【正文】 評審，以確保范圍的充分性，并識別ISMS過程的改進(jìn)。c) 測量控制措施的有效性，以證實(shí)安全要求已得到滿足。g) 對ISMS的資源進(jìn)行管理。d) 確定如何測量所選擇的一個(gè)/組控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果。注：適用性聲明提供了一個(gè)風(fēng)險(xiǎn)處理決策的總結(jié)。i) 獲得管理者對實(shí)施和運(yùn)行ISMS的授權(quán)。公司也可根據(jù)需要選擇另外的控制目標(biāo)和控制措施。選擇時(shí)，應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。4) 將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如保險(xiǎn)公司、供方。f) 識別并評價(jià)風(fēng)險(xiǎn)處理的選擇：對于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?) 應(yīng)用適當(dāng)?shù)目刂埔越档惋L(fēng)險(xiǎn)：這可能是降低事件發(fā)生的可能性，也可能是降低安全失敗(保密性、完整性或可用性丟失)的業(yè)務(wù)損害。e) 分析并評價(jià)風(fēng)險(xiǎn)：1) 在資產(chǎn)識別的基礎(chǔ)上，針對每一項(xiàng)重要信息資產(chǎn)，依據(jù)《風(fēng)險(xiǎn)評估原則》中的信息資產(chǎn)CIAB分級標(biāo)準(zhǔn)，進(jìn)行CIAB的資產(chǎn)賦值計(jì)算；2) 針對每一項(xiàng)重要信息資產(chǎn)，參考《風(fēng)險(xiǎn)評估原則》中的《威脅參考表》及以往的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出重要信息資產(chǎn)所面臨的所有威脅；3) 按照《風(fēng)險(xiǎn)評估原則》中的《威脅分級標(biāo)準(zhǔn)》對每一個(gè)威脅發(fā)生的可能進(jìn)行賦值；4) 針對每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考《風(fēng)險(xiǎn)評估原則》中的《脆弱性參考表》識別出被該威脅可能利用的所有薄弱點(diǎn)，并根據(jù)《風(fēng)險(xiǎn)評估原則》中的《脆弱性分級標(biāo)準(zhǔn)》對每一個(gè)脆弱性被威脅利用的難易程度進(jìn)行賦值；5) 按照風(fēng)險(xiǎn)評估模型結(jié)合威脅和脆弱性賦值對風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行評價(jià)。確定ISMS范圍事件發(fā)生的影響事件發(fā)生的可能性資產(chǎn)識別與重要資產(chǎn)確定威脅識別已有控制措施確認(rèn)薄弱點(diǎn)識別保持已有的控制措施施施施選擇目標(biāo)及控制措施實(shí) 施殘余風(fēng)險(xiǎn)評審YESNo是否接受確定風(fēng)險(xiǎn)等級Yesd) 識別風(fēng)險(xiǎn)： 1) 識別ISMS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的ISMS范圍內(nèi)，對所有的信息資產(chǎn)進(jìn)行列表識別。具體參照國家《信息安全風(fēng)險(xiǎn)評估規(guī)范》標(biāo)準(zhǔn)。1) 識別適用于ISMS和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評估方法。b)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS方針，必須滿足以下要求：1) 為ISMS目標(biāo)建立一個(gè)框架并為信息安全活動建立整體的方向和原則；2) 考慮業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全義務(wù)；3) 與公司戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持ISMS；4) 建立風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則；5) 總經(jīng)理批準(zhǔn)發(fā)布ISMS方針。 縮寫ISMS：Information Security Management Systems 信息安全管理體系；SOA: Statement of Applicability 適用性聲明； PDCA: Plan Do Check Action 計(jì)劃、實(shí)施、檢查、改進(jìn)。下列文件中的條款通過本《信息安全管理手冊》的引用而成為本《信息安全管理手冊》的條款?；A(chǔ)：創(chuàng)新、規(guī)范、軟件：規(guī)范化、規(guī)?；能浖S行業(yè)軟件產(chǎn)品開發(fā)國內(nèi)定制軟件開發(fā)國外定制軟件開發(fā)弱電工程：特定行業(yè)內(nèi)領(lǐng)先行業(yè)內(nèi)的優(yōu)秀解決方案自有知識產(chǎn)權(quán)的軟硬件一體化產(chǎn)品信息安全管理手冊 總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系（簡稱ISMS），確定信息安全方針和目標(biāo)，對信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊。公司努力為全體員工提供優(yōu)厚的待遇、良好的工作環(huán)境，隨著公司的發(fā)展，使員工個(gè)人也得到進(jìn)步和發(fā)展。公司一百五十多名員工中，本科以上畢業(yè)生占90%，其中不乏碩士、留學(xué)歸國人員等中高級人才。已經(jīng)形成一系列，包括，網(wǎng)上辦公OA、網(wǎng)上審批、報(bào)表統(tǒng)計(jì)、數(shù)據(jù)采集等產(chǎn)品。四、 指導(dǎo)思想l 推廣和使用先進(jìn)技術(shù)l 為社會提供有益的服務(wù)和產(chǎn)品l 創(chuàng)造物質(zhì)財(cái)富l 培養(yǎng)一批中產(chǎn)階級五、 長期目標(biāo)l 建立良好的工作硬環(huán)境l 引導(dǎo)公司內(nèi)部和諧的人際關(guān)系l 提供優(yōu)厚的薪酬待遇l 為員工個(gè)人發(fā)展提供平臺l 建立長期健康、平穩(wěn)發(fā)展的機(jī)制六、 主要業(yè)務(wù)l 軟件開發(fā)：“一點(diǎn)智慧”長期從事工程造價(jià)行業(yè)的軟件研發(fā)，專業(yè)種類齊全。測試部：公司所有軟、硬件產(chǎn)品的測試。二、 股權(quán)結(jié)構(gòu)公司管理者公司骨干員工、三、 部門劃分董事會下的總經(jīng)理負(fù)責(zé)制。及其它的微軟系列開發(fā)工具。本授權(quán)書自任命日起生效執(zhí)行。2． 定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試演練和更新。五、報(bào)告安全事件1． 公司建立報(bào)告安全事件的渠道和相應(yīng)部門。四、風(fēng)險(xiǎn)評估1． 根據(jù)公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2. 對公司的相關(guān)方，如：軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、清潔等人員，也要明確安全要求和安全職責(zé)。4. 與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。：一、信息安全管理機(jī)制1．我們通過計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備提供軟件開發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)等服務(wù)，因此，信息資產(chǎn)的安全性對我們來說是非常重要的事情。200915金浩海金浩海曹立斌200915*變化狀態(tài)：C——創(chuàng)建，A——增加，M——修改，D——刪除目 錄01信息安全管理手冊發(fā)布令 402信息安全方針批準(zhǔn)令 503任 命 書 704公司介紹 8 9 總則 9 9 9 9 9 術(shù)語 9 縮寫 9 9 總要求 9 建立和管理ISMS 10 文件要求 14 16 管理承諾 16 資源管理 16 相關(guān)文件 176. ISMS內(nèi)部審核 17 總則 17 內(nèi)審策劃 17 內(nèi)審實(shí)施 177. ISMS 管理評審 17 總則 17 評審輸入 17 評審輸出 188 ISMS改進(jìn) 18 18 糾正措施 189. 記錄 19　受控文件清單 20 信息安全組織機(jī)構(gòu)圖 25 信息安全職責(zé)說明 26 江蘇蘇州金商科技發(fā)展有限公司新點(diǎn)2008年12月組織機(jī)構(gòu)圖 3001信息安全管理手冊發(fā)布令本《信息安全管理手冊》(以下簡稱手冊) ISO/IEC 27001:2005《信息安全管理體系要求》，并結(jié)合我們公司管理工作的實(shí)踐和公司組織機(jī)構(gòu)的設(shè)置而編寫的，體現(xiàn)了我們公司對信息安全的承諾及持續(xù)改進(jìn)的要求。本手冊貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實(shí)際運(yùn)作情況，可作為向客戶及第三方組織提供信息安全保證和進(jìn)行信息安全管理體系審核的依據(jù)，全體員工必須嚴(yán)格遵照執(zhí)行。為了保證各種信息資產(chǎn)的保密性、完整性、可用性，給客戶提供更加安心的服務(wù)，我們依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，全面保護(hù)公司的信息安全，并承諾如下：一、信息安全管理組織1. 總經(jīng)理對信息安全全面負(fù)責(zé)，批準(zhǔn)信息安全方針，確定安全要求，提供資源。二、人員安全1. 信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。 3. 定期對全體員工進(jìn)行信息安全相關(guān)教育和培訓(xùn)，包括：技能、職責(zé)等，以提高安全意識。2． 定期進(jìn)行風(fēng)險(xiǎn)評估，以識別公司風(fēng)險(xiǎn)的變化。2． 全體員工有報(bào)告安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。八、違反信息安全要求的懲罰1． 對違反安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。04公司介紹一、 公司簡介首批通過認(rèn)定的軟件企業(yè)、江蘇省高新技術(shù)企業(yè)；通過ISO9000質(zhì)量體系認(rèn)定，通過CMMI L3認(rèn)證評估；建筑智能化設(shè)計(jì)甲級、施工三級；江蘇省軟件和集成電路專項(xiàng)基金項(xiàng)目開發(fā)承擔(dān)者。主要軟件產(chǎn)品有：政府版OA、網(wǎng)站大師、數(shù)據(jù)整合、報(bào)表統(tǒng)計(jì)、系列造價(jià)軟件等，其中套裝軟件累計(jì)銷售20000多套，同時(shí)為200多個(gè)政府部門