ISO27000：2013保密协议

XXXX有限公司信息安全管理手册ISO27001:2013 编制：审核：批准：信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。

6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。

9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一：信息安全组织架构映射表 (40)附件二：信息安全职责分配表 (40)1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXXXXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

最新ISO27001：2013信息安全管理体系一整套文件（手册+程序）最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。

XXXXXX软件有限公司人性化科技提升业绩通信安全管理制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. Internet访问控制 (2)5. 网络隔离 (3)6. 无线网络访问管理 (3)7. 信息交流控制措施 (3)1.目的和范围通过控制网络访问权限以及公司与外部的信息传递，防止对办公网系统和应用系统的非法访问。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对网络、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。

4.Internet访问控制1)所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。

2)客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。

5.网络隔离1)公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。

2)系统服务部制定VLAN访问控制说明。

3)对不同的应用系统的用户信息及其他信息进行网络隔离。

6.无线网络访问管理服务部对无线网络进行密码控制管理；员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。

7.信息交流控制措施1)信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；2)可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;3)公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；4)对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；5)员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；6)不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；7)在使用电子通信设施进行信息交流时，所考虑的控制包括：保护以附件形式传输的电子信息的程序；。

XXXXXX软件有限公司人性化科技提升业绩信息安全事件管理制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.信息安全异常现象 (4)4.1.信息安全异常现象定义 (4)4.2.信息安全异常现象处理流程 (5)5.信息安全事件 (6)5.1.信息安全事件定义 (6)5.2.信息安全事件分级 (6)5.3.信息安全事件处理流程 (6)5.3.1安全事件的发现 (13)5.3.2安全事件的处理 (13)6.信息安全事件的紧急处置和业务恢复 (19)7.信息安全事件证据的收集 (20)8.信息安全事件和信息安全异常现象的报告和反馈 (21)8.1.对于信息安全事件 (21)8.2.对于信息安全异常现象 (22)9.改进和预防工作 (23)10.实施策略 (23)11.相关记录 (23)1.目的和范围为加强和改进信息安全事件管理；在发生信息安全事件时能及时报告，快速响应，将损失控制在最小范围；在发生信息安全事件后，能够分析事故原因及产生影响、反馈处理结果、吸取事故教训；在发现信息安全异常现象时，能及时沟通，采取有效措施，防止安全事故的发生；特制订本管理制度。

本制度适用于影响信息安全的所有事故以及安全异常现象以及全体人员（包括外协人员、实习生、长期客户员工、来访客户等）。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《业务连续性管理制度》3.职责和权限1)信息安全管理领导小组：负责对内部信息安全事件的处理和奖惩意见进行审批；负责对纠正预防措施进行审批。

ISO9001：2015ISO9001:20081范围1范围1.1总则4组织环境4质量管理体系4.1理解组织及其环境4质量管理体系5.6管理评审4.2理解相关方的需求和期望4质量管理体系5.6管理评审4.3确定质量管理体系的范围 1.2应用4.2.2质量手册4.4质量管理体系及其过程4质量管理体系4.1总要求5领导作用5管理职责5.1领导作用和承诺 5.1管理承诺5.1.1总则 5.1管理承诺5.1.2以顾客为关注焦点 5.2以顾客为关注焦点5.2方针 5.3质量方针5.2.1制定质量方针 5.3质量方针5.2.2沟通质量方针 5.3质量方针5.3组织内的角色、职责和权限5.5.1职责和权限5.5.2管理者代表5.4.2质量管理体系策划6策划 5.4.2质量管理体系策划6.1应对风险和机遇的措施 5.4.2质量管理体系策划8.5.3预防措施6.2质量目标及其实现的策划 5.4.1质量目标6.3变更的策划 5.4.2质量管理体系策划7支持6资源管理7.1资源6资源管理7.1.1总则 6.1资源提供7.1.2人员 6.1资源提供7.1.3基础设施 6.3基础设施7.1.4运作过程的环境 6.4工作环境7.1.5监视和测量资源7.6监视和测量设备的控制7.1.5.1总则7.6监视和测量设备的控制7.1.5.2测量溯源7.6监视和测量设备的控制7.1.6组织知识无相对条款7.2能力 6.2.1总则6.2.2能力、培训和意识7.3意识 6.2.2能力、培训和意识7.4沟通 5.5.3内部沟通7.5成文信息 4.2文件要求7.5.1总则 4.2.1总则7.5.2创建和更新 4.2.3文件控制4.2.4记录控制7.5.3成文信息的控制 4.2.3文件控制4.2.4记录控制。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估本公司的信息安全风险，选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持业务持续性发展，以满足信息安全管理方针的要求，特制订本制度。

本制度适用信息安全管理体系范围内信息安全风险评估活动。

2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本制度，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本制度。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组：负责汇总确认《信息安全风险评估表》，并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。

2)公司全体员工：在信息安全管理领导小组协调下，负责本部门使用或管理的资产的识别和风险评估；负责本部门所涉及的资产的具体安全控制工作。

信息安全管理员在本部门信息资产发生变更时，需要及时清点和评估，并报送信息安全管理领导小组更新《信息安全风险评估表》。

4.风险管理方法通过定义风险管理方法，明确风险接受准则与等级，确保能产生可比较且可重复的风险评估结果。

（如图1）风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动，识别了以下内容：1)识别了信息安全管理体系范围内的资产及其责任人；2)识别了资产所面临的威胁；3)识别了可能被威胁利用的脆弱点；4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。

i文件编号 文件版本 密级ISMS-A-02 V1. 0 秘密XXX 有限公司 信息安全适用性声明（依据 GB/T 22080-2016 idt ISO/IEC27001:2013 标准编制）编 号：SANDSTONE-ISMS-A-02 版本号：V1.0受控状态编制：XXX 日期：2019-11-01 审核：XX 日期：2019-11-01 批准：XX日期：2019-11-01XXX 有限公司信息安全适用性声明受控文件1目的与范围本声明描述了在GB/T 22080-2016 idt ISO/IEC27001:2013附录A中，适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。

2相关文件信息安全管理手册、程序文件、策略文件3职责信息安全适用性声明由信息安全小组编制、修订，总经理批准。

4声明本公司按GB/T 22080-2016 idt ISO/IEC27001:2013建立信息安全管理体系。

根据公司风险评估的结果和风险可接受水平，ISO27001:2013附录A的所有条款适用于本公司信息安全管理体系，无删减条款。

2A.5信息安全策略A.6信息安全组织3A.7人力资源安全45A.8资产管理67A.9访问控制8910A11物理和环境安全策略策略，会受到资产丢失、失窃实施，各部门负责人负责监督。

或遭到非法访问的威胁。

各部门员工自觉履行该策略的日常实施。

A.12运行安全A.13通信安全A.15供应商关系A.16信息安全事件管理。

第三方服务管理工作指南目录1 范围 (2)2 规范性引用文件 (2)3 职责 (2)4 管理内容和要求 (3)4.1 第三方服务的确定 (3)4.2 对第三方服务的监督和评审 (3)4.3 第三方服务的变更管理 (4)4.4第三方人员及外包商安全管理 (4)4.5供应商协议中的安全 (5)4.6 信息和通信技术供应链 (6)第三方服务管理工作指南1 范围适用于公司信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）3 职责3.1 商务采购部负责统一管理第三方服务的控制活动，负责确定合格的第三方服务商。

3.2 各相关部门a) 与第三方服务商签订服务合同和保密协议；b) 负责对第三方服务商的服务进行安全控制；c) 负责定期对第三方服务商进行监督和评审。

4 管理内容和要求4.1 第三方服务的确定4.1.1 公司所需的第三方服务包括：a) 采购的物资需要委托第三方进行监造；b) 技术开发项目需要分包；c) 信息处理设备、网络、系统、软件需要第三方进行开发和维护；d) 信息安全等需要委托第三方提供服务；e) 其他服务提供方。

4.1.2 在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。

InformationtechnologP-SecuritPtechniques -InformationsecuritPmanagementsPstems-Requirements信息技术-安全技术-信息安全管理体系-要求Foreword前言ISO(theInternationalOrganizationforStandardization)andIEC(theInternationalElectrote chnicalCommission)formthespecializedsPstemforworldwidestandardization.Nationalb odiesthataremembersofISOorIECparticipateinthedevelopmentofInternationalStandard sthroughtechnicalcommitteesestablishedbPtherespectiveorganizationtodealwithpartic ularfieldsoftechnicalactivitP.ISOandIECtechnicalcommitteescollaborateinfieldsofmutu alinterest.Otherinternationalorganizations,governmentalandnon-governmental,inliaisonwithISOandIEC,alsotakepartinthework.Inthefieldofinformationte chnologP,ISOandIEChaveestablishedajointtechnicalcommittee,ISO/IECJTC1.ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国家机构是ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。