【正文】 中提出的用于信息安全管理的過程方法鼓勵(lì)其用戶強(qiáng)調(diào)以下方面的重要性：a) 理解xxxx有限公司的信息安全要求和建立信息安全方針與目標(biāo)的需要；b) 從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，以管理xxxx有限公司的信息安全風(fēng)險(xiǎn)；c) 監(jiān)視和評(píng)審ISMS的執(zhí)行情況和有效性；d) 基于客觀測(cè)量的持續(xù)改進(jìn)。檢查（監(jiān)視和評(píng)審ISMS）對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。期望、法律法規(guī)策劃（D）措施實(shí)施檢查 圖 41 PDCA模型規(guī)劃（建立ISMS）建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織總方針和總目標(biāo)相一致的結(jié)果。ISMS所涉及的過程基于以下PDCA模式：建立ISMS保持和改進(jìn)ISMS實(shí)施和運(yùn)作ISMS監(jiān)控amp。. 標(biāo)準(zhǔn)縮寫ISMS：信息安全管理體系（Information Security Management Systems）；SoA：適用性聲明（Statement of Applicability）；PDCA：建立、實(shí)施和運(yùn)行、監(jiān)視和評(píng)審、保持和改進(jìn)（Plan、Do、Check、Act）。. 安全風(fēng)險(xiǎn)管理是指采用風(fēng)險(xiǎn)管理的理念與方法來識(shí)別、評(píng)估信息系統(tǒng)面臨的風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)控制措施，并將風(fēng)險(xiǎn)降低到可接受的程度，安全風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制。. 信息安全等級(jí)保護(hù)是指根據(jù)國家信息安全等級(jí)保護(hù)相關(guān)管理文件，確定信息系統(tǒng)的安全保護(hù)等級(jí)，并開展相應(yīng)的信息系統(tǒng)安全等級(jí)保護(hù)工作。. 信息資產(chǎn)是指公司在生產(chǎn)、經(jīng)營和管理過程中，所需要的以及所產(chǎn)生的，用以支持（或指導(dǎo)、或影響）公司生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財(cái)務(wù)的無形資產(chǎn)，其范圍包括現(xiàn)在的和歷史的。. 第三方是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商以及其它外協(xié)單位。. 信息安全工作人員是指包括信息安全管理人員、信息安全技術(shù)人員（包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關(guān)設(shè)備的管理員）和信息安全審計(jì)員。. 信息安全保持信息的保密性、完整性和可用性，另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等。. 適用性聲明statement of applicability描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。. 風(fēng)險(xiǎn)處理risk treatment選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程。. 風(fēng)險(xiǎn)評(píng)價(jià)risk evaluation將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程。. 風(fēng)險(xiǎn)分析risk analysis系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)。. 殘余風(fēng)險(xiǎn) residual risk經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。. 信息安全管理體系 information security management system是整個(gè)管理體系的一部分。. 信息安全事態(tài) information security event信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。. 保密性confidentiality信息不能被未授權(quán)的個(gè)人、實(shí)體或者過程利用或知悉的特性。3. 術(shù)語與定義. 資產(chǎn) asset任何對(duì)組織有價(jià)值的東西。公司多經(jīng)企業(yè)參照?qǐng)?zhí)行。. 任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其他公民權(quán)益的活動(dòng)，不得從事危害xxxx有限公司信息系統(tǒng)安全的活動(dòng)。. xxxx有限公司信息系統(tǒng)安全管理應(yīng)遵循“統(tǒng)一規(guī)劃、預(yù)防為主、集中管理、分層保護(hù)、明確責(zé)任”的原則。第六章 信息安全管理體系1. 總則. 為了加強(qiáng)xxxx有限公司（以下簡(jiǎn)稱“xxxx有限公司或公司”）信息安全管理工作，保護(hù)信息系統(tǒng)的安全，促進(jìn)信息系統(tǒng)的應(yīng)用和發(fā)展，根據(jù)國家有關(guān)法律法規(guī)，以及變頻器行業(yè)的管理規(guī)范、行業(yè)標(biāo)準(zhǔn)，并遵照公司信息系統(tǒng)安全的有關(guān)規(guī)定，特制定本手冊(cè)。. 信息安全管理流程和信息安全事件處理流程納入信息安全管理體系中管理. 信息安全應(yīng)急流程納入《xxxx有限公司網(wǎng)絡(luò)與信息安全專項(xiàng)應(yīng)急預(yù)案》中管理。. 信息安全管理數(shù)據(jù)與記錄包括：1) 信息安全會(huì)議紀(jì)要2) 信息安全事故調(diào)查報(bào)告3) 信息安全事件整改報(bào)告4) 信息安全檢查整改方案5) 信息安全審計(jì)記錄6) 技術(shù)檔案資料7) 培訓(xùn)記錄8) 信息安全作業(yè)活動(dòng)數(shù)據(jù)與記錄9) 信息安全事件通報(bào)、整改活動(dòng)10) 信息安全檢查活動(dòng)11) 應(yīng)急演練活動(dòng)12) 信息系統(tǒng)定級(jí)備案活動(dòng)13) 信息安全審計(jì)活動(dòng)14) 信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)15) 數(shù)據(jù)與記錄要求：真實(shí)、完整、齊全、準(zhǔn)確、及時(shí)。. 公司應(yīng)根據(jù)風(fēng)險(xiǎn)變化的需要或在重大活動(dòng)期間，不定期召開信息安全專題會(huì)。. 公司應(yīng)在每季度召開的計(jì)算機(jī)管理會(huì)議中，總結(jié)本季度的信息安全工作情況。下列是詳細(xì)的信息安全目標(biāo)：目標(biāo)類別目標(biāo)項(xiàng)目標(biāo)值目標(biāo)換算方法統(tǒng)計(jì)周期信息安全目標(biāo)不可接受風(fēng)險(xiǎn)處理率100%（不可接受風(fēng)險(xiǎn)數(shù)處理數(shù)/不可受風(fēng)險(xiǎn)總數(shù)）100%年機(jī)密信息泄密事件0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年秘密信息泄密事件0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年特別重大突發(fā)事件（Ⅰ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年重大突發(fā)事件（Ⅱ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年較大突發(fā)事件（Ⅲ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年一般突發(fā)事件（Ⅳ級(jí)）0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年內(nèi)部審核及管理評(píng)審實(shí)施及時(shí)率100%按計(jì)劃實(shí)施年員工入職培訓(xùn)完成率100%（入職員工參訓(xùn)人數(shù)/入職員工總數(shù)）100%年信息安全培訓(xùn)計(jì)劃完成率100%（實(shí)際培訓(xùn)次數(shù)/計(jì)劃培訓(xùn)次數(shù)）100%年信息安全運(yùn)行指標(biāo)大面積感染計(jì)算機(jī)病毒次數(shù)0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)中斷次數(shù)0次按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年員工保密協(xié)議簽訂率100%（實(shí)際簽訂人數(shù)/入職總?cè)藬?shù)）100%年重要信息備份及時(shí)率100%（實(shí)際備份數(shù)/計(jì)劃備份數(shù)）100%年內(nèi)部審核不符合項(xiàng)整改率≥90%（不符合項(xiàng)整改完成數(shù)/不符合項(xiàng)總數(shù)）100%年計(jì)算機(jī)故障處理完成率100%（實(shí)際處理數(shù)/故障總數(shù)）100%年容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)≤3按實(shí)際發(fā)生次數(shù)統(tǒng)計(jì)年計(jì)算機(jī)口令強(qiáng)度符合率100%（帳號(hào)符合數(shù)/帳號(hào)總數(shù)）100%年注：公司的信息安全目標(biāo)不限此，可根據(jù)各部門的實(shí)際業(yè)務(wù)進(jìn)行調(diào)整或分解。第四章 信息安全管理目標(biāo)根據(jù)國家信息安全等級(jí)保護(hù)要求、公司下達(dá)的目標(biāo)與指標(biāo)、公司信息化發(fā)展戰(zhàn)略目標(biāo)、信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果、信息用戶的滿意度，結(jié)合公司實(shí)現(xiàn)目標(biāo)所需的資源，識(shí)別公司的信息安全目標(biāo)與指標(biāo)。 首字母“i”色彩紅藍(lán)結(jié)合，強(qiáng)調(diào)xxxx企業(yè)——個(gè)人與團(tuán)隊(duì)、個(gè)人與公司、xxxx與客戶、供應(yīng)商的相互信賴，共同發(fā)展；216。216。3. 企業(yè)標(biāo)識(shí)：標(biāo)識(shí)釋義：xxxx企業(yè)標(biāo)徽有兩種色彩：xxxx紅（M100 Y80）、xxxx藍(lán)（C100 M80 K40），紅色體現(xiàn)進(jìn)取和活力，藍(lán)色象征包容和專注的鉆研精神。使 命：竭盡全力提供物超所值的產(chǎn)品和服務(wù)，讓客戶更有競(jìng)爭(zhēng)力。xxxx在“眾誠德厚、業(yè)精志遠(yuǎn)”的經(jīng)營理念指導(dǎo)下，堅(jiān)持在不斷創(chuàng)新、精益求精中與包括員工、股東、供應(yīng)商、客戶等廣大合作伙伴共同發(fā)展，公司的自主創(chuàng)新及品牌美譽(yù)度在行業(yè)中已經(jīng)占有重要地位，并得到社會(huì)的廣泛認(rèn)同。成熟矢量控制技術(shù)、各行業(yè)專用變頻控制技術(shù)的掌握以及國際領(lǐng)先四象限控制技術(shù)的突破使xxxx的發(fā)展持續(xù)領(lǐng)先，成為中國變頻器行業(yè)的領(lǐng)導(dǎo)者。并在市政、建材、塑膠、油田、機(jī)械、化工、冶金、紡織、印刷、機(jī)床、礦山等行業(yè)廣泛應(yīng)用。xxxx是國家級(jí)高新技術(shù)企業(yè)，擁有深圳市唯一的“變頻器工程技術(shù)研究開發(fā)中心”。 xxxx有限公司總經(jīng)理簽名：日期： 2011年01月01日第三章 公司介紹1. 企業(yè)簡(jiǎn)介xxxx有限公司（以下簡(jiǎn)稱xxxx）始創(chuàng)于2002年4月，大致經(jīng)過三個(gè)發(fā)展階段：第一階段，2002年—2004年，為創(chuàng)業(yè)期，全力開拓市場(chǎng)，實(shí)現(xiàn)在競(jìng)爭(zhēng)激烈的行業(yè)中立足；第二階段，2004—2006年，為整合期，整合一切有效資源，重力推出新產(chǎn)品，奠定以優(yōu)質(zhì)產(chǎn)品占據(jù)市場(chǎng)的方向，梳理并確立了經(jīng)營理念、發(fā)展愿景、經(jīng)營方針，完成了股份制改革；第三階段，2006—至今，為蛻變期，立足電氣傳動(dòng)、工業(yè)控制領(lǐng)域，為全球用戶提供專業(yè)化產(chǎn)品和服務(wù)，于2010年在深交所A股上市，股票代碼：002334，步入不斷提升企業(yè)核心競(jìng)爭(zhēng)力，并實(shí)現(xiàn)飛躍的階段。適合公司信息化目前發(fā)展趨勢(shì)需求，且內(nèi)容充分、表達(dá)準(zhǔn)確，現(xiàn)予頒布。第二章 信息安全管理手冊(cè)頒布令xxxx有限公司（以下簡(jiǎn)稱公司）依據(jù)GB/T220802008/ISO/IEC27001:2005信息安全管理體系標(biāo)準(zhǔn)要求，結(jié)合限公司實(shí)際情況，在原有的各項(xiàng)管理制度的基礎(chǔ)上編制完成了《xxxx有限公司信息安全管理體系手冊(cè)》第一版，現(xiàn)予以批準(zhǔn)實(shí)施。2011年7月開展信息安全管理體系持續(xù)改進(jìn)建設(shè)，依據(jù)信息安全現(xiàn)狀和未來信息安全需求及GB/T220802008/ISO/IEC27001:2005信息安全管理體系的標(biāo)準(zhǔn)要求，建立了符合xxxx有限公司信息安全管理現(xiàn)狀和管理需求的信息安全管理體系，該體系覆蓋了GB/T220802008/ISO/IEC27001:2005信息安全管理體系的標(biāo)準(zhǔn)要求12個(gè)控制領(lǐng)域、39個(gè)控制目標(biāo)和133個(gè)控制措施。xxxx有限公司信息安全管理手冊(cè)密級(jí)□機(jī)密 □保密 ■ 內(nèi)部使用 □公開信息受控狀態(tài)■受控 □非受控20111201頒布 封面 20110101 實(shí)施 深圳市xxxx有限公司 信息中心 發(fā)布文件歷史控制記錄文件名稱信息安全管理手冊(cè)文件編號(hào)ITITM0003對(duì)應(yīng)OA文號(hào)版次編制與修訂概要完成日期狀態(tài)角色人員編寫初審會(huì)簽審核批準(zhǔn)69 / 69第一章 前言隨著xxxx有限公司業(yè)務(wù)發(fā)展日益增長，信息交換互連面也隨之增大，信息業(yè)務(wù)系統(tǒng)依賴性擴(kuò)大，所帶來的信息安全風(fēng)險(xiǎn)和信息脆弱點(diǎn)也逐漸呈現(xiàn)，原有信息安全技術(shù)和管理手段很難滿足目前和未來信息化安全的需求，為確保xxxx有限公司信息及信息系統(tǒng)的安全，使之免受各種威脅和損害，保證各項(xiàng)信息系統(tǒng)業(yè)務(wù)的連續(xù)性，使信息安全風(fēng)險(xiǎn)最小化，xxxx有限公司每年開展網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估及等級(jí)保護(hù)測(cè)評(píng)，定期對(duì)等級(jí)保護(hù)測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估活動(dòng)過程中的風(fēng)險(xiǎn)漏洞進(jìn)行全面整改，分析了信息安全管理上的不足與缺陷，編制了差距測(cè)評(píng)報(bào)告。通過開展信息安全風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)測(cè)評(píng)，了解xxxx有限公司信息安全現(xiàn)狀和未來需求，為建立xxxx有限公司信息安全管理體系奠定了基礎(chǔ)。本手冊(cè)是xxxx有限公司信息安全管理體系的綱領(lǐng)性文件，由信息中心歸口負(fù)責(zé)解釋?！秞xxx有限公司信息安全管理體系手冊(cè)》是公司在信息及信息系統(tǒng)安全方面的規(guī)范性文件，手冊(cè)闡述了限公司信息安全服務(wù)方針，信息安全目標(biāo)及信息安全管理體系的過程方法和策略，是公司信息安全管理體系建設(shè)實(shí)施的綱領(lǐng)和行動(dòng)準(zhǔn)則，是公司開展各項(xiàng)服務(wù)活動(dòng)的基本依據(jù)；是對(duì)社會(huì)各界證實(shí)我公司有能力穩(wěn)定地提供滿足國際標(biāo)準(zhǔn)信息安全要求以及客戶和法律法規(guī)相關(guān)要求的有效證據(jù)。本手冊(cè)定于2011年8月1日起實(shí)施，屬強(qiáng)制性文件，要求各部門所有人員必須正確理解并嚴(yán)格貫徹全面執(zhí)行。目前xxxx設(shè)有國內(nèi)辦事處30多個(gè)，海外辦事處2個(gè)，擁有海內(nèi)外經(jīng)銷合作伙伴上百家，用戶遍布全球50多個(gè)國家和地區(qū)。在吸收國外先進(jìn)技術(shù)的基礎(chǔ)上，結(jié)合近十年變頻推廣應(yīng)用經(jīng)驗(yàn)和當(dāng)今電力電子最新控制技術(shù)，研制出高、中、低壓通用及各行業(yè)專用變頻器、交流伺服系統(tǒng)、制動(dòng)單元、能量回饋單元等產(chǎn)品。xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓660V/1140V系列、高壓CHH（3KV/6KV/10KV）系列等，～8000kW，滿足不同行業(yè)不同場(chǎng)合的各種變頻控制應(yīng)用需求。高性能交流伺服系統(tǒng)的開發(fā)與成功應(yīng)用標(biāo)志著xxxx向運(yùn)動(dòng)控制領(lǐng)域的拓展與延伸。2. 企業(yè)文化經(jīng)營理念：眾誠德厚　業(yè)精志遠(yuǎn)愿 景：成為全球領(lǐng)先、受人尊敬的電氣傳動(dòng)、工業(yè)控制領(lǐng)域的產(chǎn)品和服務(wù)供應(yīng)商。經(jīng)營方針：創(chuàng)新 品質(zhì) 標(biāo)準(zhǔn)化 共同發(fā)展核心價(jià)值觀：眾誠德厚　拼搏創(chuàng)新人才理念：人才是企業(yè)第一資本 尊重人才，經(jīng)營人才質(zhì)量方針：提供不斷優(yōu)化的產(chǎn)品和服務(wù)，提高客戶滿意度。字體設(shè)計(jì)簡(jiǎn)潔、凝聚、渾厚、擴(kuò)張，傳達(dá)xxxx通過與合作伙伴和員工的合力凝聚堅(jiān)固產(chǎn)品品質(zhì)，厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思想。 “INVT”是變頻器（inverter），也是創(chuàng)新（innovation）和美德（virtue）的結(jié)合，是xxxx核心價(jià)值觀“眾誠德厚，拼搏創(chuàng)新”的標(biāo)識(shí)承載；216。 紅色圓點(diǎn)是旭日也是星球，藍(lán)色體現(xiàn)企業(yè)所在地域——濱海城市深圳，體現(xiàn)xxxx電氣立足本土，致力于成為全球領(lǐng)先、受人尊敬的電氣傳動(dòng)、工業(yè)控制領(lǐng)域產(chǎn)品/服務(wù)供應(yīng)商的遠(yuǎn)景目標(biāo)。公司每年年底制定下一年度的信息安全目標(biāo)與指標(biāo)，公司制定完成信息安全目標(biāo)與指標(biāo)的工作計(jì)劃，將目標(biāo)、指標(biāo)的層層分解，并