ITITM信息安全管理体系手册

xxxx 有限公司 信息安全管理手册
文件历史控制记录
2011-12-01颁布 封面 2011-01-01 实施
第一章前言
随着xxxx有限公司业务发展日益增长，信息交换互连面也随之增大，信息业务系统依赖性扩大，所带来的信息安全风险和信息脆弱点也逐渐呈现，原有信息安全技术和管理手段很难满足目前和未来信息化安全的需求，为确保xxxx有限公司信息及信息系统的安全，使之免受各种威胁和损害，保证各项信息系统业务的连续性，使信息安全风险最小化，xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评，定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改，分析了信息安全管理上的不足与缺陷，编制了差距测评报告。

通过开展信息安全风险评估和等级保护测评，了解xxxx有限公司信息安全现状和未来需求，为建立xxxx有限公司信息安全管理体系奠定了基础。

2011年7月开展信息安全管理体系持续改进建设，依据信息安全现状和未来信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求，建立了符合xxxx有限公司信息安全管理现状和管理需求的信息安全管理体系，该体系覆盖了GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求12个控制领域、39个控制目标和133个控制措施。

本手册是xxxx有限公司信息安全管理体系的纲领性文件，由信息中心归口负责解释。

第二章信息安全管理手册颁布令
xxxx有限公司（以下简称公司）依据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求，结合限公司实际情况，在原有的各项管理制度的基础上编制完成了《xxxx有限公司信息安全管理体系手册》第一版，现予以批准实施。

《xxxx有限公司信息安全管理体系手册》是公司在信息及信息系统安全方面的规范性文件，手册阐述了限公司信息安全服务方针，信息安全目标及信息安全管理体系的过程方法和策略，是公司信息安全管理体系建设实施的纲领和行动准则，是公司开展各项服务活动的基本依据；是对社会各界证实我公司有能力稳定地提供满足国际标准信息安全要求以及客户和法律法规相关要求的有效证据。

适合公司信息化目前发展趋势需求，且内容充分、表达准确，现予颁布。

本手册定于2011年8月1日起实施，属强制性文件，要求各部门所有人员必须正确理解并严格贯彻全面执行。

xxxx有限公司
总经理签名：
日期： 2011年01月01日
第三章公司介绍
1.企业简介
xxxx有限公司（以下简称xxxx）始创于2002年4月，大致经过三个发展阶段：第一阶段，2002年—2004年，为创业期，全力开拓市场，实现在竞争激烈的行业中立足；第二阶段，2004—2006年，为整合期，整合一切有效资源，重力推出新产品，奠定以优质产品占据市场的方向，梳理并确立了经营理念、发展愿景、经营方针，完成了股份制改革；第三阶段，2006—至今，为蜕变期，立足电气传动、工业控制领域，为全球用户提供专业化产品和服务，于2010年在深交所A股上市，股票代码：002334，步入不断提升企业核心竞争力，并实现飞跃的阶段。

目前xxxx设有国内办事处30多个，海外办事处2个，拥有海内外经销合作伙伴上百家，用户遍布全球50多个国家和地区。

xxxx是国家级高新技术企业，拥有深圳市唯一的“变频器工程技术研究开发中心”。

在吸收国外先进技术的基础上，结合近十年变频推广应用经验和当今电力电子最新控制技术，研制出高、中、低压通用及各行业专用变频器、交流伺服系统、制动单元、能量回馈单元等产品。

并在市政、建材、塑胶、油田、机械、化工、冶金、纺织、印刷、机床、矿山等行业广泛应用。

xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压660V/1140V系列、高压CHH（3KV/6KV/10KV）系列等，功率范围涵盖0.4～8000kW，满足不同行业不同场合的各种变频控制应用需求。

成熟矢量控制技术、各行业专用变频控制技术的掌握以及国际领先四象限控制技术的突破使xxxx的发展持续领先，成为中国变频器行业的领导者。

高性能交流伺服系统的开发与成功应用标志着xxxx向运动控制领域的拓展与延伸。

xxxx在“众诚德厚、业精志远”的经营理念指导下，坚持在不断创新、精益求精中与包括员工、股东、供应商、客户等广大合作伙伴共同发展，公司的自主创新及品牌美誉度在行业中已经占有重要地位，并得到社会的广泛认同。

2.企业文化
经营理念：众诚德厚业精志远
愿景：成为全球领先、受人尊敬的电气传动、工业控制领域的产品和服务供
应商。

使命：竭尽全力提供物超所值的产品和服务，让客户更有竞争力。

经营方针：创新品质标准化共同发展
核心价值观：众诚德厚拼搏创新
人才理念：人才是企业第一资本尊重人才，经营人才
质量方针：提供不断优化的产品和服务，提高客户满意度。

3.企业标识：
标识释义：
xxxx企业标徽有两种色彩：xxxx红（M100 Y80）、xxxx蓝（C100 M80 K40），红色体现进取和活力，蓝色象征包容和专注的钻研精神。

字体设计简洁、凝聚、浑厚、扩张，传达xxxx通过与合作伙伴和员工的合力凝聚坚固产品品质，厚重企业诚信、拼搏创新、走向国际、再创新高的思想。

➢“INVT”是变频器（inverter），也是创新（）和美德（virtue）的结合，是xxxx核心价值观“众诚德厚，拼搏创新”的标识承载；
➢首字母“i”色彩红蓝结合，强调xxxx企业——个人与团队、个人与公司、xxxx与客户、供应商的相互信赖，共同发展；
➢红色圆点是旭日也是星球，蓝色体现企业所在地域——滨海城市深圳，体现xxxx电气立足本土，致力于成为全球领先、受人尊敬的电气传动、
工业控制领域产品/服务供应商的远景目标。

第四章信息安全管理目标
根据国家信息安全等级保护要求、公司下达的目标与指标、公司信息化发展战略目标、信息安全风险评估结果、信息用户的满意度，结合公司实现目标所需的资源，识别公司的信息安全目标与指标。

公司每年年底制定下一年度的信息安全目标与指标，公司制定完成信息安全目标与指标的工作计划，将目标、指标的层层分解，并落实完成。

下列是详细的信息安全目标：
第五章信息安全会议
1.信息安全会议要求
1.1.公司应在每年一次的信息化工作会议上，总结汇报本年度的信息安全工作情况。

1.2.公司应在每季度召开的计算机管理会议中，总结本季度的信息安全工作情况。

1.3.公司信息中心应在每月召开的信息管理工作例会中，总结本月的信息安全工作情况。

1.4.公司应根据风险变化的需要或在重大活动期间，不定期召开信息安全专题会。

2.信息安全会议记录管理
2.1.公司应及时制定相关的信息安全管理文件、信息安全数据与记录。

2.2.信息安全管理数据与记录包括：
1)信息安全会议纪要
2)信息安全事故调查报告
3)信息安全事件整改报告
4)信息安全检查整改方案
5)信息安全审计记录
6)技术档案资料
7)培训记录
8)信息安全作业活动数据与记录
9)信息安全事件通报、整改活动
10)信息安全检查活动
11)应急演练活动
12)信息系统定级备案活动
13)信息安全审计活动
14)信息安全风险评估活动
15)数据与记录要求：真实、完整、齐全、准确、及时。

3.信息文件的管理
3.1.根据精简、高效的原则，制定公司信息安全工作和管理流程，包括：
1)信息安全管理流程
2)信息安全事件处理流程
3)信息安全应急流程
4)其它相关流程
3.2.每年回顾流程的效率，必要时修订、增加或废除不必要的流程或环节。

3.3.信息安全管理流程和信息安全事件处理流程纳入信息安全管理体系中管理
3.4.信息安全应急流程纳入《xxxx有限公司网络与信息安全专项应急预案》中管理。

3.5.根据管理变化、技术变化，公司定期修订如下：
1)更新管理手册、程序文件、作业指导书或管理制度、办法；
2)更新培训要求；
3)更新应急处置程序；
3.6.对涉及到的所有信息安全风险进行回顾分析；
3.7.变化管理需文件化，并保存变化过程的相关记录。

第六章信息安全管理体系
1.总则
1.1.为了加强xxxx有限公司（以下简称“xxxx有限公司或公司”）信息安全管理工作，保护信息系统的安全，促进信息系统的应用和发展，根据国家有关法律法规，以及变频器行业的管理规范、行业标准，并遵照公司信息系统安全的有关规定，特制定本手册。

1.2.信息系统的安全保护范围包括各信息系统相关的和配套的软件、硬件、信息、网络和运行环境的安全。

1.3.xxxx有限公司信息系统安全管理应遵循“统一规划、预防为主、集中管理、分层保护、明确责任”的原则。

1.4.xxxx有限公司运行中的信息系统是支撑生产的运行设备，各级安全生产责任人对其职责范围内的信息系统安全运行负有安全管理责任。

1.5.任何人不得利用信息系统从事危害国家利益、集体利益和其他公民权益的活动，不得从事危害xxxx有限公司信息系统安全的活动。

1.6.本手册适用于公司本部、各基层单位的信息系统的安全保护工作。

公司多经企业参照执行。

2.规范性引用标准
2.1.《信息安全等级保护管理办法》（公通字[2007]43 号）
2.2.《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）2.
3.《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）2.
4.《信息安全技术信息安全管理实用规则》（GB/T 22081-2008）
2.5.《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）
2.6.国家相关法律、法规及合同的要求。

3.术语与定义
3.1.资产 asset
任何对组织有价值的东西。

3.2.可用性 availability
根据授权实体的要求可访问和利用的特性。

3.3.保密性confidentiality
信息不能被未授权的个人、实体或者过程利用或知悉的特性。

3.4.信息安全information security
保证信息的保密性、完整性、可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性。

3.5.信息安全事态 information security event
信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

3.6.信息安全事件 information security incident
一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。

3.7.信息安全管理体系 information security management system
是整个管理体系的一部分。

它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。

注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。

3.8.完整性integrity
保护资产的准确和完整的特性。

3.9.残余风险 residual risk
经过风险处理后遗留的风险。

3.10.风险接受risk acceptance
接受风险的决定。

3.11.风险分析risk analysis
系统地使用信息来识别风险来源和估计风险。

3.12.风险评估risk assessment
风险分析和风险评价的整个过程。

3.13.风险评价risk evaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。

3.1
4.风险管理risk management
指导和控制一个组织相关风险的协调活动。

3.15.风险处理risk treatment
选择并且执行措施来更改风险的过程。

注：在本标准中，术语“控制措施”被用作“措施”的同义词。

3.16.适用性声明statement of applicability
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。

3.17.信息系统
是指由计算机及其相关配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，包括管理信息系统和生产控制系统。

3.18.信息安全
保持信息的保密性、完整性和可用性，另外也可包括诸如真实性，可核查性，不可否认性和可靠性等。

3.19.信息系统运行单位
是指信息系统资产归属单位，对于托管的信息系统有另行约定的除外。

3.20.信息安全工作人员
是指包括信息安全管理人员、信息安全技术人员（包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等信息安全相关设备的管理员）和信息安全审计员。

3.21.信息工作人员
是指与关键信息系统（涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统）直接相关的系统管理人员、网络管理人员、关键业务信息系统开发人员、系统维护人员、关键业务信息系统操作人员等。

3.22.第三方
是指软件开发商、硬件供应商、系统集成商、设备维护商、服务提供商以及其它外协单位。

3.23.第三方人员
是指包括软件开发商出、硬件供应商、系统集成商、设备维护商、服务提供商及其它外协服务单位的工作人员，以及实习学生和其他临时工作人员。

3.2
4.信息资产
是指公司在生产、经营和管理过程中，所需要的以及所产生的，用以支持（或指导、或影响）公司生产、经营和管理的一切有用的数据和资料等非财务的无形资产，其范围包括现在的和历史的。

3.25.信息系统运行维护单位
是指与信息系统运行单位签订维护合同的专业服务提供商。

3.26.信息安全等级保护
是指根据国家信息安全等级保护相关管理文件，确定信息系统的安全保护等级，并开展相应的信息系统安全等级保护工作。

3.27.信息安全评估
是指，按照《管理办法》和有关技术标准，开展信息系统安全等级保护的自查自纠、差距评测、安全整改等续工作。

3.28.安全风险管理
是指采用风险管理的理念与方法来识别、评估信息系统面临的风险，制定风险控制措施，并将风险降低到可接受的程度，安全风险管理包括风险评估和风险控制。

注：基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求，制定控制目标和控制措施。

3.29.标准缩写
ISMS：信息安全管理体系（Information Security Management Systems）；
SoA：适用性声明（Statement of Applicability）；
PDCA：建立、实施和运行、监视和评审、保持和改进（Plan、Do、Check、Act）。

4.信息安全管理体系
4.1.总要求
根据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系要求标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。

ISMS所涉及的过程基于以下PDCA模式：
策划
本手册中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：
a)理解xxxx有限公司的信息安全要求和建立信息安全方针与目标的需要；
b)从组织整体业务风险的角度，实施和运行控制措施，以管理xxxx有限公
司的信息安全风险；
c)监视和评审ISMS的执行情况和有效性；
d)基于客观测量的持续改进。

本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA）模型，该模型可应用于所有的ISMS过程。

图1说明了ISMS如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。

图4-1描述了4、5、6、7和8章所提出的过程间的联系。

采用PDCA模型还反映了治理信息系统和网络安全的OECD指南（2002版）中所设置的原则。

本标准为实施OECD指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。

4.2.ISMS的建立、实施和运作、监督和评审、保持和改进
4.2.1.建立ISMS
4.2.1.1.xxxx有限公司ISMS的范围和边界
根据业务、组织、资产、位置等方面的特性，确定ISMS的范围和边界。

xxxx 有限公司信息安全管理体系的范围和边界包括：
(1)业务边界：xxxx有限公司为开展供电业务，在管理信息大区范围内实施的信息安全管理。

(2)组织边界：xxxx有限公司信息中心；
(3)资产边界：xxxx有限公司负责管理的信息资产；
(4)物理边界：广东省广州市天河区天南二路239号和梅花路机房
4.2.1.2.确定xxxx有限公司ISMS方针应满足以下要求
(1)确保为ISMS方针建立一个框架并为信息安全实施和运作、监督和评审、保持和改进的活动建立系统的方向与原则；
(2)确定业务发展、法律法规要求及其它相关方合同涉及的信息安全要求；
(3)在组织的战略和风险管理下，建立和保持ISMS；
(4)建立风险评价的准则和机团队；
(5)获得信息安全领导小组批准。

4.2.1.3.风险评估的系统方法
xxxx有限公司信息中心负责建立信息安全风险评估控制程序并组织实施。

风险评估控制程序包括可接受风险准则和可接受水平，所选择的评估方法应确保风险评估能产生可比较的和可重复的结果。

具体的风险评估过程控制执行《信息安全风险评估程序》，以下是风险评估流程图；
风险评估流程图
4.2.1.4.风险识别
在已确定的ISMS范围内，对所有的信息资产进行列表识别。

信息资产包括软件/系统、数据/文档、硬件/设施、服务、人力资源。

对每一项信息资产，根据重要信息资产判断依据确定是否为重要信息资产，形成《重要信息资产清单》。

4.2.1.
5.评估风险
(1)针对每一项重要信息资产，参考《信息安全威胁列表》及以往的安全事故（事件）记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临的威胁；
(2)针对每一项威胁，考虑现有的控制措施，参考《信息安全薄弱点列表》识别出可能被该威胁利用的薄弱点；
(3)综合考虑以上2点，按照《威胁发生可能性等级表》中的判定准则对每一个威胁发生的可能性进行赋值；
(4)根据《威胁影响程度判断准则》，判断一个威胁发生后对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害及对公司业务的威胁影响程度，对其威胁影响程度进行赋值；
(5)进行风险大小计算时，考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合，根据风险计算公式来计算风险等级；
(6)对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风险为不可接受风险。

4.2.1.6.风险处理方法的识别与评价
xxxx有限公司信息中心组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划应明确风险处理责任部门、方法及时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：
(1)采用适当的内部控制措施；
(2)接受某些风险（不可能将所有风险降低为零）；
(3)规避某些风险（如物理隔离）；
(4)转移某些风险（如将风险转移给保险公司、供应方）。

4.2.1.7.选择控制目标与控制措施
(1)信息中心根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标，并将目标分解到有关部门。

信息安全目标应获得信息安全领导小组的批准。

(2)控制目标及控制措施的选择原则来源于GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系要求标准附录A，具体控制措施可以参考GB/T22081-2008/ISO/IEC27002:2005《信息技术—安全技术—信息安全管理实施细则》。

xxxx有限公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。

4.2.1.8.适用性声明
信息中心负责《信息安全管理体系适用性声明》（SoA）编制，由信息中心归口管理。

该声明包括以下方面的内容：
(1)所选择控制目标与控制措施的概要描述；
(2)当前已经实施的控制；
(3)对GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系要求附录A中未选用的控制目标及控制措施的说明。

注：该声明的详细内容见《信息安全管理体系适用性声明》。

4.2.2.ISMS实施及运行
4.2.2.1.ISMS岗位职责和权限
(1)信息安全领导小组组长为公司信息安全最高管理者。

领导小组主要职责：
a)国家有关信息安全的政策、法律和法规，以及南方电网公司和公司的
统一部署要求，审查、批准xxxx有限公司信息安全策略、管理规范
和技术标准；
b)部署信息安全总体工作，审定信息安全投资策略，建立工作考评机制；
c)指导信息安全保障体系建设和应急管理。

(2)信息安全工作小组主要职责：
a)根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、
落实；
b)贯彻执行信息安全领导小组的决议，协调、督促各部门、各单位的信
息安全工作；
c)制订信息安全策略和投资策略，组织对信息安全工作制度和技术操
作策略的审查，并监督执行；
d)接受各单位的紧急信息安全事件报告，组织信息安全应急处置工作，
并开展事件调查、分析原因、涉及范围和评估安全事件的严重程度，
提出信息安全事件防范措施；
e)及时向信息安全领导小组和上级有关部门、单位报告信息安全事
件；
f)跟进先进的信息安全技术，组织信息安全知识的培训和宣传工作。

(3)信息安全管理体系的管理者代表对公司信息安全负有以下职责：
a)建立并实施信息安全管理体系必要的程序并维持其有效运行；
b)对信息安全管理体系的运行情况和必要的改善措施向信息安全领导
小组报告。

(4)各部门负责人为本部门信息安全管理者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；
4.2.2.2.各部门应按照《信息安全管理体系适用性声明》中选择的控制目标与目标的控制措施，确保ISMS有效实施与运行，并开展以下活动：
(1)确保信息安全风险的有效管理，制定《风险处理计划》，以便明确管理
措施、所需资源、工作职责及识别活动的优先顺序；保证已识别的控制
目标实施《风险处理计划》；
(2)确保处理风险所选择的控制措施，以满足控制目标；
(3)确保所选控制措施有效测量；
(4)制定《信息安全培训计划》并加以实施，提高全员信息安全意识和能力；
(5)管理ISMS的运行；
(6)管理ISMS的资源；
(7)制定信息安全事件或事故的程序控制措施，以便迅速的检测安全事件与
安全事故的响应。

4.2.2.3.ISMS的监督检查与评审
通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查（如日志审核）等控制措施并报告结果以实现：
(1)及时发现信息安全体系的事故和隐患；
(2)及时了解信息处理系统遭受的各类攻击；
(3)使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；
(4)积累信息安全方面的经验。

4.2.2.4.根据以上活动的结果以及来自相关方的建议和反馈，由信息安全工作
小组组长主持，定期（每年至少一次）对ISMS的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有效性的评审。

管理评审的具体要求，见本手册第7章。

4.2.2.
5.信息中心应组织有关部门按照《信息安全风险管理程序》的要求对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：
(1)组织机构发生重大变更时；
(2)信息处理技术发生重大变更时；
(3)xxxx有限公司业务目标及流程发生重大变更时；
(4)发现信息资产面临重大威胁时；
(5)外部环境，如法律法规或信息安全标准发生重大变更时。

4.2.2.6.保持上述活动和措施的记录。

4.2.3.ISMS保持与改进
xxxx有限公司开展以下活动，以确保ISMS的持续改进：
4.2.3.1.实施每年安全检查、内部审核、管理评审等活动以确定需改进的项目；
4.2.3.2.按照《内部审核管理程序》、《纠正与预防措施控制程序》的要求采取适当的纠正和预防措施；吸取其他组织及xxxx有限公司安全事故的经验教训，不断改进现有安全措施。

4.2.3.3.对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。

4.2.3.4.为了确保信息安全管理体系的持续有效，各级管理者应通过适当的手段对信息安全措施的执行情况与结果进行有效的交流与沟通。

与外部信息安全专家、信息安全机构、政府行政主管部门、电信运营商等组织保持联系。

与外部专家、服务商等外部机构的联系方式见《对外联系表》。

4.3.文件要求
4.3.1.总则。