1、编 号 XX-ISMS-01版 本 A/0密 级 内部限制江苏 XXXX 科技有限公司受 控 是信息安全管理手册生效日期 核 准 审 查 制 订2016.3.1修改记录序号 修改原因 修改内容 修改人/时间 批准人/时间 备注目 录0.1、信息安全管理手册发布令0.2、管理者代表任命书0.3、公司简介0.4、信息安全方针0.5、信息安全目标1、范围2、引用标准3、术语和定义4、信息安全管理体系4.1 组织环境4.2 理解相关方的需求和期望4.3 明确信息安全管理体系的范围4.4 信息安全管理体系5、领导5.1 领导和承诺5.2 方针 5.3 组织角色、职责和权力6、计划6.1 处置风险和机遇6
2、.2 信息安全目标的计划和实现7、支持7.1 资源 7.2 能力7.3 意识 7.4 沟通 7.5 文档要求8、实施 8.1 运行计划和控制8.2 信息安全风险评估8.3 信息安全风险处置9、绩效评价 9.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审10、改进10.1 不符合项和纠正措施10.2 持续改进附件:附件一:信息安全职能分配表附件二:信息安全职责附件三:信息安全管理体系程序文件清单附件四:信息安全管理体系作业指导书文件清单0.1 信息安全管理手册发布令为提高江苏 XXXX 科技有限公司的信息安全管理水平,保障企业经营、服务和日常管理活动,防止由于信息系统的中断、数据的丢
3、失、敏感信息的泄密所导致的业务中断或安全事故,公司开展贯彻 ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求标准的工作,建立文件化的信息安全管理体系,制定了江苏 XXXX 科技有限公司信息安全管理手册 (以下简称手册) 。本手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、管理目标,实现信息安全管理体系有效运行、持续改进,是江苏 XXXX 科技有限公司信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求,自觉执行管理方针,贯彻实施本手册的各项规定,努力实现江苏 XXXX 科技有限公司的管理目标和管
4、理承诺。本手册自颁布之日起生效执行。江苏 XXXX 科技有限公司总经理: 二一六年三月一日0.2 管理者代表任命书兹委任 担任江苏 XXXX 科技有限公司 ISO27001 信息安全管理体系管理者代表。他将履行以下职责及权限:1、 负责公司 ISO27001 的推行认证工作,负责组织信息安全管理体系建立、实施和维持,确保公司的信息安全管理体系运作符合信息安全管理体系标准;2、 信息安全管理体系内部审核的策划、组织及实施;3、 批准信息安全管理体系程序文件;4、 代表公司就信息安全的有关事项和外部进行联络。总经理: 日 期:二一六年三月一日0.3、公司简介公司组织架构如下图所示:总 经 理信息安
5、全委员会管理者代表销 售 部技 术 部研 发 部综 合 部财 务 部0.4 信息安全方针实施风险管理,确保信息安全,保障业务可持续发展。信息安全方针含义:a.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。应根据风险评估的结果,采取相应措施,降低风险。b.在日常企业生产和管理中,对信息安全予以重视,全面识别和分析全部信息资产,系统考虑企业信息系统薄弱点、可能存在的威胁,考虑成本、利益、风险的综合平衡,对资产进行分类保护,以适宜的成本达到系统保护的要求。c.建立健全信息安全监督和保证体
6、系,明确各级、各岗位的信息安全责任,以人为本,坚持全员、全方位、全过程信息安全管理。通过测量和监控,持续改进,保证信息安全管理体系的有效运行,做到制度执行有记录、记录记载可追溯,最终保障企业生产、经营、管理和服务的持续和安全,实现企业发展目标。0.5、信息安全目标:本公司信息安全目标:1)安全事件发生次数:重大安全事件目标值:0 次/年 ;较大安全事件目标值:不大于 4 次/年;一般安全事件目标值:不大于 8 次/年。2)信息泄密次数:保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值:0 次/年各部门信息安全目标:部 门 部门信息
7、安全目标 统计方式 监测频率综合部1、人员招聘手续办理完成率 100%;2、人员教育或培训实施率 100%;3、人员离职手续办理完成率 100%;4、办公环境消防设施配置率 100%;5、办公环境消防设施点检率 100%;6、每年至少组织实施完成 1 次信息安全内审,且资料齐全;7、每年至少组织实施完成 1 次信息安全管理评审,且资料齐全;8、每年至少进行 1 次信息安全体系文件评审及更新;9、每年至少组织实施完成 1 次风险评估。1、查看全部员工入职手续办理情况;2、查看培训计划及培训实施情况;3、查看实际人员离职及手续办理情况;4、现场检查办公环境消防器材配备情况;5、现场检查办公环境消防器材的检修情况;7、按照信息安全内审计划执行内审及改进,及时整理信息安全内审资料;8、按照信息安全管理评审计划执行评审及改进,及时整理信息安全管理评审资料;9、每年集中对信息安全管理体系文件进行评审,必要时进行更新;10、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估。每年研发部1、网络非正常中断每月1 次。2、主机系统非正常中断每月1 次。1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据每半年其他部门重要文档及数据被正确保管及使用,机密信息泄露次数为 0 次每半年检查一次日常工作文件及数据是否被正确保管及使用,以及机密信息泄露相关事件。每年
