信息安全管理手冊

（依據GB/T22080-2016idtIS0/IEC27001:2013標準編制）

編號：ISMS-A-01

版本號：VI.0

編制：曹飛澎日期:2019-11-01

審核：汪倩日期：2019-11-01

批準：汪倩日期：2019-11-01

受控狀態|受控文件|

修訂記錄

版本編寫人審核人批準人修訂日期修訂說明

VI.0普飛澎汪倩汪倩2019.11.01創建

目錄

1概述.......................................................................1

1.1頒布令...............................................................1

1.2任命書...............................................................2

1.3手冊說明.............................................................3

2規范性引用文件.............................................................5

3術語和定義.................................................................5

4組織環境...................................................................5

4.1理解組織及其環境......................................................5

4.2理解相關方的需求和期望...............................................5

4.3確定代入份的范圍.......................................................5

4.4信息安全管理體系.....................................................6

5領導作用...................................................................6

5.1領導作用和承諾.......................................................6

5.2ISMS管理方針.......................................................7

5.3組織架構、職責和權限.................................................7

6規劃.......................................................................7

6.1風險和機遇的應對措施.................................................7

6.2信息安全目標及其實現規劃.............................................8

7支持.......................................................................8

7.1資源..................................................................8

7.2能力.................................................................9

7.3意識.................................................................10

7.4溝通.................................................................10

7.5文件記錄信息........................................................11

8運行......................................................................13

8.1運行的策劃和控制....................................................13

8.2信息安全風險評估..................................................14

8.3信息安全風險處置...................................................14

9績效評價..................................................................15

9.1監視、測量、分析和評價...............................................15

9.2內部審核.............................................................15

9.3管理評審............................................................15

10改進.....................................................................17

10.1不符口和糾正才日施??????????????????????????????????■??????????????17

10.2持續改進............................................................17

10.3糾正措施............................................................18

10.4預防措施............................................................19

附錄1-組織簡介..............................................................20

附錄2-組織架構圖............................................................21

附錄4-信息安全小組成員.....................................................25

附錄5-服務器拓撲圖.........................................................26

附錄6-信息安全職責說明.....................................................27

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

1概述

1.1頒布令

為提高我公司的信息安全管理水平，保障公司業務活動的正常進行，防止由于信息

安全事件（信息系統的中斷、數據的丟失、敏感信息的泄密）導致的公司和客戶的損失,

我公司開展貫徹GB/T22080-2016idtISO/IEC27001:2013《信息安全管理體系要求》

標準工作，建立、實施和持續改進文件化的信息安全管理體系，制訂了深圳市XXXX

有限公司《信息安全管理手冊》。

《信息安全管理手冊》經評審后，現予以批準發布。

《信息安全管理手冊》的發布.標志著我公司從現在起,必須按照信息安全管理體

系標準的要求和公司《信息安全管理手冊》所描述的規定，不斷增強持續滿足顧客要求、

相關方要求和法律法規要求的能力，全心全意為顧客和相關方提供優質、安全的自助服

務終端軟硬件的研發及運行維護服務，以確立公司在社會上的良好信譽。

《信息安全管理手冊》是公司規范內部管理的指導性文件，也是全體員工在向顧客

提供服務過程必須遵循的行動準則。《信息安全管理手冊》一經發布，就是強制性文件,

仝體員工必須認真學習、切實執行。

深圳市XXXX有限公司

總經理：汪倩

2019年11月01日

笫1頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

L2任命書

任命書

為貫徹執行GB/T22080-2016idtIS0/IEC27001:2013《信息安全管理體系要求》,

加強對信息管理體系運行的領導，特任命曹飛澎為公司管理者代表。

授權信息安全管理者代表有如卜.職責和權限：

1）確保按照標準的要求，進行資產識別和風險評估，全面建立、實施和保持信

息安全管理體系；

2）負責與信息安全管理體系有關的協調和聯絡工作；

3）確保在整個組織內提高信息安全風險的意識；

4）審核風險評估報告、風險處理計劃；

5）批準發布程序文件；

6）主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；

7）向最高管理者報告信息安全管理體系的業績和改進要求，包括信息安全管理

體系運行情況、內外部審核情況。

本任命書自任命日起生效執行。

深圳市XXXX有限公司

總經理：汪倩

2019年11月01日

笫2頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

1.3手冊說明

1.3.1總則

《信息安全管理手冊》的編制，是用以證明已建立并實施了一個完整的文件

化的信息安全管理體系。通過對各項業務進行風給評估，識別出公司的關鍵資產，

并根據資產的不同級別風險采取與之相對應的處理措施。

《信息安全管理手冊》為審核信息安全管理體系提供了文件依據。

《信息安全管理手冊》證明公司已經按照GB/T22080-2016idtIS0/IEC

27001:2013標準的要求建立并實際運行一套信息安全管理體系。《信息安全管理

手冊》的編制及頒布可以對公司信息安全管理各項活動進行控制，指導公司開展

各項業務活動，并通過不斷的持續改進來完善信息安全管理體系。

1.3.2信息安全管理手冊的批準

管理者代表負責組織信息安全小組編制《信息安全管理手冊》及其相關規章

制度，總經理負責批準。

1.3.3信息安全管理手冊的發放、作廢與銷毀

（1）綜合管理部負責按《文件控制程序》的要求，進行《信息安全管理手

冊》的登記、發放、回收、歸檔、作廢與銷毀工作。

（2）各相關部門按照受控文件的管理要求對收到的《信息安全管理手冊》

進行使用和保管。

（3）綜合管理部按照規定發放修改后的《信息安全管理手冊》，并收回失

效的文件做出標識統一處理，確保有效文件的唯一性。

（4）綜合管理部保留《信息安全管理手冊》修改內容的記錄。

1.3.4信息安全管理手冊的修改

《信息安全管理手冊》如根據實際情況發生變化時，應用信息安全體系相關

部門提出申請，經綜合管理部討論、商議，信息安全代表審核、總經理批準后方

可進行修改。為保證修改后的手冊能夠及時發放給相關人員，綜合管理部對手冊

實施修改后，應及時發布修改信息，通知相關人員。

《信息安全管理手冊》的修改分為兩種：

笫3頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

一是少量的文字性修改。此種修改不改變手冊的版本號，只需在本手冊的“文

檔修改記錄”如實記錄即可，不需保存手冊修改前的文檔原件。

二是大范圍的信息安全管理體系版本升級，即改版。在本手冊經過多次修改、

信息安全管理體系建立依據的標準發生變化、公司的業務范圍有較大調整的情況

下，需要對本手冊進行改版。本手冊的改版應該對改版前的《信息安全管理手冊》

原件進行保存。

在出現下列情況時，《信息安全管理手冊》可以進行修改：

＞信息安全管理體系運行過程中發現問題或信息安全管理體系需進一步改

進

＞內部信息安全提出新的需求

＞組織機構和職能發生變化

＞經營環境和產品結構有調整

＞發現本手冊中存在差錯或不明確之處

＞引用的法規或體系標準有修改

＞體系審核或管理評審提出改進要求

＞本手冊的更改控制按《文件管理程序》執行

1.3.5信息安全管理手冊的換版

《信息安全管理手冊》進行換版，換版應在管理評審時形成決議，重新編制、

審批工作。

＞當依據的GB/T22080-2016idtTSO/TEC27001:2013信息安全管理體系有

重大變化時，如組織結構、內外部環境、開發技術、信息安全風險等發生重大改

變的。

＞相應的法律法規發生重大變化時，如國家法律法規、政策、標準等發生

改變的。

＞《信息安全管理手冊》發生需修改部分超過1/3時。

＞《信息安全管理手冊》執行已滿三年時。

1.3.6信息安全管理手冊的控制

(1)《信息安全管理手冊》標識分受控文件和非受控文件：

笫4頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

＞受控文件發放范圍為公司領導、各相關部分的負責人、審計部或者內審員。

＞非受控文件印制成單行木，作為投標書的資料、銷售目的等發給受控范圍

以外的其他相關人員。

（2）《信息安全管理手冊》分為書面文件和電子文件兩種。

2規范性引用文件

GB/T22080-2016信息技術安全技術信息安全管理體系要求；

GB/T22081-2016信息安全管理實用規則；

與公司運營相關的法律法規和技術標準。

3術語和定義

?本手冊采用GB/T22080-2016idtTSO/TEC27001:2013標準的術語和定義，并根

據需要在相應章節所描述的要求中，增補了所涉及的術語和定義；

?本手冊出現的術語“產品”指的是公司提供的產品和服務；

?ISMS-IntegratedManagementSystem的縮寫,代表“信息安全管理體系”；

4組織環境

4.1理解組織及其環境

公司定期識別和信息安全管理目標相關，并影響實現信息安全管理預期結果的內外

部問題。

4.2理解相關方的需求和期望

本公司確定：

a）與ISMS有關的相關方；

b）這些相關方與信息安全有關的要求。

4.3確定ISMS的范圍

應用范圍：

本《信息安全管理手冊》規定了〈深圳市XXXX有限公司＞信息安全管理體系涉及的

笫5頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

開發和維護信息安全管理、職責管理、內部審核、管理評審和信息安全管理體系持

續改進等方面內容。

產品和服務范圍：與計算機應用軟件的設計、開發及售后服務相關的信息安全管理

活動區域范圍：廣東省深圳市八卦嶺八卦路31號眾鑫科技大展1310室

組織機構范圍：管理層、技術部、銷售部、綜合管理部

4.4信息安全管理體系

4.4.1總則

為了建立、實施、運行、監視、評審、持續改進信息管理管理體系，提高全

員的信息安全意識，對信息安全風險進行有效管理，使全公司貫徹落實安全方針

和各項安全措施，保護用戶信息和資料，保證的信息資產免遭破壞，降低可能影

響到信息安全的各種風險，防止安全事故的發生。同時確保全體員工理解并遵守

執行信息安全管理體系文件，持續改進信息安全管理體系的有效性，樹立公司良

好的服務形象，增強用戶對公司的技術和管理水平的信心，保證公司業務可持續

開展，特制定本《信息安全管理手冊》。

4.4.2ISMS體系過程方法

相關方/相關方/

第三方第三方

信

實

息

施

安

信

并

仝

息

管

運

安

理

行

全

需

管

求

理

和

期

里

監控并評審

5領導作用

5.1領導作用和承諾

?總經理領導信息安全工作，并確定相應的職責和作用。

笫6頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

?制定信息安全方針和信息安全目標，建立和完善公司的信息安全管理體系。

?向公司傳達滿足信息安全目標以及信息安全方針，以及法律責任和持續改進的重

要性。

?提供足夠的資源建立、實施、運行、監控、評審、為何和改進ISMS；

?決定可接受風險的標準和可接受風險的等級；

?確保按照標準嚴格執行ISMS內部審核并進行管理評審。

5.2ISMS管理方針

一、信息安全管理方針

為了滿足適用法律法規及相關方要求，維持ISMS范圍內的業務正常進行，

實現業務可持續發展，本公司根據組織的業務特征、組織結構、地理位置、資產

和技術確定了信息安全管理體系方針：

滿足客戶要求，保障信息安全，遵守法律法規，持續改進管理。

二、信息安全管理目標

1.針對客戶信息安全事件的投訴每年不超過1次

2.重要信息設備丟失每年不超過1起

3.機密和絕密信息泄漏事件每年不超過1次

三、信息安全管理適用范圍

本信息安全管理方針適用于公司全體員工、業務合作伙伴、外聘人員及第三

方的工作人員等所有與信息資產相關的部門與人員。

5.3組織架構、職責和權限

5.3.1ISMS管理體系組織架構圖

附錄2-組織架構圖

5.3.2ISMS管理職能分配

見附錄3-職能分配表

5.3.3職責和權限

見附錄8-信息安全職責說明

6規劃

笫7頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

6.1風險和機遇的應對措施

信息安全小組組織有關部門根據風險評估結果，形成《風險處理計劃》，該

計劃明確了風險處理責任部門、負責人、處理方法及完成時間。

對于信息安全風險和給予，應考慮控制措施與費用的平衡原則，選用以下適

當的措施：

?控制風險，采用適當的內部控制措施。

?接受風險（不可能將所有風險降低為零）；

?避免風險（如物理隔離）；

?轉移風險（如將風險轉移給保險者、供方、分包商）。

6.2信息安全目標及其實現規劃

6.2.1公司在相關職能、層次和信息安全管理體系所需的過程建立信息安全目標。

信息安全目標應：

a）與信息安全方針保持一致

b）可測量；

c）考慮適用的要求，以及風險評估和風險處置的結果；

d）得到溝通：

e）適時更新。

組織應保持有關信息安全目標的文件化信息。

6.2.2在策劃信息安全目標的實現時，公司確定：

a）采取的措施；

b）所需的資源（見7.1）；

c）責任人；

d）完成的時間表；

e）如何評價結果。

7支持

7.1資源

7.1.1總則

笫8頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

總經理以及部門經理應確定、提供為建立、實施、保持和改進ISMS管理體系所需的

資源，應考慮現有的資源、能力、局限；

7.1.2基礎設施

組織應識別、提供并保持實現產品/服務符合性所需的基礎設施，這些設施包括：

?工作場所相應的設施（辦公電腦、服務器、軟硬件、機房等）；

?服務過程設備，如各種通訊設備、監控設備和客戶服務管理系統、業務系統（軟

件）等；

?維修保養和保障設施（各種輔助設施、安全防護設施等）；

?支持性服務，如運輸、通訊信息系統等。

7.1.3過程環境

公司各部門應識別提供產品/服務所需環境中人和物的因素，并對其加以有效的控

制，保證提供產品/服務過程中的人員、財產安全。

過程環境可包括物理的、社會的、心理的和環境的因素。

7.1.4監視和測量設備

對照國際或國家的測量標準，在規定的時間間隔或在使用前進行校準和檢定，如果

沒有上述標準的，應記錄校準或檢定（驗證）的依據，以確保下列設備處于正常狀態：

?開發用途的電腦設備；

?測試用途的電腦設備；

?開發用途的軟件；

?測試用途的軟件；

?集成項目使用的設備。

處于正常狀態的設備應具備下列特征：

?設備的型號能夠符合預期的使用目的；

?無論設備處于待用狀態還是處于使用狀態，設備均是正常的；

?設備得到周期性的養護和校正，并標識其校準狀態；

?必要時，各部門使用設備進行測量前，應再次校準設備；

?測試軟件應確認其具有滿足預期用途的能力，初次使用前應進行確認，必要時

笫9頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

可以進行重新確認。

當發現軟件或設備不符合要求時，應對以往的測量結果進行有效性評價和記錄，并

對受影響的產品采取適當的措施。

校準和檢定結果的記錄應予保存。

7.1.5知識

公司應確保ISMS管理體系運行過程中，提供產品/服務的符合性和顧客滿意所需的

知識。這些知識應得到保持、保護、需要時便于獲取。

在應對變化的需求和趨勢時，組織應考慮現有的知識基礎，確定如何獲取必需的更

多知識。

7.2能力

公司應根據崗位所需的教育、培訓、技能和經驗要求，安排人員，以確保影響產品

/服務質量和信息安全的人員素質滿足崗位的需要，能勝任其工作。

對于人員的配置，公司人事行政部應定鹵定編并制定完善的崗位說明文件。

公司在《員工培訓管理程序》中對在職培訓、人員的意識的灌輸和工作能力的增長

作了要求，以便：

?確定從事影響產品/服務質量和信息安全的人員（包含營銷、服務提供、質量檢

查、IT開發、顧客溝通、顧客信息反饋等）所必須的工作能力及培訓需求；

?提供培訓或采取其他措施，以滿足所確定的需求并確保達成必須的能力；

?對培訓的有效性進行評價；

?確保員工能意識到他們工作的相關性和重要性，以及他們如何為達到TSMS目標

做出努力；

?保存有關教育、經驗、培訓、資格的適當的記錄。

7.3意識

公司應確保工作的人員意識到：

?ISMS管理方針；

?相關的信息安全目標；

?他們對信息安全管理體系有效性的貢獻，包括改進績效的益處；

?偏離信息安全管理體系要求的后果。

第10頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

7.4溝通

管理者代表為信息安全溝通交流主管部門，負責內、外部信息的交流與管理，及時

將信息進行處理傳遞給有關部門。各部門負責涉及自身職責范圍內的信息安全信息的溝

通交流工作，收集與外部相關方的信息資料，并保存回復的證據。

7.4.1內部信息

?信息安全方針、目標及實施方案

?資產識別與風險評怙

?職責與權限的傳達與落實

?培訓教育的實施與效果

?監控與測量結果的反饋及法律、法規的符合情況

?不符合的糾正和預防措施的執行情況

?緊急狀態下的信息等

7.4.2外部信息

?信息安全方針通報相關方，對外宣傳；

?法律、法規的獲取與監測及執法部門的聯絡；

?監控、檢測結果的外部聯絡和接受、答復；

?認證與監督審核；

7.4.3管理者代表應與相關方就影響他們的信息安全的變更進行協商。公司制定《信

息安全溝通協調管理程序》規范信息安全溝通過程，必要時，保留信息交流相關證據。

7.5文件記錄信息

7.5.1文件體系結構

信息安全管理體系的文件由上而下分為四個層次，如下圖所示：

笫11頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

信息安全管理體系文件包括：

(1)管理手冊(信息安全手冊、信息安全策略)：規定信息安全管理體系的文件,

是公司內部的信息安全法規，闡述了信息安全管理體系的方針、目標、范圍、組織結構

和職責權限，同時描述了信息安全管理體系的主體文件(程序文件)，是信息安全管理

體系的綱領性文件。

(2)程序文件：是信息安全手冊的支持性文件，規定了實施與信息安全管理體系

有關的各項活動的途徑和方法，是各項活動得以有效實施的保障。與信息安全管理體系

有關的各項活動必須按照程序文件規定實施，并定期對其進行評審，保持其有效性。

(3)作業指導、規范規章制度、計劃等：是現場或崗位使用的詳細工作文件，是

程序文件的支撐和補充性文件，是信息安全管理體系過程得以有效策劃、運行、控制所

需要的文件，也是信息安全活動的基礎文件。

(4)表單記錄：通過表單模板，對信息安全管理體系實施的一系列活動進行規范,

形成記錄文件，用于作為管理評審、內部審核、外部審核、持續改進的客觀證據。

信息安全手冊、程序文件和作業指導、規范規章制度、表單記錄等四層文件由信息

安全小組組織協調各相關部門共同完成編寫。

支持文件：

?《文件控制程序》

第12頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

7.5.2文件控制

綜合管理部組織編制《文件控制程序》，確保信息安全管理體系的文件在以下幾個

方而得到控制：

（1）文件發布前得到批準，以確保文件是充分與適宜的。

（2）管理體系文件應定期進行評審、修訂完善，并再次批準以保持文件要求與實

際運作的一致性，充分保障文件的有效性、充分性和適宜性。

（3）確保文件的更改和現行修訂狀態得到識別。

（4）確保在使用處可獲得適用文件的有關版本。

（5）確保文件保持清晰、易于識別。

（6）確保綜合管理部確定的體系所需的外來文件得到識別，并控制其分發。

（7）防止作廢文件的非預期使用，若因任何原因而保留作廢文件時，對這些文件

進行適當的標識。

（8）具體執行按《文件控制程序》的規定，對文件的審核、批準、發布、變更、

修改、廢止等環節進行控制。

支持文件：

?《文件控制程序》

7.5.3記錄控制

信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的依據，對記錄的

標識、儲存、保護、檢索、保管、廢棄等事項進行了規定，各部門應根據《記錄控制程

序》的要求采取適當的方式妥善保管信息安全記錄，具體記錄如下：

（1）建立并保持記錄，以提供符合要求和信息安全管理體系有效運行的證據。

（2）保護并控制記錄。信息安全管理體系應考慮相關的法律要求和合同責任。記

錄應保持合法，易于識別和檢索。

（3）編制形成文件的程序，以規定記錄的標識、儲存、保護、檢索、保存期限和

處置所需的控制。

（4）記錄的要求和管理：

＞真實、完整、字跡清晰，可識別是何種產品或項目的何種活動。

＞填寫及時、禁止未經許可的更改。

第13頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

＞各部門應對本部門的記錄自行歸檔保存，保存環境應適宜，以防止記錄損壞、

變質和丟失，保管方式便于存取和檢索。

＞記錄的保存期限應根據產品的特點、法規要求及合同要求來決定，見“記錄清

單”。

＞超過保存期的質量記錄處理應按審批規定進行處置。

支持文件：

?《記錄控制程序》

8運行

8.1運行的策劃和控制

公司規定了實現與計算機應用軟件的設計、開發及售后服務所需的過程，這些過程

與公司ISMS管理體系中的其他要求相一致并對其順序和相互作用予以確定。公司識別

每一過程對滿足客戶服務要求的能力的影響，并確保營運活動中每個質量特性都受到有

效控制。

8.1.1ISMS運行總要求

?實現過程的策劃中應明確：

?質量目標和要求；

?明確各崗位的信息安全職責；

?服務標準

?明確過程控制的準則和方法，制定必要的作業指導文件，為產品和服務實現提供

度源和設施，保證其所需的工作環境；

?保留服務過程提供及過程測量和檢查結果的記錄c

經識別公司沒有外包過程。對于公司的服務商，綜合管理部按照《第三方服務管理程

序》進行管理。

8.2信息安全風險評估

8.2.1風險評估的方法

信息安全小組負責組織編制《信息安全風險管理程序》，建立識別適用于信息安全

管理體系和已經識別的業務信息安全、法律法規要求的風險評估方法，在決定風險的可

第14頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

接受范圍內，采取適當的風險控制措施。

8.2.2識別風險

在信息安全管理體系范圍內，對所有信息資產進行識別評價，識別資產面臨的威脅

以及脆弱性、識別保密性完整性和可用性對資產造成的影響程度、識別資產面臨的風險,

并通過這些項目的風險標識推算出對重要資產造成的影響。

8.2.3分析和評價風險

針對每一項信息資產，識別出其面臨的所有威脅，并考慮現有的控制措施，識別出

被該威脅可能利用的薄弱點。

針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判斷安全失

效發生的可能性。

根據《信息安全風險管理程序》計算風險等級以及風險接受準則，判斷風險為可接

受或需要處理。

8.2.4識別和評價風險處理的選擇

項目風險的識別貫穿整個業務活動過程，明確哪些風險可能影響項目造成影響、記

錄這些風險的各方面特征。在記錄風險的基礎上對項目進行初步分析，依據影響對項目

風險進行優先級排序。

綜合管理部根據風險評估的結果，形成《信息安全風險評估表（含〈風險處理計

劃》）》，該計劃明確了風險處理責任部門、負責人、目的、范圍以及處理策略，具體

措施如下：

（1）適時適當的控制措施。

（2）規避風險，采取有效的控制措施避免風險的發生。

（3）接受風險，在一定程度上有意識、有目的地接受風險。

（4）風險轉移，轉移相關業務風險到其他方面。

（5）消減風險，通過適當的控制措施降低風險發生的可能性。

8.3信息安全風險處置

組織應實施信息安全風險處置計劃。保留信息安全風險處置結果的文件記錄信息。

詳見《信息安全風險管理程序》

8.3.1相關文件

第15頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

?《信息安全風險管理程序》

9績效評價

9.1監視、測量、分析和評價

為了保證服務的符合性及實施必要的改進，應規定、策劃和實施所需的測量和監視

活動。在策劃時，應確定統計技術及其他適用的方法的需要和使用。需要監視司測量的

過程和措施包括：客戶滿意度測量、過程的監視和測量、產品的監視和測量。

綜合管理部應組織相關部門，對質量服務信息安全措施的績效和體系的有效性進行

評價。

綜合管理部應與各部門協調，根據公司管理的實際需要，建立恰當的度量體系，以

度量員工、項目組的工作業績。

由綜合管理部組織實施監視和測量，每年至少一次對對監視和測量的結果進行分析

和評價，由總經理以及各部門經理分析和評價這些結果，保留相關的監視和測量證據。

9.2內部審核

公司應按計劃的時間要求進行ISMS內部審核，以確定控制目標、控制措施、過程

和程序是否：

?符合標準及相關法律法規的要求；

?符合確定的信息安全要求；

?得到有效地實施和維護；

?按期望運行。

內部審核程序應進行計劃，并考慮受審核的狀況、重要性和受審核的區域以及上次

審核結果,應規定審核準則、范圍、頻次和方式.審核員的選擇和審核活動應保證審核

過程的客觀和公正，審核員不能審核自己的工作。

9.3管理評審

9.3.1總則

為確保信息安全管理體系持續運行，具體如下：

（1）管理者代表組織并編制《管理評審程序》，指導管理評審工作的執行。

（2）管理評審由最高管理者或其授權人員組織，每年至少一次。一般情況下，采

第16頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

取會議的形式，安排在內部審核之后。當出現下列情況之一時，應及時進行管理評審：

＞公司管理體系發生重大變化。

＞國家法律法規、相關標準發生重大變化。

＞外審之前。

＞其他認為需要評審時。

（3）各部門負責均需參加管理評審活動，需要時，由總經理或其授權人員決定具

體的參加人員。

（4）管理評審會議的決議事項以會議紀要形式體現，由各相關部門負責配合執行,

并對執行狀況予以跟蹤評估。

9.3.2評審輸入

在管理評審時，管理者代表應組織各相關部門提供以下資料，以供評審：

a）以往管理評審的措施的狀態；

b）與信息安全管理體系相關的外部和內部問題的變更；

c）信息安全績效的反饋，包括下列方面的趨勢：

1）不符合和糾正措施；

2）監視和測量結果；

3）審核結果;

4）信息安全目標的實現；

d）相關方的反饋；

e）風險評估的結果和風險處置計劃的狀態；

f）持續改進的機會。

9.3.3評審輸出

按照信息安全管理與安全方針和目標對上述信息進行全面的討論、評價、分析，管

理評審輸出包括以下方面有關的任何決定和措施：

（1）信息安全管理體系有效性的改進，應考慮業務需求、安全需求、影響已有業

務需求的業務過程、法律法規環境、合同責任義務、風險以及風險接受等級等。

（2）信息安全管理方針和目標的修訂。

（3）與相關方/第三方有關的改進措施等。

第17頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

（4）風險的等級或可接受風險的水平，更新風險評估和風險評估表等。

（5）業務需求的變更。

（6）安全需求的變更。

（7）資源需求以及影響現有業務需求的業務過程；

（8）法律法規的環境。

（9）改進測量控制措施有效性的方式。

（10）對現有信息安全管理體系的評價結論以及對現有服務是否符合要求的評價。

以上內容的詳細規定見《管理評審程序》。

公司應保留文件記錄作為管理評審結果的證據。

10改進

10.1不符合和糾正措施

當發生不符合時，應：

?對不符合作出反應，

＞采取措施控制并糾正不符合；

＞處理不符合造成的后果；

?評價消除不符合原因的措施的需求，通過采取以下措施防止不符合再次發生或在其他

區域發生：

＞評審不符合；

＞確定不符合的原因；

＞確定類似不符合是否存在，或可能潛在發生

?實施所需的措施：

?評審所采取糾正措施的有效性；

?必要時，對體系實施變更。

應將以下信息形成文件：

?不符合的性質及隨后采取的措施

?糾正措施的結果

上述要求參見《糾正措施控制程序》。

第18頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

10.2持續改進

通過制定和改進管理方針和管理目標、進行管理評審、進行內部/外部審核、落實

糾正與預防措施工作、對信息安全事件和服務異常事件的監控分析等方式開展信息安全

管理體系的改進工作，必要時征求所有相關方對管理體系的意見，從而保證管理體系的

持續有效性和運行效率。

關注客戶的投訴、抱怨、記錄、評估服務改進建議，制定服務改進計劃，評估服務

改進情況，確保各項服務改進措施均已落實執行，并實現預期的目標，從而改進完善服

務過程，提升服務質量，提高客戶的滿意度。

規定各部門在持續改進活動中的角色和職責，并從服務過程的所有方面考慮服務改

進要求。

計劃通過以下途徑持續改進信息安全管理的有效性：

（1）通過信息安全管理體系方針的建立與實施，對持續改進做出正式的承諾。

（2）通過信息安全管理體系目標的建立與實施，對持續改進進行評價。

（3）通過內部審核不斷發現問題，尋找體系改進的機會并予以實施。

（4）通過數據分析不斷尋求改進的機會，并做出適當的改進活動安排。

（5）通過實施糾正和預防措施實現改進的活動。

（6）監控安全事件并對事件進行分析。

（7）確定糾正措施和預防措施的有效性。

（8）根據管理評審的結果尋求改進體系的機會。

（9）根據客戶滿意度調查尋求改進體系的機會。

支持文件：

?《糾正措施控制程序》

?《預防措施控制程序》

?《內部審核管理程序》

10.3糾正措施

對于發現的不合格項,不僅要求責任人要糾正不合格行為,而且為了消除不合格項、

與實施和運行信息安全管理體系有關的原因，人事行政部要求責任人應該制定糾正措

施，以便防止不合格的再次發生。糾正措施的控制應該滿足如下要求：

第19頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

（1）識別實施和運行信息安全管理體系的不合格事件。

（2）分析并確定不合格的原因。

（3）評價確保不合格不再發生的相關因素。

（4）確定和實施所需的糾正措施。

（5）檢查、驗證糾正措施的結果。

（6）評審所采取的糾正措施的有效性。

支持文件：

?《糾正措施控制程序》

?《預防措施控制程序》

?《內部審核管理程序》

10.4預防措施

在信息安全管理體系運行的過程中，通過日常的過程控制、結果驗證、體系審核等

方式發現的一些可能影響體系運行的、不受控制將會導致不合格產生的安全事件，應該

及時采取預防措施控制事態的進一步擴大。預防措施應該滿足如下幾方面的要求：

（1）識別潛在的信息安全事件及其原因，并確定。

（2）評價預防不合格發生的措施的需求。

（3）確定和實施所需的預防措施。

（4）評價預防措施的有效性，并對所采取措施的結果進行記錄。

（5）識別并控制重大的已變更的防線。

支持文件：

?《糾正措施控制程序》

?《預防措施控制程序》

第20頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

附錄卜組織簡介

深圳市XXXX有限公司是一家總部位于中國深圳的全方位IT及解決方案服務提供

商。主要致力于航空領域，提供航空IT產品、IT服務及解決方案、航空教育的一體化

專業公司。依靠與多家航空領域的企事業單位建立的良好合作關系，不斷吸取各方先進

技術與管理經驗，打造了一支經驗豐富的管理團隊。在堅持高品質的產品質量、雄厚的

技術力量的支持下，研發了多項擁有自主知識產權的產品，同時具備了向市場提供綜合

化服務的實力。

我們的服務：公司一直堅持“滿足客戶的需求就是我們的追求的服務“宗旨”，我

們將以最優質的服務為客戶提供全方位的IT服務，提升客戶的企業價值，提高客戶的

市場競爭力。技術實力：公司擁有蓬勃向上，充滿朝氣的創業型領導核心，海外留學背

景，多年IT研發、管理經濟的高層管理團隊；經驗豐富的研發團隊一為客戶提供專業

的IT只是支持。

發展戰略：提供自主研發的一流軟件和服務，持續為客戶創造最大價值核心價值觀

公司理念：幫助客戶創造價值，幫助員工實現夢想

誠信：最重要的無形資產，是我們贏得客戶信任的基礎

專注：建立核心競爭力的關鍵

創新：企業持續性發展的必備基因是我們贏得客戶信任的基礎

第21頁

深圳市XXXX有限公司文件編號ISMS-A-01

信息安全管理手冊文件版本VI.0

密級秘密

附錄2-組織架構圖

綜

銷

技

合

售

術

管

部

部

理

部

第22頁

深圳市XXXX有限公司文件編