【正文】 7) 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的保密要求 XXX有限公司新點2008年12月組織機構圖。5) 負責公司信息安全內(nèi)部審核的管理。10實施部1) 負責公司計算機及網(wǎng)絡設備的管理和維護；2) 負責了解世界計算機及網(wǎng)絡技術的發(fā)展趨勢，為公司計算機及網(wǎng)絡設備的更新和升級提出建議并予以實施；3) 負責公司網(wǎng)站的管理、維護和內(nèi)容更新。2) 負責確保本部門與信息處理設施相關的信息和資產(chǎn)進行適當?shù)淖R別和分類。8) 遵守公司信息安全的相關規(guī)定以及本崗位相關的保密要求5各部門的信息安全主管領導1) 部門的信息安全主管領導由本部門部門長擔任；2) 負責協(xié)助信息安全工作小組建立本部門信息安全管理制度和流程；3) 部門的信息安全主管領導系本部門信息安全管理責任人，負責本部門的信息安全管理工作，負責保護本部門所擁有和管理的信息資產(chǎn)的安全；4) 負責采取有效辦法，落實和推動信息安全政策的實施；5) 負責指導和要求本部門員工遵守信息安全政策；6) 對違反安全政策的行為進行內(nèi)部處罰；7) 落實針對本部門的糾正措施(包括內(nèi)部審核整改意見)和預防措施。10) 負責制定違反安全政策行為的標準，并對違反安全政策的人員和事件進行確認；11) 負責調(diào)查安全事件，并維護安全事件的記錄報告(包括調(diào)查結果和解決方法) ，定期總結安全事件記錄報告；12) 識別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性3總經(jīng)理1) 任命管理者代表，明確管理者代表的職責和權限；2) 確保在內(nèi)部傳達滿足客戶和法律法規(guī)的重要性；3) 為信息安全管理體系配備必要的資源；4) 主持管理評審；5) 負責公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控 6) 制和考核工作。 信息安全組織機構圖XX有限公司新點信息安全組織結構圖　　　制表日期：ISMS管理者代表　　　　　　　　信息安全委員會職務姓名部門備注主任經(jīng)理室　副主任經(jīng)理室　成員開發(fā)部　　行政部　　市場部　　市場部　　市場部　實施部測試部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部開發(fā)部　　 　　信息安全工作小組職務姓名部門備注組長行政部　成員行政部　　行政部　　行政部　　開發(fā)部　　實施部　　市場部　　　　　 信息安全職責說明序號單位/部門信息安全職責1信息安全委員會1) 負責公司的整體信息安全管理工作，負責公司信息資產(chǎn)的安全；2) 負責與國家信息安全主管機構、上級主管部門的溝通和交流，負責有關信息安全工作的落實和推行，并負責報告本公司有關信息安全狀況和重要事件；3) 負責協(xié)調(diào)公司內(nèi)部信息安全工作，分配信息安全管理目標、職責，并支持和推動信息安全工作在公司范圍內(nèi)的實施；4) 負責對與信息安全管理有關的重大事項進行決策，包括安全組織機構調(diào)整、信息安全關鍵人事變動、以及信息安全管理重大策略變更、確認可接受的風險和風險水平等；5) 負責對信息安全管理體系進行內(nèi)部評審和管理評審，審批和發(fā)布信息安全方針、信息安全規(guī)范及管理辦法以及與信息安全管理相關的重大事項；6) 負責制定和實施與信息安全相關的獎懲措施和安全績效考核體系；7) 評審與監(jiān)督重大信息安全事故的處理； 8) 對內(nèi)部評審整改意見負最終責任?！都m正和預防措施管理程序》9. 記錄本程序發(fā)生的記錄匯總表見表1（表式見《ISMS文件日常應用格式匯總》）。 預防措施公司制定并實施《糾正和預防措施管理程序》，針對潛在的不符合，采取措施，消除不符合的原因，并防止不合格的發(fā)生。 糾正措施 糾正措施公司制定并實施《糾正和預防措施管理程序》，針對發(fā)現(xiàn)的不符合現(xiàn)象，采取措施，消除不符合的原因，并防止不符合項的再次發(fā)生。f)管理評審報告由管理者代表編制，經(jīng)總經(jīng)理批準后發(fā)往各部門，管理者代表負責存檔。 評審輸出：a) 信息安全管理體系有效性的改進；b) 更新風險評估和風險處理計劃；c) 必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理體系的內(nèi)外事件，包括以下方面的變化：1) 業(yè)務要求；2) 安全要求；3) 影響現(xiàn)有業(yè)務要求的業(yè)務過程；4) 法律法規(guī)要求；5) 合同責任； 6) 風險等級和（或）風險接受準則。，記錄應加以保持?！秲?nèi)部審核控制程序》7. ISMS 管理評審 總則《管理評審控制程序》，管理者應按《管理評審控制程序》規(guī)定的時間間隔評審信息安全管理體系，每年最少進行一次，以確保其持續(xù)的適宜性、充分性和有效性。 對審核中提出的不符合項報告，責任部門應編制糾正措施，由辦公室組織對受審部門的糾正措施的實施情況進行跟蹤、驗證； 按照《記錄控制程序》的要求，保存審核記錄。審核員不應審核自己的工作。，信息安全工作小組應編制內(nèi)審計劃，確定審核的準則、范圍、日程和審核組。應編制內(nèi)審年度計劃，確定審核的準則、范圍、頻次和方法。并按照策劃的時間間隔進行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否：a) 符合本標準的要求和相關法律法規(guī)的要求；b) 符合已識別的信息安全要求；c) 得到有效地實施和維護；d) 按預期執(zhí)行。公司還確保所有相關人員意識到其所從事的信息安全活動的相關性和重要性，以及如何為實現(xiàn)信息安全管理體系目標做出貢獻。可以通過：a)確定承擔信息安全管理體系各工作崗位的職工所必要的能力。 資源管理 資源的提供公司確定并提供實施、保持信息安全管理體系所需資源；采取適當措施，使影響信息安全管理體系工作的員工的能力是勝任的，以保證：a) 建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b) 確保信息安全程序支持業(yè)務要求；c) 識別并指出法律法規(guī)要求和合同安全責任；d) 通過正確應用所實施的所有控制來保持充分的安全；e) 必要時進行評審，并對評審的結果采取適當措施；f) 需要時，改進信息安全管理體系的有效性。b)。a)信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的證據(jù)。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場所能夠及時獲得適用文件的有效版本。受控手冊在封面上加蓋紅色“受控文件”章，僅限于公司內(nèi)部使用，當修訂或換版時進行相應控制，且人員調(diào)離時應予歸還；非受控手冊不蓋任何印章，發(fā)放對象為認證機構、客戶等，在修訂和換版時不予控制。c)信息安全管理手冊的管理：信息安全工作小組負責保管及發(fā)放管理。 信息安全管理手冊a)編寫目的：向公司內(nèi)部或外部提供關于信息安全管理體系的基本信息，用于對公司的信息安全管理體系做綱領性和概括性的描述。 文件要求 總則本公司信息安全管理體系文件包括：a)文件化的信息安全方針、控制目標；b)信息安全管理體系手冊（本手冊，包括信息安全適用范圍及引用的標準）；c)本手冊要求的《信息安全風險評估管理程序》、《業(yè)務持續(xù)性管理程序》、《糾正和預防措施程序》、《管理評審程序》等支持性程序；d)ISMS引用質(zhì)量管理體系的支持性程序。溝通的詳細程度應與環(huán)境相適宜，必要時，應約定如何進行。吸取從其他公司的安全經(jīng)驗以及組織自身安全實踐中得到的教訓。 保持并持續(xù)改進ISMS本公司開展以下活動，以確保ISMS的持續(xù)改進：a) 實施已識別的ISMS改進措施。g) 考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司的名義進行的審核。d) 按照計劃的時間間隔，評審風險評估，評審剩余風險以及可接受風險的等級，考慮到下列變化：1) 組織機構和職責；2) 技術；3) 業(yè)務目標和過程；4) 已識別的威脅；5) 實施控制的有效性； 6) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。b) 定期評審ISMS的有效性（包括安全方針和目標的符合性，對安全控制措施的評審），考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。h) 實施能夠快速檢測安全事情、響應安全事件的程序和其它控制。f) 對ISMS的運作進行管理。注：測量控制措施的有效性允許管理者和相關人員來確定這些控制措施實現(xiàn)策劃的控制目標的程度。b) 為了達到所確定的控制目標，實施風險