【正文】 7) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求 表 XXX有限公司 新點(diǎn) 2020年 12月組織機(jī)構(gòu)圖 董事會(huì)總經(jīng)理開發(fā)總監(jiān)市場(chǎng)總監(jiān)市場(chǎng)部實(shí)施部拓展部開發(fā)部測(cè)試部行政部 。 5) 負(fù)責(zé)公司信息安全內(nèi)部審核的管理。 10 實(shí)施部 1) 負(fù)責(zé)公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的管理和維護(hù)； 2) 負(fù)責(zé)了解世界計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)，為公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的更新和升級(jí)提出建議并予以實(shí)施； 3) 負(fù)責(zé)公司網(wǎng)站的管理、維護(hù)和內(nèi)容更新。 2) 負(fù)責(zé)確保本部門與信息處理設(shè)施相關(guān)的信息和資產(chǎn)進(jìn)行適當(dāng)?shù)淖R(shí)別和分類。 8) 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求 5 各部門的信息安全主管領(lǐng)導(dǎo) 1) 部門的信息安全主管領(lǐng)導(dǎo)由本部門部門長(zhǎng)擔(dān)任； 2) 負(fù)責(zé)協(xié)助信息安全工作小組建立本部門信息安 全管理制度和流程； 3) 部門的信息安全主管領(lǐng)導(dǎo)系本部門信息安全管理責(zé)任人，負(fù)責(zé)本部門的信息安全管理工作，負(fù)責(zé)保護(hù)本部門所擁有和管理的信息資產(chǎn)的安全； 4) 負(fù)責(zé)采取有效辦法，落實(shí)和推動(dòng)信息安全政策的實(shí)施； 5) 負(fù)責(zé)指導(dǎo)和要求本部門員工遵守信息安全政策； 6) 對(duì)違反安全政策的行為進(jìn)行內(nèi)部處罰； 7) 落實(shí)針對(duì)本部門的糾正措施 (包括內(nèi)部審核整改意見 )和預(yù)防措施。 10) 負(fù)責(zé)制定違反安全政策行為的標(biāo)準(zhǔn)，并對(duì)違反安全政策的人員和事件進(jìn)行確認(rèn)； 11) 負(fù)責(zé)調(diào)查安全事件，并維護(hù)安全事件的記錄報(bào)告 (包括調(diào)查結(jié)果和解決方法 ) ，定期總結(jié)安全事件記錄報(bào)告； 12) 識(shí)別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核 ISMS體系文檔的合規(guī)性 3 總經(jīng)理 1) 任命管理者代表，明確管理者代表的職責(zé)和權(quán)限； 2) 確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的重要性； 3) 為信息安全管理體系配備必要的資源； 4) 主持管理評(píng)審； 5) 負(fù)責(zé)公司信息安全管理和企業(yè)管理的計(jì)劃、組織、協(xié)調(diào)、監(jiān)督、控 6) 制和考核工作。 表 信息安全 組織 機(jī)構(gòu) 圖 XX 有限公司 新點(diǎn) 信息安全組織結(jié)構(gòu)圖 制表日期： ISMS 管理者代表 信息安全委 員 會(huì) 職務(wù) 姓名 部 門 備注 主任 經(jīng)理室 副主任 經(jīng)理室 成 員 開發(fā)部 行政部 市場(chǎng)部 市場(chǎng)部 市場(chǎng)部 實(shí)施部 測(cè)試部 開發(fā)部 開發(fā)部 開發(fā)部 開發(fā)部 開發(fā)部 開發(fā)部 開發(fā)部 信息安全工作小組 職務(wù) 姓名 部 門 備注 組長(zhǎng) 行政部 成 員 行政部 行政部 行政部 開發(fā)部 實(shí)施部 市場(chǎng)部 表 信息安全職責(zé)說明 序號(hào) 單位 /部門 信息安全職責(zé) 1 信息安全委員會(huì) 1) 負(fù)責(zé)公司的整體信息安全管理工作，負(fù)責(zé)公司信 息資產(chǎn)的安全； 2) 負(fù)責(zé)與國(guó)家信息安全主管機(jī)構(gòu)、上級(jí)主管部門的溝通和交流，負(fù)責(zé)有關(guān)信息安全工作的落實(shí)和推行，并負(fù)責(zé)報(bào)告本公司有關(guān)信息安全狀況和重要事件； 3) 負(fù)責(zé)協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標(biāo)、職責(zé)，并支持和推動(dòng)信息安全工作在公司范圍內(nèi)的實(shí)施； 4) 負(fù)責(zé)對(duì)與信息安全管理有關(guān)的重大事項(xiàng)進(jìn)行決策，包括安全組織機(jī)構(gòu)調(diào)整、信息安全關(guān)鍵人事變動(dòng)、以及信息安全管理重大策略變更、確認(rèn)可接受的風(fēng)險(xiǎn)和風(fēng)險(xiǎn)水平等； 5) 負(fù)責(zé)對(duì)信息安全管理體系進(jìn)行內(nèi)部評(píng)審和管理評(píng)審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管 理相關(guān)的重大事項(xiàng)； 6) 負(fù)責(zé)制定和實(shí)施與信息安全相關(guān)的獎(jiǎng)懲措施和安全績(jī)效考核體系； 7) 評(píng)審與監(jiān)督重大信息安全事故的處理； 8) 對(duì)內(nèi)部評(píng)審整改意見負(fù)最終責(zé)任。 《糾正和預(yù)防措施管理程序》 9. 記錄 本程序發(fā)生的記錄匯總表見表 1（表式見 《 ISMS文件日常應(yīng)用格式匯總》 ）。 預(yù)防措施 公司制定并實(shí)施《糾正和預(yù)防措施管理程序》，針對(duì)潛在的 不符合 ，采取措施，消除 不符合 的原因，并防止不合格的發(fā)生。 糾正措施 糾正措施 公司制定并實(shí)施《糾正和預(yù)防措施管理程序》， 針對(duì)發(fā)現(xiàn)的不 符合 現(xiàn)象 ，采取措施， 消除不 符合 的原因 ， 并防止不 符合項(xiàng) 的再次 發(fā)生 。 f)管理評(píng)審報(bào)告由管理者代表編制，經(jīng)總經(jīng)理批準(zhǔn)后發(fā)往各部門， 管理者代表 負(fù)責(zé)存檔 。 評(píng)審輸出 ： a) 信息安全管理體系 有效性的改進(jìn)； b) 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃； c) 必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響 信息安全管理體系 的內(nèi)外事件，包括以下方面的變化： 1) 業(yè)務(wù)要求； 2) 安全要求； 3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程； 4) 法律法規(guī)要求； 5) 合同責(zé)任； 6) 風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。 ，記錄應(yīng)加以保持。 《內(nèi)部審核控制程序》 7. ISMS 管理評(píng)審 總則 建立并實(shí)施《管理評(píng)審控制程序》，管理者應(yīng)按《管理評(píng)審控制程序》規(guī)定的時(shí)間間隔評(píng)審信息安全管理體系， 每年最少進(jìn)行一次， 以確保其持續(xù)的適宜性、充 分性和有效性。 對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門應(yīng)編制糾正措施，由辦公室組織對(duì)受審部門的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證； 按照《記錄控制程序》的要求，保存審核記錄。審核員不應(yīng)審核自己的工作。 每次審核前，信息安全工作小組應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和 方法。并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否： a) 符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求； b) 符合已識(shí)別的信息安全要求； c) 得到有效地實(shí)施和維護(hù)； d) 按預(yù)期執(zhí)行。 公司 還 確保所有相 關(guān) 人 員 意 識(shí) 到其所從事的信息安全活 動(dòng) 的相 關(guān) 性和重要性，以及如何 為實(shí)現(xiàn) 信息安全管理體系目標(biāo) 做出 貢 獻(xiàn) 。 可以通 過 ： a)確定承擔(dān)信息安全管理體系各工作 崗 位的 職 工所必要的能力 。 資源管理 資 源的提供 公司 確定并提供 實(shí) 施、保持信息安全管理體系所需 資 源；采取適當(dāng) 措施，使影響信息安全管理體系工作的 員 工的能力是 勝 任的，以保 證 ： a) 建立、 實(shí) 施、運(yùn)作、 監(jiān)視 、 評(píng)審 、保持和改 進(jìn) 信息安全管理體系； b) 確保信息安全程序支持 業(yè)務(wù) 要求； c) 識(shí)別 并指出法律法 規(guī) 要求和合同安全 責(zé) 任； d) 通 過 正確 應(yīng) 用所 實(shí) 施的所有控制來保持充分的安全； e) 必要 時(shí)進(jìn) 行 評(píng)審 ，并 對(duì)評(píng)審 的 結(jié) 果采取適當(dāng)措施； f) 需要 時(shí) ，改 進(jìn) 信息安全管理體系的有效性。 b)信息安全體系的記錄包括 所有過程的結(jié)果及與 ISMS相關(guān)的安全事故。 a)信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。受控手冊(cè)在封面上加蓋紅色“受控文件 ”章，僅限于公司內(nèi)部使用，當(dāng)修訂或換版時(shí)進(jìn) 行相應(yīng)控制，且人員調(diào)離時(shí)應(yīng)予歸還；非受控手 冊(cè)不蓋任何印章，發(fā)放對(duì)象為認(rèn)證機(jī)構(gòu)、客戶等，在修訂和換版時(shí)不予控制。 c)信息安全管理手冊(cè)的管理： 信息安全工作小組 負(fù)責(zé)保管及發(fā)放管理。 信息安全管理手冊(cè) a)編寫目的：向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息，用于對(duì)公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。 文件要求 總則 本公司 信息安全管理體系文件包括： a)文件化的信息安全方針、控制目標(biāo)； b)信息安全管理體系手冊(cè)（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）； c)本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《 糾正和預(yù)防措施程序 》、《管理評(píng)審程序》等支持性程序； d)ISMS引用質(zhì)量管理體系的支持性程序。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜，必要時(shí)，應(yīng)約定如何進(jìn)行。吸取從其他公司的安全經(jīng)驗(yàn)以及組織自身安全實(shí)踐中得到的教訓(xùn)。 保持并持續(xù)改進(jìn) ISMS 本公司開展以下活動(dòng)，以確保 ISMS的持續(xù)改進(jìn)： a) 實(shí)施已識(shí)別的 ISMS改進(jìn)措施。 g) 考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。 注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司的名義進(jìn)行的審核。 d) 按照計(jì)劃的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估，評(píng)審剩余風(fēng)險(xiǎn)以及可接受風(fēng)險(xiǎn)的等級(jí)，考慮到下列變化： 1) 組織機(jī)構(gòu)和職責(zé)； 2) 技術(shù)； 3) 業(yè)務(wù)目標(biāo)和過程； 4) 已識(shí)別的威脅； 5) 實(shí)施控制的有效性； 6) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。 b) 定期評(píng)審 ISMS的有效性（包括安全方針和目標(biāo)的符合性，對(duì)安全控制措施的評(píng)審），考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。 h) 實(shí)施能夠快速檢測(cè)安全事情、響應(yīng)安全事件的程序和其它控制。 f) 對(duì) ISMS的運(yùn)作進(jìn)行管理。 注：測(cè)量控制措施的有效性允許管理者和相關(guān)人員來確定這些控制措施實(shí)現(xiàn)策劃的控制目標(biāo)的程度。 b) 為了達(dá)到所確定的控制目標(biāo)，實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，包括考慮資金以及角 色和職責(zé)的分配，明確各崗位的信息安全職責(zé)； c) 實(shí)施所選的控制措施，以滿足控制目標(biāo)。通過判斷刪減的理由，再次確認(rèn)控制目標(biāo)沒有被無意識(shí)的遺漏。 4) 信息安全工作小組 負(fù)責(zé)組織編制《 信息安全適用性聲明 (SOA)》。 ISMS 管理者代表的任命和授權(quán)、 ISMS文檔的簽署可以作為實(shí)施和運(yùn)作 ISMS的授權(quán)證據(jù)。 h) 獲得最高管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)，剩余風(fēng)險(xiǎn)接受批準(zhǔn)應(yīng)該在《風(fēng)險(xiǎn)評(píng)估表》上留下記錄，并記錄殘余風(fēng)險(xiǎn)處置批示報(bào)告。 注：附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。 從附錄 A中選擇的控制目標(biāo)和控制措施應(yīng)作為這一過程的一部分，并滿足上述要求。 信息安全工作小組 根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門。 應(yīng)選擇并實(shí)施控制目標(biāo)和控制措施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程所識(shí)別的要求。 信息安全工作小組 應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形 成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。 3) 避免風(fēng)險(xiǎn)；對(duì)于不是公司的核心工作內(nèi)容的活動(dòng)，公司可以采取避免某項(xiàng)活動(dòng)或者避免采用某項(xiàng)