【正文】 的技術(shù)、產(chǎn)品或程序； d) 預(yù)防和糾正措施的狀況； e) 以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱性或威脅； f) 有效性測(cè)量的結(jié)果； g) 以往管理評(píng)審的跟蹤措施； h) 任何可能影響 信息安全管 理體系 的變更； i) 改進(jìn)的建議。 d) 資源需求； e) 改 進(jìn)測(cè) 量控制措施有效性的方式 。 相關(guān)文件： 《管理評(píng)審程序》 8 ISMS改進(jìn) 公司的 持續(xù)改進(jìn)是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標(biāo)、安全審核、監(jiān)控時(shí)間的分析、糾正和預(yù)防措施以及管理評(píng)審方面都要 持續(xù)改進(jìn)信息安全管理體系的有效性 。 對(duì)糾正措施的實(shí)施和驗(yàn)證規(guī)定以下步驟： a) 識(shí)別不符合； b) 確定不符合的原因； c) 評(píng)價(jià)確保不符合不再發(fā)生的措施要求； d) 確定和實(shí)施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評(píng)審所采取的糾正措施 ， 將重大糾正措施提交管理評(píng)審討論。 對(duì)預(yù)防措施的實(shí)施和驗(yàn)證規(guī)定以下步驟： a) 識(shí)別潛在的不符合及其原因； b) 評(píng)價(jià)預(yù)防不符合發(fā)生的措施要求； c) 確定 并實(shí)施所需的預(yù)防措施 ， 預(yù)防措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來確定 ； d) 記錄所采取措施的結(jié)果； e) 評(píng)審所采取的預(yù)防措施 將重大預(yù)防措施提交管理評(píng)審討論 。 表號(hào) 記錄 編 號(hào) 記錄 名稱 保管 場(chǎng) 所 保存期限 保存形式 備 注 表 受控 文件 清單 三年 書 面、 電 子 表 信息安全體系要求與部門職能分配表 表 信息安全組織機(jī)構(gòu)圖 三年 書 面、 電 子 表 信息安全職責(zé)說明 表 組織機(jī)構(gòu)圖 三年 書 面、 電 子 表 受控文件清單 序號(hào) 文件 編 號(hào) 程序文件 文件版本 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 表 2 信息安全體系要求與部門職能分配表 ISO 27001 條文要求 總 經(jīng) 理 管 理 者 代 表 行 政 部 實(shí)施部 開 發(fā) 部 信 息 安 全 工 作 小組 4 信息安全管理體系 總要求 ◆ △ ○ ○ ○ ○ 建立并管理ISMS ◆ △ ○ ○ ○ ○ 建立 ISMS ◆ ○ ○ ○ △ 實(shí)施和運(yùn)行ISMS ◆ ○ ○ ○ △ 監(jiān)視和評(píng)審ISMS ◆ ○ ○ ○ △ 保持和改進(jìn)ISMS ◆ ○ ○ ○ △ 文件要求 總則 ◆ ○ ○ ○ △ 文件控制 ◆ ○ ○ ○ △ 記錄控制 ◆ ○ ○ ○ △ 5 管理職責(zé) 管理者承諾 △ ○ ○ ○ ○ ○ 資源管理 資源提供 △ ○ ○ ○ ○ ○ 培訓(xùn)、意識(shí)和能力 ○ ◆ △ ○ ○ ○ 6 ISMS內(nèi)部審核 ◆ ○ ○ ○ △ 7 ISMS 管理評(píng)審 總則 ◆ △ ○ ○ ○ ○ 評(píng)審輸入 ◆ △ ○ ○ ○ ○ 評(píng)審輸出 ◆ △ ○ ○ ○ ○ 8 ISMS 改進(jìn) 持續(xù)改進(jìn) ◆ ○ ○ ○ △ 糾正措施 ◆ ○ ○ ○ △ 預(yù)防措施 ◆ ○ ○ ○ △ 附錄 A條文要求 總 經(jīng) 理 管 理 者 代 表 行 政 部 實(shí)施部 開 發(fā) 部 信 息 安 全 工 作 小組 安全方針 信息安全方針 ◆ △ ○ ○ ○ ○ 信息安全組織 內(nèi)部組織 ◆ △ ○ ○ ○ ○ 外部相關(guān)方 ◆ △ ○ ○ ○ ○ 資產(chǎn)管理 資產(chǎn)責(zé)任 ◆ ○ △ △ △ ○ 信息分類 ◆ ○ ○ ○ △ 人力資源安全 聘用前 ◆ ○ △ △ △ ○ 聘 用期間 ◆ ○ △ ○ ○ ○ 物理和環(huán)境安全 安全區(qū)域 ◆ △ ○ ○ 設(shè)備安全 ○ △ △ ○ 通信和 操作 管理 操作程序和職責(zé) ○ △ △ ○ 第三方服務(wù)交付管理 ○ △ △ ○ 系統(tǒng)策劃與接收 ○ △ △ ○ 防范惡意和可移動(dòng)代碼 ○ △ ○ ○ 備份 ○ △ △ △ 網(wǎng)絡(luò)安全管理 ○ △ △ ○ 介質(zhì)的處理 ○ △ ○ ○ 信息交換 ○ △ ○ ○ 電子商務(wù)服務(wù)（只包括 公共信息） 監(jiān)控 ○ ○ △ ○ 訪問控制 訪問控制的業(yè)務(wù)要求 ○ ○ △ △ 用戶訪問管理 ○ ○ △ △ 用戶責(zé)任 ○ ○ △ △ 網(wǎng)絡(luò)訪問控制 ○ ○ △ △ 操作系統(tǒng)訪問控制 ○ ○ △ △ 應(yīng)用程序及信息訪問控制 ○ ○ △ △ 移動(dòng) PC計(jì)算和遠(yuǎn)程工作 ○ ○ ○ △ △ 信息系統(tǒng)獲取開發(fā)和維護(hù) 信息系統(tǒng)的安全需求 ○ ○ ○ △ 應(yīng)用程序的正確處理 ○ ○ ○ △ 加密控制 ○ ○ ○ △ 系統(tǒng)文件安全 ○ ○ ○ △ 開發(fā)和支持過程的安全 ○ ○ ○ △ 技術(shù)薄弱點(diǎn)管理 ○ ○ ○ △ 信息安全事件管理 報(bào)告信息安全事情和薄弱點(diǎn) ○ ○ ○ ○ △ 信息安全事件和改進(jìn)管理 ○ ○ ○ ○ △ 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理中的信息安全事項(xiàng) ◆ ○ ○ ○ ○ △ 符合性 符合法律要求 ◆ ○ △ ○ ○ 符合安全方針和標(biāo)準(zhǔn)，以及技術(shù)符合 ◆ △ ○ ○ 信息系統(tǒng)審核相關(guān)事宜 ○ △ ○ ○ *注：領(lǐng)導(dǎo)職責(zé)以“ ◆ ”表示 ；負(fù)責(zé)部門以“△”表示；相關(guān)部門以“○”表示。 2 信息安全工作小組 1) 直接對(duì)信息安全管理委員會(huì)負(fù)責(zé)，承擔(dān)信息安全管理委員會(huì)的具體工作，協(xié)助在信息安全事務(wù)上的決策； 2) 負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各信息安全執(zhí)行單位對(duì)于信息安全政策、措施的實(shí)施； 3) 負(fù)責(zé)定期召開信息安全管理工作會(huì)議，定期總結(jié)運(yùn)行情況以及安全事件記錄，并向信息安全管理委員會(huì)匯報(bào)； 4) 協(xié)助 行 政部 對(duì)員工進(jìn)行信息安全意識(shí)教育和安全技能培訓(xùn)； 5) 協(xié)助 行政部 和各業(yè)務(wù)部門對(duì)員工的聘前、聘中及解聘過程中涉及的人員信息安全進(jìn)行有效管理； 6) 協(xié)調(diào)各部門以及與外部組織間有關(guān)的信息安全工作，負(fù)責(zé)建立各部門、關(guān)聯(lián)公司、外部安全管理主管機(jī)構(gòu)之間的定期聯(lián)系和溝通機(jī)制； 7) 負(fù)責(zé)對(duì) ISMS 體系進(jìn)行審核，以驗(yàn)證體系的健全性和有效性，并對(duì)發(fā)現(xiàn)的問題提出內(nèi)部審核建議； 8) 負(fù)責(zé)對(duì) ISMS 體系的具體實(shí)施、各部門的信息安全運(yùn)行狀況進(jìn)行定期審計(jì)或?qū)ｍ?xiàng)審計(jì)； 9) 負(fù)責(zé)匯報(bào)審計(jì)結(jié)果，并督促審計(jì)整改工作的進(jìn)行，落實(shí)糾正措施 (包括內(nèi)部審核整改意見 )和預(yù)防措 施。 7) 遵守公司 信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求 4 管理者代表 1) 負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體 2) 系的有效運(yùn)行； 3) 負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo) 4) 公司內(nèi)部審核工作； 5) 負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的 6) 需求； 7) 負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。 6 部門信息安全工作小組成員 1) 負(fù)責(zé)本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項(xiàng)活動(dòng)； 2) 負(fù)責(zé)按照 ISMS 體系的要求，對(duì)本部門所擁有和管理的信息資產(chǎn)進(jìn)行維護(hù)，包括資產(chǎn)的識(shí)別和分類、資產(chǎn)的威脅和脆弱性識(shí)別及安全需求級(jí)別確定等工作； 3) 負(fù)責(zé)根據(jù) ISMS 安全政策要求，在本部門提高員工安全意識(shí)，落實(shí)責(zé)任，保護(hù)信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效； 4) 負(fù)責(zé)向信息安全管理工作小組組長(zhǎng)報(bào)告信息安全事件和違反信息安全政策的行為，協(xié)助對(duì)違反安全政策的行為進(jìn)行調(diào)查； 5) 協(xié)助信息安全管理工作小組組長(zhǎng)和本部門信息安全主管領(lǐng)導(dǎo)落實(shí)針對(duì)本部門的糾正措施 (包括內(nèi)部審核整改意見 )和預(yù)防措施 7 內(nèi)部員工 1) 嚴(yán)格遵守所有與信息安全相關(guān)的國家法律、法規(guī)和政策，遵守公司所有的信息安全政 策，并簽字承諾遵守保密協(xié)議的有關(guān)規(guī)定； 2) 以安全負(fù)責(zé)的方式使用公司的信息資產(chǎn)； 3) 積極參加信息安全教育與培訓(xùn)，提高信息安全意識(shí)； 4) 有責(zé)任將違反信息安全政策的事件與行為及時(shí)報(bào)告給本部門信息安全管理員及其他相關(guān)人員 8 信息 安全 員 1) 負(fù)責(zé)管理本部門信息資產(chǎn)識(shí)別表。 3) 定期向部門信息安全工作小組反饋部門信息資產(chǎn)識(shí)別表 9 行政部 1) 負(fù)責(zé)本公司管理體系文件的控制； 2) 負(fù)責(zé)保存內(nèi)部審核和管理評(píng)審的有關(guān)記錄； 3) 負(fù)責(zé)監(jiān)控信息安全管理體系的日常運(yùn)行 4) 負(fù)責(zé)公司物理 安全的管理； 5) 負(fù)責(zé)公司水電空調(diào)物業(yè)等的管理； 6) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求 7) 負(fù)責(zé)人力資源管理工作，確保人員的信息安全； 8) 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。 4) 負(fù)責(zé)公司 IT方面的信息安全建設(shè)。 6) 負(fù)責(zé)公司應(yīng)用系統(tǒng)軟件的管理和