ISO27001信息安全管理体系全套程序文件

东莞市有限公司
信息安全风险评估管理程序
文件编号：ISMS-COP01 状态：受控
编写：信息安全管理委员会2018年05月10日
审核：2018年05月10日
批准：陈世胜2018年05月12日
发布版次：A/0版2018年05月12日
生效日期：2018年05月18日
分发：各部门接受部门：各部门
变更记录
信息安全风险评估管理程序
1 适用
本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的
本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围
本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责
4.1 成立风险评估小组
办公室负责牵头成立风险评估小组。

4.2 策划与实施
风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动
各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1各部门负责人负责本部门的信息资产识别。

4.3.2办公室经理负责汇总、校对全公司的信息资产。

4.3.3 办公室负责风险评估的策划。

4.3.4信息安全小组负责进行第一次评估与定期的再评估。

5 程序
5.1 风险评估前准备
5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别
5.2.1 本公司的资产范围包括：
5.2.1.1信息资产
1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

2)软件资产：应用软件、系统软件、开发工具和适用程序。

3)硬件资产：计算机设备、通讯设备、可移动介质和其他设备。

4)服务：培训服务、租赁服务、公用设施（能源、电力）。

5)人员：人员的资格、技能和经验。

6)无形资产：组织的声誉、商标、形象。

5.3资产及其重要度
5.3.1识别组织的资产
●识别在评估范围内的资产。

对于在范围内的每一项资产都要恰当统计；不在评估范
围内的资产，也要进行记录；
●按一定的标准，将信息资产进行恰当的分类，在此基础上进行下一步的风险评估工
作。

●识别组织资产，参考《资产等级分类及重要度(安全等级)划分》
5.3.2评估资产的重要度
1.对资产的等级进行定义，并表示成相对等级的形式。

识别出资产之后，必须对资产的重要度进行评估。

评估的依据是资产的保密性、完整性和可用性在遭受损失之后的后果。

不同资产的安全属性的重要程度是不一样的，例如：对财物数据来说保密性和可核查性是最重要的安全属性，而对操作软件来说更强调可用性。

对资产评估的过
程本身就是对资产安全属性损失后果的分析。

在本程序中虽然不按照安全属性分别赋值，但是评估过程中要充分考虑本节中列出的各种安全属性。

资产重要度描述如下表。

2.决定资产重要度时，需要考虑：
●资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资
产损失所引发的潜在的影响来决定；
●为确保资产重要度的一致性和准确性，建立一个统一的尺度，以无歧义的方式
对资产的重要度进行赋值；
●分析和评价资产受到侵害后的保密性、完整性和可用性损失。

●决定资产重要度，参考《资产安全等级分类》
5.4识别资产面临的威胁
实施风险评估需要对要保护的每一项关键资产进行威胁的识别。

威胁可以从资产的所有者、使用者、计划书、信息专家、社团内部及外部负责信息安全的组织等处获得。

通常，一个可能的威胁列表对完成威胁评估有所帮助。

当应用威胁目录（列表）或者以前的威胁评估结果时，必须意识到，威胁总是不断变化的，尤其是在业务环境与信息发生变化时。

1.分析本公司的信息系统存在的威胁种类，确定威胁分类的标准。

2.综合威胁来源、种类和其他因素后得出威胁列表；
3.针对每一项需要保护的信息资产，找出可能面临的威胁。

在识别资产所面临的威胁时，应该考虑下面三个方面的资料和信息来源：
●通过历史的安全事件报告或记录，统计各种发生过的威胁和其发生频率；
●在评估对象的实际环境中，通过IDS等系统获取的威胁发生数据的统计和分析，
各种日志中威胁发生的数据的统计和分析；
●过去一年或两年来国际公司或机构（例如：微软公司）、社团内部负责信息安
全的组织（例如：CERT应急响应中心）、社团外部负责信息安全的组织（例如：病
毒防范产品公司）、业务关联公司发布的对于整个社会或特定行业安全威胁及其发
生频率的统计数据。

5.5识别威胁可以利用的脆弱性
这一步是评估容易被攻击者(或威胁源)攻破(或破坏)的薄弱点，包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。

包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的，由资产自身特性导致的弱点。

系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。

一个没有对应威胁的脆弱性一般不会造成实在的风险，可以不采取相应的防护措施，但是有必要密切监视这种潜在的风险。

注意，脆弱性不仅是由于最初购置或制造时的原因产生的，资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。

例如：E2PROM是一种可擦写的存储设备，可擦写是其设计时的一项标准，但可擦写属性意味着E2PROM所存储的信息未经授权的破坏成为可能，这就是一个脆弱性。

5.6评估资产在威胁暴露度
暴露度等级描述资产或资产安全属性受损害的程度，以下简称暴露度。

本评估方法将暴露度的等级定义为5级。

如下表所示：
表：暴露度的等级定义
在评估时可参考下面两个表的描述，即根据对资产的安全属性（保密性、可用性、完整性）的损害及影响程度评价对应的暴露等级。

表：资产保密性/完整性暴露度的等级定义
表：资产可用性暴露度的等级定义
5.7评估威胁发生的可能性
容易度描述的是威胁利用脆弱性而可能发生的容易程度。

这里所说的发生容易
度与具体的信息系统没有关系。

当与控制措施结合之后才形成影响的发生可能性。

对于发生容易度的等级，需要根据资产不同的安全属性分别定义。

本公司将
表：发生容易度等级定义
5.8识别与分析控目前控制手段的有效性
控制措施可以减少风险发生可能性或者减轻发生后的影响。

因此，必须识别出控制措施并对其有效性进行评估。

根据控制措施的有效性对控制措施赋值，以下简称控制度。

公司将控制度的等级划分为1-5（5为基本无效）。

每一个等级都要对应相应的有效性系数之后参加风险的计算。

如下表。

表：控制措施的控制度与控制措施有效性对应关系
5.9分析资产在威胁脆弱性下发生的影响度
影响是指威胁对脆弱性一次成功攻击所产生的负面影响。

影响等级（以下简称影响度）是资产重要度等级和暴露等级的乘积。

确定影响度的定义，本公司采取以下定义和计算方式
影响度= （资产重要度等级* 暴露等级）* 20%
由资产重要度等级值（1-5）与暴露等级（1-5）相乘，并乘以系数20%取整后，那
么影响度等级为：1-5。

5.10确定资产发生风险的可能性
资产发生风险的可能性以下简称发生可能性。

发生可能性= （发生容易度等级* 控制度）* 20%
由发生容易度等级值（1-5）与控制措施赋值（1-5）相乘，并乘以系数20%取整后，
那么影响发生可能性等级为：1-5。

5.11计算风险大小
风险大小量化后称为风险等级，以下简称风险度。

风险度 = 影响度 * 发生可能性
表：风险计算矩阵
本公司按照风险数值排序的方法，将上面的25的矩阵等级，按照组织对风险的接受程度定义为高、中、低3个风险度的级别。

风险度为15（含）以上时表示高，5（含）
~15表示中，5以下表示低；这包括可接受风险与不可接受风险的划分，接受与不可接
受的界限应当考虑风险控制成本与风险（机会损失成本）的平衡；
风险级别对应风险度风险描述和必要行动
如果被评估为高风险，那么便强烈要求有纠正措施。

一个现有高>= 15
系统可能要继续运行，但是必须尽快部署针对性计划。

中>=5&&<15 如果被评估为中风险，那么便要求有纠正行动，必须在一个合
5.12风险处理和接受准则
本公司要求对“高”风险度制定《风险处理计划》，“中”风险由信息安全小组决定是否采取安全措施，“低”风险属于可以接受的风险。

总经理需要决定是否接受风险处理后的残余风险并承认《风险处理计划》。

5.13不可接受风险的确定和处理
各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,原评估小组重新评估其计划效果，降至残余风险可接受为止，确保所采取的控制措施是充分的，该措施直到为再次风险评估的输入。

残余风险报告须经总经理批准。

5.14 评估时机
5.14.1 每年重新评估一次，以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施，对发生以下情况需及时进行风险评估：
a) 当发生重大信息安全事故时；
b) 当信息网络系统发生重大更改时；
c) 信息安全管理小组确定有必要时。

5.14.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在《信息资产识别评价表》、《重要信息资产清单》上予以添加或变更。

6 相关/支持性文件
✧《信息安全适用性声明》
✧《信息安全管理手册》
✧《文件和资料管理程序》
✧《信息安全风险评估报告》
东莞市有限公司
记录管理程序7 记录
文件编号：ISMS-COP02 状态：受控
编写：信息安全管理委员会2018年05月10日审核：2018年05月10日批准：陈世胜2018年05月12日发布版次：A/0版2018年05月12日生效日期：2018年05月18日分发：各部门接受部门：各部门
变更记录
记录管理程序
1.适用
本程序适用于本公司产生的记录的管理。

2.目的
为支持信息安全体系的运作而明确记录的管理。

3.管理方法
本公司采用四级层次文件编写法。

所有信息安全管理的记录均以ISMS-JL作为开头，其后由2个数字构成记录顺序编号。

后两个数字为自然序列号；以此类推。

如：ISMS-JL11记录清单。

其中“ISMS”表示信息安全类文件；“JL”表示记录文件，即：表格；“11”代表自然序列号。

ISMS—JL××
记录的顺序号
信息安全管理体系
在每个记录文件的页眉右上角标记出文件的编号及版本号。

版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。

如：“ISMS—JL××A/0”以此类推。

第0次修定（按照数字自然顺序号，依次使用1、2、3……）
第A版（按照英文字母自然排序，依次使用B、C、D……）
在使用每个具体记录时，需要在每个记录上填写该记录的使用序号（或称：编号）规则为：“部门的简写—自然顺序号”。

如：“XZ - 01”。

以此类推。

自然顺序号
办公室的简称
本公司本标准覆盖的部门，办公室简写：BG ；设计部简写：SJ；质量部简写：ZL ；经营部简写；JY 采购部简写：CG 财务部简写：CW。

3.1 保管方法
（1）记录由各保管部门在可快速检索的条件下，决定保管场所，放在箱子、柜子等适当容器中保管。

（2）对保管场所的环境，本程序没有特别指定。

由各保管部门考虑记录媒体的特性做适当处理。

（3）以电子媒体保管的场合，为预防意外，需做适当的备份。

备份的安全要求执行《重要信息备份管理程序》。

（4）记录保管部门应建立《记录清单》，明确规定保管记录类别、记录保存期限等。

记录的保存应符合有关法律法规的要求，保存期限参考本规格书第4条款。

（5）因工作需要，借阅其他部门的秘密记录，应获得记录保管部门负责人授权后方可借阅，并留下授权记录和借阅记录。

借阅者在借阅期内应妥善保管记录，并按期归还；机密记录只准在现场查阅。

（6）记录的字迹应清晰、真实、文字表达准确、简练，记录不得随意修改。

确需修改时，必须在修改处作标识，并由修改人签名确认。

3.2 废弃
超过保管期限的记录，由保管部门作为秘密文件处理废弃。

废弃应采用安全可靠的处置方法（如书面记录采用粉碎方法、电子媒体采用格式化方法等），处置记录应予以保存。

但若保管部门认为必要时，仍可继续保管超出保管期限的记录。

4.记录的分类和保存年限详见《记录清单》
5.记录
东莞市有限公司
纠正预防措施控制程序
文件编号：ISMS-COP03 状态：受控
编写：信息安全管理委员会2018年05月10日
审核：2018年05月10日
批准：陈世胜2018年05月12日
发布版次：A/0版2018年05月12日
生效日期：2018年05月18日
分发：各部门接受部门：各部门
变更记录
纠正预防措施控制程序
1 适用
本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的控制。

2 目的
为对不符合/潜在不符合进行分析、采取措施，并予以消除，以逐步改进和完善信息安全管理体系，特制定本程序。

3 职责
本公司办公室为公司信息安全管理体系纠正/预防措施的归口管理部门，负责组织相关部门进行信息安全数据的收集及分析，确定不符合/潜在不符合原因，评价纠正/预防措施的需求，组织相关部门制定纠正/预防措施，并由办公室负责跟踪验证。

4 程序
4.1 纠正/预防措施信息来源有：
a. 公司内外安全事件记录、事故报告、薄弱点报告；
b. 日常管理检查及技术检查中指出的不符合；
c. 信息安全监控记录；
d. 内、外部审核报告及管理评审报告中的不符合项；
e. 相关方的建议或抱怨；
f. 风险评估报告；
g. 其他有价值的信息等。

4.2 办公室每半年组织相关部门利用4.1条款所规定的信息来源，分析确定不符合/潜在不符合及其原因，评价防止不符合发生的措施的需求，并形成《信息安全风险评估报告》。

采取纠正/预防措施应与潜在问题的影响程度相适应，对于以下情况的不符合/潜在不符合应采取纠正/预防措施：
a. 可能造成信息安全事故；
b. 可能影响顾客满意程度、造成顾客抱怨与投诉；
c. 可能影响本公司的企业形象与经济利益；
d. 可能造成生产经营业务中断。

对于各部门日常发现报告的重大安全隐患（安全薄弱点），办公室应组织有关部门进行原因分析，采取纠正/预防措施。

4.3需制定纠正/预防措施时，办公室应将有关不符合/潜在不符合信息及原因填入《纠正/预防措施申请单》，组织有关部门制定纠正/预防措施对策，确定实施纠正/预防措施的部门，填入《纠正/预防措施申请单》，经管理责任人批准后予以实施。

4.4 当问题原因不确定或责任重大时，由采取纠正/预防措施的部门呈报公司信息安全最高责任者，必要时，应提交公司信息安全管理委员会进行专题研究，商讨对策。

4.5 实施纠正/预防措施的部门应按照《纠正/预防措施申请单》要求认真执行，并将执行结果记入相应《纠正/预防措施申请单》中。

4.6办公室对纠正/预防措施实施结果进行验证，并将验证结果记录在《纠正/预防措施申请单》上。

验证内容包括：
a. 纠正/预防措施是否按纠正/预防措施计划的要求实施；
b. 是否消除了不符合/潜在不符合的原因。

4.7经验证效果不理想，负责制定纠正/预防措施的部门应重新编制《纠正/预防措施申请单》，依据本程序4.3要求实施。

4.8纠正/预防措施需要涉及文件更改的，应对文件进行评审，按《文件和资料管理程序》更改文件。

4.9 办公室应做好纠正/预防措施相关记录的保存。

管理评审前，将各部门所采取的纠正/预防措施的有关情况汇总，提交管理评审。

5 记录
管理评审控制程序
东莞市有限公司
文件编号：ISMS-COP04 状态：受控
编写：信息安全管理委员会2018年05月10日
审核：2018年05月10日
批准：陈世胜2018年05月12日
发布版次：A/0版2018年05月12日
生效日期：2018年05月18日分发：各部门接受部门：各部门
变更记录
管理评审控制程序
1 适用
本程序对信息安全管理体系中要求进行的管理评审的实施程序作规定。

2 目的
为确保公司信息安全管理体系持续的适宜性、充分性和有效性，评估公司信息安全管理体系改进和变更的需要，包括信息安全方针、目标，特制定本程序。

3 相关文件
《信息安全手册》
4 实施程序
4.1 实施频率、时期
管理评审每年至少进行一次。

4.2 召集和参加评审者
4.2.1由总经理指示信息安全管理体系的管理者代表（以下简称管理者代表）召开管理评审会议。

4.2.2参加管理评审会议者包括最高管理者、管理者代表及相关的部门长（或高级主管）。

受召集的部门长因不得已的理由而无法出席时，可让其他管理者代其出席。

4.2.3除了每年定期召开一次管理评审会议外，最高管理者还可在发生以下情况时，指示管理者代表召开管理评审会议。

a.当本公司的产品、过程、系统、组织机构、人员和资源等有重大变化时；
b.当连续出现重大信息安全事故时；
c.当相关方有重大投诉或抱怨时；
d.内部审核、顾客审核或ISO27001：2005外部审核时，发现了对全公司有影响，属信息安全管理体系上的重大不符合事项时；
e. ISO27001：2005修订的情况下。

4.3 评审程序
4.3.1管理者代表和各部门长准备以下资料，在管理评审中向最高管理者说明。

管理输入包括：
a) ISMS审核和评审的结果、方针和目标；
b) 相关方的反馈；
c) 可以用于改进ISMS业绩及有效性的技术、产品或程序；
d) 纠正和预防措施的实施情况；
e) 在以前风险评估没有充分提出的薄弱点或威胁；
f) 以往管理评审的跟踪措施；
g) 可能影响ISMS的任何更改；
h) 改进的建议。

4.3.2 最高管理者接收了上述报告后，根据需要确认详细内容，对信息安全体系的有效性和运用状况进行评价，对以下管理评审输出作指示。

管理评审输出：
a) ISMS有效性的改进；
b) 修改影响信息安全的程序文件，必要时，对可能影响ISMS的内外事件（events)发生的变更进行对应；这些变更包括：
1) 业务要求；
2) 安全要求；
3) 影响现存业务要求的业务过程；
4) 法律法规环境；
5) 风险水平和/或风险接受水平。

c) 资源的需求。

4.4 跟踪
4.4.1管理者代表编写管理评审的会议记事录，经过最高管理者批准后，发给各相关部门。

同时，通过文件将最高管理者的指示内容发给处置责任部门，委托推进纠正措施；
4.4.2管理者代表确认纠正和预防措施的实施日程和进度状况，并将结果书面报告给最高管理者；
4.4.3最高管理者针对上述报告，作适当的指示。

4.5 管理评审的记录
管理评审的输入、输出、会议记录以及纠正和预防措施的记录由管理者代表保管三年以上。

东莞市有限公司
文件和资料管理程序
文件编号：ISMS-COP05 状态：受控
编写：信息安全管理委员会2018年05月10日
审核：2018年05月10日
批准：陈世胜2018年05月12日
发布版次：A/0版2018年05月12日
生效日期：2018年05月18日
分发：各部门接受部门：各部门
变更记录
文件和资料管理程序
1. 目的
对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。

2. 适用范围
本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。

3. 职责
3.1 办公室负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。

3.2 办公室负责《信息安全管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。

3.3 办公室负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；
3.4 办公室负责组织项目工程竣工资料的审核验收；参与重大工程项目施工组织设计编制工作。

3.5 办公室负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。

3.6各职能部门负责本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。

4. 文件和资料编号/版本规定
4.1本公司采用四级层次文件（含记录）编写法。

所有信息安全管理的文件均包含ISMS作为开头，表示为信息安全管理体系文件，其后由数字构成顺序编号。

其中信息安全管理手册的编号为：
FX-ISMS-20XX,表示为飞翔公司信息安全管理文件20XX年发布。

信息安全适用性声明的编号为：FX-ISMS-SOA-20XX,
其中，SOA表示适用性声明。

程序文件的编号为：ISMS-COPXX,COP表示程序，XX为顺序号。

作业文件的编号为：ISMS-WIXX,WI表示作业文件，XX为顺序号。

关于记录的编号规定见《记录控制程序》
4.2版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。

如：“A/0”。

以此类推。

第0次修定（按照数字自然顺序号，依次使用1、2、3……）
第A版（按照英文字母自然排序，依次使用B、C、D……）版本及修订号的标注方法：1、2、3层次文件标注在封面。

记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的版本及修订号，以示区别。

5. 工作程序
5.3 文件的批准、发布和标识
5.3.1《信息安全管理手册》由信息安全管理委员会编写，管理者代表审核，最高管理者批准发布。

5.3.2程序文件和三层文件在办公室组织下由主管该程序的职能部门或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批准发布。

5.3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照公司按照国家颁布的信息安全方面的法律法规进行编写。

5.3.4 其他管理文件由编写该文件的部门负责人审核，公司主管领导批准。

5.3.5《信息安全管理手册》和程序文件都应标识清楚文件的名称、编号、版本、制文时间、发布部门和日期等。

5.3.6公司内行政文件的发文程序。

文件编写部门在文件定稿以后，填写《文件审批接收单》，标明文件名称、编号、份数、说明、主办单位、接受部门，经部门领导审核签字后交办公室，办公室根据文件内容送有关领导签发，填写发文编号打印后，加盖印章发出。

5.3.7外来文件的管理程序。

凡发到公司的与信息安全和有关的外来文件均由办公室负责签收、登记、分类，由办公室先送公司有关领导阅批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关部门阅办或转发以后，其文件原件一律由公司办公室收回并存档案。