a) 确保安全活动的执行符合信息安全方针； b) 确定怎样处理不符合； c) 批准信息安全的方法和过程，如风险评估、信息分类； 5.3.2 信息安全职责和权限 本公司总经理为信息安全最高经管者，对信息安全全面负责，主要包括： a) 组织制定信息安全方针及目标，任命经管者代表，明确经管者代表的职责和权 限。 b）确保在内部传达满足客户、法律法规和公司信息安全经管要求的重要性。 c）为信息安全经管体系配备必要的资源。 各部门负责人为本部门信息安全经管责任者，全体员工都应按保密承诺的要求自觉 履行信息安全保密义务； 各部门有关信息安全职责分配见《信息安全经管职能分配表》。 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运 行的各种控制程序）的要求实施信息安全控制措施。
0.5、信息安全目标：
本公司信息安全目标： 1)安全事件发生次数：
重大安全事件目标值：0 次/年 ；较大安全事件目标值：不大于 4 次/年；一 般安全事件目标值：不大于 8 次/年。 2)信息泄密次数： 保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、 机密信息不泄漏给非授权人员。信息泄密次数目标值：0 次/年
经管者代表
总经理
信息安全委员 会
销
技
研
售
术
发
部
部
部
综
财
合
务
部
部
8 / 33
0.4 信息安全方针
实施风险经管，确保信息安全，保障业务可持续发展。 信息安全方针含义: a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风 险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发 生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。 b.在日常企业生产和经管中，对信息安全予以重视，全面识别和分析全部信息资 产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险 的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。 c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人 为本，坚持全员、全方位、全过程信息安全经管。通过测量和监控，持续改进， 保证信息安全经管体系的有效运行，做到制度执行有记录、记录记载可追溯， 最终保障企业生产、经营、经管和服务的持续和安全，实现企业发展目标。
本手册自颁布之日起生效执行。
江苏 XXXX 科技有限公司总经理：
二〇一六年三月一日
5 / 33
0.2 经管者代表任命书
兹委任担任江苏 XXXX 科技有限公司 ISO27001 信息安全经管体系经管者代表。 他将履行以下职责及权限： 1、 负责公司 ISO27001 的推行认证工作，负责组织信息安全经管体系建立、实施
1、以每月的网络中断事件为依据 2、以每月的主机系统中断事件为依据
每半年检查一次日常工作文件及数据是 否被正确保管及使用，以及机密信息泄 露相关事件。
监测 频率
每年
每半 年 每年
10 / 33
1、范围 1.1 总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全经管体系（简 称 ISMS），确定信息安全方针和目标，对信息安全风险进行有效经管，确保全体员工理 解并遵照执行信息安全经管体系文件、持续改进信息安全经管体系的有效性，特制定 本手册。 1.2 应用
4.1 组织环境 4.2 理解相关方的需求和期望 4.3 明确信息安全经管体系的范围 4.4 信息安全经管体系 5、领导 5.1 领导和承诺 5.2 方针 5.3 组织角色、职责和权力 6、计划 6.1 处置风险和机遇 6.2 信息安全目标的计划和实现 7、支持 7.1 资源 7.2 能力
3 / 33
1.2.1 覆盖范围 本信息安全经管手册规定了江苏 XXXX 科技有限公司信息安全经管体系的建立和经 管、经管职责、内部审核、经管评审和体系持续改进等方面内容。
1.2.2 删减说明 本信息安全经管手册采用了 ISO/IEC27001:2013 规范正文的全部内容，对附录 A 的删减见《适用性声明 SoA》。 2、规范性引用文件 ISO/IEC 27001:2013《信息技术-安全技术-信息安全经管体系要求》 ISO/IEC 27002:2013《信息技术-安全技术-信息安全经管实施Байду номын сангаас则》
13 / 33
5 领导 5.1 领导和承诺
本公司通过以下行动证明公司实施了与信息安全经管体系有关的领导工作与承诺： a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标； b) 确保信息安全经管体系要求集成到组织的经管流程； c) 确保提供信息安全经管体系需要的各项资源； d) 传达信息安全经管的重要性及信息安全经管体系要求； e) 确保信息安全经管体系实现其预期目标； f) 指导和支持信息安全团队； g) 促使持续改进； h) 支持其他相关的经管者在其职责范围内履行经管职责。 5.2 方针 为了满足适用法律法规及相关方要求，维持公司经营和经管的正常进行，实现业务 可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定 义了 ISMS 方针，见本信息安全经管手册第 0.4 条款。该信息安全方针符合以下要求： 1) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则； 2) 考虑业务及法律或法规的要求，及合同的安全义务； 3)与组织战略和风险经管相一致的环境下，建立和保持 ISMS； 4) 建立了风险评价的准则； 5) 经最高经管者批准。
统计方式
1、查看全部员工入职手续办理情况； 2、查看培训计划及培训实施情况； 3、查看实际人员离职及手续办理情况； 4、现场检查办公环境消防器材配备情 况； 5、现场检查办公环境消防器材的检修情 况； 7、按照信息安全内审计划执行内审及改 进，及时整理信息安全内审资料； 8、按照信息安全经管评审计划执行评审 及改进，及时整理信息安全经管评审资 料； 9、每年集中对信息安全经管体系文件进 行评审，必要时进行更新； 10、每年组织各相关部门进行风险评估 回顾、对新增或发生变化的信息资产进 行风险评估。
14 / 33
5.3 组织角色、职责和权力 5.3.1 信息安全组织机构
本公司成立了由最高经管者、经管者代表及各部门负责人组成的信息安全委员会， 其职责是实现信息安全经管体系方针和本公司承诺，负责制订、落实信息安全经管工作 计划，建立健全企业的信息安全经管体系，保持其有效、持续运行。
本公司采取相关部门代表组成的运行分析会议的方式，进行信息安全协调和协作， 以：
江苏 XXXX 科技有限公司
编号 版本 密级 受控
XX-ISMS-01 A/0
内部限制 是
信 息 安 全 管 理 手 册
生效日期 2016.3.1
序号
修改原因
核准
审查
制订
修改记录
修改内容
修改人/时间
批准人/时间
备注
1 / 33
2 / 33
目录
0.1、信息安全经管手册发布令 0.2、经管者代表任命书 0.3、公司简介 0.4、信息安全方针 0.5、信息安全目标 1、范围 2、引用规范 3、术语和定义 4、信息安全经管体系
12 / 33
定的义务。 4.3 本公司信息安全经管体系的范围和边界
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本 公司信息安全经管体系的范围包括：
a) 业务范围：。。。。。。的设计开发和服务的信息安全经管活动； b) 信息系统范围：所述活动、系统及支持性系统包含的全部信息资产； c) 组织范围：与所述业务有关的部门和所有员工； d) 地理范围：。 4.4 信息安全经管体系 本公司按照 ISO/IEC 27001:2013《信息技术-安全技术-信息安全经管体系-要求》 规定，参照 ISO/IEC 27002:2013《信息技术-安全技术-信息安全经管实用规则》，建立、 实施、运行、监视、评审、保持和改进文件化的信息安全经管体系。
11 / 33
3、术语和定义 3.3.1 ISO/IEC 27001:2013《信息技术-安全技术-信息安全经管体系要求》、 ISO/IEC 27002:2013《信息技术-安全技术-信息安全经管实施细则》规定的术语和 定义适用于本《信息安全经管手册》。 3.3.2 本组织、本公司、我司：指江苏 XXXX 科技有限公司。 4、信息安全经管体系 4.1 组织环境
和维持，确保公司的信息安全经管体系运作符合信息安全经管体系规范； 2、 信息安全经管体系内部审核的策划、组织及实施； 3、 批准信息安全经管体系程序文件； 4、 代表公司就信息安全的有关事项和外部进行联络。
日期：二〇一六年三月一日
总经理：
6 / 33
0.3、公司简介
7 / 33
公司组织架构如下图所示：
7.3 意识 7.4 沟通 7.5 文档要求 8、实施 8.1 运行计划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9、绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 经管评审 10、改进 10.1 不符合项和纠正措施 10.2 持续改进
附件： 附件一：信息安全职能分配表 附件二：信息安全职责 附件三：信息安全经管体系程序文件清单 附件四：信息安全经管体系作业指导书文件清单
4 / 33
0.1 信息安全经管手册发布令
为提高江苏 XXXX 科技有限公司的信息安全经管水平，保障企业经营、服务和日常经 管活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或 安全事故，公司开展贯彻 ISO/IEC 27001:2013《信息技术-安全技术-信息安全经管体系 要求》规范的工作，建立文件化的信息安全经管体系，制定了江苏 XXXX 科技有限公司《信 息安全经管手册》（以下简称手册）。
组织外部环境包括如下几个方面，但并不局限于此： ——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无 论是国际、国内、区域或地方； ——影响组织目标的主要驱动因素和发展趋势； ——外部利益相关者的观点和价值观。 组织内部环境包括如下几个方面，但并不局限于此： ——资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）； ——信息系统、信息流动以及决策过程（包括正式和非正式的）； ——内部利益相关者； ——政策，为实现的目标及战略； ——观念、价值观、文化； ——组织通过的规范以及参考模型； 以上相关因素将影响公司实现信息安全经管体系的预期成果。 4.2 理解相关方的需求和期望 a)与本公司信息安全经管体系有关的相关方有：供方、合同方、顾客及其他第三 方访问者。 b) 各相关方对我司的信息安全需求，包括了信息安全相关法律法规要求和合同规