ISO27001:2013信息安全管理手册和程序文件.docx
《ISO27001:2013信息安全管理手册和程序文件.docx》由会员分享,可在线阅读,更多相关《ISO27001:2013信息安全管理手册和程序文件.docx(132页珍藏版)》请在冰豆网上搜索。
信息安全管理手册
GB/T22080-2016/ISO/IEC27001:
2013
编写委员会
信息安全管理手册
GLSC2020
第A/0版
编写:
审核:
批准:
受控状态:
XXX网络科技有限公司
发布时间:
2020年9月1日实施时间:
2020年9月1日
01目录
序号
名称
页码
01
目录
1
02
修订页
3
03
颁布令
4
04
任命书
5
05
方针、目标
6
06
企业简介
8
07
管理手册
9
第一章
范围
11
第二章
规范性引用文件
12
第三章
术语和定义
13
第四章
组织环境
16
4.1
理解组织及其环境
16
4.2
理解相关方的需求和期望
16
4.3
确定信息安全管理体系范围
17
4.4
信息安全管理体系
17
第五章
领导
18
5.1
领导和承诺
18
5.2
方针
18
5.3
组织的角色、职责和权限
19
第六章
规划
22
6.1
应对风险和机会的措施
22
6.1.1
总则
22
6.1.2
信息安全风险评估
22
6.1.3
信息安全风险处置
22
6.2
信息安全目的及其实现规划
23
第七章
支持
25
7.1
资源
25
7.2
能力
27
7.3
意识
27
7.4
沟通
27
7.5
文件化信息
28
7.5.1
总则
28
7.5.2
创建和更新
28
7.5.3
文件化信息的控制
28
第八章
运行
30
8.1
运行规划和控制
30
8.2
信息安全风险评估
30
8.3
信息安全风险处置
30
第九章
绩效评价
31
9.1
监视、测量、分析和评价
31
9.2
内部审核
32
9.3
管理评审
32
第十章
改进
35
10.1
不符合及纠正措施
35
10.2
持续改进
35
F
附录
36
附录一
证照
36
附录二
组织机构图
37
附录三
职能分配要素表
38
附录四
程序文件目录
39
02修订页
序号
对应章、节、
条号
修订内容
修改人及
时间
批准人及
批准时间
03颁布令
为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司
总经理:
2020年9月1日
04任命书
为了贯彻执行GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:
(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;
(3)负责与信息安全管理体系有关的协调和联络工作;
(4)负责确保管理手册的宣传贯彻工作;
(5)负责管理体系运行及持续改进活动的日常督导;
(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;
(7)主持公司内部审核活动,任命内部审核人员;
(8)代表公司就公司管理体系有关事宜与外部进行联络。
本授权书自任命日起生效执行。
总经理:
2020年9月1日
05方针、目标
为提高本公司的信息安全管理水平,保障公司和客户信息安全,本公司建立了信息安全管理制度,制定了信息安全方针和信息安全目标。
1公司信息安全方针
满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。
满足客户需求:
始终坚持以客户为关注焦点,遵循着公司“竭尽全力提供物超所值的产品和服务,让客户满意”的发展使命,满足客户的需求。
强化风险管理:
秉承“预防为主,防治结合”的理念,优化信息安全策略和信息安全管理流程,对运行的信息系统和重要信息资产进行全方位风险预防管控,保护信息系统和重要信息免受各种威胁的损害,使信息安全风险最小化,以确保信息系统业务的连续性。
保证信息安全:
坚持“安全第一、预防为主”的安全管理方针,定期开展信息安全风险评估,完善信息安全管理制度和管理信息系统灾害的应急预案,及时处理不可接受风险,杜绝可能出现的信息安全事故。
遵守法律法规:
严格遵守法律法规,自觉增强社会责任感,保障客户和公司的信息安全。
实现持续改进:
发挥全体员工的潜能,把质量预防机制构筑在每一个业务环节中,进行全面的质量管理,并持续改进。
2公司信息安全目标
a)不可接受风险处理率=100%
b)机密信息泄密事件=0次
c)重大突发事件=0次
d)客户满意度≥90%
3部门信息安全目标
3.1信息安全管理委员会:
a)不可接受风险处理率=100%
3.2综合部:
a)审核实施及时率≥90%
b)员工入职培训完成率=100%
c)员工保密协议签订率=100%
d)计划培训实施率≥95%
e)文件有效率=100%
f)文件按时发放率=100%
3.3技术部
a)机密信息泄密事件=0次
b)大面积感染病毒次数=0次
c)成功防范黑客攻击率=100%
d)重要信息备份技术率=100%
e)计算机故障处理完成率=100%
f)产品及时完成率=100%
3.4业务部
a)客户满意度≥90%
b)产品退回=0
c)投诉=0
总经理:
fran
2020年9月1日
06公司简介
XXX有限公司位于XX省XX市XXX街道XX号,成立于2019年1月,是一家专注于软件开发、企业信息化建设、网站建设、广告设计的专业型新型电子商务公司。
公司主营业务有:
网站建设(包含手机端网站、PC端官网订制、公共平台搭建等),订制软件(包含手机软件和电脑软件)、搭建企业信息化平台、广告设计。
作为一家专业服务于企业信息化建设的公司,公司拥有一只经验丰富的行业精英组成的的团队,公司自成立一年以来,已经为多家企业完成了网站建设和推广,设计完成了XXXXX,赢得了众多客户的一致好评。
通信信息
公司名称:
公司地址:
联系人:
电话:
传真:
电子信箱:
07管理手册
1概述
本《管理手册》依据GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》以及公司实际情况编制的,是本公司从事信息安全管理有关的活动的纲领性文件,为保持其持续适应性和有效性,明确管理者和持有者的责任,对管理手册的编写、修订、发放等实行统一管理。
2依据
2.1GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》
3手册的编写和管理职责
3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。
3.2由总经理批准颁布实施。
3.3资料管理员负责管理手册发放、回收、登记、保管和控制。
3.4管理手册按“受控”和“非受控”两种版本管理。
“受控”版本正本由资料管理员保管,非正本限于本公司内部使用;“非受控”版本对外发放,在对外发放时必须经经理批准并加盖“非受控”标识后方可对外发放。
4手册持有者的责任
4.1管理手册是本公司信息安全管理体系运行的纲领性文件,本公司人员必须认真学习、了解信息安全管理管理工作等,熟悉各项规定并严格遵照执行。
4.2管理手册是公司的受控文件,限公司内部使用,应妥善保管,不得遗失、擅自更改、翻印和外借,如有丢失应向资料管理员作书面报告,经管理者代表批准后方可补发。
4.3更改页下发后,按更改内容要求贯彻执行。
4.4持有者调离本公司,必须交回手册,办理回收手续后方可离开。
5管理手册的宣传与贯彻
5.1管理手册是本公司活动管理的指导性文件,是开展管理活动的依据和规范,全体人员必须认真学习和掌握管理手册的规定和要求。
5.2管理者代表制定宣传与贯彻计划并组织全体人员学习,使全体人员了解信息安全管理工作,对管理手册中条款作必要的说明和解释,以便在信息安全管理活动中得以正确贯彻和执行。
5.3新调入本公司工作人员,岗前培训内容包含管理手册的学习。
6手册的修订
6.1在管理体系活动中,员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。
6.2管理者代表负责收集修改意见和建议,一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。
6.3修订稿由管理者代表组织起草,报总经理审批。
修订稿经总经理审核批准后印制,手册持有者更换修订后的管理手册,并对旧版手册进行回收。
7手册的改版
7.1当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化,现行管理体系与之不相适应,或上级主管部门要求改版时,管理手册予以改版。
7.2改版工作由管理者代表负责,组织人员编写,新版本由总经理负责审核。
新版本自总经理批准颁布实施之日起,旧版本同时废止并予以回收。
第一章范围
1.1本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。
1.2本手册适用于相关方审核本公司信息安全管理能力的依据之一。
1.3本手册是信息安全管理体系文件,满足公司内部管理体系需要。
1.4本公司不进行外包,本手册不适用于外包。
第二章规范性引用文件
下列文件对于本手册的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本手册。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本手册。
1)GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》
2)GB/T29246/ISO/IEC27000《信息技术安全技术信息安全管理体系概述和词汇》
第三章术语和定义
GB/T29246-2017/ISO/IEC27000:
2016《信息技术安全技术息安全管理体系概述和词汇》界定的术语和定义适用于本手册。
3.1审核
获取审核证据并客观地对其评价以确定满足审核准则程度的,系统的、独立的和文档化的过程。
注1:
审核可以是内部审核(第一方)或外部审核(第二方或第三方),可以是结合审核(结合两个或两个以上学科)。
注2:
“审核证据”和“审核准则”在ISO19011中被定义。
3.2审核范围
审核的程度和边界。
3.3能力
应用知识和技能实现预期结果的才能。
3.4保密性
信息对为授权的个人、实体或过程不可用或不泄露的特性。
3.5符合性
对要求的满足。
3.6后果
事态影响目标的结果。
3.7持续改进
为提高性能的反复活动。
3.8控制
改变风险的措施。
3.9控制目标
描述控制的实施结果所达到目标的声明。
3.10纠正
消除已查明的不符合的措施。
3.11整改措施
消除不符合的措施。
3.12文档化信息
组织需要控制和维护的信息及其载体。
注1:
文档化信息可以采用任何格式,在任何载体中,出自任何来源。
注2:
文档化信息可能涉及
——管理体系,包括相关过程;
——为组织运作所创建的信息(文档);
——结果实现的证据(记录)。
3.13有效性
实现所计划活动和达成所计划结果的程度。
3.14信息安全
对信息的保密性、完整性和可用性的保持。
3.15信息安全持续性
确保信息安全持续作用的过程和规程。
3.16信息安全事态
识别到一种系统、服务或网络状态的发生,表明可能违法信息安全策略或控制失效,或者一种可能与信息安全相关但还不为人知的情况。
3.17信息安全事件
单一或一系列不希望或意外的,极有可能损害业务运行和威胁信息安全的信息安全事态。
3.18信息安全事件管理
发现、报告、评估、响应、处理和总结信息安全事件的过程。
3.19信息系统
应用、服务、信息技术资产或其他信息处理组件。
3.20管理体系
组织中相互管理或相互作用的要素集,用来建立策略和目标以及达到这些目标的过程。
3.21测量
确定一个值的过程。
3.22监视
确定系统、过程或活动状态的行为。
3.23不符合
对要求的不满足。
3.24过程
将输入转换成输出的相互关联或相关作用的活动集。
3.25评审
针对实现所设立目标为主题,为确定其适宜性、充分性和有效性而采取的活动。
3.26风险
对目标不确定性影响。
3.27利益相关方
对于一项决策或活动,可能对其产生影响,或被其影响,或认为自己受到影响的人或组织。
3.28信息安全管理体系项目ISMS
组织为实施ISMS所开展的结构化项目。
3.29信息处理设施
任何的信息处理系统、服务或基础设施,或者其安置的物理位置。
第四章组织环境
4.1理解组织及其环境
4.1.1建立、保持和实施《组织环境和相关方控制程序》,公司通过收集信息、识别、分析和评价确认影响公司信息安全管理体系预期结果的能力相关的外部和内部因素,外部、内部因素分析结果为确定以下事项提供依据:
a)确定管理体系范围;
b)建立管理体系;
c)确定应对风险和机会的措施;
d)管理评审输入。
4.1.2评价公司外部因素可以包括,但不限于:
a)社会和文化、政治、法律法规、财务、技术、经济、自然和竞争环境,无论国际、国内、区域和当地;
b)影响公司目标的动力和趋势;
c)与外部利益相关方的关系,以及它们的感受和价值观。
4.1.3评价组织内部因素可以包括,但不限于:
a)管理方法、组织结构、作用和责任;
b)方针、目标,以及为实现它们所制定的战略;
c)以资源和知识来理解的能力;
d)信息系统、信息流和决策过程(正式或非正式);
e)与内部利益相关方的关系,以及它们的感受和价值观;
f)组织的文化;
g)被组织采用的标准、指南和模型;
h)合同关系的形式和范围。
4.1.4在确定这些相关要素时,公司通过实施、策划应对风险的机遇和措施,通过适宜的方法对这些内部和外部因素的相关信息进行监视和评审,确保充分识别风险,消除风险,降低或减缓风险,充分利用可能的发展机遇,保证实现公司信息安全管理体系预期结果。
4.2理解相关方的需求和期望
4.2.1公司确定与信息安全管理体系有关的相关方及相关方的要求,此类相关方包括但不限于以下方面:
客户、最终使用者、主管部门、其他,如:
股东、员工等。
4.2.2公司确定相关方,通过收集、询问、调查等方式了解相关方的要求(要求包含法律、法规和合同义务)。
4.2.3公司定期对这些相关方及其要求的相关信息进行监视和评审。
4.2.4相关方及其需求和期望的分析结果为以下方面提供输入:
a)确定管理体系范围
b)建立管理体系
c)确定应对风险和机会的措施
d)管理评审输入。
4.2.5公司定期更新确定的结果,以便于理解和满足影响顾客要求和顾客满意度的需求和期望。
4.2.6公司要识别应对当前的和预期的未来需求可导致改进和变革的机会。
4.3确定信息安全管理体系范围
公司信息安全管理体系范围包含公司活动中所有内容,范围包括经营业务(软件开发、企业信息化建设、网站建设、广告设计等)、公司场所、影响公司信息安全管理的内部外部因素、相关方的要求。
公司通过管理手册、程序文件、文件记录、规章制度来有效维护公司信息安全管理体系。
4.4信息安全管理体系
本公司按照GB/T22080-2016/ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系要求》的要求,建立、实现、维护和持续改进信息安全管理体系。
第五章领导
5.1领导和承诺
最高管理层通过以下活动,证实对信息安全管理体系的领导和承诺:
a)建立了信息安全方针和信息安全目标,并与公司战略方向一致;
b)将信息安全管理体系要求整合到了组织过程中;
c)资源满足公司信息安全管理体系;
d)通过培训教育、宣传等方式传达信息安全管理体系要求的重要性;
e)确保信息安全管理体系达到预期结果;
f)指导并支持相关人员为信息安全管理体系的有效性做出贡献;
g)促进持续改进;
h)支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。
5.2方针
5.2.1为提高本公司的信息安全管理水平,保障公司和客户信息安全,本公司建立了信息安全管理制度,制定了信息安全方针。
5.2.2信息安全方针:
满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。
(见本手册:
05方针、目标)
5.2.3公司制定的信息安全方针:
a)与公司意图相适宜;
b)包括信息安全目的或为设定信息安全目的提供框架;
c)包括对满足适用的信息安全相关要求的承诺;
d)包括对持续改进信息安全管理体系的承诺。
5.2.3沟通信息安全方针
a)信息安全方针以文件的形式进行了发布(见本手册:
05方针、目标),以便让员工及时知晓。
b)公司应将信息安全方针对全体员工进行宣讲、教育,确保每个员工熟悉、理解并贯彻执行。
c)必要时,信息安全方针向相关方提供,告知相关方。
d)公司应通过管理评审对信息安全方针进行适宜性评审和修订,以反映不断变化的内部、外部条件和信息。
5.3组织的角色、责任和权限
5.3.1总则
为便于信息安全管理体系的有效运行,公司明确规定各层次各部门人员的职责和权限,并形成文件,以保证信息安全管理体系充分、有效地实施。
管理者应确保为信息安全管理体系的建立、实施、保持和改进提供必要的资源。
资源包括人力资源和信息处理设施以及技术和财力资源。
5.3.2组织框架
公司组织机构由领导层、信息安全管理委员会、综合部、业务部、技术部、财务部组成,公司组织机构图见附录二。
5.3.3人员及部门职责和权限如下:
5.3.3.1总经理
a)拟订公司中长期发展规划、公司年度经营计划、公司经营管理制度并负责实施。
b)领导公司建立各级组织机构,并按公司战略规划进行机构调整。
c)领导公司制定各种规章制度,并深入贯彻实施。
d)主持公司日常经营管理;确定公司组织机构并确定部门职责,协调公司内外关系。
e)负责建立、实施、保持信息安全管理体系并持续改进其有效性,确认公司信息安全管理方针、目标的建立和实施。
f)决定各职能部门负责人的任免、报酬、奖惩。
g)加强企业文化建设,搞好社会公共关系,树立公司良好的社会形象。
h)总经理是公司的第一责任人,对整个公司的经营业绩负责。
5.3.3.2管理者代表
a)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
b)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;
c)负责与信息安全管理体系有关的协调和联络工作;
d)负责确保管理手册的宣传贯彻工作;
e)负责管理体系运行及持续改进活动的日常督导;
f)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;
g)主持公司内部审核活动,任命内部审核人员;
h)代表公司就公司管理体系有关事宜与外部进行联络。
5.3.3.3综合部
a)编制员工培训计划,组织员工技能培训;
b)负责公司员工档案管理及人员招聘及签署保密协议;
c)编制《员工手册》,对公司各部门人员的绩效评估、奖惩及晋升之审核与呈报;
d)负责公司文件记录管理;
e)公司办公用品采购、发放;
f)外部审核和内部审核的参与;
g)负责供方评审;
h)对信息安全日常工作实施动态考核,将信息安全管理作为企业管理的重要工作内容;
i)负责收集信息安全方面相关的法律法规及标准,并将相关信息及时传达到各部门,组织相关培训。
5.3.3.4技术部
a)负责技术部的日常工作,制定工作计划和信息管理的有关办法;
b)组织制定信息安全管理工作的有关细则;
c)负责公司网络安全和信息安全工作;
d)统筹软件开发及应用;
e)负责网站搭建;
f)负责广告设
升级会员 