ISO27001-2022最新版信息安全管理手册+程序文件全套.docx

《ISO27001-2022最新版信息安全管理手册+程序文件全套.docx》由会员分享，可在线阅读，更多相关《ISO27001-2022最新版信息安全管理手册+程序文件全套.docx（183页珍藏版）》请在三一办公上搜索。

1、编号：ISMSTO1-2023版本号：VI.0受控状态：受控【组织名称】信息安全管理手册(依据IS0IECFDIS27001:2022)文档信息文档编号：ISMS-M01-2023文档分类：内部公开-受控编写：审核：批准：初次发布日期：生效日期：修订日期：版本记录版本号版本日期修改审批人修改履历VI.0创建文档0.1信息安全管理手册发布令50.2管理者代表委任书61、范围72、规范性引用文件73、定义和术语73.1信息安全定义73.2术语83.3缩写84、组织环境91. 1理解组织及其环境92. 2理解相关方的需求和期望94. 3确定信息安全管理体系范围94.4信息安全管理体系105、领导10

2、5. 1领导和承诺105. 2方针105.3组织的角色，责任和权限116、规划116. 1应对风险和机会的措施116.1 信息安全目标和实现规划136.2 变更管理147、支持147. 1资源147.1 能力147.2 意识147.3 沟通147.4 文件化信息158、运行168.1 运行规划和控制168. 2信息安全风险评估178.3信息安全风险处置179、绩效评价179.1监视、测量、分析和评价179.2内部审核189. 3管理评审199. 3.1总则1910、改进2010. 1不符合和纠正措施2010.2持续改进20附件1组织结构图22附录2职能分配表23附件3部门职责30附件4信息安全

3、职责说明书320.1信息安全管理手册发布令公司依据ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求（以下简称信息安全管理体系）标准的要求，结合公司的实际情况，在公司内部建立信息安全管理体系，组织编写了信息安全管理手册，经审定符合国家、地方及行业的有关法律法规和本公司的实际情况，现予以发布。信息安全管理手册是公司日常信息流转管理活动必须遵循的纲领性文件，本公司将按信息安全管理手册的规定要求组织本公司进行各项业务活动。全体员工必须认真学习，准确理解其内容，并严格遵照执行。自本手册发布令签批之日起，本公司信息安全管理体系进入实施运行阶段。【组织名称】总经理:

4、2022年12月01日O.2管理者代表委任书为贯彻执行ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求。加强对公司体系运作的领导，特委任任公司信息安全管理体系的管理者代表。管理者代表的职责是：(1)确保按照标准的要求，进行资产识别和风险评估，全面建立、实施、运行、监视、评审、保持和改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性：(2)就信息安全管理体系有关事宜进行内外部联络，组织、指挥、监督、协调各部门体系的运作：(3)确保在整个组织内提高信息安全风险的意识；(4)审核风险评估报告、风险处理计划，并监督其执行情况，并向总经理汇报残余风险

5、：(5)收集整理各部门的管理评审输入材料，进行汇总，并在管理评审会议上向总经理报告；(6)向总经理报告信息安全管理体系的现状和任何改进的需求，包括信息安全管理体系运行情况、内外审核情况。本授权书自发布之日起生效执行。【组织名称】总经理：2022年12月01日1范围公司依据信息安全管理体系标准的要求编制信息安全管理手册，并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标，引用了信息安全管理体系的内容，对标准中的第4章到第10章的内容，不做任何删减。a）注册地址：。b）运营地址：。c）体系范围：。d）组织范围：公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心

6、。e）资产范围：与D所述业务活动2）组织范围内及3）物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。2、规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。信息安全、网络安全和隐私保护信息安全管理体系要求一概述和词汇。3、定义和术语本手册旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏，以求保证信息的保密性、完整性、可用性和可追责性，使信息保隙能正确实施、信息系统能按策划运行、信息服务能满

7、足法律法规与顾客要求。3.1 信息安全定义信息安全保密防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识，控制。即确保信息的完整性、保密性，可用性和可控性。避免攻击者利用系统的安全保密漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是充分保护本组织信息资产并给予相关方信心。3.2 术语本手册中使用术语的定义采用ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求中有关术语的定义。3.3 缩写1. ISMS：Informationsecurity,cybersecurityandprivacyprotectionInformat

8、ionsecuritymanagementsystems一Requirements信息安全、网络安全和隐私保护信息安全管理体系要求；2. SOA:StatementofApplicability适用性声明；3. PDCA:PlanDoCheckAction计划、实施、检查、改进;4、组织环境4.1 理解组织及其环境管理层确定与公司意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。4.2 理解相关方的需求和期望管理运营部应确定信息安全管理体系要求的相关方及其信息安全要求，相关的信息安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要

9、的管理。相关方的要求可包括法律法规要求和合同义务。本公司所属相关方及其要求和期望如下表：相关方识别原因信息安全要求和期望更新频率识别方法政府职能单位严格执行国家法律法规落实国家法律法规要求依据法律法规发布周期关注政府网站第三方认证服务机构符合体系标准和服务资质要求方可通过认证法律法规及相关资质的信息安全要求认证标准发布周期与认证机构联系客户业务往来/合同关系服务和合同中要求和约定的信息安全内容合同要求更新周期合同供方合同关系合同中要求和约定的信息安全内容合同要求更新周期合同管理层决策公司的信息安全管理工作公司信息安全策略公司重要的商业信息/敏感信息的保密性不定期定期不定期汇报、管理评审公司员工

10、公司信息安全工作执行层各职能部门实际工作中的信息安全要求个人信息及隐私安全不定期公司会议4.3 确定信息安全管理体系范围本公司ISMS的范围包括a）物理范围：注册地址：。运营地址：。b)业务范围：。c)组织范围：公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。d)资产范围：与所述业务活动、组织范围内及物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。4.4 信息安全管理体系本公司按照信息安全管理体系标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA模

11、式。5、领导5.1 领导和承诺总经理应通过以下方式证明信息安全管理体系要求的领导力和承诺：a) 确保信息安全策略和信息安全目标已建立，并与公司战略方向一致；b) 确保将信息安全管理体系要求要求融合到日常管理过程中；c) 确保信息安全管理体系要求所需资源可用；d) 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求要求的重要性；e) 确保信息安全管理体系要求达到预期结果；0指导并支持相关人员为信息安全管理体系要求有效性做出贡献；g) 促进持续改进；h) 支持管理运营部及各部门的负责人，在其职责范围内展现领导力。5.2 方针公司管理层应建立信息安全方针：a) 适合组织的宗旨；b) 包括信息

12、安全目标(见6.2),或为建立信息安全目标提供框架；c) 包括满足有关信息安全适当要求的承诺；d) 包括ISMS持续改进的承诺。公司的信息安全管理方针：预防为主，完善管理，持续改进，保证安全。对于信息安全方针的解释:将管理与技术相结合，建立完整的信息安全管理体系要求。安全管理的基本原理，防患于未然，预防大于亡羊补牢；采用适宜的、充分的、有效的控制措施来纠正和预防信息安全事态。控制风险是前提,风险自身是动态的过程。本公司在运行过程中需要审时度势、量体裁衣、因地制应，逐步的修订现有制度，不停的完善自身管理水平。上述方针的批准、发布及修订由公司总经理负责；信息安全方针是以文档化的身份可用的，通过培、

13、宣贯等方式使得本公司员工知晓并执行相关内容；通过有效途径告知服务相关方及客户，以提高安全保密意识及服务水平；并定期通过管理评审控制程序评审其适用性、充分性，必要时予以修订。5.3 组织的角色，责任和权限公司管理层决定全公司的组织机构和各部门的职责（包括信息安全职责），并形成文件，具体内容见附录3/4。各部门的信息安全管理职责决定本部门组织形式和业务分担，并形成文件，具体内容见附录B职能分配表。总经理为本公司信息安全的最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门应按照信息安全适用性声明中规定的安全目标、控制措施（

14、包括安全运行的各种控制程序）的要求实施信息安全控制措施。6、规划6.1应对风险和机会的措施6L1总贝!公司针对公司内部和公司外部的实际情况，和相关方的要求，确定公司所需应对的信息安全方面的风险。在己确定的ISMS范围内，针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。管理运营部制定信息安全风险评估管理程序，经管理运营部组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见信息安全风险评估管理程序。6L2信息安全风险评

15、估6.1.2.1 风险评估的系统方法管理运营部制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于信息安全风险评估管理程序。6.1.2.2 资产识别在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。6.1.2.3 估风险a) 针对每一项信息资产、记录、信息资产所处的环境等因素，识别出所有信息资产所面临的威胁；b) 针对每一项威胁，识别出被该威胁可能利用的薄弱

16、点；c) 针对每一项薄弱点，列出现有的控制措施，并对控制措施有效性赋值；同时考虑威胁利用脆弱性的容易程度，并对容易度赋值；d) 判断个威胁发生后可能对信息资产在保密性(C)、完整性和可用性（八）方面的损害，进而对公司业务造成的影响，计算信息资产的安全事件的可能性和损失程度。e) 考虑安全事件的可能性和损失程度两者的结合，计算信息资产的风险值。0根据信息安全风险评估管理程序的要求确定资产的风险等级。g) 对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风险为不可接受风险，该准则在信息安全风险评估管理程序有详细规定，并在h) 风险评估报告中进行系统汇报并

17、针对结果处理意见获得总经理批准。i) 获得总经理对建议的残余风险的批准，残余风险应该在残余风险评价报告上留下记录，并记录残余风险处置批示报告。j) 获得管理者对实施和运行ISMS的授权。TSMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。6L3信息安全风险处置6.13.1风险处理方法的识别与评价管理运营部应组织有关部门根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任部门、方法及时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a） 采用适当的内部控制措施；b） 接受某些风险（不可能将所有风险降低为零）；C）回避某些风险

18、（如物理隔离）：d）转移某些风险（如将风险转移给保险者、供方、分包商）。6.1.3.2选择控制目标与控制措施管理运营部根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标。信息安全目标应获得总经理的批准。控制目标及控制措施的选择原则来源于附录Ao本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。6.1.33适用性声明SOA管理运营部编制信息安全适用性声明（SOA）。该声明包括以下方面的内容：a） 所选择控制目标与控制措施的概要描述；b） 对ISO/IECFDIS27001:2022附录A中未选用的控制目标及控制措施理由的说明。6.1.3.4残余风险对风险处理

19、后的残余风险应形成残余风险评估报告并得到总经理的批准。管理运营部应保留信息安全风险处置过程的文件化信息。6.2信息安全目标和实现规划根据公司的信息安全方针，经过总经理确认。公司的信息安全管理目标为：a）受控信息泄露的事态发生Wl起；b）顾客保密性投诉的次数每年不超过1起；c）信息安全培训率299%；d）信息安全事件导致的故障/事态未能在规定时间内恢复的次数WO起/年管理运营部根据适用性声明、信息资产风险评估表中风险处理计划所选择的控制措施，明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照信息安全目标及有效性测量程序的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结

20、果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。6.3变更管理当公司确定需要对信息安全管理体系进行变更时，应以策划的方式进行。7、支持7.1 资源总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。7.2 能力人力资源部应：a) 确定公司全体员工影响公司信息安全绩效的必要能力；b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；c) 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d) 保留适当的文件化信息作为能力的证据。注：适用的措施可包括，对新入职员工进行的信息安全意识教育：定期对公司员工进行的业务实施过程中

21、的信息安全管理相关的培训等。7.3 意识公司全体员工应了解：a) 公司的信息安全方针；b) 个人其对公司信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；C)不符合信息安全管理体系要求要求带来的影响。7.4 沟通管理运营部负责确定与信息安全管理体系要求相关的内部和外部的沟通需求，包括:沟通对象沟通机制与形式沟通内容沟通频率沟通责任部n信息安全注意事项政府职能单位文件通知下发落实国家法律法规要求按需管理运营部信息及时沟通客户客户满意度调查改善服务，提升客户满意度客户对信息安全的要求信息安全相关情况及问题沟通信息安全事件上报期生定发时管理运营部安全质量部信息保密性员工公司例会/信息安全

22、意识培训信息安全目标和方针信息安全制度要求信息安全职责信息安全意识调查不定期人力资源部个人信息保密性供方供应商评价项目合作邮件往来电话咨询供应商服务评价公司信息安全要求信息安全事件响应和处理定期采购部信息化中心客户信息不得泄露7.5 文件化信息7.5.1 总贝!1公司的信息安全管理体系应包括：a) 本标准要求的文件化信息；b) 管理运营部确保信息安全管理体系的有效运行，需编制文件控制程序用以管理公司信息安全管理体系的相关文件。7.5.2 创建和更新创建和更新文件化信息时，管理运营部应确保适当的：a) 标识和描述(例如标题、日期、作者或编号)；b) 格式(例如语言、软件版本、图表)和介质(例如纸

23、质、电子介质)；c) 对适宜性和充分性的评审和批准。753文件化信息的控制信息安全管理体系要求及本标准所要求的文件化信息应予以控制，以确保：a) 在需要的地点和时间，是可用和适宜的；b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。c) 为控制文件化信息，适用时，科技规划部应开展以下活动：d) 分发，访问，检索和使用；e) 存储和保护，包括保持可读性；控制变更（例如版本控制）：g）保留和处置。管理运营部需在文件控制程序中规划和运行信息安全管理体系要求所必需的外来的文件化信息，应得到适当的识别，并予以控制。8、运行8.1 运行规划和控制为确保TSMS有效实施，对已识别的风险进行

24、有效处理，本公司开展以下活动：a） 形成信息安全风险处理计划，以确定适当的管理措施、职责及安全保密控制措施的优先级，应特别注意公司外包过程的确定和控制；对于系统集成服务项目，项目经理应在项目策划阶段识别所面临的信息安全风险，并在项目全过程中对信息安全风险进行监控和更新。b） 为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；c） 实施所选择的控制措施，以实现控制目标的要求；d） 进行信息安全培训，提高全员信息安全意识和能力；e） 对信息安全体系的运作进行管理，控制计划了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响；D对信息安全所需资源进行管理；g）实施控制程序

25、，对信息安全事故（或事件）进行迅速反应。总经理为本公司信息安全最高责任者。管理运营部制定全公司的组织机构和各部门的职责（包括信息安全职责），并形成文件。管理运营部成员负责完成信息安全管理体系运行时必须的任务；对信息安全管理体系的运行情况和必要的改善措施向总经理报告。各部门负责人作为本部门信息安全的主要责任人，信息安全内审员负责指导和监督本部门信息安全管理体系要求的运行与实施，并形成文件：全体员工都应按保密承诺的要求自觉履行信息安全义务。各部门应按照信息安全适用性声明中规定的安全保密目标、控制措施（包括安全保密运行的各种控制程序）的要求实施信息安全控制措施。管理运营部应对满足信息安全要求及实施6

26、.1中确定的措施所需的过程予以规划、实施和控制，同时应实施计划以实现6.2中确定的信息安全目标。管理运营部应保持文件化信息达到必要的程度，以确信过程按计划得到执行。管理运营部应控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻负面影响。各部门确定本部门业务过程中的外部提供的过程、产品和服务，并对这些过程进行必要的控制。8.2 信息安全风险评估公司按照组织信息安全风险管理程序的要求，每年定期或当重大变更提出或发生时，执行信息安全风险评估。每次风险评估的过程均需形成记录，并由管理运营部保留每次风险评估的记录，如：风险评估报告、风险处理计划等。8.3 信息安全风险处置为确保ISMS有效实施，

27、对已识别的风险进行有效处理，本公司开展以下活动：a) 形成风险处理计划，以确定适当的管理措施、职责及安全保密控制措施的优先级；b) 为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；c) 实施所选择的控制措施，以实现控制目标的要求；d) 进行信息安全培训，提高全员信息安全意识和能力；e) 对信息安全体系的运作进行管理；D对信息安全所需资源进行管理；管理运营部负责组织相关人员，定期检查风险处理计划的执行情况，并保留信息安全风险处置结果的文件化信息。9、绩效评价5.1 监视、测量、分析和评价本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查

28、方式检查信息安全管理体系运行的情况，并报告结果以实现：a) 及时发现信息安全体系的事故和隐患；b) 及时了解信息处理系统遭受的各类攻击；c) 使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；d) 积累信息安全方面的经验。按照计划的时间间隔(不超过一年)进行ISMS内部审核，内部审核的具体要求，见本手册9.2要求。根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈，由最高责任者主持，每年对ISMS的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求，见本手册9.3要求。管理者代表应组织有关部门按照信息安全风险评估管理程序的

29、要求对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以卜方面变更情况应及时进行风险评估:a)组织机构发生重大变更；b)信息处理技术发生重大变更；c)公司业务目标及流程发生重大变更；d)发现信息资产面临重大威胁；e)外部环境，如法律法规或信息安全标准发生重大变更。f)保持上述活动和措施的记录。以上活动的详细程序规定于以下文件中：监视与测量管理程序信息安全风险评估管理程序内部审核管理程序5.2 内部审核内部信息安全审核主要指内部信息安全管理体系审核，其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息技术-安全技术-信息安全管理体系要求。5.2.

30、1 组织审核a) 公司统一组织、管理内部信息安全审核工作，管理运营部负责制定内部审核管理程序并贯彻执行；b) 管理者代表负责领导和策划内部审核工作，批准年度内审计划和追加审核计划，批准审核组成员，批准审核实施计划，审批年度内审报告；c) 管理运营部负责对审核组长及成员提名，编制年度审核计划和追加审核计划，报管理者代表批准后执行。d) 审核组长组织和管理内部审核工作，根据实际情况和重要性安排审核顺序实施审核。e) 审核员不应审核自己的工作。5.2.2 实施审核a)审核组长编制的审核计划，经管理者代表批准后，负责在实施审核前5天向被审核方发出书面审核通知：b)审核小组按内部审核管理程序实施审核;C

31、）审核员收集客观证据，通过分析整理做出公正判断，填写内审不合格项报告及纠正报告提交审核组长，并请被审核部门经理在报告上签字认可。5.2.3 审核报告审核组长应在完成全部审核后，按规定格式编写内部管理体系审核报告提交管理运营部，经其审阅后报管理者代表，内部管理体系审核报告作为管理评审的输入证据。5.2.4 纠正措施和跟踪验证a） 被审核部门经理制定纠正措施，填写在内审不合格项报告及纠正报告中。b） 纠正措施完成后后，应将纠正措施完成情况填写到内审不合格项报告及纠正报告相应栏内，然后将内审不合格项报告及纠正报告交到审核组长。0审核组长视具体情况通知审核组复查，跟踪验证纠正措施实施情况，并将验证结果

32、填写在内审不合格项报告及纠正报告中。5.2.5 审核记录审核组长应收集所有内部信息安全审核中发生的计划通知、内部审核检查表、记录、审核报告、总结等原始资料，整理后由管理运营部负责保管内审相关记录。5.3 管理评审5.3.1 总贝!总经理为确认信息安全管理体系的适宜性、充分性和有效性，每年对信息安全管理体系进行一次全面评审。该管理评审应包括对信息技术-安全技术-信息安全管理体系要求是否需改进或变更的评价，以及对信息安全方针和信息安全管理目标的评价。管理评审的结果应形成书面记录，并至少保存3年，按照文件控制程序的要求进行受控访问。5.3.2 管理评审的输入在管理评审时，管理运营部应组织相关部门提供

33、以下资料，供信息安全管理最高责任者和各部门负责人进行评审：a）TSMS体系内、外部审核的结果；b）相关方的反馈（投诉、抱怨、建议）；C）可以用来改进ISMS业绩和有效性的新技术、产品或程序；d）信息安全目标达成情况，纠正和预防措施的实施情况；e）信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁;f)上次管理评审时决定事项的实施情况；g)可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求)；h)对信息安全管理体系改善的建议；i)有效性测量结果。5.3.3 管理评审的输出信息安全管理最高责任者对以下事项做出必要的指示：a) 信息安全管理体系有效性的改善事项；b) 信息安全方

34、针适宜性的评价；c) 必要时，对影响信息安全的控制流程进行变更，以应对包括以下变化的内外部事件对信息安全体系的影响：/业务发展要求；/信息安全要求；/业务流程；/法律法规要求；/风险水平/可接受风险水平。d) 对资源的需求。以上内容的详细规定见管理评审控制程序。10、改进10.1 持续改进公司的持续改进是信息安全管理体系得以持续保持其有效性的保证，公司在其信息管理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进信息安全管理体系的有效性。本公司开展以下活动，以确保ISMS的持续改进：a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；b) 按

35、照内部审核管理程序、纠正措施控制程序的要求采取适当的纠正和预防措施；c) 吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果；10.2 不符合和纠正措施发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施，以消除不符和的原因,防止不符合事项再次发生。管理运营部负责制定纠正措施控制程序并组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施，以消除不符合，并防止不符合的再次发生。对纠正措施的实施和验证规定以下步骤：a) 识别不符合；b) 确定不符合的原因；c) 评价确保不符合不再发生的措施要求；d)

36、 确定和实施所需的纠正措施；e) 记录所采取措施的结果；D评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。管理层管理者代表附件1组织结构图智慧城市事业部安全质量部采购保障部财务资产部人力资源部管理运营部附录2职能分配表配合部门备注：主责部门ISO/IEC27001:2022职能分配表部门管理层管理运营部安全质量部人力资源部采购部财务部信息化中心IS027001标准要求4组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定信息安全管理体系范围4.4信息安全管理体系5领导力5.1领导力和承诺5.2方针5.3组织的角色，职责和权限6规划6.1应对风险和机会的措施6.2信息安全目

37、标和实现规划6.3变更的策划7支持7.1资源7.2能力7.3意识7.4沟通7.5文件化信息8运行8.1运行规划和控制8.2信息安全风险评估8.3信息安全风险处置9绩效评价9.1监视、测量、分析和评价9.2内部审核9.3管理评审10改进10.1不符合及纠正措施10.2持续改进A.5组织控制A.5.1信息安全的策略集.5.2信息安全角色和职责A.5.3职责分离A.5.4管理者职责A.5.5与职能机构的联系,5.6与特定相关方的联系A.5.7威胁情报A.5.8项目管理中的信息安全A.5.9信息和其它相关资产清单,5.10信息和其他相关资产的可接受使用A.5.11资产归还A.5.12信息的分级A.5.

38、13信息的标记.5.14信息传输A.5.15访问控制A.5.16身份管理A.5.17身份验证信息,5.18访问权限A.5.19供应商关系中的信息安全A.5.20在供应商协议中的强调信息安全,5.21ICT供应链的信息安全管理A.5.22供应商服务的监控、审查和变更管理A.5.23使用云服务的信息安全A.5.24信息安全事件管理策划和准备.5.25信息安全事态的评估与决策A.5.26信息安全事件响应A.5.27从信息安全事件中学习A.5.28证据收集.5.29中断期间的信息安全A.5.30ICT为业务连续性做好准备A.5.31法律、法规、监管和合同要求.5.32知识产权.5.33记录的保护A.5.34隐私和个人可识别信息保护A.5.35信息安全独立审核A.5.36信息安全策略、规程和标准合规A.5.37文件化的操作规程A.6人员控制A.6.1审查.6.2任用条款及条件A.6.3信息安全意识、教育和培训A.6.4违规处理过程A.6.5任用终止或变更的责任.6.6保密或不泄露协议A.6.7远程工作A.6.8报告信息安全事态A.7物理控制.7.1物理安全边界A.7.2物理入口A.7.3办公室、房间和设施的安全A.7.4物理安全监控.7.5外部和环境威胁的安全防护A.7.6在安全区域工作A.7.7清理桌面和屏幕A.7.8设备选址和保护.7.9组织场所外的资产