【文章內(nèi)容簡介】 體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標和控制措施；明確信息安全的管理職責b) 識別并滿足適用法律、法規(guī)和相關方信息安全要求； c) 定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保證體系的持續(xù)有效性；d）采用先進有效的設施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共享；e) 對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；f) 制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。 風險評估的方法行政中心負責制定《信息安全風險評估管理程序》，建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。信息安全風險評估執(zhí)行《信息安全風險評估管理程序》，以保證所選擇的風險評估方法應確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。 識別風險在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風險評估管理程序》，對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、人員、服務、文檔。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、可用性、法律法規(guī)符合性要求進行了量化賦值，形成了《資產(chǎn)識別清單》。同時，根據(jù)《信息安全風險評估管理程序》，識別了對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。 分析和評價風險本公司按《信息安全風險評估管理程序》，采用人工分析法，分析和評價風險：a) 針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后果進行賦值；b) 針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進行賦值；c) 根據(jù)《信息安全風險評估管理程序》計算風險等級；d) 根據(jù)《信息安全風險評估管理程序》及風險接受準則，判斷風險為可接受或需要處理。 識別和評價風險處理的選擇行政中心組織有關部門根據(jù)風險評估的結(jié)果，形成《信息安全不可接受風險處理計劃》，該計劃明確了風險處理責任部門、負責人、目的、范圍以及處置策略。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴) 消減風險（通過適當?shù)目刂拼胧┙档惋L險發(fā)生的可能性）；b) 接受風險（風險值不高或者處理的代價高于風險引起的損失，公司決定接受該風險/殘余風險）；c) 規(guī)避風險（決定不進行引起風險的活動，從而避免風險）；d) 轉(zhuǎn)移風險（通過購買保險、外包等方法把風險轉(zhuǎn)移到外部機構(gòu)）。行政中心根據(jù)信息安全方針、業(yè)務發(fā)展要求及風險評估的結(jié)果，組織有關部門制定了信息安全目標，并將目標分解到有關部門（見《適用性聲明》）：a)信息安全控制目標獲得了信息安全最高責任者的批準。b)控制目標及控制措施的選擇原則來源于GB/T220802008idtISO27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》附錄A，具體控制措施參考GB/T220812008idtISO27002:2005《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》。c)本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。 對風險處理后的殘余風險，得到了公司最高管理者的批準。 最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權(quán)。 適用性聲明行政中心負責編制《適用性聲明》（SoA）。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標與控制措施的概要描述，以及選擇的原因；b)對GB/T220802008idtISO27001:2005附錄A中未選用的控制目標及控制措施理由的說明（本公司未涉及此項業(yè)務）。實施及運作信息安全管理體系，對已識別的風險進行有效處理，本公司開展以下活動：a)形成《信息安全不可接受風險處理計劃》，以確定適當?shù)墓芾泶胧⒙氊熂鞍踩刂拼胧┑膬?yōu)先級；b)為實現(xiàn)已確定的安全目標、實施《信息安全不可接受風險處理計劃》，明確各崗位的信息安全職責；c)實施所選擇的控制措施，以實現(xiàn)控制目標的要求；d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結(jié)果；e)進行信息安全培訓，提高全員信息安全意識和能力；f)對信息安全體系的運作進行管理；g)對信息安全所需資源進行管理；h)實施控制程序，對信息安全事件（或征兆）進行迅速反應。 信息安全組織機構(gòu)本公司成立了信息安全領導機構(gòu)信息安全委員會，其職責是實現(xiàn)信息安全管理體系方針和本公司承諾。具體職責是：研究決定貫標工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為貫標工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司體系推進由行政中心負責，其主要負責制訂、落實貫標工作計劃，對單位、部門貫標工作進行檢查、指導和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司由相關部門代表組成信息安全委員會，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準信息安全的方法和過程，如風險評估、信息分類；d) 識別重大的威脅變化，以及信息和相關的信息處理設施對威脅的暴露；e) 評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f) 有效的推動組織內(nèi)信息安全教育、培訓和意識；g) 評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別的信息安全事件推薦適當?shù)拇胧?本公司總經(jīng)理為信息安全最高責任者?？偨?jīng)理指定了信息安全管理者代表。無論信息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責：a) 建立并實施信息安全管理體系必要的程序并維持其有效運行；b) 對信息安全管理體系的運行情況和必要的改善措施向信息安全委員會或最高責任者報告。各部門負責人為本部門信息安全管理責任者，全體員工都應按保密承諾的要求自覺履行信息安全保密義務；各部門、人員有關信息安全職責分配見附錄C（規(guī)范性附錄）《信息安全管理職責明細表》和相應的程序文件。 各部門應按照《適用性聲明》中規(guī)定的安全目標、控制措施（包括安全運行的各種控制程序）的要求實施信息安全控制措施。監(jiān)督與評審信息安全管理體系、內(nèi)部審核、事故（事件）報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控