【正文】 資產(chǎn)風險評估表》中風險處理計劃所選擇的控制措施，明確控制措施改進時間表。根據(jù)公司的信息安全方針，經(jīng)過最高管理者確認，公司的信息安全管理目標為：顧客保密性抱怨/投訴的次數(shù)不超過1起/年。對風險處理后的殘余風險應形成《殘余風險評估報告》并得到信息安全最高責任人的批準。信息安全管理小組編制《信息安全適用性聲明》（SoA）?？刂颇繕思翱刂拼胧┑倪x擇原則來源于附錄A。信息安全管理小組根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果，組織有關(guān)部門制定信息安全目標。信息安全管理小組應組織有關(guān)部門根據(jù)風險評估的結(jié)果，形成《風險處理計劃》，該計劃應明確風險處理責任部門、方法及時間。i) 獲得管理者對實施和運行ISMS的授權(quán)。g) 對于信息安全風險，在考慮控制措施與費用平衡的原則下制定風險接受準則，按照該準則確定何種等級的風險為不可接受風險，該準則在《信息安全風險評估管理程序》有詳細規(guī)定，并在《風險評估報告》中進行系統(tǒng)匯報并針對結(jié)果處理意見獲得最高管理者批準。e) 考慮安全事件的可能性和損失程度兩者的結(jié)合，計算信息資產(chǎn)的風險值。對每一項信息資產(chǎn)，根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級并對其重要度賦值。在已確定的ISMS范圍內(nèi)，對所有的信息資產(chǎn)進行列表識別。風險評估管理程序包括可接受風險準則和可接受水平。該程序的詳細內(nèi)容見《信息安全風險評估管理程序》。信息安全管理小組制定信息安全風險評估管理程序，經(jīng)信息安全管理小組組長批準后組織實施。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、人力資源及外包服務(wù)。公司針對公司內(nèi)部和公司外部的實際情況，和相關(guān)方的要求，確定公司所需應對的信息安全方面的風險。ISMS體系所涉及的過程基于PDCA模式。d) 外部接口：向公司提供各種服務(wù)的第三方本公司按照ISO/IEC27001:2013標準的要求建立一個文件化的信息安全管理體系。本公司ISMS的范圍包括a) 物理范圍：b) 業(yè)務(wù)范圍：計算機軟件開發(fā)，計算機系統(tǒng)集成相關(guān)信息安全管理活動。對于利益相關(guān)方，可作為信息資產(chǎn)識別，并根據(jù)風險評估的結(jié)果，制定相應的控制措施，實施必要的管理。 多種風險的組合是否予以考慮，如果是，如何考慮及哪種風險組合宜予以考慮。 利益相關(guān)方的觀點；252。 可能性和（或）后果的時間范圍；252。 可以出現(xiàn)的致因和后果的性質(zhì)和類別，以及如何予以測量；252。 確定所需的范圍或框架性研究，它們的程度和目標，以及此種研究所需資源。 確定評價風險管理的績效和有效性的方法；252。 界定組織特定項目、過程或活動與其他項目、過程或活動之間的關(guān)系；252。 確定所要開展的風險管理活動的范圍以及深度、廣度，包括具體的內(nèi)涵和外延；252。 確定風險管理活動的目標；252。 合同關(guān)系的形式與范圍。 信息系統(tǒng)、信息流和決策過程（正式與非正式）；252。 與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相關(guān)方的觀點和價值觀；252。 方針、目標，為實現(xiàn)方針和目標制定的戰(zhàn)略；252。明確內(nèi)部狀況：252。 影響組織目標的主要動力和趨勢；252。公司確定與公司業(yè)務(wù)目標相關(guān)并影響實現(xiàn)信息安全管理體系預期結(jié)果的能力的外部和內(nèi)部問題，需考慮：明確外部狀況：252。ISO/IEC 27000，信息技術(shù)——安全技術(shù)——信息安全管理體系——概述和詞匯。下列參考文件的部分或整體在本文檔中屬于標準化引用，對于本文件的應用必不可少。信息安全管理方針和策略范圍公司依據(jù)ISO/IEC27001:2013信息安全管理體系標準的要求編制《信息安全管理手冊》，并包括了風險評估及處置的要求。規(guī)定了公司的信息安全方針及管理目標，引用了信息安全管理體系的內(nèi)容。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。ISO/IEC 27000中的術(shù)語和定義適用于本文件。 社會、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟、自然和競爭環(huán)境，無論國際、國內(nèi)、區(qū)域，還是本地的；252。 與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀點和價值觀。 治理、組織結(jié)構(gòu)、作用和責任；252。 基于資源和知識理解的能力（如：資金、時間、人員、過程、系統(tǒng)和技術(shù)）；252。 組織的文化；252。 組織所采用的標準、指南和模式；252。明確風險管理過程狀況：252。 確定風險管理過程的職責；252。 以時間和地點，界定活動、過程、職能、項目、產(chǎn)品、服務(wù)或資產(chǎn)；252。 確定風險評價的方法；252。 識別和規(guī)定所必須要做出的決策；252。確定風險準則：252。 可能性如何確定；252。 風險程度如何確定；252。 風險可接受或可容許的程度；252。信息安全管理小組應確定信息安全管理體系的相關(guān)方及其信息安全要求，相關(guān)的信息安全要求。相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。c) 內(nèi)部管理結(jié)構(gòu)：辦公室、財務(wù)部、研發(fā)部、商務(wù)部、工程部、運維部。同時考慮該體系的實施、維持、持續(xù)改善，確保其有效性?？偨?jīng)理應通過以下方式證明信息安全管理體系的領(lǐng)導力和承諾：a) 確保信息安全方針和信息安全目標已建立，并與公司戰(zhàn)略方向一致；b) 確保將信息安全管理體系要求融合到日常管理過程中；c) 確保信息安全管理體系所需資源可用；d) 向公司內(nèi)部傳達有效的信息安全管理及符合信息安全管理體系要求的重要性；e) 確保信息安全管理體系達到預期結(jié)果；f) 指導并支持相關(guān)人員為信息安全管理體系有效性做出貢獻；g) 促進持續(xù)改進；h) 支持信息安全管理小組及各部門的負責人，在其職責范圍內(nèi)展現(xiàn)領(lǐng)導力。在已確定的ISMS范圍內(nèi)，針對業(yè)務(wù)全過程所涉及的所有信息資產(chǎn)進行列表識別。對每一項信息資產(chǎn)，根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級并對其重要度賦值。風險評估管理程序包括可接受風險準則和可接受水平。信息安全管理小組制定信息安全風險評估管理程序，經(jīng)管理者代表審核，總經(jīng)理批準后組織實施。該程序的詳細內(nèi)容適用于《信息安全風險評估管理程序》。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施及人力資源、服務(wù)等。a) 針對每一項信息資產(chǎn)、記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出所有信息資產(chǎn)所面臨的威脅；b) 針對每一項威脅，識別出被該威脅可能利用的薄弱點；c) 針對每一項薄弱點，列出現(xiàn)有的控制措施，并對控制措施有效性賦值；同時考慮威脅利用脆弱性的容易程度，并對容易度賦值；d) 判斷一個威脅發(fā)生后可能對信息資產(chǎn)在保密性(C)、完整性(I)和可用性(A)方面的損害，進而對公司業(yè)務(wù)造成的影響，計算信息資產(chǎn)的安全事件的可能性和損失程度。f) 根據(jù)《信息安全風險評估管理程序》的要求確定資產(chǎn)的風險等級。h) 獲得最高管理者對建議的殘余風險的批準，殘余風險應該在《殘余風險評價報告》上留下記錄，并記錄殘余風險處置批示報告。ISMS管理者代表的任命和授權(quán)、ISMS文檔的簽署可以作為實施和運作ISMS的授權(quán)證據(jù)。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧篴) 采用適當?shù)膬?nèi)部控制措施；b) 接受某些風險（不可能將所有風險降低為零）；c) 回避某些風險（如物理隔離）；d) 轉(zhuǎn)移某些風險（如將風險轉(zhuǎn)移給保險者、供方、分包商）。信息安全目標應獲得總裁的批準。本公司根據(jù)信息安全管理的需要，可以選擇標準之外的其他控制措施。該聲明包括以下方面的內(nèi)容：a) 所選擇控制目標與控制措施的概要描述；b) 對ISO/IEC 27001:2013附錄A中未選用的控制目標及控制措施理由的說明。信息安全管理小組應保留信息安全風險處置過程的文件化信息。受控信息泄露的事態(tài)發(fā)生不超過3起/年秘密信息泄露的事態(tài)不得發(fā)生。對于各部門信息安全目標的完成情況，按照《信息安全目標及有效性測量程序》的要求，周期性在主責部門對各控制措施的目標進行測量，并記錄測量的結(jié)果?？偨?jīng)理負責確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資源。注：適用的措施可包括，對新入職員工進行的信息安全意識教育；定期對公司員工進行的業(yè)務(wù)實施過程中的信息安全管理相關(guān)的培訓等。信息安全管理小組負責確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：a) 溝通內(nèi)容；b) 溝通時間；c) 溝通對象；d) 誰應負責溝通；e) 影響溝通的過程。創(chuàng)建和更新文件化信息時，信息安全管理小組應確保適當?shù)模篴) 標識和描述（例如標題、日期、作者或編號）；b) 格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)、電子介質(zhì)）；c) 對適宜性和充分性的評審和批準。c) 為控制文件化信息，適用時，科技規(guī)劃部應開展以下活動：d) 分發(fā)，訪問，檢索和使用；e) 存儲和保護，包括保持可讀性；f) 控制變更（例如版本控制）；g) 保留和處置。為確保ISMS有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a) 形成《信息安全風險處理計劃》，以確定適當?shù)墓芾泶胧?、職責及安全保密控制措施的?yōu)先級，應特別注意公司外包過程的確定和控制；對于系統(tǒng)集成和IT外包運維服務(wù)項目，項目經(jīng)理應在項目策劃階段識別所面臨的信息安全風險，并在項目全過程中對信息安全風險進行監(jiān)控和更新?？偨?jīng)理為本公司信息安全最高責任者。信息安全管理小組成員負責完成信息安全管理體系運行時必須的任務(wù)；對信息安全管理體系的運行情況和必要的改善措施向信息安全最高責任