ISO27001信息安全管理手册Word文档下载推荐.docx
《ISO27001信息安全管理手册Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册Word文档下载推荐.docx(70页珍藏版)》请在冰豆网上搜索。
信息安全管理手册.........................................................7
1范围
.
.................................................................7
1.1总则
.............................................................7
1.2应用
2规范性引用文件
.......................................................8
3术语和定义
...........................................................8
3.1本公司
3.2信息系统
.........................................................8
3.3计算机病毒
3.4信息安全事件
.....................................................8
3.5相关方
4信息安全管理体系
.....................................................9
4.1概述
.............................................................9
4.2建立和管理信息安全管理体系.......................................9
4.3文件要求
........................................................15
5管理职责
............................................................18
5.1管理承诺
........................................................18
5.2资源管理
6内部信息安全管理体系审核
............................................19
6.1总则
............................................................19
6.2内审策划
........................................................19
6.3内审实施
7管理评审
............................................................21
7.1总则
7.2评审输入
........................................................21
7.3评审输出
7.4评审程序
........................................................22
8信息安全管理体系改进
................................................23
8.1持续改进
........................................................23
8.2纠正措施
8.3预防措施
颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全
事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司
开展贯彻
GB/T22080-2008idtISO27001:
2005
《信息技术
-
安全技术
信息安全管理体系要求》
国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理
手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系
的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效
运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:
《信
息技术
信息安全管理体系
要求》标准和企业实际情况,
现正式批准发布,
自
2015
年
12
月
23
日起实施。
企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯
彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
2015
12月
23日
1
管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:
安
全技术
要求》标准的要求,加强领导,特任命为我公司信息安
全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,
进行资产识别和风险评估,
全面建立、
实施和保持信息安全管
理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7.
向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运
行情况、内外部审核情况。
本授权书自任命日起生效执行。
总
经
理:
2013
日
2
公司概况
3
信息安全管理方针目标
为防止由于信息系统的中断、
数据的丢失、
敏感信息的泄密所导致的企业和客户的损失,
本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针如下:
强化意识
规范行为
数据保密
信息完整
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
公司采用系统的方法,
按照
建立信息安全管理体系,
全面保护本公司的信息安全。
二、信息安全管理组织
1.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,
提供信息安全资源。
2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证
信息安全管理体系的持续适宜性和有效性。
3.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保
证信息安全管理体系的有效运行。
4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发
展动态,获得对信息安全管理的支持。
三、人员安全
1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动
合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗
位调动或离职人员,应及时调整安全职责和权限。
2.对本公司的相关方针,要明确安全要求和安全职责。
3.定期对全体员工进行信息安全相关教育,包括:
技能、职责和意识。
以提高安全意
识。
4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安
全要求。
4
五、风险评估
1.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接
受准则。
2.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。
本公司
或环境发生重大变化时,随时评估。
3.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
1.公司建立报告信息安全事件的渠道和相应的主管部门。
2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事
件,应立即按照规定的途径进行报告。
3.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报
告人员反馈处理结果。
七、监督检查
定期对信息安全进行监督检查,
包括:
日常检查、
专项检查、
技术性检查、
内部审核等。
八、业务持续性
1.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,
防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
2.定期对业务持续性计划进行测试和更
升级会员 