收藏
下载资源

[SW-ISMS-A-01]信息安全管理手册

上传人:鲁** 文档编号:488332266 上传时间:2024-02-04 格式:DOCX 页数:30 大小:73.66KB
返回 下载 相关 举报
[SW-ISMS-A-01]信息安全管理手册_第1页
第1页 / 共30页
[SW-ISMS-A-01]信息安全管理手册_第2页
第2页 / 共30页
[SW-ISMS-A-01]信息安全管理手册_第3页
第3页 / 共30页
[SW-ISMS-A-01]信息安全管理手册_第4页
第4页 / 共30页
[SW-ISMS-A-01]信息安全管理手册_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《[SW-ISMS-A-01]信息安全管理手册》由会员分享,可在线阅读,更多相关《[SW-ISMS-A-01]信息安全管理手册(30页珍藏版)》请在金锄头文库上搜索。

1、信息安全管理手册SW-ISMS-A-01Ver 1.1 发布日期2014年10月1日发布部门信息安全管理小组实施日期2014年10月1日版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期1.0初次发布蓝金桃/2014.10.1/2014.10.1王楚标/2014.10.1目录颁布令iii授权书iv0 前言11 范围11.1 总则11.2 应用12 规范性引用文件13 术语和定义23.1 术语23.2 缩写24 信息安全管理体系24.1 总要求24.2 建立和管理信息安全管理体系34.3 文件要求95 管理职责115.1 管理承诺115.2 资源管理116 内部信息安全管理体系审核12

2、6.1 总则126.2 内审策划126.3 内审员136.4 内审实施137 管理评审147.1 总则147.2 评审输入147.3 评审输出148 信息安全管理体系改进158.1 持续改进158.2 纠正措施158.3 预防措施15附录1-组织概况16附录2-组织机构图17附录3-职能分配表17附录4-信息安全小组成员21附录5-方针文件清单21附录6-程序文件清单22附录7-公司外部环境、内部环境及网络图23颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T220

3、80-2008idtISO27001:2005信息技术-安全技术-信息安全管理体系要求国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了佛山市三维计算机网络有限公司信息安全管理手册。指导管理体系运行的公司信息安全管理体系手册经评审后,现予以批准发布。信息安全管理体系手册的发布,标志着我公司从现在起,必须按照信息安全管理体系标准的要求和公司信息安全管理体系手册所描述的规定,不断增强持续满足顾客要求、相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质、安全的应用软件的开发和维护服务,以确立公司在社会上的良好信誉。信息安全管理体系手册是公司规范内部管理的指导性文件,也是全

4、体员工在向顾客提供服务过程必须遵循的行动准则。信息安全管理体系手册一经发布,就是强制性文件,全体员工必须认真学习、切实执行。本手册自2014年10月15日正式实施。佛山市三维计算机网络有限公司总经理:王楚标2014年 08月 19日授权书为贯彻执行ISO/IEC 27001:2005信息安全管理体系,加强对信息管理体系运行的领导,特授权 蓝金桃 女士为公司管理者代表。授权信息安全管理者代表有如下职责和权限:1) 确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;2) 负责与信息安全管理体系有关的协调和联络工作;3) 确保在整个组织内提高信息安全风险的意识;4)

5、审核风险评估报告、风险处理计划;5) 批准发布程序文件;6) 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;7) 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。佛山市三维计算机网络有限公司2014年 10 月 1日0 前言信息安全管理体系手册(以下简称本手册)依据ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求,参照ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则,结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述,为

6、建立、实施和保持信息安全管理体系提供框架。1 范围1.1 总则为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。1.2 应用1.2.1 覆盖范围应用范围:本信息安全管理体系手册规定了信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。具体见4.2.2.1条款规定。地址范围:深圳市福田区景田商报路奥林匹克大厦26楼B、C、D号1.2.2 删减说明本信息安全管理体系手册采用了

7、ISO/IEC27001:2005标准正文的全部内容,对附录A的删减及理由详见信息安全适用性声明SoA。2 规范性引用文件下列文件中的条款通过本信息安全管理体系手册的引用而成为本信息安全管理体系手册的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本信息安全管理体系手册,然而,信息安全管理小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理体系手册。ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则3 术语和定义

8、3.1 术语ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求、ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则规定的术语和定义以及下述定义适用于本信息安全管理体系手册。本组织、本公司、我公司:指。3.2 缩写ISMS:Information Security Management Systems 信息安全管理体系;SoA::Statement of Applicability 适用性声明;PDCA::Plan Do Check Action 计划、实施、检查、改进。4 信息安全管理体系4.1 总要求4.1.1 要求本公司在软件开发、经营

9、、服务和日常管理活动中按ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求规定,参照ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。4.1.2 PDCA模型信息安全管理体系使用的过程基于图1所示的PDCA模型。 建立ISMS 实施和运行ISMS 保持和改进ISMS 监视和评审ISMS 相关方 信息安全 要求和期望 相关方 受控的 信息安全 规划Plan 检查Check 处置Act 实施Do 图1 信息安全管理体系PDCA模型4.2 建立和管理信息安全管理体系4.2.1

10、建立信息安全管理体系4.2.1.1 信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界:本公司信息安全管理体系的范围包括:a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;b) 与所述信息系统有关的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的全部信息资产。业务范围:桌面软、硬件运维服务;服务器硬件运维服务;网络设备运维服务的信息安全管理。物理范围:本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为:佛山市禅城区江湾

11、路三路28号广东(佛山)软件产业园A区10号楼首层103-105室安全边界详见附录B(规范性附录)办公场所平面图。ISMS的范围是:a) 计算机应用软件开发和维护、系统集成和后期维护;信息安全,IT资产服务外包,IT运维服务b) 本信息安全管理体系手册采用了ISO/IEC 27001:2005标准正文的全部内容,对附录A的删减及理由详见信息安全适用性声明;c) ISMS的边界 地理位置图 (详见附录7-公司外部环境、内部环境及网络图)4.2.1.2 信息安全管理体系的方针和目标4.2.1.2.1 方针为了满足适用法律法规及相关方要求,维持ISMS范围内的业务正常进行,实现业务可持续发展,本公司

12、根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针:信息安全,人人有责。4.2.1.2.1 信息安全目标1. 客户针对信息安全事件的投诉每年不超过1次2. 重要信息设备丢失每年不超过1起3. 机密和绝密信息泄漏事件每年不超过1次4. 大规模病毒爆发每年不超过1次4.2.1.2.2 要求本公司信息安全管理体系方针符合以下要求:a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b) 识别并满足适用法律、法规和相关方信息安全要求;c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;d) 建立了风险评价的准则;e) 经总经理批准,并定期评

13、审其适用性、充分性,必要时予以修订。4.2.1.2.3 承诺为实现信息安全管理体系方针,本公司承诺:a) 在公司内各层次建立完整的信息安全管理组织机构,确定信息安全方针、安全目标和控制措施,明确信息安全的管理职责;b) 识别并满足适用法律、法规和相关方信息安全要求;c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;d) 采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;f) 制定并保持完善的业务连续性计划,实现可持续发展。4.2.1.3 风险评估的方法信息安全管理小组制定信息安全风险管理程序,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行信息安全风险管理程序进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。4.2.1.4 识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险管理程序对所有的资产和资产所有者进行了识别;对每一项资产按重置成本级别、保密性、完整

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 金融/证券 > 财经资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号