ISO20251-2025程序文件之组织环境及相关方信息安全管理程序.pdfVIP

丹青不知老将至，贫贱于我如浮云。——杜甫

11·················###-ISMS-2025-2026

1目的

为保证公司信息安全管理体系的策划能实现预期的结果，识别、监视并评审

与公司的宗旨、战略方向、信息安全管理相关的内外部环境要素；为加强对相关

方的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2范围

适用于公司对内外部环境要素、相关方需求及信息安全的管理活动。

3职责

3.1综合部

负责统一管理内外部环境要素、相关方需求及信息安全的管理活动。

3.2相关部门

a.负责识别本部门的内外部环境要素、相关方，并与相关方签订保密协议；

b.负责对相关方的服务进行信息安全控制；

c.负责定期对相关方进行监督和评审；

d.负责做好相关方的变更管理。

4程序

4.1组织所处环境管理

4.1.1在建立与持续改进信息安全管理体系时，公司将充分识别理解并考虑那些

与公司的宗旨、战略方向相关，并影响公司实现信息安全管理体系预期结果能力

的内部和外部环境。

4.1.2管理层可以通过SWOT分析(优势、劣势、机会、威胁）对公司的战略及内

外部环境进行全局分析。

4.1.3内外部环境要素识别与评估：在每年的管理评审前，由各部门负责人进行

识别并评估其适用性,汇总上报给公司的管理层，具体识别项目可以包括如下：

外部环境要素识别包括政治环境、法律环境、经济环境、社会文化环境、技术环

境、自然环境、竞争力；内部环境要素识别包括企业文化、公司价值观、知识积

累、绩效、财务因素、资源因素、人力因素、运营因素。各部门负责人识别内外

部要素的现状，并进行SWOT分析。

先天下之忧而忧，后天下之乐而乐。——范仲淹

4.1.4各部门进行组织内外部环境要素识别需要涉及信息安全管理体系。

4.1.5总经理汇总各部门识别及评估内外部环境要素，形成《组织信息安全内外

部环境要素识别与评估表》。

4.1.6内外部环境要素监测与更新：

总经理每年在管理评审前组织一次全面的内外部环境要素识别与评审。另外各部

门在获得内外部环境要素信息变化时，对《组织信息安全内外部环境要素识别与

评估表》进行修订与更新。

4.2相关方的信息安全管理

4.2.1公司的相关方包括以下团体或个人：

a)服务提供商：互联网服务提供商、电话提供商、IT维护和支持服务提供

商、软件产品和IT系统开发商和供应商；

b)设备供方；

c)外来人员：临时人员、实习学生以及其他短期工作人员；

d)管理服务提供商，管理咨询，业务咨询，外部审核；

e）公司客户。

4.2.2各部门应对公司的相关方进行识别，并进行风险评估和风险管理。

4.2.3相关部门应协调综合部识别外部相关方对信息资产和信息处理设施造成

的风险，并在批准外部相关方访问信息资产和信息处理设施前实施适当的控制。

4.2.4相关部门应与外部相关方签署涉及物理访问、逻辑访问和工作安排条款和

条件的《相关方保密协议》，所有与外部相关方合作而引起的安全需求或内部控

制都应在协议中反映，在未实施适当的控制之前不应该向外部相关方提供对信息

的访问。

4.2.4相关部门应确保外部相关方意识到其义务，并接受与访问、处理、交流或

管理组织信息和信息处理设施相关的责任和义务。

4.3外来人员管理

4.3.1外