ISMS手冊-信息安全管理體系手冊

1、 信息安全管理IT服務管理體系手冊發(fā)布令本公司按照照ISOO200000:20005信信息技術(shù)術(shù)服務管管理規(guī)范和和ISOO270001：20005信息息安全管管理體系系要求以以及本公公司業(yè)務務特點編編制信信息安全全管理&IT服服務管理理體系手手冊，建建立與本本公司業(yè)業(yè)務相一一致的信信息安全全與ITT服務管管理體系系，現(xiàn)予予以頒布布實施。本手冊是公公司法規(guī)規(guī)性文件件，用于于貫徹公公司信息息安全管管理方針針和目標標，貫徹徹IT服服務管理理理念方方針和服服務目標標。為實實現(xiàn)信息息安全管管理與IIT服務務管理，開開展持續(xù)續(xù)改進服服務質(zhì)量量，不斷斷提高客客戶滿意意度活動動，加強強信息安安全建設設的綱領領

2、性文件件和行動動準則。是是全體員員工必須須遵守的的原則性性規(guī)范。體體現(xiàn)公司司對社會會的承諾諾，通過過有效的的PDCCA活動動向顧客客提供滿滿足要求求的信息息安全管管理和IIT服務務。本手冊符合合有關信信息安全全法律法法規(guī)要求求以及IISO2200000:220055信息息技術(shù)服服務管理理規(guī)范、IISO2270001：220055信息息安全管管理體系系要求和和公司實實際情況況。為能能更好的的貫徹公公司管理理層在信信息安全全與ITT服務管管理方面面的策略略和方針針，根據(jù)據(jù)ISOO200000:20005信信息技術(shù)術(shù)服務管管理規(guī)范和和ISOO270001：20005信信息安全全管理體體系要求求的要要

3、求任命命XXXXXX為為管理者者代表，作作為本公公司組織織和實施施“信息安安全管理理與ITT服務管管理體系系”的負責責人。直直接向公公司管理理層報告告。全體員工必必須嚴格格按照信信息安全全管理&IT服服務管理理體系手手冊要要求，自自覺遵守守本手冊冊各項要要求，努努力實現(xiàn)現(xiàn)公司的的信息安安全與IIT服務務的方針針和目標標。管理者代表表職責：a) 建建立服務務管理計計劃； b) 向向組織傳傳達滿足足服務管管理目標標和持續(xù)續(xù)改進的的重要性性； e) 確確定并提提供策劃劃、實施施、監(jiān)視視、評審審和改進進服務交交付和管管理所需需的資源源，如招招聘合適適的人員員，管理理人員的的更新； 確保按照IISO22

4、070001:20005標準準的要求求，進行行資產(chǎn)識識別和風風險評估估，全面面建立、實實施和保保持信息息安全管管理體系系；按照照ISOO/IEEC 2200000 信息息技術(shù)服服務管理理規(guī)范范的要要求，組組織相關關資源，建建立、實實施和保保持ITT服務管管理體系系，不斷斷改進IIT服務務管理體體系，確確保其有有效性、適適宜性和和符合性性。負責與信息息安全管管理體系系有關的的協(xié)調(diào)和和聯(lián)絡工工作；向向公司管管理層報報告ITT服務管管理體系系的業(yè)績績，如：服務方方針和服服務目標標的業(yè)績績、客戶戶滿意度度狀況、各各項服務務活動及及改進的的要求和和結(jié)果等等。確保在整個個組織內(nèi)內(nèi)提高信信息安全全風險的的意

5、識；審核風險評評估報告告、風險險處理計計劃；批準發(fā)布程程序文件件；主持信息安安全管理理體系內(nèi)內(nèi)部審核核，任命命審核組組長，批批準內(nèi)審審工作報報告；向最高管理理者報告告信息安安全管理理體系的的業(yè)績和和改進要要求，包包括信息息安全管管理體系系運行情情況、內(nèi)內(nèi)外部審審核情況況。7推動公公司各部部門領導導，積極極組織全全體員工工，通過過工作實實踐、教教育培訓訓、業(yè)務務指導等等方式不不斷提高高員工對對滿足客客戶需求求的重要要性的認認知程度度，以及及為達到到公司服服務管理理目標所所應做出出的貢獻獻?？偨?jīng)理：日期：信息安全方方針和信信息安全全目標信息安全方方針：信信息安全全 人人有有責本公司信息息安全管管理

6、方針針包括內(nèi)內(nèi)容如下下：一、信息安安全管理理機制1公司采采用系統(tǒng)統(tǒng)的方法法，按照照ISOO/IEEC 2270001:220055建立信信息安全全管理體體系，全全面保護護本公司司的信息息安全。二、信息安安全管理理組織2公司總總經(jīng)理對對信息安安全工作作全面負負責，負負責批準準信息安安全方針針，確定定信息安安全要求求，提供供信息安安全資源源。3公司總總經(jīng)理任任命管理理者代表表負責建建立、實實施、檢檢查、改改進信息息安全管管理體系系，保證證信息安安全管理理體系的的持續(xù)適適宜性和和有效性性。4在公司司內(nèi)部建建立信息息安全組組織機構(gòu)構(gòu)，信息息安全管管理委員員會和信信息安全全協(xié)調(diào)機機構(gòu)，保保證信息息安全管

7、管理體系系的有效效運行。5與上級級部門、地地方政府府、相關關專業(yè)部部門建立立定期經(jīng)經(jīng)常性的的聯(lián)系，了了解安全全要求和和發(fā)展動動態(tài)，獲獲得對信信息安全全管理的的支持。三、人員安安全6信息安安全需要要全體員員工的參參與和支支持，全全體員工工都有保保護信息息安全的的職責，在在勞動合合同、崗崗位職責責中應包包含對信信息安全全的要求求。特殊殊崗位的的人員應應規(guī)定特特別的安安全責任任。對崗崗位調(diào)動動或離職職人員，應應及時調(diào)調(diào)整安全全職責和和權(quán)限。7對本公公司的相相關方，要要明確安安全要求求和安全全職責。 8定期對對全體員員工進行行信息安安全相關關教育，包包括：技技能、職職責和意意識。以以提高安安全意識識。

8、9全體員員工及相相關方人人員必須須履行安安全職責責，執(zhí)行行安全方方針、程程序和安安全措施施。四、識別法法律、法法規(guī)、合合同中的的安全10及時時識別顧顧客、合合作方、相相關方、法法律法規(guī)規(guī)對信息息安全的的要求，采采取措施施，保證證滿足安安全要求求。五、風險評評估11根據(jù)據(jù)本公司司業(yè)務信信息安全全的特點點、法律律法規(guī)要要求，建建立風險險評估程程序，確確定風險險接受準準則。12采用用先進的的風險評評估技術(shù)術(shù)和軟件件，定期期進行風風險評估估，以識識別本公公司風險險的變化化。本公公司或環(huán)環(huán)境發(fā)生生重大變變化時，隨隨時評估估。13應根根據(jù)風險險評估的的結(jié)果，采采取相應應措施，降降低風險險。六、報告安安全事

9、件件14公司司建立報報告信息息安全事事件的渠渠道和相相應的主主管部門門。15全體體員工有有報告信信息安全全隱患、威威脅、薄薄弱點、事事故的責責任，一一旦發(fā)現(xiàn)現(xiàn)信息安安全事件件，應立立即按照照規(guī)定的的途徑進進行報告告。16接受受信息安安全事件件報告的的主管部部門應記記錄所有有報告，及及時做出出相應的的處理，并并向報告告人員反反饋處理理結(jié)果。七、監(jiān)督檢檢查17定期期對信息息安全進進行監(jiān)督督檢查，包包括：日日常檢查查、專項項檢查、技技術(shù)性檢檢查、內(nèi)內(nèi)部審核核等。八、業(yè)務持持續(xù)性18公司司根據(jù)風風險評估估的結(jié)果果，建立立業(yè)務持持續(xù)性計計劃，抵抵消信息息系統(tǒng)的的中斷造造成的影影響，防防止關鍵鍵業(yè)務過過程

10、受嚴嚴重的信信息系統(tǒng)統(tǒng)故障或或者災難難的影響響，并確確保能夠夠及時恢恢復。19定期期對業(yè)務務持續(xù)性性計劃進進行測試試和更新新。九、違反信信息安全全要求的的懲罰20對違違反信息息安全方方針、職職責、程程序和措措施的人人員，按按規(guī)定進進行處理理。信息安全目目標：1.不可接接受風險險處理率率：1000% （所有有不可接接受風險險應降低低到可接接受的程程度）。2.重大顧顧客因信信息安全全事件投投訴為00次（重大顧顧客投訴訴是指直直接經(jīng)濟濟損失金金額達11萬元以以上）信息安全管管理手冊冊說明11公司司簡介XX1.1編制制依據(jù)和和目的本手冊在遵遵循ISSO90001：20005 信息安安全管理理體系要要求

11、與與ISOO/IEEC 2200000 信息息技術(shù)服服務管理理規(guī)范范的要要求編制制而成，包包括了IISO2270001：20005的全全部要求求，對附附錄A的的刪減見見適用用性聲明明SoAA。手冊描述公公司的信信息安全全管理體體系的總總要求，以以確保公公司的信信息安全全管理體體系能夠夠達到IISO2270001：20005信息息安全管管理標準準的要求求；滿足足本公司司向客戶戶提供IIT服務務所需的的IT基基礎設施施和ITT技術(shù)支支持服務務，適用于于向客戶戶或認證證機構(gòu)證證實，本本公司具具備提供供符合客客戶需求求的ITT服務能能力和服服務質(zhì)量量。本公司的體體系程序序是手冊冊的支持持性文件件，是對

12、對體系運作作的具體體描述。1.2適用用范圍信息安全管管理&IIT服務務管理體體系手冊冊適用于于本公司司提供安安全管理理體系認認證服務務與ITT服務有有關的所所有部門門和活動動。13術(shù)語語和定義義1311本手冊冊應用IISO/IECC 200000中中的術(shù)語語及定義義。1322本手冊冊應用IISO/IECC270001中中的術(shù)語語及定義義。2 信息安安全管理理&ITT服務管管理手冊冊的管理理21手冊冊的編制制、批準準和發(fā)布布2111按照公公司業(yè)務務發(fā)展戰(zhàn)戰(zhàn)略和客客戶需求求，經(jīng)公公司管理理者代表表批準，技技術(shù)服務務事業(yè)部部組織相相關人員員，結(jié)合合本公司司業(yè)務特特點，根根據(jù)ISSO/IIEC 200

13、000標標準的要要求編寫寫。2122IT服務務管理手手冊由由公司管管理者代代表批準準后發(fā)布布。22手冊冊的分發(fā)發(fā)2211技術(shù)服服務事業(yè)業(yè)部負責責手冊的的發(fā)放、更更新、管管理與存存檔。2222公司各各部門負負責手冊冊的使用用和保管管。23手冊冊的受控控狀態(tài)2311書面形形式的手手冊分“有效文件”和“保留文件”兩種形式。作為公司日常運營的依據(jù)及提供給外部認證機構(gòu)的手冊均為“有效文件”形式。2322當手冊冊內(nèi)容變變更時，“有效效文件”形形式的手手冊應及及時予以以更新和和發(fā)放。2333“有效文文件”形形式的文文件在更更新后，如如需保存存原來的的版本，以以便于追追溯，則則應當用用“保留留文件”的標識予以

14、以區(qū)分。2344電子形形式的手手冊由技技術(shù)服務務事業(yè)部部在工作作流轉(zhuǎn)系系統(tǒng)中進進行管理理。24手冊冊的變更更2411因公司司戰(zhàn)略調(diào)調(diào)整、客客戶需求求或改進進活動等等引起的的手冊內(nèi)內(nèi)容的變變更，按按公司總總經(jīng)理指指示，技技術(shù)服務務事業(yè)部部組織相相關部門門對涉及及變更的的內(nèi)容進進行更新新，并經(jīng)經(jīng)公司總總經(jīng)理批批準后發(fā)發(fā)布。2422更新后后的手冊冊，應及及時地發(fā)發(fā)放給公公司內(nèi)部部原手冊冊持有者者，并收收回舊版版的手冊冊。對電電子形式式的手冊冊，由技技術(shù)服務務事業(yè)部部按工作作流轉(zhuǎn)系系統(tǒng)中的的管理規(guī)規(guī)則進行行更新和和歸檔管管理。25公司司內(nèi)部手手冊持有有者的責責任2511與公司司或部門門內(nèi)部的的相關人人

15、員溝通通、學習習手冊的的要求并并遵照執(zhí)執(zhí)行。2522妥善保保管，不不得私自自更改、曲曲解手冊冊的內(nèi)容容。不得得隨意向向其他與與公司業(yè)業(yè)務無關關的第三三方傳播播，如需需提供公公司以外外的第三三方參考考，應經(jīng)經(jīng)技術(shù)服服務事業(yè)業(yè)部提交交公司主主管副總總經(jīng)理審審核后，報報公司總總經(jīng)理批批準。3 公司司架構(gòu)和和安全承承諾3.1公司司行政組組織架構(gòu)構(gòu)總 經(jīng) 理總 經(jīng) 理文檔培訓倉庫采購人力資源財務物流銷售市場測試質(zhì)量保證質(zhì)管部實文檔培訓倉庫采購人力資源財務物流銷售市場測試質(zhì)量保證質(zhì)管部實施研發(fā)綜合管理部生技部商務部3.2公司司信息安安全管理理體系組織織架構(gòu)圖圖總 經(jīng) 理總 經(jīng) 理管理者代表商務部生技部綜合

16、管理部副管理者代表研發(fā)實施質(zhì)管部質(zhì)量保證測試客戶服務部銷售物流財務人力資源采購倉庫培訓文檔安全委員會注：每個虛虛線框內(nèi)內(nèi)為一個個信息安安全小組組，部門門的負責責人為安安全組長長，各崗崗位負責責人為該該崗位的的安全員員。33公司司IT服務務管理職職能關系系架構(gòu)圖圖3.4信息息安全承承諾公司成立立安全管理理委員會會來領導導信息安安全工作作，并確確定相應應的職責責和作用用。制訂信息息安全方方針和信信息安全全目標，建建立和完完善公司司的信息息安全管管理體系系。提供充分分的資源源以保證證信息安安全管理理體系的的制定、實實施、運運作、監(jiān)監(jiān)控、維維護和改改善。對公司信信息資產(chǎn)產(chǎn)實行有有效管理理，確保保信息的

17、的機密性性，維持持信息的的完整性性和可用用性，防防范對信信息的未未經(jīng)授權(quán)權(quán)訪問。對對公司信信息資產(chǎn)產(chǎn)進行風風險評估估，制定定風險可可接受標標準，對對公司不不能接受受的風險險進行處處置。建立業(yè)務務持續(xù)性性管理流流程。進進行業(yè)務務持續(xù)性性風險評評估，編編寫、測測試并實實施業(yè)務務持續(xù)性性計劃和和災難恢恢復計劃劃，以保證證公司關關鍵業(yè)務務的連續(xù)續(xù)，不受受重大故故障和災災難的影影響。確保公司司所有員員工都接接受信息息安全的的教育培培訓，提提高信息息安全意意識。保護公司司、客戶戶、相關關合作方方的信息息安全。建立公司司信息安安全組織織架構(gòu)，明明確信息息安全責責任，確確定報告告可疑的的和發(fā)生生的信息息安全事

18、事故及事事件的流流程，對對違反安安全制度度的人員員進行懲懲罰。建立物理理安全和和網(wǎng)絡安安全管理理制度，以以確保信信息的安安全性。保護公司司軟件和和信息的的完整性性，防止止病毒與與各種惡惡意軟件件的入侵侵。任何人在在未經(jīng)審審批的情情況下，禁禁止將信信息資產(chǎn)產(chǎn)帶離公公司。公司所有有員工都都要嚴格格遵守公公司的安安全方針針、程序序和制度度?？刂茖?nèi)內(nèi)外部網(wǎng)網(wǎng)絡服務務的訪問問，保護護網(wǎng)絡服服務的安安全性與與可用性性。對用戶賬賬號、口口令和權(quán)權(quán)限進行行嚴格管管理，防防止對信信息系統(tǒng)統(tǒng)的非授授權(quán)訪問問。對重要信信息進行行備份保保護，以以保證信信息的可可用性。定期對信信息安全全管理體體系進行行內(nèi)審和和管理評

19、評審。3.5信息息安全管管理委員員會為了加強對對信息安安全管理理體系運運作的管管理，江江蘇金馬馬揚名信信息技術(shù)術(shù)有限公公司公司司成立信信息安全全管理委委員會，其其職責見見下列明明細表。信息安全管管理職責責明細表表序號單位/部門門信息安全職職責1信息安全管理委員會會信息安全管管理委員員會是我我公司信信息安全全最高組組織機構(gòu)構(gòu)，負責責本單位位網(wǎng)絡與與信息安安全重大大事項的的決策和和協(xié)調(diào)，并并對全公公司信息息安全工工作負責責。2總經(jīng)理信息安全第第一責任任人，制制定信息息安全方方針，對對信息安安全全面面負責。3管理者代表表經(jīng)總經(jīng)理授授權(quán)負責責建立、實實施、檢檢查、改改進信息息安全管管理體系系。4綜合管

20、理部部我公司信息息安全管管理體系系的歸口口管理部部門。負責管理體體系的建建立、實實施、保保持、測測量和改改進。負責文件控控制、記記錄控制制、內(nèi)部部審核的的組織、管管理評審審的組織織和體系系的改進進。負責本公司司保密工工作的管管理。安全區(qū)域的的保衛(wèi)管管理部門門，負責責安全區(qū)區(qū)域的管管理。負責全公司司人員安安全管理理，包括括人員聘聘用管理理，保密密協(xié)議簽簽署，員員工的能能力、意意識和培培訓，員員工離職職管理。負責涉密信信息上網(wǎng)網(wǎng)、涉密密計算機機運行、檢檢修、報報廢的監(jiān)監(jiān)督管理理。對信息安全全日常工工作實施施動態(tài)考考核，將將信息安安全管理理作為企企業(yè)管理理的重要要工作內(nèi)內(nèi)容。參與涉密及及司法介介入的

21、信信息安全全事件的的調(diào)查。5生產(chǎn)技術(shù)部部是我公司信信息系統(tǒng)統(tǒng)安全管管理部門門。負責局域網(wǎng)網(wǎng)上所承承擔的各各類信息息系統(tǒng)的的管理職職能；負責我公司司信息系系統(tǒng)安全全日常管管理。6其他部門認真執(zhí)行信信息安全全管理的的方針、標標準、安安全策略略和規(guī)范范，做好好內(nèi)部培培訓。備注：以上上職能劃劃分，適適用所有有信息安安全管理理體系文文件。信息安全管管理委員員會組成成人員：姓名部門職務備注36服務務管理職職能說明明3611為保證證IT服務務管理體體系的順順利實施施，以及及實施后后得到持持續(xù)的管管理和維維護，在在現(xiàn)有的的組織架架構(gòu)外建建立服務務管理職職能關系系架構(gòu)。IIT服務務管理職職能關系系架構(gòu)，并并不替

22、代代現(xiàn)有的的按技術(shù)術(shù)類別進進行的分分工，現(xiàn)現(xiàn)有的按按技術(shù)類類別進的的分工，在在將來的的IT服服務管理理體系中中仍將發(fā)發(fā)揮其作作用。服服務部根根據(jù)ITT服務管管理程序序要求對對所有服服務合同同按照項項目進行行管理與與運行，由由項目經(jīng)經(jīng)理按照照服務管管理職能能關系架架構(gòu)中的的要求對對項目執(zhí)執(zhí)行管理理。一個個完整的的服務項項目必須須包含服服務臺、事事件管理理、業(yè)務務關系管管理、信信息安全全管理、供供應商管管理和IIT財務務管理。對對于上圖圖虛線框框內(nèi)的的的問題管管理、發(fā)發(fā)布管理理、配置置管理、變變更管理理、可用用性和連連續(xù)性管管理、容容量管理理、服務務級別管管理以及及服務報報告可由由服務部部經(jīng)理依依

23、照與用用戶簽署署的服務務合同進進行選擇擇裁剪。3622 角色分分配說明明36221針針對服務務部當前前組織架架構(gòu)及人人員狀況況，將不不再為每每一具體體流程分分配流程程經(jīng)理。為為此將113個流流程，按按其必要要程度分分成必選選流程和和可裁剪剪流程兩兩大模塊塊。由項項目經(jīng)理理負責相相應流程程的實施施、管理理和控制制。對項項目組成成員主要要是組織織、協(xié)調(diào)調(diào)、安排排相應工工作任務務的完成成，可能能并不是是由自己己去完成成。362211 項目經(jīng)經(jīng)理職責說明：1）、負負責ITT服務項項目的立立項工作作，按照照服務合合同要求求負責相相應流程程的實施施、管理理和控制制。組織織、協(xié)調(diào)調(diào)、安排排項目組組成員完完成

24、相應應工作任任務。2）、負責責從服務務臺接受受事件報報告開始始，分配配相應的的職能小小組進行行事件處處理，直直至找到到問題的的根本原原因的整整個過程程的管理理和協(xié)調(diào)調(diào)。3）、負責責各系統(tǒng)統(tǒng)的配置置管理、變變更和發(fā)發(fā)布控制制。4）、負責責系統(tǒng)的的可用性性規(guī)劃和和管理、負負責安排排系統(tǒng)連連續(xù)性的的計劃和和演練，并并負責系系統(tǒng)容量量的規(guī)劃劃和監(jiān)控控。5）、主要要負責與與用戶的的溝通，對對供應商商的管理理，以及及項目的的預/決決算的管管理。362212能力力要求：熟悉服服務部的的各種服服務管理理流程，具具有較強強的內(nèi)部部協(xié)調(diào)能能力。 由管管理者代代表授權(quán)權(quán)技術(shù)服服務事業(yè)業(yè)部總監(jiān)監(jiān)，按IISO/IECC

25、 2000000的要求求，負責責協(xié)調(diào)和和組織所所有與IIT服務務有關的的活動，通通過管理理和實施各項活動，使使IT服務務業(yè)務的的質(zhì)量得得到有效效的保持持和維護護。 技術(shù)術(shù)服務事事業(yè)部組組織制訂訂、批準準和發(fā)布布公司IIT服務務策略、服服務目標標，并使使其成為為公司關關注的焦焦點，成成為公司司協(xié)調(diào)、統(tǒng)統(tǒng)一、凝凝聚公司司的所有有活動和和資源的的準則，成成為建立立、實施施、保持持并改進進IT服務務管理體體系的宗宗旨。3633公司 ITT服務策策略：客戶至上、全全員參與與、創(chuàng)新新高效、系系統(tǒng)管理理、追求求卓越公司 ITT服務目目標：公司通過服服務質(zhì)量量改進程程序確定定年度服服務質(zhì)量量目標 公司司的IT

26、T服務目目標按IISO/IECC 2000000的要求求，與公公司的業(yè)業(yè)務相結(jié)結(jié)合，并并通過流流程績效效不斷提提高和改改進。 技術(shù)術(shù)服務事事業(yè)部負負責組織織相關部門門，通過過會議、評評審、書書面報告告、培訓訓等方式式，及時時有效溝溝通工作作，達到到IT服務務管理目目標和持持續(xù)改進進的需求求，并在在公司中中積極貫貫徹實施施IT服務務管理的的重要性性。技術(shù)服務事事業(yè)部負負責組織織相關部門門按照PPDCAA的要求求，通過過對所屬屬業(yè)務的的規(guī)劃，適適時優(yōu)化化和提供供資源以以計劃、實實施、監(jiān)監(jiān)控、評評審和改改進ITT服務的的交付和和管理。 管理者代代表按照照服務務質(zhì)量改改進管理理程序中中的計劃劃間隔，由

27、由技術(shù)服服務事業(yè)業(yè)部負責責組織相相關部門門實施IIT服務務管理體體系的內(nèi)內(nèi)部審核核，確保保IT服務管體體系的有有效性與與符合性性。管理者代表表按照服服務質(zhì)量量改進管管理程序序中的的計劃間間隔，組組織相關關部門執(zhí)執(zhí)行ITT服務管管理體系系的管理理評審，確確保ITT服務管管理體系系持續(xù)的的穩(wěn)定、充充分和有有效。3644文件要要求36441公公司的文文件管理理體系分分為A、BB、C、DD四層，即即A層為為管理手手冊、BB層為程程序文件件、C層層為工作作流程或或規(guī)定、DD層為記記錄。36442管管理手冊冊 描述ITT服務管管理體系系的文件件，是全全體員工工必須長長期遵循循的法規(guī)規(guī)性文件件。36443程

28、程序文件件 覆蓋公公司主要要業(yè)務過過程的流流程文件件，是管管理手冊冊的支撐撐性文件件。36444工工作流程程或規(guī)定定 是開開展具體體業(yè)務工工作的規(guī)規(guī)范類、指指導性文文件，是是程序文文件的支支持性文文件。36445記記錄 在開開展具體體業(yè)務工工作過程程中產(chǎn)生生的記錄錄類文件件，主要要是為具具體工作作結(jié)果提提供各種種可追溯溯性證據(jù)據(jù)。36446技技術(shù)服務務事業(yè)部部負責組織織制訂文文件和記記錄管理理程序，明明確文件件的擬制制、批準準、發(fā)放放、變更更、存檔檔等管理理要求，并并監(jiān)控實施施。36447技技術(shù)服務務事業(yè)部部負責組組織相關關部門，根根據(jù)公司司的業(yè)務務特點及及標準的的要求，制制訂相關關的程序序文

29、件，經(jīng)經(jīng)公司管管理者代代表批準準后實施施。36448技技術(shù)服務務事業(yè)部部負責組組織擬制制與本部部門業(yè)務務相關的的各類CC層文件件，并按按文件件和記錄錄管理程程序的的要求對對文件和和記錄的的有效性性進行管管理。4信息安全全管4.1總要要求4.1.11 公司司根據(jù)整整體業(yè)務務活動（軟軟件開發(fā)發(fā)、經(jīng)營營、服務務和日常常管理活活動）和和所面臨臨的風險險，按IISO/IECC 2770011:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求規(guī)規(guī)定，參參照ISSO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實用規(guī)規(guī)則標標準，建建立、實實施、運運作、監(jiān)監(jiān)控、維

30、維護并改改進文件件化的信信息安全全管理體體系。4.1.22本手冊冊使用的的過程基基于PDDCA模模式。相關文件：信息安全全方針及及目標4.2建立立和管理理信息安安全管理理體系（ISMS）4.2.11建立ISSMS4.2.11.1 信息安安全管理理體系的的范圍和和邊界本公司根據(jù)據(jù)業(yè)務特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了范圍圍和邊界界，本公公司信息息安全管管理體系系的范圍圍包括：a) 本公公司涉及及軟件開開發(fā)、營營銷、服服務和日日常管理理的業(yè)務務系統(tǒng)；b) 與所所述信息息系統(tǒng)有有關的活活動；c) 與所所述信息息系統(tǒng)有有關的部部門和所所有員工工；d) 所述述活動、系系統(tǒng)及支支持性

31、系系統(tǒng)包含含的全部部信息資資產(chǎn)。組織范圍：本公司根據(jù)據(jù)組織的的業(yè)務特特征和組組織結(jié)構(gòu)構(gòu)定義了了信息安安全管理理體系的的組織范范圍，見見本手冊冊JINN/QMM3.22公司信息息安全管管理體系系組織架架構(gòu)。物理范圍：本公司根據(jù)據(jù)組織的的業(yè)務特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了信息息安全管管理體系系的物理理范圍和和信息安安全邊界界。本公司ISSMS的的物理范范圍為本本公司位位于xxxxxxxxxxxxxxxxxxxx的辦辦公場所所，安全全邊界詳詳見附錄錄A（規(guī)規(guī)范性附附錄）辦辦公場所所平面圖圖。4.2.11.2 信息安安全管理理體系的的方針為了滿足適適用法律律法規(guī)及及相關方方要

32、求，維維持軟件件開發(fā)和和經(jīng)營的的正常進進行，實實現(xiàn)業(yè)務務可持續(xù)續(xù)發(fā)展的的目的。本本公司根根據(jù)組織織的業(yè)務務特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資資產(chǎn)和技技術(shù)定義義了信息息安全管管理體系系方針，見見本信息息安全管管理手冊冊第0.3條款。該信息安全全方針符符合以下下要求：a) 為信信息安全全目標建建立了框框架，并并為信息息安全活活動建立立整體的的方向和和原則；b) 考慮慮業(yè)務及及法律或或法規(guī)的的要求，及及合同的的安全義義務；c) 與組組織戰(zhàn)略略和風險險管理相相一致的的環(huán)境下下，建立立和保持持信息安安全管理理體系；d) 建立立了風險險評價的的準則；e) 經(jīng)最最高管理理者批準準。為實現(xiàn)信息息安全管管理體系

33、系方針，本本公司承承諾：a) 在各各層次建建立完整整的信息息安全管管理組織織機構(gòu)，確確定信息息安全目目標和控控制措施施；明確確信息安安全的管管理職責責，見本本信息安安全管理理手冊第第3.4條款。；b) 識別別并滿足足適用法法律、法法規(guī)和相相關方信信息安全全要求； c) 定期期進行信信息安全全風險評評估，信信息安全全管理體體系評審審，采取取糾正預預防措施施，保證證體系的的持續(xù)有有效性；d）采用先先進有效效的設施施和技術(shù)術(shù)，處理理、傳遞遞、儲存存和保護護各類信信息，實實現(xiàn)信息息共享；e) 對全全體員工工進行持持續(xù)的信信息安全全教育和和培訓，不不斷增強強員工的的信息安安全意識識和能力力；f) 制定定

34、并保持持完善的的業(yè)務連連續(xù)性計計劃，實實現(xiàn)可持持續(xù)發(fā)展展。4.2.11.3 風險評評估的方方法生技部負責責制定信信息安全全風險管管理程序序，建建立識別別適用于于信息安安全管理理體系和和已經(jīng)識識別的業(yè)業(yè)務信息息安全、法法律和法法規(guī)要求求的風險險評估方方法，建建立接受受風險的的準則并并識別風風險的可可接受等等級。信信息安全全風險評評估采用用信息安安全風險險管理軟軟件（Infoo-riiskmmanaagerr）進行行，以保保證所選選擇的風風險評估估方法應應確保風風險評估估能產(chǎn)生生可比較較的和可可重復的的結(jié)果。4.2.11.4 識別風風險在已確定的的信息安安全管理理體系范范圍內(nèi)，本本公司按按信息息安

35、全風風險管理理程序，采采用Innfo-risskmaanagger風風險管理理軟件，對對所有的的資產(chǎn)進進行了識識別，并并識別了了這些資資產(chǎn)的所所有者。資資產(chǎn)包括括硬件、設設施、軟軟件與系系統(tǒng)、數(shù)數(shù)據(jù)、文文檔、服服務及人人力資源源。對每每一項資資產(chǎn)按自自身價值值、信息息分類、保保密性、完完整性、法法律法規(guī)規(guī)符合性性要求進進行了量量化賦值值，根據(jù)據(jù)重要資資產(chǎn)判斷斷依據(jù)確確定是否否為重要要資產(chǎn)，形形成了重重要資產(chǎn)產(chǎn)清單。同時，根據(jù)據(jù)信息息安全風風險管理理程序，識識別了對對這些資資產(chǎn)的威威脅、可可能被威威脅利用用的脆弱弱性、識識別資產(chǎn)產(chǎn)價值、保保密性、完完整性和和可用性性、合規(guī)規(guī)性損失失可能對對資產(chǎn)造

36、造成的影影響。4.2.11.5 分析和和評價風風險本公司按信信息安全全風險管管理程序序，采采用信息息安全風風險管理理軟件，分分析和評評價風險險：a) 針對對重要資資產(chǎn)自身身價值、保保密性、完完整性和和可用性性、合規(guī)規(guī)性損失失導致的的后果進進行賦值值；b) 針對對每一項項威脅、薄薄弱點，對對資產(chǎn)造造成的影影響，考考慮現(xiàn)有有的控制制措施，判判定安全全失效發(fā)發(fā)生的可可能性，并并進行賦賦值；c) 根據(jù)據(jù)信息息安全風風險管理理程序計計算風險險等級；d) 根據(jù)據(jù)信息息安全風風險管理理程序及及風險接接受準則則，判斷斷風險為為可接受受或需要要處理。4.2.11.6 識別和和評價風風險處理理的選擇擇網(wǎng)絡管理部部

37、組織有有關部門門根據(jù)風風險評估估的結(jié)果果，形成成風險險處理計計劃，該該計劃明明確了風風險處理理責任部部門、負負責人、處處理方法法及起始始、完成成時間。對于信息安安全風險險，應考考慮控制制措施與與費用的的平衡原原則，選選用以下下適當?shù)牡拇胧篴) 控制制風險，采采用適當當?shù)膬?nèi)部部控制措措施；b) 接受受風險（不不可能將將所有風風險降低低為零）；c) 避免免風險（如如物理隔隔離）；d) 轉(zhuǎn)移移風險（如如將風險險轉(zhuǎn)移給給保險者者、供方方、分包包商）。4.2.11.7選選擇控制制目標與與控制措措施網(wǎng)絡管理部部根據(jù)信信息安全全方針、業(yè)業(yè)務發(fā)展展要求及及風險評評估的結(jié)結(jié)果，組組織有關關部門制制定了信信息安

38、全全目標，并并將目標標分解到到有關部部門（見見信息息安全適適用性聲聲明）：a)信息安安全控制制目標獲獲得了信信息安全全最高責責任者的的批準。b)控制目目標及控控制措施施的選擇擇原則來來源于IISO/IECC 2770011:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理體系-要求附附錄A，具具體控制制措施參參考ISSO/IIEC 270002:20005信信息技術(shù)術(shù)-安全全技術(shù)-信息安安全管理理實用規(guī)規(guī)則。c)本公司司根據(jù)信信息安全全管理的的需要，可可以選擇擇標準之之外的其其他控制制措施。4.2.11.8 對風險險處理后后的剩余余風險，得得到了公公司最高高管理者者的批準準。4.2.11.

39、9 最高管管理者通通過本手手冊對實實施和運運行信息息安全管管理體系系進行了了授權(quán)。4.2.11.100 適用用性聲明明生技部負責責編制信信息安全全適用性性聲明（SSoA）。該該聲明包包括以下下方面的的內(nèi)容：a)所選擇擇控制目目標與控控制措施施的概要要描述，以以及選擇擇的原因因；b)對ISSO/IIEC 270001:20005附錄錄A中未未選用的的控制目目標及控控制措施施理由的的說明。4.2.22實施和和運行IISMSS 4.2.22.1為為確保信信息安全全管理體體系有效效實施，對對已識別別的風險險進行有有效處理理，本公公司開展展以下活活動：a)形成風風險處理理計劃，以以確定適適當?shù)墓芄芾泶胧?/p>

40、施、職責責及安全全控制措措施的優(yōu)優(yōu)先級；b)為實現(xiàn)現(xiàn)已確定定的安全全目標、實實施風風險處理理計劃，明明確各崗崗位的信信息安全全職責；c)實施所所選擇的的控制措措施，以以實現(xiàn)控控制目標標的要求求；d)確定如如何測量量所選擇擇的控制制措施的的有效性性，并規(guī)規(guī)定這些些測量措措施如何何用于評評估控制制的有效效性以得得出可比比較的、可可重復的的結(jié)果；e)進行信信息安全全培訓，提提高全員員信息安安全意識識和能力力；f)對信息息安全體體系的運運作進行行管理；g)對信息息安全所所需資源源進行管管理；h)實施控控制程序序，對信信息安全全事件（或或征兆）進進行迅速速反應。4.2.22.2 信息安安全組織織機構(gòu)本公

41、司成立立了的信信息安全全領導機機構(gòu)-信信息安全全委員會會，其職職責是實實現(xiàn)信息息安全管管理體系系方針和和本公司司承諾。具具體職責責是：研研究決定定貫標工工作涉及及到的重重大事項項；審定定公司信信息安全全方針、目目標、工工作計劃劃和重要要文件；為貫標標工作的的有序推推進和信信息安全全管理體體系的有有效運行行提供必必要的資資源。本公司由相相關部門門代表組組成信息息安全管管理網(wǎng)絡絡，采用用聯(lián)席會會議（協(xié)協(xié)調(diào)會）的的方式，進進行信息息安全協(xié)協(xié)調(diào)和協(xié)協(xié)作，以以：a) 確保保安全活活動的執(zhí)執(zhí)行符合合信息安安全方針針；b) 確定定怎樣處處理不符符合；c) 批準準信息安安全的方方法和過過程，如如風險評評估、信

42、信息分類類；d) 識別別重大的的威脅變變化，以以及信息息和相關關的信息息處理設設施對威威脅的暴暴露；e) 評估估信息安安全控制制措施實實施的充充分性和和協(xié)調(diào)性性；f) 有效效的推動動組織內(nèi)內(nèi)信息安安全教育育、培訓訓和意識識；g) 評價價根據(jù)信信息安全全事件監(jiān)監(jiān)控和評評審得出出的信息息，并根根據(jù)識別別的信息息安全事事件推薦薦適當?shù)牡拇胧?4.2.22.3信信息安全全職責和和權(quán)限本公司總經(jīng)經(jīng)理為信信息安全全最高責責任者?？偪偨?jīng)理指指定了信信息安全全管理者者代表。無無論信息息安全管管理者代代表在其其他方面面的職責責如何，對對信息安安全負有有以下職職責：a) 建立立并實施施信息安安全管理理體系必必要

43、的程程序并維維持其有有效運行行；b) 對信信息安全全管理體體系的運運行情況況和必要要的改善善措施向向信息安安全領導導小組或或最高責責任者報報告。各部門負責責人為本本部門信信息安全全管理責責任者，全全體員工工都應按按保密承承諾的要要求自覺覺履行信信息安全全保密義義務；各部門、人人員有關關信息安安全職責責分配見見本信息息安全管管理手冊冊第3.4條款信信息安全全管理職職責明細細表和和相應的的程序文文件。4.2.22.4 各部門門應按照照信息息安全適適用性聲聲明中中規(guī)定的的安全目目標、控控制措施施（包括括安全運運行的各各種控制制程序）的的要求實實施信息息安全控控制措施施。4.2.33監(jiān)控和評審ISMM

44、S 4.2.33.1本本公司通通過實施施不定期期安全檢檢查、內(nèi)內(nèi)部審核核、事故故（事件件）報告告調(diào)查處處理、電電子監(jiān)控控、定期期技術(shù)檢檢查等控控制措施施并報告告結(jié)果以以實現(xiàn)：a)及時發(fā)發(fā)現(xiàn)處理理結(jié)果中中的錯誤誤、信息息安全體體系的事事故（事事件）和和隱患；b)及時了了解識別別失敗的的和成功功的安全全破壞和和事件、信信息處理理系統(tǒng)遭遭受的各各類攻擊擊；c)使管理理者確認認人工或或自動執(zhí)執(zhí)行的安安全活動動達到預預期的結(jié)結(jié)果；d)使管理理者掌握握信息安安全活動動和解決決安全破破壞所采采取的措措施是否否有效；e)積累信信息安全全方面的的經(jīng)驗;4.2.33.2根根據(jù)以上上活動的的結(jié)果以以及來自自相關方方

45、的建議議和反饋饋，由總總經(jīng)理主主持，每每年至少少一次對對信息安安全管理理體系的的有效性性進行評評審，其其中包括括信息安安全范圍圍、方針針、目標標的符合合性及控控制措施施有效性性的評審審，考慮慮安全審審核、事事件、有有效性測測量的結(jié)結(jié)果，以以及所有有相關方方的建議議和反饋饋。管理理評審的的具體要要求，見見本手冊冊第7章章。4.2.33.3 網(wǎng)絡管管理部應應組織有有關部門門按照信信息安全全風險管管理程序序的要要求，采采用信息息安全風風險管理理軟件，對對風險處處理后的的殘余風風險進行行定期評評審，以以驗證殘殘余風險險是否達達到可接接受的水水平，對對以下方方面變更更情況應應及時進進行風險險評估：a)

46、組織織； b) 技術(shù)術(shù)；c) 業(yè)務務目標和和過程；d) 已識識別的威威脅；e) 實施施控制的的有效性性； f) 外部部事件，例例如法律律或規(guī)章章環(huán)境的的變化、合合同責任任的變化化以及社社會環(huán)境境的變化化。4.2.33.4按按照計劃劃的時間間間隔進進行信息息安全管管理體系系內(nèi)部審審核，內(nèi)內(nèi)部審核核的具體體要求，見見本手冊冊第6章章。4.2.33.5定定期對信信息安全全管理體體系進行行管理評評審，以以確保范范圍的充充分性，并并識別信信息安全全管理體體系過程程的改進進，管理理評審的的具體要要求，見見本手冊冊第7章章。4.2.33.6考考慮監(jiān)視視和評審審活動的的發(fā)現(xiàn)，更更新安全全計劃。4.2.33.7

47、記記錄可能能對信息息安全管管理體系系有效性性或業(yè)績績有影響響的活動動和事情情。4.2.44保持與與持續(xù)改改進ISSMS我公司開展展以下活活動，以以確保信信息安全全管理體體系的持持續(xù)改進進：a) 實施施每年管管理評審審、內(nèi)部部審核、安安全檢查查等活動動以確定定需改進進的項目目；b) 按照照內(nèi)部部審核管管理程序序、糾糾正措施施管理程程序、預預防措施施管理程程序的的要求采采取適當當?shù)募m正正和預防防措施；吸取其其他組織織及本公公司安全全事故（事事件）的的經(jīng)驗教教訓，不不斷改進進安全措措施的有有效性；c) 通過過適當?shù)牡氖侄伪１３衷趦?nèi)內(nèi)部對信信息安全全措施的的執(zhí)行情情況與結(jié)結(jié)果進行行有效的的溝通。包包括

48、獲取取外部信信息安全全專家的的建議、信信息安全全政府行行政主管管部門的的聯(lián)系及及識別顧顧客對信信息安全全的要求求等；d) 對信信息安全全目標及及分解進進行適當當?shù)墓芾砝?，確保保改進達達到預期期的效果果。相關文件：系統(tǒng)風險險評估方方法適用性聲聲明管理評審審程序內(nèi)部審核核控制程程序糾正措施施控制程程序預防措施施控制程程序4.3文件件要求 4.3.11總則 ISMS文文件應包包括： a) 形成成文件的的ISMMS方針針和控制制目標； b) ISSMS范范圍c) ISSMS的的支持性性程序和和控制措措施； d) 風險險評估方方法的描描述； e) 風險險評估報報告； f) 風險險處置計劃； g) 公司司

49、為確保保其信息息安全過過程的有有效策劃劃、運行和和控制以以及規(guī)定定如何測測量控制制措施有有效性所所需的程程序文件件； h) 標準準所要求求的記錄錄； i) 適用用性聲明明。 所有文件應應按ISSMS方方針要求求在需要要時可獲獲得。 4.3.22文件控控制 ISMS所所要求的的文件應應予以保保護和控控制，應編制制形成文文件的程程序以規(guī)規(guī)定以下下方面所所需的管管理措施施：a) 文件件發(fā)布前前得到批批準以確確保文件件是充分分的； b) 必要要時對文文件進行行評審與與更新并并再次批批準； c) 確保保文件的的更改和和現(xiàn)行修修訂狀態(tài)態(tài)得到識識別； d) 確保保在使用用處可獲獲得適用用文件的的適用版版本；

50、 e) 確保保文件保保持合法法并易于識識別； f) 確保保外來文文件得到到識別； g) 確保保文件的的分發(fā)是是受控的的； h) 防止止作廢文文件的非非預期使使用； i) 若因因任何原原因而保保留作廢廢文件時時對這些些文件進進行適當當?shù)臉俗R識； 4.3.33記錄控控制 應建立并保保持記錄錄，以提提供符合合要求和和ISMMS有效效運行的的證據(jù)。記記錄應得得到保護護并且受受控。IISMSS應考慮慮相關法法律要求求，記錄錄應易于于識別和和檢索。應應編制形形成文件件的程序序，以規(guī)規(guī)定記錄錄的識別別、貯存存、保護護、檢索索、保存存期限和和處置所所需的控控制，確確定記錄錄需要和和程度的的管理過過程。 保持過

51、程業(yè)業(yè)績的記記錄以及及與ISSMS有有關的安安全事件件的記錄錄。例如如，記錄錄包括訪訪問者登登記審核核記錄和和訪問授授權(quán)。 相關文件：文件控制制程序記錄控制制程序5 管理理職責5.1管理理承諾 管理層應通通過以下下措施對對其建立立、實施施、運行行、監(jiān)控控、評審審、維護護和改進進ISMMS的承承諾提供供證據(jù)。 a) 建立立信息安安全方針針； b) 確保保信息安安全目標標和計劃劃的建立立； c) 為信信息安全全分配角角色和職職責； d) 向公公司傳達達滿足信信息安全全目標、符符合信息息安全方方針、法律責責任和持持續(xù)改進進的重要要性； e) 提供供足夠的的資源以以建立、實實施、運運行、監(jiān)監(jiān)控、評評審

52、、維維護和改改進ISSMS； f) 決定定可接受受風險的的標準和和可接受受風險的的等級； g) 確保保ISMMS內(nèi)部部審核的的執(zhí)行； h) 進行行ISMMS管理理評審。 相關文件：信息安全全方針和和目標部門職責責管理評審審程序系統(tǒng)風險險評估方方法5.2 資源管管理 5.2.11資源提提供 公司應確定定和提供供以下方方面所需需的資源源 a) 建立立建立、實實施、運行、監(jiān)監(jiān)控、維維護和改改進ISSMS b) 確保保信息安安全程序序支持業(yè)業(yè)務需求求； c) 識別別并確定定法律法法規(guī)要求求和合同同安全責責任； d) 通過過正確應應用所有有實施的的控制措措施的來來維持足夠夠的安全全； e) 必要要時進行

53、行評估，并并對評估結(jié)果采采取適當當?shù)膶獞胧?f) 必要要時改進進ISMMS的有有效性。 5.2.22培訓、意識和和能力 公司應確保保在ISSMS中中任命職職責的人人員應能能夠勝任任要求的的任務 a) 確定定從事影影響信息息安全工工作的人人員所必必需的能能力； b) 提供供足夠的的能力培培訓或其其它措施施，必要要時聘用用有能力力的人員員滿足這這些要求求； c) 評估估所提供供的培訓訓和采取取措施的的有效性性； d) 保持持教育、培訓、技能、經(jīng)驗和和資質(zhì)的的適當記記錄。 公司應確保保員工認認識到所所從事信信息安全全活動的的相關性性和重要要性，以以及如何何為實現(xiàn)現(xiàn)ISMMS目標標作出貢貢獻。相

54、關文件：人力資源源管理控控制程序序6 ISSMS內(nèi)內(nèi)部審核核公司應按計計劃的時時間間隔隔進行IISMSS內(nèi)部審審核，以確定定控制目目標、控制措施施、過程程和程序序是否： a) 符合合標準及及相關法法律法規(guī)規(guī)的要求求； b) 符合合確定的的信息安安全要求求； c) 得到到有效地地實施和和維護； d) 按期期望運行行。 內(nèi)部審核程程序應進進行計劃劃，并考慮慮受審核核過程的的狀況、重重要性和和受審核核的區(qū)域域以及上上次審核核結(jié)果，應應規(guī)定審審核準則則、范圍圍、頻次次和方式式，審核核員的選選擇和審審核活動動應保證證審核過過程的客客觀和公公正，審審核員不不能審核核自己的的工作。應建立形成成文件的的程序，

55、以以規(guī)定策策劃和實實施審核核的職責責和要求求以及報報告結(jié)果果和保持持記錄。 受審核區(qū)域域的負責責人應確確保立即即采取措措施，以以消除發(fā)發(fā)現(xiàn)的不不符合及及其原因因。改進進措施包包括所采采取措施施的驗證證并匯報報驗證結(jié)結(jié)果。相關文件：內(nèi)部審核核控制程程序7 ISSMS管管理評審審7.1總則則 管理者應按按策劃的的時間間間隔評審審公司的的ISMMS（至至少一年年一次），以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價ISMS改進的機會和變更的需要，包括安全方針和安全目標的適宜性。評審結(jié)果應清楚地寫入文件應保持記錄。 7.2管理理評審輸輸入 管理評審的的輸入應應包括以以下方面面的信息息： a) I

56、SSMS審審核（包包括內(nèi)審審和外審審）和管管理評審審的結(jié)果果； b) 相關關方（客客戶、供供應商、內(nèi)內(nèi)部員工工等）的的反饋； c) 公司司用于改改進ISSMS業(yè)業(yè)績和有有效性的的技術(shù)、產(chǎn)產(chǎn)品或程程序的發(fā)發(fā)展及變變化； d) 預防防和糾正措措施的實實施情況況； e) 上次次風險評評估未充充分指出出的弱點點或威脅脅； f) 體系系有效性性測量的的結(jié)果； g) 上次次管理評評審所采采取措施施的跟蹤蹤驗證； h) 影響響ISMMS的變變更，如如信息安安全組織織架構(gòu)變變化等； i) 改進進的建議議。7.3管理理評審輸輸出 管理評審的的輸出應應包括與與以下方方面有關關的任何何決定和和措施 a) ISSMS

57、有有效性的的改進 b) 風險險評估和和風險處處理計劃劃的更新新 c) 必要要時修訂訂影響信信息安全全的程序序和控制制措施，以以反映可可能影響響ISMMS的內(nèi)內(nèi)外事件件，包括括以下變變化 1 業(yè)務需需求； 2 安全需需求； 3 影響已已有業(yè)務務需求的的業(yè)務過過程； 4 法律法法規(guī)環(huán)境境； 5 合同義義務； 6 風險和和/或風風險接受受準則。 d) 資源源需求e)針對被被測量的的控制措措施有效效性的改改進相關文件：管理評審審程序8 ISMMS的改進8.1持續(xù)續(xù)改進 公司應通過過應用信信息安全全方針、安安全目標標、審核核結(jié)果、監(jiān)控事件的分析、糾正和預防措施和管理評審，持續(xù)改進ISMS的有效性。 8.

58、2糾正正措施 公司應采取取措施消消除ISSMS實實施和運運行的不不符合原原因，以以防止其其再發(fā)生生。糾正正措施文文件程序序應規(guī)定定以下方方面的要要求。 a) 識別別ISMMS實施施和運行行的不符符合項； b) 確定定不符合合的原因因； c) 評價價確保不不符合不不再發(fā)生生所需的的措施； d) 決定定和實施施所需的的糾正措措施； e) 記錄錄所采取取措施的的結(jié)果； f) 評審審所采取取的糾正正措施。 8.3預防防措施 公司應決定定措施以以防范未未來的不不符合，防防止發(fā)生生采取的的預防措措施應與與潛在問問題的影影響相匹匹配，預預防措施施文件程程序應規(guī)規(guī)定以下下方面的的要求。 a) 確定定潛在不不符

59、合及及其原因因；b) 評價價預防不不符合發(fā)發(fā)生所需需的措施施；c) 決定定實施所所需的預預防措施施； d) 記錄錄所采取取措施的的結(jié)果； e) 評審審所采取取的預防防措施。公司應識別別發(fā)生變變化的風風險，并并通過關關注變化化顯著的的風險來來識別預預防措施施要求。應應根據(jù)風風險評估估結(jié)果來來確定預預防措施施的優(yōu)先先級。相關文件：糾正措施施控制程程序 預防措施施控制程程序 IT服務管管理服務管理規(guī)規(guī)劃和實實施在開展ITT服務管管理的活活動中，PPDCAA原理貫貫穿于IIT服務務管理體體系的全全部流程程，其中中：P（計劃） 根根據(jù)客戶戶要求和和公司策策略建立立目標和和流程。D（實施） 實實施流程程。

60、C（檢查） 根根據(jù)策略略、目標標和要求求對過程程和服務務進行監(jiān)監(jiān)控、測測量，并并報告結(jié)結(jié)果。A（改進） 采采取措施施以持續(xù)續(xù)改進流流程的性性能。計劃服務管管理 服務務部向客客戶提供供三大服服務項目目：常駐駐現(xiàn)場技技術(shù)服務務、定期期巡檢技技術(shù)服務務、咨詢詢規(guī)劃設設計服務務。甘肅肅萬維公公司為不不斷滿足足市場需需求和企企業(yè)自身身發(fā)展需需要，將將在未來來將原有有的三大大技術(shù)服服務內(nèi)容容重新規(guī)規(guī)劃和設設計，細細化成六六大服務務內(nèi)容：基礎設設施服務務、運維維服務、專專業(yè)技術(shù)術(shù)服務、IIT安全全服務、咨咨詢設計計評估服服務、培培訓服務務。從而而實現(xiàn)在在堅持原原有行業(yè)業(yè)內(nèi)的服服務的基基礎上向向行業(yè)外外擴展的