1、信息安全管理手册 信息安全管理体系 管理手册 ISMS-M-yyyy 版本号: A/1 受控状态: 受 控 非受控 日期: 2016 年 1 月 8 日 实施日期: 2016年 1 月 8 日 编 制 审 核 批 准 编写组 审核人 A 总经理 yyyy-mm-dd yyyy-mm-dd yyyy-mm-dd 信息安全管理手册 第 2 页 共 29 页 修改履历 版本 制订者 修改时间 更改内容 审核人 审核意见 变更申请 单号 A/0 编写组 2016-1-08 定版 审核人 A 同意 A/1 编写组 2017-1-15 定版 审核人 B 同意 信息安全管理手册 第 3 页 共 29 页 0
2、0 目录 00 目录 .3 01 颁布令 .5 02 管理者代表授权书 .6 03 企业概况 .7 04 信息安全管理方针目标 .8 05 手册的管理 . 10 06 信息安全管理手册 . 11 1 范围 . 11 1.1 总则 . 11 1.2 应用 . 11 2 规范性 引用文件 . 11 3 术语和定义 . 11 3.1 本公司 . 12 3.2 信息系统 . 12 3.3 计算机病毒 . 12 3.4 信息安全事件 . 12 3.5 相关方 . 12 4 组织环境 . 12 4.1 组织及其环境 . 12 4.2 相关方的需求和期望 . 12 4.3 确定信 息安全管理体系的范围 .
3、13 4.4 信息安全管理体系 . 13 5 领导力 . 14 5.1 领导和承诺 . 14 5.2 方针 . 14 5.3 组织角色、职责和权限 . 14 6 规划 . 14 6.1 应对风险和机会的措施 . 15 6.2 信息安全目标和规划实现 . 17 7 支持 . 18 7.1 资源 . 18 7.2 能力 . 18 7.3 意识 . 18 7.4 沟通 . 18 7.5 文件化信息 . 19 8 运行 . 20 8.1 运行的规划和控制 . 20 8.2 信息安全风险评估 . 20 8.3 信息安全风险处置 . 20 9 绩效评价 . 21 9.1 监视、测量、分析和评价 . 21
4、9.2 内部审核 . 22 9.3 管理评审 . 22 信息安全管理手册 第 4 页 共 29 页 10 改进 . 23 10.1 不符合和纠正措施 . 23 10.2 持续改进 . 23 附录 A 信息安全管理组织结构图 . 25 附录 B 信息安全管理职责明细表 . 26 附录 C 信息安全管理程序文件清单 . 28 信息安全管理手册 第 5 页 共 29 页 01 颁布令 为提高 *公司 *的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013信息技术 -安全技术 -信
5、息安全管理体系要求国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了 *公司 * 信息安全管理手册。 信息安全管理手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。 信息安全管理手册符合有关信息安全法律、法规要求及 ISO/IEC27001:2013信息技术 -安全技术 -信息安全管理体系 -要求标 准和企业实际情况,现正式批准发布,自 2016年 1 月 8 日 起实施。企业全体员工必须遵照执行。 全体员工必须严格按照信息安全管理手册的要求,自觉遵循
6、信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。 *公司 * 总 经 理: 总经理 2016 年 1 月 8 日 信息安全管理手册 第 6 页 共 29 页 02 管理者代表授权书 为贯彻执行信息安全管理体系,满足 ISO/IEC27001:2013信息技术 -安全技术 -信息安全管理体系 -要求标准的要求,加强领导,特任命 审核人 B 为我公司信息安全管理者代表。 授权信息安全管理者代表有如下职责和权限: 1 确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系; 2 负责与信息安全管理体系有关的协调和联络工作; 3 确保在整个组织
7、内提高信息安全风险的意识; 4 审核风险评估报告、风险处理计划; 5 批准发布程序文件; 6 主持信息安全管理体系 内部审核,任命审核组长,批准内审工作报告; 7 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 本授权书自任命日起生效执行。 *公司 * 总 经 理: 总经理 2017 年 1 月 15 日 信息安全管理手册 第 7 页 共 29 页 03 企业概况 这里是公司情况介绍哦 这里是公司情况介绍哦 这里是公司情况介绍哦 这里是公司情况介绍哦 这里是公司情况介绍哦 单位地址: 单位地址 电 话: 单位电话 传 真: 单位电话 邮 编:
8、邮编 总经理 : 总经理 管 代: 审 核人 A 信息安全管理手册 第 8 页 共 29 页 04 信息安全管理方针目标 为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。 信息安全管理方针: 数据保密、信息完整、控制风险、持续改进、遵守法律。 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 1公司采用系统的方法,按照 ISO/IEC27001:2013 建立信息安全管理体系,全面保护本公司的信息安全。 二、信息安全管理组织 2公司总经理对信息安全工作全面负责,负责批准信息安 全方针,
9、确定信息安全要求,提供信息安全资源。 3公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 4在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。 5与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。 三、人员安全 6信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。 特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 7对本公司的相关
10、方,要明确安全要求和安全职责。 8定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。 9全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 信息安全管理手册 第 9 页 共 29 页 10及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 五、风险评估 11根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 12采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。 13应根据风险评估的结果,采取相应措施
11、,降低风险。 六、报告安全事件 14公司建立报告信息安全事件的渠道和相应的主管部门。 15全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。 16接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17定期对信息安全进行监督检查, 包括:日常检查、专项检查、技术性检查、内部审核等。 八、业务持续性 18公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。 19定期对业务持续性计划进行测试和更
12、新。 九、违反信息安全要求的惩罚 20对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。 信息安 全目标 如 下: 1. 重大信息安全事件(损失达 1 万以上的)为零。 2. 公司发生网络中断时间小于 2 小时每年。 信息安全管理手册 第 10 页 共 29 页 05 手册的管理 1 信息安全管理手册的批准 办公室负责组织编制信息安全管理手册,总经理负责批准。 2 信息安全管理手册的发放、更改、作废与销毁 a)办公室负责按文件管理程序的要求,进行信息安全管理手册的登记、发放、回收、更改、归档、作废与销毁工作; b)各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保管
13、; c)办公室按照规定发放修改后的信息安全管理手册,并收回失效的文件作出标识统一处理,确保有效文件的唯一性; d)办公室保留信息安全管理手册修改内容的记录。 3 信息安全管理手册的换版 当依据的 ISO/IEC27001:2013 或 ISO/IEC27002:2013 标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及信息安全管理手册发生需修改部分超过 1/3 时,应对信息安全管理手册进行换版。换版应在管理评审时形成决议,重新实施编、审、批工作。 4 信息安全管理手册的控制 a)本信息安全管理手册标识分受控文件和非受控文件两种: 受控文件发放范围为公司领导、各相关部门的负责人、内审员; 非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他 相关人员。 b)信息安全管理手册有书面文件和电子文件,电子版本文件的有效格式为 .doc 文档。
