【正文】 管理體系作出了概括性描述，為建立、實(shí)施和保持信息安全管理體系提供框架。 刪減說明 本《信息安全管理體系手冊(cè)》采用了 ISO/IEC27001:2021標(biāo)準(zhǔn)正文的全部?jī)?nèi)容，對(duì)附錄 A的刪減及理由詳見《信息安全適用性聲明 SoA》。 ISO/IEC 27001:2021《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》 ISO/IEC 27002:2021《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》 3 術(shù)語(yǔ)和定義 術(shù)語(yǔ) ISO/IEC 27001:2021《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》、 ISO/IEC 27002:2021《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》規(guī)定的術(shù)語(yǔ)和定義以及下述定義適用于本《信息安全管理體系手冊(cè)》。 PDCA 模型 信息安全管理體系使用的過程基于圖 1所示的 PDCA模型。按信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)管理程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇 信息安全管理小組和相關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。 c) 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。該聲明包括以下方面的內(nèi)容： a) 所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因； b) 對(duì) ISO/IEC 27001:2021附錄 A中未選用的控制目標(biāo)及控制措施理由的說明。 本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計(jì)劃，對(duì)單位、部門信息安全工作進(jìn) 行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。 各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。 管理評(píng)審 根據(jù)以上活動(dòng)的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審，其中包括信息安全管理體系的范圍、方針、目標(biāo)的符合性及控制措施有效性的評(píng)審，考慮信息安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。 風(fēng)險(xiǎn)再評(píng)估 信息安全管理小組組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平，對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估： a) 組織； b) 技術(shù)； c) 業(yè)務(wù)目標(biāo)和過程； d) 已識(shí)別的威脅； e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。 保持與持續(xù)改進(jìn)信息安全管理體系 我公司開展以下活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)： a) 實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目； b) 按照本手冊(cè)第 6章和第 8章的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性； c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi) 部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。對(duì)《信息安全管理體系手冊(cè)》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、 批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。 職責(zé) 信息安全管理小組按《記錄控制程序》的要求，對(duì)記 錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等進(jìn)行管理。 歸檔 需要?dú)w檔的記錄，按《記錄控制程序》執(zhí)行，屬于電子數(shù)據(jù)的記錄，按《重要信息備份管理程序》執(zhí)行?？梢酝ㄟ^： a) 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力； b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其 他的措施來滿足這些需求； c) 評(píng)價(jià)所采取措施的有效性； d) 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄。 內(nèi)審策劃 信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對(duì)審核工作進(jìn)行策劃。審核員不應(yīng)審核自己的工作。 各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫《內(nèi)部審核員評(píng)定表》，經(jīng)信息安全管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。 7 管理評(píng)審 總則 總經(jīng)理應(yīng)每年進(jìn)行一次管理評(píng)審，以確保信息安全管理體系持續(xù)的適 宜性、充分性和有效性，管理評(píng)審按《管理評(píng)審程序》進(jìn)行。 評(píng)審輸出 管理評(píng)審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施： a) 信息安全管理體系有效性的改進(jìn)； b) 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃； c) 必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化： 1) 業(yè)務(wù)要求； 2) 安全要求； 3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程； 4) 法律法規(guī)要求； 5) 合同責(zé)任； 6) 風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。 糾正措施的實(shí)施按《糾正措施控制程序》進(jìn)行。 預(yù)防措施的實(shí)施按《預(yù)防措施控制程序》進(jìn)行。 附錄 1組織概況 xx 是一家基于 SOA 軟件架構(gòu)的電子政務(wù)軟件開發(fā)與系統(tǒng)集成商，自成立以來致力于 SOA基礎(chǔ)平臺(tái)的設(shè)計(jì)和開發(fā)并針對(duì)電子政務(wù)應(yīng)用特點(diǎn)，以強(qiáng)調(diào)管理驅(qū)動(dòng)力與用戶體驗(yàn)的開發(fā)思想促進(jìn)電子政務(wù)軟件行業(yè)的變革和發(fā)展。團(tuán)隊(duì)擁有豐富的電子政務(wù)規(guī)劃與項(xiàng)目實(shí)施經(jīng)驗(yàn)，通過服務(wù)創(chuàng)造價(jià)值，提升政府公共服務(wù)能力，提升政府行政效能，實(shí)現(xiàn)科學(xué)發(fā)展。為政府提供決策支持、績(jī)效管理、政務(wù)公開、公文傳遞、會(huì)議管理、任務(wù)督辦、基礎(chǔ)信息庫(kù)建設(shè)等綜合信息業(yè)務(wù)處理。 我公司信息安全管理小組定期組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，以 識(shí)別變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識(shí)別預(yù)防措施要求。 預(yù)防措施 本公司信息安全管理小組處理預(yù)防措施，潛在不符合事項(xiàng)的相關(guān)部門采取預(yù)防措施，以消除潛在與信息安全管理體系要求不符合或不期望事項(xiàng)發(fā)生的原因，防止其發(fā)生。 惠州培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 8 信息安全管理體系改進(jìn) 持續(xù)改進(jìn) 本公司依據(jù)《糾正措施控制程序》和《預(yù)防措施控制程序》的要求 ,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評(píng)審（見本手冊(cè)第 7章），持續(xù)改進(jìn)信息安全管理體系的有效性。 管理評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。 不符合處理 對(duì)審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理小組對(duì)糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入《不符合項(xiàng)報(bào)告及糾正報(bào)告單》。 內(nèi)審員 內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。 每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計(jì)劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。 6 內(nèi)部信息安全管理體系審核 總則 要求 本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報(bào)告結(jié)果和保持記錄。 惠州培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 資源管理 資源的提供 本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工