【正文】 《預(yù)防措施管理程序》應(yīng)規(guī)定以下方面的要求：a) 識別潛在的不符合及其原因；b) 評價預(yù)防不符合發(fā)生的措施要求；c) 確定并實施所需的預(yù)防措施；d) 記錄所采取措施的結(jié)果；e) 評審所采取的預(yù)防措施。 最高管理者主持召開管理評審會議，并根據(jù)評審結(jié)果，做出管理評審結(jié)論性評價，對信息安全管理體系中存在主要問題確定糾正和預(yù)防措施責(zé)成有關(guān)部門落實整改。管理評審總則，以確保其持續(xù)的適宜性、充分性和有效性。應(yīng)編制內(nèi)審年度計劃，確定審核的準(zhǔn)則、范圍、頻次和方法。ISMS職能分配表注：▲ 主要責(zé)任 △ 次要責(zé)任主 管 部 門手冊條款總經(jīng)理管理者代表行政中心項目中客服中心4信息安全管理體系總體要求▲△△△△建立ISMS▲▲▲▲實施ISMS▲▲▲▲監(jiān)視和評審ISMS▲△△△保持和改進(jìn)ISMS▲△△△文件控制△▲△△記錄控制△▲△△5管理職責(zé)管理承諾▲△△△資源提供▲△△△培訓(xùn)意識和能力▲▲△△6ISMS內(nèi)部審計▲▲△△7ISMS管理評審▲△▲△△8改進(jìn)持續(xù)改進(jìn)▲▲▲△△糾正措施▲▲△△預(yù)防措施▲△▲△△A5安全方針▲△△△A6信息安全組織▲△△△A7資產(chǎn)管理▲▲△△A8人力資源管理▲▲△△A9物理和環(huán)境安全▲▲△△A10通訊和操作管理▲△▲△A11訪問控制▲△▲△A12信息系統(tǒng)的獲取，開發(fā)和維護▲△▲△A13信息安全事故管理▲▲△△A14業(yè)務(wù)持續(xù)性管理▲△▲△A15符合性▲▲△△管理職責(zé)管理承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)：a) 建立信息安全方針()；b) 確保信息安全目標(biāo)得以制定（、《適用性聲明》、《信息安全不可接受風(fēng)險處理計劃》及相關(guān)記錄）；c) 建立信息安全的角色和職責(zé)（見本手冊附錄E）；d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；e) 提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進(jìn)信息安全管理體系()；f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受等級(見《信息安全風(fēng)險評估管理程序》及相關(guān)記錄)；g) 確保內(nèi)部信息安全管理體系審核（見本手冊第6章）得以實施； h) 實施信息安全管理體系管理評審（見本手冊第7章）。如：《文件和資料管理程序》、《記錄管理程序》、《內(nèi)部審核管理程序》等；e) 為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f)《信息安全風(fēng)險評估報告》、《信息安全不可接受風(fēng)險處理計劃》以及信息安全管理體系要求的記錄類文件；g) 相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；h) 適用性聲明（SOA）。 行政中心應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險評估管理程序》的要求，對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審，以驗證殘余風(fēng)險是否達(dá)到可接受的水平，對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估：a) 組織； b) 技術(shù)；c) 業(yè)務(wù)目標(biāo)和過程；d) 已識別的威脅；e) 實施控制的有效性； f) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。 本公司總經(jīng)理為信息安全最高責(zé)任者。 最高管理者通過本手冊對實施和運行信息安全管理體系進(jìn)行了授權(quán)。同時，根據(jù)《信息安全風(fēng)險評估管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針。主要為：政府、供方、銀行、用戶、電信等。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，行政中心應(yīng)研究是否可使用這些文件的最新版本。換版應(yīng)在管理評審時形成決議，重新實施編制、審批工作。2．定期對業(yè)務(wù)持續(xù)性計劃進(jìn)行測試和更新。2．采用先進(jìn)的風(fēng)險評估技術(shù)，定期進(jìn)行風(fēng)險評估，以識別本公司風(fēng)險的變化。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。本授權(quán)書自任命日起生效執(zhí)行。 iso27001信息安全管理手冊信息安全管理手冊版本號：目 錄01 頒布令 102 管理者代表授權(quán)書 203 企業(yè)概況 304 信息安全管理方針目標(biāo) 305 手冊的管理 6信息安全管理手冊 71 范圍 7 總則 7 應(yīng)用 72 規(guī)范性引用文件 83 術(shù)語和定義 8 本公司 8 信息系統(tǒng) 8 計算機病毒 8 信息安全事件 8 相關(guān)方 84 信息安全管理體系 9 概述 9 建立和管理信息安全管理體系 9 文件要求 155 管理職責(zé) 18 管理承諾 18 資源管理 186 內(nèi)部信息安全管理體系審核 19 總則 19 內(nèi)審策劃 19 內(nèi)審實施 197 管理評審 21 總則 21 評審輸入 21 評審輸出 21 評審程序 228 信息安全管理體系改進(jìn) 23 持續(xù)改進(jìn) 23 糾正措施 23 預(yù)防措施 2301 頒布令 為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動的正常進(jìn)行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失，我公司開展貫徹GB/T220802008idtISO27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》國際標(biāo)準(zhǔn)工作，建立、實施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了《信息安全管理手冊》?？?經(jīng) 理：