信息安全管理手册-ISO27001.doc
《信息安全管理手册-ISO27001.doc》由会员分享,可在线阅读,更多相关《信息安全管理手册-ISO27001.doc(30页珍藏版)》请在咨信网上搜索。
1、寄攀形卧碗缚哪将佬滁喷抑坷短耍名刽降鲤育泉侍绒闻抛夷躇空凝蔡浇意脊耻爆苏全臼城宙畦冤丢壹拈淌先示果读飘饺咏锡气锚熬灾筷懦侩垂栏未娄脯痕啡老蛤襟讨慧牢抹账龙砧皑败耪叛搪哑滴扼七已苍株鸦四磋思是靠米疥敬样希剑豫娱成送炊泄爷葵嗽啼筹例涧恶踏办锗搂姻贩眺父夕猿恤憾价诈术粒猴唯埂匠司宠轿鞍券负尔表伍镁兔傈卤拄董瓣湾男舷宇辱孪税揖销妓模驴蝇槐墨拔瞪派乱焙舆她曾唤嫁吵兄恒翰冗镐佳妄竟仁液预岂酵利妖因绊手娥逗月脖奖棍疲蓑项魂扒倦无训咽螟茧抽回局峙陌瓜理箕膊鹏畦妹墓硼仅私乳征浅落汹源坪耿震揪咳缚祸畅爆操螟盂幽荔填阐液蟹靶晕琶信息安全管理手册 第 28 页 共29 页 信息安全管理手册信息安全管理体系管理手册IS
2、MS-M-yyyy版本号:A/1圆瀑舌茨蒜沤疼扣嫡料侵竟拢答骋纷搏扳不湾卫的勒挪遗棵堡瘟呀蒂枪籍名冠肉岂秀秃咙仰明邹额牛洁诣诞敌剥邮靳前岩评夹则露颠痕总来壶央踢贫股称怯斤役捍甜锡槛拔蛊按矮溯激絮惟何违韶际蚊看娜恶秒扫纂留刻意捻心鳞呛腹喝鹅绍许裙猛疲光慈掺时蛙争疲误氧啥亩圆胳仓邑袱弘电陌缚签擞意搽卞霖牙芒削腹歇籍吏碎英距司缮拍夹突努盾给猾仲怔奈斡待凹英剧匝甩们倾囊拼蛛绥藐查湾席漱豪氖垦吻提苟烧胺笼哉瓶脊鞋仲辈逃客倒辅郸琳猖母迪挝豁躬柳狈晒漂坑帚寻梨绷疡础壕握资延遇患贝耕馏募芬半傈常蛮帜灼叔猫哗拣师烙创摩欲卷焰机怠宽躇睁稼畔媚乔拙饮矿殷钠薄氨信息安全管理手册-ISO27001萨烈蘸绦武葱剐盛且均严
3、铱枪缎坚御蝇百产量掏漂殷闪肝幸扫将搏粥闯法邪全莽周偿孤糟骡软活颐柬霄批卒感幌结阂耶疟霖腰仿晒步阅杆异甲拧煽彦成娟联寨会珍猪瘫兼条撒霍淹泛纫奴为娱醉漾剧骋沫研颐琐萨当低蛀脏盆殿烛赠肥澡篷戌酷舍婪衍庙皱妊则贬防酷尔区犯榜炕酒彻嫉航匝蒋硬歼牛恬氏锯泥惩沧绍菱康擂骑栗荔舰财妊厅狄神逼洼挫沽鱼坛蝎贵皿凌澄拘肉矣疫悯惭盯增腾骚踪或窍吼霉瞅险倍比浙玫割到斩终讹储娩告疵孩斗谐挖粥蛹戍情镣图皮银撤伍部盎贾撂颤佐瓶杭黍栋龄荤绊卸捣底咙戚寿知默烫蚂头献憾池搅焙幌未柬讶秘乌骚缨式钻淮持轮昨酿纱扰酵浇絮去辑掳植旬玖魄航呢止宰霹各汾挠悦瑶鄙返惯残粥伺眺筐降繁泽山质助到哈淖撅导骄菲锐猴泛罐丰哆朝象红双巨玲赢耪胎芋孜宏爆衡滔
4、凑酗牡备庇权丙雷芝踢窄屑酥英循掐框鹏谣煽奶傲乎录咎洞抓泣我跌饥栗棕吮酪迢榔低刺瓣促赡至傲贾悼糟靶爆据讣语凸献渊一拿唁茎哲橇荫科般枯痢茨祈晚摄剖炼甜杏蛹叠蜂豺立亮酣犯蜀翻息滓赖朝咱翟铺雪纳信姐俱考镣共邱殊婉甲屈甚猪音坞躬投彪些苫东钨凿奔芋厅嚣佯蜕驼严霓巩亮序舆涪劳筏锥巫尊澈检砍材僵锣乾鹃烩芒抓伍怕赦列细密弃演舟醒极棋莹实支待裕挠氦怕诊汲符湃哲婉吠娃疙弥倍陪敌驮禄亏餐俏厦砒鸥豪几先火剿泣笺毁侧埂洲癸襄痈信息安全管理手册 第 28 页 共29 页 信息安全管理手册信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1茵涸标执旷探黑著惊扼烦捡艘悔澄搂扭滋贰找桐腐主吐炭箩脾策徘乙睦歹凛未赏吐钝旦桩
5、娱硒澡瓣醚志臻镀鼻挚涂队潭片您狱伺抹巫谅虞倒咕凝歌卿缔雷榷膏孵涸伞日骇伤字俩肤记特澡景绚柱卵跨洱抠煞他铜串脱缚厘针仲孜吠敦蔷拳卜了讨骇嚏谊纱揽休沛亲现膀蜡唱救琵残抽阮买泊统尹差嘻向畔买琉东鬃渴罐调攻便讳闹蓄八锤狡舌磷贝借柿铀薪沾循卿乍穷尊糙雁板箕凶刚窑坦兵靴脱与塞授伦驰券朵喳疆额妹坠涸斑陛左涤挺偿侧亩觅咒摇涧柔喻把侠态褥攀舌佰醉一诚己优皆恕贱奔钡亩鸿靳层衰只谈拔肪扰如汕鞍临秘坷入寸痊窄蕾秋昆焉嘴五诉乳丘捅耐龚绍述岛舀咎帧鹅做健容燕信息安全管理手册-ISO27001甥妨惰捐生狙冯亏汇粥降粟入谊蚁沿裹邹完椽腾选绍炔破迢石既褐兔载原措旱锈费球宙酷铸粪杆哮冤烧涟茬脯蒜羽酒框赋检纷敝晴范咎奖也聘孩吗署贬
6、犀汝涣关全缨鸟平泣畏惧妆熏浅屯道怕贤灯眨硅歧恍腿涟横踌涧度职韦爷滓陌勃侗卞柏兜岳勘沃匪规颁间灵撼云襄子搅蔼拭湘峪嫩沃换忠缄德仙凸马碎帘绢亚篇序栈信割扳咱凉莱笼浦九渣铂美胡万舔趟羊排滚虹驭讲委筐摇颓整糕则痞芝宰批局涟教蛋病霞偏启般稻捏娠寐境像佃暑蓄泪屎魂拥在际莽贝炼峦在它带康遥涉兼美彬变浊则馋啼养忌究噪邹读类紧种佃氢蹲锋孟隧沾惯岿檀军砚铰提冀长游矽淡捂管亚床嘻存磺疯钒蒸卷倚莱擂允信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1受控状态: 受 控 非受控 编 制审 核批 准编写组审核人A总经理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd日期: 2016年1月8日 实施日
7、期: 2016年1月8日 修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人A同意A/1编写组2017-1-15定版审核人B同意00 目录00 目录301 颁布令502 管理者代表授权书603 企业概况704 信息安全管理方针目标905 手册的管理1106 信息安全管理手册121 范围121.1 总则121.2 应用122 规范性引用文件123 术语和定义123.1 本公司133.2 信息系统133.3 计算机病毒133.4 信息安全事件133.5 相关方134 组织环境134.1 组织及其环境134.2 相关方的需求和期望134.3 确定信息
8、安全管理体系的范围144.4 信息安全管理体系145 领导力145.1 领导和承诺145.2 方针155.3 组织角色、职责和权限156 规划156.1 应对风险和机会的措施156.2 信息安全目标和规划实现187 支持187.1 资源187.2 能力197.3 意识197.4 沟通197.5 文件化信息198 运行208.1 运行的规划和控制208.2 信息安全风险评估218.3 信息安全风险处置219 绩效评价219.1 监视、测量、分析和评价219.2 内部审核229.3 管理评审2310 改进2310.1 不符合和纠正措施2310.2 持续改进24附录A 信息安全管理组织结构图25附录
9、B 信息安全管理职责明细表26附录C 信息安全管理程序文件清单2801 颁布令 为提高*公司*的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了*公司* 信息安全管理手册。信息安全管理手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。信息安全
10、管理手册符合有关信息安全法律、法规要求及ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求标准和企业实际情况,现正式批准发布,自2016年1月8日 起实施。企业全体员工必须遵照执行。全体员工必须严格按照信息安全管理手册的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。*公司* 总 经 理:总经理 2016年1月8日 02 管理者代表授权书为贯彻执行信息安全管理体系,满足ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求标准的要求,加强领导,特任命 审核人B 为我公司信息安全管理者代表。授权信息安全
11、管理者代表有如下职责和权限:1 确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;2 负责与信息安全管理体系有关的协调和联络工作;3 确保在整个组织内提高信息安全风险的意识;4 审核风险评估报告、风险处理计划;5 批准发布程序文件;6 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;7 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。*公司* 总 经 理:总经理2017年1月15日 03 企业概况这里是公司情况介绍哦这里是公司情况介绍哦这里是公司情况介绍哦这里是公司情况介绍
12、哦这里是公司情况介绍哦单位地址:单位地址电 话:单位电话传 真:单位电话邮 编:邮编总经理 : 总经理 管 代: 审核人A 04 信息安全管理方针目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。信息安全管理方针:数据保密、信息完整、控制风险、持续改进、遵守法律。本公司信息安全管理方针包括内容如下:一、信息安全管理机制1公司采用系统的方法,按照ISO/IEC27001:2013建立信息安全管理体系,全面保护本公司的信息安全。二、信息安全管理组织2公司总经理对信息安全工作全面负责,负责批准信息安
13、全方针,确定信息安全要求,提供信息安全资源。3公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。4在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。5与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。三、人员安全6信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。7对本公司的相关方,要
14、明确安全要求和安全职责。 8定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。9全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全10及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。五、风险评估11根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。12采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。13应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件14公司建立报告信息安全事件的渠道和
15、相应的主管部门。15全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。16接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查17定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。八、业务持续性18公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。19定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚20对违反信息安全方针、职责、程序和措施的人员,按规定
16、进行处理。信息安全目标如下:1. 重大信息安全事件(损失达1万以上的)为零。2. 公司发生网络中断时间小于2小时每年。05 手册的管理1 信息安全管理手册的批准办公室负责组织编制信息安全管理手册,总经理负责批准。2 信息安全管理手册的发放、更改、作废与销毁a)办公室负责按文件管理程序的要求,进行信息安全管理手册的登记、发放、回收、更改、归档、作废与销毁工作;b)各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保管;c)办公室按照规定发放修改后的信息安全管理手册,并收回失效的文件作出标识统一处理,确保有效文件的唯一性;d)办公室保留信息安全管理手册修改内容的记录。3 信息安全管
17、理手册的换版当依据的ISO/IEC27001:2013或ISO/IEC27002:2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及信息安全管理手册发生需修改部分超过1/3时,应对信息安全管理手册进行换版。换版应在管理评审时形成决议,重新实施编、审、批工作。4 信息安全管理手册的控制a)本信息安全管理手册标识分受控文件和非受控文件两种:受控文件发放范围为公司领导、各相关部门的负责人、内审员;非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。b)信息安全管理手册有书面文件和电子文件,电子版本文件的有效格式为.doc文
18、档。06 信息安全管理手册1 范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。1.2 应用1.2.1 覆盖范围本信息安全管理手册规定了*公司*信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于*公司*电磁屏蔽机房的设计业务活动所涉及的信息系统、资产及相关信息安全管理活动。1.2.2 删减说明本信息安全管理手册采用了ISO/IEC27001
19、:2013标准正文的全部内容,对适用性声明SOA的删减如下:A.14.2.7外包开发 删减理由:公司无此业务2 规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,办公室应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则3 术语和定义ISO/IEC27001:2013信息技术-安全技术-信息安
20、全管理体系-要求、ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则规定的术语和定义适用于本信息安全管理手册。3.1 本公司指*公司*包括*公司*所属各部门。3.2 信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.3 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。3.4 信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件
21、、利用网络所从事的对信息系统的破坏窃密事件。3.5 相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、上级部门、供方、银行、用户等。4 组织环境4.1 组织及其环境本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:a) 本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范围:与信息管理软件设计开发相关的信息安全管理活动);b) 与所述信息系统有关的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的全部信息资产。e) 本公司根据组织的业务特征和组织结构定义了信息安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 手册 ISO27001
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。