GBT22080信息安全管理手册
商业秘密管理程序 2022年GBT22080信息安全管理体系文件
X X X股份有限公司2022年企业信息安全管理体系文件说明:根据GBT22080:2016版编制而成商业秘密管理程序1、目的通过建立商业秘密管理程序,规范企业经营管理过程中相关的商业秘密管理流程,防止因不恰当使用或泄漏企业商业秘密信息,使本公司蒙受经济损失或法律纠纷。
2、范围本程序适用于企业商业秘密信息的管理。
3、术语和定义信息安全:对信息的保密性、完整性和可用性的保持。
保密性:信息未对授权的个人、实体或过程不可用或不可泄露的特性。
4、职责和权限4.1 行政部4.1.1负责商业秘密管理程序的归口管理。
4.2 其他相关部门4.2.1遵守保密承诺、保守商业秘密。
5、程序内容5.1 商业秘密的密级确定和标识商业秘密由产生该事项的部门确定,编写的文件一旦被指定为秘密文件,则负责人应对编写中和编写后的无用稿件进行处置。
5.2 涉密文件的发放5.2.1发送秘密文件时,指定者应根据文件内容指定接收部门和接收人。
为了避免接收人因不清楚使用范围而泄密,可在附件中指明使用目的和使用范围。
5.2.2组织内发送的秘密文件,尽可能亲自交给接收人,或装入信封并标明“亲展”,封好后作为组织内文件发送。
非收件人不得随便拆阅该文件。
5.2.3发往公司以外的秘密文件,原则上双方应签署含有保密条款的合同,并经部门主管以上的批准后方可提供。
特殊情况(无保密条款合同,但又必需提供)需事先准备好保密协议书,经部门主管以上批准并要求对方在接收时签收。
5.3 商业秘密的使用5.3.1秘密文件的接收人应按秘密文件的使用目的、使用范围正确使用秘密文件。
5.3.2秘密文件的保管人员和秘密的实际操作人员未经指定者许可不得擅自将秘密内容向其它人员公开。
5.3.3秘密文件原则上严禁复印。
因业务必需时应填写《涉密文件复印登记表》,并限制在最小限度,并且在使用后及时处置。
5.3.4未经批准严禁将秘密文件带出公司使用。
如工作必须,应经过部门经理以上领导的批准。
GBT22080文件信息密级控制程序
为更好地管理客户(合作方)和本公司在服务、技术、经营等活动中产生的各类信息,防止因不恰当使用或者泄漏,使本公司蒙受经济损失或者法律纠纷,特制定本管理规程。
本标准规定了信息密级划分、标注及处理控制目标和控制方式。
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或者修订版均不合用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本合用于本标准。
《GB/T 22080-2005 idt ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求》《GB/T 22081-2022 idt ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则》I GB/T 22080-2022 idt ISO/IEC 27001:2005 《信息技术-安全技术-信息安全管理体系要求》和 GB/T 22081-2022 idt ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语合用于本标准。
DXC 负责信息密级划分、标注及处理控制。
各部门负责本部门使用或者管理的信息密级划分、标注及处理控制。
信息的密级分为 3 类:企业秘密事项(秘密)、内部信息事项(受控)和公开事项。
信息分类定义:a) “秘密”:《中华人民共和国保守国家秘密法》中指定的秘密事项;或者不可对外公开、若泄露或者被篡改会对本公司的日常经营造成严重伤害,或者由于业务上的需要仅限有关人员知道的事项;介质包括但不限于:纸类、电磁类及其它媒体(纸张、软盘、硬盘、光盘、磁带、胶片)。
b) “受控”:不可对外公开、若泄露或者被篡改会对本公司的日常经营造成伤害,或者由于业务上的需要仅限有关人员知道的事项;或者是指为了日常的业务能顺利进行而向公司员工公开、但不可向公司以外人员随意公开的事项。
GBT22080信息安全风险评估管理程序
ISMS信息安全风险评估管理程序1 目的从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地为保障信息安全提供科学依据。
2 适用范围信息安全管理体系覆盖范围内的所有信息资产。
3 术语和定义引用ISO/IEC27001:2005(idt GB/T 22080-2008)和ISO/IEC27002:2005(idt GB/T 22081-2008)的相关术语和定义。
4 职责和权限4.1 信息安全领导办公室●决定实施风险评估的时间和方法●指导风险处理计划的实施与检查●残余风险的批准。
4.2 部门信息安全主管●负责本部门范围内风险评估相关活动的组织实施●负责本部门范围内风险处理计划的组织实施4.3 部门信息安全员●在部门安全主管领导下,负责本部门风险评估相关活动的实施●在部门安全主管领导下,负责本部门风险处理计划的实施5 风险评估方法5.1 风险各要素的关系风险评估中各要素的关系如图1。
图1 风险评估要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。
风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
图1 中的风险要素及属性之间存在着以下关系:a)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;b)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;c)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;d)资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;e)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;f)风险的存在及对风险的认识导出安全需求;g)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;h)安全措施可抵御威胁,降低风险;i)残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;j)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
GBT22080:2016信息安全管理体系全套内审资料
GBT22080:2016信息安全管理体系全套内审资料1.年度内审计划2.内审实施计划3.首末次签到表4.内审检查表5.不合格报告6.内审报告2018年内审计划编号: LHXR-JL-008编制:批准:日期:2018年07月23日内部审核实施计划编号:LHXR-JL-12内审首/末次会议签到表LHXR-JL-13内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14内审检查表编号:LHXR-JL-14不合格报告内审报告编号:LHXR-JL―16审核目的检查公司信息安全管理体系是否符合GB/T22080-2016标准的要求及有效运行。
审核依据GB/T22080-2016标准、信息安全管理手册、程序文件、相关法律法规、合同及适用性声明等。
审核范围与信息安全相关的活动及部门。
审核时间2018年07月30-31日1、现场审核情况概述本次审核按《内部审核程序》要求,编制了内审计划及实施计划并按计划进行了实施。
审核小组分别按要求编制了《内部审核检查表》;内审计划事先也送达受审核部门。
审核组在各部门配合下,按审核计划进行审核,分别到部门、现场,采用面谈、现场观察、抽查信息安全体系文件及信息安全体系运行产生的记录等方法,进行了抽样调查和认真细致的检查。
审核组审核了包括总经理、管代、各有关职能部门。
审核员发现的不合格项已向受审部门有关人员指明,并由他们确认,审核员还就不合格项与受审部门商讨了纠正措施和方法。
本次审核共提出《不符合报告》共1份,涉及综合部1项。
涉及标准附录7.2条款。
2、体系综合评价a)最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识,能履行其承诺,管理职责明确,重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。
员工能准确答出公司信息安全方针和目标,体现了全员参与。
20.信息安全管理体系GBT22080 要求(27001)
信息技术安全技术信息安全管理体系要求Information technology-Security techniques- Information security management systems-Requirements(ISO/IEC 27001:2005)目次引言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 信息安全管理体系(ISMS) (3)5 管理职责 (8)6 内部ISMS审核 (9)7 ISMS的管理评审 (9)8 ISMS改进 (10)附录 A (规范性附录)控制目标和控制措施 (12)附录 B (资料性附录)OECD原则和本标准 (27)附录 C (资料性附录)ISO 9001:2000, ISO 14001:2004 和本标准之间的对照 (29)引言0.1总则本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。
按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS。
一个组织必须识别和管理众多活动使之有效运作。
通过使用资源和管理,将输入转化为输出的任意活动,可以视为一个过程。
通常,一个过程的输出可直接构成下一过程的输入。
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:a)理解组织的信息安全要求和建立信息安全方针与目标的需要;b)从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;c)监视和评审ISMS的执行情况和有效性;d)基于客观测量的持续改进。
GBT22080信息安全适用性声明
信息安全适用性声明
1
本声明描述了在ISO27001:2005附录A中,适用于本公司信息安全管理体系的目标/控制、是否选择这些目标/控制的理由、公司现行的控制方式、以及实施这些控制所涉及的相关文件。
2
ISMS-1001《信息安全管理手册》
3
《信息安全适用性声明》由XXX编制、修订,由管理者代表批准。
A.6.1.1
信息安全管理承诺
控制
YES
确定评审安全承诺及处理重大安全事故,确定与安全有关重大事项所必须的职责分配及确认、沟通机制。
公司成立信息安全管理委员会,由公司领导、信息安全管理者代表、各主要部门负责人组成。信息安全管理委员会至少每半年召开一次,或者当信息安全管理体系发生重大变化或当管理者代表认为有必要时召开。信息安全管理者代表负责决定召开会议的时机及会议议题,行政部负责准备会议日程的安排。会议主要议题包括:
内部信息安全顾问负责:
a)按照专业分工负责解答公司有关信息安全的问题并提供信息安全的建议;
b)收集与本公司信息安全有关的信息、新技术变化,经本部门负责人审核同意,利用本公司电子邮件系统或采用其它方式传递到相关部门和人员;
c)必要时,参与信息安全事故的调查工作。
《信息安全内部顾问名单和信息安全外部专家名单》
公司成立信息安全管理协调小组,由信息安全管理者代表和XXX部、XXX部信息安全体系内审员组成。
协调小组每季度召开一次协调会议(特殊情况随时召开会议),对上一季度的信息安全管理工作进行总结,解决体系运行中存在的问题,并布置下一季度的信息安全工作。会议由XXX负责组织安排并做好会议记录。
有关信息安全管理委员会会议记录(会议纪要)
A.6.1.4
22080-2016信息安全管理体系管理手册及程序文件
22080-2016信息安全管理体系管理手册及程序文件《22080-2016信息安全管理体系管理手册及程序文件》一、引言信息安全在现代社会中的重要性日益凸显。
为了保护企业的信息资产,确保信息系统的正常运行和数据的安全性,制定一个完善的信息安全管理体系是必要的。
本文将介绍22080-2016信息安全管理体系管理手册及程序文件。
二、信息安全管理体系管理手册1. 管理手册目的本管理手册的目的是确定和定义公司信息安全管理体系的目标、范围、政策、程序文件和相关文件,以保证信息安全管理实施的一致性和有效性。
2. 管理手册结构管理手册包括以下主要部分:- 信息安全管理体系范围:详细描述了本信息安全管理体系的适用范围,确保管理体系的全面性和一致性。
- 组织机构和职责:阐述了公司内相关部门的职责和责任,明确信息安全管理的组织结构和职能分工。
- 管理体系政策:制定和实施信息安全管理政策,确保信息安全管理体系与公司整体战略和目标一致。
- 信息资产管理:明确信息资产的分类、评估和管理流程,确保信息资产的安全性和完整性。
- 安全控制措施:概述公司已采取的技术和管理控制措施,保护信息系统和数据的安全性和可用性。
- 域内沟通与意识:描述了公司内部沟通与意识提升的机制和活动,促进员工对信息安全的重视和参与。
- 内部审核和持续改进:确定了内部审核的程序和要求,以及持续改进的方法和指导原则。
三、程序文件1. 准入控制程序该程序文件描述了对新员工、合作伙伴或供应商的准入控制流程。
包括背景调查、安全意识培训和签署保密协议等环节,以保证仅有合适和可信任的人员可以接触敏感信息。
2. 安全漏洞管理程序该程序文件规定了对信息系统存在的安全漏洞的管理流程。
包括安全漏洞的发现、评估、修复和验证等环节,以及漏洞管理责任人的职责,确保及时发现和消除安全漏洞,降低信息系统受到攻击的风险。
3. 网络监控和事件响应程序该程序文件描述了对网络活动的实时监控和对安全事件的快速响应流程。
GBT22080:2016信息安全管理体系目标分解规定
公司信息安全管理体系目标分解规定
编号:GL-002
为了公司信息安全方针和信息安全目标得到全面贯彻落实,确保信息安全目标的实现,现将信息安全目标进行分解,务请各部门及全体员工,紧紧围绕方针目标开展工作,本公司采用自上而下层层展开,自下而上层层保证的原则。
公司信息安全目标:
1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。
2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)(包含泄露用户身份信息,泄露用户保护文件内容信息)
3.确保单个重要业务系统,每月中断次数不超过1次,每次中断时间不超过2小时。
(取证系统无法取证,无法下载证据,版权保护系统无法申请版权保护,时间戳签发系统无法申请时间戳。
)
4.确保信息安全事件发现率99%、上报和处理率100%。
总经理:结合本公司实际,制定和发布企业信息安全方针和信息安全目标,并组织信息安全目标的分解和落实到各相关部门,利用会议沟通、发放文件等形式,在企业内使全体员工围绕方针目标开展各项工作,宣传贯彻相关的法律法规,确保资源提供,确保以顾客为关注焦点,按信息安全体系要求及时组织和主持管理评审,确保所策划的信息安全体系持续有效运行。
管理者代表:协助总经理制定和发布信息安全方针和信息安全目标,组织员工进行学习,使每位员工充分认识信息安全的重要性,组织定期对信息安全体系进行检查和审核,及时向总经理提出改进建议,同时与相关部门密切配合及时地进行数据分析,掌握信息安全方针实施情况、信息安全目标完成情况,向总经理报告并提出纠正和预防措施的建议,确保信息安全与信息技术服务目标的完成,确保信息安全与信息技术服务体系的持续和有效运行。
2。
22080-2016信息安全管理体系管理手册及程序文件
22080-2016信息安全管理体系管理手册及程序文件信息安全管理手册目录1. 概述1.1目的1.2适用范围1.3颁布令1.4授权书2. 依据文件和术语2.1依据文件2.2术语定义3. 裁剪说明4. 组织环境4.1组织环境描述4.2信息安全相关方的需求和期望4.3信息安全管理体系范围的确定4.4体系概述5. 领导力5.1领导力和承诺5.2信息安全方针和目标5.3组织角色、职责和权限6. 策划6.1风险评估和处置6.2目标实现过程7. 支持7.1资源提供7.2信息安全能力管理7.3意识培训7.4信息安全沟通管理7.5存档信息控制8. 运行8.1体系策划与运行9. 绩效评价9.1能力评价9.2有效性测量9.3内部审核9.4管理评审10. 改进11. 信息安全总体控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码控制A.11物理和环境安全A.12操作安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事故A.17业务连续性管理的信息安全方面A.18符合性附件一:信息安全组织架构映射表附件二:信息安全职责分配表1.概述为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
目的本总纲为公司信息安全管理体系的纲领性文件,描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。
通过建立策划(P)→执行(D)→检查(C)→改进(A)的持续改进机制,不断提高公司的信息安全管理水平,确保日常信息安全管理活动的安全、稳定、高效,提升企业核心竞争力。
GBT22080:2016信息安全管理体系员工手册
员工手册1.1.信息安全策略:1.2.服务器管理服务器配置要点:1.机器名按资产识别程序中的规定命名,不得使用随机名,所有服务器使用固定IP地址。
2.服务器时间在每次检查时与INTERNET时间校对。
3.日志每半月保存一次(包括应用、系统日志),日志上限为16384KB,超过这个大小采用覆盖方式。
4.服务器的性能监控初步指标:CPU占用率不得长期高于80%,内存使用率不得长期高于80%,系统盘至少要有20%的余量供临时文件周转。
1.2.1.服务器检查1.3.路由器配置1.更改路由器的初始登入密码,密码强度符合至少8位,数字、字母和符号任意两种组合。
2.打开主路由器中的防火墙,启用路由器的安全功能,对性能有较大影响的选项需根据业务和安全需求综合评审。
3.更改二级路由器的LAN口地址,防止与上层路由器发生IP冲突。
4.二级路由器一般关闭DHCP,无线的可以打开。
5.无线部分打开安全设置,使用加密方法,无线路由应根据业务和人员流动情况决定是否更改密码。
6.路由器的配置信息需要保存,如导出文件或配置截图。
10. 路由器最好放置在特定机柜中,若不具备条件需每周检查路由器配置是否被重置。
1.4.系统权限检查对每个应用信息系统建立《系统权限登记表》,每个权限的分配和改动需要有相应的申请和记录,每月按权限表进行检查,按表中的评审周期对系统权限进行评审,最多不得超过半年。
检查范围:各信息系统1.上网系统检查,主要是看无线密码是否需要更改,网络控制设施的相关配置有无变化。
3.服务器账号系统,查看用户有无增减。
1.5.备份1.6.即时通讯软件的使用公司允许使用的即时通讯工具包括:QQ 微信、钉钉1.使用钉钉必须经过申请,由网络管理员登记到即时通讯服务权限表中。
2.钉钉口令需要符合至少8位长度,数字、字母、符号任意两种类型组合的强度。
3.钉钉不得私自建群,使用群共享和群硬盘,所有内部群开启必须经过审批,由网络管理员登记后开放权限。
gbt22080:2016网络信息安全管理制度
目录一、信息系统容量规划及验收管理规定 (1)二、信息资产密级管理规定 (2)三、信息系统设备管理规定 (4)四、笔记本电脑管理规定 (8)五、介质管理规定 (10)六、变更管理规定 (13)七、第三方服务管理规定 (16)八、邮件管理规定 (18)九、软件管理规定(无) (21)十、系统监控管理规定(无) (23)十一、补丁管理规定(无) (24)十二、信息系统审核规范(无) (25)十三、基础设施及服务器网络管理制度 (26)十四、信息系统安全应急预案 (29)十五、远程办公管理制度 (33)十六、信息安全访问控制管理规定 (34)十七、信息交换管理规定 (38)一、信息系统容量规划及验收管理规定1. 目的针对已确定的服务级别目标和业务需求来设计、维持相应的开发中心服务能力,从而确保实际的开发中心服务能够满足服务要求。
2. 范围适用于公司所有硬件、软件、外围设备、人力资源容量管理。
3. 职责综合部负责确定、评估容量需求。
4. 内容(1)容量管理包括:服务器,重要网络设备:LAN、WAN、防火墙、路由器等;所有外围设备:存储设备、打印机等;所有软件:操作系统、网络、内部开发的软件包和购买的软件包;人力资源:要维持有足够技能的人员。
(2)对于每一个新的和正在进行的活动来说,公司管理层应识别容量要求。
(3)公司管理层每年应在管理评审时评审系统容量的可用性和效率。
公司管理层应特别关注与订货交货周期或高成本相关的所有资源,并监视关键系统资源的利用,识别和避免潜在的瓶颈及对关键员工的依赖。
(4)应根据业务规划、预测、趋势或业务需求,定期预测施加于综合部系统上的未来的业务负荷以及组织信息处理能力,以适当的成本和风险按时获得所需的容量。
二、信息资产密级管理规定1. 目的确保公司营运利益,并防止与公司营运相关的保密信息泄漏。
2. 范围本办法适用于公司所有员工。
3. 保密信息定义保密信息指与公司营运相关且列入机密等级管理的相关信息。
GBT22080信息安全管理手册
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
本授权书自任命日起生效执行。
总经理:2020年9月1日05方针、目标为提高本公司的信息安全管理水平,保障公司和客户信息安全,本公司建立了信息安全管理制度,制定了信息安全方针和信息安全目标。
1 公司信息安全方针满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。
满足客户需求:始终坚持以客户为关注焦点,遵循着公司“竭尽全力提供物超所值的产品和服务,让客户满意”的发展使命,满足客户的需求。
强化风险管理:秉承“预防为主,防治结合”的理念,优化信息安全策略和信息安全管理流程,对运行的信息系统和重要信息资产进行全方位风险预防管控,保护信息系统和重要信息免受各种威胁的损害,使信息安全风险最小化,以确保信息系统业务的连续性。
保证信息安全:坚持“安全第一、预防为主”的安全管理方针,定期开展信息安全风险评估,完善信息安全管理制度和管理信息系统灾害的应急预案,及时处理不可接受风险,杜绝可能出现的信息安全事故。
遵守法律法规:严格遵守法律法规,自觉增强社会责任感,保障客户和公司的信息安全。
实现持续改进:发挥全体员工的潜能,把质量预防机制构筑在每一个业务环节中,进行全面的质量管理,并持续改进。
2 公司信息安全目标a)不可接受风险处理率=100%b)机密信息泄密事件=0次c)重大突发事件=0次d)客户满意度≥90%3部门信息安全目标3.1信息安全管理委员会:a)不可接受风险处理率=100%3.2综合部:a)审核实施及时率≥90%b)员工入职培训完成率=100%c)员工保密协议签订率=100%d)计划培训实施率≥95%e)文件有效率=100%f)文件按时发放率=100%3.3技术部a)机密信息泄密事件=0次b)大面积感染病毒次数=0次c)成功防范黑客攻击率=100%d)重要信息备份技术率=100%e)计算机故障处理完成率=100%f)产品及时完成率=100%3.4业务部a)客户满意度≥90%b)产品退回=0c)投诉=0总经理:fran 2020年9月1日06公司简介XXX有限公司位于XX省XX市XXX街道XX号,成立于2019年1月,是一家专注于软件开发、企业信息化建设、网站建设、广告设计的专业型新型电子商务公司。
公司主营业务有:网站建设(包含手机端网站、PC端官网订制、公共平台搭建等),订制软件(包含手机软件和电脑软件)、搭建企业信息化平台、广告设计。
作为一家专业服务于企业信息化建设的公司,公司拥有一只经验丰富的行业精英组成的的团队,公司自成立一年以来,已经为多家企业完成了网站建设和推广,设计完成了XXXXX,赢得了众多客户的一致好评。
通信信息公司名称:公司地址:联系人:电话:传真:电子信箱:07管理手册1 概述本《管理手册》依据GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》以及公司实际情况编制的,是本公司从事信息安全管理有关的活动的纲领性文件,为保持其持续适应性和有效性,明确管理者和持有者的责任,对管理手册的编写、修订、发放等实行统一管理。
2 依据2.1 GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》3 手册的编写和管理职责3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。
3.2由总经理批准颁布实施。
3.3资料管理员负责管理手册发放、回收、登记、保管和控制。
3.4管理手册按“受控”和“非受控”两种版本管理。
“受控”版本正本由资料管理员保管,非正本限于本公司内部使用;“非受控”版本对外发放,在对外发放时必须经经理批准并加盖“非受控”标识后方可对外发放。
4 手册持有者的责任4.1管理手册是本公司信息安全管理体系运行的纲领性文件,本公司人员必须认真学习、了解信息安全管理管理工作等,熟悉各项规定并严格遵照执行。
4.2管理手册是公司的受控文件,限公司内部使用,应妥善保管,不得遗失、擅自更改、翻印和外借,如有丢失应向资料管理员作书面报告,经管理者代表批准后方可补发。
4.3更改页下发后,按更改内容要求贯彻执行。
4.4持有者调离本公司,必须交回手册,办理回收手续后方可离开。
5 管理手册的宣传与贯彻5.1管理手册是本公司活动管理的指导性文件,是开展管理活动的依据和规范,全体人员必须认真学习和掌握管理手册的规定和要求。
5.2管理者代表制定宣传与贯彻计划并组织全体人员学习,使全体人员了解信息安全管理工作,对管理手册中条款作必要的说明和解释,以便在信息安全管理活动中得以正确贯彻和执行。
5.3新调入本公司工作人员,岗前培训内容包含管理手册的学习。
6 手册的修订6.1在管理体系活动中,员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。
6.2管理者代表负责收集修改意见和建议,一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。
6.3修订稿由管理者代表组织起草,报总经理审批。
修订稿经总经理审核批准后印制,手册持有者更换修订后的管理手册,并对旧版手册进行回收。
7 手册的改版7.1当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化,现行管理体系与之不相适应,或上级主管部门要求改版时,管理手册予以改版。
7.2 改版工作由管理者代表负责,组织人员编写,新版本由总经理负责审核。
新版本自总经理批准颁布实施之日起,旧版本同时废止并予以回收。
第一章范围1.1本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。
1.2本手册适用于相关方审核本公司信息安全管理能力的依据之一。
1.3本手册是信息安全管理体系文件,满足公司内部管理体系需要。
1.4本公司不进行外包,本手册不适用于外包。
第二章规范性引用文件下列文件对于本手册的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本手册。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本手册。
1)GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》2)GB/T 29246/ISO/IEC 27000《信息技术安全技术信息安全管理体系概述和词汇》第三章术语和定义GB/T 29246-2017/ISO/IEC 27000:2016《信息技术安全技术息安全管理体系概述和词汇》界定的术语和定义适用于本手册。
3.1审核获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程。
注1:审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。
注2:“审核证据”和“审核准则”在ISO 19011中被定义。
3.2审核范围审核的程度和边界。
3.3能力应用知识和技能实现预期结果的才能。
3.4保密性信息对为授权的个人、实体或过程不可用或不泄露的特性。
3.5符合性对要求的满足。
3.6后果事态影响目标的结果。
3.7持续改进为提高性能的反复活动。
3.8控制改变风险的措施。
3.9控制目标描述控制的实施结果所达到目标的声明。
3.10纠正消除已查明的不符合的措施。
3.11整改措施消除不符合的措施。
3.12文档化信息组织需要控制和维护的信息及其载体。
注1:文档化信息可以采用任何格式,在任何载体中,出自任何来源。
注2:文档化信息可能涉及——管理体系,包括相关过程;——为组织运作所创建的信息(文档);——结果实现的证据(记录)。
3.13有效性实现所计划活动和达成所计划结果的程度。
3.14信息安全对信息的保密性、完整性和可用性的保持。
3.15信息安全持续性确保信息安全持续作用的过程和规程。
3.16信息安全事态识别到一种系统、服务或网络状态的发生,表明可能违法信息安全策略或控制失效,或者一种可能与信息安全相关但还不为人知的情况。
3.17信息安全事件单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全的信息安全事态。
3.18信息安全事件管理发现、报告、评估、响应、处理和总结信息安全事件的过程。
3.19信息系统应用、服务、信息技术资产或其他信息处理组件。
3.20管理体系组织中相互管理或相互作用的要素集,用来建立策略和目标以及达到这些目标的过程。
3.21测量确定一个值的过程。
3.22监视确定系统、过程或活动状态的行为。
3.23不符合对要求的不满足。
3.24过程将输入转换成输出的相互关联或相关作用的活动集。
3.25评审针对实现所设立目标为主题,为确定其适宜性、充分性和有效性而采取的活动。
3.26风险对目标不确定性影响。
3.27利益相关方对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到影响的人或组织。