《1信息安全管理手册》由会员分享,可在线阅读,更多相关《1信息安全管理手册(31页珍藏版)》请在金锄头文库上搜索。
1、编编 号号XX-ISMS-01XX-ISMS-01版版 本本A/0A/0密密 级级内部限制内部限制江苏江苏 XXXXXXXX 科技有限公司科技有限公司受受 控控是是信信 息息 安安 全全 管管 理理 手手 册册生效日期生效日期核核 准准审审 查查制制 订订2016.3.12016.3.1修改记录修改记录序号修改原因修改内容修改人/时间批准人/时间备注目目 录录0.10.1、信息安全管理手册发布令、信息安全管理手册发布令0.20.2、管理者代表任命书、管理者代表任命书0.30.3、公司简介、公司简介0.40.4、信息安全方针、信息安全方针0.50.5、信息安全目标、信息安全目标1 1、范围、范围
2、2 2、引用标准、引用标准3 3、术语和定义、术语和定义4 4、信息安全管理体系、信息安全管理体系4.1 组织环境4.2 理解相关方的需求和期望4.3 明确信息安全管理体系的范围4.4 信息安全管理体系5 5、领导、领导5.1 领导和承诺5.2 方针 5.3 组织角色、职责和权力6 6、计划、计划6.1 处置风险和机遇6.2 信息安全目标的计划和实现7 7、支持、支持7.1 资源 7.2 能力7.3 意识 7.4 沟通 7.5 文档要求8 8、实施、实施 8.1 运行计划和控制8.2 信息安全风险评估8.3 信息安全风险处置9 9、绩效评价、绩效评价 9.1 监视、测量、分析和评价9.2 内部
3、审核9.3 管理评审1010、改进、改进10.1 不符合项和纠正措施10.2 持续改进附件:附件:附件一:信息安全职能分配表附件二:信息安全职责附件三:信息安全管理体系程序文件清单附件四:信息安全管理体系作业指导书文件清单0.10.1 信息安全管理手册发布令信息安全管理手册发布令为提高江苏 XXXX 科技有限公司的信息安全管理水平,保障企业经营、服务和日常管理活动,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,公司开展贯彻 ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求标准的工作,建立文件化的信息安全管理体系,制定了江苏 XXXX
4、科技有限公司信息安全管理手册 (以下简称手册) 。本手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、管理目标,实现信息安全管理体系有效运行、持续改进,是江苏 XXXX 科技有限公司信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求,自觉执行管理方针,贯彻实施本手册的各项规定,努力实现江苏 XXXX 科技有限公司的管理目标和管理承诺。本手册自颁布之日起生效执行。江苏 XXXX 科技有限公司总经理: 二一六年三月一日0.20.2 管理者代表任命书管理者代表任命书兹委任 担任江苏 XXXX 科技有限公司 ISO27001 信息
5、安全管理体系管理者代表。他将履行以下职责及权限:1、 负责公司 ISO27001 的推行认证工作,负责组织信息安全管理体系建立、实施和维持,确保公司的信息安全管理体系运作符合信息安全管理体系标准;2、 信息安全管理体系内部审核的策划、组织及实施;3、 批准信息安全管理体系程序文件;4、 代表公司就信息安全的有关事项和外部进行联络。总经理: 日 期:二一六年三月一日0.30.3、公司简介、公司简介公司组织架构如下图所示:总 经 理信息安全委员会管理者代表销 售 部技 术 部研 发 部综 合 部财 务 部0.40.4 信息安全方针信息安全方针实施风险管理,确保信息安全,保障业务可持续发展。实施风险
6、管理,确保信息安全,保障业务可持续发展。信息安全方针含义:a.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。应根据风险评估的结果,采取相应措施,降低风险。b.在日常企业生产和管理中,对信息安全予以重视,全面识别和分析全部信息资产,系统考虑企业信息系统薄弱点、可能存在的威胁,考虑成本、利益、风险的综合平衡,对资产进行分类保护,以适宜的成本达到系统保护的要求。c.建立健全信息安全监督和保证体系,明确各级、各岗位的信息安全责任,以人为本,坚持全员、全方位、全过程信息安全管理。通过测量和监
7、控,持续改进,保证信息安全管理体系的有效运行,做到制度执行有记录、记录记载可追溯,最终保障企业生产、经营、管理和服务的持续和安全,实现企业发展目标。0.50.5、信息安全目标:、信息安全目标:本公司信息安全目标:1)安全事件发生次数:重大安全事件目标值:0 次/年 ;较大安全事件目标值:不大于 4 次/年;一般安全事件目标值:不大于 8 次/年。2)信息泄密次数:保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值:0 次/年各部门信息安全目标:部部 门门部门信息安全目标部门信息安全目标统计方式统计方式监测监测 频率频率综合部1、人员
8、招聘手续办理完 成率 100%; 2、人员教育或培训实施 率 100%; 3、人员离职手续办理完 成率 100%; 4、办公环境消防设施配 置率 100%; 5、办公环境消防设施点 检率 100%; 6、每年至少组织实施完 成 1 次信息安全内审, 且资料齐全; 7、每年至少组织实施完 成 1 次信息安全管理评 审,且资料齐全; 8、每年至少进行 1 次信 息安全体系文件评审及 更新; 9、每年至少组织实施完 成 1 次风险评估。1、查看全部员工入职手续办理情况; 2、查看培训计划及培训实施情况; 3、查看实际人员离职及手续办理情况;4、现场检查办公环境消防器材配备情 况; 5、现场检查办公环
9、境消防器材的检修 情况; 7、按照信息安全内审计划执行内审及 改进,及时整理信息安全内审资料; 8、按照信息安全管理评审计划执行评 审及改进,及时整理信息安全管理评审 资料; 9、每年集中对信息安全管理体系文件 进行评审,必要时进行更新; 10、每年组织各相关部门进行风险评估 回顾、对新增或发生变化的信息资产进 行风险评估。每年研发部1、网络非正常中断每月 1 次。 2、主机系统非正常中断 每月1 次。1、以每月的网络中断事件为依据 2、以每月的主机系统中断事件为依据每半 年其他部 门重要文档及数据被正确 保管及使用,机密信息 泄露次数为 0 次每半年检查一次日常工作文件及数据是 否被正确保管
10、及使用,以及机密信息泄 露相关事件。每年1 1、范围、范围1.11.1 总则总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称 ISMS) ,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。1.21.2 应用应用1.2.1 覆盖范围本信息安全管理手册规定了江苏 XXXX 科技有限公司信息安全管理体系的建立和管理、管理职责、内部审核、管理评审和体系持续改进等方面内容。1.2.2 删减说明本信息安全管理手册采用了 ISO/IEC27001:2013 标准正文的全部内容,对
11、附录 A的删减见适用性声明 SoA 。2 2、规范性引用文件、规范性引用文件ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实施细则3 3、术语和定义、术语和定义3.3.1 ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求 、ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实施细则规定的术语和定义适用于本信息安全管理手册 。3.3.2 本组织、本公司、我司:指江苏 XXXX 科技有限公司。4 4、信息安全管理体系、信息安全管理体系4.14.1 组织环境
12、组织环境 组织外部环境包括如下几个方面,但并不局限于此: 文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境,无论是国际、国内、区域或地方; 影响组织目标的主要驱动因素和发展趋势; 外部利益相关者的观点和价值观。 组织内部环境包括如下几个方面,但并不局限于此: 资源与知识的理解能力(如:资本、时间、人力、流程、系统和技术) ; 信息系统、信息流动以及决策过程(包括正式和非正式的) ; 内部利益相关者; 政策,为实现的目标及战略; 观念、价值观、文化; 组织通过的标准以及参考模型;以上相关因素将影响公司实现信息安全管理体系的预期成果。4.24.2 理解相关方的需求和期望理解相关方的需
13、求和期望a)与本公司信息安全管理体系有关的相关方有:供方、合同方、顾客及其他第三方访问者。b) 各相关方对我司的信息安全需求,包括了信息安全相关法律法规要求和合同规定的义务。4.34.3 本公司信息安全管理体系的范围和边界本公司信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:a)业务范围:。 。 。 。 。 。的设计开发和服务的信息安全管理活动;b)信息系统范围:所述活动、系统及支持性系统包含的全部信息资产;c)组织范围:与所述业务有关的部门和所有员工;d)地理范围:。4.44.4 信息安全管理体系信息安全管理体
14、系本公司按照 ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求规定,参照 ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实用规则 ,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。5 5 领导领导5.15.1 领导和承诺领导和承诺本公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺:a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标;b) 确保信息安全管理体系要求集成到组织的管理流程;c) 确保提供信息安全管理体系需要的各项资源;d) 传达信息安全管理的重要性及信息安全管理体系要求;e) 确保信息
15、安全管理体系实现其预期目标;f) 指导和支持信息安全团队;g) 促使持续改进;h) 支持其他相关的管理者在其职责范围内履行管理职责。5.25.2 方针方针为了满足适用法律法规及相关方要求,维持公司经营和管理的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了 ISMS 方针,见本信息安全管理手册第 0.4 条款。该信息安全方针符合以下要求:1)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;2)考虑业务及法律或法规的要求,及合同的安全义务;3)与组织战略和风险管理相一致的环境下,建立和保持 ISMS;4)建立了风险评价的准则;5)
16、经最高管理者批准。5.35.3 组织角色、职责和权力组织角色、职责和权力5.3.1 信息安全组织机构本公司成立了由最高管理者、管理者代表及各部门负责人组成的信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺,负责制订、落实信息安全管理工作计划,建立健全企业的信息安全管理体系,保持其有效、持续运行。本公司采取相关部门代表组成的运行分析会议的方式,进行信息安全协调和协作,以:a) 确保安全活动的执行符合信息安全方针;b) 确定怎样处理不符合;c) 批准信息安全的方法和过程,如风险评估、信息分类;5.3.2 信息安全职责和权限本公司总经理为信息安全最高管理者,对信息安全全面负责,主要包括:a) 组织制定信息安全方针及目标,任命管理者代表,明确管理者代表的职责和权限。b)确保在内
