1、 23/23ISO27001信息安全管理體系全套程序文件 東莞市有限公司 信息安全風險評估管理程序 文件編號：ISMS-COP01 狀態：受控 編寫：信息安全管理委員會2018年05月10日 審核：2018年05月10日 批準：陳世勝2018年05月12日 發布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分發：各部門接受部門：各部門 變更記錄 信息安全風險評估管理程序 1 適用 本程序適用于本公司信息安全管理體系（ISMS）范圍內信息安全風險評估活動。 2 目的 本程序規定了本公司所采用的信息安全風險評估方法。通過識別信息資產、風險等級評估，認知本公司的信息安全風險

2、，在考慮控制成本與風險平衡的前提下選擇合適控制目標和控制方式將信息安全風險控制在可接受的水平，保持本公司業務持續性發展，以滿足本公司信息安全管理方針的要求。 3 范圍 本程序適用于第一次完整的風險評估和定期的再評估。在辨識資產時，本著盡量細化的原則進行，但在評估時我司又會把資產按照系統進行規劃。辨識與評估的重點是信息資產，不區分物理資產、軟件和硬件。 4 職責 4.1 成立風險評估小組 辦公室負責牽頭成立風險評估小組。 4.2 策劃與實施 風險評估小組每年至少一次，或當體系、組織、業務、技術、環境等影響企業的重大事項發生變更、重大事故事件發生后，負責編制信息安全風險評估計劃，確認評估結果，形成

3、信息安全風險評估報告。 4.3 信息資產識別與風險評估活動 各部門負責本部門使用或管理的信息資產的識別，并負責本部門所涉及的信息資產的具體安全控制工作。 4.3.1各部門負責人負責本部門的信息資產識別。 4.3.2辦公室經理負責匯總、校對全公司的信息資產。 4.3.3 辦公室負責風險評估的策劃。 4.3.4信息安全小組負責進行第一次評估與定期的再評估。 5 程序 5.1 風險評估前準備 5.1.1 辦公室牽頭成立風險評估小組，小組成員至少應該包含：信息安全管理體系負責部門的成員、信息安全重要責任部門的成員。 5.1.2風險評估小組制定信息安全風險評估計劃，下發各部門內審員。 5.1.3必要時應

4、對各部門內審員進行風險評估相關知識和表格填寫的培訓。 5.2 信息資產的識別 5.2.1 本公司的資產范圍包括： 5.2.1.1信息資產 1)數據文檔資產：客戶和公司數據，各種介質的信息文件包括紙質文件。 2)軟件資產：應用軟件、系統軟件、開發工具和適用程序。 3)硬件資產：計算機設備、通訊設備、可移動介質和其他設備。 4)服務：培訓服務、租賃服務、公用設施（能源、電力）。 5)人員：人員的資格、技能和經驗。 6)無形資產：組織的聲譽、商標、形象。 5.3資產及其重要度 5.3.1識別組織的資產 識別在評估范圍內的資產。對于在范圍內的每一項資產都要恰當統計；不在評估范 圍內的資產，也要進行記錄

5、； 按一定的標準，將信息資產進行恰當的分類，在此基礎上進行下一步的風險評估工 作。 識別組織資產，參考資產等級分類及重要度(安全等級)劃分 5.3.2評估資產的重要度 1.對資產的等級進行定義，并表示成相對等級的形式。 識別出資產之后，必須對資產的重要度進行評估。評估的依據是資產的保密性、完整性和可用性在遭受損失之后的后果。 不同資產的安全屬性的重要程度是不一樣的，例如：對財物數據來說保密性和可核查性是最重要的安全屬性，而對操作軟件來說更強調可用性。對資產評估的過 程本身就是對資產安全屬性損失后果的分析。 在本程序中雖然不按照安全屬性分別賦值，但是評估過程中要充分考慮本節中列出的各種安全屬性。

6、 資產重要度描述如下表。 2.決定資產重要度時，需要考慮： 資產的成本價格，更重要的是考慮資產對于組織業務的安全重要性，即根據資 產損失所引發的潛在的影響來決定； 為確保資產重要度的一致性和準確性，建立一個統一的尺度，以無歧義的方式 對資產的重要度進行賦值； 分析和評價資產受到侵害后的保密性、完整性和可用性損失。 決定資產重要度，參考資產安全等級分類 5.4識別資產面臨的威脅 實施風險評估需要對要保護的每一項關鍵資產進行威脅的識別。威脅可以從資產的所有者、使用者、計劃書、信息專家、社團內部及外部負責信息安全的組織等處獲得。 通常，一個可能的威脅列表對完成威脅評估有所幫助。當應用威脅目錄（列表）

7、或者以前的威脅評估結果時，必須意識到，威脅總是不斷變化的，尤其是在業務環境與信息發生變化時。 1.分析本公司的信息系統存在的威脅種類，確定威脅分類的標準。 2.綜合威脅來源、種類和其他因素后得出威脅列表； 3.針對每一項需要保護的信息資產，找出可能面臨的威脅。 在識別資產所面臨的威脅時，應該考慮下面三個方面的資料和信息來源： 通過歷史的安全事件報告或記錄，統計各種發生過的威脅和其發生頻率； 在評估對象的實際環境中，通過IDS等系統獲取的威脅發生數據的統計和分析， 各種日志中威脅發生的數據的統計和分析； 過去一年或兩年來國際公司或機構（例如：微軟公司）、社團內部負責信息安 全的組織（例如：CER

8、T應急響應中心）、社團外部負責信息安全的組織（例如：病 毒防范產品公司）、業務關聯公司發布的對于整個社會或特定行業安全威脅及其發 生頻率的統計數據。 5.5識別威脅可以利用的脆弱性 這一步是評估容易被攻擊者(或威脅源)攻破(或破壞)的薄弱點，包括基礎設施中的弱點、控制中的弱點、員工意識上的弱點、系統中的弱點和設計上的弱點等。包括針對資產所關聯的物理環境、組織、人員、管理、硬件、軟件、程序、代碼、通信設備等多種可能被威脅源所利用并可能導致危害的，由資產自身特性導致的弱點。系統脆弱性往往需要與對應的威脅相結合時才會對系統的安全造成危害。 一個沒有對應威脅的脆弱性一般不會造成實在的風險，可以不采取相

9、應的防護措施，但是有必要密切監視這種潛在的風險。注意，脆弱性不僅是由于最初購置或制造時的原因產生的，資產的應用方法、目的的不同、防護措施的不足都可能造成脆弱性。例如：E2PROM是一種可擦寫的存儲設備，可擦寫是其設計時的一項標準，但可擦寫屬性意味著E2PROM所存儲的信息未經授權的破壞成為可能，這就是一個脆弱性。 5.6評估資產在威脅暴露度 暴露度等級描述資產或資產安全屬性受損害的程度，以下簡稱暴露度。 本評估方法將暴露度的等級定義為5級。如下表所示： 表：暴露度的等級定義 在評估時可參考下面兩個表的描述，即根據對資產的安全屬性（保密性、可用性、完整性）的損害及影響程度評價對應的暴露等級。 表

10、：資產保密性/完整性暴露度的等級定義 表：資產可用性暴露度的等級定義 5.7評估威脅發生的可能性 容易度描述的是威脅利用脆弱性而可能發生的容易程度。這里所說的發生容易 度與具體的信息系統沒有關系。當與控制措施結合之后才形成影響的發生可能性。 對于發生容易度的等級，需要根據資產不同的安全屬性分別定義。本公司將發生容易度的等級定義為5級。參見下表： 表：發生容易度等級定義 5.8識別與分析控目前控制手段的有效性 控制措施可以減少風險發生可能性或者減輕發生后的影響。因此，必須識別出控制措施并對其有效性進行評估。根據控制措施的有效性對控制措施賦值，以下簡稱控制度。 公司將控制度的等級劃分為1-5（5為

11、基本無效）。每一個等級都要對應相應的有效性系數之后參加風險的計算。如下表。 表：控制措施的控制度與控制措施有效性對應關系 5.9分析資產在威脅脆弱性下發生的影響度 影響是指威脅對脆弱性一次成功攻擊所產生的負面影響。 影響等級（以下簡稱影響度）是資產重要度等級和暴露等級的乘積。 確定影響度的定義，本公司采取以下定義和計算方式 影響度= （資產重要度等級* 暴露等級）* 20% 由資產重要度等級值（1-5）與暴露等級（1-5）相乘，并乘以系數20%取整后，那 么影響度等級為：1-5。 5.10確定資產發生風險的可能性 資產發生風險的可能性以下簡稱發生可能性。 發生可能性= （發生容易度等級* 控制

12、度）* 20% 由發生容易度等級值（1-5）與控制措施賦值（1-5）相乘，并乘以系數20%取整后， 那么影響發生可能性等級為：1-5。 5.11計算風險大小 風險大小量化后稱為風險等級，以下簡稱風險度。 風險度 = 影響度 * 發生可能性 表：風險計算矩陣 本公司按照風險數值排序的方法，將上面的25的矩陣等級，按照組織對風險的接受程度定義為高、中、低3個風險度的級別。風險度為15（含）以上時表示高，5（含）15表示中，5以下表示低；這包括可接受風險與不可接受風險的劃分，接受與不可接受的界限應當考慮風險控制成本與風險（機會損失成本）的平衡； 5.12風險處理和接受準則 本公司要求對“高”風險度制

13、定風險處理計劃，“中”風險由信息安全小組決定是否采取安全措施，“低”風險屬于可以接受的風險。總經理需要決定是否接受風險處理后的殘余風險并承認風險處理計劃。 5.13不可接受風險的確定和處理 各責任部門按照信息安全不可接受風險處理計劃的要求采取有效安全控制措施后,原評估小組重新評估其計劃效果，降至殘余風險可接受為止，確保所采取的控制措施是充分的，該措施直到為再次風險評估的輸入。殘余風險報告須經總經理批準。 5.14 評估時機 5.14.1 每年重新評估一次，以確定是否存在新的威脅或薄弱點及是否需要增加新的控制措施，對發生以下情況需及時進行風險評估： a) 當發生重大信息安全事故時； b) 當信息

14、網絡系統發生重大更改時； c) 信息安全管理小組確定有必要時。 5.14.2 各部門對新增加、轉移的或授權銷毀的信息資產應及時按照本程序在信息資產識別評價表、重要信息資產清單上予以添加或變更。 6 相關/支持性文件 ?信息安全適用性聲明 ?信息安全管理手冊 ?文件和資料管理程序 ?信息安全風險評估報告 7 記錄 東莞市有限公司 記錄管理程序 文件編號：ISMS-COP02 狀態：受控 編寫：信息安全管理委員會2018年05月10日審核：2018年05月10日批準：陳世勝2018年05月12日發布版次：A/0版2018年05月12日 生效日期：2018年05月18日分發：各部門接受部門：各部門

15、變更記錄 記錄管理程序 1.適用 本程序適用于本公司產生的記錄的管理。 2.目的 為支持信息安全體系的運作而明確記錄的管理。 3.管理方法 本公司采用四級層次文件編寫法。所有信息安全管理的記錄均以ISMS-JL作為開頭，其后由2個數字構成記錄順序編號。后兩個數字為自然序列號；以此類推。 如：ISMS-JL11記錄清單。其中“ISMS”表示信息安全類文件；“JL”表示記錄文件，即：表格；“11”代表自然序列號。 ISMSJL 記錄的順序號 信息安全管理體系 在每個記錄文件的頁眉右上角標記出文件的編號及版本號。版本及修訂號的編制方法采用“英文字母自然排序/數字自然排序”法。 如：“ISMSJLA/

16、0”以此類推。 第0次修定（按照數字自然順序號，依次使用1、2、3） 第A版（按照英文字母自然排序，依次使用B、C、D） 在使用每個具體記錄時，需要在每個記錄上填寫該記錄的使用序號（或稱：編號）規則為：“部門的簡寫自然順序號”。如：“XZ - 01”。以此類推。 自然順序號 辦公室的簡稱 本公司本標準覆蓋的部門，辦公室簡寫：BG ；設計部簡寫：SJ；質量部簡寫：ZL ；經營部簡寫；JY 采購部簡寫：CG 財務部簡寫：CW。 3.1 保管方法 （1）記錄由各保管部門在可快速檢索的條件下，決定保管場所，放在箱子、柜子等適當容器中保管。 （2）對保管場所的環境，本程序沒有特別指定。由各保管部門考慮記

17、錄媒體的特性做適當處理。 （3）以電子媒體保管的場合，為預防意外，需做適當的備份。備份的安全要求執行重要信息備份管理程序。 （4）記錄保管部門應建立記錄清單，明確規定保管記錄類別、記錄保存期限等。記錄的保存應符合有關法律法規的要求，保存期限參考本規格書第4條款。 （5）因工作需要，借閱其他部門的秘密記錄，應獲得記錄保管部門負責人授權后方可借閱，并留下授權記錄和借閱記錄。借閱者在借閱期內應妥善保管記錄，并按期歸還；機密記錄只準在現場查閱。 （6）記錄的字跡應清晰、真實、文字表達準確、簡練，記錄不得隨意修改。確需修改時，必須在修改處作標識，并由修改人簽名確認。 3.2 廢棄 超過保管期限的記錄，由

18、保管部門作為秘密文件處理廢棄。廢棄應采用安全可靠的處置方法（如書面記錄采用粉碎方法、電子媒體采用格式化方法等），處置記錄應予以保存。但若保管部門認為必要時，仍可繼續保管超出保管期限的記錄。 4.記錄的分類和保存年限詳見記錄清單 5.記錄 東莞市有限公司 糾正預防措施控制程序 文件編號：ISMS-COP03 狀態：受控 編寫：信息安全管理委員會2018年05月10日 審核：2018年05月10日 批準：陳世勝2018年05月12日 發布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分發：各部門接受部門：各部門 變更記錄 糾正預防措施控制程序 1 適用 本程序適用于對本公

19、司為消除信息安全不符合/潛在不符合原因所采取的糾正/預防措施的控制。 2 目的 為對不符合/潛在不符合進行分析、采取措施，并予以消除，以逐步改進和完善信息安全管理體系，特制定本程序。 3 職責 本公司辦公室為公司信息安全管理體系糾正/預防措施的歸口管理部門，負責組織相關部門進行信息安全數據的收集及分析，確定不符合/潛在不符合原因，評價糾正/預防措施的需求，組織相關部門制定糾正/預防措施，并由辦公室負責跟蹤驗證。 4 程序 4.1 糾正/預防措施信息來源有： a. 公司內外安全事件記錄、事故報告、薄弱點報告； b. 日常管理檢查及技術檢查中指出的不符合； c. 信息安全監控記錄； d. 內、外部

20、審核報告及管理評審報告中的不符合項； e. 相關方的建議或抱怨； f. 風險評估報告； g. 其他有價值的信息等。 4.2 辦公室每半年組織相關部門利用4.1條款所規定的信息來源，分析確定不符合/潛在不符合及其原因，評價防止不符合發生的措施的需求，并形成信息安全風險評估報告。采取糾正/預防措施應與潛在問題的影響程度相適應，對于以下情況的不符合/潛在不符合應采取糾正/預防措施： a. 可能造成信息安全事故； b. 可能影響顧客滿意程度、造成顧客抱怨與投訴； c. 可能影響本公司的企業形象與經濟利益； d. 可能造成生產經營業務中斷。 對于各部門日常發現報告的重大安全隱患（安全薄弱點），辦公室應組

21、織有關部門進行原因分析，采取糾正/預防措施。 4.3需制定糾正/預防措施時，辦公室應將有關不符合/潛在不符合信息及原因填入糾正/預防措施申請單，組織有關部門制定糾正/預防措施對策，確定實施糾正/預防措施的部門，填入糾正/預防措施申請單，經管理責任人批準后予以實施。 4.4 當問題原因不確定或責任重大時，由采取糾正/預防措施的部門呈報公司信息安全最高責任者，必要時，應提交公司信息安全管理委員會進行專題研究，商討對策。 4.5 實施糾正/預防措施的部門應按照糾正/預防措施申請單要求認真執行，并將執行結果記入相應糾正/預防措施申請單中。 4.6辦公室對糾正/預防措施實施結果進行驗證，并將驗證結果記錄

22、在糾正/預防措施申請單上。 驗證內容包括： a. 糾正/預防措施是否按糾正/預防措施計劃的要求實施； b. 是否消除了不符合/潛在不符合的原因。 4.7經驗證效果不理想，負責制定糾正/預防措施的部門應重新編制糾正/預防措施申請單，依據本程序4.3要求實施。 4.8糾正/預防措施需要涉及文件更改的，應對文件進行評審，按文件和資料管理程序更改文件。 4.9 辦公室應做好糾正/預防措施相關記錄的保存。管理評審前，將各部門所采取的糾正/預防措施的有關情況匯總，提交管理評審。 5 記錄 管理評審控制程序 東莞市有限公司 文件編號：ISMS-COP04 狀態：受控 編寫：信息安全管理委員會2018年05月

23、10日 審核：2018年05月10日 批準：陳世勝2018年05月12日 發布版次：A/0版2018年05月12日 生效日期：2018年05月18日分發：各部門接受部門：各部門 變更記錄 管理評審控制程序 1 適用 本程序對信息安全管理體系中要求進行的管理評審的實施程序作規定。 2 目的 為確保公司信息安全管理體系持續的適宜性、充分性和有效性，評估公司信息安全管理體系改進和變更的需要，包括信息安全方針、目標，特制定本程序。 3 相關文件 信息安全手冊 4 實施程序 4.1 實施頻率、時期 管理評審每年至少進行一次。 4.2 召集和參加評審者 4.2.1由總經理指示信息安全管理體系的管理者代表（

24、以下簡稱管理者代表）召開管理評審會議。 4.2.2參加管理評審會議者包括最高管理者、管理者代表及相關的部門長（或高級主管）。受召集的部門長因不得已的理由而無法出席時，可讓其他管理者代其出席。 4.2.3除了每年定期召開一次管理評審會議外，最高管理者還可在發生以下情況時，指示管理者代表召開管理評審會議。 a.當本公司的產品、過程、系統、組織機構、人員和資源等有重大變化時； b.當連續出現重大信息安全事故時； c.當相關方有重大投訴或抱怨時； d.內部審核、顧客審核或ISO27001：2005外部審核時，發現了對全公司有影響，屬信息安全管理體系上的重大不符合事項時； e. ISO27001：200

25、5修訂的情況下。 4.3 評審程序 4.3.1管理者代表和各部門長準備以下資料，在管理評審中向最高管理者說明。 管理輸入包括： a) ISMS審核和評審的結果、方針和目標； b) 相關方的反饋； c) 可以用于改進ISMS業績及有效性的技術、產品或程序； d) 糾正和預防措施的實施情況； e) 在以前風險評估沒有充分提出的薄弱點或威脅； f) 以往管理評審的跟蹤措施； g) 可能影響ISMS的任何更改； h) 改進的建議。 4.3.2 最高管理者接收了上述報告后，根據需要確認詳細內容，對信息安全體系的有效性和運用狀況進行評價，對以下管理評審輸出作指示。 管理評審輸出： a) ISMS有效性的改

26、進； b) 修改影響信息安全的程序文件，必要時，對可能影響ISMS的內外事件（events)發生的變更進行對應；這些變更包括： 1) 業務要求； 2) 安全要求； 3) 影響現存業務要求的業務過程； 4) 法律法規環境； 5) 風險水平和/或風險接受水平。 c) 資源的需求。 4.4 跟蹤 4.4.1管理者代表編寫管理評審的會議記事錄，經過最高管理者批準后，發給各相關部門。同時，通過文件將最高管理者的指示內容發給處置責任部門，委托推進糾正措施； 4.4.2管理者代表確認糾正和預防措施的實施日程和進度狀況，并將結果書面報告給最高管理者； 4.4.3最高管理者針對上述報告，作適當的指示。 4.5

27、管理評審的記錄 管理評審的輸入、輸出、會議記錄以及糾正和預防措施的記錄由管理者代表保管三年以上。 東莞市有限公司 文件和資料管理程序 文件編號：ISMS-COP05 狀態：受控 編寫：信息安全管理委員會2018年05月10日 審核：2018年05月10日 批準：陳世勝2018年05月12日 發布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分發：各部門接受部門：各部門 變更記錄 文件和資料管理程序 1. 目的 對信息安全管理體系所要求的文件進行控制，確保可獲得適用文件的有效版本。 2. 適用范圍 本程序適用于公司各部門的信息安全管理體系有關的文件和資料控制和管理。 3

28、. 職責 3.1 辦公室負責本程序文件的編制、更改、實施和控制管理；負責外來文件（國家、地方、上級和顧客與信息安全有關的文件和資料）的識別控制和管理。 3.2 辦公室負責信息安全管理手冊的編制、發放、更改和控制管理，負責各程序文件編制工作的指導、印制、發放、更改和控制管理。 3.3 辦公室負責編制規范、標準和標準圖等有效版本控制清單，下發到相關部門和單位，并組織對作廢版本進行識別； 3.4 辦公室負責組織項目工程竣工資料的審核驗收；參與重大工程項目施工組織設計編制工作。 3.5 辦公室負責收集國家頒布的信息安全方面的法律法規并進行有效的控制和管理。 3.6各職能部門負責本部門所管轄的業務和相關

29、的外來文件；以及內部文件資料的識別、控制與管理。 4. 文件和資料編號/版本規定 4.1本公司采用四級層次文件（含記錄）編寫法。所有信息安全管理的文件均包含ISMS作為開頭，表示為信息安全管理體系文件，其后由數字構成順序編號。 其中信息安全管理手冊的編號為： FX-ISMS-20XX,表示為飛翔公司信息安全管理文件20XX年發布。 信息安全適用性聲明的編號為：FX-ISMS-SOA-20XX, 其中，SOA表示適用性聲明。 程序文件的編號為：ISMS-COPXX,COP表示程序，XX為順序號。 作業文件的編號為：ISMS-WIXX,WI表示作業文件，XX為順序號。 關于記錄的編號規定見記錄控制

30、程序 4.2版本及修訂號的編制方法采用“英文字母自然排序/數字自然排序”法。 如：“A/0”。以此類推。 第0次修定（按照數字自然順序號，依次使用1、2、3） 第A版（按照英文字母自然排序，依次使用B、C、D）版本及修訂號的標注方法：1、2、3層次文件標注在封面。記錄作為一種特殊形式的文件，沒有標注版本及修訂號的時候，默認為A/0版；當記錄更新版本及修訂號后，需要在記錄的標題前增加更新后的版本及修訂號，以示區別。 5. 工作程序 5.3 文件的批準、發布和標識 5.3.1信息安全管理手冊由信息安全管理委員會編寫，管理者代表審核，最高管理者批準發布。 5.3.2程序文件和三層文件在辦公室組織下由

31、主管該程序的職能部門或指定相關責任人代表本部門編寫，部門負責人審核，管理者代表批準發布。 5.3.3信息安全計劃和施工技術指導性文件的編寫、審核、批準，按照公司按照國家頒布的信息安全方面的法律法規進行編寫。 5.3.4 其他管理文件由編寫該文件的部門負責人審核，公司主管領導批準。 5.3.5信息安全管理手冊和程序文件都應標識清楚文件的名稱、編號、版本、制文時間、發布部門和日期等。 5.3.6公司內行政文件的發文程序。文件編寫部門在文件定稿以后，填寫文件審批接收單，標明文件名稱、編號、份數、說明、主辦單位、接受部門，經部門領導審核簽字后交辦公室，辦公室根據文件內容送有關領導簽發，填寫發文編號打印

32、后，加蓋印章發出。 5.3.7外來文件的管理程序。凡發到公司的與信息安全和有關的外來文件均由辦公室負責簽收、登記、分類，由辦公室先送公司有關領導閱批，再根據領導批示的內容，送有關部門閱辦或轉發基層單位，有關部門閱辦或轉發以后，其文件原件一律由公司辦公室收回并存檔案 室。各部門收到的外來文件，應交辦公室處理；凡地方有關部門或顧客直接發到各職能部門與信息安全和有關的文件資料，各職能部門對照公司文件控制管理工作程序進行文書處理。 5.4 文件的收發管理及使用 5.4.1公司辦公室設專職人員負責文件的收發、管理、更改和作廢文件的處置。 5.4.2文件發放時應確定發放范圍，辦理發放手續，建立發放臺帳。

33、5.4.3凡進入本單位、本部門的文件均要進行收文登記；凡發到下級單位或個人的文件均要妥善保管，嚴防丟失和污損，確保文件清晰，易于識別；凡需歸檔的文件，要按記錄管理程序執行。 5.4.4辦公室負責匯總編制公司受控文件總清單，由管理者代表審批。 5.4.5各職能部門都要根據本部門、本單位的實際建立文件清單，以便對文件進行動態的管理。 5.4.6文件不得隨意自行復印，如需要時使用者應辦理復印審批手續，經文件主控部門批準后方可復印，復印的文件與原文同等發放管理。 5.4.7文件使用者變動為與原崗位無關的崗位或調出本單位時，其使用的文件須辦理交接，并填寫文件交接單。 5.5文件評審和修改 5.5.1在文

34、件實施過程中，各職能部門應及時收集不適宜之處，及時上報主編單位，由原文件審批人決定是否進行更改。信息安全管理手冊、程序文件每年在內審時由辦公室組織有關部門進行文件的評審，必要時予以修訂。 5.5.2文件在評審中決定需要更改時，必須由該文件的編寫單位填寫審批單，經主管領導批準后下達文件審批接收單，各級文件管理人員按通知要求進行更改，并將更改的情況寫到文件變更記錄頁上。 5.5.3文件清單中列出的文件應為有效文件，并確保文件的更改和修訂狀態得到識別。 5.6 文件的作廢處置 5.6.1文件作廢時，由發文單位下發文件審批接收單，持有文件的各部門、各單位和人員在接到作廢通知單后，應及時撤出作廢文件，標

35、示后妥善保存或銷毀，電子文件應在文件名后標注“作廢”，防止作廢文件的非預期使用。 6. 相關支持性文件 記錄管理程序 7. 記錄 東莞市有限公司 事故、事件、薄弱點與 故障管理程序 文件編號：ISMS-COP06 狀態：受控 編寫：信息安全管理委員會2018年05月10日 審核：2018年05月10日 批準：陳世勝2018年05月12日 發布版次：A/0版2018年05月12日生效日期：2018年05月18日分發：各部門接受部門：各部門 變更記錄 事故、事件、薄弱點與故障管理程序 1 適用 本程序適用于公司信息安全事故、事件、薄弱點、故障和風險處置的管理。 2 目的 為建立一個適當信息安全事故

36、、事件、薄弱點、故障風險處置的報告、反應與處理機制，減少信息安全事故和故障所造成的損失，采取有效的糾正與預防措施，正確處置已經評價出的風險，特制定本程序。 3 職責 3.1各系統歸口管理部門主管相關的安全風險的調查、處理及糾正措施管理。 各系統信息安全歸口管理部門 3.2 各系統使用人員負責相關系統安全事故、事件、薄弱點、故障和風險的評價、處置報告。 4 程序 4.1 信息安全事故定義與分類 4.1.1信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之一，均為信息安全事故： a) 涉密、受控信息泄露或丟失； b) 服務器停運4小時以上； c)

37、 造成信息資產損失的火災、洪水、雷擊等災害； d) 損失在十萬元以上的故障/事件。 4.1.2信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因直接造成下列影響（后果）之一，屬于重大信息安全事故： a) 企業秘密及國家秘密泄露； b) 服務器停運8小時以上； c) 造成機房設備毀滅的火災、洪水、雷擊等災害； d) 損失在一百萬元以上的故障/事件。 4.2 故障與事故的報告渠道與處理 4.2.1故障、事故報告要求 故障、事故的發現者應按照以下要求履行報告任務： a) 各個信息管理系統使用者（包括合同方和第三方人員），在使用過程中如果發現軟硬件故障、事故，應該向該系統歸口

38、管理部門報告；如故障、事故會影響或已經影響線上生產，必須立即報告相關部門，采取必要措施，保證對生產的影響降至最低； b) 發生火災應立即觸發火警并向安全監督部報告，啟動消防應急預案； c) 涉及企業秘密、機密及國家秘密泄露、丟失應向行政部報告； d) 發生重大信息安全事故，事故受理部門應向信息安全管理者代表和有關公司領導報告。 4.2.2故障、事故的響應 故障、事故處理部門接到報告以后，應立即進行迅速、有效和有序的響應，包括采取以下適當措施： a) 報告者應保護好故障、事故的現場，并采取適當的應急措施，防止事態的進一步擴大； b) 按照有關的故障、事故處理文件（程序、作業手冊）排除故障，恢復系

39、統或服務， 必要時，啟動業務持續性管理計劃。 4.3 故障、事故調查處理與糾正措施 4.3.1故障處理部門應對故障原因進行分析，必要時，采取糾正措施，故障的原因及采取措施的結果予以記錄。 4.3.2對于信息安全事故，在故障排除或采取必要措施后，相關信息安全管理職能部門會同事故責任部門，對事故的原因、類型、損失、責任進行鑒定，形成事態事件脆弱性記錄，報信息安全管理者代表批準；對于重大信息安全事故的處理意見應上報信息安全管理委員會討論通過。 4.3.3對于違反公司信息方針、程序及安全規章所造成的信息安全事故責任者依據信息安全獎勵、懲戒規定予以懲戒，并在公司內予以通報。 4.3.4信息安全保密管理職

40、能部門要求事故責任部門制定糾正措施并實施，實施結果記錄在事態事件脆弱性記錄。 4.3.5由信息安全保密管理職能部門對實施情況進行跟蹤驗證。 4.4 報告信息安全薄弱點與預防措施 4.4.1本公司與信息安全管理有關的所有員工對發現的信息安全薄弱點或潛在威脅均應履行報告義務。 4.4.2發現者應填寫事態事件脆弱性記錄，交本部門負責人確認，后提交各個系統歸口管理部門確定是否采取預防措施，確認責任部門并實施。預防措施的實施、驗證執行預防措施控制程序。 4.5 信息安全事件定義與分類 4.5.1信息設備故障、線路故障、軟件故障、惡意軟件危害、人員故意破壞或工作失職等原因不一定造成不良影響（后果），但有出

41、現失控的狀態，均為信息安全事件： ?服務、設備或設施的丟失； ?系統故障或超載； ?人為錯誤； ?策略或指南的不符合； ?物理安全安排的違規； ?未加控制的系統變更； ?軟件或硬件故障； ?非法訪問。 4.5.2所有現場工作人員都需要知道他們各自責任盡可能快地報告任何信息安全事態。報告程序應包括： 6.報告人立即填寫事態事件脆弱性記錄； 7.信息安全事態發生后應采取正確的行為，即： 1）立即記錄下所有重要的細節（如，不符合或違規的類型，事件故障，屏幕上顯示的消息，異常行為）； 2）不要采取任何個人行為，但要立即按照本程序向資產負責人報告； 8.由資產責任人按照事態事件脆弱性記錄要求的流程確定事

42、態的發生狀態、內 容確認、原因分析、和采取對策，由資產責任人負責對策的績效驗證；并由行政 部門按照信息安全獎勵、懲戒管理規定決定參考已制定的正式懲罰過程，來 處現場工作人員的安全違規行為。 9.由于事態引發的事態事件脆弱性記錄作為管理評審的輸入，定期評審。 4.6 風險處置流程 4.6.1 由各部門按照所要求的范圍提供信息資產識別評價表。 4.6.2 由辦公室牽頭識別各資產的脆弱性和面臨的威脅，并分別對脆弱性和威脅進行賦值。 4.6.3依據規定的計算方法分別計算各資產的風險值和相對應的風險等級。 4.6.4由辦公室匯總各資產的風險等級，并決定哪一個級別為可接受風險，形成信息安全風險評估報告，報

43、信息安全管理委員會審批，審批件報管理層評審，并作為管理評審的輸入。 4.6.5依據獲得信息安全管理委員會審批的信息安全風險評估報告，由辦公室協調各資產所有部門，分別制定責任資產范圍內的信息安全不可接受風險處理計劃，該計劃對不可接受風險采用：轉嫁、控制、規避的方式進行控制。信息安全不可接受風險處理計劃需要獲得信息安全管理委員會的最后批準，方能實施。 4.6.6由辦公室依據監視和測量管理程序定期對所采取措施的有效性進行評價，評價結果報信息安全委員會評審。 5 相關/支持性文件 ?糾正預防措施控制程序 ?監視和測量管理程序 ?密級控制程序 ?信息安全獎勵、懲戒管理規定 6 記錄 東莞市有限公司 信息

44、安全人員考察審批與保密 管理程序 文件編號：ISMS-COP07 狀態：受控 編寫：信息安全管理委員會2018年05月10日 審核：2018年05月10日批準：陳世勝2018年05月12日發布版次：A/0版2018年05月12日生效日期：2018年05月18日分發：各部門接受部門：各部門 變更記錄 信息安全人員考察審批與保密管理程序 1 適用 本規定適用于本公司的正式員工和借用員工聘用、任職期間及離職的安全考察與保密控制以及其他相關人員（第三方、外包方、合同方、臨時員工）的安全考察與控制。 2 目的 為防止品質不良或不具備一定技能的人員進入本公司，或不具備一定資格條件的員工被安排在關鍵或重要崗

45、位，降低員工所帶來人為差錯、盜竊、欺詐及濫用設施的風險，防止人員對于信息安全保密性、完整性、可用性的影響，特制定本程序。 3 職責 3.1辦公室負責員工聘用、任職期間及離職的安全保密考察管理及保密協議的簽訂及其他相關人員（合同方、臨時員工）的安全考察與控制。 3.2辦公室負責第三方、外包方、合同方在合同存續期間的進入本公司（物理及邏輯）訪問人員的資質審查。 3.3各部門負責本部門員工的日常考察管理工作。 3.4信息安全保密辦公室負責監督、指導與考核。 4 員工錄用 4.1 人員考察策略 4.1.1所有員工在正式錄用（借用）前應進行以下方面考察： a) 良好的性格特征，如誠實、守信等； b) 應

46、聘者學歷、個人簡歷的檢查（完整性和準確性）； c) 學術或專業資格的確認； d) 身份的查驗。 4.1.2員工從一般崗位轉到信息安全重要崗位，應當對其進行信用及能力考察。 4.1.3必要時，對承包商和臨時工進行同樣的考察。 4.2 對錄用（借用）人員的考察 4.2.1辦公室對擬錄用（借用）人員重點進行以下方面考察： a) 根據應聘資料及面試情況初判應聘者的職業素質； b) 根據應聘者人事經歷的記載，了解是否有重大懲戒及犯罪記錄； c) 通過與應聘者溝通，并了解其應聘動機，判斷其誠信度； 4.2.2 在考察中發現應聘者存在不良傾向的，將不予錄用（借用）。 4.2.3考察的結果記錄在應聘人員誠信調

47、查表中。 4.3 錄用審批程序 4.3.1對經歷考察初步合格者，按照本規定審批。 4.3.2經審批批準后，由辦公室辦理正式錄用手續。 4.3.3對正式錄用員工應在勞動合同中附加有關保密方面的內容條款。 4.4 從普通工作崗位調整到重要信息安全崗位前，辦公室應對其進行業務能力和職業道德的考察，考察結果記入變更申請表。 4.5辦公室根據需要，對臨時工作人員或外來服務人員進行必要的資格認定和監控。 4.6 各部門負責人應當意識到員工的個人現狀會影響他們的工作。如果發現員工個人或財政問題、行為或生活方式的更改，重復的缺勤、壓力或壓抑跡象可能導致欺詐、盜竊、差錯或其它安全隱患，應及時采取必要的防范措施。

48、 5 離職措施 5.1員工離職涉及密級控制程序的保密事項，應按要求采取相應的保密措施。 5.2 部門要加強員工離職時的涉密資料、口令等的交接工作。 5.3部門在員工離職后要采取相應的技術防范措施（如變更口令、程序等），必要時應與辦公室協調。 5.4公司和部門要做好員工離職的教育工作，告知其離職后，不得向第三方泄露其在任職期內所獲得的公司的商業和技術秘密。 6 離職程序 6.1 員工必須在離職日前30天向本部門負責人提出書面離職報告。 6.2 部門負責人接到員工離職報告后，填寫變更申請表，簽署意見后送辦公室。 東莞市有限公司 6.3辦公室負責人、公司主管領導和總經理審批。 6.4員工離職得到批準

49、，由部門通知離職員工來辦公室辦理離職手續。離職員工在離職日前必須把擔當的部門工作移交完畢。 6.5 辦理離職手續 6.5.1 離職員工到辦公室索取員工離職手續單。 6.5.2 離職員工按員工離職手續單的內容至公司各部門辦理移交手續，各相關部門負責按照用戶訪問控制程序取消離職員工的訪問權限。 6.5.3 離職員工移交完畢后，由辦公室將職工離職通知單交于財務部。 6.5.4 設計部、車間部門、質量部及其他員工離職必須簽訂第三方保密協定。 6.5.5員工離職后如發生泄密情況，應承擔由此涉及的法律責任。 7 相關/支持性文件 ?用戶訪問控制程序 ?密級控制程序 8 記錄 文件編號：ISMS-COP08

50、 狀態：受控 編寫：信息安全管理委員會 2018年05月10日 審核： 2018年05月10日 批準：陳世勝 2018年05月12日 發布版次：A/0版 2018年05月12日 生效日期： 2018年05月18日 分發：各部門 接受部門：各部門 變 更 記 錄 內部審核管理程序 內部審核管理程序 1 適用 本程序適用于本公司內部審核（簡稱：內審）工作的實施和管理。 2 目的 明確內審的實施方法，保證內審定期有效地實施，為管理評審和持續改進提供依據，確保質量體系和信息安全管理體系的有效運行。 3 審核組織 3.1 辦公室負責內部審核的計劃的制定、實施、順利地進行內審。 3.1.1辦公室的職責 1

51、) 制定年度內審計劃 辦公室根據客戶或外部審核結果以及前年度內審結果，來制定下年度內審計劃。可根據需要（例如重要目標未達成時，或發生嚴重不符合項時）進行修改，并通知相關部門。 2) 審核實施時的聯絡 辦公室全面負責內審活動的聯絡，在同各有關部門協調后，以電子媒體的形式來發送實施通知，并用電話確認。 3) 各種審核文件的發行、管理 辦公室對各種審核文件取號并進行臺帳管理，發行、送配也由辦公室實施。 4) 內審員的登錄、管理 由辦公室編寫內審員的登錄清單，并進行維護管理。 5) 內審結果的總結 辦公室每年年底總結內審的結果、編寫報告，提交最高管理層進行管理評審。 3.1.2關于審核事項的批準 1)

52、 關于審核年度計劃的策劃、制定以及內審員的任命、登錄等事項，由管理者代表或其指定代理人員批準； 2) 關于審核的實施及報告書等事項，也由管理者代表或其指定代理人員批準。 3.2 內審員 3.2.1 內審員的登錄 根據以下的程序登錄內審員。 1) 候補內審員的選定 各部門長根據業務情況選定本部門的候補內審員，候補內審員一定要是本公司的正式員工。 2) 內審員的培訓 選定的候補內審員必須通過辦公室主辦的培訓課程。 這個培訓課程由具備資格的人員對各部門選出的候補內審員進行培訓。 培訓基本包括以下內容：信息安全管理體系標準；信息安全管理手冊；本程序等。 3) 辦公室依據候補內審員的培訓結果，向辦公室主

53、任或其指定代理人員提出申請。 4) 辦公室主任或其指定代理人員根據申請書，并判斷其作為內審員的登錄。 5) 由辦公室編寫內審員登錄清單并存檔。 3.2.2內審員資格的登錄、撤消 1) 內審員的登錄 由辦公室負責登錄新內審員。 2) 內審員資格的撤消 辭職或長期不在公司的場合；由于工作調動、安排需要，不再適合繼續擔任內審員的場合； 4 內審的實施 4.1.審核前準備 4.1.1 辦公室 辦公室根據年度計劃書編寫各要求、各部門的內部審核計劃，并指定內審小組 1) 內審小組由2名以上內審員組成； 2) 審核員必須與被審核部門沒有直接責任關系； 3) 根據內審員的業務經驗、審核實施的經驗來指名內審組長

54、； 4) 協調、聯絡內審員與被審核部門。 4.1.2內審小組成員的準備事項 1) 與被審核部門協商確定審核實施的時間； 2) 審核檢查表的準備。 內審員可參考標準、手冊、規程、規格書類、前次的內審指摘事項以及內部審核Checklist 等編寫內部審核檢查表。 4.1.3被審核部門的準備事項 1) 通知本部門的各相關人員； 2) 選定內審時的對應回答者。 4.2.審核的實施 審核時、根據以下內容實施： 1) 首次會議 由內審組長介紹本次審核的內審員、說明本次審核的范圍、目的和時間安排等。 2) 現場審核 內審員：以內部審核檢查表以及辦公室提供的checklist為參考、各種關聯的文件為基礎進行審

55、核。 實施內審時的注意點： ?檢查表是內審員進行內審時的一種自用工具，主要起備忘錄的作用。 ?由內審員自己收集必要的記錄。 ?內審員不應以主觀意志來判斷不符合項（必須有客觀證據）。 3) 不符合的記錄 內審員：在糾正、預防措施申請書中記入不符合內容、手冊或各類規程的要求條款、相關規程編號、重要度。 重大不符合： 沒有執行手冊中的要求事項或沒有編寫文件。 沒有執行文件中的規定要求事項。 同類輕微不符合重復發生。 輕微不符合： 對手冊、程序文件等的規定要求執行不認真，時有遺漏。 對有要求記錄的事項沒有進行記錄。 觀察事項：基本符合要求事項，但在操作性和效果性方面還可加以改善的方面。 4) 末次會議

56、 內審員：向被審核部門的處理人說明不符合事項的內容。 4.3 內審結果的報告 1) 內審小組在內審結論報告中記入審核結果。發現不符合事項時，在糾正、預防措施申請書中記入不符合內容、重要度，并委托被審核部門調查、分析發生原因和糾正措施內容的記入。糾正措施責任部門必須在2周內作出回答。內審組長要對糾正、預防措施申請書的內容進行批準。發現有觀察事項時，可以記錄在“觀察事項記錄用紙”上。另外，把填寫完畢的內審結論報告、糾正、預防措施申請書、“觀察事項記錄用紙”以及內部審核檢查表送交辦公室。 2) 辦公室在確認了內審結論報告、糾正、預防措施申請書、“觀察事項記錄用紙” 中的記入內容后，登記糾正、預防措施

57、申請書、內審結論報告的編號，并將上述3份報告的原稿發行至對策部門，復印件留存辦公室。 4.4 糾正措施的實施 1) 糾正措施的實行及完成確認 (1) 辦公室把糾正、預防措施申請書發行至被審核部門及相關部門，委托其進行糾正措施。 (2) 對策部門：調查不符合的原因，并記錄在原因分析欄中。另外，為了徹底消除導致不符合的因素，必須指定糾正措施的對策、完成期限以及指定對策實施部門。 對策部門主管：對原因分析及糾正措施對策的內容進行批準。 對策實施部門完成以上事項后，把糾正、預防措施申請書還給內審員。 (3) 糾正措施完成的場合，內審員對對策部門進行實施完成的確認后，送交辦公室。 2) 糾正措施的效果確

58、認 (1) 辦公室主任決定是否要進行效果確認，如需要就由內審組長進行效果確認； 如不需要就進行第(3)步。 (2) 內審組長在確認是否還有同樣的不符合發生以及糾正措施的有效性后，把結果填寫在糾正措施申請書上，送交辦公室； (3) 辦公室在確認了糾正、預防措施申請書的內容后，由辦公室主任進行完成確認，如果有必要的話，委托對策部門進行再對策； (4) 完成后的糾正、預防措施申請書的原稿由辦公室進行存檔、復印件廢棄。 5 有關報告書的保管 關系到內部審核的各種報告書由辦公室保管，保管期限為三年。 6 信息安全內部審核活動應包括對各信息系統的技術性審核 進行技術性審核時，內部審核組至少擁有一名具有一定

59、信息安全技術的內部專家，審核組應在內部審核檢查表中明確技術性審核的項目與要求。技術性審核應在被監督的情況下進行。 7 相關文件 信息安全管理手冊 東莞市有限公司 監視和測量管理程序 文件編號：ISMS-COP09 狀態：受控 編寫：信息安全管理委員會2018年05月10日 審核：2018年05月10日 批準：陳世勝2018年05月12日 發布版次：A/0版2018年05月12日 生效日期：2018年05月18日 分發：各部門接受部門：各部門 變更記錄 監視和測量管理程序 1 目的 通過對各項控制措施，滿足控制目標的實現程度及法律、法規符合性的監視、測量與分析，為策劃、實施、持續改進信息安全管理

60、體系提供依據。 2 適用范圍 本程序適用于對本公司區域內所有業務職能部門的安全保密特性控制、績效及管理體系運行的監視和測量。 3 術語和定義 引用GB/T22080-2008、GB/T19001-2008標準及本公司信息安全管理手冊中的術語和定義。 4 職責 4.1 信息安全管理者代表 4.1.1 負責掌握信息安全管理體系的總體運行情況，并向最高管理者匯報，對最高管理者負責。 4.1.2 負責每月組織對本公司職能部門目標、指標的完成情況進行考核。 4.2辦公室 4.2.1負責本程序的編制、修訂和監督實施。 4.2.2 負責每月對各職能業務部門進行監視和測量，對各職能業務部門的監視和測量執行情況