最新ISO27001:2013信息安全管理体系一整套记录表单汇编
ISO27001-2013信息安全管理手册
信息安全管理手册版本号:V1.0目录01颁布令 (1)02管理者代表授权书 (2)03企业概况 (3)04信息安全管理方针目标 (3)05手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年12月23日起实施。
ISO27001-2013信息安全管理手册(GBT 22080-2016)
XXXX有限公司信息安全管理手册ISO27001:2013 编制:审核:批准:信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。
6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。
9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一:信息安全组织架构映射表 (40)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)
XXXXXXXXX有限责任公司信息安全管理体系程序文件编号:XXXX-B-01~XXXX-B-41(符合ISO/IEC 27001-2013标准)拟编:信息安全小组日期:2015年02月01日审核:管代日期:2015年02月01日批准:批准人名日期:2015年02月01日发放编号: 01受控状态:受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理,规范整个知识产权管理工作,保证知识产权管理工作的每个环节的合理性、有效性和流畅,为组织的知识产权保护与管理奠定基础。
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。
ISO27001记录清单汇编
办公室
55
《业务持续性管理实施计划》
ST/ISMS-JL—055
三年
办公室
56
《业务持续性管理计划测试报告》
ST/ISMS-JL—056
三年
办公室
57
《业务持续性管理计划评审报告》
ST/ISMS-JL—057
三年
办公室
58
《信息资产调查表》
ST/ISMS-JL—058
长期
办公室
59
《重要信息资产清单》
26
《安装软件一览表》
ST/ISMS-JL—026
三年
办公室
27
《采购申请》
ST/ISMS-JL—027
三年
办公室
28
《验收记录》
ST/ISMS-JL—028
三年
办公室
29
《人工查杀病毒记录表》
ST/ISMS-JL—029
三年
软件开发部
30
《重要信息备份周期一览表》
ST/ISMS-JL—030
三年
软件开发部
ST/ISMS-JL—010
三年
办公室
11
《会议记录》
ST/ISMS-JL—011
三年
办公室
12
《不合格项分布表》
ST/ISMS-JL—012
三年
办公室
13
《信息安全风险评估报告》
ST/ISMS-JL—013
三年
办公室
14
《ISMS纠正/预防措施》
ST/ISMS-JL—014
三年
办公室
15
《ISMS管理评审计划》
办公室
75
76
77
ISO27001:2013信息安全风险处理计划检查记录表
部门经理
2015-6-24
5
项目文档
各部门
员工盗取
易携带
控制
公司重要文件有相应人员保管,重要文件不随便放置在公共场合,放置加密文件柜、有门禁
各部门
部门经理
2015-6-24
6
所有人员
各部门
工作中断
离职或突发事件
控制
责任分离、合同约束、离职前培训新员工
所有部门
部门经理
2015-6-24
XX科技股份有限公司
信息安全管理体系
信息安全风险处理计划检查记录
(XX-D-01-06)
编 制:杨雪梅
批 准:钟永胜
2015年6月24日
序号
资产名称
责任部门
威胁
薄弱点
处理
方式
风险处理措施
措施责任部门
责任人
检查实施日期
1
公司各类数据
综合部
搬迁遗失或失窃
意外事件
控制
采用移动硬盘、服务器双备份、移动硬盘备份在工作场所外
综合部
刘文惠
2015-6-24
2
服务器
工程部
非授权者入侵
没有设定访问权限
控制
加密设屏保、设置混合口令
工程部
周贵川
2015-6-24
3
管理层电脑
总经办
疏忽或其他因素
不小心遗失
控制
设置混合复杂口令、外出时不携带重要数据、减少外带频次
总经办
钟永胜201Βιβλιοθήκη -6-244存储设备
各部门
病毒攻击
携带病毒
控制
减少使用频次、使用前杀毒扫描、携带机密数据的设备严禁在外部使用
ISO27001信息安全体系内部审核整套记录(含内审检查记录)
ISO27001信息安全管理体系 整套内审记录汇编Word原件已放在本文档附件区年度内部审核计划ISMS-0106-JL01━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━为验证本公司信息安全管理活动是否符合GB/T22080-2016/ISO27001:2013标准、相关法律法规的要求和信息安全管理要求以及信息安全管理体系的有效性,根据《信息安全管理手册》和《内部审核管理程序》的要求,安排进行2021年度内部审核。
2021年度内部审核工作进行一次,具体时间计划如下:2021年3月10,进行内部信息安全审核。
内部审核的范围应覆盖信息安全管理体系所有部门和活动。
根据体系运行实际情况,由管理者代表提出,总经理批准可增加审核频次。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━编制:**** 批准:*****日期:2021-3-5 日期:2021-3-5合格内审员评定表ISMS-0106-JL03内审员要求:内审员须具备以下条件,但经特别核准除外。
A.受内、外部信息安全标准相关培训24小时以上且有证明者。
B.对作业现场比较熟悉,具有一定的工作经验。
C.经管理层批准。
合格内审员名单:组长:*** 组员: ****,***内审小组:组长:**** 组员: ***,***附件:附录1:信息安全管理体系内审员考核试题ISO27001信息安全管理体系内审员考核试卷NAME: __________ DA TE____________ SCORE一、单选题(5×12=60分)1.增强ISMS完成业绩的流程称为:a.System planning系统计划b.Continual improvement 持续改进rmation security objective setting信息安全目标设置d.Preventive action预防措施2.根据ISO9000,一系列关联的部件称为:a.Process流程b.Procedure程序c.System系统d.Problem问题3.ISO27001中的方法是基于PDCA的,其中C代表什么?a.Check检查b.Customer 客户c.Conform一致d.Close关闭4.ISO19011是什么的指南:a.Auditing审核b.Writing non conformities写不符合事项c.Implementation of an International standard国际标准实施d.Handling customer complaints控制客户抱怨5.下面那些是信息安全的原则:a.Confidentiality保密b.Integrity完整c.Availability可用d.All of the above上面的全部6.下面那些描述是正确的:rmation security is the responsibility of IT 信息安全是IT的职责rmation security is expensive信息安全太贵rmation security exposes the organization to outsiders信息安全就是向外界揭露组织d.None of the above上面都不正确7.在流程界面之间什么容易产生:a.Arguments争论b.Fireworks摩擦c.Risks风险d.Excess paperwork过度的文档8.第一方审核称为:a.An internal audit内部审核b. A risk assessment风险评估c. A supplier audit供应链审核d. A certification audit认证审核9.在审核流程中的一个关键阶段是:a.Finding non-conformities发现不符合b.Planning计划c.Lunch实施d.Learning the ISO 27001 clause numbers对应ISO27001条款10.内部审核的准则通常是:a.Internal procedures内部流程b.ISO 27001 clauses ISO27001条款c.The department to be visited 必须访问的部门d.Date of visit 访问的时间11.一个不符合事项必须是:a. A failing 一个失误b. A requirement一个需求c.Evidence证据d.All of the above所有上面12.审核员防止不符合重复发生采取的活动称为:a.Corrective纠正措施b.Too late太晚c.Preventive预防措施d.Indirect间接做法二、简答题1.简单描述内部审核员的主要职责(15分)1) 负责编制检查表2) 根据内审安排实施现场审核并填写审核记录;3) 向审核组长提供审核有关的信息,完成所承担的内部审核任务;4) 负责填写不符合项报告单;5) 负责对公司内不符合质量体系要求的提出整改意见及建议;6)负责对不符合项纠正措施进行跟踪、验证。
ISO27001:2013信息安全管理体系一整套程序
文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。
2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门,负责信息安全有关的所有文件的管理与控制。
2)各部门:负责本部门信息安全管理文件的管理与控制。
4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括:1)第一层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、信息安全策略;2)第二层:制度文件;3)第三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文件等;4)第四层:记录、表单。
记录控制执行《记录控制制度》。
4.2文件编制文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。
1)第一层:信息安全管理手册由体系负责人组织编写,信息安全管理者代表审核,总经理批准发布。
2)第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理批准发布。
3)第四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表批准发布。
4.3文件标识所有文件必须有明确的标识,包括:文件的名称、编号、版本号、密级标识等。
ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。
ISO27001信息安全体系记录清单
ISO27001信息安全记录的分类和保存期限如下表所示:
记录类别
保管期限
保管部门
合同内容确认的记录
合同
合同结束后3年
行政管理部
质量保证书
合同结束后3年
行政管理部
定单
合同结束后3年
行政管理部
文件管理的记录
信息安全管理文件审批表
5年
行政管理部
信息安全文件一览表
5年
行政管理部
文件发放一览表
第三方工作记录单
3年
行政管理部
第三方服务变更报告
3年
行政管理部
信息分类管理记录
信息资产识别表(文档)
3年
行政管理部
信息资产识别表(硬件)
3年
行政管理部
信息资产识别表(软件)
3年
行政管理部
信息安全重要岗位一览表
5年
行政管理部
信息安全重要岗位员工一览表源自5年行政管理部重要安全区域控制方案一览表
5年
行政管理部
专利及著作产权一览表
5年
行政管理部
商业秘密管理记录
涉密文件复印登记表
5年
行政管理部
涉密文件保管一览表
5年
行政管理部
员工聘用管理记录
招聘申请表
2年
行政管理部
面试记录表
2年
行政管理部
录用决定
2年
行政管理部
雇员保密协议
2年
行政管理部
信息安全奖惩管理记录
惩戒申报单
2年
行政管理部
奖励建议书
2年
行政管理部
员工离职、职务变动管理记录
3年
行政管理部
ISO IEC27001-2013信息安全管理体系内部审核检查表
现场观察
A.8.2.2
信息的标记
随机抽样5份电子文档以及纸质文件检查文件中是否明确标记了保密等级
现场观察
A.8.2.3
资产的处理
检查信息资产相关制度,制度中是否已明确制定了资产的处理措施;
现场观察
A.8.2.4
资产的归还
随机抽取本年度4份离职单,查看物品归还情况
A.6.1
内部组织
A.6.1.1
信息安全的角色和职责
是否所有的组织成员都明确自己的信息安全职责? 以及对自己信息安全职责的明确程度? 信息安全职责的分配是否与信息安全方针文件相一致?
现场观察
A.6.1.2
与监管机构的联系
检查体系制度中,是否明确指定了与监管机构联系的部门或负责人
现场观察
A.6.1.3
抽样
A.9.4.5
程序源码的访问控制
检查源程序访问控制制度和措施
抽查源程序控制措施,检查其是否符合制度要求
抽样
A.10
密码学
A.10.1
密码控制
A.10.1.1
密码使用控制政策
检查公司是否制定了加密策略,包括加密的对象、加密的方法、解密的方法等。
抽样
A.10.1.2
密钥管理
检查公司对密钥生命是否制定了控制措施。
检查内容同9.1 9.2
A.5
安全方针
A.5.1
信息安全管理方向
A.5.1.1
信息安全方针
组织是否制定了明确的信息安全方针和目标,这些方针和目标与公司的业务是否相关。
现场观察
A.5.1.2
信息安全方针的评审
获取组织管理评审相关记录,检查管理评审会议中,是否对信息安全方针的达成情况进行了评审。
ISO27001-2013信息安全管理手册(GBT 22080-2016)
XXXX有限公司信息安全管理手册ISO27001:2013 编制:审核:批准:信息安全管理手册目录1. 概述 (4)1.1 目的 (4)1.2 适用范围 (4)1.3 颁布令 (4)1.4 授权书 (5)2. 依据文件和术语 (6)2.1 依据文件 (6)2.2 术语定义 (6)3. 裁剪说明 (7)4. 组织环境 (8)4.1 组织环境描述 (8)4.2 信息安全相关方的需求和期望 (11)4.3 信息安全管理体系范围的确定 (11)4.4 体系概述 (12)5. 领导力 (14)5.1 领导力和承诺 (14)5.2 信息安全方针和目标 (14)5.3 组织角色、职责和权限 (15)6. 策划 (17)6.1 风险评估和处置.............................. 错误!未定义书签。
6.2 目标实现过程 (18)7. 支持 (20)7.1 资源提供 (20)7.2 能力管理 (20)7.3 意识培训 (20)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (21)8. 运行 (24)8.1 体系策划与运行 (24)8.2 风险评估 (24)8.3 风险处置 (24)9. 绩效评价 (26)9.1 监视、测量、分析和评价...................... 错误!未定义书签。
9.2 内部审核 (27)9.3 管理评审 (28)10. 改进........................................ 3010.1 不符合和纠正措施 2810.2 持续改进 (28)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (35)A.8资产管理 (35)A.9访问控制 (35)A.10密码控制 (36)A.11物理和环境安全 (36)A.12操作安全 (36)A.13通信安全 (37)A.14系统获取、开发和维护 (37)A.15供应商关系 (38)A.16信息安全事故 (38)A.17业务连续性管理的信息安全方面 (38)A.18符合性 (38)附件一:信息安全组织架构映射表 (40)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
【完整内容】ISO27001-2013信息安全管理体系信息安全风险评估表
99
1
增强员工法律、安全意识培训
3
2
66
1
3
2
66
4
1
YES
51
需求分析书
需求分析书
项目管理部
12
4
3
3
2
设备故障
4
缺乏定期更换计划
5
240
3
环境控制
4
3
144
2
2
1
24
4
1
YES
52
需求分析书
需求分析书
项目管理部
12
4
3
3
2
软件本身存在的漏洞
4
缺乏定期更换计划
4
192
2
设置自动更新补丁服务。
4
3
软件研发中心
12
4
3
3
2
遭盗用
3
被不法分子利用
4
144
2
专人保管设置权限
加强安全教育
3
3
108
2
1
3
36
4
1
YES
18
程序源代码
一般办公
软件研发中心
20
5
5
5
5
设备故障
4
缺乏定期更换计划
5
400
4
环境控制
4
3
240
3
2
1
40
4
1
YES
19
程序源代码
一般办公
软件研发中心
20
5
5
5
5
软件本身存在的漏洞
4
缺乏定期更换计划
ISO27001信息安全管理评审整套记录汇编
ISO27001信息安全管理体系管理评审整套资料汇编文件清单1管理评审计划2管理评审报告3管理评审会议记录4管理评审纠正预防措施计划表5技术部管理评审材料6销售部管理评审材料7综合管理部管理评审材料管理评审计划ISMS-0107-JL01 编号:202103为验证公司信息安全管理体系的适宜性、充分性和有效性,评价和寻求信息安全管理体系改进的机会和变更的需要(包括安全方针和安全目标),根据《信息安全管理手册》的要求,公司在2021年3月30日进行管理评审。
本次会议由总经理负责主持,管理者代表、公司各部门负责人参加。
本次管理评审的内容包括:1.信息安全管理体系审核和评审的结果;2.相关方的反馈;3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序;4.预防和纠正措施的状况;5.风险评估没有充分强调的脆弱性或威胁;6.有效性测量的结果;7.内审不符合项的跟踪验证;8.任何可能影响信息安全管理体系的变更;9.改进的建议;参加管理评审的部门应该按照计划要求准备本部门在信息安全管理体系实施中有关材料,并在会议上汇报。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━编制:***审核:*** 批准:***日期:2021.03.25 日期:2021.03.25 日期:2021.03.25深圳市****科技有限公司管理评审报告ISMS-0107-JL04编制:审核:批准:2021年03月30日为验证公司信息安全管理体系的适宜性、充分性和有效性,评价和寻求信息安全管理体系改进的机会和变更的需要(包括安全方针和安全目标),根据《信息安全管理手册》和2021年度管理评审计划的要求,于2021年03月30日在公司召开了 2021年度管理评审会议。
本次会议由总经理负责主持,公司各部门负责人均参加。
本次管理评审的内容包括:1.信息安全管理体系审核和评审的结果;2.相关方的反馈;3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序;4.预防和纠正措施的状况;5.风险评估没有充果;分强调的脆弱性或威胁;6.有效性测量的结7.内审不符合项的跟踪验证;8.任何可能影响信息安全管理体系的变更;9.对策略集适宜性、充分性和有效性进行评审。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
杨雪梅、徐启梅、赵丽仙、周红梅、张强、刘文惠 4. 评估依据
《信息安全风险识别与评价管理程序》。 5.时间总体安排:
2015 年 6 月 22 日~6 月 24 日完成信息资产识别及风险评估; 2015 年 6 月 25 日前完成信息安全风险评估报告。
31 •SW04 D-Link
Seagate移动 32
硬盘
33
BJ-001
34
BJ-002
35
BJ-003
36
BJ-004
37
PC-001
38
PC-002
39
PC-003
40
PC-004
41
PC-005
42
PC-006
43
PC-007
44
PC-008
45
PC-009
46
PC-010
47
PC-011
48
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3ห้องสมุดไป่ตู้
4
4
3
144
3
4
4
4
3
192
4
4
4
4
3
192
4
4
4
4
3
192
4
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
4
4
4
3
192
4
4
4
4
3
192
4
4
4
4
3
192
资产类别 资产类别
各种规章制度、劳 动合同等
公司项目的投标文 监控音视件频的数据 员工日常考勤的数
财务账据目数据 操作系统 操作系统 操作系统 办公工具
行政部
商务部 服务器 行政部 财务部
PC机 PC机 服务器 PC机
办公工具
PC机
安全工具 安全工具 办公工具 安全工具 办公工具
办公工具
办公工具
办公工具
12
鲁大师
13 用友财务软件
14 监控软件
15 考勤系统
16
鹏业工程造价 软件
17 广联达计价软
18 宏业清件单计价 专家
19 CAD制图软件
20 建龙软件
21 金润软件
22
天正8
23
服务器
24 ERP服务器
25
ERP数据库服 务器
26 调制解调器
27
路由器
28
交换机
29 •SW02 D-Link
30 •SW03 D-Link
C保密 I完整 A可用 L合规
性
性
性
性
5
5
5
4
5
5
5
5
5
5
5
4
5
5
5
4
5
5
5
4
3
4
4
3
3
4
4
3
3
4
4
3
3
4
4
3
汇总 重要等级 不可接受风险
500
5
625
5
500
5
500
5
500
5
144
3
144
3
144
3
144
3
3
4
4
3
144
3
3
4
4
3
144
3
3
3
3
3
81
3
3
4
4
3
144
3
3
4
4
3
144
3
3
3
3
3
81
4
4
4
4
3
192
4
3
4
4
3
144
3
3
4
4
3
144
3
3
3
4
3
108
3
3
3
4
3
108
3
3
4
4
3
144
3
3
4
4
3
144
3
3
4
4
3
144
办公工具 办公工具 办公工具 办公工具
服务器 服务器
服务器
网络设备 网络设备 网络设备 网络设备 网络设备 网络设备
存储设备
笔记本 笔记本 笔记本 笔记本 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑 台式电脑
PC机 PC机 PC机 服务器 PC机
ISO27001:2013 信息安全管理体系 一整套记录表单汇编
XX-D-01-1
XXXX 科技股份有限公司
信息安全风险评估计划
(2015 年度) 1.目的:
为本公司按 ISO27001:2013《信息技术-安全技术-信息安全管理体系 -要求》标准建立、实施、运行的信息安全管理体系提供依据,并为确定信 息安全管理要求改进提供依据,为测量信息安全控制目标和控制措施的有 效性,永久性提供依据,进行本次风险评估。 2.范围:
YJ-001-2
YJ-002 YJ-003 YJ-004 YJ-004-1 YJ-004-2 YJ-004-3
YJ-005
YJ-007 YJ-008 YJ-009 YJ-010 YJ-011 YJ-012 YJ-013 YJ-014 YJ-015 YJ-016 YJ-017 YJ-018 YJ-019 YJ-020 YJ-021 YJ-022 YJ-023
财务部主管/财务部
总经理/管理层 副总经理/管理层 副总经理/管理层 行政部助理/行政部 综合部主管/综合部 综合部助理/综合部 综合部助理/综合部 商务部助理/商务部 财务部助理/财务部 财务部助理/财务部 财务部助理/财务部 财务部助理/财务部 财务部助理/财务部 采购部主管/采购部 商务部主管/商务部 商务部助理/商务部 商务部助理/商务部
各部门
各部门
各部门 综合部主管/综合部 商务部助理/商务部 信息部专员/信息部 财务部主管/财务部
技术部主管/技术部
技术部主管/技术部
技术部主管/技术部
技术部主管/技术部 技术部主管/技术部 商务部助理/商务部 技术部主管/技术部 信息部专员/信息部 信息部专员/信息部
信息部专员/信息部
信息部专员/信息部 信息部专员/信息部 信息部专员/信息部 信息部专员/信息部 信息部专员/信息部 信息部专员/信息部
PC机
PC机
PC机
PC机 PC机 PC机 PC机 机房 机房
机房
机房 机房 机房 机房 机房 机房
综合部
管理层 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内 公司内
资产类别
行政部助理/行政部
商务部助理/商务部 信息部专员/信息部 行政部助理/行政部 财务部主管/财务部 行政部助理/行政部 行政部助理/行政部 信息部专员/信息部
编 制:
批准:
日 期:
资产 类别 数据 软件
硬件
资产 类别
资产类别
1
管理制度/合 同
2 客户/投标文
3
监控件数据
4 考勤数据
5 财务数据
6 Windows XP
7
Window7
8 Windows 2003
9 Photoshop
Microsoft
10 Office 2007
办公软件
11 360杀毒软件
PC-012
49
PC-013
资产类别
D-002
D-003 D-004 D-005 D-006 RJ-001 RJ-002 RJ-003 RJ-004
RJ-005
RJ-006 RJ-007 RJ-008 RJ-009 RJ-010
RJ-011
RJ-012
RJ-013
RJ-014 RJ-015 RJ-016 RJ-017 YJ-001 YJ-001-1