ISO27001：2013信息安全管理手册和程序文件.docx

《ISO27001：2013信息安全管理手册和程序文件.docx》由会员分享，可在线阅读，更多相关《ISO27001：2013信息安全管理手册和程序文件.docx（95页珍藏版）》请在咨信网上搜索。

信息安全管理手册 GB/T22080-2016/ISO/IEC27001:2013 编写委员会 信息安全管理手册 GLSC2020 第A/0版 编写： 审核： 批准： 受控状态： XXX网络科技有限公司 发布时间：2020年9月1日 实施时间：2020年9月1日 序号 名称 页码 01 目录 1 02 修订页 3 03 颁布令 4 04 任命书 5 05 方针、目标 6 06 企业简介 8 07 管理手册 9 第一章 范围 11 第二章 规范性引用文件 12 第三章 术语和定义 13 第四章 组织环境 16 4.1 理解组织及其环境 16 4.2 理解相关方的需求和期望 16 4.3 确定信息安全管理体系范围 17 4.4 信息安全管理体系 17 第五章 领导 18 5.1 领导和承诺 18 5.2 方针 18 5.3 组织的角色、职责和权限 19 第六章 规划 22 6.1 应对风险和机会的措施 22 6.1.1 总则 22 6.1.2 信息安全风险评估 22 6.1.3 信息安全风险处置 22 6.2 信息安全目的及其实现规划 23 第七章 支持 25 7.1 资源 25 7.2 能力 27 7.3 意识 27 7.4 沟通 27 7.5 文件化信息 28 7.5.1 总则 28 7.5.2 创建和更新 28 7.5.3 文件化信息的控制 28 第八章 运行 30 8.1 运行规划和控制 30 8.2 信息安全风险评估 30 8.3 信息安全风险处置 30 第九章 绩效评价 31 9.1 监视、测量、分析和评价 31 序号 名称 页码 9.2 内部审核 32 9.3 管理评审 32 第十章 改进 35 10.1 不符合及纠正措施 35 10.2 持续改进 35 F 附录 36 附录一 证照 36 附录二 组织机构图 37 附录三 职能分配要素表 38 附录四 程序文件目录 39 序号 对应章、节、条号 修订内容 修改人及时间 批准人及 批准时间 03颁布令 为提高我公司的信息安全管理水平，保障公司和客户信息安全，依据GB/T22080-2016/IS0/IEC27001:2013^信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。 《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求,引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。 《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。 《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。 本公司全体员工务必认真学习，并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。授权综合部为本《管理手册》A/0版的管理部门。 XXX网络科技有限公司 总经理： 2020年9月1日 04任命书 为了贯彻执行GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命XX为本公司的信息安全管理者代表。 除履行原有职责外，还具有以下的职责和权限如下： （1） 确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。 （2） 向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进； （3） 负责与信息安全管理体系有关的协调和联络工作； （4） 负责确保管理手册的宣传贯彻工作； （5） 负责管理体系运行及持续改进活动的日常督导； （6） 负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识； （7） 主持公司内部审核活动，任命内部审核人员； （8） 代表公司就公司管理体系有关事宜与外部进行联络。 本授权书自任命日起生效执行。 总经理： 2020年9月1日 05方针、目标 为提高本公司的信息安全管理水平，保障公司和客户信息安全，本公司建立了信息安全管理制度，制定了信息安全方针和信息安全目标。 1公司信息安全方针 满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。 满足客户需求：始终坚持以客户为关注焦点，遵循着公司“竭尽全力提供物超所值的产品和服务，让客户满意”的发展使命，满足客户的需求。 强化风险管理：秉承“预防为主，防治结合”的理念，优化信息安全策略和信息安全管理流程，对运行的信息系统和重要信息资产进行全方位风险预防管控，保护信息系统和重要信息免受各种威胁的损害，使信息安全风险最小化，以确保信息系统业务的连续性。 保证信息安全：坚持“安全第一、预防为主"的安全管理方针，定期开展信息安全风险评估，完善信息安全管理制度和管理信息系统灾害的应急预案，及时处理不可接受风险，杜绝可能出现的信息安全事故。 遵守法律法规：严格遵守法律法规，自觉增强社会责任感，保障客户和公司的信息安全。 实现持续改进：发挥全体员工的潜能，把质量预防机制构筑在每一个业务环节中，进行全面的质量管理，并持续改进。 2公司信息安全目标 a） 不可接受风险处理率=100% b） 机密信息泄密事件=0次 c） 重大突发事件=0次 d） 客户满意度≥90% 3部门信息安全目标 3.1信息安全管理委员会： a）不可接受风险处理率=100% 3. 2综合部： a）审核实施及时率≥90% b） 员工入职培训完成率=100% c） 员工保密协议签订率=100% d） 计划培训实施率≥95% e） 文件有效率=100% f） 文件按时发放率=100% 3.3技术部 a） 机密信息泄密事件=0次 b） 大面积感染病毒次数=0次 c） 成功防范黑客攻击率=100% d） 重要信息备份技术率=100% e） 计算机故障处理完成率=100% f） 产品及时完成率=100% 3.4业务部 a） 客户满意度≥90% b） 产品退回=0 c） 投诉=0 总经理：XX 2020年9月1日 06公司简介 XXX有限公司位于XX省XX市XXX街道XX号，成立于2019年1月，是一家专注于软件开发、企业信息化建设、网站建设、广告设计的专业型新型电子商务公司。公司主营业务有：网站建设（包含手机端网站、PC端官网订制、公共平台搭建等），订制软件（包含手机软件和电脑软件）、搭建企业信息化平台、广告设计。 作为一家专业服务于企业信息化建设的公司，公司拥有一只经验丰富的行业精英组成的的团队，公司自成立一年以来，已经为多家企业完成了网站建设和推广，设计完成了XXXXX,赢得了众多客户的一致好评。 通信信息 公司名称: 公司地址: 联系人: 电话: 传真: 电子信箱: 07管理手册 1概述 本《管理手册》依据GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》以及公司实际情况编制的，是本公司从事信息安全管理有关的活动的纲领性文件，为保持其持续适应性和有效性，明确管理者和持有者的责任，对管理手册的编写、修订、发放等实行统一管理。 2依据 2. 1GB/T22080-2016/IS0/IEC27001:2013^：信息技术安全技术信息安全管理体系要求》 3手册的编写和管理职责 3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。 3.2由总经理批准颁布实施。 3. 3资料管理员负责管理手册发放、回收、登记、保管和控制。 3. 4管理手册按“受控〃和“非受控〃两种版本管理。“受控"版本正本由资料管理员保管，非正本限于本公司内部使用；“非受控〃版本对外发放，在对外发放时必须经经理批准并加盖“非受控”标识后方可对外发放。 4手册持有者的责任 4.1管理手册是本公司信息安全管理体系运行的纲领性文件，本公司人员必须认真学习、了解信息安全管理管理工作等，熟悉各项规定并严格遵照执行。 4.2管理手册是公司的受控文件，限公司内部使用，应妥善保管，不得遗失、擅自更改、翻印和外借，如有丢失应向资料管理员作书面报告，经管理者代表批准后方可补发。 4. 3更改页下发后，按更改内容要求贯彻执行。 4.4持有者调离本公司，必须交回手册，办理回收手续后方可离开。 5管理手册的宣传与贯彻 5.1管理手册是本公司活动管理的指导性文件，是开展管理活动的依据和规范，全体人员必须认真学习和掌握管理手册的规定和要求。 5.2管理者代表制定宣传与贯彻计划并组织全体人员学习，使全体人员了解信息安全管理工作，对管理手册中条款作必要的说明和解释，以便在信息安全管理活动中得以正确贯彻和执行。 5. 3新调入本公司工作人员，岗前培训内容包含管理手册的学习。 6手册的修订 6. 1在管理体系活动中，员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。 6.2管理者代表负责收集修改意见和建议，一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。 6. 3修订稿由管理者代表组织起草，报总经理审批。修订稿经总经理审核批准后印制，手册持有者更换修订后的管理手册，并对旧版手册进行回收。 7手册的改版 7.1当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化，现行管理体系与之不相适应，或上级主管部门要求改版时，管理手册予以改版。 7. 2改版工作由管理者代表负责，组织人员编写，新版本由总经理负责审核。新版本自总经理批准颁布实施之日起，旧版本同时废止并予以回收。 第一章范围 1.1本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。 1.2本手册适用于相关方审核本公司信息安全管理能力的依据之一。 1.3本手册是信息安全管理体系文件，满足公司内部管理体系需要。 1.4本公司不进行外包，本手册不适用于外包。 第二章规范性引用文件 下列文件对于本手册的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本手册。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本手册。 1) GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》 2) GB/T29246/IS0/IEC27000《信息技术安全技术信息安全管理体系概述和词汇》 第三章术语和定义 GB/T29246-2017/IS0/IEC27000：2016《信息技术安全技术息安全管理体系概述和词汇》界定的术语和定义适用于本手册。 3. 1审核 获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立的和文档化的过程。 注1：审核可以是内部审核（第一方）或外部审核（第二方或第三方），可以是结合审核（结合两个或两个以上学科）。 注2：“审核证据”和“审核准则”在ISO19011中被定义。 3.2审核范围 审核的程度和边界。 3. 3能力 应用知识和技能实现预期结果的才能。 3. 4保密性 信息对为授权的个人、实体或过程不可用或不泄露的特性。 3. 5符合性 对要求的满足。 3. 6后果 事态影响目标的结果。 3. 7持续改进 为提高性能的反复活动。 3. 8控制 改变风险的措施。 3. 9控制目标 描述控制的实施结果所达到目标的声明。 3. 10纠正 消除已查明的不符合的措施。 3.11整改措施 消除不符合的措施。 3.12文档化信息 组织需要控制和维护的信息及其载体。 注1：文档化信息可以采用任何格式，在任何载体中，出自任何来源。 注2：文档化信息可能涉及 管理体系，包括相关过程； 为组织运作所创建的信息（文档）； 结果实现的证据（记录）。 3. 13有效性 实现所计划活动和达成所计划结果的程度。 3.14信息安全 对信息的保密性、完整性和可用性的保持。 3.15信息安全持续性 确保信息安全持续作用的过程和规程。 3.16信息安全事态 识别到一种系统、服务或网络状态的发生，表明可能违法信息安全策略或控制失效，或者一种可能与信息安全相关但还不为人知的情况。 3.17信息安全事件 单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信息安全事态。 3.18信息安全事件管理 发现、报告、评估、响应、处理和总结信息安全事件的过程。 3.19信息系统 应用、服务、信息技术资产或其他信息处理组件。 3.20管理体系 组织中相互管理或相互作用的要素集，用来建立策略和目标以及达到这些目标的过程。 3. 21测量 确定一个值的过程。 3.22监视 确定系统、过程或活动状态的行为。 3. 23不符合 对要求的不满足。 3. 24过程 将输入转换成输出的相互关联或相关作用的活动集。 3. 25评审 针对实现所设立目标为主题，为确定其适宜性、充分性和有效性而采取的活动。 3. 26风险 对目标不确定性影响。 3.27利益相关方 对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到影响的人或组织。 3.28信息安全管理体系项目ISMS 组织为实施ISMS所开展的结构化项目。 3.29信息处理设施 任何的信息处理系统、服务或基础设施，或者其安置的物理位置。 第四章组织环境 4. 1理解组织及其环境 4. 1.1建立、保持和实施《组织环境和相关方控制程序》，公司通过收集信息、识别、分析和评价确认影响公司信息安全管理体系预期结果的能力相关的外部和内部因素，外部、内部因素分析结果为确定以下事项提供依据： a） 确定管理体系范围； b） 建立管理体系； c） 确定应对风险和机会的措施； d） 管理评审输入。 4.1.2评价公司外部因素可以包括，但不限于： a） 社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境，无论国际、国内、区域和当地； b） 影响公司目标的动力和趋势； c） 与外部利益相关方的关系，以及它们的感受和价值观。 4.1.3评价组织内部因素可以包括，但不限于： a） 管理方法、组织结构、作用和责任； b） 方针、目标，以及为实现它们所制定的战略； c） 以资源和知识来理解的能力； d） 信息系统、信息流和决策过程（正式或非正式）； e） 与内部利益相关方的关系，以及它们的感受和价值观； f） 组织的文化； g） 被组织采用的标准、指南和模型； h） 合同关系的形式和范围。 4.1.4在确定这些相关要素时，公司通过实施、策划应对风险的机遇和措施，通过适宜的方法对这些内部和外部因素的相关信息进行监视和评审，确保充分识别风险，消除风险，降低或减缓风险，充分利用可能的发展机遇，保证实现公司信息安全管理体系预期结果。 4. 2理解相关方的需求和期望 4. 2.1公司确定与信息安全管理体系有关的相关方及相关方的要求，此类相关方包括但不限于以下方面：客户、最终使用者、主管部门、其他，如：股东、员工等。 4. 2.2公司确定相关方，通过收集、询问、调查等方式了解相关方的要求（要求包含法律、法规和合同义务）。 4. 2.3公司定期对这些相关方及其要求的相关信息进行监视和评审。 4.2.4相关方及其需求和期望的分析结果为以下方面提供输入： a） 确定管理体系范围 b） 建立管理体系 c） 确定应对风险和机会的措施 d） 管理评审输入。 4. 2.5公司定期更新确定的结果，以便于理解和满足影响顾客要求和顾客满意度的需求和期望。 4. 2.6公司要识别应对当前的和预期的未来需求可导致改进和变革的机会。 4. 3确定信息安全管理体系范围 公司信息安全管理体系范围包含公司活动中所有内容，范围包括经营业务（软件开发、企业信息化建设、网站建设、广告设计等）、公司场所、影响公司信息安全管理的内部外部因素、相关方的要求。公司通过管理手册、程序文件、文件记录、规章制度来有效维护公司信息安全管理体系。 4.4信息安全管理体系 本公司按照GB/T22080-2016/IS0/IEC27001：2013«信息技术安全技术信息安全管理体系要求》的要求，建立、实现、维护和持续改进信息安全管理体系。 第五章领导 5. 1领导和承诺 最高管理层通过以下活动，证实对信息安全管理体系的领导和承诺： a） 建立了信息安全方针和信息安全目标，并与公司战略方向一致； b） 将信息安全管理体系要求整合到了组织过程中； c） 资源满足公司信息安全管理体系； d） 通过培训教育、宣传等方式传达信息安全管理体系要求的重要性； e） 确保信息安全管理体系达到预期结果； f） 指导并支持相关人员为信息安全管理体系的有效性做出贡献； g） 促进持续改进； h） 支持其他相关管理角色，以证实他们的领导按角色应用于其责任范围。 5.2方针 5.2. 1为提高本公司的信息安全管理水平，保障公司和客户信息安全，本公司建立了信息安全管理制度，制定了信息安全方针。 5.2.2信息安全方针：满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。（见本手册：05方针、目标） 5. 2.3公司制定的信息安全方针： a） 与公司意图相适宜； b） 包括信息安全目的或为设定信息安全目的提供框架； c） 包括对满足适用的信息安全相关要求的承诺； d） 包括对持续改进信息安全管理体系的承诺。 5.2.3沟通信息安全方针 a） 信息安全方针以文件的形式进行了发布（见本手册：05方针、目标），以便让员工及时知晓。 b） 公司应将信息安全方针对全体员工进行宣讲、教育，确保每个员工熟悉、理解并贯彻执行。 c） 必要时，信息安全方针向相关方提供，告知相关方。 d） 公司应通过管理评审对信息安全方针进行适宜性评审和修订，以反映不断变化的内部、外部条件和信息。 5.3组织的角色、责任和权限 5. 3.1总则 为便于信息安全管理体系的有效运行，公司明确规定各层次各部门人员的职责和权限，并形成文件，以保证信息安全管理体系充分、有效地实施。管理者应确保为信息安全管理体系的建立、实施、保持和改进提供必要的资源。资源包括人力资源和信息处理设施以及技术和财力资源。 5. 3.2组织框架 公司组织机构由领导层、信息安全管理委员会、综合部、业务部、技术部、财务部组成，公司组织机构图见附录二。 5. 3.3人员及部门职责和权限如下： 5.3.3. 1总经理 a） 拟订公司中长期发展规划、公司年度经营计划、公司经营管理制度并负责实施。 b） 领导公司建立各级组织机构，并按公司战略规划进行机构调整。 c） 领导公司制定各种规章制度，并深入贯彻实施。 d） 主持公司日常经营管理；确定公司组织机构并确定部门职责，协调公司内外关系。 e） 负责建立、实施、保持信息安全管理体系并持续改进其有效性，确认公司信息安全管理方针、目标的建立和实施。 f） 决定各职能部门负责人的任免、报酬、奖惩。 g） 加强企业文化建设，搞好社会公共关系，树立公司良好的社会形象。 h） 总经理是公司的第一责任人，对整个公司的经营业绩负责。 5. 3.3.2管理者代表 a） 确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。 b） 向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进； c） 负责与信息安全管理体系有关的协调和联络工作； d） 负责确保管理手册的宣传贯彻工作； e） 负责管理体系运行及持续改进活动的日常督导； f） 负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识； g） 主持公司内部审核活动，任命内部审核人员； h） 代表公司就公司管理体系有关事宜与外部进行联络。 5. 3.3.3综合部 a） 编制员工培训计划，组织员工技能培训； b） 负责公司员工档案管理及人员招聘及签署保密协议； c） 编制《员工手册》，对公司各部门人员的绩效评估、奖惩及晋升之审核与呈报； d） 负责公司文件记录管理； e） 公司办公用品采购、发放； f） 外部审核和内部审核的参与； g） 负责供方评审； h） 对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容； i） 负责收集信息安全方面相关的法律法规及标准，并将相关信息及时传达到各部门，组织相关培训。 5. 3.3.4技术部 a） 负责技术部的日常工作，制定工作计划和信息管理的有关办法； b） 组织制定信息安全管理工作的有关细则； c） 负责公司网络安全和信息安全工作； d） 统筹软件开发及应用； e） 负责网站搭建； f） 负责广告设计； g） 负责公司网站的安全和正常运行，技术指导、处理、协调和解决起点工 作网技术问题。 5. 3.3.5业务部 a）熟悉公司电子商务平台的操作，开发新客户，寻找合作机会； b） 了解公司产品，及时回复客户信息，接待上访客户，洽谈订单，完成销售业绩； c） 负责公司客户反馈信息的搜集，定期对客户回访跟踪。认真执行信息安全方针、标准、安全策略和规范，做好本部门职责范围内的信息安全管理体系运行工作。 d） 做好业务相关资料的整理和归档； e） 进行客户满意度调查，并进行统计分析评审； f） 组织合同评审工作，加强合同管理。 5. 3.3.6财务部 a） 编制财务管理制度，设置会计科目、会计账簿，处理一般会计事务如编制会计凭证、会计报表、结账、核帐、收款、报销处理、薪资发放等； b） 严格监控收支情况，办理银行结汇、外汇结算以及工商、税务事项，做到合法、合理交纳税款； c） 进行会计核算，定期清查财产物资，发现问题及时上报、及时处理； d） 整理、保存相关的各种会计资料和会计档案； e） 运用会计信息和资料做好成本管理工作，及时对成本、利润及资金需求进行预测，为公司的经营管理提供决策依据； f） 分析财务运行状况，撰写财务评价报告，向总经理报告财务情况和营运状况； g） 遵守职业道德、严守公司机密，严格财经纪律，以身作则，奉公守法，严格遵守公司各项规章制度，严格执行各项费用开支标准。 5. 3.3.7信息安全管理委员会 a） 制定落实信息等级保护制度，对信息安全重大事项进行决策； b） 制定信息安全管理制度； c） 落实信息安全隐患整改事宜及事项的处理决定； d） 对公司信息安全工作负责。 第六章规划 6. 1应对风险和机会的措施 6. 1.1总则 建立、实施并保持《应对风险和机会的措施程序》，当规划信息安全管理体系时，公司考虑4.1提到的事项和4.2中提到的要求，并确定需要应对的风险和机会，以： a） 确保信息安全管理体系可达到预期结果； b） 预防或减少不良影响； c） 达到持续改进。 公司应规划： d） 应对这些风险和机会的措施； e） 如何： 1） 将这些措施整合到信息安全管理体系过程中，并予以实现； 2） 评价这些措施的有效性。 6. 1.2信息安全风险评估 6.1.2. 1建立、实施并保持《信息安全风险控制程序》，识别、分析、评价信息安全风险，以建立并维护信息安全风险准则，包括风险接受准则；信息安全风险评估实施准则。 6. 1.2.2在已确定的信息安全管理体系范围内，公司按照《信息安全风险控制程序》识别与信息保密性、完整信息和可用性有关的风险，并识别风险责任人。 6. 1.2.3根据《信息安全风险控制程序》对识别出的风险进行分析，评估与信息保密性、完整信息和可用性有关的风险发生后，可能导致的潜在后果，和实际发生的可能性，确定风险级别。 6. 1.2.4评价信息安全风险，将风险分析结果与建立的风险准则进行比较，将缝隙处置排序已分析风险的优先级。 6. 1.2.5公司保留有关信息风险评估过程的《信息安全风险评估记录》、《信息安全风险评估报告》等文件化信息。 6.1.3信息安全风险处置 6. 1.3.1建立、实施并保持《信息安全风险控制程序》，对信息安全风险进行处置。 6. 1.3.2对设别的信息安全风险进行评估，依据评估结果，选择合适的风险处置选项。 6.1. 3.3确定实现已选的信息安全风险处置选项所必需的所有控制。 6. 1.3.4将确定的控制与GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》附录A的控制进行比较，并验证没有忽略必要的控制。 6. 1.3.5制定《信息安全适用性声明》，包含必要的控制及其选择的合理性说明（无论该控制是否已实现）,以及对GB/T22080-2016/IS0/IEC27001：2013《信息技术安全技术信息安全管理体系要求》附录A控制删减的合理性说明； 6. 1.3.6由综合部制定《信息安全风险处置计划》，经信息安全委员会审核，总经理批准实施。 6. 1.3.7确定信息安全风险处置责任人，由总经理批准信息安全残余风险的接受。 6. 1.3.7公司保留《信息安全风险处置计划》、《信息安全风险处置实施记录》等有关信息安全风险处置过程的文件化信息。 6. 2信息安全目的及其实现的规划 6.2. 1公司在相关职能和层级上建立了信息安全目标，（见本手册05方针、目标）。公司信息安全目标： a） 与公司信息安全方针一致； b） 可测量； c） 考虑适当的信息安全要求，以及风险评估和风险处置的结果； d） 得到沟通； e） 适当时更新； 公司将公司信息安全目标和部门信息安全目标在管理手册中进行了发布。 （见本手册05方针、目标） 6.2.2公司通过信息安全管理、定期和不定期的进行安全检查、内部审核、管理评审、信息安全风险评估等措施来达到信息安全的目标，在规划如何达到信息安全目的时，公司确定： a） 要做什么； b） 需要什么资源; c） 由谁负责； d） 什么时候完成; e）如何评价结果。 第七章支持 7.1资源 7. 1.1总则 资源是确保管理体系有效运行，实现信息安全方针和信息安全目标的必要条件，公司应确定并提供为建立、实施、保持和持续改进信息安全管理体系运行所必需的资源，包括：人员、信息、供方、设备设施、工作环境及财务资源等，以保证： a） 实施和保持管理体系，并持续改进其有效性； b） 满足顾客、法律法规及其它相关方的要求，增强顾客满意。 公司应考虑： a） 现有内部资源的能力和局限性； b） 需要从外部供方获得的资源。 7. 1.2人力资源 7.1.2. 1建立《人力资源控制程序》，并制定公司《岗位职责及任职要求》，应确定并配备所需的人员，建立人员档案，签订《信息安全保密协议》，定期识别有效性，以有效实施信息安全管理体系运行过程的控制。 7. 1.2.2公司综合部负责公司人员的配置管理，定期对在岗人员进行绩效考核，对不符合要求的进行换岗或采取培训的方式提高职工的个人工作能力。 7. 1.3设备设施 7.1.3. 1公司应确定、提供并维护为实现产品所需要的设备设施，设备设施可包括： a） 建筑物和相关设施； b） 设备、包括硬件和软件； c） 信息除了设施； d） 信息和通迅技术。 7. 1.3.2公司建立、保持和实施《设备设施控制程序》，对公司拥有的设备设施进行管理。 7. 1.4工作环境 7. 1.4.1建立、保持和实施《工作环境控制程序》。 7. 1.4.2公司应确定、提供并维护所需的环境，适当的运行环境可能是人为因素与物理因素的结合，例如： a） 社会因素（如无歧视、和谐稳定、无对抗）； b） 心理因素（如缓解紧张情绪、预防职业倦怠、保证情绪稳定）； c） 物理因素（如温度、照明、空气流通、卫生、噪声等）。 由于部门职责不同，这些因素可能存在显著差异，公司应对工作环境进行统筹规划，确保为职工提供适宜的、符合要求的工作环境并不断改善。： a） 适用的办公场所，对办公区域予以标识； b） 确保职工劳动条件符合劳动法规的要求； c） 工作场所应配备必要的通风、取暖、消防器材等设施，保持适宜的温度、湿度和职业健康安全条件； d） 各级管理者要注意工作方法，关心职工生活、加强交流沟通，创造条件,营造和谐的工作氛围。保为职工提供适宜的、符合要求的工作环境并不断改善。 7. 1.5监视和测量资源 7. 1.5.1建立、保持和实施《监视和测量资源控制程序》 7. 1.5.2当利用监视或测量来验证产品和服务符合要求时，公司应确定并提供所需的资源，以确保结果有效和可靠，公司应确保所提供的资源； a） 适合所开展的监视和测量活动的特定类型； b） 得到维护，以确保持续适其用途。 组织应保留适当的文件化信息，作为监视和测量资源适合其用途的证据。 7. 1.6组织的知识 7. 1.6.1由综合部确定公司所需的知识，由综合部对相关知识进行收集汇总。 7. 1.6.2综合部将这些知识以文件化和电子档形式保存，并将知识通过培训、宣传、放发等多种形式传达到职工。 7. 1.6.3为了应对不断变化的需求和发展趋势，公司应审视现有的知识，确定如何获取或接触更多必要的知识和知识更新。 7.1.6.4公司的知识是组织特有的知识，通常从其经验中获得，是以实现组织目标所使用和共享的信息。 7.1.6.5公司的知识可以基于： a） 内部来源（例如知识产权；从经验获得的知识；从失败和成功项目吸取的经验教训；获取和分享未成文的知识和经验，过程、产品和服务的改进结果）； b） 外部来源（例如标准；学术交流；专业会议，从顾客或外部供方收集的知识）。 7.2能力 公司应： a） 确定在公司控制下从事会影响公司信息安全绩效的工作人员的必要能 力； b） 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作； c） 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性； d） 保留《培训考核记录》、《能力确认记录》等文件化信息作为能力的证据。 注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇佣或签约有能力的人员。 7.3意识 公司通过培训教育、宣传等方式，使在公司控制下工作的人员意识到： a） 信息安全方针； b） 其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处； c） 不符合信息安全管理体系要求带来的影响。 7.4沟通 7.4.1建立、保持和实施《信息交流控制程序》，公司确定与信息安全管理体系相关的内部和外部沟通，包括： a） 沟通什么； b） 何时沟通； c） 与谁沟通； d） 如何沟通； e） 由谁沟通。 f） 影响沟通的过程。 公司对信息安全管理体系相关的信息交流做出响应，适当时，公司保留文件化信息，作为其信息交流的证据。 7.4.2内部信息交流 公司应： a） 在其各职能和层次间就信息安全管理体系的相关信息进行内部信息交流,适当时，包括交流信息安全管理体系的变更； b） 确保其信息交流过程能够促使在其控制下工作的人员对持续改进做出贡献。 7.4.3外部信息交流 公司应按其建立的信息交流过程的规定及其合规义务的要求，就信息安全管理体系的相关信息进行外部信息交流。 7.5文件化信息 7.5.1总则 建立、保持和实施《文件控制程序》、《记录控制程序》。 公司的信息安全管理体系包括： a） GB/T22080-2016/IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》要求的文件化信息； b） 公司实现信息安全管理体系有效性所必须的文件化信息。 公司信息安全管理体系文件主要有：《信息安全管理手册》、《程序文件》、《操作规范》、《员工手册》、《内部审核报告》、《管理评审报告》、其他各类记录表格报告和外来文件。 7.5.2创建和更新 在创建和更新成文信息时，组织应确保适当的： a） 标识和说明（如：标题、日期、作者或引用编号）； b） 格式（例如语言、软件版本、图表）和介质（例如纸质的、电子的）； c） 评审和批准，以确保适宜性和充分性。 7.5.3文件化信息的控制 7.5.3. 1公司编制《文件控制程序》，用以规范对管理体系文件的管理。综合部负责公司管理体系文件的归口管理，控制信息安全管理体系和标准所要求的形成文件的信息，以确保： a） 在需要的地点和时间，是可用的和适宜使用的； b） 得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。 7.5.3.2为控制形成文件的信息，适用时，公司综合部应采取下列活动和措施， a） 负责文件的分发、访问、检索和使用的控制； b） 存储和防护，包括保持可读性； c） 公司管理体系发生更改时，应保持更改控制，比如：版本控制。应对文件进行必要的评审和修改。对修改的内容须再次审批；采用《文件更改记录》及版本和修改状态标识的方式，识别所有文件的修订状态； d） 保留和处置。 7.5.3.3对于公司确定的、策划和运行信息安全管理体系所必需的、来自外部的形成文件的信息，适当识别，公司应予以控制。 7.5.3.4对所保留的作为符合性证据的形成文件的信息应予以保护，防止非预期的更改。防止作废文件的非预期使用，对作废文件及时回收。因法律或其他原因需保留作废文件，要进行适当标识。 7.5.3.5对形成文件的信息的“访问”可能意味着仅允许查阅，或者意味着允许查阅并授权修改。 第八章运行 8. 1运行规划和控制 为了满足信息安全要求以及实现应对风险和机会的确定的措施，公司建立、保持和实施《应对风险和机会的措施程序》，为了达到信息安全目标，公司制定了《内部审核计划》、《管理评审计划》、《风险处理计划》等一系列计划。 公司保持文件化信息达到必要的程度，以确信这些过程按计划得到执行。 公司控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻任何负面影响。 8. 2信息安全风险评估 在已确定的信息安全管理体系范围内，考虑建立的准则，按计划的时间间隔,按《信息安全风险管理程序》，在范围内进行信息安全风险识别。或当重大变更提出或风险发生时，执行信息安全评估。 公司保留《信息安全风险评估报告》的文件信息