<佛山市三維計算機網絡有限公司>信息安全管理管控手冊[SW-ISMS-A-01]Ver1.1發布日期2014年10月1日發布部門信息安全管理管控小組實施日期2014年10月1日佛山市三維計算機網絡有限公司文件編號SW-ISMS-A-01信息安全管理體系手冊文件版本1.1密級秘密頁0前言<佛山市三維計算機網絡有限公司>《信息安全管理管控體系手冊》（以下簡稱本手冊）依據ISO/IEC27001:2005《信息技術-安全技術-信息安全管理管控體系-要求》，參照ISO/IEC27002:2005《信息技術-安全技術-信息安全管理管控實用規則》，結合本行業信息安全的特點編寫。本手冊對本公司信息安全管理管控體系作出了概括性描述，為建立、實施和保持信息安全管理管控體系提供框架。1范圍1.1總則為建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理管控體系，確定信息安全方針和目標，對信息安全風險進行有效管理管控，確保全體員工理解并遵照執行信息安全管理管控體系文件、持續改進信息安全管理管控體系的有效性，特制定本手冊。1.2應用1.2.1覆蓋范圍應用范圍：本《信息安全管理管控體系手冊》規定了<佛山市三維計算機網絡有限公司>信息安全管理管控體系涉及的開發和維護信息安全管理管控、職責管理管控、內部審核、管理管控評審和信息安全管理管控體系持續改進等方面合適的內容。具體見4.2.2.1條約條款規定。地址范圍：深圳市福田區景田商報路奧林匹克大廈26樓B、C、D號1.2.2刪減說明本《信息安全管理管控體系手冊》采用了ISO/IEC27001:2005標準正文的全部合適的內容，對附錄A的刪減及理由詳見《信息安全適用性聲明SoA》。2規范性引用文件下列文件中的條約條款通過本《信息安全管理管控體系手冊》的引用而成為本《信息安全管理管控體系手冊》的條約條款。凡是標注日期的引用文件，其隨后所有的修改單（不包括勘誤的合適的內容）或修改版均不適用于本《信息安全管理管控體系手冊》，然而，信息安全管理管控小組應研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本《信息安全管理管控體系手冊》。ISO/IEC27001:2005《信息技術-安全技術-信息安全管理管控體系-要求》ISO/IEC27002:2005《信息技術-安全技術-信息安全管理管控實用規則》3術語和定義3.1術語ISO/IEC27001:2005《信息技術-安全技術-信息安全管理管控體系-要求》、ISO/IEC27002:2005《信息技術-安全技術-信息安全管理管控實用規則》規定的術語和定義以及下述定義適用于本《信息安全管理管控體系手冊》。本組織、本公司、我公司：指<佛山市三維計算機網絡有限公司>。3.2縮寫ISMS：InformationSecurityManagementSystems信息安全管理管控體系；SoA:：StatementofApplicability適用性聲明；PDCA:：PlanDoCheckAction相關計劃、實施、檢查、改進。4信息安全管理管控體系4.1總要求4.1.1要求本公司在軟件開發、經營、服務和日常管理管控活動中按ISO/IEC27001:2005《信息技術-安全技術-信息安全管理管控體系-要求》規定，參照ISO/IEC27002:2005《信息技術-安全技術-信息安全管理管控實用規則》標準建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理管控體系。4.1.2PDCA模型信息安全管理管控體系使用的過程基于圖1所示的PDCA模型。建立ISMS實施和運行ISMS保持和改進ISMS監視和評審ISMS相關方信息安全要求和期望相關方受控的信息安全規劃Plan檢查Check處置Act實施Do圖1信息安全管理管控體系PDCA模型4.2建立和管理管控信息安全管理管控體系4.2.1建立信息安全管理管控體系4.2.1.1信息安全管理管控體系的范圍和邊界本公司根據業務特征、組織結構、地理位置、資產和技術確定了范圍和邊界：本公司信息安全管理管控體系的范圍包括：a)本公司涉及軟件開發、營銷、服務和日常管理管控的業務系統；b)與所述信息系統有關的活動；c)與所述信息系統有關的部門和所有員工；d)所述活動、系統及支持性系統包含的全部信息資產。業務范圍：桌面軟、硬件運維服務；服務器硬件運維服務；網絡設備運維服務的信息安全管理管控。物理范圍：本公司根據組織的業務特征、組織結構、地理位置、資產和技術定義了信息安全管理管控體系的物理范圍和信息安全邊界。本公司信息安全管理管控體系的物理范圍為：佛山市禪城區江灣路三路28號廣東（佛山）軟件產業園A區10號樓首層103-105室安全邊界詳見附錄B（規范性附錄）《辦公場所平面圖》。ISMS的范圍是：計算機應用軟件開發和維護、系統集成和后期維護；信息安全，IT資產服務外包，IT運維服務本《信息安全管理管控體系手冊》采用了ISO/IEC27001:2005標準正文的全部合適的內容，對附錄A的刪減及理由詳見《信息安全適用性聲明》；ISMS的邊界地理位置圖（詳見《附錄7-公司外部環境、內部環境及網絡圖》）4.2.1.2信息安全管理管控體系的方針和目標4.2.1.2.1方針為了滿足適用法律法規及相關方要求，維持ISMS范圍內的業務正常進行，實現業務可持續發展，本公司根據組織的業務特征、組織結構、地理位置、資產和技術確定了信息安全管理管控體系方針：信息安全，人人有責。4.2.1.2.1信息安全目標客戶針對信息安全事件的投訴每年不超過1次重要信息設備丟失每年不超過1起機密和絕密信息泄漏事件每年不超過1次大規模病毒爆發每年不超過1次4.2.1.2.2要求本公司信息安全管理管控體系方針符合以下要求：為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；識別并滿足適用法律、法規和相關方信息安全要求；與組織戰略和風險管理管控相一致的環境下，建立和保持信息安全管理管控體系；建立了風險評價的準則；經總經理批準，并定期評審其適用性、充分性，必要時予以修訂。4.2.1.2.3承諾為實現信息安全管理管控體系方針，本公司承諾：在公司內各層次建立完整的信息安全管理管控組織機構，確定信息安全方針、安全目標和控制措施，明確信息安全的管理管控職責；識別并滿足適用法律、法規和相關方信息安全要求；定期進行信息安全風險評估，信息安全管理管控體系評審，采取糾正預防措施，保證體系的持續有效性；采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現信息共享；對全體員工進行持續的信息安全教育和培訓，不斷增強員工的信息安全意識和能力；制定并保持完善的業務連續性相關計劃，實現可持續發展。4.2.1.3風險評估的方法信息安全管理管控小組制定《信息安全風險管理管控程序》，建立識別適用于信息安全管理管控體系和已經識別的業務信息安全、法律和法規要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。按信息安全風險評估執行《信息安全風險管理管控程序》進行，以保證所選擇的風險評估方法應確保風險評估能產生可比較的和可重復的結果。4.2.1.4識別風險在已確定的信息安全管理管控體系范圍內，本公司按《信息安全風險管理管控程序》對所有的資產和資產所有者進行了識別；對每一項資產按重置成本級別、保密性、完整性、可用性和資產價值及重要性級別進行了量化賦值，根據重要資產判斷準則確定是否為重要資產，形成《重要資產清單》。同時根據《信息安全風險管理管控程序》識別對這些資產的威脅、可能被威脅利用的脆弱性、現有的控制措施及現有控制措施的有效性，并通過對這些相關項目的賦值計算出在喪失保密性、完整性和可用性可能對重要資產造成的影響。4.2.1.5分析和評價風險本公司按《信息安全風險管理管控程序》，采用人工分析法，分析和評價風險：針對重要資產的自身價值、保密性、完整性和可用性、合規性和脆弱性嚴重程度，計算出風險發生的影響值；針對每一項威脅發生頻率、脆弱性被威脅利用的容易程度進行賦值，然后計算得出風險發生的可能性；根據《信息安全風險管理管控程序》計算風險等級，從而得出風險等級；根據《信息安全風險管理管控程序》及風險接受準則，判斷風險為可接受或需要處理。4.2.1.6識別和評價風險處理的選擇信息安全管理管控小組和相關部門根據風險評估的結果，形成《信息安全風險處理相關計劃》，該相關計劃明確了風險處理責任部門、負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：控制風險（采用適當的內部控制措施降低風險發生的可能性）；接受風險（風險值不高或者處理的代價高于風險引起的損失，公司決定接受該風險/殘余風險）；避免風險（決定不進行引起風險的活動，從而避免風險）；轉移風險（通過購買保險、外包等方法把風險轉移到外部機構）。4.2.1.7選擇控制目標與控制措施信息安全管理管控小組根據相關法律法規要求、信息安全方針、業務發展要求及風險評估的結果，組織有關部門選擇和制定了信息安全目標，并將目標分解到有關部門（見《信息安全適用性聲明》）：信息安全控制目標獲得總經理的批準。控制目標及控制措施的選擇原則來源于ISO/IEC27001:2005附錄A，具體控制措施參考ISO/IEC27002:2005《信息技術-安全技術-信息安全管理管控實用規則》。本公司根據信息安全管理管控的需要，可以選擇標準之外的其他控制措施。4.2.1.8剩余風險對風險處理后的剩余風險應形成《信息安全剩余風險評估報告》并得到公司管理管控者的批準。4.2.1.9授權管理管控者對實施和運行信息安全管理管控體系進行授權。4.2.1.10適用性聲明信息安全管理管控小組編制《信息安全適用性聲明（SoA）》。該聲明包括以下方面的合適的內容：所選擇控制目標與控制措施的概要描述，以及選擇的原因；對ISO/IEC27001:2005附錄A中未選用的控制目標及控制措施理由的說明。4.2.2實施及運行信息安全管理管控體系4.2.2.1活動為確保信息安全管理管控體系有效實施，對已識別的風險進行有效處理，本公司開展以下活動：形成《信息安全風險處理相關計劃》，以確定適當的管理管控措施、職責及安全控制措施的優先級；為實現已確定的安全目標、實施《信息安全風險處理相關計劃》，明確各崗位的信息安全職責；實施所選擇的控制措施，以實現控制目標的要求；確定如何測量所選擇的控制措施的有效性，并規定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結果；進行信息安全培訓，提高全員信息安全意識和能力；對信息安全體系的運行進行管理管控；對信息安全所需資源進行管理管控；實施控制程序，對信息安全事故（或征兆）進行迅速反應。4.2.2.2信息安全組織機構本公司成立信息安全領導機構——信息安全管理管控小組，其職責是實現信息安全管理管控體系方針和本公司承諾。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信息安全方針、目標、工作相關計劃和重要文件；為信息安全工作的有序推進和信息安全管理管控體系的有效運行提供必要的資源。本公司的信息安全職能由信息安全管理管控小組承擔，其主要職責是：負責制訂、落實信息安全工作相關計劃，對單位、部門信息安全工作進行檢查、指導和協調，建立健全企業的信息安全管理管控體系，保持其有效、持續運行。本公司采取相關部門代表組成的協調會的方式，進行信息安全協調和協作，以：確保安全活動的執行符合信息安全方針；確定怎樣處理不符合；批準信息安全的方法和過程，如風險評估、信息分類；識別重大的威脅變化，以及信息和相關的信息處理設施對威脅的暴露；評估信息安全控制措施實施的充分性和協調性；有效的推動組織內信息安全教育、培訓和意識；評價根據信息安全事件監控和評審得出的信息，并根據識別的信息安全事件推薦適當的措施。4.2.2.3信息安全職責和權限本公司總經理為信息安全最高責任者。總經理指定信息安全管理管控者代表,無論信息安全管理管控者代表其他方面的職責如何，對信息安全負有以下職責：建立并實施信息安全管理管控體系必要的程序并維持其有效運行；對信息安全管理管控體系的運行情況和必要的改善措施向信息安全管理管控小組或最高責任者報告。各部門負責人為本部門信息安全管理管控責任者，全體員工都應按保密承諾的要求自覺履行信息安全保密義務。各部門、人員有關信息安全職責分配見附錄3（規范性附錄）《職責權限》和相應的程序文件（管理管控標準）、規定及崗位說明書。4.2.2.4控制措施各部門應按照《信息安全適用性聲明》中規定的安全目標、控制措施（包括信息安全運行的各種管理管控標準、規章制度）的要求實施信息安全控制措施。4.2.3監督與評審信息安全管理管控體系4.2.3.1活動本公司通過實施不定期安全檢查、內部審核、事故報告調查處理、電子監控、定期技術檢查等控制措施并報告結果以實現：及時發現處理結果中的錯誤、信息安全管理管控體系的事故和隱患；及時了解識別失敗的和成功的安全破壞和事件、信息處理系統遭受的各類攻擊；使管理管控者確認人工或自動執行的安全活動達到預期的結果；使管理管控者掌握信息安全活動和解決安全破壞所采取的措施是否有效；積累信息安全方面的經驗。4.2.3.2管理管控評審根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持，每年至少一次對信息安全管理管控體系的有效性進行評審，其中包括信息安全管理管控體系的范圍、方針、目標的符合性及控制措施有效性的評審，考慮信息安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。管理管控評審的具體要求，見本手冊第7章。4.2.3.3檢查和測量在管理管控標準中，對安全措施的實施規定了檢查和測量的要求。同時，信息安全管理管控小組應定期的進行信息安全檢查和信息安全技術監督，通過對安全措施的實施檢查和信息安全技術監督，保證安全措施得到滿足。4.2.3.4風險再評估信息安全管理管控小組組織有關部門按照《信息安全風險管理管控程序》的要求，對風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估：組織；技術；業務目標和過程；已識別的威脅；實施控制的有效性；外部事件，例如法律或規章環境的變化、合同合約責任的變化以及社會環境的變化。4.2.3.5內部審核按照相關計劃的時間間隔進行信息安全管理管控體系內部審核，內部審核的具體要求，見本手冊第6章。4.2.3.6更新相關計劃考慮監視和評審活動的發現，更新信息安全相關計劃。4.2.3.7記錄記錄可能對信息安全管理管控體系有效性或業績有影響的活動和事情。4.2.4保持與持續改進信息安全管理管控體系我公司開展以下活動，以確保信息安全管理管控體系的持續改進：實施每年管理管控評審、內部審核、安全檢查等活動以確定需改進的相關項目；按照本手冊第6章和第8章的要求采取適當的糾正和預防措施；吸取其他組織及本公司安全事故的經驗教訓，不斷改進安全措施的有效性；通過適當的手段保持在內部對信息安全措施的執行情況與結果進行有效的溝通。包括獲取外部信息安全專家的建議、信息安全政府行政主管部門的聯系及識別顧客對信息安全的要求等；對信息安全目標及分解進行適當的管理管控，確保改進達到預期的效果。4.3文件要求4.3.1總則本公司信息安全管理管控體系文件包括：文件化的信息安全方針，在《信息安全管理管控體系手冊》中描述,選擇的控制目標在《信息安全適用性聲明SoA》中描述；《信息安全管理管控體系手冊》（本手冊，包括信息安全適用范圍及引用的標準）；ISO/IEC27001:2005標準中規定需文件化的程序；本手冊涉及的相關支持性程序性文件，例如《信息安全風險管理管控程序》；為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；《風險處理相關計劃》以及信息安全管理管控體系要求的記錄類；相關的法律、法規和信息安全標準；《信息安全適用性聲明SoA》。4.3.2文件控制4.3.2.1要求信息安全管理管控小組按《文件控制程序》的要求，對信息安全管理管控體系所要求的文件進行管理管控。對《信息安全管理管控體系手冊》、程序文件、管理管控規定、作業指導書和為保證信息安全管理管控體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發放、使用、修訂、作廢、回收等工作實施控制，以確保在使用場所能夠及時獲得適用文件的有效版本。4.3.2.2文件控制信息安全管理管控小組制定并實施《文件和資料管理管控程序》，人事行政部對信息安全管理管控體系所要求的文件進行管理管控。對《信息安全管理管控手冊》、程序文件、管理管控規定、作業指導書和為保證信息安全管理管控體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發放、使用、修訂、作廢、回收等管理管控工作做出規定，以確保在使用場所能夠及時獲得適用文件的有效版本。文件控制應保證：文件發布前得到批準，以確保文件是充分的；必要時對文件進行評審、更新并再次批準；確保文件的更改和現行修訂狀態得到識別；確保在使用時，可獲得相關文件的最新版本；確保文件保持清晰、易于識別；確保文件可以為需要者所獲得，并根據適用于他們類別的程序進行轉移、存儲和最終的銷毀；確保外來文件得到識別；確保文件的分發得到控制；防止作廢文件的非預期使用；若因任何目的需保留作廢文件時，應對其進行適當的標識。4.3.2.3外來文件管理管控外來文件包括信息安全法律、行政法規、部門規章、地方法規，按以下規定執行：信息安全適用的法律法規按照《信息安全法律法規管理管控程序》規定執行；外來的文件按照《文件控制程序》和其他相關規定執行；外來標準按本公司標準化管理管控的相關規定進行。4.3.3記錄控制4.3.3.1要求信息安全管理管控體系所要求的記錄是信息安全管理管控體系符合標準要求和有效運行的證據。4.3.3.2職責信息安全管理管控小組按《記錄控制程序》的要求，對記錄的標識、儲存、保護、檢索、保管、廢棄等進行管理管控。4.3.3.3記錄信息安全管理管控的記錄應包括本手冊第4.2條中所列出的所有過程的結果及與信息安全管理管控體系相關的安全事故的記錄。4.3.3.4分類信息安全管理管控體系的記錄按出處可分為以下四類：程序文件所要求的記錄；工作標準和作業文件所要求的記錄；規章制度、規定所要求的記錄；其他證實信息安全管理管控體系符合標準要求和有效運行的記錄。4.3.3.5形式信息安全管理管控記錄可以是表、單、卡、臺帳、記錄本、報告、紀要、證、圖等多種適用的形式，可以是書面的或電子媒體的。4.3.3.6歸檔需要歸檔的記錄，按《記錄控制程序》執行，屬于電子數據的記錄，按《重要信息備份管理管控程序》執行。5管理管控職責5.1管理管控承諾我公司管理管控者通過以下活動，對建立、實施、運作、監視、評審、保持和改進信息安全管理管控體系的承諾提供證據：建立信息安全方針；確保信息安全目標和相關計劃得以制定（見《信息安全適用性聲明SoA》、《風險處理相關計劃》及相關記錄）；建立信息安全的角色和職責(見本手冊附錄3（規范性附錄）《職責權限》和相應的管理管控程序；向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性；提供充分的資源，以建立、實施、運作、監視、評審、保持并改進信息安全管理管控體系(見本手冊第5.2.1章)；決定接受風險的準則和風險的可接受等級(見《信息安全風險管理管控程序》及相關記錄)；確保內部信息安全管理管控體系審核（見本手冊第6章）得以實施；實施信息安全管理管控體系管理管控評審（見本手冊第7章）。5.2資源管理管控5.2.1資源的提供本公司確定并提供實施、保持信息安全管理管控體系所需資源；采取適當措施，使影響信息安全管理管控體系工作的員工是有能力勝任的，以保證：建立、實施、運作、監視、評審、保持和改進信息安全管理管控體系；確保信息安全程序支持業務要求；識別并指出法律法規要求和合同合約安全責任；通過正確應用所實施的所有控制來保持充分的安全；必要時，進行評審，并對評審的結果采取適當措施；需要時，改進信息安全管理管控體系的有效性。5.2.2培訓、意識和能力信息安全管理管控小組制定并實施《員工培訓管理管控程序》文件，確保被分配信息安全管理管控體系規定職責的所有人員，都必須有能力執行所要求的任務。可以通過：確定承擔信息安全管理管控體系各工作崗位的職工所必要的能力；提供職業技術教育和技能培訓或采取其他的措施來滿足這些需求；評價所采取措施的有效性；保留教育、培訓、技能、經驗和資格的記錄。本公司還確保所有相關人員意識到其所從事的信息安全活動的相關性和重要性，以及如何為實現信息安全管理管控體系目標做出貢獻。6內部信息安全管理管控體系審核6.1總則6.1.1要求本公司信息安全管理管控小組按《內部審核管理管控程序》的要求策劃和實施信息安全管理管控體系內部審核以及報告結果和保持記錄。6.1.2活動本公司每年進行一次信息安全管理管控體系內部審核，以確定其信息安全管理管控體系的控制目標、控制措施、過程和程序是否：符合本標準的要求和相關法律法規的要求；符合已識別的信息安全要求；得到有效地實施和維護；按預期執行。6.2內審策劃信息安全管理管控小組策劃審核的過程、區域的狀況、重要性以及以往審核的結果，對審核工作進行策劃。應編制《年度內審相關計劃》，確定審核的準則、范圍、頻次和方法。每次審核前，信息安全管理管控小組應編制《內部審核相關計劃》，確定審核的準則、范圍、日程和審核組。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。審核員不應審核自己的工作。《內部審核相關計劃》，經信息安全管理管控者代表批準，提前3天通知被審核部門，被審核部門到時應選派有關人員配合審核。6.3內審員內部審核員必須是熟悉本公司信息安全管理管控情況，參加內部審核員培訓并考核合格的人員。內部審核員應來自于不同的部門，審核人員應與被審活動無直接責任，以保持工作的獨立性。各部門選擇符合內部審核員條件的候選人，參加內部審核員培訓并考試合格，填寫《內部審核員評定表》，經信息安全管理管控者代表批準，方取得內部審核員資格。6.4內審實施6.4.1活動應按審核相關計劃的要求實施審核，包括：進行首次會議，明確審核的目的和范圍，采用的方法和程序；實施現場審核，檢查相關文件、記錄和憑證，與相關人員進行交流，填寫審核發現；對檢查合適的內容進行分析，對審核發現的問題在《不符合項報告及糾正報告單》中開出不符合項；審核組長編制《內部審核報告》。6.4.2不符合處理對審核中提出的不符合項，責任部門應制定糾正措施，由信息安全管理管控小組對糾正措施的實施情況進行跟蹤、驗證，將結果記入《不符合項報告及糾正報告單》。6.4.3記錄內部審核記錄由信息安全管理管控小組保存，并作為管理管控評審的輸入之一。7管理管控評審7.1總則總經理應每年進行一次管理管控評審，以確保信息安全管理管控體系持續的適宜性、充分性和有效性，管理管控評審按《管理管控評審程序》進行。管理管控評審應包括評價信息安全管理管控體系改進的機會和變更的需要，包括信息安全方針和信息安全目標。管理管控評審的結果應清晰地形成文件，記錄應加以保持。7.2評審輸入管理管控評審的輸入要包括以下信息：信息安全管理管控體系審核和評審的結果；相關方的反饋；用于改進信息安全管理管控體系業績和有效性的技術、產品或程序；預防和糾正措施的狀況；以往風險評估沒有充分強調的脆弱性或威脅；有效性測量的結果；以往管理管控評審的跟蹤措施；任何可能影響信息安全管理管控體系的變更；改進的建議。7.3評審輸出管理管控評審的輸出應包括與下列合適的內容相關的任何決定和措施：信息安全管理管控體系有效性的改進；更新風險評估和風險處理相關計劃；必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理管控體系的內外事件，包括以下方面的變化：業務要求；安全要求；影響現有業務要求的業務過程；法律法規要求；合同合約責任；風險等級和（或）風險接受準則。資源需求；改進測量控制措施有效性的方式。8信息安全管理管控體系改進8.1持續改進本公司依據《糾正措施控制程序》和《預防措施控制程序》的要求,通過使用信息安全方針、信息安全目標、審核結果、監控事件的分析、糾正和預防措施以及管理管控評審（見本手冊第7章），持續改進信息安全管理管控體系的有效性。8.2糾正措施本公司信息安全管理管控小組處理糾正措施，不符合事項的責任部門負責采取糾正措施，以消除與信息安全管理管控體系要求不符合的原因，以防止再發生。糾正措施的實施按《糾正措施控制程序》進行。糾正措施的制定和實施程序如下：識別信息安全事件及不符合；確定信息安全事件及不符合的原因；評價確保不符合不再發生的措施要求；確定和實施所需的糾正措施；記錄所采取措施的結果；評審所采取的糾正措施。8.3預防措施本公司信息安全管理管控小組處理預防措施，潛在不符合事項的相關部門采取預防措施，以消除潛在與信息安全管理管控體系要求不符合或不期望事項發生的原因，防止其發生。所采取的預防措施應與潛在問題的影響程度相適應。預防措施的實施按《預防措施控制程序》進行。預防措施的制定與實施程序要求如下：識別潛在的不符合及其原因；評價預防不符合發生的措施要求；確定并實施所需的預防措施；記錄所采取措施的結果；評審所采取的預防措施。我公司信息安全管理管控小組定期組織進行風險評估，以識別變化的風險，并通過關注變化顯著的風險來識別預防措施要求。預防措施的優先級應基于風險評估結果來確定。

附錄1-組織概況佛山市三維計算機網絡有限公司，為四川依米康環境科技XX（股票代碼：300249）控股的企業，是一家集動力環境監控、數據部基礎設施管理管控、物流監控、醫療自動化等信息系統的研究、咨詢、設計、開發、應用、服務為一體的國家高新技術企業，在機房監控、數據部智能化管理管控、物流監管信息平臺、智能化卡口監控、智能化手術室、節能等領域擁有多項軟硬件創新技術和系列自主知識產權產品。佛山三維以核心技術產品為基礎，為客戶提供優異的技術解決合適的方案及優質的監控和運維服務。

佛山三維相關項目實施能力已通過ISO9001認證。從2003年成立至今，已擁有5000余個成功案例，廣泛應用于金融、保險、通信、電力、醫院、學院、財稅、交通、廣電、機關事業單位等各個領域，具備幾百個相關項目同時實施的能力，贏得了客戶的普遍認可和高度贊譽。附錄2-組織機構圖公司組織架構:公司實行董事會領導下的總經理(管理管控者代表)負責制,下設業務部、技術部、工程部、財務部、商務（培訓部）等五大部門.二.組織架構圖:公司部門職責:1.商務部:制定并完善公司管理管控制度，并監督落實。制定公司人力資源管理管控制度，負責公司的人力資源的規劃和管理管控。人員的招聘、考核與轉正。公司員工的培訓。員工的薪酬、考勤與紀律。員工的檔案管理管控；負責建立和維護公司員工信息庫。員工福利、保險的管理管控及辦理。負責公司文件資料的管理管控、歸檔、印刷、發放工作。負責公司后勤保障工作。負責管理管控公司合同合約。體系的管理管控評審，推動內部審核活動。負責組織公司年度,月度工作會議，或不定期的部門協調溝通會，并對會議做出的決定進行落實。對組織層的服務可用性、持續性、服務能力提供支持和資源保障。負責服務資源的統一規劃和配置。提供管理管控方面的信息和建議以改進服務績效。服務回訪人員負責對所服務客戶進行回訪，并對回訪的情況錄入到CRM管理管控系統。公司其它的行政管理管控及后勤保障工作，以及協調溝通公共關系等工作。2.財務部:負責公司的所有現金、銀行和財務帳目的管理管控.負責各部門成本相關項目、核算各部門預算完成情況;向上級財務主管部門、稅務部門、統計主管部門等提供財務報告、報表和統計報告，保持聯系并協調關系；負責公司記帳、算帳和報帳，出具內部財務報告，進行財務分析，提出財務建議;負責各部門預算與核算管理管控流程；根據公司中、長期管理管控經營相關計劃，組織編制年度綜合財務相關計劃和控制標準，建立、健全財務管理管控體系;財務報表及財務預決算的編制工作，為公司決策提供及時有效的財務分析，保證財務信息對外披露的正常進行，有效地監督檢查財務制度、預算的執行情況以及適當及時的調整;對公司稅收進行整體籌劃與管理管控，按時完成稅務申報以及年度審計工作;比較精確地監控和預測現金流量，確定和監控公司負債和資本的合理結構，統籌管理管控和運作公司資金并對其進行有效的風險控制;對公司重大的投資、融資、并購等經營活動提供建議和決策支持，參與風險評估、指導、跟蹤和控制;與財政、稅務、銀行、證券等相關政府部門及會計師事務所等相關中介機構建立并保持良好的關系。3.業務部:負責公司產品的銷售工作；重點負責企業客戶的開發及相關項目的跟蹤落實;參與公司營銷策略的制訂；負責公司所有銷售產品的安裝調試及售后服務;負責公司工程相關項目實施及售后服務;負責跟蹤監督售后服務情況,及時反饋客戶意見。4.工程部:負責公司產品的詢價和采購工作；負責公司商品的倉庫管理管控,做到進出庫商品準確無誤.與財務部一同進行月度的庫存盤點.參與公司營銷策略的制訂；負責跟蹤相關項目所采購商品的到貨情況；負責公司采購商品款的申請支付；負責合同合約評審管理管控；負責與上游供應商的聯系溝通.5.技術部負責公司產品的設計、開發；負責公司開展業務的技術支持；參與公司技術發展規劃的制定負責解決產品的測試記錄并跟蹤客戶定制化開發,及時通知客戶其請求的當前狀況和最新進展,并對客戶請求從提出直至驗證和終止的整個過程進行管理管控。附錄3-職能分配表部門要素高層管理管控/管理管控者代表信息安全小組商務部技術部工程部業務部財務部4.1總要求▲△△△△4.2.1建立ISMS▲▲△▲△△4.2.2實施和運行ISMS▲▲▲△△4.2.3監視和評審ISMS▲▲▲△△4.2.4保持和改進ISMS▲▲▲△△4.3.1文件要求總則▲△△△△△4.3.2文件控制▲△△△△△4.3.3記錄控制▲△△△△△5.1管理管控職責管理管控承諾▲△△△△5.2.1資源管理管控資源提供▲△△△△△5.2.2培訓，意識和能力▲△△△△6內部ISMS審核▲△△△△7ISMS的管理管控評審▲△△△△△8ISMS改進▲△△△△A.5安全方針▲△△△△A.6.1信息安全組織內部組織▲△△△A.6.2外部各方▲△△△A.7資產管理管控▲△△A.7.1資產責任▲▲▲▲▲▲A.7.2信息分類▲△△A.8.1人力資源安全任用前▲△△A.8.2人力資源安全任用中▲△△A.8.3任用的終止或變化▲△A.9.1物理和環境安全安全區域▲△△△A.9.2設備安全▲△△△A.10.1通訊和操作管理管控操作程序和職責▲△△△A.10.2第三方服務交付管理管控▲△△△A.10.3系統規劃和驗收▲△△△A.10.4防范惡意和移動代碼