ISO27001 XX-ISMS-OP-02-001 相关方的需求和期望(信息安全方面)一览表

最新ISO27001-2013信息安全管理体系管理手册、程序文件ISO27001-2013信息安全管理体系管理手册ISMS-M-yyyy 版本号：A/0受控状态： ■ 受 控 □ 非受控日期： 2019年1月8日 实施日期： 2019年1月8日修改履历00 目录00 目录 (2)01 颁布令 (1)02 管理者代表授权书 (1)03 企业概况 (1)04 信息安全管理方针目标 (1)05 手册的管理 (1)06 信息安全管理手册 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 本公司 (1)3.2 信息系统 (1)3.3 计算机病毒 (2)3.4 信息安全事件 (2)3.5 相关方 (2)4 组织环境 (2)4.1 组织及其环境 (2)4.2 相关方的需求和期望 (2)4.3 确定信息安全管理体系的范围 (2)4.4 信息安全管理体系 (3)5 领导力 (3)5.1 领导和承诺 (3)5.2 方针 (4)5.3 组织角色、职责和权限 (4)6 规划 (4)6.1 应对风险和机会的措施 (4)6.2 信息安全目标和规划实现 (6)7 支持 (7)7.1 资源 (7)7.2 能力 (7)7.3 意识 (8)7.4 沟通 (8)7.5 文件化信息 (8)8 运行 (9)8.1 运行的规划和控制 (9)8.2 信息安全风险评估 (9)8.3 信息安全风险处置 (10)9 绩效评价 (10)9.1 监视、测量、分析和评价 (10)9.2 内部审核 (11)9.3 管理评审 (12)10 改进 (12)10.1 不符合和纠正措施 (12)10.2 持续改进 (13)附录A 信息安全管理组织结构图 (1)附录B 信息安全管理职责明细表 (1)附录C 信息安全管理程序文件清单 (1)01 颁布令为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司** 《信息安全管理手册》。

1.相关方需求和期望管理程序1.1. 制定目的明确与公司质量环境管理体系有关的相关方，并确定这些相关方的需求与期望。

以做为公司生产和服务的行动指南，提供满足相关需求和法律法规的产品和服务。

1.2. 适用范围公司整个生产经营过程。

1.3. 职责权限1、各部门负责相关方的要求及期望的识别2、行政部负责对各部门识别的相关方的要求及期望进行统计3、行政部负责将要求及期望作为风险分析及目标的输入。

1.4. 术语定义无1.5. 工作程序1、总经理（或授权人员），于体系导入之初，组织业务部、软件部、硬件部、客服部（市场部）、工程部确定与公司质量管理体系有关的相关方，包括但不仅限于：核心客户、供方、所在地政府机关、第三方认证（检测）机构、内部员工及总公司等。

2、总经理（或授权人员）组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门，向本部门所主导联系的相关方发放《相关方的需求和期望清单》，识别相关方的需求与期望。

3、总经理（或授权人员）组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门，对识别出的相关方的需求与期望进行汇总，形成《相关方的需求和期望清单》，确定相关方合理的需求与期望，并制定相对的制度，以落实到公司的紧固件生产和服务过程中；4、总经理委托行政部，每半年召开一次相关方需求和期望达成程度分析会议，各部门应汇报本部门所主导联系的相关方需求和期望的达成状况、未达成事项及实施对策。

由业务员汇总后呈报总经理决策。

5、总经理（或授权人员）组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门，于每年年尾或次年年初，对确定的相关方的需求与期望进行评审，是否已达成。

并将达成情况做为管理评审的输入资料。

6、总经理（或授权人员），每年年初重新对相关方发放《相关方的需求和期望清单》并进行识别，以了解相关方的需求与期望是否发生变化，及时更新《相关方的需求和期望清单》。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

文件制修订记录1.0目的为了使组织内部不同层次和职能之间更充分了解并尽量满足顾客需求及其环境信息的有效交流。

2.0适用范围适用于我公司的活动、产品或服务范围内相关信息的沟通交流。

3.0定义顾客：接受产品的组织或个人。

相关方：关注组织环境表现（行为）或受其环境表现（行为）影响的个人或团体。

4.0职责4.1人力资源部负责对全公司员工管理方面的培训并确认效果。

4.2市场部确保外部信息的接收、处理及回答等有效实施。

4.3各部门经理确保内部信息沟通按程序有效实施。

4.4管理者代表负责与质量对内外有关事宜的联络5.0工作程序5.1内外部沟通目的5.1.1有助于阐明公司对质量/环境的承诺；5.1.2提高对公司方针、目标指标的认识；5.1.3有助于员工了解公司管理体系的表现；5.1.4促进公众对公司管理表现及所做努力的理解和认同；5.1.5及时将对管理体系进行监视、审核和评审的结果传达给公司内部有关人员。

5.2内外部沟通内容5.2.1公司简介；5.2.2方针、目标指标；5.2.3管理过程；5.2.4绩效评价、管理体系有效性；5.2.5需要改进的地方；5.2.6独立验证的情况等；5.3环境信息交流5.3.1内部环境信息交流5.3.1.1环境管理建议处理a.员工有任何关于管理的建议，须联络至文控中心呈管理者代表处理，由管理者代表委派文控中心进行沟通处理；b.处理结果由文控中心转达信息至原建议者；c.如果建议有改进管理体系的效益，应于管理评审会议中讨论；d.所有建议及处理结果均应留下记录，记录正本由文控中心统一管理。

5.3.1.2方针、目标的贯彻管理者代表和文控中心可通过以下方式贯彻其效果：a.利用文件宣传贯彻；b.借由公司集会广告而之；c.在内部进行宣传贯彻。

5.3.2外部环境信息交流5.3.2.1外部环境管理建议处理a.人力资源部负责收集外界（不包括公司客户）对公司环境管理事务的任何建议。

销售部负责收集公司客户对公司环境管理事务的任何建议；b.接收方式可为电话、传真、信件、口述或其它可行方式，接收时应告知建议者处理流程大约所需时间；c.人力资源部应将接收的信息联络至文控中心处理；d.处理结果应呈管理者代表批准后告知提议者；e.建议及处理结果的联络记录由文控中心统一管理；f.外部相关方及供应商若须了解或取得本公司环境方针时，文控中心须予以说明或提供。

最新ISO27001信息安全管理体系全套程序文件信息安全管理体系程序文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

ISO27001产品概述；ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。

该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

条件：1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件；2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；3) 至少完成一次内部审核，并进行了有效的管理评审；4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

材料1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。

审核组成员任命书编号：DK-ISMS-P03-R01根据公司质量手册规定，拟于2019年12月10日—11日对公司进行US0270001&ISO20000信息安全&信息技术服务管理》管理体系内部审核。

现任命XXX为审核组长，XXX为审核组成员，并做以下工作：1.于2019年12月1。

日前提出此次审核计划上报管理者代表审批（审核组长）；2.于2019年12月25日前向管理者代表提交审核报告（审核组长）。

管理者代表：XXX2019年12月4日2019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:2013《信息技术-安全技术-信息安全管理体系要求》US020000-1：2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性，根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：一、2019年12月10日至11日，进行公司第一次《信息安全&信息技术服务》管理体系内部审核。

二、2019年12月初，进行公司第一次信息安全管理评审。

内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。

编制：XXX批准：XXX2019年12月4日《信息安全&信息技术服务》管理体系内审实施计划编制/时间：谢XX2019.12.4审核/时间:韩XX2019.12.4批准/时间：贺XX2019.12.4审核通知书编号:NS-JL-03 审核的目的：评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求,是否覆盖所有的部门，运行是否有效。

审核准则：ISO27001：2013标准/ISO20000-1：2018S标准；《信息安全&信息技术服务管理手册》和相关法律法规等。

业务影响分析报告
目录
1概述 (1)
2级别划分定义 (1)
3关键业务活动影响分析 (1)
4关键功能与恢复时间目标 (1)
5影响关键业务的风险分析 (2)
6处理方案 (2)
7关键业务恢复所需资源 (3)
8管理者代表批准决议 (3)
1概述
2级别划分定义
(可参考风险管理过程文件)
3关键业务活动影响分析
4关键功能与恢复时间目标
项目功能描述级别可接受的最大停顿时间/恢
复时间目标
1.
2.
3.
4.
5.
5影响关键业务的风险分析
项目风险威胁发生可能性（P）业务影响程度级别（B）总体评价（U）1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
6处理方案
项目风险总体评价（U）处理方案
5.
6.
7.
8.
9.
10.
7关键业务恢复所需资源
项目功能资源其它1.
2.
3.
4.
5.
8管理者代表批准决议
此业务影响分析结果经与客户确认，做出以下决议：。

深圳市XXX科技有限公司信息安全告知书TS-ISMS-2021-0101版本：V 1.0（内部受控）2021-8-4 实施2021-8-4 发布深圳市XXX科技有限公司修改履历信息安全告知书各顾客、供应商、承包方和所有相关方：感谢您对我司的一贯支持。

为创造一个完善安全的信息沟通和传递途径，共同保障各方信息的安全，公司自2021年8月1日起按照IS027001：2013标准建立并实施信息安全管理体系，为确保管理体系实施的有效性，需要各相关方在工作交往及合作中给予大力配合。

现将有关事宜敬告如下：本公司特制订如下信息安全方针和信息安全目标：1、信息安全方针关注客户需求保障信息安全完善安全措施改进信息技术关注客户需求，保障信息安全：客户的安全需求为公司安全建设的重要输入，按照标准要求建设信息安全框架，保障公司整体的信息安全。

完善安全措施，改进信息技术：关注新的信息安全技术，不断获取新技术或新产品，改进信息技术，通过风险管理，持续完善安全措施，并且保证措施的实施效果。

2、信息安全目标◊顾客保密性抱怨/投诉的次数不超过1起/年。

◊受控信息泄露的事态发生不超过2起/年。

◊机密信息泄露的事态不得发生。

◊重要信息设备丢失每年不超过0起◊年度信息安全培训人员覆盖率100%◊大面积内网中断时间每年累计不超过240分钟◊大规模病毒爆发每年不超过2次3、要求本公司信息安全管理体系方针符合以下要求：a）为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b）识别并满足适用法律、法规和相关方信息安全要求；c）与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d）建立了风险评价的准则；e）经总经理批准，并定期评审其适用性、充分性，必要时予以修订。

1. 4承诺为实现信息安全管理体系方针，本公司承诺：a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；b）识别并满足适用法律、法规和相关方信息安全要求；C）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e）对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f）制定并保持完善的业务连续性计划，实现可持续发展。

Information technology- Security techniques-Information security management systems-Requirements信息技术 - 安全技术 - 信息安全管理体系 - 要求Foreword、八 — 前言IEC （国际电工委员会）是为国际标准化制定专门体制的国际组 织。

国家机构是ISO 或IEC 的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

ISO 和IEC 技术委员会在共同感兴趣的领域合作。

其他国际组织、政府和非政府等机构，通过联络 ISO 和 IEC 参与这项工作。

ISO 和 IEC 已经在信息International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.bodies casting a vote.联合技术委员会的主要任务是起草国际标准，并将国际标准草案提交给国家机构投票表决。

国际标准的出版发行必须至少 75%以上的成员投票通过。

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsibleISO (the International Organization for Standardization) and IEC (the International Electro technical Commission)form the specialized system for worldwide standardization.Nationalbodiesthat are members of ISO orIECparticipate in the development of InternationalStandards through technicalcommittees established by the respective organization to deal with particularfields of technical activity. ISO and IEC technical committees collaboratein fields of mutual interest. Other internationalorganizations,governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. Inthe field ofinformationtechnology, ISO and IEC haveestablished a joint technicalcommittee, ISO/IEC JTC 1.ISO （国际标准化组织）和技 术领域建立了一个联合技术委员会ISO/IECJTC1。