ISO27001信息安全理手册
版号:V10
受控状态: ■ 受 控 □ 非受控
编 制
审 核
批 准
编写组
审核
总理
XXX
XXX
XXX
日期: 2019年X月X日 实施日期: 2019年X月X日
目 录
目 录 2
01 颁布令 1
02 理者代表授权书 2
03 公司概况 3
04 信息安全理方针目标 4
05 手册理 6
信息安全理手册 7
1 范围 7
11总 7
12应 7
2 规范性引文件 8
3 术语定义 8
31公司 8
32信息系统 8
33计算机病毒 8
34信息安全事件 8
35相关方 8
4 信息安全理体系 9
41概述 9
42建立理信息安全理体系 9
43文件求 15
5 理职责 18
51理承诺 18
52资源理 18
6 部信息安全理体系审核 19
61总 19
62审策划 19
63审实施 19
7 理评审 21
71总 21
72评审输入 21
73评审输出 21
74评审程序 22
8 信息安全理体系改进 23
81持续改进 23
82纠正措施 23
83预防措施 23
01 颁布令
提高公司信息安全理水保障公司业务活动正常进行防止信息安全事件(信息系统中断数丢失敏感信息泄密)导致公司客户损失公司开展贯彻GBT220802008idtISO270012005信息技术安全技术信息安全理体系求国际标准工作建立实施持续改进文件化信息安全理体系制定信息安全理手册
信息安全理手册企业法规性文件指导企业建立实施信息安全理体系纲领行动准贯彻企业信息安全理方针目标实现信息安全理体系效运行持续改进体现企业社会承诺
信息安全理手册符合关信息安全法律GBT220802008idtISO270012005信息技术安全技术信息安全理体系求标准企业实际情况现正式批准发布 2015年 12月 23 日起实施企业全体员工必须遵执行
全体员工必须严格信息安全理手册求觉遵循信息安全理方针贯彻实施手册项求努力实现公司信息安全理方针目标
总理:
2015年 12 月 23 日
02 理者代表授权书
贯彻执行信息安全理体系满足GBT220802008idtISO270012005信息技术安全技术信息安全理体系求标准求加强领导特命 公司信息安全理者代表
授权信息安全理者代表职责权限:
1. 确保标准求进行资产识风险评估全面建立实施保持信息安全理体系
2. 负责信息安全理体系关协调联络工作
3. 确保整组织提高信息安全风险意识
4. 审核风险评估报告风险处理计划
5. 批准发布程序文件
6. 持信息安全理体系部审核命审核组长批准审工作报告
7. 高理者报告信息安全理体系业绩改进求包括信息安全理体系运行情况外部审核情况
授权书命日起生效执行
总 理:
2013年 12 月 23 日
03 公司概况
04 信息安全理方针目标
防止信息系统中断数丢失敏感信息泄密导致企业客户损失公司建立信息安全理体系制订信息安全方针确定信息安全目标
信息安全理方针:
强化意识 规范行
数保密 信息完整
公司信息安全理方针包括容:
信息安全理机制
公司采系统方法GBT220802008idtISO270012005建立信息安全理体系全面保护公司信息安全
二信息安全理组织
1.公司总理信息安全工作全面负责负责批准信息安全方针确定信息安全求提供信息安全资源
2.公司总理命理者代表负责建立实施检查改进信息安全理体系保证信息安全理体系持续适宜性效性
3.公司部建立信息安全组织机构信息安全理委员会信息安全协调机构保证信息安全理体系效运行
4.级部门方政府相关专业部门建立定期常性联系解安全求发展动态获信息安全理支持
三员安全
1.信息安全需全体员工参支持全体员工保护信息安全职责劳动合岗位职责中应包含信息安全求特殊岗位员应规定特安全责岗位调动离职员应时调整安全职责权限
2.公司相关方针明确安全求安全职责
3.定期全体员工进行信息安全相关教育包括:技职责意识提高安全意识
4.全体员工相关方员必须履行安全职责执行安全方针程序安全措施
四识法律法规合中安全
时识顾客合作方相关方法律法规信息安全求采取措施保证满足安全求
五风险评估
1.根公司业务信息安全特点法律法规求建立风险评估程序确定风险接受准
2.采先进风险评估技术定期进行风险评估识公司风险变化公司环境发生重变化时时评估
3.应根风险评估结果采取相应措施降低风险
六报告安全事件
1.公司建立报告信息安全事件渠道相应部门
2.全体员工报告信息安全隐患威胁薄弱点事责旦发现信息安全事件应立规定途径进行报告
3.接受信息安全事件报告部门应记录报告时做出相应处理报告员反馈处理结果
七监督检查
定期信息安全进行监督检查包括:日常检查专项检查技术性检查部审核等
八业务持续性
1.公司根风险评估结果建立业务持续性计划抵消信息系统中断造成影响防止关键业务程受严重信息系统障者灾难影响确保够时恢复
2.定期业务持续性计划进行测试更新
九违反信息安全求惩罚
违反信息安全方针职责程序措施员规定进行处理
信息安全目标:
1) 确保年重信息安全事件(事)发生次数零
2) 确保单重业务系统月中断次数超1次次中断时间超2时
3) 确保信息安全事件发现率99报处理率100
05 手册理
1 信息安全理手册批准
信息安全理委员会负责组织编制信息安全理手册总理负责批准
2 信息安全理手册发放更改作废销毁
a)行政中心负责文件资料理程序求进行信息安全理手册登记发放回收更改档作废销毁工作
b)相关部门受控文件理求收信息安全理手册进行保
c)行政中心规定发放修改信息安全理手册收回失效文件做出标识统处理确保效文件唯性
d)行政中心保留信息安全理手册修改容记录
3 信息安全理手册换版
GBT220802008idtISO270012005标准重变化组织结构外部环境开发技术信息安全风险等发生重改变信息安全理手册发生需修改部分超13时应信息安全理手册进行换版换版应理评审时形成决议重新实施编制审批工作
4 信息安全理手册控制
a)信息安全理手册标识分受控文件非受控文件两种:
——受控文件发放范围公司领导相关部门负责审员
——非受控文件指印制成单行作投标书资料生产销售目等发受控范围外相关员
b)信息安全理手册书面文件电子文件
信息安全理手册
1 范围
11总
建立实施运行监视评审保持改进文件化信息安全理体系(简称ISMS)确定信息安全方针目标信息安全风险进行效理确保全体员工理解遵执行信息安全理体系文件持续改进信息安全理体系效性特制定手册
12应
覆盖范围:
信息安全理手册规定DXC信息安全理体系求理职责部审核理评审信息安全理体系改进等方面容
信息安全理手册适DXC业务活动涉信息系统资产相关信息安全理活动具体见4221条款规定
删减说明
信息安全理手册采GBT220802008idtISO270012005标准正文全部容附录A删减见适性声明
2 规范性引文件
列文件中条款通信息安全理手册引成信息安全理手册条款注日期引文件修改单修订版均适标准然行政中心应研究否文件新版注日期引文件新版适信息安全理手册
GBT220802008idtISO270012005信息技术安全技术信息安全理体系求
GBT220812008idtISO270022005信息技术安全技术信息安全理实规
3 术语定义
GBT220802008idtISO270012005信息技术安全技术信息安全理体系求GBT220812008idtISO270022005信息技术安全技术信息安全理实规规定术语定义适信息安全理手册
31公司
指DXC包括DXC属部门
32信息系统
指计算机相关配套设备设施(含网络)构成定应目标规信息进行采集加工存储传输检索等处理机系统
33计算机病毒
指编制者计算机程序中插入破坏计算机功者毁坏数影响计算机复制组计算机指令者程序代码
34信息安全事件
指导致信息系统提供正常服务服务质量降技术障事件利信息系统事反动害信息涉密信息传播事件利网络事信息系统破坏窃密事件
35相关方
关注公司信息安全公司信息安全绩效利益关系组织:政府供方银行户电信等
4 信息安全理体系
41概述
411 公司软件开发营服务日常理活动中GBT220802008 idtISO270012005信息技术安全技术信息安全理体系求规定参GBT220812008idtISO270022005信息技术安全技术信息安全理实规标准建立实施运行监视评审保持改进文件化信息安全理体系
412 信息安全理体系程基图1示PDCA模型
建立
ISMS
实施运行
ISMS
保持改进
ISMS
监视评审ISMS
相关方
信息安全
求
期
相关方
信息安全
理
策划
实施
检查
处置
图1 信息安全理体系模型
42建立理信息安全理体系
421建立信息安全理体系
4211 信息安全理体系范围边界
公司根业务特征组织结构理位置资产技术定义范围边界公司信息安全理体系范围包括:
a) 公司涉软件开发营销服务日常理业务系统
b) 述信息系统关活动
c) 述信息系统关部门员工
d) 述活动系统支持性系统包含全部信息资产
组织范围:
公司根组织业务特征组织结构定义信息安全理体系组织范围见手册附录A(规范性附录)信息安全理体系组织机构图
物理范围:
公司根组织业务特征组织结构理位置资产技术定义信息安全理体系物理范围信息安全边界
公司信息安全理体系物理范围公司位市惠山济开发区前洲配套区兴洲路2号科创中心二楼安全边界详见附录B(规范性附录)办公场面图
4212 信息安全理体系方针
满足适法律法规相关方求维持软件开发营正常进行实现业务持续发展目公司根组织业务特征组织结构理位置资产技术定义信息安全理体系方针见信息安全理手册第04条款
该信息安全方针符合求:
a) 信息安全目标建立框架信息安全活动建立整体方原
b) 考虑业务法律法规求合安全义务
c) 组织战略风险理相致环境建立保持信息安全理体系
d) 建立风险评价准
e) 高理者批准
实现信息安全理体系方针公司承诺:
a) 层次建立完整信息安全理组织机构确定信息安全目标控制措施明确信息安全理职责
b) 识满足适法律法规相关方信息安全求
c) 定期进行信息安全风险评估信息安全理体系评审采取纠正预防措施保证体系持续效性
d)采先进效设施技术处理传递储存保护类信息实现信息享
e) 全体员工进行持续信息安全教育培训断增强员工信息安全意识力
f) 制定保持完善业务连续性计划实现持续发展
4213 风险评估方法
行政中心负责制定信息安全风险评估理程序建立识适信息安全理体系已识业务信息安全法律法规求风险评估方法建立接受风险准识风险接受等级信息安全风险评估执行信息安全风险评估理程序保证选择风险评估方法应确保风险评估产生较重复结果
4214 识风险
已确定信息安全理体系范围公司信息安全风险评估理程序资产进行识识资产者资产包括数硬件软件员服务文档项资产身价值信息分类保密性完整性性法律法规符合性求进行量化赋值形成资产识清单
时根信息安全风险评估理程序识资产威胁威胁利脆弱性识资产价值保密性完整性性合规性损失资产造成影响
4215 分析评价风险
公司信息安全风险评估理程序采工分析法分析评价风险:
a) 针重资产身价值保密性完整性性合规性损失导致果进行赋值
b) 针项威胁薄弱点资产造成影响考虑现控制措施判定安全失效发生性进行赋值
c) 根信息安全风险评估理程序计算风险等级
d) 根信息安全风险评估理程序风险接受准判断风险接受需处理
4216 识评价风险处理选择
行政中心组织关部门根风险评估结果形成信息安全接受风险处理计划该计划明确风险处理责部门负责目范围处置策略
信息安全风险应考虑控制措施费衡原选适措施:
a) 消减风险(通适控制措施降低风险发生性)
b) 接受风险(风险值高者处理代价高风险引起损失公司决定接受该风险残余风险)
c) 规避风险(决定进行引起风险活动避免风险)
d) 转移风险(通购买保险外包等方法风险转移外部机构)
4217选择控制目标控制措施
行政中心根信息安全方针业务发展求风险评估结果组织关部门制定信息安全目标目标分解关部门(见适性声明):
a)信息安全控制目标获信息安全高责者批准
b)控制目标控制措施选择原源GBT220802008idtISO270012005信息技术安全技术信息安全理体系求附录A具体控制措施参考GBT220812008idtISO270022005信息技术安全技术信息安全理实规
c)公司根信息安全理需选择标准外控制措施
4218 风险处理残余风险公司高理者批准
4219 高理者通手册实施运行信息安全理体系进行授权
42110 适性声明
行政中心负责编制适性声明(SoA)该声明包括方面容:
a)选择控制目标控制措施概描述选择原
b)GBT220802008idtISO270012005附录A中未选控制目标控制措施理说明(公司未涉项业务)
422实施运作信息安全理体系
4221确保信息安全理体系效实施已识风险进行效处理公司开展活动:
a)形成信息安全接受风险处理计划确定适理措施职责安全控制措施优先级
b)实现已确定安全目标实施信息安全接受风险处理计划明确岗位信息安全职责
c)实施选择控制措施实现控制目标求
d)确定测量选择控制措施效性规定测量措施评估控制效性出较重复结果
e)进行信息安全培训提高全员信息安全意识力
f)信息安全体系运作进行理
g)信息安全需资源进行理
h)实施控制程序信息安全事件(征兆)进行迅速反应
4222 信息安全组织机构
公司成立信息安全领导机构信息安全委员会职责实现信息安全理体系方针公司承诺具体职责:研究决定贯标工作涉重事项审定公司信息安全方针目标工作计划重文件贯标工作序推进信息安全理体系效运行提供必资源
公司体系推进行政中心负责负责制订落实贯标工作计划单位部门贯标工作进行检查指导协调建立健全企业信息安全理体系保持效持续运行
公司相关部门代表组成信息安全委员会采联席会议(协调会)方式进行信息安全协调协作:
a) 确保安全活动执行符合信息安全方针
b) 确定样处理符合
c) 批准信息安全方法程风险评估信息分类
d) 识重威胁变化信息相关信息处理设施威胁暴露
e) 评估信息安全控制措施实施充分性协调性
f) 效推动组织信息安全教育培训意识
g) 评价根信息安全事件监控评审出信息根识信息安全事件推荐适措施
4223信息安全职责权限
公司总理信息安全高责者总理指定信息安全理者代表信息安全理者代表方面职责信息安全负职责:
a) 建立实施信息安全理体系必程序维持效运行
b) 信息安全理体系运行情况必改善措施信息安全委员会高责者报告
部门负责部门信息安全理责者全体员工应保密承诺求觉履行信息安全保密义务
部门员关信息安全职责分配见附录C(规范性附录)信息安全理职责明细表相应程序文件
4224 部门应适性声明中规定安全目标控制措施(包括安全运行种控制程序)求实施信息安全控制措施
423监督评审信息安全理体系
4231公司通实施定期安全检查部审核事(事件)报告调查处理电子监控定期技术检查等控制措施报告结果实现:
a)时发现处理结果中错误信息安全体系事(事件)隐患
b)时解识失败成功安全破坏事件信息处理系统遭受类攻击
c)理者确认工动执行安全活动达预期结果
d)理者掌握信息安全活动解决安全破坏采取措施否效
e)积累信息安全方面验
4232根活动结果相关方建议反馈总理持年少次信息安全理体系效性进行评审中包括信息安全范围方针目标符合性控制措施效性评审考虑安全审核事件效性测量结果相关方建议反馈理评审具体求见手册第7章
4233 行政中心应组织关部门信息安全风险评估理程序求风险处理残余风险进行定期评审验证残余风险否达接受水方面变更情况应时进行风险评估:
a) 组织
b) 技术
c) 业务目标程
d) 已识威胁
e) 实施控制效性
f) 外部事件例法律规章环境变化合责变化社会环境变化
4234计划时间间隔进行信息安全理体系部审核部审核具体求见手册第6章
4235定期信息安全理体系进行理评审确保范围充分性识信息安全理体系程改进理评审具体求见手册第7章
4236考虑监视评审活动发现更新安全计划
4237记录信息安全理体系效性业绩影响活动事情
保持持续改进信息安全理体系
公司开展活动确保信息安全理体系持续改进:
a) 实施年理评审部审核安全检查等活动确定需改进项目
b) 部审核理程序纠正措施理程序预防措施理程序求采取适纠正预防措施吸取组织公司安全事(事件)验教训断改进安全措施效性
c) 通适手段保持部信息安全措施执行情况结果进行效沟通包括获取外部信息安全专家建议信息安全政府行政部门联系识顾客信息安全求等
d) 信息安全目标分解进行适理确保改进达预期效果
43文件求
431总
公司信息安全理体系文件包括:
a) 文件化信息安全方针控制目标信息安全理手册中描述
b) 信息安全理手册(手册包括信息安全适范围引标准)
c) 手册求信息安全风险评估理程序业务持续性理程序纠正措施理程序等支持性程序
d) 信息安全理体系引支持性程序:文件资料理程序记录理程序部审核理程序等
e) 确保效策划运作控制信息安全程制定文件化操作程序
f)信息安全风险评估报告信息安全接受风险处理计划信息安全理体系求记录类文件
g) 相关法律法规信息安全标准
h) 适性声明(SOA)
432文件控制
行政中心制定实施文件资料理程序信息安全理体系求文件进行理信息安全理手册程序文件理规定作业指导书保证信息安全理体系效策划运行控制需受控文件编制评审批准标识发放修订作废回收等理工作做出规定确保场够时获适文件效版
文件控制应保证:
a) 文件发布前批准确保文件充分
b) 必时文件进行评审更新次批准
c) 确保文件更改现行修订状态识
d) 确保时获相关文件新版
e) 确保文件保持清晰易识
f) 确保文件需者获根适类程序进行转移存储终销毁
g) 确保外文件识
h) 确保文件分发控制
i) 防止作废文件非预期
j) 目需保留作废文件时应进行适标识
433记录控制
4331信息安全理体系求记录体系符合标准求效运行证行政中心负责制定维持易读易识方便检索考虑法律法规求记录理程序规定记录标识储存保护检索保废弃等事项
4332 信息安全体系记录应包括手册第42条中列出程结果ISMS相关安全事(事件)记录
4333部门应根记录理程序求采取适方式妥善保信息安全记录
ISMS职分配表
注:▲ 责 △ 次责
部 门
手册条款
总理
理者代表
行政中心
项目中
客服中心
4
信息安全理体系
总体求
▲
△
△
△
△
建立ISMS
▲
▲
▲
▲
实施ISMS
▲
▲
▲
▲
监视评审ISMS
▲
△
△
△
保持改进ISMS
▲
△
△
△
文件控制
△
▲
△
△
记录控制
△
▲
△
△
5
理职责
理承诺
▲
△
△
△
资源提供
▲
△
△
△
培训意识力
▲
▲
△
△
6
ISMS部审计
▲
▲
△
△
7
ISMS理评审
▲
△
▲
△
△
8
改进
持续改进
▲
▲
▲
△
△
纠正措施
▲
▲
△
△
预防措施
▲
△
▲
△
△
A5
安全方针
▲
△
△
△
A6
信息安全组织
▲
△
△
△
A7
资产理
▲
▲
△
△
A8
力资源理
▲
▲
△
△
A9
物理环境安全
▲
▲
△
△
A10
通讯操作理
▲
△
▲
△
A11
访问控制
▲
△
▲
△
A12
信息系统获取开发维护
▲
△
▲
△
A13
信息安全事理
▲
▲
△
△
A14
业务持续性理
▲
△
▲
△
A15
符合性
▲
▲
△
△
5 理职责
51理承诺
公司理者通活动建立实施运作监视评审保持改进信息安全理体系承诺提供证:
a) 建立信息安全方针(见手册第04章)
b) 确保信息安全目标制定(见手册第04章适性声明信息安全接受风险处理计划相关记录)
c) 建立信息安全角色职责(见手册附录E)
d) 组织传达满足信息安全目标符合信息安全方针履行法律责持续改进重性
e) 提供充分资源建立实施运作监视评审保持改进信息安全理体系(见手册第52章)
f) 决定接受风险准风险接受等级(见信息安全风险评估理程序相关记录)
g) 确保部信息安全理体系审核(见手册第6章)实施
h) 实施信息安全理体系理评审(见手册第7章)
52资源理
521资源提供
公司确定提供实施保持信息安全理体系需资源采取适措施影响信息安全理体系工作员工力胜保证:
a) 建立实施运作监视评审保持改进信息安全理体系
b) 确保信息安全程序支持业务求
c) 识指出法律法规求合安全责
d) 通正确应实施控制保持充分安全
e) 必时进行评审评审结果采取适措施
f) 需时改进信息安全理体系效性
522培训意识力
行政中心制定实施力资源理程序文件确保分配信息安全理体系规定职责员必须力执行求务通:
a)确定承担信息安全理体系工作岗位职工必力
b)提供职业技术教育技培训采取措施满足需求
c)评价采取措施效性
d)保留教育培训技验资历记录
公司确保相关员意识事信息安全活动相关性重性实现信息安全理体系目标做出贡献
6 部信息安全理体系审核
61总
行政中心负责建立实施部审核理程序部审核理程序应包括策划实施审核报告结果保持记录职责求策划时间间隔进行部审核确定信息安全理体系控制目标控制措施程程序否:
a) 符合标准求相关法律法规求
b) 符合已识信息安全求
c) 效实施维护
d) 预期执行
62审策划
621行政中心应考虑拟审核程区域状况重性审核结果审核方案进行策划应编制审年度计划确定审核准范围频次方法
622次审核前行政中心应编制审计划确定审核准范围日程审核组审核员选择审核实施应确保审核程客观性公正性审核员应审核工作
63审实施
631 应审核计划求实施审核包括:
a)进行首次会议明确审核目范围采方法程序
b)实施现场审核检查相关文件记录证相关员进行交流
c)进行检查容进行分析召开审组首次会议末次会议宣布审核意见符合报告
d)审核组长编制审核报告
632 审核中提出符合项报告责部门应编制纠正措施行政中心组织受审部门纠正措施实施情况进行踪验证
633 记录理程序求保存审核记录
634 部审核报告应作理评审输入
7 理评审
71总
711行政中心负责年半年组织信息安全理体系理评审确保持续适宜性充分性效性
712理评审应包括评价信息安全理体系改进机会变更需包括安全方针安全目标
713理评审结果应清晰形成文件记录应加保持
72评审输入
理评审输入包括信息:
a) 信息安全理体系审核评审结果
b) 相关方反馈
c) 改进信息安全理体系业绩效性技术产品程序
d) 预防纠正措施状况
e) 风险评估没充分强调脆弱性威胁
f) 效性测量结果
g) 理评审踪措施
h) 影响信息安全理体系变更
i) 改进建议
73评审输出
理评审输出应包括列容相关决定措施:
a) 信息安全理体系效性改进
b) 更新风险评估风险处理计划
c) 必时修订影响信息安全程序控制措施反映影响信息安全理体系外事件包括方面变化:
1) 业务求
2) 安全求
3) 影响现业务求业务程
4) 法律法规求
5) 合责
6) 风险等级()风险接受准
d) 资源需求
e) 改进测量控制措施效性方式
74评审程序
741 行政中心根信息安全理体系运行情况外审结果针评审输入信息求制定理评审计划送交总理批准通知相关职部门准备提供评审资料
742相关部门理评审计划准备相关信息资料信息安全理体系文件适宜性充分性效性做出评价提出改进措施
743 高理者持召开理评审会议根评审结果做出理评审结性评价信息安全理体系中存问题确定纠正预防措施责成关部门落实整改
744 理评审应形成理评审报告理评审报告理者代表审核高理者批准
745 根理评审报告提出求理者代表组织相关部门制定纠正预防措施实施情况进行协调监督检查
8 信息安全理体系改进
81持续改进
公司制定实施纠正措施理程序预防措施理程序部审核理程序等文件通列途径持续改进信息安全理体系效性:
a) 通信息安全理体系方针建立实施持续改进做出正式承诺
b) 通建立信息安全理体系目标明确改进方
c) 通部审核断发现问题寻找体系改进机会予实施详见部审核理程序
d) 通数分析断寻求改进机会做出适改进活动安排详见纠正措施理程序
e) 通实施纠正预防措施实现改进详见纠正措施理程序预防措施理程序
f) 通理评审输出关改进措施实施实现改进详见手册第7章
82纠正措施
821 行政中心负责建立实施纠正措施理程序采取纠正措施消信息安全理体系求符合原防止发生
822 纠正措施理程序应规定方面求:
a) 识存符合
b) 确定符合原
c) 评价确保符合发生措施求
d) 确定实施需纠正措施
e) 记录采取措施结果
f) 评审采取纠正措施
83预防措施
831 行政中心建立实施预防措施理程序规定采取措施消潜信息安全理体系求符合原防止发生
832 采取预防措施应潜问题影响程度相适应
833 预防措施理程序应规定方面求:
a) 识潜符合原
b) 评价预防符合发生措施求
c) 确定实施需预防措施
d) 记录采取措施结果
e) 评审采取预防措施
834 公司风险评估组应定期进行风险评估识变化风险通关注变化显著风险识预防措施求预防措施优先级应基风险评估结果确定
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
ISO27001信息安全理手册
版号:V10
受控状态: ■ 受 控 □ 非受控
编 制
审 核
批 准
编写组
审核
总理
XXX
XXX
XXX
日期: 2019年X月X日 实施日期: 2019年X月X日
目 录
目 录 2
01 颁布令 1
02 理者代表授权书 2
03 公司概况 3
04 信息安全理方针目标 4
05 手册理 6
信息安全理手册 7
1 范围 7
11总 7
12应 7
2 规范性引文件 8
3 术语定义 8
31公司 8
32信息系统 8
33计算机病毒 8
34信息安全事件 8
35相关方 8
4 信息安全理体系 9
41概述 9
42建立理信息安全理体系 9
43文件求 15
5 理职责 18
51理承诺 18
52资源理 18
6 部信息安全理体系审核 19
61总 19
62审策划 19
63审实施 19
7 理评审 21
71总 21
72评审输入 21
73评审输出 21
74评审程序 22
8 信息安全理体系改进 23
81持续改进 23
82纠正措施 23
83预防措施 23
01 颁布令
提高公司信息安全理水保障公司业务活动正常进行防止信息安全事件(信息系统中断数丢失敏感信息泄密)导致公司客户损失公司开展贯彻GBT220802008idtISO270012005信息技术安全技术信息安全理体系求国际标准工作建立实施持续改进文件化信息安全理体系制定信息安全理手册
信息安全理手册企业法规性文件指导企业建立实施信息安全理体系纲领行动准贯彻企业信息安全理方针目标实现信息安全理体系效运行持续改进体现企业社会承诺
信息安全理手册符合关信息安全法律GBT220802008idtISO270012005信息技术安全技术信息安全理体系求标准企业实际情况现正式批准发布 2015年 12月 23 日起实施企业全体员工必须遵执行
全体员工必须严格信息安全理手册求觉遵循信息安全理方针贯彻实施手册项求努力实现公司信息安全理方针目标
总理:
2015年 12 月 23 日
02 理者代表授权书
贯彻执行信息安全理体系满足GBT220802008idtISO270012005信息技术安全技术信息安全理体系求标准求加强领导特命 公司信息安全理者代表
授权信息安全理者代表职责权限:
1. 确保标准求进行资产识风险评估全面建立实施保持信息安全理体系
2. 负责信息安全理体系关协调联络工作
3. 确保整组织提高信息安全风险意识
4. 审核风险评估报告风险处理计划
5. 批准发布程序文件
6. 持信息安全理体系部审核命审核组长批准审工作报告
7. 高理者报告信息安全理体系业绩改进求包括信息安全理体系运行情况外部审核情况
授权书命日起生效执行
总 理:
2013年 12 月 23 日
03 公司概况
04 信息安全理方针目标
防止信息系统中断数丢失敏感信息泄密导致企业客户损失公司建立信息安全理体系制订信息安全方针确定信息安全目标
信息安全理方针:
强化意识 规范行
数保密 信息完整
公司信息安全理方针包括容:
信息安全理机制
公司采系统方法GBT220802008idtISO270012005建立信息安全理体系全面保护公司信息安全
二信息安全理组织
1.公司总理信息安全工作全面负责负责批准信息安全方针确定信息安全求提供信息安全资源
2.公司总理命理者代表负责建立实施检查改进信息安全理体系保证信息安全理体系持续适宜性效性
3.公司部建立信息安全组织机构信息安全理委员会信息安全协调机构保证信息安全理体系效运行
4.级部门方政府相关专业部门建立定期常性联系解安全求发展动态获信息安全理支持
三员安全
1.信息安全需全体员工参支持全体员工保护信息安全职责劳动合岗位职责中应包含信息安全求特殊岗位员应规定特安全责岗位调动离职员应时调整安全职责权限
2.公司相关方针明确安全求安全职责
3.定期全体员工进行信息安全相关教育包括:技职责意识提高安全意识
4.全体员工相关方员必须履行安全职责执行安全方针程序安全措施
四识法律法规合中安全
时识顾客合作方相关方法律法规信息安全求采取措施保证满足安全求
五风险评估
1.根公司业务信息安全特点法律法规求建立风险评估程序确定风险接受准
2.采先进风险评估技术定期进行风险评估识公司风险变化公司环境发生重变化时时评估
3.应根风险评估结果采取相应措施降低风险
六报告安全事件
1.公司建立报告信息安全事件渠道相应部门
2.全体员工报告信息安全隐患威胁薄弱点事责旦发现信息安全事件应立规定途径进行报告
3.接受信息安全事件报告部门应记录报告时做出相应处理报告员反馈处理结果
七监督检查
定期信息安全进行监督检查包括:日常检查专项检查技术性检查部审核等
八业务持续性
1.公司根风险评估结果建立业务持续性计划抵消信息系统中断造成影响防止关键业务程受严重信息系统障者灾难影响确保够时恢复
2.定期业务持续性计划进行测试更新
九违反信息安全求惩罚
违反信息安全方针职责程序措施员规定进行处理
信息安全目标:
1) 确保年重信息安全事件(事)发生次数零
2) 确保单重业务系统月中断次数超1次次中断时间超2时
3) 确保信息安全事件发现率99报处理率100
05 手册理
1 信息安全理手册批准
信息安全理委员会负责组织编制信息安全理手册总理负责批准
2 信息安全理手册发放更改作废销毁
a)行政中心负责文件资料理程序求进行信息安全理手册登记发放回收更改档作废销毁工作
b)相关部门受控文件理求收信息安全理手册进行保
c)行政中心规定发放修改信息安全理手册收回失效文件做出标识统处理确保效文件唯性
d)行政中心保留信息安全理手册修改容记录
3 信息安全理手册换版
GBT220802008idtISO270012005标准重变化组织结构外部环境开发技术信息安全风险等发生重改变信息安全理手册发生需修改部分超13时应信息安全理手册进行换版换版应理评审时形成决议重新实施编制审批工作
4 信息安全理手册控制
a)信息安全理手册标识分受控文件非受控文件两种:
——受控文件发放范围公司领导相关部门负责审员
——非受控文件指印制成单行作投标书资料生产销售目等发受控范围外相关员
b)信息安全理手册书面文件电子文件
信息安全理手册
1 范围
11总
建立实施运行监视评审保持改进文件化信息安全理体系(简称ISMS)确定信息安全方针目标信息安全风险进行效理确保全体员工理解遵执行信息安全理体系文件持续改进信息安全理体系效性特制定手册
12应
覆盖范围:
信息安全理手册规定DXC信息安全理体系求理职责部审核理评审信息安全理体系改进等方面容
信息安全理手册适DXC业务活动涉信息系统资产相关信息安全理活动具体见4221条款规定
删减说明
信息安全理手册采GBT220802008idtISO270012005标准正文全部容附录A删减见适性声明
2 规范性引文件
列文件中条款通信息安全理手册引成信息安全理手册条款注日期引文件修改单修订版均适标准然行政中心应研究否文件新版注日期引文件新版适信息安全理手册
GBT220802008idtISO270012005信息技术安全技术信息安全理体系求
GBT220812008idtISO270022005信息技术安全技术信息安全理实规
3 术语定义
GBT220802008idtISO270012005信息技术安全技术信息安全理体系求GBT220812008idtISO270022005信息技术安全技术信息安全理实规规定术语定义适信息安全理手册
31公司
指DXC包括DXC属部门
32信息系统
指计算机相关配套设备设施(含网络)构成定应目标规信息进行采集加工存储传输检索等处理机系统
33计算机病毒
指编制者计算机程序中插入破坏计算机功者毁坏数影响计算机复制组计算机指令者程序代码
34信息安全事件
指导致信息系统提供正常服务服务质量降技术障事件利信息系统事反动害信息涉密信息传播事件利网络事信息系统破坏窃密事件
35相关方
关注公司信息安全公司信息安全绩效利益关系组织:政府供方银行户电信等
4 信息安全理体系
41概述
411 公司软件开发营服务日常理活动中GBT220802008 idtISO270012005信息技术安全技术信息安全理体系求规定参GBT220812008idtISO270022005信息技术安全技术信息安全理实规标准建立实施运行监视评审保持改进文件化信息安全理体系
412 信息安全理体系程基图1示PDCA模型
建立
ISMS
实施运行
ISMS
保持改进
ISMS
监视评审ISMS
相关方
信息安全
求
期
相关方
信息安全
理
策划
实施
检查
处置
图1 信息安全理体系模型
42建立理信息安全理体系
421建立信息安全理体系
4211 信息安全理体系范围边界
公司根业务特征组织结构理位置资产技术定义范围边界公司信息安全理体系范围包括:
a) 公司涉软件开发营销服务日常理业务系统
b) 述信息系统关活动
c) 述信息系统关部门员工
d) 述活动系统支持性系统包含全部信息资产
组织范围:
公司根组织业务特征组织结构定义信息安全理体系组织范围见手册附录A(规范性附录)信息安全理体系组织机构图
物理范围:
公司根组织业务特征组织结构理位置资产技术定义信息安全理体系物理范围信息安全边界
公司信息安全理体系物理范围公司位市惠山济开发区前洲配套区兴洲路2号科创中心二楼安全边界详见附录B(规范性附录)办公场面图
4212 信息安全理体系方针
满足适法律法规相关方求维持软件开发营正常进行实现业务持续发展目公司根组织业务特征组织结构理位置资产技术定义信息安全理体系方针见信息安全理手册第04条款
该信息安全方针符合求:
a) 信息安全目标建立框架信息安全活动建立整体方原
b) 考虑业务法律法规求合安全义务
c) 组织战略风险理相致环境建立保持信息安全理体系
d) 建立风险评价准
e) 高理者批准
实现信息安全理体系方针公司承诺:
a) 层次建立完整信息安全理组织机构确定信息安全目标控制措施明确信息安全理职责
b) 识满足适法律法规相关方信息安全求
c) 定期进行信息安全风险评估信息安全理体系评审采取纠正预防措施保证体系持续效性
d)采先进效设施技术处理传递储存保护类信息实现信息享
e) 全体员工进行持续信息安全教育培训断增强员工信息安全意识力
f) 制定保持完善业务连续性计划实现持续发展
4213 风险评估方法
行政中心负责制定信息安全风险评估理程序建立识适信息安全理体系已识业务信息安全法律法规求风险评估方法建立接受风险准识风险接受等级信息安全风险评估执行信息安全风险评估理程序保证选择风险评估方法应确保风险评估产生较重复结果
4214 识风险
已确定信息安全理体系范围公司信息安全风险评估理程序资产进行识识资产者资产包括数硬件软件员服务文档项资产身价值信息分类保密性完整性性法律法规符合性求进行量化赋值形成资产识清单
时根信息安全风险评估理程序识资产威胁威胁利脆弱性识资产价值保密性完整性性合规性损失资产造成影响
4215 分析评价风险
公司信息安全风险评估理程序采工分析法分析评价风险:
a) 针重资产身价值保密性完整性性合规性损失导致果进行赋值
b) 针项威胁薄弱点资产造成影响考虑现控制措施判定安全失效发生性进行赋值
c) 根信息安全风险评估理程序计算风险等级
d) 根信息安全风险评估理程序风险接受准判断风险接受需处理
4216 识评价风险处理选择
行政中心组织关部门根风险评估结果形成信息安全接受风险处理计划该计划明确风险处理责部门负责目范围处置策略
信息安全风险应考虑控制措施费衡原选适措施:
a) 消减风险(通适控制措施降低风险发生性)
b) 接受风险(风险值高者处理代价高风险引起损失公司决定接受该风险残余风险)
c) 规避风险(决定进行引起风险活动避免风险)
d) 转移风险(通购买保险外包等方法风险转移外部机构)
4217选择控制目标控制措施
行政中心根信息安全方针业务发展求风险评估结果组织关部门制定信息安全目标目标分解关部门(见适性声明):
a)信息安全控制目标获信息安全高责者批准
b)控制目标控制措施选择原源GBT220802008idtISO270012005信息技术安全技术信息安全理体系求附录A具体控制措施参考GBT220812008idtISO270022005信息技术安全技术信息安全理实规
c)公司根信息安全理需选择标准外控制措施
4218 风险处理残余风险公司高理者批准
4219 高理者通手册实施运行信息安全理体系进行授权
42110 适性声明
行政中心负责编制适性声明(SoA)该声明包括方面容:
a)选择控制目标控制措施概描述选择原
b)GBT220802008idtISO270012005附录A中未选控制目标控制措施理说明(公司未涉项业务)
422实施运作信息安全理体系
4221确保信息安全理体系效实施已识风险进行效处理公司开展活动:
a)形成信息安全接受风险处理计划确定适理措施职责安全控制措施优先级
b)实现已确定安全目标实施信息安全接受风险处理计划明确岗位信息安全职责
c)实施选择控制措施实现控制目标求
d)确定测量选择控制措施效性规定测量措施评估控制效性出较重复结果
e)进行信息安全培训提高全员信息安全意识力
f)信息安全体系运作进行理
g)信息安全需资源进行理
h)实施控制程序信息安全事件(征兆)进行迅速反应
4222 信息安全组织机构
公司成立信息安全领导机构信息安全委员会职责实现信息安全理体系方针公司承诺具体职责:研究决定贯标工作涉重事项审定公司信息安全方针目标工作计划重文件贯标工作序推进信息安全理体系效运行提供必资源
公司体系推进行政中心负责负责制订落实贯标工作计划单位部门贯标工作进行检查指导协调建立健全企业信息安全理体系保持效持续运行
公司相关部门代表组成信息安全委员会采联席会议(协调会)方式进行信息安全协调协作:
a) 确保安全活动执行符合信息安全方针
b) 确定样处理符合
c) 批准信息安全方法程风险评估信息分类
d) 识重威胁变化信息相关信息处理设施威胁暴露
e) 评估信息安全控制措施实施充分性协调性
f) 效推动组织信息安全教育培训意识
g) 评价根信息安全事件监控评审出信息根识信息安全事件推荐适措施
4223信息安全职责权限
公司总理信息安全高责者总理指定信息安全理者代表信息安全理者代表方面职责信息安全负职责:
a) 建立实施信息安全理体系必程序维持效运行
b) 信息安全理体系运行情况必改善措施信息安全委员会高责者报告
部门负责部门信息安全理责者全体员工应保密承诺求觉履行信息安全保密义务
部门员关信息安全职责分配见附录C(规范性附录)信息安全理职责明细表相应程序文件
4224 部门应适性声明中规定安全目标控制措施(包括安全运行种控制程序)求实施信息安全控制措施
423监督评审信息安全理体系
4231公司通实施定期安全检查部审核事(事件)报告调查处理电子监控定期技术检查等控制措施报告结果实现:
a)时发现处理结果中错误信息安全体系事(事件)隐患
b)时解识失败成功安全破坏事件信息处理系统遭受类攻击
c)理者确认工动执行安全活动达预期结果
d)理者掌握信息安全活动解决安全破坏采取措施否效
e)积累信息安全方面验
4232根活动结果相关方建议反馈总理持年少次信息安全理体系效性进行评审中包括信息安全范围方针目标符合性控制措施效性评审考虑安全审核事件效性测量结果相关方建议反馈理评审具体求见手册第7章
4233 行政中心应组织关部门信息安全风险评估理程序求风险处理残余风险进行定期评审验证残余风险否达接受水方面变更情况应时进行风险评估:
a) 组织
b) 技术
c) 业务目标程
d) 已识威胁
e) 实施控制效性
f) 外部事件例法律规章环境变化合责变化社会环境变化
4234计划时间间隔进行信息安全理体系部审核部审核具体求见手册第6章
4235定期信息安全理体系进行理评审确保范围充分性识信息安全理体系程改进理评审具体求见手册第7章
4236考虑监视评审活动发现更新安全计划
4237记录信息安全理体系效性业绩影响活动事情
保持持续改进信息安全理体系
公司开展活动确保信息安全理体系持续改进:
a) 实施年理评审部审核安全检查等活动确定需改进项目
b) 部审核理程序纠正措施理程序预防措施理程序求采取适纠正预防措施吸取组织公司安全事(事件)验教训断改进安全措施效性
c) 通适手段保持部信息安全措施执行情况结果进行效沟通包括获取外部信息安全专家建议信息安全政府行政部门联系识顾客信息安全求等
d) 信息安全目标分解进行适理确保改进达预期效果
43文件求
431总
公司信息安全理体系文件包括:
a) 文件化信息安全方针控制目标信息安全理手册中描述
b) 信息安全理手册(手册包括信息安全适范围引标准)
c) 手册求信息安全风险评估理程序业务持续性理程序纠正措施理程序等支持性程序
d) 信息安全理体系引支持性程序:文件资料理程序记录理程序部审核理程序等
e) 确保效策划运作控制信息安全程制定文件化操作程序
f)信息安全风险评估报告信息安全接受风险处理计划信息安全理体系求记录类文件
g) 相关法律法规信息安全标准
h) 适性声明(SOA)
432文件控制
行政中心制定实施文件资料理程序信息安全理体系求文件进行理信息安全理手册程序文件理规定作业指导书保证信息安全理体系效策划运行控制需受控文件编制评审批准标识发放修订作废回收等理工作做出规定确保场够时获适文件效版
文件控制应保证:
a) 文件发布前批准确保文件充分
b) 必时文件进行评审更新次批准
c) 确保文件更改现行修订状态识
d) 确保时获相关文件新版
e) 确保文件保持清晰易识
f) 确保文件需者获根适类程序进行转移存储终销毁
g) 确保外文件识
h) 确保文件分发控制
i) 防止作废文件非预期
j) 目需保留作废文件时应进行适标识
433记录控制
4331信息安全理体系求记录体系符合标准求效运行证行政中心负责制定维持易读易识方便检索考虑法律法规求记录理程序规定记录标识储存保护检索保废弃等事项
4332 信息安全体系记录应包括手册第42条中列出程结果ISMS相关安全事(事件)记录
4333部门应根记录理程序求采取适方式妥善保信息安全记录
ISMS职分配表
注:▲ 责 △ 次责
部 门
手册条款
总理
理者代表
行政中心
项目中
客服中心
4
信息安全理体系
总体求
▲
△
△
△
△
建立ISMS
▲
▲
▲
▲
实施ISMS
▲
▲
▲
▲
监视评审ISMS
▲
△
△
△
保持改进ISMS
▲
△
△
△
文件控制
△
▲
△
△
记录控制
△
▲
△
△
5
理职责
理承诺
▲
△
△
△
资源提供
▲
△
△
△
培训意识力
▲
▲
△
△
6
ISMS部审计
▲
▲
△
△
7
ISMS理评审
▲
△
▲
△
△
8
改进
持续改进
▲
▲
▲
△
△
纠正措施
▲
▲
△
△
预防措施
▲
△
▲
△
△
A5
安全方针
▲
△
△
△
A6
信息安全组织
▲
△
△
△
A7
资产理
▲
▲
△
△
A8
力资源理
▲
▲
△
△
A9
物理环境安全
▲
▲
△
△
A10
通讯操作理
▲
△
▲
△
A11
访问控制
▲
△
▲
△
A12
信息系统获取开发维护
▲
△
▲
△
A13
信息安全事理
▲
▲
△
△
A14
业务持续性理
▲
△
▲
△
A15
符合性
▲
▲
△
△
5 理职责
51理承诺
公司理者通活动建立实施运作监视评审保持改进信息安全理体系承诺提供证:
a) 建立信息安全方针(见手册第04章)
b) 确保信息安全目标制定(见手册第04章适性声明信息安全接受风险处理计划相关记录)
c) 建立信息安全角色职责(见手册附录E)
d) 组织传达满足信息安全目标符合信息安全方针履行法律责持续改进重性
e) 提供充分资源建立实施运作监视评审保持改进信息安全理体系(见手册第52章)
f) 决定接受风险准风险接受等级(见信息安全风险评估理程序相关记录)
g) 确保部信息安全理体系审核(见手册第6章)实施
h) 实施信息安全理体系理评审(见手册第7章)
52资源理
521资源提供
公司确定提供实施保持信息安全理体系需资源采取适措施影响信息安全理体系工作员工力胜保证:
a) 建立实施运作监视评审保持改进信息安全理体系
b) 确保信息安全程序支持业务求
c) 识指出法律法规求合安全责
d) 通正确应实施控制保持充分安全
e) 必时进行评审评审结果采取适措施
f) 需时改进信息安全理体系效性
522培训意识力
行政中心制定实施力资源理程序文件确保分配信息安全理体系规定职责员必须力执行求务通:
a)确定承担信息安全理体系工作岗位职工必力
b)提供职业技术教育技培训采取措施满足需求
c)评价采取措施效性
d)保留教育培训技验资历记录
公司确保相关员意识事信息安全活动相关性重性实现信息安全理体系目标做出贡献
6 部信息安全理体系审核
61总
行政中心负责建立实施部审核理程序部审核理程序应包括策划实施审核报告结果保持记录职责求策划时间间隔进行部审核确定信息安全理体系控制目标控制措施程程序否:
a) 符合标准求相关法律法规求
b) 符合已识信息安全求
c) 效实施维护
d) 预期执行
62审策划
621行政中心应考虑拟审核程区域状况重性审核结果审核方案进行策划应编制审年度计划确定审核准范围频次方法
622次审核前行政中心应编制审计划确定审核准范围日程审核组审核员选择审核实施应确保审核程客观性公正性审核员应审核工作
63审实施
631 应审核计划求实施审核包括:
a)进行首次会议明确审核目范围采方法程序
b)实施现场审核检查相关文件记录证相关员进行交流
c)进行检查容进行分析召开审组首次会议末次会议宣布审核意见符合报告
d)审核组长编制审核报告
632 审核中提出符合项报告责部门应编制纠正措施行政中心组织受审部门纠正措施实施情况进行踪验证
633 记录理程序求保存审核记录
634 部审核报告应作理评审输入
7 理评审
71总
711行政中心负责年半年组织信息安全理体系理评审确保持续适宜性充分性效性
712理评审应包括评价信息安全理体系改进机会变更需包括安全方针安全目标
713理评审结果应清晰形成文件记录应加保持
72评审输入
理评审输入包括信息:
a) 信息安全理体系审核评审结果
b) 相关方反馈
c) 改进信息安全理体系业绩效性技术产品程序
d) 预防纠正措施状况
e) 风险评估没充分强调脆弱性威胁
f) 效性测量结果
g) 理评审踪措施
h) 影响信息安全理体系变更
i) 改进建议
73评审输出
理评审输出应包括列容相关决定措施:
a) 信息安全理体系效性改进
b) 更新风险评估风险处理计划
c) 必时修订影响信息安全程序控制措施反映影响信息安全理体系外事件包括方面变化:
1) 业务求
2) 安全求
3) 影响现业务求业务程
4) 法律法规求
5) 合责
6) 风险等级()风险接受准
d) 资源需求
e) 改进测量控制措施效性方式
74评审程序
741 行政中心根信息安全理体系运行情况外审结果针评审输入信息求制定理评审计划送交总理批准通知相关职部门准备提供评审资料
742相关部门理评审计划准备相关信息资料信息安全理体系文件适宜性充分性效性做出评价提出改进措施
743 高理者持召开理评审会议根评审结果做出理评审结性评价信息安全理体系中存问题确定纠正预防措施责成关部门落实整改
744 理评审应形成理评审报告理评审报告理者代表审核高理者批准
745 根理评审报告提出求理者代表组织相关部门制定纠正预防措施实施情况进行协调监督检查
8 信息安全理体系改进
81持续改进
公司制定实施纠正措施理程序预防措施理程序部审核理程序等文件通列途径持续改进信息安全理体系效性:
a) 通信息安全理体系方针建立实施持续改进做出正式承诺
b) 通建立信息安全理体系目标明确改进方
c) 通部审核断发现问题寻找体系改进机会予实施详见部审核理程序
d) 通数分析断寻求改进机会做出适改进活动安排详见纠正措施理程序
e) 通实施纠正预防措施实现改进详见纠正措施理程序预防措施理程序
f) 通理评审输出关改进措施实施实现改进详见手册第7章
82纠正措施
821 行政中心负责建立实施纠正措施理程序采取纠正措施消信息安全理体系求符合原防止发生
822 纠正措施理程序应规定方面求:
a) 识存符合
b) 确定符合原
c) 评价确保符合发生措施求
d) 确定实施需纠正措施
e) 记录采取措施结果
f) 评审采取纠正措施
83预防措施
831 行政中心建立实施预防措施理程序规定采取措施消潜信息安全理体系求符合原防止发生
832 采取预防措施应潜问题影响程度相适应
833 预防措施理程序应规定方面求:
a) 识潜符合原
b) 评价预防符合发生措施求
c) 确定实施需预防措施
d) 记录采取措施结果
e) 评审采取预防措施
834 公司风险评估组应定期进行风险评估识变化风险通关注变化显著风险识预防措施求预防措施优先级应基风险评估结果确定
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档