【正文】 行轉(zhuǎn)移、存儲(chǔ)和最終的銷(xiāo)毀； g) 各部門(mén)獲得外來(lái)文件應(yīng)統(tǒng)一交相關(guān)部門(mén)保存，進(jìn)行標(biāo)識(shí)并控制發(fā)放， 確保外來(lái)文件得到識(shí)別； h) 確保文件的分發(fā)得到控制 ； i) 信息安全工作小組應(yīng)控制作廢文件的使用，若各部門(mén)有必要保存作廢文件時(shí)，應(yīng)向信息安全工作小組報(bào)告， 防止作廢文件的非預(yù)期使用； j) 若因任何目的需保留作廢文件時(shí)，應(yīng)對(duì)其進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。 a)信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運(yùn)行的證據(jù)。 信息安全小組負(fù)責(zé)整理制定《 ISMS文件日常應(yīng)用格式匯總》， 負(fù)責(zé)制定并維持易讀、易識(shí)別、可方便檢索又考慮法律、法規(guī)要求的《記錄控制程序》，規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保管、廢棄等事項(xiàng)。 b)信息安全體系的記錄包括 所有過(guò)程的結(jié)果及與 ISMS相關(guān)的安全事故。各部門(mén)應(yīng)根據(jù)《記錄控制程序》的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗? 相關(guān)文件 《文件控制程序》 《記錄控制程序》 管理承諾 公司 管理者通 過(guò) 以下活 動(dòng) ， 對(duì) 建立、 實(shí) 施、運(yùn)作、 監(jiān)視 、 評(píng)審 、保持和改 進(jìn) 信息安全管理體系的承 諾 提供 證 據(jù)： a) 建立信息安全方 針 (見(jiàn) 本手冊(cè)第 04章 )； b) 確保信息安全目 標(biāo) 和 計(jì) 劃得以制定（ 見(jiàn) 《信息安全適用性聲明 (SOA)》、《 風(fēng)險(xiǎn)處 理 計(jì) 劃》及相 關(guān)記錄 ）； c) 建立信息安全的角色和 職責(zé) (見(jiàn) 《信息 安全 職責(zé) 說(shuō)明 》 )； d) 向 組織傳 達(dá) 滿 足信息安全目 標(biāo) 、符合信息安全方 針 、履行法律 責(zé) 任和持 續(xù) 改 進(jìn) 的重要性； e) 提供充分的 資 源，以建立、 實(shí) 施、運(yùn)作、 監(jiān)視 、 評(píng)審 、保持并改 進(jìn) 信息安全管理體系 (見(jiàn) 本手冊(cè)第 )； f) 決定接受 風(fēng)險(xiǎn) 的準(zhǔn) 則 和 風(fēng)險(xiǎn) 的可接受等 級(jí) (見(jiàn) 《信息安全 風(fēng)險(xiǎn)評(píng) 估控制程序》及相 關(guān)記錄 )； g) 確保內(nèi)部信息安全管理體系 審 核（ 見(jiàn) 本手冊(cè)第 6章）得以 實(shí) 施； h) 實(shí) 施信息安全管理體系管理 評(píng)審 （ 見(jiàn) 本手冊(cè)第 7章）。 資源管理 資 源的提供 公司 確定并提供 實(shí) 施、保持信息安全管理體系所需 資 源；采取適當(dāng) 措施，使影響信息安全管理體系工作的 員 工的能力是 勝 任的，以保 證 ： a) 建立、 實(shí) 施、運(yùn)作、 監(jiān)視 、 評(píng)審 、保持和改 進(jìn) 信息安全管理體系； b) 確保信息安全程序支持 業(yè)務(wù) 要求； c) 識(shí)別 并指出法律法 規(guī) 要求和合同安全 責(zé) 任； d) 通 過(guò) 正確 應(yīng) 用所 實(shí) 施的所有控制來(lái)保持充分的安全； e) 必要 時(shí)進(jìn) 行 評(píng)審 ，并 對(duì)評(píng)審 的 結(jié) 果采取適當(dāng)措施； f) 需要 時(shí) ，改 進(jìn) 信息安全管理體系的有效性。 培 訓(xùn) 、意 識(shí) 和能力 公司 制定并 實(shí) 施《人力 資 源控制程序》文件， 確保被分配 信息安全管理體系 規(guī) 定 職責(zé) 的所有人 員 ，都必 須 有能力 執(zhí) 行所要求的任 務(wù) 。 可以通 過(guò) ： a)確定承擔(dān)信息安全管理體系各工作 崗 位的 職 工所必要的能力 。 通過(guò) 《 崗位說(shuō)明書(shū) 》 的任職要求來(lái)確定，并在招聘活動(dòng)中確認(rèn)相關(guān)信息安全的任職要求 ； b)提供 職業(yè) 技 術(shù) 教育和技能培 訓(xùn) 或采取其他的措施來(lái) 滿 足 這 些需求； c)評(píng) 價(jià)所采取措施 及培訓(xùn) 的有效性； d)保留教育、培 訓(xùn) 、技能、 經(jīng)驗(yàn) 和 資歷 的 記錄 。 公司 還 確保所有相 關(guān) 人 員 意 識(shí) 到其所從事的信息安全活 動(dòng) 的相 關(guān) 性和重要性，以及如何 為實(shí)現(xiàn) 信息安全管理體系目標(biāo) 做出 貢 獻(xiàn) 。 相關(guān)文件 《人力資源管理程序》 6. ISMS 內(nèi)部審核 總則 公司建立并實(shí)施《 內(nèi)部審核控制程序》，《內(nèi)部審核控制程序》應(yīng)包括策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定其信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否： a) 符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求； b) 符合已識(shí)別的信息安全要求； c) 得到有效地實(shí)施和維護(hù)； d) 按預(yù)期執(zhí)行。 內(nèi)審策劃 信息安全工作小組應(yīng)考慮擬審核的過(guò)程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對(duì)審核方案進(jìn)行策劃。應(yīng)編制內(nèi)審年度計(jì)劃，確定審核的準(zhǔn)則、范圍、頻次和 方法。公司每年組織最少應(yīng)組織一次內(nèi)部審核。 每次審核前，信息安全工作小組應(yīng)編制內(nèi)審計(jì)劃，確定審核的準(zhǔn)則、范圍、日程和審核組。審核員的選擇和 審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。 內(nèi)審實(shí)施 應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括： a）進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序； b）實(shí)施現(xiàn)場(chǎng)審核，檢查相關(guān)文件、記錄和憑證，與相關(guān)人員進(jìn)行交流，按照檢查的情況填寫(xiě)檢查表； c）進(jìn)行對(duì)檢查內(nèi)容進(jìn)行分析，召開(kāi)內(nèi)審小組首次會(huì)議、末次會(huì)議，宣布審核意見(jiàn)和 不符合報(bào)告； d）審核組長(zhǎng)編制審核報(bào)告。 對(duì)審核中提出的不符合項(xiàng)報(bào)告，責(zé)任部門(mén)應(yīng)編制糾正措施，由辦公室組織對(duì)受審部門(mén)的糾正措施的實(shí)施情況進(jìn)行跟蹤、驗(yàn)證； 按照《記錄控制程序》的要求，保存審核記錄。 內(nèi)部審 核 報(bào) 告， 應(yīng) 作 為 管理 評(píng)審 的 輸 入之一。 《內(nèi)部審核控制程序》 7. ISMS 管理評(píng)審 總則 建立并實(shí)施《管理評(píng)審控制程序》，管理者應(yīng)按《管理評(píng)審控制程序》規(guī)定的時(shí)間間隔評(píng)審信息安全管理體系， 每年最少進(jìn)行一次， 以確保其持續(xù)的適宜性、充 分性和有效性。 ，包括安全方針和安全目標(biāo)。 ，記錄應(yīng)加以保持。 評(píng)審輸入 管理評(píng)審的輸入要包括以下信息： a) 信息安全管理體系 審核和評(píng)審的結(jié)果； b) 相關(guān)方的反饋； c) 用于改進(jìn) 信息安全管理體系 業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序； d) 預(yù)防和糾正措施的狀況； e) 以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱性或威脅； f) 有效性測(cè)量的結(jié)果； g) 以往管理評(píng)審的跟蹤措施； h) 任何可能影響 信息安全管 理體系 的變更； i) 改進(jìn)的建議。 評(píng)審輸出 ： a) 信息安全管理體系 有效性的改進(jìn)； b) 更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃； c) 必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響 信息安全管理體系 的內(nèi)外事件，包括以下方面的變化： 1) 業(yè)務(wù)要求； 2) 安全要求； 3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程； 4) 法律法規(guī)要求； 5) 合同責(zé)任； 6) 風(fēng)險(xiǎn)等級(jí)和（或）風(fēng)險(xiǎn)接受準(zhǔn)則。 d) 資源需求； e) 改 進(jìn)測(cè) 量控制措施有效性的方式 。 f)管理評(píng)審報(bào)告由管理者代表編制，經(jīng)總經(jīng)理批準(zhǔn)后發(fā)往各部門(mén)， 管理者代表 負(fù)責(zé)存檔 。 相關(guān)文件： 《管理評(píng)審程序》 8 ISMS改進(jìn) 公司的 持續(xù)改進(jìn)是信息安全管理體系得以持續(xù)保持其有效性的保證，公司在其信息管理體系安全方針、安全目標(biāo)、安全審核、監(jiān)控時(shí)間的分析、糾正和預(yù)防措施以及管理評(píng)審方面都要 持續(xù)改進(jìn)信息安全管理體系的有效性 。 糾正措施 糾正措施 公司制定并實(shí)施《糾正和預(yù)防措施管理程序》， 針對(duì)發(fā)現(xiàn)的不 符合 現(xiàn)象 ，采取措施， 消除不 符合 的原因 ， 并防止不 符合項(xiàng) 的再次 發(fā)生 。 對(duì)糾正措施的實(shí)施和驗(yàn)證規(guī)定以下步驟： a) 識(shí)別不符合； b) 確定不符合的原因； c) 評(píng)價(jià)確保不符合不再發(fā)生的措施要求； d) 確定和實(shí)施所需的糾正措施； e) 記錄所采取措施的結(jié)果； f) 評(píng)審所采取的糾正措施 ， 將重大糾正措施提交管理評(píng)審討論。 預(yù)防措施 公司制定并實(shí)施《糾正和預(yù)防措施管理程序》，針對(duì)潛在的 不符合 ，采取措施，消除 不符合 的原因，并防止不合格的發(fā)生。 對(duì)預(yù)防措施的實(shí)施和驗(yàn)證規(guī)定以下步驟： a) 識(shí)別潛在的不符合及其原因； b) 評(píng)價(jià)預(yù)防不符合發(fā)生的措施要求； c) 確定 并實(shí)施所需的預(yù)防措施 ， 預(yù)防措施的優(yōu)先級(jí)應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果來(lái)確定 ； d) 記錄所采取措施的結(jié)果； e) 評(píng)審所采取的預(yù)防措施 將重大預(yù)防措施提交管理評(píng)審討論 。 《糾正和預(yù)防措施管理程序》 9. 記錄 本程序發(fā)生的記錄匯總表見(jiàn)表 1（表式見(jiàn) 《 ISMS文件日常應(yīng)用格式匯總》 ）。 表號(hào) 記錄 編 號(hào) 記錄 名稱(chēng) 保管 場(chǎng) 所 保存期限 保存形式 備 注 表 受控 文件 清單 三年 書(shū) 面、 電 子 表 信息安全體系要求與部門(mén)職能分配表 表 信息安全組織機(jī)構(gòu)圖 三年 書(shū) 面、 電 子 表 信息安全職責(zé)說(shuō)明 表 組織機(jī)構(gòu)圖 三年 書(shū) 面、 電 子 表 受控文件清單 序號(hào) 文件 編 號(hào) 程序文件 文件版本 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 表 2 信息安全體系要求與部門(mén)職能分配表 ISO 27001 條文要求 總 經(jīng) 理 管 理 者 代 表 行 政 部 實(shí)施部 開(kāi) 發(fā) 部 信 息 安 全 工 作 小組 4 信息安全管理體系 總要求 ◆ △ ○ ○ ○ ○ 建立并管理ISMS ◆ △ ○ ○ ○ ○ 建立 ISMS ◆ ○ ○ ○ △ 實(shí)施和運(yùn)行ISMS ◆ ○ ○ ○ △ 監(jiān)視和評(píng)審ISMS ◆ ○ ○ ○ △ 保持和改進(jìn)ISMS ◆ ○ ○ ○ △ 文件要求 總則 ◆ ○ ○ ○ △ 文件控制 ◆ ○ ○ ○ △ 記錄控制 ◆ ○ ○ ○ △ 5 管理職責(zé) 管理者承諾 △ ○ ○ ○ ○ ○ 資源管理 資源提供 △ ○ ○ ○ ○ ○ 培訓(xùn)、意識(shí)和能力 ○ ◆ △ ○ ○ ○ 6 ISMS內(nèi)部審核 ◆ ○ ○ ○ △ 7 ISMS 管理評(píng)審 總則 ◆ △ ○ ○ ○ ○ 評(píng)審輸入 ◆ △ ○ ○ ○ ○ 評(píng)審輸出 ◆ △ ○ ○ ○ ○ 8 ISMS 改進(jìn) 持續(xù)改進(jìn) ◆ ○ ○ ○ △ 糾正措施 ◆ ○ ○ ○ △ 預(yù)防措施 ◆ ○ ○ ○ △ 附錄 A條文要求