ISO27001 XX-ISMS-OP-02-001 相关方的需求和期望(信息安全方面)一览表

关键部门
销售部。
支持部门
行政部、生产部、品质部、销售部。
资源支持
作业场地、设备。
外部服务提供商
原材料服务商等。
ISO27001信息安全管理体系相关方需求 Nhomakorabea期望分析表
相关方需求与期望
质量与信息安全要求
核心客户
客户（客户对质量需求与期望）
客户投诉/抱怨率不超过行方每月要求的达标值。
可用性：在客户约定的时间内，产品可用性满足客户要求。在约定时间内发生非不可抗力造成的不合格，必须在约定的时间恢复生产系统正常运行。
完整性：进行的任何操作必须准确无误，确保产品信息真实性和可靠性。
体系范围：与电销/电催业务外呼服务质量及信息安全要求相关的业务活动、关键部门、支持部门、信息系统、外部服务提供商
核心业务活动
塑胶模具生产制造、电子产品用塑胶件生产，包括市场拓展与销售、项目规划、项目实施、服务提供及服务终止整个生命周期。
支持业务活动
供应链管理、人力资源、信息技术、行政、财务等管理支持。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中，确保客户敏感信息的保密性，防止由于人员对信息处理不当，导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效，导致客户信息及公司重要商业信息的泄漏。
确保客户信息及重要信息系统的完整性
3.在服务提供过程中，严格按照操作流程及规范进行提供服务，确保关键数据的准确性和完整性。
4.防止关键业务应用系统、网络服务及个人计算机因管控不当造成数据丢失或被篡改，导致系统中的客户信息、公司重要信息失去完整性和真实性。
确保重要信息系统的可用性
1.防止关键业务系统因管理不当造成系统故障，导致公司产品受到严重影响。

最新ISO27001-2013信息安全管理体系管理手册、程序文件ISO27001-2013信息安全管理体系管理手册ISMS-M-yyyy 版本号：A/0受控状态： ■ 受 控 □ 非受控日期： 2019年1月8日 实施日期： 2019年1月8日修改履历00 目录00 目录 (2)01 颁布令 (1)02 管理者代表授权书 (1)03 企业概况 (1)04 信息安全管理方针目标 (1)05 手册的管理 (1)06 信息安全管理手册 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 本公司 (1)3.2 信息系统 (1)3.3 计算机病毒 (2)3.4 信息安全事件 (2)3.5 相关方 (2)4 组织环境 (2)4.1 组织及其环境 (2)4.2 相关方的需求和期望 (2)4.3 确定信息安全管理体系的范围 (2)4.4 信息安全管理体系 (3)5 领导力 (3)5.1 领导和承诺 (3)5.2 方针 (4)5.3 组织角色、职责和权限 (4)6 规划 (4)6.1 应对风险和机会的措施 (4)6.2 信息安全目标和规划实现 (6)7 支持 (7)7.1 资源 (7)7.2 能力 (7)7.3 意识 (8)7.4 沟通 (8)7.5 文件化信息 (8)8 运行 (9)8.1 运行的规划和控制 (9)8.2 信息安全风险评估 (9)8.3 信息安全风险处置 (10)9 绩效评价 (10)9.1 监视、测量、分析和评价 (10)9.2 内部审核 (11)9.3 管理评审 (12)10 改进 (12)10.1 不符合和纠正措施 (12)10.2 持续改进 (13)附录A 信息安全管理组织结构图 (1)附录B 信息安全管理职责明细表 (1)附录C 信息安全管理程序文件清单 (1)01 颁布令为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司** 《信息安全管理手册》。

1.相关方需求和期望管理程序1.1. 制定目的明确与公司质量环境管理体系有关的相关方，并确定这些相关方的需求与期望。

以做为公司生产和服务的行动指南，提供满足相关需求和法律法规的产品和服务。

1.2. 适用范围公司整个生产经营过程。

1.3. 职责权限1、各部门负责相关方的要求及期望的识别2、行政部负责对各部门识别的相关方的要求及期望进行统计3、行政部负责将要求及期望作为风险分析及目标的输入。

1.4. 术语定义无1.5. 工作程序1、总经理（或授权人员），于体系导入之初，组织业务部、软件部、硬件部、客服部（市场部）、工程部确定与公司质量管理体系有关的相关方，包括但不仅限于：核心客户、供方、所在地政府机关、第三方认证（检测）机构、内部员工及总公司等。

2、总经理（或授权人员）组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门，向本部门所主导联系的相关方发放《相关方的需求和期望清单》，识别相关方的需求与期望。

3、总经理（或授权人员）组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门，对识别出的相关方的需求与期望进行汇总，形成《相关方的需求和期望清单》，确定相关方合理的需求与期望，并制定相对的制度，以落实到公司的紧固件生产和服务过程中；4、总经理委托行政部，每半年召开一次相关方需求和期望达成程度分析会议，各部门应汇报本部门所主导联系的相关方需求和期望的达成状况、未达成事项及实施对策。

由业务员汇总后呈报总经理决策。

5、总经理（或授权人员）组织行政部、财务部、采购部、质检度、生产部、软件部、硬件部、客服部、市场部、项目部等部门，于每年年尾或次年年初，对确定的相关方的需求与期望进行评审，是否已达成。

并将达成情况做为管理评审的输入资料。

6、总经理（或授权人员），每年年初重新对相关方发放《相关方的需求和期望清单》并进行识别，以了解相关方的需求与期望是否发生变化，及时更新《相关方的需求和期望清单》。

提供培训机会。
员工满意度调查、员工反馈信息
各部门
年度培训计划、培训及时率
每月
按照《培训程序》执行。
33
良好的工作环境，和谐的工作氛围，人身安全与健康有保障。
员工满意度调查、员工反馈信息
所有部门
5S检查
1次/月
按照《5S与目视化程序》执行。
34
定期举办各类娱乐活动，丰富员工的业余生活。
员工满意度调查、员工反馈信息
客户合约
工艺部
每年工程变更验证合格率
每年
按照《变更程序》执行，变更前获得客户批准。
16
客户的知识产权或客户财产妥善维护保管，签订保密协议。
客户合约
各部门
客户财产零损失、
100%签订保密协议
每月
按照《知识程序》和《信息安全程序》执行。
17
新产品交货前需提供零件承认书，并确保承认书的正确率高。
客户合约
品质部
应对措施
23
外部供方
原材料供应商
1).稳定、持续地合作，互利双赢；
2).及时付款；
3).交货期长的物料建议提前下单并备库存；
4).采购及收货人员协助配合工作。
供应商反馈信息
采购、物料、财务部门
供应商交货品质合格批率、准时率、付款及时率
每月
1).按照《采购程序》执行；
2).财务部按时支付货款。
24
外包商
提前协商样品及交货周期、明确验收标准。
外包商反馈信息
采购、物控部门
外包商交货品质合格批率、准时率
每月
按照《外包过程程序》执行。
25
工程承包商
保持长期合作，及时付款。
工程承包商反馈信息

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

2.对外包服务过程进行严格管理，避免、化解或降低由于服务过程不当导致的投诉。
3.不断改进和提升服务质量，为客户创造更多价值。
确保客户信息和公司重要商业信息的保密性
1.在获取、处理和交付客户信息资产的过程中，确保客户敏感信息的保密性，防止由于人员对信息处理不当，导致客户信息的泄漏。
2.防止关键业务应用系统、网络服务及个人计算机因管控失效，导致客户信息及公司重要商业信息的泄漏。
管理体系在支持愿景及核心竞争力方面应达到的结果
基于手机电池、电池充电器、电源变压器行业的特点，本公司要成为行业内的领先企业，质量管理能力和信息安全技术将是不可或缺的因素。因此，本公司在质量和信息安全管理方面必须能够实现高层期望的成果：
— 不断优化业务流程，持续加强对员工的技能、质量和信息安全意识能力培训，不断提升客户的经营指标达成率、降低有效投诉及抱怨率。
2、是否存在自然环境发生的、质量造成灾难性影响的因素，例如：地震、台风、洪水等？
来自于自然环境（包括：地震、海啸、台风、洪水、雷电、暴雨、暴雪）的威胁会造成公司活动暂时中断。
台风
1、生产设施缺乏物理保护
2、生产设施缺乏台风暴雨洪水暴雪应急预案
暴雨
洪水
暴雪
雷电
1、生产设施缺乏防雷设施
2、防雷设施没有及时检测
符合适用法律及行业法规要求
1.对客户的质量要求、行业内相关法律法规进行充分识别，确保整个过程满足客户质量要求及行业内相关法律法。
—符合适用法律及行业法规要求
我们将通过以下举措努力实现上述承诺的质量目标：
— 维护并持续改进质量管理体系，采取预防性措施，减少各类质量事件发生，通过质量持续提升的绩效让客户体验质量管理的成果。
确保客户信息及重要信息系统的完整性

• 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。 • 本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。 • 组织声称符合本标准时，对于第4 章到第10 章的要求不能删减。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1） 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险；（CIA） •2） 识别风险责任人。（资产归属）
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险：
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响；（资产脆弱性被威胁利用后的严重 性）
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动，证实对信息安全管理体系的领导和承诺：
• a) 确保建立了信息安全策略和信息安全目标，并与组织战略方向一致； • b) 确保将信息安全管理体系要求整合到组织的业务过程中； • c) 确保信息安全管理体系所需资源可用； • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性； • e) 确保信息安全管理体系达到预期结果； • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献； • g) 促进持续改进； • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面： 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境，无论是国际的、 国家的、地区的或地方的； 影响组织目标的关键驱动力和趋势； 与外部利益相关方的关系及其认知和价值观。

文件制修订记录1.0目的为了使组织内部不同层次和职能之间更充分了解并尽量满足顾客需求及其环境信息的有效交流。

2.0适用范围适用于我公司的活动、产品或服务范围内相关信息的沟通交流。

3.0定义顾客：接受产品的组织或个人。

相关方：关注组织环境表现（行为）或受其环境表现（行为）影响的个人或团体。

4.0职责4.1人力资源部负责对全公司员工管理方面的培训并确认效果。

4.2市场部确保外部信息的接收、处理及回答等有效实施。

4.3各部门经理确保内部信息沟通按程序有效实施。

4.4管理者代表负责与质量对内外有关事宜的联络5.0工作程序5.1内外部沟通目的5.1.1有助于阐明公司对质量/环境的承诺；5.1.2提高对公司方针、目标指标的认识；5.1.3有助于员工了解公司管理体系的表现；5.1.4促进公众对公司管理表现及所做努力的理解和认同；5.1.5及时将对管理体系进行监视、审核和评审的结果传达给公司内部有关人员。

5.2内外部沟通内容5.2.1公司简介；5.2.2方针、目标指标；5.2.3管理过程；5.2.4绩效评价、管理体系有效性；5.2.5需要改进的地方；5.2.6独立验证的情况等；5.3环境信息交流5.3.1内部环境信息交流5.3.1.1环境管理建议处理a.员工有任何关于管理的建议，须联络至文控中心呈管理者代表处理，由管理者代表委派文控中心进行沟通处理；b.处理结果由文控中心转达信息至原建议者；c.如果建议有改进管理体系的效益，应于管理评审会议中讨论；d.所有建议及处理结果均应留下记录，记录正本由文控中心统一管理。

5.3.1.2方针、目标的贯彻管理者代表和文控中心可通过以下方式贯彻其效果：a.利用文件宣传贯彻；b.借由公司集会广告而之；c.在内部进行宣传贯彻。

5.3.2外部环境信息交流5.3.2.1外部环境管理建议处理a.人力资源部负责收集外界（不包括公司客户）对公司环境管理事务的任何建议。

销售部负责收集公司客户对公司环境管理事务的任何建议；b.接收方式可为电话、传真、信件、口述或其它可行方式，接收时应告知建议者处理流程大约所需时间；c.人力资源部应将接收的信息联络至文控中心处理；d.处理结果应呈管理者代表批准后告知提议者；e.建议及处理结果的联络记录由文控中心统一管理；f.外部相关方及供应商若须了解或取得本公司环境方针时，文控中心须予以说明或提供。

最新ISO27001信息安全管理体系全套程序文件信息安全管理体系程序文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

ISO27001产品概述；ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。

最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。

该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。

Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）；DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训；Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

条件：1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件；2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上；3) 至少完成一次内部审核，并进行了有效的管理评审；4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

材料1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。

序号 相关方
1 客户 2 第三方审核机构
相关方信息安全需求和期望清单
信息安全需求和期望
控制措施
负责部门
符合合同签定的要求和商务谈判约定，具体见合同
与客户谈判签订信息安全保密协议
客服/销售及法务
信息安全审核要求 符合ISO27001和相关国家法律法规要求 符合国家法律和行业规范的要求 保护公司信息,确定公司在同行业内的竞争优势
信息安全小组 集团体系部 信息安全小组
4 员工
防止个人信息泄露 防止个人重要信息未经合法授权被别人篡改
5
政府等上级管理机 构
符合国家政策、法律和行业规范的要求,具体见《法律法规清单》
6 供应商或外包商 批准：
防止供应商信息泄密
审核：
公司与员工签订保密协议，保护个人的合法信息及 隐私。
集团人力资源部
建立个人OA账号，个人电脑用户账号，保护个人信 息防止被别人篡改。
集团IT部
收集政府等上级管理机构信息安全法律法规要求， 建立《法律法规及其它要求一览表》
集团体系部
要求供应商或外包商与公司签订信息安全保密协议 采购部/寻源部 制订：
按客户要求搭建信息安全体系文件，并实施推行及 通过客户信息安全审核。
通过实施ISO27001标准，通过第三方审核机构外部 审核。
收集国家法律和行业信息安全法律法规要求，建立 《法律法规及其它要求一览表》。
通过IT控制手段，公司机密信息进行加密处理防止 信息外泄。
集团体系部 集团体系部 集团体系部
集团IT部
信息安全小组
企业核心业务所赖以持续的各项信息资产得到了妥善保护 建立有效的业务持续性计划框架 降低潜在信息安全事件发生而给企业Байду номын сангаас来的损失

审核组成员任命书编号：DK-ISMS-P03-R01根据公司质量手册规定，拟于2019年12月10日—11日对公司进行US0270001&ISO20000信息安全&信息技术服务管理》管理体系内部审核。

现任命XXX为审核组长，XXX为审核组成员，并做以下工作：1.于2019年12月1。

日前提出此次审核计划上报管理者代表审批（审核组长）；2.于2019年12月25日前向管理者代表提交审核报告（审核组长）。

管理者代表：XXX2019年12月4日2019年度内部审核计划为验证本公司各部门的信息安全管理活动是否符合IS027001:2013《信息技术-安全技术-信息安全管理体系要求》US020000-1：2018信息技术-服务管理体系-要求》标准、相关法律法规的要求和《信息安全&信息技术服务管理》要求以及《信息安全&信息技术服务管理》体系的有效性，根据《信息安全&信息技术服务管理》和《内部审核管理程序》的要求，安排进行2019年度内部审核和管理评审，内部审核工作进行一次，管理评审工作进行一次，具体时间计划如下：一、2019年12月10日至11日，进行公司第一次《信息安全&信息技术服务》管理体系内部审核。

二、2019年12月初，进行公司第一次信息安全管理评审。

内部审核的范围应覆盖信息安全管理体系所有部门和活动，根据实际情况，由管理者代表提出，总经理批准可增加审核频次。

编制：XXX批准：XXX2019年12月4日《信息安全&信息技术服务》管理体系内审实施计划编制/时间：谢XX2019.12.4审核/时间:韩XX2019.12.4批准/时间：贺XX2019.12.4审核通知书编号:NS-JL-03 审核的目的：评价公司的《信息安全&信息技术服务》管理体系是否符合标准要求,是否覆盖所有的部门，运行是否有效。

审核准则：ISO27001：2013标准/ISO20000-1：2018S标准；《信息安全&信息技术服务管理手册》和相关法律法规等。

业务影响分析报告
目录
1概述 (1)
2级别划分定义 (1)
3关键业务活动影响分析 (1)
4关键功能与恢复时间目标 (1)
5影响关键业务的风险分析 (2)
6处理方案 (2)
7关键业务恢复所需资源 (3)
8管理者代表批准决议 (3)
1概述
2级别划分定义
(可参考风险管理过程文件)
3关键业务活动影响分析
4关键功能与恢复时间目标
项目功能描述级别可接受的最大停顿时间/恢
复时间目标
1.
2.
3.
4.
5.
5影响关键业务的风险分析
项目风险威胁发生可能性（P）业务影响程度级别（B）总体评价（U）1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
6处理方案
项目风险总体评价（U）处理方案
5.
6.
7.
8.
9.
10.
7关键业务恢复所需资源
项目功能资源其它1.
2.
3.
4.
5.
8管理者代表批准决议
此业务影响分析结果经与客户确认，做出以下决议：。

深圳市XXX科技有限公司信息安全告知书TS-ISMS-2021-0101版本：V 1.0（内部受控）2021-8-4 实施2021-8-4 发布深圳市XXX科技有限公司修改履历信息安全告知书各顾客、供应商、承包方和所有相关方：感谢您对我司的一贯支持。

为创造一个完善安全的信息沟通和传递途径，共同保障各方信息的安全，公司自2021年8月1日起按照IS027001：2013标准建立并实施信息安全管理体系，为确保管理体系实施的有效性，需要各相关方在工作交往及合作中给予大力配合。

现将有关事宜敬告如下：本公司特制订如下信息安全方针和信息安全目标：1、信息安全方针关注客户需求保障信息安全完善安全措施改进信息技术关注客户需求，保障信息安全：客户的安全需求为公司安全建设的重要输入，按照标准要求建设信息安全框架，保障公司整体的信息安全。

完善安全措施，改进信息技术：关注新的信息安全技术，不断获取新技术或新产品，改进信息技术，通过风险管理，持续完善安全措施，并且保证措施的实施效果。

2、信息安全目标◊顾客保密性抱怨/投诉的次数不超过1起/年。

◊受控信息泄露的事态发生不超过2起/年。

◊机密信息泄露的事态不得发生。

◊重要信息设备丢失每年不超过0起◊年度信息安全培训人员覆盖率100%◊大面积内网中断时间每年累计不超过240分钟◊大规模病毒爆发每年不超过2次3、要求本公司信息安全管理体系方针符合以下要求：a）为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b）识别并满足适用法律、法规和相关方信息安全要求；c）与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d）建立了风险评价的准则；e）经总经理批准，并定期评审其适用性、充分性，必要时予以修订。

1. 4承诺为实现信息安全管理体系方针，本公司承诺：a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；b）识别并满足适用法律、法规和相关方信息安全要求；C）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e）对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f）制定并保持完善的业务连续性计划，实现可持续发展。

Information technology- Security techniques-Information security management systems-Requirements信息技术 - 安全技术 - 信息安全管理体系 - 要求Foreword、八 — 前言IEC （国际电工委员会）是为国际标准化制定专门体制的国际组 织。

国家机构是ISO 或IEC 的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

ISO 和IEC 技术委员会在共同感兴趣的领域合作。

其他国际组织、政府和非政府等机构，通过联络 ISO 和 IEC 参与这项工作。

ISO 和 IEC 已经在信息International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.bodies casting a vote.联合技术委员会的主要任务是起草国际标准，并将国际标准草案提交给国家机构投票表决。

国际标准的出版发行必须至少 75%以上的成员投票通过。

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsibleISO (the International Organization for Standardization) and IEC (the International Electro technical Commission)form the specialized system for worldwide standardization.Nationalbodiesthat are members of ISO orIECparticipate in the development of InternationalStandards through technicalcommittees established by the respective organization to deal with particularfields of technical activity. ISO and IEC technical committees collaboratein fields of mutual interest. Other internationalorganizations,governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. Inthe field ofinformationtechnology, ISO and IEC haveestablished a joint technicalcommittee, ISO/IEC JTC 1.ISO （国际标准化组织）和技 术领域建立了一个联合技术委员会ISO/IECJTC1。