【正文】 管理體系作出了概括性描述，為建立、實(shí)施和保持信息安全管理體系提供框架。 刪減說明 本《信息安全管理體系手冊》采用了 ISO/IEC27001:2021標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄 A的刪減及理由詳見《信息安全適用性聲明 SoA》。 ISO/IEC 27001:2021《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》 ISO/IEC 27002:2021《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》 3 術(shù)語和定義 術(shù)語 ISO/IEC 27001:2021《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》、 ISO/IEC 27002:2021《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》規(guī)定的術(shù)語和定義以及下述定義適用于本《信息安全管理體系手冊》。 PDCA 模型 信息安全管理體系使用的過程基于圖 1所示的 PDCA模型。按信息安全風(fēng)險評估執(zhí)行《信息安全風(fēng)險管理程序》進(jìn)行，以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 識別和評價風(fēng)險處理的選擇 信息安全管理小組和相關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成《信息安全風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。 c) 本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。該聲明包括以下方面的內(nèi)容： a) 所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因； b) 對 ISO/IEC 27001:2021附錄 A中未選用的控制目標(biāo)及控制措施理由的說明。 本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作計劃，對單位、部門信息安全工作進(jìn) 行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。 各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)。 管理評審 根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少一次對信息安全管理體系的有效性進(jìn)行評審，其中包括信息安全管理體系的范圍、方針、目標(biāo)的符合性及控制措施有效性的評審，考慮信息安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。 風(fēng)險再評估 信息安全管理小組組織有關(guān)部門按照《信息安全風(fēng)險管理程序》的要求，對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估： a) 組織； b) 技術(shù)； c) 業(yè)務(wù)目標(biāo)和過程； d) 已識別的威脅； e) 實(shí)施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。 保持與持續(xù)改進(jìn)信息安全管理體系 我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進(jìn)： a) 實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進(jìn)的項目； b) 按照本手冊第 6章和第 8章的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性； c) 通過適當(dāng)?shù)氖侄伪３衷趦?nèi) 部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。對《信息安全管理體系手冊》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評審、 批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、回收等工作實(shí)施控制，以確保在使用場所能夠及時獲得適用文件的有效版本。 職責(zé) 信息安全管理小組按《記錄控制程序》的要求，對記 錄的標(biāo)識、儲存、保護(hù)、檢索、保管、廢棄等進(jìn)行管理。 歸檔 需要?dú)w檔的記錄，按《記錄控制程序》執(zhí)行，屬于電子數(shù)據(jù)的記錄，按《重要信息備份管理程序》執(zhí)行?？梢酝ㄟ^： a) 確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力； b) 提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其 他的措施來滿足這些需求； c) 評價所采取措施的有效性； d) 保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄。 內(nèi)審策劃 信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性以及以往審核的結(jié)果，對審核工作進(jìn)行策劃。審核員不應(yīng)審核自己的工作。 各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫《內(nèi)部審核員評定表》，經(jīng)信息安全管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。 7 管理評審 總則 總經(jīng)理應(yīng)每年進(jìn)行一次管理評審，以確保信息安全管理體系持續(xù)的適 宜性、充分性和有效性，管理評審按《管理評審程序》進(jìn)行。 評審輸出 管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施： a) 信息安全管理體系有效性的改進(jìn)； b) 更新風(fēng)險評估和風(fēng)險處理計劃； c) 必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化： 1) 業(yè)務(wù)要求； 2) 安全要求； 3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程； 4) 法律法規(guī)要求； 5) 合同責(zé)任； 6) 風(fēng)險等級和（或）風(fēng)險接受準(zhǔn)則。 糾正措施的實(shí)施按《糾正措施控制程序》進(jìn)行。 預(yù)防措施的實(shí)施按《預(yù)防措施控制程序》進(jìn)行。 附錄 1組織概況 xx 是一家基于 SOA 軟件架構(gòu)的電子政務(wù)軟件開發(fā)與系統(tǒng)集成商，自成立以來致力于 SOA基礎(chǔ)平臺的設(shè)計和開發(fā)并針對電子政務(wù)應(yīng)用特點(diǎn)，以強(qiáng)調(diào)管理驅(qū)動力與用戶體驗(yàn)的開發(fā)思想促進(jìn)電子政務(wù)軟件行業(yè)的變革和發(fā)展。團(tuán)隊擁有豐富的電子政務(wù)規(guī)劃與項目實(shí)施經(jīng)驗(yàn)，通過服務(wù)創(chuàng)造價值，提升政府公共服務(wù)能力，提升政府行政效能，實(shí)現(xiàn)科學(xué)發(fā)展。為政府提供決策支持、績效管理、政務(wù)公開、公文傳遞、會議管理、任務(wù)督辦、基礎(chǔ)信息庫建設(shè)等綜合信息業(yè)務(wù)處理。 我公司信息安全管理小組定期組織進(jìn)行風(fēng)險評估，以 識別變化的風(fēng)險，并通過關(guān)注變化顯著的風(fēng)險來識別預(yù)防措施要求。 預(yù)防措施 本公司信息安全管理小組處理預(yù)防措施，潛在不符合事項的相關(guān)部門采取預(yù)防措施，以消除潛在與信息安全管理體系要求不符合或不期望事項發(fā)生的原因，防止其發(fā)生。 惠州培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 8 信息安全管理體系改進(jìn) 持續(xù)改進(jìn) 本公司依據(jù)《糾正措施控制程序》和《預(yù)防措施控制程序》的要求 ,通過使用信息安全方針、信息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施以及管理評審（見本手冊第 7章），持續(xù)改進(jìn)信息安全管理體系的有效性。 管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。 不符合處理 對審核中提出的不符合項，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理小組對糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入《不符合項報告及糾正報告單》。 內(nèi)審員 內(nèi)部審核員必須是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。 每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計劃》，確定審核的準(zhǔn)則、范圍、日程和審核組。 6 內(nèi)部信息安全管理體系審核 總則 要求 本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實(shí)施信息安全管理體系內(nèi)部審核以及報告結(jié)果和保持記錄。 惠州培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 資源管理 資源的提供 本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理體系工作的員工