【正文】 . xxxx有限公司定期對(duì)信息安全科技與創(chuàng)新應(yīng)用成果和效果進(jìn)行回顧。. 任何變更必須經(jīng)過授權(quán)，記錄在案并接受測(cè)試。等級(jí)為三級(jí)的信息系統(tǒng)每年進(jìn)行一次等級(jí)測(cè)評(píng)，等級(jí)為四級(jí)的信息系統(tǒng)每半年進(jìn)行一次等級(jí)測(cè)評(píng)。通過對(duì)信息系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行定級(jí)、測(cè)評(píng)和落實(shí)防護(hù)措施，確保信息系統(tǒng)安全控制措施滿足相關(guān)要求。. 人機(jī)工效的調(diào)查與評(píng)估的方式包括現(xiàn)場(chǎng)檢查、在線調(diào)查、收集員工的投訴與建議、借鑒同行業(yè)經(jīng)驗(yàn)等. xxxx有限公司應(yīng)對(duì)人機(jī)工效的調(diào)查和評(píng)估的結(jié)果分析，并制定措施加以改進(jìn)與優(yōu)化。. 操作細(xì)則應(yīng)包含意外的操作困難或技術(shù)難題出現(xiàn)時(shí)的支持聯(lián)系人。. 系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營(yíng)前，將作業(yè)指導(dǎo)書送安全管理組審核備案，進(jìn)入服務(wù)流程。. 系統(tǒng)管理員應(yīng)及時(shí)更新系統(tǒng)運(yùn)行檔案，確保系統(tǒng)運(yùn)行檔案的準(zhǔn)確性。當(dāng)無法確認(rèn)媒介中的信息級(jí)別，或確認(rèn)信息級(jí)別的代價(jià)較高時(shí)，應(yīng)統(tǒng)一按最嚴(yán)格的方式處理所有媒介。. 信息中心應(yīng)指定專門的介質(zhì)管理人員，對(duì)介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等進(jìn)行管理。. 建立終端軟件安裝許可清單，禁止安裝未經(jīng)許可的軟件，減少危險(xiǎn)源。. 信息中心應(yīng)對(duì)信息系統(tǒng)相關(guān)的各種設(shè)備的操作和使用進(jìn)行規(guī)范化管理，按操作規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷電等操作；. 信息中心應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點(diǎn)。. IT作業(yè)環(huán)境安全管理. 標(biāo)識(shí)管理. xxxx有限公司應(yīng)對(duì)IT作業(yè)環(huán)境所識(shí)別的標(biāo)識(shí)需求，確定對(duì)應(yīng)的標(biāo)識(shí)類別：a) 功能類b) 禁止類c) 警告類d) 指令類e) 提示類f) 公告類. xxxx有限公司應(yīng)按《xxxx有限公司IT服務(wù)管理體系》中的配置管理要求，對(duì)所有IT設(shè)備進(jìn)行配置標(biāo)識(shí)，要求如下：a) 內(nèi)容準(zhǔn)確、符合標(biāo)準(zhǔn)及現(xiàn)場(chǎng)實(shí)際b) 標(biāo)識(shí)清晰、位置明顯、對(duì)應(yīng)c) 安裝（張貼）規(guī)范. 分區(qū)管理. xxxx有限公司根據(jù)功能、類別及相關(guān)標(biāo)準(zhǔn)對(duì)IT 作業(yè)場(chǎng)所進(jìn)行分區(qū)管理，區(qū)域間應(yīng)有明顯邊界。c) 信息工作人員不少于 16 學(xué)時(shí)。d) 安裝不符合公司信息安全技術(shù)要求的軟件、硬件。. 第三方人員應(yīng)在合同中明確規(guī)定現(xiàn)場(chǎng)工作或遠(yuǎn)程維護(hù)工作內(nèi)容，如工作涉及機(jī)密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。. 對(duì)關(guān)鍵信息系統(tǒng)管理人員應(yīng)不定期地循環(huán)任職，實(shí)行定期考查制度，定期接受安全培訓(xùn)，加強(qiáng)自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。. 信息安全工作人員應(yīng)在從事信息安全的相關(guān)工作前，須參與相關(guān)培訓(xùn)和考核，考核合格經(jīng)授權(quán)后，才能從事信息安全的相關(guān)工作。. 各責(zé)任部門應(yīng)對(duì)本部門預(yù)防措施的實(shí)施加以控制，確保預(yù)防措施的有效性。注：以上內(nèi)容的詳細(xì)要求見《管理評(píng)審控制程序》。. 管理評(píng)審的輸入信息安全管理體系管理者代表應(yīng)組織相關(guān)部門按要求提供以下資料：(1) ISMS審核結(jié)果，包括第一方[內(nèi)部審核]、第二方和第三方審核的結(jié)果；(2) 相關(guān)方的反饋（投訴、抱怨、建議）；(3) 技術(shù)、產(chǎn)品和程序用于改進(jìn)ISMS執(zhí)行情況的有效性；(4) 糾正和預(yù)防措施的實(shí)施情況；(5) 以往信息安全風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；(6) 信息安全目標(biāo)實(shí)現(xiàn)程度；(7) 以往管理評(píng)審的跟蹤措施的實(shí)施情況；(8) 可能影響信息安全管理體系變更的事項(xiàng)（標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求）；(9) 對(duì)信息安全管理體系改善的建議。j) 禁止員工在網(wǎng)絡(luò)上偽裝為他人身份，禁止利用連網(wǎng)計(jì)算機(jī)從事危害單位網(wǎng)絡(luò)與信息安全的行為，不得危害或侵入服務(wù)器、工作站，不得有網(wǎng)絡(luò)攻擊行為。d) 離開辦公室或工作區(qū)域，須鎖定計(jì)算機(jī)屏幕或關(guān)閉計(jì)算機(jī)。d) 負(fù)責(zé)對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。b) 負(fù)責(zé)對(duì)所管轄的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全配置，并定期對(duì)所管轄的數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全檢查。b) 不得擅自改變系統(tǒng)配置和功能。c) 監(jiān)督信息系統(tǒng)的運(yùn)行情況，定期查看日志記錄，對(duì)信息系統(tǒng)資源的各種非法訪問事件進(jìn)行分析、提出安全風(fēng)險(xiǎn)防范對(duì)策。e) 負(fù)責(zé)對(duì)網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描。b) 組織開展信息安全檢查，對(duì)信息工作人員安全工作進(jìn)行指導(dǎo)和監(jiān)督。. 信息安全工作人員應(yīng)有計(jì)算機(jī)專業(yè)工作三年以上經(jīng)歷，及具備本科以上學(xué)歷?；鶎訂挝蛔詣?dòng)化專責(zé)是本單位范圍內(nèi)生產(chǎn)控制系統(tǒng)信息安全運(yùn)行工作的責(zé)任人兼信息安全員。. 組織對(duì)信息安全事故的調(diào)查取證工作，對(duì)其中涉及違紀(jì)違法、嚴(yán)重違規(guī)的事故配合人力資源部進(jìn)行調(diào)查，并提出處理意見。c) 每年組織對(duì)信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測(cè)試和演練。d) 信息安全領(lǐng)導(dǎo)小組下設(shè)兩個(gè)信息安全工作小組（包括管理信息系統(tǒng)信息安全工e) 作小組和生產(chǎn)控制系統(tǒng)信息安全工作小組）和應(yīng)急處理工作小組，并負(fù)責(zé)指導(dǎo)兩個(gè)工作組的工作。. 資源管理. 資源提供確保并提供實(shí)施、保持信息安全管理體系所需資源，并采取適當(dāng)措施，以保證：(1) 建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS；(2) 確保信息安全管理程序符合業(yè)務(wù)支持流程要求；(3) 識(shí)別和滿足法規(guī)要求以及合同中的安全義務(wù)；(4) 通過正確實(shí)施所有的控制措施保持適當(dāng)?shù)男畔踩?5) 必要時(shí)，應(yīng)對(duì)資源提供進(jìn)行評(píng)審，并按評(píng)審結(jié)果執(zhí)行；(6) 在需要時(shí)，改進(jìn)ISMS資源的有效性。. 文件要求. 總則根據(jù)GB/T220802008/ISO/IEC27001:2005信息安全管理體系標(biāo)準(zhǔn)要求并結(jié)合xxxx有限公司實(shí)際情況建立xxxx有限公司信息安全管理體系文件結(jié)構(gòu)，體系文件分為四級(jí)，分別為一級(jí)文件、二級(jí)文件、三級(jí)文件及四級(jí)記錄性文件。管理評(píng)審的具體要求，見本手冊(cè)第7章。注：該聲明的詳細(xì)內(nèi)容見《信息安全管理體系適用性聲明》。. 風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià)xxxx有限公司信息中心組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。xxxx有限公司信息安全管理體系的范圍和邊界包括：(1) 業(yè)務(wù)邊界：xxxx有限公司為開展供電業(yè)務(wù)，在管理信息大區(qū)范圍內(nèi)實(shí)施的信息安全管理。處置（保持和改進(jìn)ISMS）基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。注：基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求，制定控制目標(biāo)和控制措施。. 信息工作人員是指與關(guān)鍵信息系統(tǒng)（涉及公司生產(chǎn)、建設(shè)與經(jīng)營(yíng)、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)）直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)操作人員等。. 風(fēng)險(xiǎn)管理risk management指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。2. 規(guī)范性引用標(biāo)準(zhǔn). 《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43 號(hào)）. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 222392008）. 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 222402008）. 《信息安全技術(shù) 信息安全管理實(shí)用規(guī)則》（GB/T 220812008）. 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 209842007）. 國(guó)家相關(guān)法律、法規(guī)及合同的要求。. 根據(jù)管理變化、技術(shù)變化，公司定期修訂如下：1) 更新管理手冊(cè)、程序文件、作業(yè)指導(dǎo)書或管理制度、辦法；2) 更新培訓(xùn)要求；3) 更新應(yīng)急處置程序；. 對(duì)涉及到的所有信息安全風(fēng)險(xiǎn)進(jìn)行回顧分析；. 變化管理需文件化，并保存變化過程的相關(guān)記錄。第五章 信息安全會(huì)議1. 信息安全會(huì)議要求. 公司應(yīng)在每年一次的信息化工作會(huì)議上，總結(jié)匯報(bào)本年度的信息安全工作情況。字體設(shè)計(jì)簡(jiǎn)潔、凝聚、渾厚、擴(kuò)張，傳達(dá)xxxx通過與合作伙伴和員工的合力凝聚堅(jiān)固產(chǎn)品品質(zhì)，厚重企業(yè)誠(chéng)信、拼搏創(chuàng)新、走向國(guó)際、再創(chuàng)新高的思想。xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓660V/1140V系列、高壓CHH（3KV/6KV/10KV）系列等，～8000kW，滿足不同行業(yè)不同場(chǎng)合的各種變頻控制應(yīng)用需求?！秞xxx有限公司信息安全管理體系手冊(cè)》是公司在信息及信息系統(tǒng)安全方面的規(guī)范性文件，手冊(cè)闡述了限公司信息安全服務(wù)方針，信息安全目標(biāo)及信息安全管理體系的過程方法和策略，是公司信息安全管理體系建設(shè)實(shí)施的綱領(lǐng)和行動(dòng)準(zhǔn)則，是公司開展各項(xiàng)服務(wù)活動(dòng)的基本依據(jù)；是對(duì)社會(huì)各界證實(shí)我公司有能力穩(wěn)定地提供滿足國(guó)際標(biāo)準(zhǔn)信息安全要求以及客戶和法律法規(guī)相關(guān)要求的有效證據(jù)。2011年7月開展信息安全管理體系持續(xù)改進(jìn)建設(shè)，依據(jù)信息安全現(xiàn)狀和未來信息安全需求及GB/T220802008/ISO/IEC27001:2005信息安全管理體系的標(biāo)準(zhǔn)要求，建立了符合xxxx有限公司信息安全管理現(xiàn)狀和管理需求的信息安全管理體系，該體系覆蓋了GB/T220802008/ISO/IEC27001:2005信息安全管理體系的標(biāo)準(zhǔn)要求12個(gè)控制領(lǐng)域、39個(gè)控制目標(biāo)和133個(gè)控制措施。xxxx是國(guó)家級(jí)高新技術(shù)企業(yè)，擁有深圳市唯一的“變頻器工程技術(shù)研究開發(fā)中心”。使 命：竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶更有競(jìng)爭(zhēng)力。第四章 信息安全管理目標(biāo)根據(jù)國(guó)家信息安全等級(jí)保護(hù)要求、公司下達(dá)的目標(biāo)與指標(biāo)、公司信息化發(fā)展戰(zhàn)略目標(biāo)、信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果、信息用戶的滿意度，結(jié)合公司實(shí)現(xiàn)目標(biāo)所需的資源，識(shí)別公司的信息安全目標(biāo)與指標(biāo)。. 信息安全管理數(shù)據(jù)與記錄包括：1) 信息安全會(huì)議紀(jì)要2) 信息安全事故調(diào)查報(bào)告3) 信息安全事件整改報(bào)告4) 信息安全檢查整改方案5) 信息安全審計(jì)記錄6) 技術(shù)檔案資料7) 培訓(xùn)記錄8) 信息安全作業(yè)活動(dòng)數(shù)據(jù)與記錄9) 信息安全事件通報(bào)、整改活動(dòng)10) 信息安全檢查活動(dòng)11) 應(yīng)急演練活動(dòng)12) 信息系統(tǒng)定級(jí)備案活動(dòng)13) 信息安全審計(jì)活動(dòng)14) 信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)15) 數(shù)據(jù)與記錄要求：真實(shí)、完整、齊全、準(zhǔn)確、及時(shí)。. 任何人不得利用信息系統(tǒng)從事危害國(guó)家利益、集體利益和其他公民權(quán)益的活動(dòng)，不得從事危害xxxx有限公司信息系統(tǒng)安全的活動(dòng)。. 信息安全事態(tài) information security event信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。. 風(fēng)險(xiǎn)分析risk analysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。. 信息安全保持信息的保密性、完整性和可用性，另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等。. 信息安全等級(jí)保護(hù)是指根據(jù)國(guó)家信息安全等級(jí)保護(hù)相關(guān)管理文件，確定信息系統(tǒng)的安全保護(hù)等級(jí)，并開展相應(yīng)的信息系統(tǒng)安全等級(jí)保護(hù)工作。期望、法律法規(guī)策劃（D）措施實(shí)施檢查 圖 41 PDCA模型規(guī)劃（建立ISMS）建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織總方針和總目標(biāo)相一致的結(jié)果。采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002版）中所設(shè)置的原則。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、服務(wù)、人力資源。xxxx有限公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。(4) 各部門負(fù)責(zé)人為本部門信息安全管理者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù)；. 各部門應(yīng)按照《信息安全管理體系適用性聲明》中選擇的控制目標(biāo)與目標(biāo)的控制措施，確保ISMS有效實(shí)施與運(yùn)行，并開展以下活動(dòng)：(1) 確保信息安全風(fēng)險(xiǎn)的有效管理，制定《風(fēng)險(xiǎn)處理計(jì)劃》，以便明確管理措施、所需資源、工作職責(zé)及識(shí)別活動(dòng)的優(yōu)先順序；保證已識(shí)別的控制目標(biāo)實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》；(2) 確保處理風(fēng)險(xiǎn)所選擇的控制措施，以滿足控制目標(biāo)；(3) 確保所選控制措施有效測(cè)量；(4) 制定《信息安全培訓(xùn)計(jì)劃》并加以實(shí)施，提高全員信息安全意識(shí)和能力；(5) 管理ISMS的運(yùn)行；(6) 管理ISMS的資源；(7) 制定信息安全事件或事故的程序控制措施，以便迅速的檢測(cè)安全事件與安全事故的響應(yīng)。. 為了確保信息安全管理體系的持續(xù)有效，各級(jí)管理者應(yīng)通過適當(dāng)?shù)氖侄螌?duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的交流與溝通。注：以上程序詳細(xì)內(nèi)容見《記錄控制程序》。. 信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下：a) 對(duì)公司信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。. xxxx有限公司應(yīng)急處理工作小組. xxxx有限公司應(yīng)急處理工作小組組長(zhǎng)由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。. 組織開展xxxx有限公司的信息安全等級(jí)保護(hù)工作，并進(jìn)行xxxx有限公司信息安全評(píng)估和風(fēng)險(xiǎn)管理工作，組織編寫信息安全保護(hù)工作的總體技術(shù)規(guī)范、管理制度、技術(shù)方案和實(shí)施計(jì)劃，并負(fù)責(zé)組織實(shí)施。. 負(fù)責(zé)監(jiān)督管理其職責(zé)范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。組織本單位員工進(jìn)行信息安全知識(shí)的培訓(xùn)和宣傳工作。b) 信息安全工作人員發(fā)現(xiàn)信息工作人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單位、部門進(jìn)行調(diào)整。b) 負(fù)責(zé)防火墻系統(tǒng)策略的安全配置。j) 負(fù)責(zé)密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；k) 負(fù)責(zé)密切關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報(bào)告、最新惡性病毒的防范報(bào)警以及應(yīng)急處理辦法。d) 認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件。b) 不得對(duì)系統(tǒng)設(shè)置“后門”或添加“惡意代碼”。. 網(wǎng)絡(luò)管理員安全責(zé)任a) 負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則。b) 每個(gè)員工有責(zé)任確保本機(jī)須符合信息安全措施要求，包括加入域、安裝統(tǒng)一的防病毒軟件、軟件補(bǔ)丁，并定期升級(jí)。g) 發(fā)現(xiàn)緊急事件（如計(jì)算機(jī)感染病毒、非法入侵等）時(shí)，須首先斷開網(wǎng)絡(luò)連接，并及時(shí)報(bào)告信息服務(wù)中心或本單位信息安全人員處理。7. ISMS管理評(píng)審. 總則信息安全管理體系管