ISO27001信息安全管理手册.docx
- 文档编号:3194397
- 上传时间:2022-11-20
- 格式:DOCX
- 页数:70
- 大小:131.45KB
ISO27001信息安全管理手册.docx
《ISO27001信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册.docx(70页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理手册
iso27001 信息安全管理手册
信息安全管理手册
版本号:
V1.0
iso27001 信息安全管理手册
目录
01 颁布令 ................................................................1
02 管理者代表授权书......................................................2
03 企业概况 .............................................................3
04 信息安全管理方针目标..................................................3
05 手册的管理 ............................................................6
信息安全管理手册.........................................................7
1范围 . .................................................................7
1.1总则 .............................................................7
1.2应用 .............................................................7
2规范性引用文件 . .......................................................8
3术语和定义 . ...........................................................8
3.1本公司 ...........................................................8
3.2信息系统 .........................................................8
3.3计算机病毒 .......................................................8
3.4信息安全事件 .....................................................8
3.5相关方 ...........................................................8
4信息安全管理体系 . .....................................................9
4.1概述 .............................................................9
4.2建立和管理信息安全管理体系.......................................9
4.3文件要求 ........................................................15
5管理职责 . ............................................................18
5.1管理承诺 ........................................................18
5.2资源管理 ........................................................18
6内部信息安全管理体系审核 . ............................................19
6.1总则 ............................................................19
6.2内审策划 ........................................................19
6.3内审实施 ........................................................19
7管理评审 . ............................................................21
iso27001 信息安全管理手册
7.1总则 ............................................................21
7.2评审输入 ........................................................21
7.3评审输出 ........................................................21
7.4评审程序 ........................................................22
8信息安全管理体系改进 . ................................................23
8.1持续改进 ........................................................23
8.2纠正措施 ........................................................23
8.3预防措施 ........................................................23
iso27001 信息安全管理手册
01 颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全
事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司
开展贯彻 GB/T22080-2008idtISO27001:
2005 《信息技术 - 安全技术 - 信息安全管理体系要求》
国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理
手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系
的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效
运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:
2005 《信
息技术 - 安全技术 - 信息安全管理体系 - 要求》标准和企业实际情况, 现正式批准发布, 自 2015
年 12 月 23 日起实施。
企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯
彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
2015 年 12月 23日
1
iso27001 信息安全管理手册
02 管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:
2005 《信息技术 - 安
全技术 - 信息安全管理体系 - 要求》标准的要求,加强领导,特任命为我公司信息安
全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求, 进行资产识别和风险评估, 全面建立、 实施和保持信息安全管
理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7. 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运
行情况、内外部审核情况。
本授权书自任命日起生效执行。
总 经 理:
2013 年 12月 23 日
2
iso27001 信息安全管理手册
03 公司概况
3
iso27001 信息安全管理手册
04 信息安全管理方针目标
为防止由于信息系统的中断、 数据的丢失、 敏感信息的泄密所导致的企业和客户的损失,
本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针如下:
强化意识 规范行为
数据保密 信息完整
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
公司采用系统的方法, 按照 GB/T22080-2008idtISO27001:
2005 建立信息安全管理体系,
全面保护本公司的信息安全。
二、信息安全管理组织
1.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,
提供信息安全资源。
2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证
信息安全管理体系的持续适宜性和有效性。
3.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保
证信息安全管理体系的有效运行。
4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发
展动态,获得对信息安全管理的支持。
三、人员安全
1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动
合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗
位调动或离职人员,应及时调整安全职责和权限。
2.对本公司的相关方针,要明确安全要求和安全职责。
3.定期对全体员工进行信息安全相关教育,包括:
技能、职责和意识。
以提高安全意
识。
4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安
全要求。
4
iso27001 信息安全管理手册
五、风险评估
1.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接
受准则。
2.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。
本公司
或环境发生重大变化时,随时评估。
3.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
1.公司建立报告信息安全事件的渠道和相应的主管部门。
2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事
件,应立即按照规定的途径进行报告。
3.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报
告人员反馈处理结果。
七、监督检查
定期对信息安全进行监督检查, 包括:
日常检查、 专项检查、 技术性检查、 内部审核等。
八、业务持续性
1.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,
防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
2.定期对业务持续性计划进行测试和更
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 手册