ISO27001：2013信息安全风险管理程序

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

Information technology — Security techniques — Information security management systems — RequirementsTechnologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences© ISO/IEC 2013INTERNATIONAL STANDARD ISO/IEC 27001Second edition 2013-10-01Reference number ISO/IEC 27001:2013(E)ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求Information technology- Security techniques-Information security management systems-RequirementsISO/IEC 27001:2013(E)Contents Page Foreword ........................................................................................................................................................................................................................................ͳ0 Introduction ...............................................................................................................................................................................................................͵1 Scope .................................................................................................................................................................................................................................ͷ2 Normative references ......................................................................................................................................................................................ͷ3 Terms and definitions .....................................................................................................................................................................................ͷ4 Context of the organization .......................................................................................................................................................................ͷ4.1 Understanding the organization and its context . (5)4.2 Understanding the needs and expectations of interested parties (5)4.3 Determining the scope of the information security management system (5)4.4 Information security management system (7)5 Leadership (7)5.1 Leadership and commitment (7)5.2 Policy (7)5.3 Organizational roles, responsibilities and authorities (9)6 Planning (9)6.1 Actions to address risks and opportunities (9)6.2 Information security objectives and planning to achieve them (13)7 Support (13)7.1 Resources (13)7.2 Competence (13)7.3 Awareness (13)7.4 Communication (15)7.5 Documented information (15)8 Operation (17)8.1 Operational planning and control (17)8.2 Information security risk assessment (17)8.3 Information security risk treatment (17)9 Performance evaluation (17)9.1 Monitoring, measurement, analysis and evaluation (17)9.2 Internal audit (19)9.3 Management review (19)10 Improvement (21)10.1 Nonconformity and corrective action (21)10.2 Continual improvement (21)Annex A (normative) Reference control objectives and controls (23)Bibliography (49)目次前言 (2)引言 (4)1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (6)4 组织环境 (6)5 领导 (8)6 规划 (10)7 支持 (14)8 运行 (18)9 绩效评价 (18)10 改进 (22)附录 A （规范性附录）参考控制目标和控制措施 (24)参考文献 (50)ISO/IEC 27001:2013(E)ForewordISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2. The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. ISO/IEC 27001 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.This second edition cancels and replaces the first edition (ISO/IEC 27001:2005), which has been technically revised.1前言ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

惠州培训网
更多免费资料下载请进： 好好学习社区
信息安全风险评估管理程序
1.目的
在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估，形成评估报告，描述风险等级，识别和评价供处理风险的可选措施，选择控制目标和控制措施处理风险。

2.范围
在ISMS 覆盖范围内主要信息资产
3.职责
3.1各部门负责部门内部资产的识别，确定资产价值。

3.2ISMS 小组负责风险评估和制订控制措施和信息系统运行的批准。

4.内容
4.1资产的识别
4.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别，确定资产价值。

4.1.2资产分类
根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。

4.1.3资产赋值
资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析，选择对资产机密性、完整性和可用性最为重要（分值最高）的一个属性的赋值等级作为资产的最终赋值结果。

资产等级划分为五级，分别代表资产重要性的高低。

等级数值越大，资产价值越高。

1）机密性赋值
根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。

本制度适用信息安全管理体系范围内信息安全风险评估活动。

2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本制度。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。

2)公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。

信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。

4.风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。

（如图1）风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动，识别了以下内容：1)识别了信息安全管理体系范围内的资产及其责任人；2)识别了资产所面临的威胁；3)识别了可能被威胁利用的脆弱点；4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

XXXXXXXXX有限责任公司信息安全符合性管理程序[XXXX-B-40]V1.0变更履历1 目的为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2 范围本程序适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3 职责3.1 综合部负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

3.2 各部门负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

4 引用文件《信息安全管理手册》《文件控制程序》5 程序5.1 法律、法规和其他要求的分类a)国际性信息安全管理法律、法规和其他要求；b)国家信息安全管理法律法规及标准规范；c)地方和行业性信息安全管理规章及标准规范；d)客户与相关方的信息安全要求。

5.2 法律、法规和其他要求的获取、识别综合部从政府主管部门或相关权威部门获取相关的国家及地方最新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。

客户与相关方信息安全要求，由相关专业部门依据专业工作情况由信息员负责采集并报综合部统一管理。

综合部组织各部门对收集到的法律法规和其他要求逐一进行识别，确定出适合本组织的法律法规及其他要求,编制《信息安全法律法规及要求清单》，识别工作一般一年不少于一次。

5.3 法律、法规和其他要求的文本管理综合部获取信息安全管理法律、法规和其他要求文本后，应补充到《信息安全法律法规及要求清单》中。

相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向综合部进行反馈，由综合部补充到《信息安全法律法规及要求清单》。

综合部负责取得法律法规文本，获得途径可直接从网络下载，并保存为电子档。

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

国际标准 ISO/IEC 27001第二版 2013-10-01中文翻译版 第0.1版 2013-10-17参考号ISO/IEC 27001:2013（E ）©ISO /IEC 2013信息技术——安全技术——信息安全管理体系——要求受版权保护的文档©ISO/IEC 2013保留所有权利。

除非另有说明，未经事先书面许可，不得通过任何形式或手段进行复制或利用本出版物的任何部分内容，包括电子、机械、影印，或张贴在互联网或企业内部网上。

可通过下面所列的ISO组织地址或ISO成员机构获得许可。

ISO版权办公室Case postale 56 • CH-1211 Geneva 20电话：+ 41 22 749 01 11传真：+ 41 22 749 09 47电子信箱：copyright@网址：瑞士出版翻译说明继ISO/IEC 27000系列文件于2005年发布之后，历经8年的时间，ISO组织终于在日前发布了2013新版。

关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。

为了便于国内读者的阅读和使用，笔者团队利用业余时间自行翻译了本中文版本。

因团队水平有限，其中错误和遗漏之处在所难免。

欢迎各位安全界同仁批评指正。

声明：若因阅读、使用本文而给读者造成的任何形式的损失，本团队不承担任何责任。

本中文版文件的著作权归本团队所有。

本文仅供网上阅读学习之用，亦可通过电子文件复制的方式进行传播。

未经授权，不得用于任何商业目的。

翻译团队：齐芳邮箱：qifang@陆辉邮箱：luhui@刘凯邮箱：liukai@蔡昆邮箱：caikun@贡献者:付峥邮箱：fuzheng@徐特邮箱：xute@目录0介绍............................................................................... x xxv 1范围. (1)2规范性引用 (1)3术语与定义 (1)4组织的环境 (1)4.1理解组织及环境 (1)4.2理解相关方的需求和期望 (1)4.3明确信息安全管理体系的范围 (1)4.4信息安全管理体系 (2)5领导 (2)5.1领导与承诺 (2)5.2方针 (2)5.3组织角色、职责和权力 (2)6计划 (3)6.1处置风险和机遇的活动 (3)6.2信息安全目标和实施计划 (4)7支持 (5)7.1资源 (5)7.2能力 (5)7.3意识 (5)7.4沟通 (5)7.5文档信息 (5)8操作 (6)8.1操作规划和控制 (6)8.2信息安全风险评估 (7)8.3信息安全风险处置 (7)9绩效评价 (7)9.1监测、测量、分析和评价 (7)9.2内部审核 (7)9.3管理评审 (8)10改进 (8)10.1不符合情况和改正措施 (8)10.2持续改进 (9)附录A（引用）参考控制目标和控制措施 (10)参考书目 (20)前言国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性的联合会。

xx电子商务技术有限公司版本：A
管理评审控制程序
JSWLS/IP-04-2009
编制：xx
审核：xx
批准：xx
程序文件修改控制
管理评审控制程序
1 目的
按计划的时间间隔评审公司信息安全管理体系，以确保其持续的适宜性、充分性和有效性。

2 范围
本程序适用于公司信息安全管理体系的评审。

3 职责
3.1总经理主持管理评审活动，批准“管理评审报告”。

3.2管理者代表
3.2.1负责向总经理报告信息安全管理体系运行情况，提出改进建议。

3.2.2审核“管理评审计划”，编写“管理评审报告”。

3.2.3负责对评审后的纠正、预防措施进行跟踪和验证。

3.3营销中心
3.3.1负责“管理评审计划”的拟定。

3.3.2收集、提供和保管管理评审所需资料。

3.4各部门
3.4.1负责提供与本部门有关的评审所需的资料；
3.4.2负责实施管理评审中提出的相关的纠正、预防措施。

4 相关文件。

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

XXX科技有限公司相关方信息安全管理程序编号：ISMS-B-20版本号：V1.0编制：日期：审核：日期：批准：日期：受控状态1 目的为加强对组织相关方的控制，识别其信息安全风险，采取相应措施，防范组织的信息资产损失，特制定本程序。

2 范围本程序适用于组织信息安全管理范围内外部相关方管理活动，包括对供应商、外来人员、公司外驻员工、废弃物处理方及客户的信息安全方面的管理和监督。

3 职责3.1 综合管理部a)组织各部门识别外部相关方对信息资产和信息处理设施造成的风险；b)定期组织对相关方控制的实施活动进行检查与跟踪；c)负责与相关方人员签订保密协议。

3.2 各相关部门a)负责对本部门、本项目外的部门的相关方进行控制和管理；b)负责对客户提供的信息采取保密措施。

4 相关文件《安全区域管理程序》《物理访问策略》《用户访问管理程序》5 程序5.1 管理对象a)服务提供商：互联网服务提供商、电话提供商、IT维护和支持服务提供商、软件产品和IT系统开发商和供应商；b)管理服务提供商，管理咨询，业务咨询，外部审核方；c)清洁、物业、会计以及其他外包的支持性服务提供商；d)外来人员：快递人员、供应商等临时人员、实习学生；e)客户。

5.2 相关方信息安全管理综合管理部组织各部门识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前，对所识别的风险实施适当的控制。

涉及对组织的信息资产物理访问、逻辑访问时，综合管理部应与相关方签署《相关方保密协议》。

《相关方保密协议》中应反映所有与相关方合作而引起的内部管理需求或信息安全需求，《相关方保密协议》中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育，使其满足工作要求。

在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。

综合管理部应确保外部相关方认识到其义务，并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。