;

b)  在组织内得到沟通、传达和应用;

c)  适当时，对相关方所获取并是可用的。

为了满足适用法律法规及相关方要求，维持ISMS/ITSMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全方针：满足客户要求，实施风险管理，确保信息安全，实现持续改进；信息技术服务方针：快速响应、交付及时、安全服务、顾客满意。

5.3组织的角色、责任和权限

公司管理层应确保与信息安全/信息技术服务相关角色的职责和权限被分配和传达。 公司管理层应分配职责和权限：

a)  确保ISMS/ITSMS符合本国际标准的要求;

b)  将ISMS/ITSMS绩效及其改进机遇报告给公司最高管理者。

 注：最高管理者也可以分配组织内ISMS/ITSMS 绩效报告的职责和权限。

并任命管理者代表，使其负责ISMS/ITSMS的建立、实施、保持和改进，明确所有相关人员在体系中的职责和义务（参见公司相关任命文件），确保体系运行的有效性。

6. 规划

6.1应对风险和机会的措施

6.1.1 总则

当规划 ISMS/ITSMS 时，本公司应当考虑 4.1 提到的问题和 4.2 中所提到的要求，并确定需要处理的风险和机遇：

a)  确保 ISMS/ITSMS 实现预期的效果；

b)  增强有利影响，防止或减少不良影响；

c)  实现ISMS/ITSMS的持续改进；

公司应策划：

d)  处理这些风险和机遇的行动；

e)  如何集成和实施这些行动到 ISMS/ITSMS 过程中；

f)  如何评估这些行动的有效性。

6.1.2信息安全风险评估

1)  识别风险

总裁办按照《信息安全风险管理程序》从以下几个方面，对信息安全风险进行识别：

识别ISMS范围内所有的信息资产及其负责人，并对资产的保密性、完整性和可用性价值进行评估；

识别各信息资产所可能面对的威胁；

识别各威胁可能利用的脆弱性；

确认以上信息资产的保密性、完整性和可用性受损后所产生的影响和潜在后果。

2)  评估风险

总裁办按照《信息安全风险管理程序》，评价安全问题所可能导致的业务危害，考虑该危害的严重程度时，必须考虑到信息资产的保密性、完整性和可用性受损后所产生的现实后果和长远影响。