ISO27001：2022信息安全管理手册+全套程序文件+表单

编号：ISMS-A-01版本号：VI.0编制： 日期：202X-11-01审核： 日期：202X-11-01批准： 日期：202X-11-01受控状态受控文件修订记录版本编写人审核人批准人修订日期修订说明目录TOC\o"1-5"\h\z1概述 11.1颁布令 11.2任命书 21.3手册说明 32规范性引用文件 53术语和定义 54组织环境 54.1理解组织及其环境 52理解相关方的需求和期望 54.3确定ISMS的范围 54信息安全管理体系 65领导作用 65.1领导作用和承诺 65.2ISMS管理方针 73组织架构、职责和权限 76规划 71风险和机遇的应对措施 72信息安全目标及其实现规划 87支持 87.1资源 82能力 93意识 107.4沟通 105文件记录信息 118运行 138.1运行的策划和控制 132信息安全风险评估 143信息安全风险处置 149绩效评价 159.1监视、测量、分析和评价 152内部审核 153管理评审 15\o"CurrentDocument"10改进 171不符合和纠正措施 172持续改进 1710.3纠正措施 1810.4预防措施 19附录1一组织简介 20附录2-组织架构图 21附录4-信息安全小组成员 25附录5-服务器拓扑图 26附录6-信息安仝职责说明 271概述1.1颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失,我公司开展贯彻TSO/IEC27001:2022《信息安全管理体系要求》标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了XXX有限公司《信息安全管理手册》。《信息安全管理手册》经评审后，现予以批准发布。《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件,全体员工必须认真学习、切实执行。XXX有限公司总经理：XXX202X年11月01日1.1.2任命书1.1.2任命书任命书为贯彻执行ISO/IEC27001:2022《信息安全管理体系要求》，加强对信息管理体系运行的领导，特任命直迪为公司管理者代表。授权信息安全管理者代表有如下职资和权限：1） 确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2） 负责与信息安全管理体系有关的协调和联络工作；3） 确保在整个组织内提高信息安全风险的意识；4） 审核风险评估报告、风险处理计划；5） 批准发布程序文件；6） 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7） 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本任命书自任命日起生效执行。XXX有限公司总经理：XXX202X年11月01日1.3手册说明1.3.1总则《信息安全管理手册》的编制，是用以证明己建立并实施了一个完整的文件化的信息安仝管理体系。通过对各项业务进行风险评估，识别岀公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。《信息安全管理手册》为审核信息安全管理体系提供了文件依据。《信息安全管理手册》证明公司己经按照ISO/IEC27001:2022标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1.3.2信息安全管理手册的批准管理者代表负责组织信息安全小组编制《信息安全管理手册》及其相关规章制度，总经理负责批准。1.3.3信息安全管理手册的发放、作废与销毁（1） 综合管理部负责按《文件控制程序》的要求，进行《信息安全管理手册》的登记、发放、回收、归档、作废与销毁工作。（2） 各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。（3） 综合管理部按照规定发放修改后的《信息安全管理手册》，并收回失效的文件做出标识统一处理，确保有效文件的唯一性。（4） 综合管理部保留《信息安全管理手册》修改内容的记录。1.3.4信息安全管理手册的修改《信息安全管理手册》如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册实施修改后，应及时发布修改信息，通知相关人员。《信息安全管理手册》的修改分为两种：一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》原件进行保存°在出现下列情况时，《信息安全管理手册》可以进行修改：＞信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进＞内部信息安全提出新的需求＞组织机构和职能发生变化＞经营环境和产品结构有调整＞发现本手册中存在差错或不明确之处＞引用的法规或体系标准有修改＞体系审核或管理评审提出改进要求＞本手册的更改控制按《文件管理程序》执行1.3.5信息安全管理手册的换版《信息安全管理手册》进行换版，换版应在管理评审时形成决议，重新编制、审批工作。＞当依据的TSO/IEC27001:2022信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。＞相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。＞《信息安全管理手册》发生需修改部分超过1/3时。＞《信息安全管理手册》执行己满三年时。1.3.6信息安全管理手册的控制（1）《信息安全管理手册》标识分受控文件和非受控文件：＞受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。＞非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。（2）《信息安全管理手册》分为书面文件和电子文件两种。2规范性引用文件GB/T22080-2016信息技术安全技术信息安全管理体系要求；GB/T22081-2016信息安全管理实用规则；与公司运营相关的法律法规和技术标准。3术语和定义•本手册釆用ISO/IEC27001:2022标准的术语和定义，并根据需要在相应章节所描述的要求中，増补了所涉及的术语和定义；•本手册岀现的术语“产品”指的是公司提供的产品和服务；•ISMS-IntegratedManagementSystem的缩写，代表“信息安全管理体系”；4组织环境4.1理解组织及其环境公司定期识别和信息安全管理冃标相关，并影响实现信息安全管理预期结果的内外部问题。4.2理解相关方的需求和期望本公司确定：a） 与ISMS有关的相关方；b） 这些相关方与信息安全有关的要求。4.3确定ISMS的范围应用范围：本《信息安全管理手册》规定了〈XXX有限公司〉信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理活动区域范围：广东省深圳市八卦岭八卦路31号众鑫科技大厦1310室

组织机构范围：管理层、技术部、销售部、综合管理部4.4信息安全管理体系4.1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全员的信息安仝意识，对信息安仝风险进行有效管理，使全公司贯彻落实安仝方针和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影响到信息安全的各种风险，防止安全事故的发生。同时确保全体员工理解并遵守执行信息安全管理体系文件，持续改进信息安全管理体系的有效性，树立公司良好的服务形象，增强用户对公司的技术和管理水平的信心，保证公司业务可持续开展，特制定本《信息安全管理手册》。4.2ISMS体系过程方法相关方/第三方信曇全管理需求和期望实施并运行相关方/第三方监控并评审信白晏全管理相关方/第三方信曇全管理需求和期望实施并运行相关方/第三方监控并评审信白晏全管理5领导作用5.1领导作用和承诺•总经理领导信息安全工作，并确定相应的职说和作用。•制定信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。•向公司传达满足信息安全目标以及信息安全方针，以及法律责任和持续改进的重要性。•提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS；•决定可接受风险的标准和可接受风险的等级；•确保按照标准严格执行ISMS内部审核并进行管理评审。5.2ISMS管理方针一、 信息安全管理方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：满足客户要求，保障信息安全，遵守法律法规，持续改进管理。二、 信息安全管理目标针对客户信息安全事件的投诉每年不超过1次重要信息设备丢失每年不超过1起机密和绝密信息泄漏事件每年不超过1次三、 信息安全管理适用范围本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。3组织架构、职责和权限3.11SMS管理体系组织架构图附录2-组织架构图5.3.21SMS管理职能分配见附录3-职能分配表5.3.3职责和权限见附录8-信息安全职责说明6规划6.1风险和机遇的应对措施信息安全小组组织有关部门根据风险评估结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及完成时间。对于信息安全风险和给予，应考虑控制措施与费用的平衡原则，选用以下适当的措施：•控制风险，釆用适当的内部控制措施。•接受风险（不可能将所有风险降低为零）；•避免风险（如物理隔离）：•转移风险（如将风险转移给保险者、供方、分包商）。6.2信息安全目标及其实现规划2.1公司在相关职能、层次和信息安仝管理体系所需的过程建立信息安全目标。信息安全目标应：a） 与信息安全方针保持一致b） 可测量；c） 考虑适用的要求，以及风险评估和风险处置的结果；d） 得到沟通;e） 适时更新。组织应保持有关信息安全目标的文件化信息。2.2在策划信息安全目标的实现时，公司确定：a） 釆取的措施；b） 所需的资源（见7.1）:c） 责任人；d） 完成的时间表；e） 如何评价结果。7支持7.1资源1.1总则总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的资源，应考虑现有的资源、能力、局限；1.2基础设施组织应识别、提供并保持实现产品/服务符合性所需的基础设施，这些设施包括：•工作场所相应的设施（办公电脑、服务器、软硬件、机房等）；•服务过程设备，如各种通讯设备、监控设备和客户服务管理系统、业务系统（软件）等；•维修保养和保障设施（各种辅助设施、安全防护设施等）；•支持性服务，如运输、通讯信息系统等。7.1.3过程环境公司各部门应识别提供产品/服务所需环境中人和物的因素，并对其加以有效的控制，保证提供产品/服务过程中的人员、财产安全。过程环境可包括物理的、社会的、心理的和环境的因素°7.1.4监视和测量设备对照国际或国家的测量标准，在规定的时间间隔或在使用前进行校准和检定，如果没有上述标准的，应记录校准或检定（验证）的依据，以确保下列设备处于正常状态：•开发用途的电脑设备；•测试用途的电脑设备；•开发用途的软件；•测试用途的软件；•集成项目使用的设备。处于正常状态的设备应具备下列特征：•设备的型号能够符合预期的使用目的；•无论设备处于待用状态还是处于使用状态，设备均是正常的；•设备得到周期性的养护和校正，并标识其校准状态；•必要时，各部门使用设备进行测量前，应再次校准设备；•测试软件应确认其具有满足预期用途的能力，初次使用前应进行确认，必要时可以进行重新确认。当发现软件或设备不符合要求时，应对以往的测量结果进行有效性评价和记录，并对受影响的产品采取适当的措施。校准和检定结果的记录应予保存。7.1.5知识公司应确保ISMS管理体系运行过程中，提供产品/服务的符合性和顾客满意所需的知识。这些知识应得到保持、保护、需要时便于获取。在应对变化的需求和趋势时，组织应考虑现有的知识基础，确定如何获取必需的更多知识。7.2能力公司应根据岗位所需的教育、培训、技能和经验要求，安排人员，以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要，能胜任其工作。对于人员的配置，公司人事行政部应定岗定编并制定完善的岗位说明文件。公司在《员工培训管理程序》中对在职培训、人员的意识的灌输和工作能力的增长作了要求，以便：•确定从事影响产品/服务质量和信息安全的人员（包含营销、服务提供、质量检查、IT开发、顾客沟通、顾客信息反馈等）所必须的工作能力及培训需求；•提供培训或采取其他措施，以满足所确定的需求并确保达成必须的能力；•对培训的有效性进行评价；•确保员工能意识到他们工作的相关性和重要性，以及他们如何为达到ISMS目标做岀努力；•保存有关教育、经验、培训、资格的适当的记录。7.3意识公司应确保工作的人员意识到：•ISMS管理方针：•相关的信息安全目标；•他们对信息安全管理体系有效性的贡献，包括改进绩效的益处；•偏离信息安全管理体系要求的后果。7.4沟通管理者代表为信息安全沟通交流主管部门，负责内、外部信息的交流与管理，及时将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟通交流工作，收集与外部相关方的信息资料，并保存回复的证据。4.1内部信息•信息安全方针、目标及实施方案-资产识别与风险评估•职责与权限的传达与落实-培训教育的实施与效果-监控与测量结果的反馈及法律、法规的符合情况-不符合的纠正和预防措施的执行情况-紧急状态下的信息等

7.4.2外部信息•信息安全方针通报相关方，对外宣传；•法律、法规的获取与监测及执法部门的联络；-监控、检测结果的外部联络和接受、答复；-认证与监督审核：7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定《信息安全沟通协调管理程序》规范信息安全沟通过程，必要时，保留信息交流相关证据。7.5文件记录信息7.5.1文件体系结构信息安全管理体系的文件由上而下分为四个层次，如下图所示：管理手册程序文件作业指导,规范

规章制度,计划管理手册程序文件作业指导,规范

规章制度,计划表单记录信息安全管理体系文件包括：（1） 管理手册（信息安全手册、信息安全策略）：规定信息安全管理体系的文件,是公司内部的信息安全法规，阐述了信息安全管理体系的方针、目标、范围、组织结构和职责权限，同时描述了信息安全管理体系的主体文件（程序文件），是信息安全管理体系的纲领性文件。（2） 程序文件：是信息安全手册的支持性文件，规定了实施与信息安全管理体系有关的各项活动的途径和方法，是各项活动得以有效实施的保障。与信息安全管理体系有关的各项活动必须按照程序文件规定实施，并定期对其进行评审，保持其有效性。（3）作业指导、规范规章制度、计划等：是现场或岗位使用的详细工作文件，是程序文件的支撑和补充性文件，是信息安全管理体系过程得以有效策划、运行、控制所需要的文件，也是信息安全活动的基础文件。（4）表单记录：通过表单模板，对信息安全管理体系实施的一系列活动进行规范,形成记录文件，用于作为管理评审、内部审核、外部审核、持续改进的客观证据。信息安仝手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息安全小组组织协调各相关部门共同完成编写。支持文件：•《文件控制程序》7.5.2文件控制综合管理部组织编制《文件控制程序》，确保信息安全管理体系的文件在以下几个方面得到控制：（1）文件发布前得到批准，以确保文件是充分与适宜的。（2） 管理体系文件应定期进行评审、修订完善，并再次批准以保持文件要求与实际运作的一致性，充分保障文件的有效性、充分性和适宜性。（3） 确保文件的更改和现行修订状态得到识别。（4） 确保在使用处可获得适用文件的有关版本。（5） 确保文件保持清晰、易于识别。（6） 确保综合管理部确定的体系所需的外来文件得到识别，并控制其分发。（7） 防止作废文件的非预期使用，若因任何原因而保留作废文件时，对这些文件进行适当的标识。（8） 具体执行按《文件控制程序》的规定，对文件的审核、批准、发布、变更、修改、废止等环节进行控制。支持文件：•《文件控制程序》7.5.3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据，对记录的标识、储存、保护、检索、保管、废弃等事项进行了规定，各部门应根据《记录控制程序》的要求采取适当的方式妥善保管信息安全记录，具体记录如下：<1）建立并保持记录，以提供符合要求和信息安全管理体系有效运行的证据。（2） 保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记录应保持合法，易于识别和检索。（3） 编制形成文件的程序，以规定记录的标识、储存、保护、检索、，呆存期限和处置所需的控制。（4） 记录的要求和管理：＞真实、完整、字迹清晰，可识别是何种产品或项目的何种活动。＞填写及时、禁止未经许可的更改。＞各部门应对本部门的记录自行归档保存，保存环境应适宜，以防止记录损坏、变质和丢失，保管方式便于存取和检索。＞记录的保存期限应根据产品的特点、法规要求及合同要求来决定，见“记录清单”。＞超过保存期的质量记录处理应按审批规定进行处置。支持文件：•《记录控制程序》8运行8.1运行的策划和控制公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程，这些过程与公司1SMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别每一过程对满足客户服务要求的能力的影响，并确保营运活动中每个质量特性都受到有效控制。1.1ISMS运行总要求•实现过程的策划中应明确：•质量目标和要求；•明确各岗位的信息安全职责；•服务标准•明确过程控制的准则和方法，制定必要的作业指导文件，为产品和服务实现提供资源和设施，保证其所需的工作环境；•保留服务过程提供及过程测量和检查结果的记录。

经识别公司没有外包过程。对于公司的服务商，综合管理部按照《第三方服务管理程序》进行管理。8.2信息安全风险评估2.1风险评估的方法信息安全小组负责组织编制《信息安全风险管理程序》，建立识别适用于信息安全管理体系和己经识别的业务信息安全、法律法规要求的风险评估方法，在决定风险的可接受范围内，采取适当的风险控制措施。2.2识别风险在信息安全管理体系范围内，对所有信息资产进行识别评价，识别资产面临的威胁以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险,并通过这些项目的风险标识推算出对重要资产造成的影响。2.3分析和评价风险针对每一项信息资产，识别出其面临的所有威胁，并考虑现有的控制措施，识别出被该威胁可能利用的薄弱点。针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判断安全失效发生的可能性。根据《信息安全风险管理程序》计算风险等级以及风险接受准则，判断风险为可接受或需要处理。8.2.4识别和评价风险处理的选择项目风险的识别贯穿整个业务活动过程，明确哪些风险可能影响项目造成影响、记录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析，依据影响对项目风险进行优先级排序。综合管理部根据风险评估的结果，形成《信息安全风险评估表（含〈风险处理计划〉）》，该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略，具体措施如下：（1）适时适当的控制措施。（2）规避风险,釆取有效的控制措施避免风险的发生。（3）接受风险,在一定程度上有意识、有目的地接受风险。（（2）规避风险,釆取有效的控制措施避免风险的发生。（3）接受风险,在一定程度上有意识、有目的地接受风险。（4）风险转移,转移相关业务风险到其他方面。(5)消减风险,通过适当的控制措施降低风险发生的可能性。8.3信息安全风险处置组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。详见《信息安全风险管理程序》3.1相关文件•《信息安仝风险管理程序》9绩效评价9.1监视、测量、分析和评价为了保证服务的符合性及实施必要的改进，应规定、策划和实施所需的测量和监视活动。在策划时，应确定统计技术及其他适用的方法的需要和使用。需要监视和测量的过程和措施包括：客户满意度测量、过程的监视和测量、产品的监视和测量。综合管理部应组织相关部门，对质量服务信息安全措施的绩效和体系的有效性进行评价。综合管理部应与各部门协调，根据公司管理的实际需要，建立恰当的度量体系，以度量员工、项目组的工作业绩。由综合管理部组织实施监视和测量，每年至少一次对对监视和测量的结果进行分析和评价，由总经理以及各部门经理分析和评价这些结果，保留相关的监视和测量证据。9.2内部审核公司应按计划的时间要求进行ISMS内部审核，以确定控制目标、控制措施、过程和程序是否：•符合标准及相关法律法规的要求；•符合确定的信息安全要求；•得到有效地实施和维护；•按期望运行。内部审核程序应进行计划，并考虑受审核的状况、重要性和受审核的区域以及上次审核结果，应规定审核准则、范围、频次和方式，审核员的选择和审核活动应保证审核过程的客观和公正，审核员不能审核自己的工作。9.3管理评审3.1总则为确保信息安全管理体系持续运行，具体如下：（1） 管理者代表组织并编制《管理评审程序》，指导管理评审工作的执行。（2） 管理评审由最高管理者或其授权人员组织，每年至少一次。一般晴况下，釆取会议的形式，安排在内部审核之后。当出现下列情况之一时，应及时进行管理评审：＞公司管理体系发生重大变化。＞国家法律法规、相关标准发生重大变化。＞外审之前。＞其他认为需要评审时。（3） 各部门负责均需参加管理评审活动，需要时，由总经理或其授权人员决定具体的参加人员。（4） 管理评审会议的决议事项以会议纪要形式体现，由各相关部门负责配合执行,并对执行状况予以跟踪评估。3.2评审输入在管理评审时，管理者代表应组织各相关部门提供以下资料，以供评审：a） 以往管理评审的措施的状态；b） 与信息安全管理体系相关的外部和内部问题的变更；c） 信息安全绩效的反馈，包括下列方面的趋势：1） 不符合和纠正措施；2） 监视和测量结果；3） 审核结果；4） 信息安全目标的实现；d） 相关方的反馈；e） 风险评估的结果和风险处置计划的状态；f） 持续改进的机会。3.3评审输出按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析，管理评审输出包括以下方面有关的任何决定和措施：（1） 信息安全管理体系有效性的改进，应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。（2） 信息安全管理方针和目标的修订。（3） 与相关方/第三方有关的改进措施等。（4） 风险的等级或可接受风险的水平，更新风险评估和风险评估表等。（5） 业务需求的变更。（6） 安全需求的变更。＜7）资源需求以及影响现有业务需求的业务过程；（8） 法律法规的环境。（9） 改进测量控制措施有效性的方式。（10） 对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。以上内容的详细规定见《管理评审程序》。公司应保留文件记录作为管理评审结果的证据。10改进10.1不符合和纠正措施当发生不符合时，应：•对不符合作出反应，＞采取措施控制并纠正不符合；＞处理不符合造成的后果；•评价消除不符合原因的措施的需求，通过采取以下措施防止不符合再次发生或在其他区域发生：＞评审不符合；＞确定不符合的原因；＞确定类似不符合是否存在，或可能潜在发生•实施所需的措施；•评审所采取纠正措施的有效性；•必要时，对体系实施变更。应将以下信息形成文件：•不符合的性质及随后釆取的措施•纠正措施的结果上述要求参见《纠正措施控制程序》。10.2持续改进通过制定和改进管理方针和管理冃标、进行管理评审、进行内部/外部审核、落实纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全管理体系的改进工作，必要时征求所有相关方对管理体系的意见，从而保证管理体系的持续有效性和运行效率。关注客户的投诉、抱怨、记录、评估服务改进建议，制定服务改进计划，评估服务改进情况，确保各项服务改进措施均已落实执行，并实现预期的目标，从而改进完善服务过程，提升服务质量，提高客户的满意度。规定各部门在持续改进活动中的角色和职责，并从服务过程的所有方面考虑服务改进要求。计划通过以下途径持续改进信息安全管理的有效性：（1） 通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺。（2） 通过信息安全管理体系目标的建立与实施，对持续改进进行评价。（3） 通过内部审核不断发现问题，寻找体系改进的机会并予以实施。（4） 通过数据分析不断寻求改进的机会，并做出适当的改进活动安排。（5） 通过实施纠正和预防措施实现改进的活动。（6） 监控安全事件并对事件进行分析。（7） 确定纠正措施和预防措施的有效性。（8） 根据管理评审的结果寻求改进体系的机会。（9） 根据客户满意度调査寻求改进体系的机会。支持文件：•《纠正措施控制程序》•《预防措施控制程序》•《内部审核管理程序》10.3纠正措施对于发现的不合格项，不仅要求资任人要纠正不合格行为，而且为了消除不合格项、与实施和运行信息安全管理体系有关的原因，人事行政部要求责任人应该制定纠正措施，以便防止不合格的再次发生。纠正措施的控制应该满足如下要求：（1）识别实施和运行信息安全管理体系的不合格事件。（2） 分析并确定不合格的原因。（3） 评价确保不合格不再发生的相关因素。（4） 确定和实施所需的纠正措施。（5） 检查、验证纠正措施的结果。（6） 评审所釆取的纠正措施的有效性。支持文件：•《纠正措施控制程序》•《预防措施控制程序》•《内部审核管理程序》10.4预防措施在信息安全管理体系运行的过程中，通过日常的过程控制、结果验证、体系审核等方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件，应该及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求：（1） 识别潜在的信息安全事件及其原因，并确定。（2） 评价预防不合格发生的措施的需求。（3） 确定和实施所需的预防措施。（4） 评价预防措施的有效性，并对所采取措施的结果进行记录。（5） 识别并控制重大的己变更的防线。支持文件：•《纠正措施控制程序》•《预防措施控制程序》附录附录1-组织简介附录附录1-组织简介XXX有限公司是一家总部位于中国深圳的全方位IT及解决方案服务提供商。主要致力于航空领域，提供航空1T产品、IT服务及解决方案、航空教育的一体化专业公司。依靠与多家航空领域的企事业单位建立的良好合作关系，不断吸取各方先进技术与管理经验，打造了一支经验丰富的管理团队。在坚持高品质的产品质量、雄厚的技术力量的支持下，研发了多项拥有自主知识产权的产品，同时具备了向市场提供综合化服务的实力。我们的服务：公司一直坚持“满足客户的需求就是我们的追求的服务“宗旨”，我们将以最优质的服务为客户提供全方位的IT服务，提升客户的企业价值，提高客户的市场竞争力。技术实力：公司拥有蓬勃向上，充满朝气的创业型领导核心，海外留学背景，多年IT研发、管理经济的高层管理团队；经验丰富的研发团队一为客户提供专业的1T只是支持。发展战略：提供自主研发的一流软件和服务，持续为客户创造最大价值核心价值观公司理念：帮助客户创造价值，帮助员工实现梦想诚信：最重要的无形资产，是我们赢得客户信任的基础专注：建立核心竞争力的关键创新：企业持续性发展的必备基因是我们赢得客户信任的基础附录附录3-职能分配表附录2-组织架构图管理单位体系要求信息安全小组总经理管理者代表综合管理部技术部销传部4.组织环境4.1理解组织及其环境△▲△△△△4.2理解相关方的需求和期望△▲△△△△4.3明确信息安全管理体系的范围△▲▲△△△4.4信息安全管理体系△△▲△△△5领导5.1领导和承诺△▲△△△△5.2方针△▲△△△△5.3组织角色、职责和权力△▲△△△△6计划6.1处置风险和机遇▲▲△△△△6.2信息安全目标的计划和实现△▲△△△△7支持7.1资源△▲△△△△7.2能力△△△▲△△7.3意识△△△▲△△7.4沟通▲▲▲△△△7.5文档要求△△△▲△△8实施8.1运行计划和控制▲△△△△△8.2信息安全风险评估▲△△△△△8.3信息安全风险处置▲△△△△△9绩效评价9.1监视、測虽:、分析和评价▲△△△△△9.2内部审核▲△△△△△9.3管理评审△▲△△△△10改进10.1不符合项和纠正措施△▲△△△△10.2持续改进△▲△△△△A.5信息安全策略A.5.1信息安全管理指导△△▲△△△A.6信息安全组织

A.6.1内部组织△▲▲△△△A.6.2移动设备和远程办公△△△△▲▲A.7人力资源安全A.7.1任用前△△△▲△△A.7.2任用中△△△▲△△A.7.3任用终止和变更△△△▲△△A.8资产管理A.8.1资产的责任△△△▲▲▲A.8.2信息分类△△△▲△△A.8.3介质处理△△△▲▲▲A.9访问控制A.9.1访问控制的业务需求△△△▲△△A.9.2用户访问管理△△△▲△△A.9.3用户责任△△△▲△△A.9.4系统和应用访问控制△△△▲△△A.10加密技术A.10.1加密控制△△△▲△△A.11物理和环境安全A.11.1安全区域△△△▲△△A.11.2设备安全△△△▲△△A.12操作安全A.12.1操作程序及职责△△△▲△△A.12.2防范恶意软件△△△▲▲▲A.12.3备份△△△▲▲▲A.12.4日志记录和监控△△△▲△△A.12.5操作软件的控制△△△▲△△A.12.6技术脆弱性管理△△△▲△△A.12.7信息系统审计的考虑因素△△△▲△△A.13通信安全A.13.1网络安全管理△△▲△△A.13.2信息传输△△▲△△A.14系统的获取、开发及维护A.14.1信息系统安全需求△△△△▲△A.14.2开发和支持过程的安全△△△△▲△A.14.3测试数据△△△△▲△A.15供应商关系A.15.1供应商关系的信息安全△△△▲△△A.15.2供应商服务交付管理△△△▲△△A.16信息安全事件管理A.16.1信息安全事件的管理和改进▲△△△△△A.16.1.1职责和程序▲△△△△△A.16.1.2报告信息安全事态▲△△▲▲▲A.16.1.3报告信息安全弱点▲△△▲▲▲A.16.1.4评估和决策信息安全事件▲△△△△△A.16.1.5响应信息安全事故▲△△△△△A.16.1.6从信息安全事故中学习▲△△△△△A.16.1.7收集证据▲△△△△△A.17业务连续性管理中的信息安全A.17.1信息安全的连续性△△△▲△△A.17.2冗余△△△▲△△A.18符合性A.18.1法律和合同规定的符合性△△△▲△△A.18.2信息安全评审▲△△△△△*注：负责部门以“▲”表示;相关部门以表示。附录4-信息安全小组成员为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全管理方针，特授权以下人员组成信息安全管理小组。成员名单如下：组长：XXX（总经理）执行组长：曹飞澎成员：综合管理部：张小波、销售部：曹飞澎、技术部：严玉成。附录5-服务器拓扑图服务器拓扑图服务器拓扑图附录6-信息安全职责说明一、 总经理1、 负责主持制定本公司的信息安全体系方针和目标，确保员工贯彻执行；2、 制定公司战略，进行经营、营销、项目管理规划，承担公司的全面经营管理工作，包括人事、行政、财务、釆购、管理等。3、 确保实现方针和目标的相关资源；4、 任命管理者代表，并授予其相应的职责和权限；5、 负贵对本公司组织结构的设置，规定各级人员的职责、权限，规定和各部门的职能及其在组织内的相互关系，具体岗位职责描述，参见相关《职位说明书》；6、 组织制定项目整体施工组织计划；根据项目整体计划，审定年度、季、月进度计划,并贯彻执行；对直接下属进行绩效考核，对其进行提拔、奖励、惩处。7、 严格执行公司财务制度，根据授权审批公司各项开支，但受董事长监督，各项开支在审批后，需报送董事长核准签名确认；制定公司的资金计划，资金运作管理，并按授权进行费用与合同审批二、 管理者代表1、 负责体系文件控制，审核信息安全手册、方针、目标；指导各部门负责人对相关文件之使用、保管、收集、整理与归档。负责对现有体系文件定期评审。2、 审査各部门编制信息安全记录在案格式，并审批；指导各部门对信心安全记录之整理和保管。3、 向企业负责人报告信息安全体系运行情况，提出改进建议；制定管理评审计划、收集并提供管理评审所需之资料，编写管理评4、 建立文件化的程序，确保认证标志的妥善保管和使用；5、 建立信息安全体系，符合法律法规及其它要求，与外部各方联络。三、 信息安全管理小组1、 直接对信息安全管理代表负责，承担信息安全管理具体操作以及决策2、 负责管理体系建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准,3、 负责对ISMS体系进行审核，以有效性和健全性提出内审建议：4、 负责汇报审计结果并监督整改、改版工作，落实纠正措施和预防措施；5、 负责调査安全事件，并维护安全事件的记录报告6、 关注公司所有法律法规，行业主管部门颁发规章制度，审核ISMS体系文档的合规性。四、 销售部1、 实施信息安全管理体系有关的程序文件，针对不合格项判定实施纠正预防措施；2、 负责公司的项目销售工作，完成公司的项目销售目标；3、 围绕公司下达的项目销售目标制定策略计划；d）负责维护己有项目用户的客户关系;4、 把握重点客户关系，参与销售谈判；f）负责与公司业务相关的市场开拓；5、 组织公司技术部门与用户进行相关技术交流；6、 发起合同评审，并根据评审结果，修订销售合同；7、 做好项目前期交流、项目合同签订、验收收款的协调工作；8、 配合公司收集相关销售信息，并反馈给主管领导；9、 完成公司主管交办的其他工作五、 技术部负责按照的指派，为客户提供软件开发、软硬件运维服务；负责按计划定期巡检；负责公司内部1T网络环境、服务器、交换机的正常运转；负责如实向顾客介绍产品、投标、与顾客洽谈合同和签订合同，确保所签合同规范、有效和可行；负责常规合同评审，组织有特殊要求合同的评审。参与组织对顾客技术培训。保持公司信息安全体系文件相关要素在本部门的贯彻实施，并管理相关记录；六、 综合管理部1、 根据公司发展战略制定用人规划、年度招聘计划、培训需求、绩效考核流程及体系、薪酬发展体系、推广企业文化、解决投诉与冲突、组织各类员工活动。2、 根据公司发展需要制定日常办公管理等行政制度、申报公司经营相关资质、证件、筹备办公会议及形成会议纪要、确保公司1T系统的有效实施和运转（监控系统，门禁系统，广播系统、0A系统、邮箱系统、财务系统、服务器、电话交换机、网络宽带等）。3、 培训发展管理：公司年度培训计划的制订与实施以及制订公司年度教育涪训经费的预算并进行管理和使用。4、 负责体系文件的发放、回收管理。5、 负责相关法律、法规的识别与收集、合规性评价、文件控制及记录控制。6、 负责网络的访问管理、机房设备管理。6、 信息安全事件的调查及协助处理。7、 对新供应商的开发、选择及监督；8、 对供应商资质进行审核及维护。9、 制定供应商现场评审表，并参与供应商现场评审。10、 负责对供应商的交货及时率、配合度交货进行评估；对外协产品品质问题的处理及改善措施进行监督，并提供月度的相关考核数据，参与供应商绩效评审。11、 负贵公司合同条款的审核。12、 信息安全事件的调查及协助处理。XXX有限公司信息安全告知书TS-ISMS-202X-0101版本：V1.0

（内部受控）202X-11-1202X-11-1发布202X-11-1实施XXX有限公司第第1页修改履历版本制订者修改时间更改内容审批人审核意见变更申请单号1.0XXX202X-11-1发布XXX同意1.0XXX202X-11-1实施XXX同意XXX有限公司文件编号ISMS-A-01信息安全管理手册文件版本VI.0密级秘密各顾客、供应商、承包方和所有相关方：感谢您对公司一贯支持，为创造一个完善安全的信息沟通和传递途径，共同保障各方信息的安全，公司自202X年11月1日起按照IS027001:2013标准建立并实施信息安全曾理体系，为确保管理体系实施的有效性，需要各相关方在工作交往及合作中给予大力配合。现将有关専宜敬告如下：1、本公司特制订如下信息安全方针和信息安全目标：1.1信息安全方针关注客户需求，保障信息安全.完善安全措施，改进信息技术.关注客户需求，保障信息安全：客户的安全需求为公司安全建设的重要输入，按照标准要求建设信息安全框架，保障公司整体的信息安全。完善安全措施，改进信息技术：关注新的信息安全技术，不断获取新技术或新产品,改进信息技术，通过风险管理，持续完善安全措施，并且保证措施的实施效果。1.2信息安全目标◊顾客保密性抱怨/投诉的次数不超过1起/年。◊受控信息泄St的事态发生不超过2起/年。◊机密信息泄U的事态不得发生。重要信息设备丢失毎年不超过。起◊年度信息安全培训人员覆盖率100%◊大面积内网中断时间每年累计不超过240分钟◊大规模病毒爆发每年不超过2次1.3要求本公司信息安全管理体系方针符合以下要求:a） 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b） 识别并满足适用法律、法规和相关方信息安全要求；c） 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d） 建立了风险评价的准则；e） 经总经理批准，并定期评审其适用性、充分性，必要时予以修订。1.4承诺为实现信息安全管理体系方