【正文】 資產(chǎn)所面臨的所有威脅；3) 按照《風險評估原則》中的《威脅分級標準》對每一個威脅發(fā)生的可能進行賦值；4) 針對每一項威脅，考慮現(xiàn)有的控制措施，參考《風險評估原則》中的《脆弱性參考表》識別出被該威脅可能利用的所有薄弱點，并根據(jù)《風險評估原則》中的《脆弱性分級標準》對每一個脆弱性被威脅利用的難易程度進行賦值；5) 按照風險評估模型結合威脅和脆弱性賦值對風險發(fā)生可能性進行評價。7) 按照風險評估模型對風險發(fā)生可能性和風險發(fā)生的損失進行計算得出風險評估賦值，并按照《風險評估原則》中的《風險等級標準》評價出信息安全風險等級。f) 識別并評價風險處理的選擇：對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧?) 應用適當?shù)目刂埔越档惋L險：這可能是降低事件發(fā)生的可能性，也可能是降低安全失敗(保密性、完整性或可用性丟失)的業(yè)務損害。 “接受風險”是針對判斷為不可接受的風險所采取的處理方法，而不是針對那些低于風險接受水平的本來就可接受的風險。4) 將有關的業(yè)務風險轉移到其他方，例如保險公司、供方。g) 為風險的處理選擇控制目標與控制措施。選擇時，應考慮接受風險的準則以及法律法規(guī)和合同要求。信息安全目標應獲得信息安全最高責任者的批準。公司也可根據(jù)需要選擇另外的控制目標和控制措施。本標準用戶可將附錄A作為選擇控制措施的出發(fā)點，以確保不會遺漏重要的控制可選措施。i) 獲得管理者對實施和運行ISMS的授權。j) 準備適用性聲明，內(nèi)容應包括：1) 所選擇的控制目標和控制措施，以及選擇的原因；2) 當前實施的控制目標和控制措施；3) 附錄A中控制目標和控制措施的刪減，以及刪減的理由。注：適用性聲明提供了一個風險處理決策的總結。 實施并運作ISMS為確保ISMS有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a) 制定風險處理計劃闡明為控制信息安全風險確定的適當?shù)墓芾砘顒?、職責以及?yōu)先權。d) 確定如何測量所選擇的一個/組控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結果。e) 實施培訓和意識計劃。g) 對ISMS的資源進行管理。 監(jiān)控并評審ISMSa) 本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期技術檢查等控制措施并報告結果以實現(xiàn)：1）快速檢測處理結果中的錯誤；2）快速識別失敗的和成功的安全破壞和事件；3）能使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果；4) 幫助檢測安全事情，并利用指標預防安全事件；5）確定解決安全破壞所采取的措施是否有效。c) 測量控制措施的有效性，以證實安全要求已得到滿足。e) 按照計劃的時間間隔（不超過一年）進行ISMS內(nèi)部審核。f) 定期對ISMS進行管理評審，以確保范圍的充分性，并識別ISMS過程的改進。h) 記錄可能對ISMS有效性或業(yè)績有影響的活動和事情。 b) 采取適當?shù)募m正和預防措施。c) 與所有相關方溝通措施和改進。d) 確保改進達到其預期的目標。如：《文件控制程序》、《記錄控制程序》、《內(nèi)部審核控制程序》等； e)為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f)《風險評估報告》、《風險處理計劃》以及ISMS要求的記錄類；g)相關的法律、法規(guī)和信息安全標準；h)適應性聲明。b)信息安全管理手冊的編寫：由管理者代表負責組織編寫，總經(jīng)理批準后發(fā)布實施。d)信息安全管理手冊的發(fā)放：手冊分“受控”和 “非受控”兩種。 文件控制公司制定并實施《文件控制程序》，對信息安全管理體系所要求的文件進行管理。文件控制應保證：a) 文件在發(fā)放前應按規(guī)定的審核和批準權限進行批準后才能發(fā)布；b) 必要時對文件進行評審與更新，并按規(guī)定的權限重新批準；c) 由信息安全工作小組對文件的現(xiàn)行修訂狀態(tài)進行標識，文件更改由相應更改部門進行標識，確保文件的更改狀態(tài)清晰明了；d) 信息安全工作小組應確保所有使用文件的場所能夠獲得有關文件的有效的最新版本；e) 確保文件保持清晰、易于識別；f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉移、存儲和最終的銷毀；g) 各部門獲得外來文件應統(tǒng)一交相關部門保存，進行標識并控制發(fā)放，確保外來文件得到識別；h) 確保文件的分發(fā)得到控制；i) 信息安全工作小組應控制作廢文件的使用，若各部門有必要保存作廢文件時，應向信息安全工作小組報告，防止作廢文件的非預期使用；j) 若因任何目的需保留作廢文件時，應對其進行適當?shù)臉俗R。信息安全小組負責整理制定《ISMS文件日常應用格式匯總》，負責制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的《記錄控制程序》，規(guī)定記錄的標識、儲存、保護、檢索、保管、廢棄等事項。各部門應根據(jù)《記錄控制程序》的要求采取適當?shù)姆绞酵咨票９苄畔踩涗?相關文件《文件控制程序》《記錄控制程序》 管理承諾公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)：a) 建立信息安全方針(見本手冊第04章)；b) 確保信息安全目標和計劃得以制定（見《信息安全適用性聲明(SOA)》、《風險處理計劃》及相關記錄）；c) 建立信息安全的角色和職責(見《信息安全職責說明》)；d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；e) 提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系()；f) 決定接受風險的準則和風險的可接受等級(見《信息安全風險評估控制程序》及相關記錄)；g) 確保內(nèi)部信息安全管理體系審核（見本手冊第6章）得以實施； h) 實施信息安全管理體系管理評審（見本手冊第7章）。 培訓、意識和能力公司制定并實施《人力資源控制程序》文件，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務。通過《崗位說明書》的任職要求來確定，并在招聘活動中確認相關信息安全的任職要求；b)提供職業(yè)技術教育和技能培訓或采取其他的措施來滿足這些需求；c)評價所采取措施及培訓的有效性；d)保留教育、培訓、技能、經(jīng)驗和資歷的記錄。 相關文件《人力資源管理程序》6. ISMS內(nèi)部審核 總則公司建立并實施《內(nèi)部審核控制程序》，《內(nèi)部審核控制程序》應包括策劃和實施審核以及報告結果和保持記錄的職責和要求。 內(nèi)審策劃，對審核方案進行策劃。公司每年組織最少應組織一次內(nèi)部審核。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。 內(nèi)審實施 應按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現(xiàn)場審核，檢查相關文件、記錄和憑證，與相關人員進行交流，按照檢查的情況填寫檢查表；c）進行對檢查內(nèi)容進行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見和不符合報告；d）審核組長編制審核報告。 內(nèi)部審核報告，應作為管理評審的輸入之一。，包括安全方針和安全目標。 評審輸入管理評審的輸入要包括以下信息：a) 信息安全管理體系審核和評審的結果；b) 相關方的反饋；c) 用于改進信息安全管理體系業(yè)績和有效性的技術、產(chǎn)品或程序；d) 預防和糾正措施的狀況；e) 以往風險評估沒有充分強調(diào)的脆弱性或威脅；f) 有效性測量的結果；g) 以往管理評審的跟蹤措施；h) 任何可能影響信息安全管理體系的變更；i) 改進的建議。d) 資源需求；e) 改進測量控制措施有效性的方式。 相關文件：《管理評審程序》8 ISMS改進公司的持續(xù)改進是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標、安全審核、監(jiān)控時間的分析、糾正和預防措施以及管理評審方面都要持續(xù)改進信息安全管理體系的有效性。對糾正措施的實施和驗證規(guī)定以下步驟：a) 識別不符合；b) 確定不符合的原因；c) 評價確保不符合不再發(fā)生的措施要求；d) 確定和實施所需的糾正措施；e) 記錄所采取措施的結果；f) 評審所采取的糾正措施，將重大糾正措施提交管理評審討論。對預防措施的實施和驗證規(guī)定以下步驟：a) 識別潛在的不符合及其原因；b) 評價預防不符合發(fā)生的措施要求；c) 確定并實施所需的預防措施，預防措施的優(yōu)先級應基于風險評估結果來確定；d) 記錄所采取措施的結果；e) 評審所采取的預防措施將重大預防措施提交管理評審討論。表號記錄編號記錄名稱保管場所保存期限保存形式備注受控文件清單三年書面、電子信息安全體系要求與部門職能分配表信息安全組織機構圖三年書面、電子信息安全職責說明組織機構圖三年書面、電子　受控文件清單序號文件編號程序文件文件版本1234