ISO27001信息安全管理手册
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。
ISO27001:2013信息安全管理手册和程序文件
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
ISO27001信息安全管理手册模板
信息安全管理手册版本信息注:文档基本信息记录本文档提交时的当前有效的基本控制信息,当前版本文档有效期将在新版本文档生效时自动结束。
文档版本小于1.0 时,表示该版本文档为草案,仅可作为参照资料之目的。
文档编号保密级别内部分发范围修订历史生效日期 版本号 版本说明 制作 复审 批准目录1.1. 前言1.2. XXX公司概述1.3. 信息安全管理方针/目标1.4. 公司组织机构1.5. 公司信息安全组织结构图第2章信息安全组织职责2.1. 信息安全决策委员会2.2. 信息安全管控委员会2.3. 信息安全执行工作组第3章职责和权限3.1. 信息管理部3.2. 经营管理部3.3. 财务管理部3.4. 人力资源及行政中心3.5. 营销中心1.1. 前言1.1.1. 批准页本信息安全管理手册是依据信息安全管理体系的要求,结合本公司的实际制定的,是公司信息安全管理的纲领性文件。
信息安全管理手册包括:XXX公司的信息安全管理方针和信息安全管理目标;组织结构的描述。
本手册的规定及其所引出的程序文件和管理性文件从批准之日起生效实施,要求公司全体员工在日常工作中认真执行,严格遵守和贯彻执行本手册的各项规定和要求,确保信息安全管理体系的要求和方针与目标的实现。
总经理:年月日1.1.2. 管理者代表任命书为了建立信息安全管理体系并确保体系的有效运行和持续改进,特任命为管理者代表,行使其规定的职责和权限,直接负责与信息安全管理相关的事务及外部联络,兹自签发之日起生效。
总经理年月日1.1.3. 手册应用范围与管理1.1.3.1. 应用范围1.1.3.1.1.本手册采用信息安全部分适用于ISO27001-2005除去电子商务部分的所有内容。
1.1.3.1.2.本手册适用于公司从软件的计划、设计、开发、应用、管理、业务流程,以及持续改善的所有过程控制。
1.1.3.2. 手册的编写与核准1.1.3.2.1.本手册应由管理代表或指定人员起草编写1.1.3.2.2.本手册的审查应由管理代表完成,确定其适用性及有效性;1.1.3.2.3.本手册的核准发行权由总经理决定;1.1.3.3. 《信息安全管理手册》之管理1.1.3.3.1.《信息安全管理手册》的发行由信息管理部负责,并进行发行、编号;1.1.3.3.2.手册如有破损、遗失、增发参照《文件控制程序》作业1.1.3.3.3.任何持有者离开公司必须交回手册;1.1.3.3.4.信息安全管理手册的持有者不得自行对信息安全管理手册进行删改、撕页、涂改,要保持信息安全管理手册的完整、清洁,注意保管,慎防遗失,未经总经理或管理者代表批准不得复制,向外提供。
ISO27001:2022信息安全管理手册
信息安全管理手册目录4 组织环境 (2)4.1 理解组织及其环境 (2)4.2 理解相关方的需求和期望 (2)4.3 确定信息安全管理体系范围 (2)4.4 信息安全管理体系 (2)5 领导作用 (2)5.1 领导作用和承诺 (2)5.2 方针 (2)5.3 组织角色、职责和权限 (3)6 策划 (3)6.1 应对风险和机遇的措施 (3)6.1.1 总则 (3)6.1.2 信息安全风险评估 (3)6.1.3 信息安全风险处置 (3)6.2 信息安全目标及其实现的策划 (4)6.3 变更策划 (4)7 支持 (4)7.1 资源 (4)7.2 能力 (4)7.3 意识 (5)7.4 沟通 (5)7.5 文件化信息 (5)7.5.1 总则 (5)7.5.2 创建和更新 (5)7.5.3 文件化信息的控制 (5)8 运行 (6)8.1 运行策划与控制 (6)8.2 信息安全风险评估 (6)8.3 信息安全风险处置 (6)9 绩效评价 (6)9.1 监视、测量、分析和评价 (6)9.2 内部审核 (6)9.2.1 总则 (6)9.2.2 内部审核方案 (6)9.3 管理评审 (7)9.3.1 总则 (7)9.3.2 管理评审输入 (7)9.3.3 管理评审结果 (7)10 改进 (7)10.1 持续改进 (7)10.2 不符合和纠正措施 (7)4 组织环境4.1 理解组织及其环境组织应确定与其宗旨相关的,且影响其实现信息安全管理体系预期结果的能力相关的外部和内部因素。
4.2 理解相关方的需求和期望组织应确定:a) 与信息安全管理体系有关的相关方;b) 这些相关方的相关要求;c)需要通过信息安全管理体系应对的要求。
注:相关方的要求可包括法律法规要求和合同义务。
4.3 确定信息安全管理体系范围组织应确定信息安全管理体系的边界和适用性以建立其范围。
当确定范围时,组织应考虑:a) 4.1 中提到的外部和内部因素;b) 4.2 中提到的要求c)组织实施活动之间及与其他组织间实施活动的接口和依赖关系。
信息安全管理手册-ISO27001
信息安全管理手册-ISO27001信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1受控状态:■受控□非受控修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人同意AA/1编写组2017-1-15定版审核人同意B00 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (8)05 手册的管理 (10)06 信息安全管理手册 (11)1 范围 (11)1.1 总则 (11)1.2 应用 (11)2 规范性引用文件 (11)3 术语和定义 (11)3.1 本公司 (12)3.2 信息系统 (12)3.3 计算机病毒 (12)3.4 信息安全事件 (12)3.5 相关方 (12)4 组织环境 (12)4.1 组织及其环境 (12)4.2 相关方的需求和期望 (12)4.3 确定信息安全管理体系的范围 (13)4.4 信息安全管理体系 (13)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (14)5.3 组织角色、职责和权限 (14)6 规划 (14)6.1 应对风险和机会的措施 (15)6.2 信息安全目标和规划实现 (17)7 支持 (18)7.1 资源 (18)7.2 能力 (18)7.3 意识 (18)7.4 沟通 (18)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (20)8.3 信息安全风险处置 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (22)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (23)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司**《信息安全管理手册》。
ISO27001信息安全管理体系-信息安全管理手册
XXXXXXX有限公司信息安全管理体系文件信息安全管理手册XXXX - ISMS-SC-2019版本:V 1.0(内部受控)2019年4月10日发布2019 年4月10日实施XXXXXXX有限公司修改履历目录颁布令管理者代表授权书1.1总则1.2应用规范性引用文件3术语和定义3.1术语3.2缩写4组织的背景4.1 了解公司现状及背景4.2理解相关方的需求和期望4.3确定信息安全管理体系的范围5领导力6计划6.1处理风险和机遇的行动00目录0001 02、,-、.言...1.2.1 覆盖范围1.2.2 删减说明1.2.3 信息安全手册说明1010 5.1 领导力和承诺105.2 信息安全管理体系的方针115.3 角色,责任和承诺115.3.1 信息安全组织机构115.3.2 信息安全职责和权限115.3.3 承诺1212126.1.1 总则126.1.2 信息安全风险评估126.1.3 信息安全风险处置136.2可实现的信息安全目标和计划14 7支持7.1资源15 7.2能力15 7.3意识15 7.4沟通15 7.5文档化信息167.5.1总贝y167.5.2 创建和更新167.5.3文档化信息的控制16 8运行8.1运行计划及控制17 8.2信息安全风险评估17 8.3信息安全风险处置17 9绩效评价18 9.1监视,测量,分析和评价18 9.2内部审核189.2.1 内审员189.2.2内审实施18 9.3管理评审19 10改进20 10.1不符合及纠正措施20 10.2持续改进20附录1-组织简介 ....... 附录3-职能分配表 .... 信息安全管理职能分配表附录4-信息安全小组成员21 23 23 26 1501颁布令经公司全体员工的共同努力依据GB/T 22080-2016/ISO/IEC 27001 : 2013标准建立XXXXXXX有限公司信息安全管理体系已得到建立。
指导管理体系运行的公司《信息安全管理体系手册》经评审后,现予以批准发布。
ISO27001:2013信息安全管理手册
信息安全管理手册目录1. 概述 (3)1.1 目的 (3)1.2 适用范围 (3)1.3 颁布令 (3)1.4 授权书 (4)2. 依据文件和术语 (5)2.1 依据文件 (5)2.2 术语定义 (5)3. 裁剪说明 (6)4. 组织环境 (7)4.1 组织环境描述 (7)4.2 信息安全相关方的需求和期望 (10)4.3 信息安全管理体系范围的确定 (10)4.4 体系概述 (11)5. 领导力 (13)5.1 领导力和承诺 (13)5.2 信息安全方针和目标 (13)5.3 组织角色、职责和权限 (14)6. 策划 (16)6.1 风险评估和处置............................. 错误!未定义书签。
6.2 目标实现过程 (17)7. 支持 (19)7.1 资源提供 (19)7.2 能力管理 (19)7.3 意识培训 (19)7.4 信息安全沟通管理 (20)7.5 文件记录管理 (20)8. 运行 (23)8.1 体系策划与运行 (23)8.2 风险评估 (23)8.3 风险处置 (23)9. 绩效评价 (25)9.1 监视、测量、分析和评价..................... 错误!未定义书签。
9.2 内部审核 (26)9.3 管理评审 (27)10. 改进........................................ 2910.1 不符合和纠正措施 2710.2 持续改进 (27)11. 信息安全总体控制 (31)A.5信息安全策略 (31)A.6信息安全组织 (31)A.7人力资源安全 (34)A.8资产管理 (34)A.9访问控制 (34)A.10密码控制 (35)A.11物理和环境安全 (35)A.12操作安全 (35)A.13通信安全 (36)A.14系统获取、开发和维护 (36)A.15供应商关系 (37)A.16信息安全事故 (37)A.17业务连续性管理的信息安全方面 (37)A.18符合性 (37)附件一:信息安全组织架构映射表 (39)附件二:信息安全职责分配表 (40)1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
2022版ISO27001信息安全管理手册
*********有限公司信息安全管理体系文件管理手册依据ISO/IEC27001:2022标准编制编号:ZX-ITSMS-2023受控状态:受控编制: 编制小组审核: ***批准: ***发布日期: 2023年01月01日实施日期: 2023年01月01日1概述 (5)1.1颁布令 (5)1.2范围 (6)1.3授权书 (6)1.4手册说明 (7)1.5公司简介 (9)2规范性引用文件 (9)3术语和定义 (9)3.1 术语 (9)3.2 缩写 (9)4组织环境 (9)4.1了解公司现状及背景 (9)4.2 理解相关方的需求和期望 (10)4.3确定信息安全管理体系的范围 (10)4.4 信息安全管理体系 (10)5领导作用 (10)5.1领导力和承诺 (10)5.2信息安全管理体系的方针 (11)5.3角色,责任和承诺 (11)6策划 (12)6.1 应对风险和机遇的措施 (12)6.2 信息安全目标和实现目标的规划 (14)6.3 变更计划作者:李柏倫翻版盜賣必追究責任 (15)7. 支持 (15)7.1 资源提供 (15)7.2 信息安全能力管理 (15)7.3 意识 (16)7.4沟通 (16)7.5文档化信息 (16)8运行 (17)8.1 运行计划及控制 (17)8.2 信息安全风险评估 (18)8.3 信息安全风险处置 (18)9 绩效评价 (18)9.1 监视、测量、分析和评价 (18)9.2 内部审核 (19)9.3 管理评审 (20)10 改进 (21)10.1 持续改进 (21)10.2 不符合及纠正措施 (21)附录1 组织架构图 (22)附录2 职能分配表 (23)附录3 信息安全职责 (28)手册的更改1概述1.1颁布令经公司全体员工的共同努力依据ISO/IEC 27001:2022标准建立我公司信息安全管理体系已得到建立。
指导管理体系运行的公司《信息安全管理手册》经评审后,现予以批准发布。
(完整版)ISO27001信息安全管理手册(最新整理)
信息安全管理手册版本号:V1.0目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。
软件研发ISO27001信息安全管理手册
软件研发ISO27001信息安全管理手册颁布令为提高IT服务管理和信息安全管理水平,规范化运行管理,依据《GB/T 19001--2008 idt ISO9001:2008 质量管理体系要求》、《ISO/IEC20000-1:2005 Information technology - Service management - Part 1:Specification》、《ISO/IEC 27001:2005 Information technology - Security techniques –Information security management systems - requirements》,结合公司实际情况建立符合以上标准规范要求的管理体系。
《管理手册》阐述了有关IT服务管理、服务质量管理、信息安全管理的管理方针,是规范服务管理与信息安全管理的纲领性文件,是建立、实施、评测、改进管理体系的指导性文件。
本手册在编制过程中坚持符合性、适宜性和有效性的统一,并广泛征求意见修订成稿,现予以发布,自发布日起正式生效实施。
全体员工应认真学习、熟知本手册内容,并严格执行本手册的各项规定和要求。
本手册将根据内、外部环境的变化适时进行评审、修改和完善。
此令!总经理:2013年11月28日“管理者代表”任命书为了贯彻执行《GB/T 19001--2008 idt ISO9001:2008 质量管理体系要求》、《ISO 9001:2008 Quality management systems - Requirements》、《ISO/IEC 20000-1:2005 Information technology - Service management - Part 1:Specification》、《ISO/IEC 27001:2005 Information technology - Security techniques –Information security management systems - requirements》,加强对管理体系运作的领导,确保管理体系的建立、实施、运作、监视、评审、保护和改进,特任命为管理者代表。
ISO27001:2013信息安全管理手册和程序文件
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
新版信息安全管理手册-ISO27001
信息安全管理手册信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1受控状态:■受控□非受控编制审核批准编写组审核人A 总经理yyyy-mm-dd yyyy-mm-dd yyyy-mm-dd日期: 2016年1月8日实施日期: 2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人同意AA/1编写组2017-1-15定版审核人同意B00 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (8)05 手册的管理 (10)06 信息安全管理手册 (11)1 范围 (11)1.1 总则 (11)1.2 应用 (11)2 规范性引用文件 (11)3 术语和定义 (11)3.1 本公司 (12)3.2 信息系统 (12)3.3 计算机病毒 (12)3.4 信息安全事件 (12)3.5 相关方 (12)4 组织环境 (12)4.1 组织及其环境 (12)4.2 相关方的需求和期望 (12)4.3 确定信息安全管理体系的范围 (13)4.4 信息安全管理体系 (13)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (14)5.3 组织角色、职责和权限 (14)6 规划 (14)6.1 应对风险和机会的措施 (15)6.2 信息安全目标和规划实现 (17)7 支持 (18)7.1 资源 (18)7.2 能力 (18)7.3 意识 (18)7.4 沟通 (18)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (20)8.3 信息安全风险处置 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (22)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (23)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司**《信息安全管理手册》。
信息安全管理手册-ISO27001
信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1受控状态:■受控□非受控日期:2016年1月8日实施日期:2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A /0编写组2016-1-08定版审核人A同意A /1编写组2017-1-15定版审核人B同意第29 页第29 页00 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (9)05 手册的管理 (11)06 信息安全管理手册 (12)1 范围 (12)1.1 总则 (12)1.2 应用 (12)2 规范性引用文件 (12)3 术语和定义 (12)3.1 本公司 (13)3.2 信息系统 (13)3.3 计算机病毒 (13)3.4 信息安全事件 (13)3.5 相关方 (13)4 组织环境 (13)4.1 组织及其环境 (13)4.2 相关方的需求和期望 (13)4.3 确定信息安全管理体系的范围 (14)4.4 信息安全管理体系 (14)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (15)5.3 组织角色、职责和权限 (15)6 规划 (15)6.1 应对风险和机会的措施 (15)第29 页6.2 信息安全目标和规划实现 (18)7 支持 (18)7.1 资源 (18)7.2 能力 (19)7.3 意识 (19)7.4 沟通 (19)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (21)8.3 信息安全风险处置 (21)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (23)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (24)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)第29 页01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1) 将实施行动整合到信息安全管理体系流程中;
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c)为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
2) 识别风险的属主;
d) 分析信息安全风险:
1) 评估在信息安全风险评估中识别的风险产生的潜在后果;
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性;
3) 确定风险的等级;
e) 评价信息安全风险:
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较;
2) 根据风险等级确定风险处置的优先级。
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》
3、术语和定义
3.3.1GB/T 22080-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》、GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》规定的术语和定义适用于本《信息安全管理手册》。
此方针由管理层根据公司内、外环境的变化适时予以修订、调整并予以公告。公司全体员工以及相关各方应该随时关注信息安全方针的变化并按照最新的信息安全方针执行。
0.5、信息安全目标:
本公司信息安全目标:
1)安全事件发生次数:
重大安全事件目标值:0次/年 ,较大安全事件目标值:不大于 4次/年,一般安全事件目标值:不大于8次/年。
7.3意识
——资源与知识的理解能力(如:资本、时间、人力、流程、系统和技术);
——信息系统、信息流动以及决策过程(包括正式和非正式的);
——内部利益相关者;
——政策,为实现的目标及战略;
——观念、价值观、文化;
——组织通过的标准以及参考模型;
以上相关因素将影响公司实现信息安全管理体系的预期成果。
4.2 理解相关方的需求和期望
2)信息泄密次数:
保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。
信息泄密次数目标值:0次/年
各部门信息安全目标:
部 门
部门信息安全目标
统计方式
监测频率
综合部
1、人员招聘手续办理完成率100%;
2、人员教育或培训实施率100%;
3、人员离职手续办理完成率100%。
c) 识别并指出法律法规要求和合同安全责任;
d) 通过正确应用所实施的所有控制来保持充分的安全;
e) 必要时进行评审,并对评审的结果采取适当措施;
f) 需要时,改进信息安全管理体系的有效性。
7.2能力
公司制定并实施《人力资源安全管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:
3.3.2 本组织、本公司、我司:指公司。
4、组方面,但并不局限于此:
——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境,无论是国际、国内、区域或地方;
——影响组织目标的主要驱动因素和发展趋势;
——外部利益相关者的观点和价值观。
组织内部环境包括如下几个方面,但并不局限于此:
c)避免风险(如物理隔离);
d)转移风险(如将风险转移给保险者、供方、分包商)。
控制目标及控制措施的选择原则来源于GB/T 22080-2016/ISO/IEC 27001:2013附录A,具体控制措施参考GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理实用规则》
6 规划
6.1 应对风险和机会的措施
6.1.1总则
为实现公司信息安全管理体系方针和目标,我司参考组织环境中的问题和相关方的需求和,来决定需要被处置的风险和机遇:
a) 确保信息安全管理体系可以实现其预期目标;
b) 避免或减少不良影响;
c) 实现持续改进。
公司对以下方面进行规划:
a) 处置风险和机遇的行动;
信息安全管理手册
0.4 信息安全方针
为保护公司的信息资产,以及软硬件设施、软件、数据、文件等信息的安全,使其免于因外在的威胁或者内部管理不善而遭受泄密、破坏或者遗失的风险,特制定信息安全方针。
公司的信息安全方针是:
“高度重视、全面管理、积极预防、持续改进”
此信息安全方针适用于公司全体员工。
此方针由公司领导层和各部门负责人以会议或会签的形式讨论评审通过,并经总经理签字颁发,自颁发之日起开始生效。
a)业务范围:信息系统集成、计算机软硬件运行维护服务的信息安全管理活动;
b)信息系统范围:所述活动、系统及支持性系统包含的全部信息资产;
c)组织范围:与所述业务有关的部门和所有员工;
d)地理范围:广州。
4.4 信息安全管理体系
本公司按照GB/T 22080-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定,参照GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理实用规则》,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
组织保留有关信息安全风险评估的过程文档。
6.1.3 信息安全风险处置
公司根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)采用适当的内部控制措施;
b)接受风险(不可能将所有风险降低为零);
2、网络非正常中断每月≤1次;
3、主机系统非正常中断每月≤1次。
1、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估;
2、以每月的网络中断事件为依据;
3、以每月的主机系统中断事件为依据。
每年
其他部门
重要文档及数据被正确保管及使用,机密信息泄露次数为0
每半年检查一次日常工作文件及数据是否被正确保管及使用,以及机密信息泄露相关事件。
5 领导
5.1 领导和承诺
本公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺:
a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标;
b) 确保信息安全管理体系要求集成到组织的管理流程;
c) 确保提供信息安全管理体系需要的各项资源;
d) 传达信息安全管理的重要性及信息安全管理体系要求;
组织保留信息安全风险处置的过程文档。
6.2 信息安全目标及其实现规划
本公司建立不同职能及层级的信息安全目标。详见本手册0.5章内容。此信息安全目标应:
a) 与信息安全方针一致;
b) 可度量(如果可操作);
c) 考虑适用的信息安全要求,以及风险评估和风险处置结果;
d) 得到沟通;
e) 及时更新。
信息安全目标以文档化形式保留。在规划如何实现信息安全目标时,公司明确:
信息安全风险评估的流程见图2.风险评估流程图。
公司实施信息安全风险评估流程,从而:
a) 建立和维护信息安全风险标准,包括:
1) 风险接受标准;
2) 实施信息安全风险评估的标准;
b) 确保信息安全风险评估活动产生一致性,产生有效的和可比较的结果;
c) 识别信息安全风险:
1) 在信息安全管理体系范围内,通过信息安全风险评估流程,识别由于信息的机密性、完整性和可用性的丧失带来的风险;
4、办公环境消防设施配置率100%
5、办公环境消防设施点检率100%
6、每年至少组织实施完成1次信息安全内审,且资料齐全;
7、每年至少组织实施完成1次信息安全管理评审,且资料齐全;
8、每年至少进行1次信息安全体系文件评审及更新。
1、查看全部员工入职手续办理情况;
2、查看培训计划及培训实施情况;
3、查看实际人员离职及手续办理情况。
e) 确保信息安全管理体系实现其预期目标;
f) 指导和支持信息安全团队;
g) 促使持续改进;
h) 支持其他相关的管理者在其职责范围内履行管理职责。
5.2 方针
为了满足适用法律法规及相关方要求,维持公司经营和管理的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了ISMS方针,见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求:
a) 要做什么;
b) 需要什么资源;
c) 谁来负责;
d) 什么时候完成 ;
e) 如何评价结果。
7 支持
7.1资源
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证: