信息安全管理手册+程序文件全套（27001 2022版）.docx

《信息安全管理手册+程序文件全套（27001 2022版）.docx》由会员分享，可在线阅读，更多相关《信息安全管理手册+程序文件全套（27001 2022版）.docx（162页珍藏版）》请在课桌文档上搜索。

1、编号：ISMS-MOI-2023版本号：V1.0受控状态：受控密级：内部公开【组织名称】信息安全管理手册+程序文件全套(依据ISO/IECFDIS27001:2022)信息安全程序文件汇编目录ISMS-POl文件控制程序741、文档介绍741.1 编写目的741.2 适用范围742、术语、定义和缩略语742.1管理体系文件742.2管理手册742.3程序文件742.4作业指导文件742. 5文件的变更753、职责752.1 文件编写人员的职责752.2 文件审核批准人员的职责753. 3文件修改人的职责754、体系文件阶层及编码764. 1文件阶层765. 2文件及记录编码765、文件要求76

2、5.1文件要素765. 2.1文件编写775. 2.2文件审批775. 2.3文件的监督、核查775. 2.4文件保存与发放775. 2.5文件版本控制和修订785. 2.6文件对外提供785. 2.7文件的作废处置786. 2.8外来文件的管理786、相关表单78ISMS-P02记录控制程序791、文档介绍791.I编写目的791.2适用范围792、术语、定义和缩略语793、职责794、作业内容794.1记录的填写规定794.2记录的归档管理104.3记录的储存与维护104.4记录的报废管理104.5记录表格的修订104.5.1各部门的记录表格在使用前均须经过主管级以上批准。104.6记录表

3、格的标识104 .6.1参与ISMS体系的表格应进行编号，并注明版本。105 .7当有追溯要求时，各部门的记录应及时提供查阅。10ISMS-P03内部审核管理程序111、文档介绍111.l目的111.2.范围112、术语定义113、职责114、作业内容114.1审核频率114.2作业说明284.2.1内部审核的策划内审计划的制定124.2.2实施内部审核134.2.3执行纠正措施134.2.4验证结果134.3流程输入及输出144.3.1输入144.3.2输出145、内部审核相关表单14ISMS-P04管理评审管理程序151、文档介绍151. 1目的151.2. 范围152、职责153、内容1

4、53.1审核频率153.2管理评审程序163.2.2管理评审实施1）管理评审准备163.2.3管理评审后续问题处理编制管理评审报告173. 3流程输入及输出174. 3.1输入173.3.2输出184. 管理评审相关表单181SMS-P05监视和测量管理程序191目的192适用范围193术语和定义194职责194 .1管理运营部195 .1.2负责识别与公司有关的法律法规，并检验是否满足。194. 2管理者代表194. 3管理运营部195. 4采购保障部195工作程序206. 1法律符合性测量207. 1.1法律识别208. 1.2知识产权205.1.3 保护组织的记录215.1.4 数据保护

5、和个人信息的隐私215.1.5 安全管理信息处理设施215.1.6密码合法使用215.2.1安全策略、标准符合性215.2.2技术符合性测量225.3信息系统审计225.3.1信息系统审计控制措施225.3.2审计工具的保护225.4审计过程和产品225.4纠正和预防236记录23ISMS-P06纠正与预防措施管理程序241、文档介绍241. 1编写目的241.2 适用范围241.3 引用文件ISO/IEC27001:2022242、角色和职责243、内容243. 1持续改进的策划243.2纠正措施253. 3预防措施253 .4其他措施264 .5流程输入及输出264、相关表单26ISMS-

6、P07信息交流管理程序261、文档介绍262、术语和定义263、引用文件265、内部沟通276、外部沟通287、信息交流控制措施298、物理介质的运送309、相关记录301SMS-P08人力资源管理程序311、目的312、范围313、引用文件31IS0IEC27001:2022314、职责314. 1人力资源部314.2其他部门324.3总经理325、任用前325.1 安全角色与职责321周内完成。325.2 人员选拔325.3 任用条款和条件336、任用中336.1体系教育与培训336.2培训计划的制定与审批336.2.3教育培训计划经总经理批准后实施。346.3 培训的目的346.4 培训

7、的对象及内容346.5 .1培训：由公司内、外部有专长的人员就某一专题进行讲授356.6培训记录356. 7纪律处理357、任用终止或变更357. 1终止职责357.2 资产归还357.3 撤销访问权357.4 4后期管理368、记录36ISMS-P09信息安全风险评估管理程序371、目的372、范围373、参考文件374、定义374.1资产asset374.2资产价值valueofasset374.3威胁threat374.4脆弱性vulnerability374.5事件event384.6风险risk384.7残余风险residualrisk384.8安全需求securityneed384

8、.9措施countermeasure384.10风险评估riskassessment384.11风险处理risktreatment385、职责Responsibi1ity386、风险评估的实施频率及评审407、程序407.1资产识别407.2资产赋值407.2.2.1机密性赋值(x)407.2.2.2完整性赋值(y)417.2.2.3可用性赋值(Z)427.2.2.4资产重要性等级（八）437.3威胁识别447.3.1威胁分类447.3.2威胁赋值(T)477.4脆弱性识别487.4.1脆弱性识别内容487.4.2脆弱性赋值(V)497.5己有安全措施的确认507.6风险分析507.6.3风险

9、计算(R)517.6.4风险结果判定517.7风险处置517.7.1风险处置计划517.7.2风险处置的可选措施527.7.3风险处理工作的优先级排序527.8残余风险评估527.9实施和运行ISMS的批准52ISMS-PlO信息资产密级管理程序541、范围542、规范性引用文件543、术语和定义544、职责和权限544. 1管理运营部544.2各部门545、活动描述545. 1密级的分类546、涉密、受控文件、资料的标识、制发的管理556. 1管理职责556.2企业秘密的指令556.3 秘密、受控文件的表示方法556.4 接收部门和使用目的、范围的指定566.5秘密文件的发放管理566.6企

10、业秘密的使用567、企业秘密、受控指令的解除或变更577.1 解除或变更的条件577.2 解除或变更的方法578、回收/废弃589、事故的处理5810、教育5911、离/退职后的保密义务5912、其它59ISMS-Pll访问控制管理程序603、职责604、程序604.2用户访问管理604.2.1权限申请61a）权限申请人员；b）访问权限的级别和范围；c）申请理由；d）有效期614.2.2权限变更614.2.3用户访问权的维护和评审614.2.4连接的控制624.2,5会话与联机时间的控制624.2.6网上信息公布管理624.2.7系统实用工具的使用624.3用户口令管理624.3.1分配给用户

11、一个安全临时口令，并通过安全渠道传递给用户，并要求624.3.2口令的选择与使用要求634.4特殊权限管理634.5访问记录控制634.6远程工作策略634.7远程工作授权程序604.7.3当不再需要远程工作时，应及时取消该用户的访问权。604.8密码设置604.8.1密码设置原则：604.8.2密码存储614.8.3密钥分配614.8.4密码使用614.8.5密码变更、废除、销毁及恢复61ISMS-P12密码管理程序631、目的632、适用范围633、定义633.1 密码：本程序中的密码指用户的认证信息，或叫口令；634、职责634.1系统管理员634.1 .2负责加密狗的使用和管理：634

12、.2 用户634.2.1负责按本程序的要求使用、保护、定期更换自己的密码；635、流程图无636、管制重点636.1密码管理策略636.1.4登录成功时，尽可能显示上一次登录的日期和时间；646.1.6密码不能和用户名或登录名相同；646.2密码的分配与传递要求646.3密码的储存646.3.1一般不对密码进行可记录形式的储存；646.3.3可行时，系统管理员在定期更换密码后保存历史加密密码，以防止密码的重656. 4密码的使用656.5密码变更、销毁657、相关文件无658、相关记录65ISMS-P13物理与环境安全管理程序663、职责664、程序664.1外来人员分类661）本公司职工上下

13、班必须认真准时打卡，不得有代打卡行为发生。671）出口玻璃门锁早晨打开，晚上下班后上锁。687）管理运营部负责对员工进行安全培训，提高安全意识。694. 5访客管理695）重要被邀访客的登记，可由公司邀请部门直接填写。694.6 设备安全694.7 消防管理691）与物业签订合同时，要记入相关消防安全项目，明确双方责任。693）安全通道禁止摆放任何物品，并设置安全疏散标志。695、安全培训706、在安全区域工作的安全要求707记录70ISMS-P14运行安全管理程序711、目的712、范围713、数据保存管理713.1 数据导入和修改713.2 数据提取和发放713.3 应对数据传输进行控制7

14、23.3.6通信线路传输数据的保密策略724.1关键数据的认定与存档734.2关键数据介质的保存734.2.1备份频率：734.2.2备份数据保留时间：734.2.3备份存储和备份介质管理：734.2.4备份恢复测试：744.2.5备份介质销毁：7443备份操作管理744.3.1对服务器要做好相应的备份。745、备份介质存放和管理756、备份恢复757、相关记录76ISMS-P15通讯安全管理程序771、适用与目的772、信息处理设施的分类773、职责774、信息处理设施的引进和安装784. 1引进依赖784.2进行技术选型784.3编写购入规格书784.4定货784.5开箱检查，安装、调试，

15、验收785信息处理设施的日常维护管理795. 3计算机调配与报废管理805. 3.3调配805. 4报废处理805.5 笔记本电脑安全管理805.6 计算机安全使用的要求805.6.2使用计算机时应遵循信息安全策略要求执行。805.6.6不得使用计算机设备处理正常工作以外的事务。815.6.9严禁乱拉接电源，以防造成短路或失火。815.7 网络安全使用的要求815.8 支持性设施与布览安全81a）信息处理设施的电源和通信线路不得采用明线布置，应在地下、墙内或采825.9 无人值守的用户设备保护826、信息处理设施的日常点检826.1 计算机的日常点检826.2 网络设备的管理与维护826.3点

16、检策略826.3.2审核日志应该包括:事件（成功或失败）发生的时间；事件的有关信息826.3.5日志的配置最低要求836.4维修服务的外包安全控制846.4.3不接受厂商通过远程诊断端口进行远程维护访问授权。846.5资料的保存846.6网络扫描工具的安全使用管理846.7信息处理设备可用性管理847、其它要求841.文档介绍851.1编写目的851.2适用范围852 .术语、定义和缩略语853 .变更管理流程863.1 流程解释863.2业务价值863.3流程原则863.3.1变更类型903.3.2责任人原则903.3.3风险判定原则913.3.4审批原则913.3.5目标解决时间原则923

17、.3.6变更窗口原则923.3.7前导时间原则923.3.8回退原则923.3.9关闭原则923.4流程相关定义923.4.1变更信息项923.4.2变更状态代码923.4.3变更分类933.4.4变更关闭代码933.5角色及职责933.6流程输入及输出943.6.3输出943.6.4流程关闭条件95变更已经实施完成并经过评审和确认953.7流程描述953.7.1作业流程说明953.8流程衡量指标及报表963. 9相关文件961SMS-P17信息系统开发与维护管理程序971、适用972、目的973、职责974、程序973.1 应用软件设计开发的控制973.1.1 设计开发任务提出973.1.2

18、 设计开发的策划973.1.3 设计开发人员的要求983.1.4 设计开发方案的技术评审983.1.5 设计开发的环境要求993.1.6 软件的测试与试运行994. 1.7更改控制995. 1.8源程序库（程序源代码）管理及技术文档管理992. 2系统的维护管理1004. 2.2容量策划1005. 2.3变更策划1004.2.6软件包的变更1015、记录1011SMS-P18供应商管理程序1001、目的1002、适用范围1004、职责1005、程序1015. 1管理策略1016. 2控制指标1026、相关记录102ISMS-P19事件管理程序1031.适用1032 .目的1033 .职责103

19、4 .程序1034.1信息安全事件定义与分类1034.1.1信息安全事件的定义：1034.1.2信息安全事件分类规范1034.1.3信息安全事件分级规范：1054.2故障与事故的报告渠道与处理1064.2.1故障、事故报告要求1064.2.2故障、事故的响应1064 .2.3事态、事件报告方式1065 .6风险处置流程1075 .相关/支持性文件1086 .记录108ISMS-P20业务连续性管理程序1091文档介绍1091.1编写目的1091.2适用范围1092术语、定义和缩略语1093连续性管理流程1093.1角色及职责1093.2连续性影响分析1103. 2.3业务持续性和影响分析报告应

20、包括以下内容：Ill3.3编制业务持续性管理实施计划Ill3.3.2部门业务持续性管理计划的编写分工为：Ill3. 3.3业务持续性管理计划应包括以下方面的内容：Ill3.5 业务持续性管理计划的实施要求Ill3.6 业务持续性计划的测试与评审1104相关文件110ISMS-P21符合性管理程序Ill1、目的Ill2、适用范围Ill3、术语和定义Ill4、职责Ill5、工作程序Ill5.1.1法律识别Ill5.1.2知识产权1125.1.3 保护组织的记录1125.1.4 数据保护和个人信息的隐私1135.1.5安全管理信息处理设施1135.1.6密码合法使用1135.2策略、标准和技术的符合

21、性测量1135.2.1安全策略、标准符合性1135.2.2技术符合性测量1145.3信息系统审计1145.3.1信息系统审计控制措施1145.3.2审计工具的保护1145.4纠正和预防1146记录114ISMS-P22第三方信息安全管理程序1151目的1152范围1153职责1153. 1管理运营部1153.2各相关部门1154程序1154. 1管理对象1154.1.1我公司的相关方包括以下团体或个人：1154.2相关方的信息安全管理1154.3.4外来人员的逻辑访问按访问控制管理程序进行。1164.4第三方服务的管理1164.4.1第三方服务能力的评定1165.记录1171SMS-P23相关

22、方信息安全管理程序1181目的1182范围1183职责1183. 1管理运营部1183.2各相关部门1184程序1184. 1管理对象1184.2 相关方信息安全管理1184.3 对外来人员的管理1194.4 对承包商和供应商的管理1194.5 对相关方的监督管理1195相关文件1206记录120编号：ISMS-MOI-2023版本号：V1.0受控状态：受控密级：内部公开【组织名称】信息安全管理手册(依据ISO/IECFDIS27001:2022)文档信息文档编号：ISMSWOl-2023文档分类：内部公开-受控编写：审核：批准：初次发布日期：生效日期：修订日期：版本记录版本号版本日期修改审批

23、人修改履历V1.0/创建文档0.1信息安全管理手册发布令260.2管理者代表委任书271、范围282、规范性引用文件283、定义和术语283 .1信息安全定义284 .2术语293. 3缩写294、组织环境293.1 理解组织及其环境293.2 理解相关方的需求和期望294. 3确定信息安全管理体系范围304.4信息安全管理体系305、领导305. 1领导和承诺305.1 方针315.2 组织的角色，责任和权限316、规划326. 1应对风险和机会的措施326.2信息安全目标和实现规划336.3变更管理347、支持347.1 资源347.2 能力347.4 沟通357.5 文件化信息358、运

24、行368.1 运行规划和控制368.2 信息安全风险评估378.3 信息安全风险处置379、绩效评价379.1 监视、测量、分析和评价379.2 内部审核389.3 管理评审399.3.1 总则3910、改进4010.1 不符合和纠正措施4010.2 持续改进40附件1组织结构图41附录2职能分配表42附件3部门职责49附件4信息安全职责说明书50O.1信息安全管理手册发布令公司依据ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求（以下简称信息安全管理体系）标准的要求，结合公司的实际情况，在公司内部建立信息安全管理体系，组织编写了信息安全管理手册，经审

25、定符合国家、地方及行业的有关法律法规和本公司的实际情况，现予以发布。信息安全管理手册是公司日常信息流转管理活动必须遵循的纲领性文件，本公司将按信息安全管理手册的规定要求组织本公司进行各项业务活动。全体员工必须认真学习，准确理解其内容，并严格遵照执行。自本手册发布令签批之日起，本公司信息安全管理体系进入实施运行阶段。【组织名称】总经理:2022年12月Ol日O.2管理者代表委任书为贯彻执行SOIECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求。加强对公司体系运作的领导，特委任任公司信息安全管理体系的管理者代表。管理者代表的职责是：(1)确保按照标准的要求，进行资产

26、识别和风险评估，全面建立、实施、运行、监视、评审、保持和改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性：(2)就信息安全管理体系有关事宜进行内外部联络，组织、指挥、监督、协调各部门体系的运作：(3)确保在整个组织内提高信息安全风险的意识；(4)审核风险评估报告、风险处理计划，并监督其执行情况，并向总经理汇报残余风险：(5)收集整理各部门的管理评审输入材料，进行汇总，并在管理评审会议上向总经理报告；(6)向总经理报告信息安全管理体系的现状和任何改进的需求，包括信息安全管理体系运行情况、内外审核情况。本授权书自发布之日起生效执行。【组织名称】总经理：2022年12月Ol日1、范围公

27、司依据信息安全管理体系标准的要求编制信息安全管理手册，并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标，引用了信息安全管理体系的内容，对标准中的第4章到第10章的内容，不做任何删减。a）注册地址：。b）运营地址：。c）体系范围：。d）组织范围：公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。e）资产范围：与D所述业务活动2）组织范围内及3）物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。2、规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版

28、本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。信息安全、网络安全和隐私保护信息安全管理体系要求一概述和词汇。3、定义和术语本手册旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏，以求保证信息的保密性、完整性、可用性和可追责性，使信息保隙能正确实施、信息系统能按策划运行、信息服务能满足法律法规与顾客要求。3.1 信息安全定义信息安全保密防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全保密漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是充

29、分保护本组织信息资产并给予相关方信心。3.2 术语本手册中使用术语的定义采用ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求中有关术语的定义。3.3 缩写1. ISMS：Informationsecurity,cybersecurityandprivacyprotectionInformationsecuritymanagementsystems一Requirements信息安全、网络安全和隐私保护信息安全管理体系要求；2. SOA:StatementofApplicability适用性声明；3. PDCA:PlanDoCheckAction计划、实施

30、、检查、改进；4、组织环境4.1 理解组织及其环境管理层确定与公司意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。4.2 理解相关方的需求和期望管理运营部应确定信息安全管理体系要求的相关方及其信息安全要求，相关的信息安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要的管理。相关方的要求可包括法律法规要求和合同义务。本公司所属相关方及其要求和期望如下表：相关方识别原因信息安全要求和期望更新频率识别方法政府职能单位严格执行国家法律法规落实国家法律法规要求依据法律法规发布周期关注政府网站第三方认证服务机构符合体系标准和服务资质要求方

31、可通过认证法律法规及相关资质的信息安全要求认证标准发布周期与认证机构联系客户业务往来/合同关系服务和合同中要求和约定的信息安全内容合同要求更新周期合同供方合同关系合同中要求和约定的信息安全内容合同要求更新周期合同管理层决策公司的信息安全管理工作公司信息安全策略公司重要的商业信息/敏感信息的保密性不定期定期不定期汇报、管理评审公司员工公司信息安全工作执行层各职能部门实际工作中的信息安全要求个人信息及隐私安全不定期公司会议4.3 确定信息安全管理体系范围本公司ISMS的范围包括a)物理范围：注册地址：。运营地址：。b)业务范围：。C)组织范围：公司管理层、管理运营部、人力资源部、采购部、财务部、安

32、全质量部、信息化中心。d)资产范围：与所述业务活动、组织范围内及物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。4.4 信息安全管理体系本公司按照信息安全管理体系标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA模式。5、领导5.1 领导和承诺总经理应通过以下方式证明信息安全管理体系要求的领导力和承诺：a) 确保信息安全策略和信息安全目标已建立，并与公司战略方向一致；b) 确保将信息安全管理体系要求要求融合到日常管理过程中；c) 确保信息安全管理体系要求所需资源可用；d) 向

33、公司内部传达有效的信息安全管理及符合信息安全管理体系要求要求的重要性；e) 确保信息安全管理体系要求达到预期结果；D指导并支持相关人员为信息安全管理体系要求有效性做出贡献；g) 促进持续改进；h) 支持管理运营部及各部门的负责人，在其职责范围内展现领导力。5.2 方针公司管理层应建立信息安全方针：a) 适合组织的宗旨；b) 包括信息安全目标(见6.2),或为建立信息安全目标提供框架；c) 包括满足有关信息安全适当要求的承诺；d) 包括ISMS持续改进的承诺。公司的信息安全管理方针：预防为主，完善管理，持续改进，保证安全。对于信息安全方针的解释：将管理与技术相结合，建立完整的信息安全管理体系要求

34、。安全管理的基本原理，防患于未然，预防大于亡羊补牢；采用适宜的、充分的、有效的控制措施来纠正和预防信息安全事态。控制风险是前提,风险自身是动态的过程。木公司在运行过程中需要审时度势、量体裁衣、因地制应，逐步的修订现有制度，不停的完善自身管理水平。上述方针的批准、发布及修订由公司总经理负责；信息安全方针是以文档化的身份可用的，通过培、宣贯等方式使得本公司员工知晓并执行相关内容；通过有效途径告知服务相关方及客户，以提高安全保密意识及服务水平；并定期通过管理评审控制程序评审其适用性、充分性，必要时予以修订。5.3 组织的角色，责任和权限公司管理层决定全公司的组织机构和各部门的职责(包括信息安全职责)

35、，并形成文件，具体内容见附录3/4o各部门的信息安全管理职责决定本部门组织形式和业务分担，并形成文件，具体内容见附录B职能分配表。总经理为本公司信息安全的最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门应按照信息安全适用性声明中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。6、规划6.1 应对风险和机会的措施6.1.1 总贝4公司针对公司内部和公司外部的实际情况，和相关方的要求，确定公司所需应对的信息安全方面的风险。在已确定的TSMS范围内，针对业务全过程所涉及的所有信息资产进行

36、列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。管理运营部制定信息安全风险评估管理程序，经管理运营部组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见信息安全风险评估管理程序。6.1.2 信息安全风险评估6.1.2.1 风险评估的系统方法管理运营部制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于信息安全风险评估管理程序。6.1.2.2 资产识别在已确定的ISM

37、S范围内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。6.1.23评估风险a) 针对每一项信息资产、记录、信息资产所处的环境等因素，识别出所有信息资产所面临的威胁：b) 针对每一项威胁，识别出被该威胁可能利用的薄弱点；c) 针对每一项薄弱点，列出现有的控制措施，并对控制措施有效性赋值；同时考虑威胁利用脆弱性的容易程度，并对容易度赋值；d) 判断一个威胁发生后可能对信息资产在保密性(C)、完整性和可用性（八）方面的损害，进而对公司业务造成的影响，计算信息资产的安全事

38、件的可能性和损失程度。e) 考虑安全事件的可能性和损失程度两者的结合，计算信息资产的风险值。0根据信息安全风险评估管理程序的要求确定资产的风险等级。g) 对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风险为不可接受风险，该准则在信息安全风险评估管理程序有详细规定，并在h) 风险评估报告中进行系统汇报并针对结果处理意见获得总经理批准。i) 获得总经理对建议的残余风险的批准，残余风险应该在残余风险评价报告上留下记录，并记录残余风险处置批示报告。j) 获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运

39、作ISMS的授权证据。6.1.3信息安全风险处置6.1.3.1 风险处理方法的识别与评价管理运营部应组织有关部门根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任部门、方法及时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a) 采用适当的内部控制措施；b) 接受某些风险(不可能将所有风险降低为零)；C)回避某些风险(如物理隔离)：d)转移某些风险(如将风险转移给保险者、供方、分包商)。6.1.3.2选择控制目标与控制措施管理运营部根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标。信息安全目标应获得总经理的批准。控制目标及控制措

40、施的选择原则来源于附录Ao本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。6.1.33适用性声明SOA管理运营部编制信息安全适用性声明(SOA)o该声明包括以下方面的内容：a) 所选择控制目标与控制措施的概要描述；b) 对ISO/IECFDIS27001:2022附录A中未选用的控制目标及控制措施理由的说明。6.1.3.4残余风险对风险处理后的残余风险应形成残余风险评估报告并得到总经理的批准。管理运营部应保留信息安全风险处置过程的文件化信息。6.2信息安全目标和实现规划根据公司的信息安全方针，经过总经理确认。公司的信息安全管理目标为：a)受控信息泄露的事态发生Wl起；b)顾客保密

41、性投诉的次数每年不超过1起；c)信息安全培训率299乐d)信息安全事件导致的故障/事态未能在规定时间内恢复的次数0起/年管理运营部根据适用性声明、信息资产风险评估表中风险处理计划所选择的控制措施，明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照信息安全目标及有效性测量程序的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。6. 3变更管理当公司确定需要对信息安全管理体系进行变更时，应以策划的方式进行。7、支持6.1 资源总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需

42、的资源。6.2 能力人力资源部应：a) 确定公司全体员工影响公司信息安全绩效的必要能力；b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；c) 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d) 保留适当的文件化信息作为能力的证据。注：适用的措施可包括，对新入职员工进行的信息安全意识教育：定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。6.3 意识公司全体员工应了解:a) 公司的信息安全方针；b) 个人其对公司信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处;c) 不符合信息安全管理体系要求要求带来的影响。6.4 沟通管理运营部负责确定与信息安全管理体系要求相关的内部和外部的沟通需求，包括:沟通对象沟通机制与形式沟通内容沟通频率沟通责任部n信息安全注意事项政府职能单位文件通知下发落实国家法律法规要求按需管理运营部信息及时沟通客户客户满意度调查改善服务，提升客户满意度客户对信息安全的要求信息安全相关情况及问题沟通信息安全事件上报期fe定发时管理运营部安全质量部信息保密性员工公司例会/信息安全意识培训信息安全目标和方针信息安全制度