2019年GBT22080-2016信息安全管理体系信息安全风险识别评价及控制措施计划

目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定（无） (21)十、系统监控管理规定（无） (23)十一、补丁管理规定（无） (24)十二、信息系统审核规范（无） (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力，从而确保实际的开发中心服务能够满足服务要求。

2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。

3. 职责综合部负责确定、评估容量需求。

4. 内容(1)容量管理包括：服务器,重要网络设备：LAN、WAN、防火墙、路由器等；所有外围设备：存储设备、打印机等；所有软件：操作系统、网络、内部开发的软件包和购买的软件包；人力资源：要维持有足够技能的人员。

(2)对于每一个新的和正在进行的活动来说，公司管理层应识别容量要求。

(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。

公司管理层应特别关注与订货交货周期或高成本相关的所有资源，并监视关键系统资源的利用，识别和避免潜在的瓶颈及对关键员工的依赖。

(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力，以适当的成本和风险按时获得所需的容量。

第 1 页共 41 页二、信息资产密级管理规定1. 目的确保公司营运利益，并防止与公司营运相关的保密信息泄漏。

2. 范围本办法适用于公司所有员工。

3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。

信息安全技术信息系统安全工程管理要求1 范围本标准规定了信息安全工程（以下简称安全工程）的管理要求，是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件，各方可以此为依据建立安全工程管理体系。

本标准按照GB17859-2019划分的五个安全保护等级，规定了信息安全工程的不同要求。

本标准适用于该系统的需求方和实施方的工程管理，其他有关各方也可参照使用。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。

使用本标准的各方应探讨使用下列标准最新版本的可能性。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB 17859-2019 计算机信息系统安全保护等级划分准则GB/T 20269-2019 信息安全等级保护信息系统安全通用技术要求GB/T 20271-2019 信息安全等级保护信息系统安全管理要求3 术语和定义下列术语和定义适用于本标准。

3.1安全工程security engineering为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。

3.2安全工程的生存周期security engineering lifecycle在整个信息系统生存周期中执行的安全工程活动包括：概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。

3.3安全工程指南security engineering guide由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。

3.4脆弱性vulnerability能够被某种威胁利用的某个或某组资产的弱点。

3.5风险risk某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。

3.6需求方owner信息系统安全工程建设的拥有者或组织者。

3.7实施方developer信息系统安全工程的建设与服务的提供方。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISMS信息安全风险评估管理程序1 目的从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施；为防范和化解信息安全风险，将风险控制在可接受的水平，从而最大限度地为保障信息安全提供科学依据。

2 适用范围信息安全管理体系覆盖范围内的所有信息资产。

3 术语和定义引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。

4 职责和权限4.1 信息安全领导办公室●决定实施风险评估的时间和方法●指导风险处理计划的实施与检查●残余风险的批准。

4.2 部门信息安全主管●负责本部门范围内风险评估相关活动的组织实施●负责本部门范围内风险处理计划的组织实施4.3 部门信息安全员●在部门安全主管领导下，负责本部门风险评估相关活动的实施●在部门安全主管领导下，负责本部门风险处理计划的实施5 风险评估方法5.1 风险各要素的关系风险评估中各要素的关系如图1。

图1 风险评估要素关系图图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。

风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

图1 中的风险要素及属性之间存在着以下关系：a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；c）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；d）资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；f）风险的存在及对风险的认识导出安全需求；g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；h）安全措施可抵御威胁，降低风险；i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

GBT22080：2016信息安全管理体系全套内审资料1.年度内审计划2.内审实施计划3.首末次签到表4.内审检查表5.不合格报告6.内审报告2018年内审计划编号： LHXR-JL-008编制：批准：日期：2018年07月23日内部审核实施计划编号：LHXR-JL-12内审首/末次会议签到表LHXR-JL-13内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14内审检查表编号：LHXR-JL-14不合格报告内审报告编号：LHXR-JL―16审核目的检查公司信息安全管理体系是否符合GB/T22080-2016标准的要求及有效运行。

审核依据GB/T22080-2016标准、信息安全管理手册、程序文件、相关法律法规、合同及适用性声明等。

审核范围与信息安全相关的活动及部门。

审核时间2018年07月30-31日1、现场审核情况概述本次审核按《内部审核程序》要求，编制了内审计划及实施计划并按计划进行了实施。

审核小组分别按要求编制了《内部审核检查表》；内审计划事先也送达受审核部门。

审核组在各部门配合下，按审核计划进行审核，分别到部门、现场，采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法，进行了抽样调查和认真细致的检查。

审核组审核了包括总经理、管代、各有关职能部门。

审核员发现的不合格项已向受审部门有关人员指明，并由他们确认，审核员还就不合格项与受审部门商讨了纠正措施和方法。

本次审核共提出《不符合报告》共1份，涉及综合部1项。

涉及标准附录7.2条款。

2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

22080-2016信息安全管理体系管理手册及程序文件《22080-2016信息安全管理体系管理手册及程序文件》一、引言信息安全在现代社会中的重要性日益凸显。

为了保护企业的信息资产，确保信息系统的正常运行和数据的安全性，制定一个完善的信息安全管理体系是必要的。

本文将介绍22080-2016信息安全管理体系管理手册及程序文件。

二、信息安全管理体系管理手册1. 管理手册目的本管理手册的目的是确定和定义公司信息安全管理体系的目标、范围、政策、程序文件和相关文件，以保证信息安全管理实施的一致性和有效性。

2. 管理手册结构管理手册包括以下主要部分：- 信息安全管理体系范围：详细描述了本信息安全管理体系的适用范围，确保管理体系的全面性和一致性。

- 组织机构和职责：阐述了公司内相关部门的职责和责任，明确信息安全管理的组织结构和职能分工。

- 管理体系政策：制定和实施信息安全管理政策，确保信息安全管理体系与公司整体战略和目标一致。

- 信息资产管理：明确信息资产的分类、评估和管理流程，确保信息资产的安全性和完整性。

- 安全控制措施：概述公司已采取的技术和管理控制措施，保护信息系统和数据的安全性和可用性。

- 域内沟通与意识：描述了公司内部沟通与意识提升的机制和活动，促进员工对信息安全的重视和参与。

- 内部审核和持续改进：确定了内部审核的程序和要求，以及持续改进的方法和指导原则。

三、程序文件1. 准入控制程序该程序文件描述了对新员工、合作伙伴或供应商的准入控制流程。

包括背景调查、安全意识培训和签署保密协议等环节，以保证仅有合适和可信任的人员可以接触敏感信息。

2. 安全漏洞管理程序该程序文件规定了对信息系统存在的安全漏洞的管理流程。

包括安全漏洞的发现、评估、修复和验证等环节，以及漏洞管理责任人的职责，确保及时发现和消除安全漏洞，降低信息系统受到攻击的风险。

3. 网络监控和事件响应程序该程序文件描述了对网络活动的实时监控和对安全事件的快速响应流程。