ISO27001-2013 信息安全管理手册程序文件

信息安全管理手册版本号：V1.0目录01颁布令 (1)02管理者代表授权书 (2)03企业概况 (3)04信息安全管理方针目标 (3)05手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。

《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。

《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2015年12月23日起实施。

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

版本：A/0受控状态：XXXXX有限公司信息安全管理手册(依据GB/T22080-2016/ISO27001:2013)编制：审批：版本：受控状态：文件编号：2018年4月20日发布 2018年4月20日实施管理手册修改记录页：目录0.1 颁布令 (6)0.2 管理者代表任命书 (7)0.3关于成立管理体系工作小组的决定 (8)0.4 公司简介 (9)0.5 组织结构 (10)0.6 信息安全方针与目标 (11)1.0 信息安全方针 ..................... 错误!未定义书签。

2.0 信息安全目标 ..................... 错误!未定义书签。

1.0 范 围 (14)1.1 总则 (14)1.2 适用范围 (14)1.3 删减说明 (14)2.0规范性引用文件 (15)3.0 术语与定义 (15)3.3计算机病毒 (16)3.15 相关方 (17)3.16本公司 (17)3.17管理体系 (17)4.0 组织环境 ............................. 错误!未定义书签。

4.1理解组织及其环境 ................... 错误!未定义书签。

4.2利益相关方的需求和期望 ............. 错误!未定义书签。

4.3确定信息安全管理体系范围 ........... 错误!未定义书签。

4.4信息安全管理体系 ................... 错误!未定义书签。

5.0 领导力 ............................... 错误!未定义书签。

5.1领导和承诺 ........................ 错误!未定义书签。

5.2方针 (17)5.3组织的角色、责任和权限 (31)6.0 规划 (34)6.1 应对风险和机会的措施 (36)6.2 信息安全目标及其实现规划 (39)7.0 支持 (40)7.1资源 (40)7.2能力 (40)7.3意识 (40)7.4沟通 (41)7.5文件化信息 (42)8.0 运行 (45)8.1 运行规划和控制 (45)8.2 信息安全风险评估 (46)8.3 信息安全风险处置 (46)9.0 绩效评价 (46)9.1 监视、测量、分析和评价 (46)9.2 内部审核 (47)9.3 管理评审 (48)10.0 改进 (50)10.1不符合及纠正措施 (50)10.2 持续改进 (51)附1信息安全管理体系职责对照表 (53)。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

XXXXXXXXX有限责任公司信息安全符合性管理程序[XXXX-B-40]V1.0变更履历1 目的为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2 范围本程序适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3 职责3.1 综合部负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

3.2 各部门负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

4 引用文件《信息安全管理手册》《文件控制程序》5 程序5.1 法律、法规和其他要求的分类a)国际性信息安全管理法律、法规和其他要求；b)国家信息安全管理法律法规及标准规范；c)地方和行业性信息安全管理规章及标准规范；d)客户与相关方的信息安全要求。

5.2 法律、法规和其他要求的获取、识别综合部从政府主管部门或相关权威部门获取相关的国家及地方最新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。

客户与相关方信息安全要求，由相关专业部门依据专业工作情况由信息员负责采集并报综合部统一管理。

综合部组织各部门对收集到的法律法规和其他要求逐一进行识别，确定出适合本组织的法律法规及其他要求,编制《信息安全法律法规及要求清单》，识别工作一般一年不少于一次。

5.3 法律、法规和其他要求的文本管理综合部获取信息安全管理法律、法规和其他要求文本后，应补充到《信息安全法律法规及要求清单》中。

相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向综合部进行反馈，由综合部补充到《信息安全法律法规及要求清单》。

综合部负责取得法律法规文本，获得途径可直接从网络下载，并保存为电子档。

XXX科技有限公司
信息系统访问与使用监控管理程序
编号：ISMS-B-34
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。

2 范围
本程序适用于信息系统安全监控和日志审核工作的管理。

3 职责
3.1 综合管理部
负责对信息系统安全监控和日志的审核管理。

4 相关文件
《信息安全管理手册》
《信息安全事件管理程序》
5 程序
5.1 日志
综合管理部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存三个月，以支持将来的调查和访问控制监视活动。

系统管理员不允许删除或关闭其自身活动的日志。

日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。

应防止对日志记录设施的未经授权的更改和出现操作问题，包括：
a)对记录的信息类型的更改；
b)日志文件被编辑或删除；
c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事
件覆盖。

xx电子商务技术有限公司版本：A
远程工作控制程序
JSWLS/IP-33-2009
编制：xx
审核：xx
批准：xx
2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布
程序文件修改控制
远程工作控制程序
1 目的
为对本公司远程工作实施有效控制，确保信息安全，特制定本程序。

2 范围
本程序适用于远程工作的授权和安全控制。

远程工作是指在公司之外访问公司内部网络，不包括对公司网站的浏览。

3 职责
3.1 总经理负责审批新远程工作方式的审批。

3.2 部门负责人负责远程工作人员的审批。

3.3 办公室负责远程工作技术控制和监督。

3.4 远程工作人员负责远程工作相关信息和身份鉴别标识的保护。

4 相关文件
4.1《信息安全管理手册》
4.2《用户访问控制程序》
4.3《网络设备安全设置控制程序》
4.4《信息系统监控控制程序》
5 程序
5.1 远程工作方式
5.1.1 在公司外部使用公司的电子邮件系统收发电子邮件。

文件控制制度目录1.目的和范围 (3)2.引用文件 (3)3.职责和权限 (3)4.管理内容及控制要求 (3)4.1文件的分类 (3)4.2文件编制 (3)4.3文件标识 (4)4.4文件的发放 (5)4.5文件的控制 (5)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (6)4.6.4版本控制 (6)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (7)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

xx电子商务技术有限公司版本：A
管理评审控制程序
JSWLS/IP-04-2009
编制：xx
审核：xx
批准：xx
程序文件修改控制
管理评审控制程序
1 目的
按计划的时间间隔评审公司信息安全管理体系，以确保其持续的适宜性、充分性和有效性。

2 范围
本程序适用于公司信息安全管理体系的评审。

3 职责
3.1总经理主持管理评审活动，批准“管理评审报告”。

3.2管理者代表
3.2.1负责向总经理报告信息安全管理体系运行情况，提出改进建议。

3.2.2审核“管理评审计划”，编写“管理评审报告”。

3.2.3负责对评审后的纠正、预防措施进行跟踪和验证。

3.3营销中心
3.3.1负责“管理评审计划”的拟定。

3.3.2收集、提供和保管管理评审所需资料。

3.4各部门
3.4.1负责提供与本部门有关的评审所需的资料；
3.4.2负责实施管理评审中提出的相关的纠正、预防措施。

4 相关文件。

XXXXXXXXX有限责任公司文件控制程序[XXXX-B-02]Ver 1.0文件控制程序变更履历1 目的为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制，特制定本程序。

2 范围本程序适用于文件管理。

3 职责3.1 总经理负责批准信息安全管理文件的制订、修订计划，负责批准《信息安全管理手册》（含信息安全方针）和《信息安全适用性声明》。

3.2 综合部负责人负责审定信息安全管理文件，负责批准信息安全程序文件和作业文件。

3.3 综合部a)负责信息安全管理文件的归口管理。

b)负责组织信息安全管理文件的制订、修订和评审等管理工作。

c)负责信息安全管理文件的标识、作废、回收等日常工作。

4 相关文件《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规管理程序》5 程序5.1 管理内容与要求5.1.1 文件分类信息安全管理文件：a)《信息安全管理手册》（含信息安全方针、方针文件、目标文件、信息安全适用性声明）；b)信息安全管理程序文件；c)信息安全管理作业文件；d)策划的管理方案、信息安全管理记录表格。

其他文件：a)信息安全法律法规及其他文件；b)生产、经营、管理、检查与考核记录；c)往来文件。

5.2 文件编制和修订5.2.1 要求信息安全管理文件编制和修订前，编制人员充分了解相关方的要求和信息，广泛收集有关的文件和资料。

作为文件编写的依据，应重点考虑以下几个方面：a)相关的法律法规要求，国家标准、行业标准、地方标准的要求，尤其是强制性标准的要求，上级主管部门颁发的标准、规章、规定等。

b)对客户和其他相关方的合同和承诺，客户与其他相关方的需求和期望方面的信息。

c)国内外同行先进水平和发展方向的信息。

d)本组织现有的有关文件，领导的意图和要求。

e)内容应与组织的实际情况相适应，并保证文件在现有的资源条件下，能得到有效实施。

5.2.2 文件编制部门a)信息安全管理文件由综合部组织，相关职能部门参与进行编制。