【正文】 安全工作小組應(yīng)定期發(fā)起對體系文件的評審, 應(yīng)填寫《體系文件建立申請表》(詳見附1)。對體系文件的評審應(yīng)至少每年進行一次。評審流程如下： (1) 信息安全工作小組發(fā)起對體系文件的評審申請，信息安全領(lǐng)導小組確認后批準評審要求。(2) 信息安全工作小組制定評審計劃。計劃中應(yīng)確定各文檔對應(yīng)的評審責任人以及實施評審的時間計劃。(3) 各評審責任人根據(jù)時間計劃，結(jié)合內(nèi)部審核、管理評審、風險評估及日常記錄的結(jié)果，評估現(xiàn)有文件的有效性和充分性。如果確定文檔有必要進行修改，應(yīng)填寫《體系文件更改申請表》(詳見附2)。(4) 如果修改的內(nèi)容只涉及XXXXX，則由信息安全工作小組組長進行審批，在審批同意后，由文檔評審責任人進行修改。(5) 如果修改的內(nèi)容涉及到XXXXX以外的部門，需要所有涉及部門的會簽。會簽后，由文檔評審責任人進行文檔修改。如需要，可邀請專家對體系文件進行專家評審（詳見附附附7）。(6) 修改完畢之后，各責任人將《體系文件評審記錄表》(詳見附3)和完善后的體系文件版本一并報送信息安全工作小組，由信息安全工作小組進行標識和保存。(7) 信息安全工作小組最終對評審結(jié)果向信息安全領(lǐng)導小組進行匯報。 體系文件的作廢(1) 在體系文件的評審過程中，如果評審責任人認為文件應(yīng)當作廢，則填寫《體系文件作廢申請表》(詳見附4)，由信息安全工作小組審批后，報信息安全領(lǐng)導小組進行審批。(2) 信息安全領(lǐng)導小組審批完成后，信息安全工作小組負責通知所有相關(guān)人員，并對《AAAAA公司XXXXX信息安全管理體系文件》進行廢除。 第三章 信息安全管理體系 信息安全管理體系以ISO/IEC 27001：2005 《信息安全管理體系要求》為依據(jù)，建立信息安全管理體系，并形成相關(guān)的信息安全管理體系文件。由AAAAA公司主管領(lǐng)導批準發(fā)布，在AAAAA公司范圍內(nèi)實施并保持，利用內(nèi)部審核、管理評審、定期檢查、定期更新和預防措施以及持續(xù)改進的手段，確保信息安全管理體系的有效性。 信息安全管理體系建立 管理體系范圍根據(jù)AAAAA公司系統(tǒng)業(yè)務(wù)特點、組織機構(gòu)、物理位置確定AAAAA公司的BBBBB系統(tǒng) 信息安全管理體系的范圍為：l 所有部門和正式工作人員，包括AAAAA公司所有成員；l AAAAA公司XXXXX主要負責AAAAA公司的BBBBB系統(tǒng) 建設(shè)和運行工作及系統(tǒng)維護和管理；l 與系統(tǒng)業(yè)務(wù)活動相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)包括：AAAAA公司的BBBBB系統(tǒng)；信息資產(chǎn)包括：與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等；l AAAAA公司的BBBBB系統(tǒng) 涉及的辦公場所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機房，其中機房為AAAAA公司的BBBBB系統(tǒng)所在機房。 風險評估在體系建立過程中，AAAAA公司確定信息安全風險評估方法，對AAAAA公司的BBBBB系統(tǒng) 實施風險評估(詳見附8)，識別AAAAA公司的BBBBB系統(tǒng) 所面臨的風險，并根據(jù)風險進行相應(yīng)的處理。 風險處置在風險評估后，根據(jù)風險評估的結(jié)果，確定風險處置的策略，包括：l 采用風險控制措施，以降低面臨的信息安全風險；l 在滿足信息安全方針和風險接受準則的前提下，有意識地、客觀地接受風險；l 轉(zhuǎn)移相關(guān)業(yè)務(wù)風險到其他方面，如：購買產(chǎn)品維保，運維服務(wù)外包等；l 根據(jù)風險處置策略，制定風險控制措施，對已識別出的風險進行分類處理，并對殘余風險進行了批準。 信息安全管理體系實施在實施和運行信息安全管理體系中所開展的工作包括：l 通過風險管理方法來控制信息系統(tǒng)中存在的信息安全風險，配置資源、明確職責和優(yōu)先級別，實施適當?shù)墓芾泶胧?；l 實施各信息安全管理體系文件中包括的控制措施，以達到各控制目標；l 實施培訓和意識教育計劃，具體內(nèi)容參見《培訓制度》；l 實施能迅速檢測安全事件和響應(yīng)安全事故的程序。 信息安全管理體系監(jiān)察嚴格執(zhí)行監(jiān)視和評審程序以及其它相關(guān)措施，以達到：l 迅速檢測信息安全管理體系運行過程中的缺陷和弱點；l 迅速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；l 確保管理者分配給各人員的信息安全活動或通過信息技術(shù)實施的信息安全活動能如期執(zhí)行；l 確定信息安全措施的有效性；l 定期進行信息安全管理評審，以判斷信息安全管理體系的有效性；l 定期進行信息安全風險評估的評審；l 定期對信息安全管理體系進行管理評審；l 依據(jù)監(jiān)視和評審活動的結(jié)果，對信息安全管理體系進行修改和完善；l 記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。第四章 信息安全組織機構(gòu)制度 信息安全組織機構(gòu)AAAAA公司針對AAAAA公司的BBBBB系統(tǒng)的信息安全組織機構(gòu)包括信息安全領(lǐng)導小組和信息系統(tǒng)安全小組。信息系統(tǒng)安全小組的成員包括：機房管理員、主機管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、安全管理員、安全審計員。根據(jù)各個職位職責不同，對于安全管理員與安全審計員應(yīng)配備專職人員，不可兼任；對于關(guān)鍵事務(wù)崗位應(yīng)考慮多人共同管理。AAAAA公司信息安全體系組織機構(gòu)圖如下： 信息安全職能部門職責信息安全職能部門為XXXXX，主要職責如下：l 保障機房信息系統(tǒng)的安全運行；負責機房的環(huán)境維護和物理訪問管理；負責機房的設(shè)備維護及設(shè)備管理；負責機房內(nèi)任何事故的上報及處理；負責制定及修訂有關(guān)機房安全管理制度。l 負責對機房值班人員及技術(shù)維護人員（外包方）進行日常工作管理和檢查；l 負責AAAAA公司的AAAAA公司的BBBBB系統(tǒng)的使用控制及處置管理。l 介質(zhì)的使用人負責在單位內(nèi)部介質(zhì)的使用控制及處置管理。l 各相關(guān)接待人負責其接待的外來人員的介質(zhì)的使用及監(jiān)督。l 負責AAAAA公司網(wǎng)絡(luò)系統(tǒng)安全管理。l 負責AAAAA公司基礎(chǔ)平臺系統(tǒng)安全管理，應(yīng)用系統(tǒng)安全管理。l 負責AAAAA公司信息系統(tǒng)的惡意代碼防范工作，及發(fā)生惡意代碼攻擊時的應(yīng)急處理。l 負責AAAAA公司信息系統(tǒng)的密碼使用管理工作，包括密碼的保管、分配、修改、授權(quán)。l 負責AAAAA公司信息系統(tǒng)數(shù)據(jù)備份與恢復管理工作。l 負責AAAAA公司信息系統(tǒng)安全事件管理工作。 信息安全領(lǐng)導小組職責信息安全領(lǐng)導小組主要職責如下：l 負責關(guān)于信息安全方面工作的方針政策；l 審定AAAAA公司的BBBBB系統(tǒng) 的安全建設(shè)規(guī)劃；l 對信息系統(tǒng)安全工作的重大事項做出決策；l 研究審定AAAAA公司的BBBBB系統(tǒng) 安全建設(shè)和管理工作中的制度、標準及相關(guān)政策，并協(xié)調(diào)相關(guān)部門監(jiān)督制度、政策的實施情況；l 組織、協(xié)調(diào)和指導信息安全的宣傳、普及教育工作。 信息系統(tǒng)安全小組職責及要求l 負責貫徹落實信息安全領(lǐng)導小組關(guān)于信息系統(tǒng)安全工作的要求和規(guī)定，并落實各項安全工作；l 負責信息系統(tǒng)的安全管理體系和規(guī)章制度的建立、實施；l 建設(shè)、技術(shù)保障和操作規(guī)范等各方面的逐步建成；l 組織制訂和貫徹信息系統(tǒng)運行安全保障和維護工作制度。 機房管理員職責及要求機房管理員主要職責如下：l 負責保障機房物理與環(huán)境的安全建設(shè)管理l 負責制定機房基礎(chǔ)設(shè)施的相關(guān)資產(chǎn)清單(詳見附9)內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等。l 明確產(chǎn)品所有者、使用者與維護者；對所有產(chǎn)品進行標記，實現(xiàn)信息資產(chǎn)從采購、安裝、調(diào)試、使用、變更到報廢整個周期的安全管理，并且密碼相關(guān)產(chǎn)品符合國家密碼主管部門的要求。l 令相關(guān)人員能夠按照維護規(guī)程對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。l 負責保障機房物理與環(huán)境安全實施包括門禁、視頻監(jiān)控、報警等安全防范措施，確保機房物理安全。部署機房專用空調(diào)、UPS等環(huán)境保障設(shè)施，對機房設(shè)施運轉(zhuǎn)情況進行每日兩次巡檢、維護、故障處理和變更管理。嚴格對機房人員和設(shè)備的出入管理，進出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機房。l 在機房基礎(chǔ)設(shè)施變更、重要操作、物理訪問等的進行逐級審批，負責日常審批，重大變更需上報到AAAAA公司領(lǐng)導小組負責人進行核準和審批后，方可進行變更；l 負責組織實施機房基礎(chǔ)設(shè)施各類事故（故障）的應(yīng)急處理。機房管理員任職要求如下：遵守AAAAA公司的各項規(guī)章制度；具有良好的職業(yè)道德和敬業(yè)精神； 愛崗敬業(yè)，吃苦耐勞，愿意長期從事機房管理工作； 服從分配與管理，團結(jié)協(xié)作具有良好的團隊精神；能全心全意為AAAAA公司服務(wù)，言行舉止形象文明； 了解計算機軟硬件安裝及維護，動手能力強； 具有一定的組織能力和語言表達能力。具備保密意識。 主機管理員主機管理員主要職責如下：l 負責保障主機（包括服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份）；l 信息安全日常管理包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護、便攜機管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng) 的信息安全策略和制度要求。負責主機運行維護體系和主機技術(shù)支持平臺的建設(shè)與運行管理，建立服務(wù)器設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)備份文檔化的操作和維護規(guī)程，使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。l 重要信息和信息系統(tǒng)備份定期進行重要信息和信息系統(tǒng)備份，并對備份介質(zhì)進行安全地保存，以及對備份數(shù)據(jù)定期進行備份測試驗證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進行可靠的恢復。l 負責統(tǒng)一部署防病毒軟件，并每周更新病毒庫；l 負責全系統(tǒng)的計算機惡意代碼防治和主機安全的管理工作，制定檢查計劃（包含在主機巡檢工作中），督促檢查工作；l 負責重要信息系統(tǒng)的訪問控制管理，對系統(tǒng)特殊權(quán)限和系統(tǒng)實用工具的使用進行嚴格的審批和監(jiān)管；l 負責組織實施主機各類事故（故障）的應(yīng)急處理。主機管理員任職要求如下：一年以上相關(guān)工作經(jīng)驗。了解熟悉服務(wù)器軟件和運行系統(tǒng)(Apache、Windows /UNIX),和網(wǎng)絡(luò)故障排除，熟悉了解安全措施，能主動學習和聆聽良好的時間安排能力，出色的溝通能力以及客戶服務(wù)能力，完美解決問題，靈活且可靠，以及獨立工作能力。具備保密意識 網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員主要職責如下：l 負責保障網(wǎng)絡(luò)安全建設(shè)管理；l 規(guī)范網(wǎng)絡(luò)管理流程；l 采用技術(shù)和管理兩方面的控制措施，加強對應(yīng)用系統(tǒng)的安全控制，提高網(wǎng)絡(luò)的安全性和穩(wěn)定性；l 對重要網(wǎng)絡(luò)設(shè)備應(yīng)有文檔化的操作和維護規(guī)程，使得維護人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責保障網(wǎng)絡(luò)安全，協(xié)助安全管理員部署網(wǎng)絡(luò)安全產(chǎn)品，確保網(wǎng)絡(luò)安全；對網(wǎng)絡(luò)設(shè)備設(shè)施運轉(zhuǎn)情況進行定期巡檢、維護、故障處理和變更管理；l 在網(wǎng)絡(luò)系統(tǒng)變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更需報到AAAAA公司領(lǐng)導小組進行核準和審批后，方可進行變更；l 負責組織實施網(wǎng)絡(luò)各類事故（故障）的應(yīng)急處理。網(wǎng)絡(luò)管理員任職要求如下：大專以上學歷，計算機、通信等相關(guān)專業(yè)二年以上網(wǎng)絡(luò)管理員工作經(jīng)驗熟悉常用服務(wù)器設(shè)備，具備故障診斷和處理能力熟練掌握Windows 操作系統(tǒng)的管理、維護了解主流廠商的設(shè)備和技術(shù)發(fā)展具備保密意識具備良好職業(yè)道德與工作態(tài)度，善于溝通 應(yīng)用管理員應(yīng)用管理員主要職責如下：l 負責保障軟件開發(fā)管理在AAAAA公司的BBBBB系統(tǒng)系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標。應(yīng)保證系統(tǒng)設(shè)計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機構(gòu)對軟件安全性的測評。l 負責建立重要應(yīng)用的文檔化操作和維護規(guī)程（詳見附10），使得各個相關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責信息安全日常管理，包括應(yīng)用系統(tǒng)口令管理、授權(quán)審批管理等，促使每位人員的日常工作符合AAAAA公司的BBBBB系統(tǒng)系統(tǒng)信息安全策略和制度要求。l 在應(yīng)用系統(tǒng)變更、重要操作、訪問等的進行逐級審批，負責日常審批，重大變更需報到AAAAA公司領(lǐng)導小組進行核準和審批后，方可進行變更；l 負責組織實施應(yīng)用系統(tǒng)各類事故（故障）的應(yīng)急處理。應(yīng)用管理員任職要求如下：全日制大學本科及以上學歷；3年以上信息項目管理或軟件開發(fā)及維護工作經(jīng)驗；工作責任心強，有良好的團隊合作精神，溝通表達能力、文字表達能力及組織、協(xié)調(diào)能力較強； 安全管理員安全管理員主要職責如下：負責安全制度的貫徹執(zhí)行；l 負責制訂信息系統(tǒng)安全規(guī)劃，并在實施過程中逐步完善；l 負責制定安全設(shè)備或系統(tǒng)的相關(guān)資產(chǎn)清單。內(nèi)容包括資產(chǎn)名稱、重要程度、所處位置等；l 負責制定安全設(shè)備或系統(tǒng)的文檔化的操作和維護規(guī)程，使得運維人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性；l 負責對安全設(shè)備或系統(tǒng)運行維護管理，對安全設(shè)備或系統(tǒng)運轉(zhuǎn)情況進行定期巡檢、維護、故障處理和變更管理。負責組織實施安全設(shè)備或系統(tǒng)各類事故（故障）的應(yīng)急處理；l 每年進行風險評估，根據(jù)評估結(jié)果會同其他負責人進行風險處置；l 負責協(xié)助領(lǐng)導安排安全培訓，負責協(xié)助負責制定每年安全教育計劃，加強信息系統(tǒng)的安全教育，通過各種方式進行宣傳和培訓，提高全系統(tǒng)安全防范意識；l 負責制定安全檢查計劃包括檢查職責、檢查周期、檢查范圍、檢查內(nèi)容、檢查報告的編制、檢查整改、檢查通報等內(nèi)容。對信息系統(tǒng)安全檢查并進行情況通報。對記錄進行收集、整理、歸檔。(詳見附11)l 當出現(xiàn)安全事件時，負責對發(fā)生的安全事件及時上報，并配合相關(guān)的調(diào)查和糾正工作；l 當信息系統(tǒng)運行發(fā)生重大問題時，協(xié)助相關(guān)部門正確判斷原因，根據(jù)指令立即采取安全措施啟動相關(guān)處理程序；l 負責與外部安全機構(gòu)的協(xié)調(diào)聯(lián)系，在發(fā)生重大安全事件時以協(xié)調(diào)獲取外部安全機構(gòu)的支持；l 負責對介質(zhì)的管理，對介質(zhì)的歸檔、查詢和借用進行記錄，對介質(zhì)進行定期盤點并記錄，對故障介質(zhì)的進行送修和銷毀并記錄，對于保密性高的介質(zhì)銷毀需要申報領(lǐng)導批準，并進行記錄。對介質(zhì)物理傳輸?shù)慕唤舆M