編號：ISMS-M01-2023

版本號：V1.0

受控狀態：受控

密級：內部公開

【組織名稱】

信息安全管理手冊

(依據ISO/IECFDIS27001:2022)

版權聲明和保密須知

區文件中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，版權均屬【組織名稱】

所有，受到有關產權及版權法保護.任何單位和個人未經【組織名稱】的書面授權許可，不得復制或引用本文件的任何

片斷，無論通過電子形式或非電子形式。

Copyright?2022(組織名稱］版權所有

文檔信息

文檔編號：ISMS-M01-2023文檔分類：內部公開-受控

編寫：審核：批準：

初次發布日期：生效日期：修訂日期：

版本記錄

版本號版本日期修改審批人修改履歷

V1.0//創建文檔

目錄

0.1信息安全管理手冊發布令......................................................................5

0.2管理者代表委任書............................................................................6

1、范圍..........................................................................................7

2、規范性引用文件...............................................................................7

3、定義和術語....................................................................................7

3.1信息安全定義................................................................................7

3.2術語.........................................................................................8

3.3縮寫........................................................................................8

4、組織環境....................................................................................9

4.1理解組織及其環境............................................................................9

4.2理解相關方的需求和期望.....................................................................9

4.3確定信息安全管理體系范恒...................................................................9

4.4信息安全管理體系...........................................................................10

5、領導.........................................................................................10

5.1領導和承諾.................................................................................10

5.2方針........................................................................................10

5.3組織的角色，責任和權限....................................................................11

6、規劃.........................................................................................11

6.1應對風險和機會的措施.......................................................................11

6.2信息安全目標和實現規劃....................................................................13

6.3變更管理...................................................................................14

7、支持.........................................................................................14

7.1資源........................................................................................14

7.2能力........................................................................................14

7.3意識........................................................................................14

7.4溝通........................................................................................14

75文件化信息...................................................................................15

8、運行.........................................................................................16

8.1運行規劃和控制..............................................................................16

8.2信息安全風險評估...........................................................................17

8.3信息安全風險處置...........................................................................17

9、績效評價.....................................................................................17

9.1監視、測量、分析和評價.....................................................................17

9.2內部審核....................................................................................18

9.3管理評審....................................................................................19

9.3.1總貝IJ........................................................................................................................................................................19

10、改進.......................................................................................20

10.1不符合和糾正措施..........................................................................20

10.2持續改進...................................................................................20

附件1組織結構圖..............................................................................22

附錄2職能分配表..............................................................................23

附件3部門職責................................................................................30

附件4信息安全職責說明書......................................................................32

0.1信息安全管理手冊發布令

公司依據ISO/IECFDIS27001:2022《信息安全、網絡安全和隱私保護信息安全管理體系要求》

（以下簡稱信息安全管理體系）標準的要求，結合公司的實際情況，在公司內部建立信息安全管理體系，

組織編寫了《信息安全管理手冊》，經審定符合國家、地方及行業的有關法律法規和本公司的實際情

況，現予以發布。

《信息安全管理手冊》是公司日常信息流轉管理活動必須遵循的綱領性文件，本公司將按《信息

安全管理手冊》的規定要求組織本公司進行各項業務活動。全體員工必須認真學習，準確理解其內

容，并嚴格遵照執行。

自本手冊發布令簽批之H起，本公司信息安全管理體系進入實施運行階段。

【組織名稱】

總經理:

2022年12月01日

0.2管理者代表委任書

為貫徹執行ISO/IECFDIS27001:2022《信息安全、網絡安全和隱私保護信息安全管理體系要求》。

加強對公司體系運作的領導，特委任任公司信息安全管理體系的管理者代表。

管理者代表的職責是：

(1)確保按照標準的要求，進行資產識別和風險評估，全面建立、實施、運行、監視、評審、保持和改進信

息安全管理體系，保證信息安全管理體系的持續適宜性和有效性；

(2)就信息安全管理體系有關事宜進行內外部聯絡，組織、指揮、監督、協調各部門體系的運作：

(3)確保在整個組織內提高信息安全風險的意識；

(4)審核風險評估報告、風險處理計劃，并監督其執行情況，并向總經理匯報殘余風險；

(5)收集整理各部門的管理評審輸入材料?，進行匯總，并在管理評審會議上向總經理報告；

(6)向總經理報告信息安全管理體系的現狀和任何改進的需求，包括信息安全管理體系運行情況、內外審核

情況。

本授權書自發布之日起生效執行。

【組織名稱】

總經理：

2022年12月01日

1、范圍

公司依據信息安全管理體系標準的要求編制《信息安全管理手冊》，并包括了風險評估及處置的要

求。規定了公司的信息安全方針及管理目標，引用了信息安全管理體系的內容，對標準中的第4章到第

10章的內容，不做任何刪減。

a;注冊地址：。

b;運營地址：。

c;體系范圍：。

d;組織范圍：公司管理層、管理運營部、人力資源部、采購部、財務部、安全質量部、信息化中心。

e;資產范圍：與1）所述業務活動2）組織范圍內及3）物理環境內相關的硬件、軟件、數據、文檔、人員

及支持性服務等全部信息資產和相關技術手段。

2、規范性引用文件

下列參考文件的部分或整體在本文檔中屬于標準化引用，對于本文件的應用必不可少。凡是注日期的引

用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本

標準。

信息安全、網絡安全和隱私保護信息安全管理體系要求一概述和詞匯.

3、定義和術語

本手冊旨在防止業務過程中信息被非授權地訪問、使用、池露、分解、修改和毀壞，以求保證信息的保密

性、完整性、可用性和可追責性，使信息保障能正確實施、信息系統能按策劃運行、信息服務能滿足法律法規

與顧客要求。

3.1信息安全定義

信息安全保密防止信息財產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨識，

控制。即確保信息的完整性、保野性，可用性和可控性。避免攻擊者利用系統的安全保密漏洞進行竊聽、冒充、

詐騙等有損于合法用戶的行為。本質上是充分保護本組織信息資產并給予相關方信心。

3.2術語

本手冊中使用術語的定義采用ISO/IECFDIS27001:2022《信息安全、網絡安全和隱私保護信息

安全管理體系要求》中有關術語的定義。

3.3縮寫

1.ISMS；Informationsecurity,cybersecurityandprivacyprotection-Informationsecurity

managementsystems—Requireinents信息安全、網絡安全和隱私保護信息安全管理體系要求；

2.SOA:StatementofApplicabi1ity適用性聲明；

3.PDCA:PlanDoCheckAction計劃、實施、檢查、改進;

4、組織環境

4.1理解組織及其環境

管理層確定與公司意圖相關的，且影響其實現信息安全管理體系預期結果能力的外部和內

部事項。

4.2理解相關方的需求和期望

管理運營部應確定信息安全管理體系要求的相關方及其信息安全要求，相關的信息安全要求。對于

利益相關方，可作為信息資產識別，并根據風險評估的結果，制定相應的控制措施，實施必要的管理。

相關方的要求可包括法律法規要求和合同義務。

本公司所屬相關方及其要求和期望如下表：

相關方識別原因信息安全要求和期望更新頻率識別方法

政府職能單嚴格執行國家法律法規落實國家法律法規要求依據法律法規關注政府網站

位發布周期

第三方認證符合體系標準和服務資質法律法規及相關資質的認證標準發布與認證機構聯系

服務機構要求方可通過認證信息安全要求周期

客戶業務往來/合同關系服務和合同中要求和約合同要求更新合同

定的信息安全內容周期

供方合同關系合同中要求和約定的信合同要求更新合同

息安全內容周期

管理層決策公司的信息安全管理公司信息安全策略不定期定期不定期匯報、管

工作理評審

公司重要的商業信息/

敏感信息的保密性

公司員工公司信息安全工作執行層各職能部門實際工作中不定期公司會議

的信息安全要求

個人信息及隱私安全

4.3確定信息安全管理體系范圍

本公司ISMS的范圍包括

a）物理范圍：

注冊地址：。

運營地址：。

b)業務范圍：。

c)組織范圍：公司管理層、管理運營部、人力資源部、采購部、財務部、安全質量部、信息化中心。

d)資產范圍：與所述業務活動、組織范圍內及物理環境內相關的硬件、軟件、數據、文檔、人員及支

持性服務等全部信息資產和相關技術手段。

4.4信息安全管理體系

本公司按照信息安全管理體系標準的要求建立一個文件化的信息安全管理體系。同時考慮該體系的

實施、維持、持續改善，確保其有效性。ISMS體系所涉及的過程基于PDCA模式。

5、領導

5.1領導和承諾

總經理應通過以下方式證明信息安全管理體系要求的領導力和承諾：

a)確保信息安全策略和信息安全目標已建立，并與公司戰略方向一致；

b；確保將信息安全管理體系要求要求融合到日常管理過程中：

c)確保信息安全管理體系要求所需資源可用；

d)向公司內部傳達有效的信息安全管理及符合信息安全管理體系要求要求的重要性：

e)確保信息安全管理體系要求達到預期結果：

f)指導并支持相關人員為信息安全管理體系要求有效性做出貢獻；

g)促進持續改進；

h)支持管理運營部及各部門的負責人，在其職責范圍內展現領導力。

5.2方針

公司管理層應建立信息安全方針：

a)適合組織的宗旨；

b；包括信息安全目標(見6.2),或為建立信息安全目標提供框架；

c)包括滿足有關信息安全適當要求的承諾；

d)包括ISMS持續改進的承諾。

公司的信息安全管理方針：

預防為主，完善管理，持續改進，保證安全。

對于信息安全方針的解釋:

將管理與技術相結合，建立完整的信息安全管理體系要求。安全管理的基本原理，防患于未然，預

防大于亡羊補牢；采用適宜的、充分的、有效的控制措施來糾正和預防信息安全事態。控制風險是前提,

風險自身是動態的過程。本公司在運行過程中需要審時度勢、量體裁衣、因地制應，逐步的修訂現有制

度，不停的完善自身管理水平。

上述方針的批準、發布及修訂由公司總經理負責；信息安全方針是以文檔化的身份可用的，通過培、

宣貫等方式使得本公司員工知曉并執行相關內容；通過有效途徑告知服務相關方及客戶，以提高安全保

密意識及服務水平；并定期通過《管理評審控制程序》評審其適用性、充分性，必要時予以修訂。

5.3組織的角色，責任和權限

公司管理層決定全公司的組織機構和各部門的職責（包括信息安全職責），并形成文件，具體內容

見附錄3/4o

各部門的信息安全管理職責決定本部門組織形式和業務分擔，并形成文件，具體內容見附錄B職能

分配表。

總經理為本公司信息安全的最高責任者,各部門/項目組負責人為本部門/項目組信息安全管理責任

者，全體員工都應按保密承諾的要求自覺履行信息安全保密義務。

各部門應按照《信息安全適用性聲明》中規定的安全目標、控制措施（包括安全運行的各種控制程

序）的要求實施信息安仝控制措施。

6、規劃

6.1應對風險和機會的措施

6.1.1總貝I」

公司針對公司內部和公司外部的實際情況，和相關方的要求，確定公司所需應對的信息安全方面的

風險。在已確定的ISMS范圍內，針對'業務全過程所涉及的所有信息資產進行列表識別。信息資產包括軟

件/系統、數據/文檔、硬件/設施、人力資源及外包服務。對每一項信息資產，根據信息資產判斷依據

確定信息資產的重要性等級并對其重要度賦值。

管理運營部制定信息安全風險評估管理程序，經管理運營部組長批準后組織實施。風險評估管理程

序包括可接受風險準則和可接受水平“

該程序的詳細內容見《信息安全風險評估管理程序》。

6.L2信息安全風險評估

6.1.2.1風險評估的系統方法

管理運營部制定信息安全風險評估管理程序，經管理者代表審核，總經理批準后組織實施。風險評

估管理程序包括可接受風險準貝！和可接受水平。該程序的詳細內容適用于《信息安全風險評估管理程

序》。

6.1.2.2資產識別

在已確定的ISMS范圍內，對所有的信息資產進行列表識別。信息資產包括軟件/系統、數據/文檔、

硬件/設施及人力資源、服務等。為每一項信息資產，根據信息資產判斷依據確定信息資產的重要性等級并

對其重要度賦值。

6.1.2.3評估風險

a)針對每一項信息資產、記錄、信息資產所處的環境等因素，識別出所有信息資產所面臨的威脅：

b)針對每一項威脅，識別出被該威脅可能利用的薄弱點；

c)針對每一項薄弱點，列出現有的控制措施，并對控制措施有效性賦值；同時考慮威脅利用脆弱性的容

易程度，并對容易度賦值；

d)判斷一個威脅發生后可能對信息資產在保密性(0、完整性⑴和可用性(A)方面的損害，進而對公司

業務造成的影響，計算信息資產的安全事件的可能性和損失程度。

e)考慮安全事件的可能性和損失程度兩者的結合，計算信息資產的風險值。

0根據《信息安全風險評估管理程序》的要求確定資產的風險等級。

g)對于信息安全風險，在考慮控制措施與費用平衡的原則卜.制定風險接受準則，按照該準則確定何

種等級的風險為不可接受風險，該準則在《信息安全風險評估管理程序》有詳細規定，并在

h)《風險評估報告》中進行系統匯報并針對結果處理意見獲得總經理批準。

i)獲得總經理對建議的殘余風險的批準，殘余風險應該在《殘余風險評價報告》上留下記錄，并記

錄殘余風險處置批示報告。

j)獲得管理者對實施和運行ISMS的授權。ISMS管理者代表的任命和授權、ISMS文檔的簽署可以作為

實施和運作ISMS的授權證據。

6.1.3信息安全風險處置

6.1.3.1風險處理方法的識別與評價

管理運營部應組織有關部門根據風險評估的結果，形成《風險處理計劃》，該計劃應明確風險處理

責任部門、方法及時間。

對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：

a）采用適當的內部控制措施；

b）接受某些風險（不可能將所有風險降低為零）；

c）回避某些風險（如物理隔離）；

d；轉移某些風險（如將風險轉移給保險者、供方、分包商）。

6.1.3.2選擇控制目標與控制措施

管理運營部根據信息安全方針、業務發展要求及風險評估的結果，組織有關部門制定信息安全目標。

信息安全目標應獲得總經理的批準。

控制目標及控制措施的選擇原則來源于附錄A。本公司根據信息安全管理的需要，可以選擇標準之

外的其他控制措施。

6.1.33適用性聲明SOA

管理運營部編制《信息安全適用性聲明》（SOA）。該聲明包括以下方面的內容：

a）所選擇控制目標與控制措施的概要描述；

b）對ISO/IECFDIS27001:2022附錄A中未選用的控制目標及控制措施理由的說明。

6.1.3.4殘余風險

對風險處理后的殘余風險應形成《殘余風險評估報告》并得到總經理的批準。管理運營部應保留信

息安全風險處置過程的文件化信息。

6.2信息安全目標和實現規劃

根據公司的信息安全方針，經過總經理確認。公司

的信息安全管理目標為：

a）受控信息泄露的事態發生W1起；

b）顧客保密性投訴的次數每年不超過1起；

ci信息安全培訓率299%；

d）信息安全事件導致的故障/事態未能在規定時間內恢復的次數W0起/年

管理運營部根據《適用性聲明》、《信息資產風險評估表》中風險處理計劃所選擇的控制措施，明

確控制措施改進時間表。對于各部門信息安全目標的完成情況，按照《信息安全目標及有效性測量程序》

的要求，周期性在主責部門對各控制措施的目標進行測量，并記錄測量的結果。通過定期的內審、控制

措施目標測量及管理評審活動評價公司信息安全目標的完成情況。

6.3變更管理

當公司確定需要對信息安全管理體系進行變更時，應以策劃的方式進行。

7、支持

7.1資源

總經理負責確定并提供建立、實施、保持和持續改進信息安全管理體系所需的資源。

7.2能力

人力資源部應：

a)確定公司全體員工影響公司信息安全績效的必要能力；

b)確保上述人員在適當的教育、培訓或經驗的基礎上能夠勝任其工作；

c)適用時，采取措施以獲得必要的能力，并評估所采取措施的有效性；

①保留適當的文件化信息作為能力的證據。

注：適用的措施可包括，對新入職員工進行的信息安全意識教育；定期對公司員工進行的業務實施

過程中的信息安全管理相關的培訓等。

7.3意識

公司全體員工應了解：

a)公司的信息安全方針；

b；個人其對公司信息安全管理體系有效性的貢獻，包括改進信息安全績效帶來的益處；

c)不符合信息安全管理體系要求要求帶來的影響。

7.4溝通

管理運營部負貨確定與信息安全管理休系要求相關的內部和外部的溝通需求，包括:

溝

溝通對象溝通機制溝通內容通溝通責任部信息安全注意事

頻

率

項

與形式門

政府職能文件通落實國家法律法規要求按需管理運營部信息及時溝通

知下發

單位

客戶客戶滿改善服務，提升客戶滿意度客法管理運營部信息保密性

意度調查戶對信息安全的要求時安全質量部

信息安全相關情況及問題溝通

信息安全事件上報

員工公司例會/信息安全目標和方針信息安全不定人力資源部個人信息保密性

信息安制度要求信息安全職責期

全意識培

信息安仝意識調杳

訓

供方供應商定期采購部客戶信息不得泄露

評價

供應商服務評價公司信息安信息化中心

項目合作全要求

郵件往來信息安全事件響應和處理

電話咨詢

7.5文件化信息

7.5.1總則

公司的信息安全管理體系應包括：

a)本標準要求的文件化信息；

b；管理運營部確保信息安全管理體系的有效運行，需編制《文件控制程序》用以管理公司信息安

全管理體系的相關文件。

7.5.2創建和更新

創建和更新文件化信息時，管理運營部應確保適當的：

a)標識和描述(例如標題、日期、作者或編號)；

b)格式(例如語言、軟件版木、圖表)和介質(例如紙質、電子介質)；

c)對適宜性和充分性的評審和批準。

753文件化信息的控制

信息安全管理體系要求及本標準所要求的文件化信息應予以控制，以確保：

a)在需要的地點和時間，是可用和適宜的；

b)得到充分的保護(如避免保密性損失、不恰當使用、完整性損失等)。

c)為控制文件化信息，適用時，科技規劃部應開展以下活動：

①分發，訪問，檢索和使用；

e)存儲和保護，包括保持可讀性；

0控制變更（例如版本控制）；

g）保留和處置。

管理運營部需在《文件控制程序》中規劃和運行信息安全管理體系要求所必需的外來的文件化信息，

應得到適當的識別，并予以控制。

8、運行

8.1運行規劃和控制

為確保ISMS有效實施，對己識別的風險進行有效處理，本公司開展以下活動：

a）形成《信息安全風險處理計劃》，以確定適當的管理措施、職責及安全保密控制措施的優先級，

應特別注意公司外包過程佗確定和控制；對于系統集成服務項目，項目經理應在項目策劃階段識別所

面臨的信息安全風險，并在項目全過程中對信息安全風險進行監控和更新。

b）為實現已確定的安全保密目標、實施風險處理計劃，明確各崗位的信息安全職費；

c）實施所選擇的控制措施，以實現控制目標的要求：

d）進行信息安全培訓，提高全員信息安全意識和能力；

e）對信息安全體系的運作進行管理，控制計劃了的變更，評審非預期變更的后果，必要時采取措

施減緩負面影響；

0對信息安全所需資源進行管理；

g）實施控制程序，對信息安全事故（或事件）進行迅速反應。

總經理為本公司信息安全最高責任者。

管理運營部制定全公司的組織機構和各部門的職貢（包括信息安全職貢），并形成文件。

管理運營部成員負責完成信息安全管理體系運行時必須的任務；對信息安全管理體系的運行情況和

必要的改善措施向總經理報告。

各部門負責人作為本部門信息安全的主要責任人，信息安全內審員負責指導和監督本部門信息安全

管理體系要求的運行與實施，并形成文件；全體員工都應按保密承諾的要求自覺履行信息安全義務。

各部門應按照《信息安全適用性聲明》中規定的安全保密目標、控制措施（包括安全保密運行的各

種控制程序）的要求實施信息安全控制措施。

管理運營部應對滿足信息安全要求及實施6.1中確定的措施所需的過程予以規劃、實施和控制，同

時應實施計劃以實現6.2中確定的信息安全目標。

管理運營部應保持文件化信息達到必要的程度，以確信過程按計劃得到執行。

管理運營部應控制計劃內的變更并評審非預期變更的后果，必要時采取措施減輕負面影響。

各部門確定本部門業務過程中的外部提供的過程、產品和服務，并對這些過程進行必要的控制。

8.2信息安全風險評估

公司按照組織《信息安全風險管理程序》的要求，每年定期或當重大變更提出或發生時，執行信息

安全風險評估。每次風險評估的過程均需形成記錄，并由管理運營部保留每次風險評估的記錄，如：風

險評估報告、風險處理計劃等。

8.3信息安全風險處置

為確保ISMS有效實施，對已識別的風險進行有效處理，本公司開展以下活動：

a)形成《風險處理計劃》，以確定適當的管理措施、職責及安全保密控制措施的優先級；

b)為實現已確定的安全保密目標、實施風險處理計劃，明確各崗位的信息安全職責；

0實施所選擇的控制措施，以實現控制目標的要求；

d)進行信息安全培訓，提高全員信息安全意識和能力；

e)對信息安全體系的運作進行管理；

0對信息安全所需資源進行管理；

管理運營部負責組織相關人員，定期檢杳風險處理計劃的執行情況，并保留信息安全風險處置結果

的文件化信息。

9、績效評價

9.1監視、測量、分析和評價

本公司通過實施定期的控制措施實施有效性檢查、事故報告調查處理、電子監控、技術檢查等檢杳方式檢

查信息安全管理體系運行的情況，并報告結果以實現：

a)及時發現信息安全體系的事故和隱患：

b)及時了解信息處理系統遭受的各類攻擊；

c)使管理者掌握信息安全活動是否有效，并根據優先級別確定所要采取的措施；

d)積累信息安全方面的經驗。

按照計劃的M間間隔(不超過一年)進行ISMS內部審核，內部審核的具體要求，見本手冊9.2要

求。

根據控制措施有效性檢查和內審檢查的結果以及來自相關方的建議和反饋，由最高責任者主持，每年對

ISMS的有效性進行評審，其中包括信息安全范圍、方針、目標及控制措施有效性的評審。管理評審的具體要

求，見本手冊9.3要求。

管理者代表應組織有關部門按照《信息安全風險評估管理程序》的要求對風險處理后的殘余風險進行定

期評審，以驗證殘余風險是否達到可接受的水平，對以下方面變更情況應及時進行風險評估:

a）組織機構發生重大變更；

b；信息處理技術發生重大變更；

c）公司業務目標及流程發生重大變更；

d）發現信息資產面臨重大威脅；

e）外部環境，如法律法規或信息安全標準發生重大變更。

f）保持上述活動和措施的記錄。

以上活動的詳細程序規定于以卜文件中：

《監視與測量管理程序》

《信息安全風險評估管理程序》

（內部審核管理程序》

9.2內部審核

內部信息安全審核主要指內部信息安全管理體系審核，其目的是驗證公司信息安全管理體系運行的符

合性和有效性并不斷改進和完善公司的信息技術-安全技術-信息安全管理體系要求。

9.2.1組織審核

a）公司統一組織、管理內部信息安全審核工作，管理運營部負責制定《內部審核管理程序》并貫徹

執行；

b）管理者代表負責領導和策劃內部審核工作，批準年度內審計劃和追加審核計劃，批準審核組成

員，批準審核實施計劃，審批年度內審報告；

c）管理運營部負責對審核組長及成員提名，編制年度審核計劃和追加審核計劃，報管理者代表批

準后執行。

d）審核組長組織和管理內部審核工作，根據實際情況和重要性安排審核順序實施審核。

e）審核員不應審核自己的工作。

922實施審核

a）審核組長編制的審核計劃，經管理者代表批準后，負責在實施審核前5天向被審核方發出書

面審核通知；

b)審核小組按《內部審核管埋程序》實施審核;

0審核員收集客觀證據，通過分析整理做出公正判斷，填寫《內審不合格項報告及糾正報告》提

交審核組長，并請被審核部門經理在報告上簽字認可。

9.2.3審核報告

審核組長應在完成全部審核后，按規定格式編寫《內部管理體系審核報告》提交管理運營部，經其

審閱后報管理者代表，《內部管理體系審核報告》作為管理評審的輸入證據。

924糾正措施和跟蹤驗證

a）被審核部門經理制定糾正措施，填寫在《內審不合格項報告及糾正報告》中。

b；糾正措施完成后后，應將糾正措施完成情況填寫到《內審不合格項報告及糾正報告》相應欄內，

然后將《內審不合格項報告及糾正報告》交到審核組長.

c）審核組長視具體情況通知審核組復查，跟蹤驗證糾正措施實施情況，并將驗證結果填寫在《內

審不合格項報告及糾正報告》中。

925審核記錄

審核組長應收集所有內部信息安全審核中發生的計劃通知、內部審核檢查表、記錄、審核報告、總

結等原始資料，整理后由管理運營部負責保管內審相關記錄。

9.3管理評審

9.3.1總則

總經理為確認信息安全管理體系的適宜性、充分性和有效性，每年對信息安全管理體系進行一次全面

評審。該管理評審應包括對信息技術-安全技術-信息安全管理體系要求是否需改進或變更的評價，以及對

信息安全方針和信息安全管理目標的評價。管理評審的結果應形成書面記錄，并至少保存3年，按照《文

件控制程序》的要求進行受控訪問。

9.3.2管理評審的輸入

在管理評審時，管理運營部應組織相關部門提供以下資料，供信息安全管理最高責任者和各部門負

責人進行評審：

a）ISMS體系內、外部審核的結果；

b）相關方的反饋（投訴、抱怨、建議）；

0可以用來改進ISMS業績和有效性的新技術、產品或程序；

d；信息安全Fl標達成情況，糾正和預防措施的實施情況；

e）信息安全事故或征兆，以往風險評估時未充分考慮到的薄弱點或威脅;

f)上次管理評審時決定事項的實施情況;

g;可能影響信息安全管理體系變更的事項(標準、法律法規、相關方要求)；

11;對信息安全管理體系改善的建議；

i)有效性測量結果。

9.3.3管理評審的輸出

信息安全管理最高責任者對以下事項做出必要的指示：

a)信息安全管理體系有效性的改善事項：

b)信息安全方針適宜性的評價；

c)必要時，對影響信息安全的控制流程進行變更，以應對包括以下變化的內外部事件對信息安全

體系的影響：

/業務發展要求；

/信息安全要求：

/業務流程；

/法律法規要求；

/風險水平/可接受風險水平。

d)對資源的需求。

以上內容的詳細規定見《管理評審控制程序》。

10、改進

10.1持續改進

公司的持續改進是信息安全管理體系得以持續保持其有效性的保證，公司在其信息管理體系安全方

針、安全目標、安全審核、監視事態的分析、糾正措施以及管理評審方面都要持續改進信息安全管

理體系的有效性。

本公司開展以下活動，以確保ISMS的持續改進：

a)實施每年管理評審、內部審核、安全檢查等活動以確定需改進的項目；

b)按照《內部審核管理程序》、《糾正措施控制程序》的要求采取適當的糾正和預吃措施；

0吸取其他組織及本公司安全事故的經驗教訓，不斷改進安全措施的有效性；

d)對信息安全目標及分解進行適當的管理，確保改進達到預期的效果；

10.2不符合和糾正措施

發生不符合事項的責任部門在查明原因的基礎上制定并實施相應的糾正措施，以消除不符和的原因,

防止不符合事項再次發生。

管理運營部負責制定《糾正措施控制程序》并組織問題發生部門針對發現的不符合現象分析原因、

制定糾正措施，以消除不符合，并防止不符合的再次發生。

對糾正措施的實施和驗證規定以下步驟：

a)識別不符合；

b)確定不符合的原因；

c)評價確保不符合不再發生的措施要求；

d)確定和實施所需的糾E措施；

e)記錄所采取措施的結臭；

f)評審所采取的糾正措施，將重大糾正措施提交管理評審討論。

附件1組織結構圖

管理層

管理者代表

智

慧

管

采

人

財

安

城

理

購

力

務

全

市

運

資

保

資

質

營