信息安全管理手册-ISO27001 (1).doc
- 文档编号:91429
- 上传时间:2022-10-02
- 格式:DOC
- 页数:29
- 大小:187.50KB
信息安全管理手册-ISO27001 (1).doc
《信息安全管理手册-ISO27001 (1).doc》由会员分享,可在线阅读,更多相关《信息安全管理手册-ISO27001 (1).doc(29页珍藏版)》请在冰豆网上搜索。
信息安全管理手册
信息安全管理体系
管理手册
ISMS-M-yyyy
版本号:
A/1
受控状态:
■受控□非受控
编制
审核
批准
编写组
审核人A
总经理
yyyy-mm-dd
yyyy-mm-dd
yyyy-mm-dd
日期:
2016年1月8日实施日期:
2016年1月8日
修改履历
版本
制订者
修改时间
更改内容
审核人
审核意见
变更申请单号
A/0
编写组
2016-1-08
定版
审核人A
同意
A/1
编写组
2017-1-15
定版
审核人B
同意
00目录
00目录 3
01颁布令 5
02管理者代表授权书 6
03企业概况 7
04信息安全管理方针目标 9
05手册的管理 11
06信息安全管理手册 12
1范围 12
1.1总则 12
1.2应用 12
2规范性引用文件 12
3术语和定义 12
3.1本公司 13
3.2信息系统 13
3.3计算机病毒 13
3.4信息安全事件 13
3.5相关方 13
4组织环境 13
4.1组织及其环境 13
4.2相关方的需求和期望 13
4.3确定信息安全管理体系的范围 14
4.4信息安全管理体系 14
5领导力 14
5.1领导和承诺 14
5.2方针 15
5.3组织角色、职责和权限 15
6规划 15
6.1应对风险和机会的措施 15
6.2信息安全目标和规划实现 18
7支持 18
7.1资源 18
7.2能力 19
7.3意识 19
7.4沟通 19
7.5文件化信息 19
8运行 20
8.1运行的规划和控制 20
8.2信息安全风险评估 21
8.3信息安全风险处置 21
9绩效评价 21
9.1监视、测量、分析和评价 21
9.2内部审核 22
9.3管理评审 23
10改进 23
10.1不符合和纠正措施 23
10.2持续改进 24
附录A信息安全管理组织结构图 25
附录B信息安全管理职责明细表 26
附录C信息安全管理程序文件清单 28
01颁布令
为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司**《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、法规要求及ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2016年1月8日起实施。
企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
**公司**
总经理:
总经理
2016年1月8日
02管理者代表授权书
为贯彻执行信息安全管理体系,满足ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命审核人B为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7.向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
本授权书自任命日起生效执行。
**公司**
总经理:
总经理
2017年1月15日
03企业概况
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
单位地址:
单位地址
电话:
单位电话
传真:
单位电话
邮编:
邮编
总经理:
总经理
管代:
审核人A
04信息安全管理方针目标
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针:
数据保密、信息完整、控制风险、持续改进、遵守法律。
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
1.公司采用系统的方法,按照ISO/IEC27001:
2013建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:
技能、职责和意识。
以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。
本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
17.定期对信息安全进行监督检查,包括:
日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标如下:
1.重大信息安全事件(损失达1万以上的)为零。
2.公司发生网络中断时间小于2小时每年。
05手册的管理
1信息安全管理手册的批准
办公室负责组织编制《信息安全管理手册》,总经理负责批准。
2信息安全管理手册的发放、更改、作废与销毁
a)办公室负责按《文件管理程序》的要求,进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管;
c)办公室按照规定发放修改后的《信息安全管理手册》,并收回失效的文件作出标识统一处理,确保有效文件的唯一性;
d)办公室保留《信息安全管理手册》修改内容的记录。
3信息安全管理手册的换版
当依据的ISO/IEC27001:
2013或ISO/IEC27002:
2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时,应对《信息安全管理手册》进行换版。
换版应在管理评审时形成决议,重新实施编、审、批工作。
4信息安全管理手册的控制
a)本《信息安全管理手册》标识分受控文件和非受控文件两种:
——受控文件发放范围为公司领导、各相关部门的负责人、内审员;
——非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《信息安全管理手册》有书面文件和电子文件,电子版本文件的有效格式为.doc文档。
06信息安全管理手册
1范围
1.1总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
1.2应用
1.2.1覆盖范围
本信息安全管理手册规定了**公司**信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。
本信息安全管理手册适用于**公司**电磁屏蔽机房的设计业务活动所涉及的信息系统、资产及相关信息安全管理活动。
1.2.2删减说明
本信息安全管理手册采用了ISO/IEC27001:
2013标准正文的全部内容,对《适用性声明SOA》的删减如下:
A.14.2.7外包开发删减理由:
公司无此业务
2规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,办公室应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全管理手册-ISO27001 1 信息 安全管理 手册 ISO27001