【文章內(nèi)容簡(jiǎn)介】 體系方針，本公司承諾：a) 在各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全目標(biāo)和控制措施；明確信息安全的管理職責(zé)b) 識(shí)別并滿(mǎn)足適用法律、法規(guī)和相關(guān)方信息安全要求； c) 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保證體系的持續(xù)有效性；d）采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類(lèi)信息，實(shí)現(xiàn)信息共享；e) 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和能力；f) 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。 風(fēng)險(xiǎn)評(píng)估的方法行政中心負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 識(shí)別風(fēng)險(xiǎn)在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別，并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、人員、服務(wù)、文檔。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類(lèi)、保密性、完整性、可用性、法律法規(guī)符合性要求進(jìn)行了量化賦值，形成了《資產(chǎn)識(shí)別清單》。同時(shí)，根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。 分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，采用人工分析法，分析和評(píng)價(jià)風(fēng)險(xiǎn)：a) 針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值；b) 針對(duì)每一項(xiàng)威脅、薄弱點(diǎn)，對(duì)資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安全失效發(fā)生的可能性，并進(jìn)行賦值；c) 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí)；d) 根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接受或需要處理。 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇行政中心組織有關(guān)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門(mén)、負(fù)責(zé)人、目的、范圍以及處置策略。對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧篴) 消減風(fēng)險(xiǎn)（通過(guò)適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險(xiǎn)發(fā)生的可能性）；b) 接受風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者處理的代價(jià)高于風(fēng)險(xiǎn)引起的損失，公司決定接受該風(fēng)險(xiǎn)/殘余風(fēng)險(xiǎn)）；c) 規(guī)避風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)，從而避免風(fēng)險(xiǎn)）；d) 轉(zhuǎn)移風(fēng)險(xiǎn)（通過(guò)購(gòu)買(mǎi)保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。行政中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門(mén)制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門(mén)（見(jiàn)《適用性聲明》）：a)信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b)控制目標(biāo)及控制措施的選擇原則來(lái)源于GB/T220802008idtISO27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》附錄A，具體控制措施參考GB/T220812008idtISO27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》。c)本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。 對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)，得到了公司最高管理者的批準(zhǔn)。 最高管理者通過(guò)本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。 適用性聲明行政中心負(fù)責(zé)編制《適用性聲明》（SoA）。該聲明包括以下方面的內(nèi)容：a)所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b)對(duì)GB/T220802008idtISO27001:2005附錄A中未選用的控制目標(biāo)及控制措施理由的說(shuō)明（本公司未涉及此項(xiàng)業(yè)務(wù)）。實(shí)施及運(yùn)作信息安全管理體系，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展以下活動(dòng)：a)形成《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級(jí)；b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；c)實(shí)施所選擇的控制措施，以實(shí)現(xiàn)控制目標(biāo)的要求；d)確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e)進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識(shí)和能力；f)對(duì)信息安全體系的運(yùn)作進(jìn)行管理；g)對(duì)信息安全所需資源進(jìn)行管理；h)實(shí)施控制程序，對(duì)信息安全事件（或征兆）進(jìn)行迅速反應(yīng)。 信息安全組織機(jī)構(gòu)本公司成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)信息安全委員會(huì)，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項(xiàng)；審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件；為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司體系推進(jìn)由行政中心負(fù)責(zé)，其主要負(fù)責(zé)制訂、落實(shí)貫標(biāo)工作計(jì)劃，對(duì)單位、部門(mén)貫標(biāo)工作進(jìn)行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運(yùn)行。本公司由相關(guān)部門(mén)代表組成信息安全委員會(huì)，采用聯(lián)席會(huì)議（協(xié)調(diào)會(huì)）的方式，進(jìn)行信息安全協(xié)調(diào)和協(xié)作，以：a) 確保安全活動(dòng)的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準(zhǔn)信息安全的方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估、信息分類(lèi)；d) 識(shí)別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露；e) 評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性；f) 有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí)；g) 評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息，并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定了信息安全管理者代表。無(wú)論信息安全管理者代表在其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a) 建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b) 對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全委員會(huì)或最高責(zé)任者報(bào)告。各部門(mén)負(fù)責(zé)人為本部門(mén)信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全保密義務(wù)；各部門(mén)、人員有關(guān)信息安全職責(zé)分配見(jiàn)附錄C（規(guī)范性附錄）《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。 各部門(mén)應(yīng)按照《適用性聲明》中規(guī)定的安全目標(biāo)、控制措施（包括安全運(yùn)行的各種控制程序）的要求實(shí)施信息安全控制措施。監(jiān)督與評(píng)審信息安全管理體系、內(nèi)部審核、事故（事件）報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控