工严格执行安全制度。2）针对信息安全技术类风险如渗透测试、主机扫描发现的安全漏洞，由公司技术部门统一负责整改。对于部分需要通过新增安全设备才能完全消减的风险，在公司经济条件许可的情况下，由责任部门负责采购并部署。3 .信息安全风险处置的监督和验证信息安全工作组负责督促并监督各组对信息安全风险的处置。针对信息安全管理类风险的处

25、置情况，由信息安全工作组通过定期安全内审的方式进行验证。针对信息安全技术类风险的跟踪，由信息安全工作组负责对安全漏洞的整改情况进行复查验证。4 .评价周期及起始时间对安全目标实现的评价，信息安全工作组每年组织召开信息安全管理评审会议，并邀请公司领导层参会，由信息安全管理体系负责人汇报信息安全管理体系运行状况及目标达成情况，与参会人员共同讨论、最终评价信息安全目标的达成情况。信息安全管理目标的实现，不强制依赖于每年一次的信息安全管理评审会议，具体的信息安全管理目标的达成情况判定，可通过每月的信息安全会议，并根据目标达成情况，采取相应的纠正预防措施。7.支持7. 1资源提供公司领导层应确保提供以下

26、方面所需的资源：1）实施、保持管理体系并持续改进其有效性所需的各种资源；2）满足客户要求，提高客户满意度所需的各种资源。编制了人力资源管理制度，公司根据人员的学历、技能和经验，组织面向全员的信息安全意识培训及面向特定人员的专业IT技能培训，确保其能胜任工作。7.2信息安全能力管理结合当前信息安全管理认证范围，对员工信息安全能力管理主要从以下几方面出发来实现:1）影响信息安全执行工作的人员岗位,在岗位设立时应明确信息安全能力的要求,并在招聘时严格把关（例如学历教育、能力测试等）；2）确保人员在适当教育、培训和经验的基础上能够胜任工作；在人员调岗时,应考虑相关人员信息安全能力的确定和培养。3）保留

27、培训记录作为能力培养的证据。7. 3意识培训每季度对当季入职的所有新员工进行信息安全意识培训并进行考试,对于信息安全小组成员应进行岗位相关的信息安全专业培训，对于信息安全岗位的工作人员（如系统管理员）应安排专业技能培训。8. 4信息安全沟通管理公司的利益相关方由三类群体构成，分别是客户、员工、供应商。针对不同的相关方群体，沟通方式分为内部和外部两类，并建立起不同的沟通机制和联系通讯录，以及时了解来自利益相关方的信息安全要求或将公司的信息安全要求传达给利益相关方。沟通对象沟通机制与形式沟通内容沟通频率沟通责任部门客户客户满意度调查改善服务，提升客户满意度客户对信息安全的要求信息安全相关情况及问题

28、沟通信息安全事件通报定期、发生时服务部员工信息安全意识培训信息安全目标和方针信息安全制度要求信息安全职责信息安全意识调查不定期信息安全小组供应商供应商评价项目合作邮件往来电话咨询供应商服务评价公司信息安全要求信息安全咨询建议信息安全事件响应和处理不定期商务采购部9. 5存档信息控制存档信息是指支撑和维持公司信息安全管理体系运行的相关信息，以确保存储信息能够符合信息安全管理目标，体现形式包括(但不限于)如下内容：1) GBT22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求所要求的管理手册；2) GBT22080-2016/ISO/IEC27001:20

29、13信息技术安全技术信息安全管理体系要求所要求的制度文件和作业指导书，即各项流程管理办法、管理办法、实施细则等；3) GBT22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求所要求的各项记录和日志；4)信息安全管理体系运行所需要的其他相关信息，包括但不限于文档、数据等。7.5.1文件架构信息安全管理体系文件包括四个层次：即信息安全管理手册、管理办法/制度类文件、管理办法/实施细则/操作指南类文件、记录/日志。如下图所示：各层级文件所关注的内容依次如下：一阶文件：关于信息安全管理体系的策略声明文件，即信息安全管理手册。二阶文件：关于GB/T22080-2

30、016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求各个控制域的标准指南文件，体现信息安全管理体系在各个方面的目标规范和基本要求。三阶文件：关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制和对具体业务工作的安全管理要求。四阶文件：关于信息安全体系运行的各类记录和报告，体现各项工作能够按照文件的具体要求有效开展。具体文件见信息安全管理体系文件矩阵表。7.5.2文件控制公司对信息安全管理体系的相关文件进行全面控制，以满足GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求标准，具体要求包括：1）确保文件编制

31、、评审、批准、发放、使用、修改、作废得到有效的控制；2）确保文件清晰可辨，版本标示清楚，易于识别和检索；3）确保在使用时可获得最新、有效版本的适用文件；4）确保外来文件得到识别，对文件的分发加以控制；5）对不同媒体和不同种类的文件，采取相应的控制；6）防止作废文件的非授权使用，保留作废文件时，需对这些文件进行明确的标识。公司对信息安全管理体系文件的控制、文件分发及保管等控制做出规定，明确体系文件的最新版本应从指定保管部门获得，相关控制要求参见文档管理规范。7 .5.3记录控制为提供符合信息安全管理体系要求的证据且体现体系的有效运行，保证管理过程的可追溯性，公司编制并实施了相关制度文件和流程管理

32、办法及实施细则，通过规定信息安全管理相关记录的标识、收集、归档、保管、借阅、销毁和检查等要求，确保相关记录能够保持完备、易于识别和检索。建立相应的信息记录控制清单并明确责任部门、保存期限及存档要求，相关控制要求参见记录控制制度。8 .运行8. 1体系策划与运行公司依据PDCA的持续改进模型建立信息安全管理体系。8.1.1 体系的策划1）确定体系的管理范围、方针和目标；2）依据GB/T22080-2016/ISo/IEC27001:2013要求和公司管理要求，进行差距和信息安全风险评估：3）设计符合公司业务特点的信息安全管理体系架构；4）建立安全管理规范，制定表单、计划、报告模板等；5）落实岗位

33、、角色和职责。8.1.2 体系的实施和运行1）为确保信息安全管理体系的正常运行，公司进行如下部署以确保体系的执行力； 实施信息安全意识培训； 严格按照管理体系要求，保留运行记录，确保工作过程可追溯、工作结果可考核。9.绩效评价9.1 能力评价员工所在部门领导通过日常工作情况，根据岗位工作成绩量化指标，对员工的岗位目标进行量化考核，同时对重要岗位人员的信息安全能力进行评估。如发现信息安全能力不足,相关部门负责人应及时向人力资源管理部提出。人力资源管理部应从以下方面保证员工信息安全能力满足要求。 招聘信息安全能力合格的新员工； 通过培训提高现有人员的信息安全能力； 购买信息安全服务，弥补信息安全不

34、足可能造成的风险。9.2有效性测量定期依据有效性测量的项目和目标值对信息安全体系运作的有效性进行测量,对测量的结果进行分析和评价，并编制相关报告。信息安全管理体系控制措施有效性测量是实现信息安全管理体系目标的重要保障机制，应按照循序渐进、持续改进的原则，紧密结合信息安全方针，实现控制措施的可监督和可测量，逐步完善测量项目和目标值。参见有效性测量控制制度。9.2.1实施流程1 .设计测量指标信息安全工作组依据信息安全管理策略设计衡量控制措施有效性的测量指标。测量指标应集中在对公司相对重要的信息安全重点管控领域，包括但不限于：人员信息安全管理、资产管理、物理和环境管理、通讯与操作管理、访问控制、信

35、息安全事件管理等信息安全管理领域。信息安全工作组应依据测量指标制定相应的测量方法、测量周期及目标值。信息安全工作组应将测量指标、测量方法、目标值、测量周期等信息，提交信息安全管理领导小组审核，经审核后形成有效性测量统计表。2 .实施测量信息安全工作组应在管理评审会议召开前，依据有效性测量统计表要求的测量周期，组织各小组开展有效性测量活动。各小组信息安全员应依据有效性测量统计表定义的数据来源收集、统计信息安全管理体系运行数据，并提交信息安全工作组。信息安全工作组对运行数据进行统计分析，将测量指标的实际值记录于有效性测量统计表，并将实际值与目标值进行对比，若存在测量指标未达标项，将其提交信息安全管

36、理领导小组确认。信息安全工作组应组织协调测量指标未达标的责任小组依据纠正和预防控制制度进行改善。信息安全管理体系有效性测量活动应在内审及管理评审前开展，以保证通过内审活动能有效地检验测量指标的正确性，并将有效性测量的结果作为管理评审活动的输入项。3 .持续改进测量根据“循序渐进、持续改进”的原则，信息安全工作组负责对有效性测量指标不断进行完善。信息安全管理领导小组应对测量指标定期组织评估，结合实际环境的变化对现有的测量指标进行修订或完善。评估周期应不超过内审活动的周期（每年至少一次），因此测量指标修订和完善的周期不能超过一年。9.3内部审核通过定期组织内审活动，检查信息安全管理活动及其结果是否

37、符合有关标准或文件制度要求，对信息安全管理体系运行情况进行的全面的、系统的检查和评价活动，包括检查信息安全策略、标准、规定及其他相关规章制度是否得到正确实施，信息系统是否符合技术服务和安全实施标准，安全控制措施是否得当，为体系的持续改进提供依据，确保管理体系持续有效地运行。9.4管理评审通过定期的管理评审工作，为信息安全管理体系的适宜性、充分性和有效性的评审提供指导意见，使公司信息安全管理体系满足信息安全管理策略要求，且持续完善并有效运行,实现公司信息安全管理目标。9.4.1监控和评审建立对日常工作的监控检查和对信息安全管理体系的全面、系统化的监控和评审机制。通过内审、管理评审等方式获悉信息安

38、全管理体系的运行情况。具体包括：1）日常工作的监督检查：通过设立日常检查机制，确保员工按照规定的要求和规范进行作业和操作，降低操作风险，提高工作效率；2）安全管理制度的落实推进，跟踪信息安全工作的开展力度，监控信息安全事件的发生情况；3）流程监控和汇报：流程经理按照各管理流程要求，跟踪监督流程执行，定期编制流程管理报告，反馈流程运行情况，分析运行的效果和效率；4）管理体系的内部审核：通过组织体系的内部审核，评价信息安全管理的执行力、有效性，识别差距和不足。具体参见内部审核控制制度：5）管理体系的评审：每年定期对信息安全管理体系进行评审回顾，以评价体系的适应性、充分性和有效性，从而明确下一阶段或

39、下一年度的改进方向和重点，记录会议纪要。具体参见管理评审控制制度。10 .改进针对信息安全管理体系在监控和评审过程中发现的问题,通过不符合和纠正措施两种方式对体系进行改进。组织应保留文件化信息作为以下方面的证据：包括不符合的性质及所采取的后续措施以及纠正措施的结果。1）不符合通过定期的安全总结、分析发现与当前信息安全管理文档要求存在不相符合的地方,进行相应的体系制度要求的落地；对已明确的安全管理和技术在实施过程中存在相应的执行偏差，在这样的情况下，进行相应的不符合处置措施。使之实现既定的安全目标。2）纠正措施和持续改进各流程或安全工作组分析自身存在的问题原因，制定切实可行的改进计划并贯彻实施。

40、检查和验证改进计划的有效性。具体的做法参考内部审核控制制度管理评审控制制度及纠正和预防措施控制制度。11 .信息安全总体控制A.5信息安全策略1 .通过建立信息安全管理组织，启动和控制公司信息安全工作的实施，批准信息安全方针与策略，确定信息安全管理人员和职责分工，协调整个信息安全管理体系的有效运行。2 .公司还需要建立与服务客户、安全服务厂商、上级监管单位、外部安全咨询专家等外部组织的联系，以便跟踪行业趋势，学习各类先进的信息安全技术和管理手段。3 .公司将不可避免地需要与外界进行业务往来和信息沟通，经常需要向外部组织开放其信息资产和信息处理设施。因此，需要对由于外部组织访问而带来的安全风险进

41、行评估，并根据风险水平,在必要时与外部组织签订保密协议，向其声明公司的信息安全方针与策略，确定所需的安全控制措施。A.6信息安全组织1 .信息安全组织框架公司信息安全组织框架包括管理决策、监督检查、贯彻执行三层架构。其中，公司的管理决策职能由信息安全管理领导小组和管理者代表承担，领导公司信息安全总体工作,领导小组成员由公司总经理、管理者代表及部门负责人组成。监督检查职能由信息安全工作组承担，工作组由一名工作组组长及工作组成员构成，主要负责信息安全各项工作的日常监督和持续检查，信息安全工作组组长由公司安全负责人担任，其成员由各小组负责人、信息安全员及公司其他安全人员组成。贯彻执行职能由公司各小组

42、及小组员工承担，遵循信息安全管理要求，落实各项信息安全工作，配合监督和检查；同时，公司各小组设置专职的信息安全员（或兼职信息安全员），负责本小组信息安全工作的具体协调和落实（具体内容参见附件一：信息安全组织映射表及附件二：信息安全职责分配表）。2 .信息安全职责1）信息安全管理领导小组信息安全管理体系的决策机构，确定信息安全管理体系的建设方向，制订方针目标等。a）确立公司信息安全和风险管理的方针政策，并贯彻落实；b）组织制定公司信息安全和风险管理的总体规划；c）对信息安全事件提出处置策略；d）研究部署和讨论决定公司信息安全和风险管理工作的重大事项；e）授权相关部门对公司信息安全工作进行考核，审

43、批考核结果并做决策。f）每年在管理评审会上对信息安全方针进行评审。2）管理者代表由公司负责人授权全权负责信息安全管理体系的日常工作，包括批准并正式发布各项制度、规定，建立体系推进组织，任命相关角色等。a）提出信息安全目标，领导信息安全管理体系的建立、运行和维护;b）协调与信息安全管理体系有关的各项工作；c）确保在公司内提高员工的信息安全意识；d）督促信息安全管理体系内部审核和信息安全检查的开展；e）协助最高管理者进行信息安全管理体系的管理评审；f）向最高管理者报告信息安全管理体系的执行情况和改进要求。g）定期举行管理评审，保证信息安全管理体系的适宜性、充分性和有效性。3）信息安全工作小组负责信

44、息安全政策的贯彻、落实和监督检查，并协调各信息安全执行小组以及与外部组织间有关的信息安全工作。a）组织识别信息安全需求，向信息安全管理领导小组提出改进建议；b）维护信息安全管理体系，组织制订和修订信息安全管理制度；c）制定风险评估计划，组织进行风险评估，制定风险处理计划；d）根据信息安全方针和风险管理总体规划，组织制定信息安全和风险管理的规章、制度；e）监督和考核各小组信息安全管理工作的执行情况；f）向信息安全管理领导小组汇报信息安全工作的执行情况。g）组织、发起信息安全相关会议，安排会议议程，提供会议材料，部署和跟踪会议决议的执行情况；h）跟踪信息安全事件处理并报告；i）组织实施内部信息安全

45、检查和内部审核；j）组织对员工进行信息安全意识教育和基础培训，促使日常工作的安全有序开展，同时在项目实施过程中满足相关安全规范要求；k）对各小组的信息安全工作进行监督、指导；I）与政府相关部门、外部信息安全组织、机构联系和沟通。4）全体员工根据相关信息安全要求，配合相关人员工作开展，理解并遵守本规定定义的内容。a）遵守信息安全规章制度，遵循操作规范和流程；b）履行岗位信息安全职责，执行信息安全工作任务；c）作为信息资产使用者，妥善使用并保护工作所涉及的信息资产；d）及时上报信息安全事件或隐患；e）参与信息安全教育和培训。A.7人力资源安全1 .制定并实施对员工的任用前，任用中、任用后各阶段的规

46、定，确保员工行为符合要求并能够忠于职守；制定并实施对外部人员合作前、合作中和合作结束后各阶段的规定，确保外部人员在公司工作期间履行其信息安全义务。2 .对公司员工和第三方人员进行充分的信息安全意识培训I,明确员工在工作中的信息安全职责，使其掌握所处岗位的信息安全技能；明确第三方在公司工作时所应遵循的信息安全要求和所应履行的信息安全责任和义务。具体管理策略请参见人力资源管理制度第三方服务管理规定。A.8资产管理1 .对信息资产进行识别和管理；根据不同类型信息资产的特征，制定并实施正确使用信息资产的操作规程。2 .基于信息资产价值和等级划分制定不同的安全规范与策略,根据不同信息资产所需的保护要求，进行相应程度的保护。具体管理策略请参见信息资产分类分级管理制度。A.9访问控制1 .加强对公司资产的访问控制管理，规范用户管理、密码管理、系统配置等要求，并提出访问控制管理的各项基本要求。2 .通过实施用户管理，确保相关人员获取适合其工作职责的访问权限，形成用户访问权限的清单并定期审核，用户离岗或离职时及时进行权限的调整和清除。具体管理策略