《[SW-ISMS-A-01]信息安全管理手册》由会员分享,可在线阅读,更多相关《[SW-ISMS-A-01]信息安全管理手册(47页珍藏版)》请在金锄头文库上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.信息安全管管理手册册SW-IISMSS-A-01Ver 11.1 发布日期2014年年10月月1日发布部门信息安全管管理小组组实施日期2014年年10月月1日版本变更履历变更人/变变更日期期审核人/审审核日期期批准人/批批准日期期1.0初次发布蓝金桃/220144.100.1/20144.100.1王楚标/220144.100.1目录颁布令iiii授权书iiv0 前言11 范围11.1 总总则11.2 应应用12 规范范性引用用文件13 术语和和定义23.1
2、 术术语23.2 缩缩写24 信息安安全管理理体系24.1 总总要求24.2 建建立和管管理信息息安全管管理体系系34.3 文文件要求求95 管理职职责115.1 管管理承诺诺115.2 资资源管理理116 内部信信息安全全管理体体系审核核126.1 总总则126.2 内内审策划划126.3 内内审员136.4 内内审实施施137 管理评评审147.1 总总则147.2 评评审输入入147.3 评评审输出出148 信息安安全管理理体系改改进158.1 持持续改进进158.2 纠纠正措施施158.3 预预防措施施15附录1-组组织概况况16附录2-组组织机构构图17附录3-职职能分配配表17附录
3、4-信信息安全全小组成成员21附录5-方方针文件件清单21附录6-程程序文件件清单22附录7-公公司外部部环境、内内部环境境及网络络图23颁布令为提高我公公司的信信息安全全管理水水平,保保障公司司业务活活动的正正常进行行,防止止由于信信息安全全事件(信信息系统统的中断断、数据据的丢失失、敏感感信息的的泄密)导导致的公公司和客客户的损损失,我我公司开开展贯彻彻GB/T2220800-20008iidtIISO2270001:220055信息息技术-安全技技术-信信息安全全管理体体系要求求国际际标准工工作,建建立、实实施和持持续改进进文件化化的信息息安全管管理体系系,制定定了佛山山市三维维计算机机
4、网络有有限公司司信息息安全管管理手册册。指导管理体体系运行行的公司司信息息安全管管理体系系手册经经评审后后,现予予以批准准发布。信息安全全管理体系系手册的的发布,标标志着我我公司从从现在起起,必须须按照信信息安全全管理体体系标准准的要求求和公司司信息息安全管管理体系系手册所所描述的的规定,不断增强持续满足顾客要求、相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质、安全的应用软件的开发和维护服务,以确立公司在社会上的良好信誉。信息安全全管理体系系手册是是公司规规范内部部管理的的指导性性文件,也也是全体体员工在在向顾客客提供服服务过程程必须遵遵循的行行动准则则。信息安安全管理理体系手
5、册册一经经发布,就就是强制制性文件件,全体体员工必必须认真真学习、切切实执行行。本手册自220144年100月155日正式式实施。佛山市三维维计算机机网络有有限公司司总经理:王王楚标2014年年 008月 199日授权书为贯彻执行行ISOO/IEEC 270001:20005信信息安全全管理体体系,加加强对信信息管理理体系运运行的领领导,特特授权 蓝金金桃 女士为公公司管理理者代表表。授权信息安安全管理理者代表表有如下下职责和和权限:1) 确保按照标标准的要要求,进进行资产产识别和和风险评评估,全全面建立立、实施施和保持持信息安安全管理理体系;2) 负责与信息息安全管管理体系系有关的的协调和和
6、联络工工作;3) 确保在整个个组织内内提高信信息安全全风险的的意识;4) 审核风险评评估报告告、风险险处理计计划;5) 批准发布程程序文件件;6) 主持信息安安全管理理体系内内部审核核,任命命审核组组长,批批准内审审工作报报告;7) 向最高管理理者报告告信息安安全管理理体系的的业绩和和改进要要求,包包括信息息安全管管理体系系运行情情况、内内外部审审核情况况。本授权书自自任命日日起生效效执行。佛山市三维维计算机机网络有有限公司司2014年年 100 月 1日0 前言信信息安全全管理体体系手册册(以以下简称称本手册册)依据据ISOO/IEEC 2270001:220055信息息技术-安全技技术-信
7、信息安全全管理体体系-要要求,参参照ISSO/IIEC 270002:20005信信息技术术-安全全技术-信息安安全管理理实用规规则,结结合本行行业信息息安全的的特点编编写。本本手册对对本公司司信息安安全管理理体系作作出了概概括性描描述,为为建立、实实施和保保持信息息安全管管理体系系提供框框架。1 范围1.1 总总则为建立、实实施、运运行、监监视、评评审、保保持和改改进文件件化的信信息安全全管理体体系,确确定信息息安全方方针和目目标,对对信息安安全风险险进行有有效管理理,确保保全体员员工理解解并遵照照执行信信息安全全管理体体系文件件、持续续改进信信息安全全管理体体系的有有效性,特特制定本本手册
8、。1.2 应应用1.2.11 覆盖范范围应用范围:本信息安安全管理理体系手手册规规定了信息安安全管理理体系涉涉及的开开发和维维护信息息安全管管理、职职责管理理、内部部审核、管管理评审审和信息息安全管管理体系系持续改改进等方方面内容容。具体体见4.2.22.1条条款规定定。地址范围:深圳市福田田区景田田商报路路奥林匹匹克大厦厦26楼楼B、CC、D号号1.2.22 删减说说明本信息安安全管理理体系手手册采采用了IISO/IECC270001:20005标准准正文的的全部内内容,对对附录AA的删减减及理由由详见信信息安全全适用性性声明SSoA。2 规范性性引用文文件下列文件中中的条款款通过本本信息息
9、安全管管理体系系手册的的引用而而成为本本信息息安全管管理体系系手册的的条款。凡凡是标注注日期的的引用文文件,其其随后所所有的修修改单(不不包括勘勘误的内内容)或或修改版版均不适适用于本本信息息安全管管理体系系手册,然然而,信信息安全全管理小小组应研研究是否否可使用用这些文文件的最最新版本本。凡是是不注日日期的引引用文件件、其最最新版本本适用于于本信信息安全全管理体体系手册册。ISO/IIEC 270001:20005信信息技术术-安全全技术-信息安安全管理理体系-要求ISO/IIEC 270002:20005信信息技术术-安全全技术-信息安安全管理理实用规规则3 术语和和定义3.1 术术语IS
10、O/IIEC 270001:20005信信息技术术-安全全技术-信息安安全管理理体系-要求、ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则规定的术语和定义以及下述定义适用于本信息安全管理体系手册。本组织、本本公司、我我公司:指。3.2 缩缩写ISMS:Infformmatiion Seccuriity Mannageemennt SSysttemss 信息息安全管管理体系系;SoA::Staatemmentt off Apppliicabbiliity 适用性性声明;PDCA::Plaan DDo CChecck AActiion 计划、实实施、检检查、改改进。4
11、 信息安安全管理理体系4.1 总总要求4.1.11 要求求本公司在软软件开发发、经营营、服务务和日常常管理活活动中按按ISOO/IEEC 2270001:220055信息息技术-安全技技术-信信息安全全管理体体系-要要求规规定,参参照ISSO/IIEC 270002:20005信信息技术术-安全全技术-信息安安全管理理实用规规则标标准建立立、实施施、运行行、监视视、评审审、保持持和改进进文件化化的信息息安全管管理体系系。4.1.22 PDDCA模模型信息安全管管理体系系使用的的过程基基于图11所示的的PDCCA模型型。 建立ISMS 实施和运行ISMS 保持和改进ISMS 监视和评审ISMS
12、相关方 信息安全 要求和期望 相关方 受控的 信息安全 规划Plan 检查Check 处置Act 实施Do 图1 信息息安全管管理体系系PDCCA模型型4.2 建建立和管管理信息息安全管管理体系系4.2.11 建立立信息安安全管理理体系4.2.11.1 信息安安全管理理体系的的范围和和边界本公司根据据业务特特征、组组织结构构、地理理位置、资资产和技技术确定定了范围围和边界界:本公司信息息安全管管理体系系的范围围包括:a) 本公公司涉及及软件开开发、营营销、服服务和日日常管理理的业务务系统;b) 与所所述信息息系统有有关的活活动;c) 与所所述信息息系统有有关的部部门和所所有员工工;d) 所述述
13、活动、系系统及支支持性系系统包含含的全部部信息资资产。业务范围:桌面软、硬硬件运维维服务;服务器器硬件运运维服务务;网络络设备运运维服务务的信息息安全管管理。物理范围:本公司根据据组织的的业务特特征、组组织结构构、地理理位置、资资产和技技术定义义了信息息安全管管理体系系的物理理范围和和信息安安全边界界。本公司信息息安全管管理体系系的物理理范围为为:佛山市禅城城区江湾湾路三路路28号号广东(佛佛山)软软件产业业园A区区10号号楼首层层1033-1005室安全边界详详见附录录B(规规范性附附录)办办公场所所平面图图。ISMS的的范围是是:a) 计算机应用用软件开开发和维维护、系系统集成成和后期期维护;信息安安全,IIT资产产服务外外包,IIT运维维服务b) 本信息安安全管理理体系手手册采采用了IISO/IECC 270001:20005标准准正文的的全部内内容,对对附录AA的删减减及理由由详见信信息安全全适用性性声明;c) ISMS的的边界 地理位位置图 (详见见附录录7-公公司外部部环境、内内部环境境及网络络图)4.2.11.2 信息安安全管理理体系的的方针和和目标4.2.
