b) 如何
1) 将实施行动整合到信息安全管理体系流程中；
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
b）确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c）为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。
2) 识别风险的属主；
d) 分析信息安全风险：
1) 评估在信息安全风险评估中识别的风险产生的潜在后果；
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性；
3) 确定风险的等级；
e) 评价信息安全风险：
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较；
2) 根据风险等级确定风险处置的优先级。
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力；
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求；
c)评价所采取措施的有效性；
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。
GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》
3、术语和定义
3.3.1GB/T 22080-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》、GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》规定的术语和定义适用于本《信息安全管理手册》。
此方针由管理层根据公司内、外环境的变化适时予以修订、调整并予以公告。公司全体员工以及相关各方应该随时关注信息安全方针的变化并按照最新的信息安全方针执行。
0.5、信息安全目标：
本公司信息安全目标：
1）安全事件发生次数：
重大安全事件目标值：0次/年 ，较大安全事件目标值：不大于 4次/年，一般安全事件目标值：不大于8次/年。
7.3意识
——资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）；
——信息系统、信息流动以及决策过程（包括正式和非正式的）；
——内部利益相关者；
——政策，为实现的目标及战略；
——观念、价值观、文化；
——组织通过的标准以及参考模型；
以上相关因素将影响公司实现信息安全管理体系的预期成果。
4.2 理解相关方的需求和期望
2)信息泄密次数：
保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。
信息泄密次数目标值：0次/年
各部门信息安全目标：
部 门
部门信息安全目标
统计方式
监测频率
综合部
1、人员招聘手续办理完成率100%；
2、人员教育或培训实施率100%；
3、人员离职手续办理完成率100%。
c) 识别并指出法律法规要求和合同安全责任；
d) 通过正确应用所实施的所有控制来保持充分的安全；
e) 必要时进行评审，并对评审的结果采取适当措施；
f) 需要时，改进信息安全管理体系的有效性。
7.2能力
公司制定并实施《人力资源安全管理程序》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：
3.3.2 本组织、本公司、我司：指公司。
4、组方面，但并不局限于此：
——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方；
——影响组织目标的主要驱动因素和发展趋势；
——外部利益相关者的观点和价值观。
组织内部环境包括如下几个方面，但并不局限于此：
c)避免风险（如物理隔离）；
d)转移风险（如将风险转移给保险者、供方、分包商）。
控制目标及控制措施的选择原则来源于GB/T 22080-2016/ISO/IEC 27001:2013附录A，具体控制措施参考GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理实用规则》
6 规划
6.1 应对风险和机会的措施
6.1.1总则
为实现公司信息安全管理体系方针和目标，我司参考组织环境中的问题和相关方的需求和，来决定需要被处置的风险和机遇：
a) 确保信息安全管理体系可以实现其预期目标；
b) 避免或减少不良影响；
c) 实现持续改进。
公司对以下方面进行规划：
a) 处置风险和机遇的行动；
信息安全管理手册
0.4 信息安全方针
为保护公司的信息资产，以及软硬件设施、软件、数据、文件等信息的安全，使其免于因外在的威胁或者内部管理不善而遭受泄密、破坏或者遗失的风险，特制定信息安全方针。
公司的信息安全方针是：
“高度重视、全面管理、积极预防、持续改进”
此信息安全方针适用于公司全体员工。
此方针由公司领导层和各部门负责人以会议或会签的形式讨论评审通过，并经总经理签字颁发，自颁发之日起开始生效。
a)业务范围：信息系统集成、计算机软硬件运行维护服务的信息安全管理活动；
b)信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；
c)组织范围：与所述业务有关的部门和所有员工；
d)地理范围：广州。
4.4 信息安全管理体系
本公司按照GB/T 22080-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定，参照GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理实用规则》，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
组织保留有关信息安全风险评估的过程文档。
6.1.3 信息安全风险处置
公司根据风险评估的结果，形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：
a)采用适当的内部控制措施；
b)接受风险（不可能将所有风险降低为零）；
2、网络非正常中断每月≤1次；
3、主机系统非正常中断每月≤1次。
1、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估；
2、以每月的网络中断事件为依据；
3、以每月的主机系统中断事件为依据。
每年
其他部门
重要文档及数据被正确保管及使用，机密信息泄露次数为0
每半年检查一次日常工作文件及数据是否被正确保管及使用，以及机密信息泄露相关事件。
5 领导
5.1 领导和承诺
本公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺：
a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标；
b) 确保信息安全管理体系要求集成到组织的管理流程；
c) 确保提供信息安全管理体系需要的各项资源；
d) 传达信息安全管理的重要性及信息安全管理体系要求；
组织保留信息安全风险处置的过程文档。
6.2 信息安全目标及其实现规划
本公司建立不同职能及层级的信息安全目标。详见本手册0.5章内容。此信息安全目标应：
a) 与信息安全方针一致；
b) 可度量（如果可操作）；
c) 考虑适用的信息安全要求,以及风险评估和风险处置结果；
d) 得到沟通；
e) 及时更新。
信息安全目标以文档化形式保留。在规划如何实现信息安全目标时，公司明确：
信息安全风险评估的流程见图2.风险评估流程图。
公司实施信息安全风险评估流程，从而：
a) 建立和维护信息安全风险标准，包括：
1) 风险接受标准；
2) 实施信息安全风险评估的标准；
b) 确保信息安全风险评估活动产生一致性，产生有效的和可比较的结果；
c) 识别信息安全风险：
1) 在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性和可用性的丧失带来的风险；
4、办公环境消防设施配置率100%
5、办公环境消防设施点检率100%
6、每年至少组织实施完成1次信息安全内审，且资料齐全；
7、每年至少组织实施完成1次信息安全管理评审，且资料齐全；
8、每年至少进行1次信息安全体系文件评审及更新。
1、查看全部员工入职手续办理情况；
2、查看培训计划及培训实施情况；
3、查看实际人员离职及手续办理情况。
e) 确保信息安全管理体系实现其预期目标；
f) 指导和支持信息安全团队；
g) 促使持续改进；
h) 支持其他相关的管理者在其职责范围内履行管理职责。
5.2 方针
为了满足适用法律法规及相关方要求，维持公司经营和管理的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了ISMS方针，见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求：
a) 要做什么；
b) 需要什么资源；
c) 谁来负责；
d) 什么时候完成 ；
e) 如何评价结果。
7 支持
7.1资源
本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证：