HXZN-ISMS-A-01信息安全管理手册.doc

HXZN-ISMS-A-01信息安全管理手册.doc

《HXZN-ISMS-A-01信息安全管理手册.doc》由会员分享，可在线阅读，更多相关《HXZN-ISMS-A-01信息安全管理手册.doc（29页珍藏版）》请在冰豆网上搜索。

福建省宏祥智能科技有限公司

文件编号

HXZNKJ-ISMS-A-01

信息安全管理手册

文件版次

1.0

密级

敏感

宏祥智能科技有限公司

信息安全管理手册

Ver1.0

发布日期

2013年03月27日

发布部门

信息安全小组

实施日期

2013年04月15日

修改记录

修改标识

修改记录

审批记录

文件修改记录

修改处数

修改人

修改日期

批准人

批准日期

A

0

林阿兰

2013年3月27日

吴桂祥

2013年4月15日

修订类型说明说明：

A（Add）新增，C（Change）修改D（Del）删除

目录

颁布令 ivv

授权书 v

0前言 1

1范围 1

1.1总则 1

1.2应用 1

2规范性引用文件 2

3术语和定义 2

3.1术语 2

3.2缩写 2

4信息安全管理体系 2

4.1总要求 3

4.2建立和管理信息安全管理体系 4

4.3文件要求 12

5管理职责 15

5.1管理承诺 15

5.2资源管理 16

6内部信息安全管理体系审核 17

6.1总则 17

6.2内审策划 18

6.3内审员 18

6.4内审实施 19

7管理评审 19

7.1总则 19

7.2评审输入 20

7.3评审输出 20

8信息安全管理体系改进 21

8.1持续改进 21

8.2纠正措施 21

8.3预防措施 22

附录1-组织概况 23

附录2-组织机构图 24

附录3-职能分配表 25

附录4-信息安全小组成员 28

附录5-方针文件清单 29

附录6-程序文件清单 30

附录7-公司外部环境、内部环境及网络图 31

颁布令

历时三个月，经公司全体员工的共同努力依据ISO/IEC27001：

2013标准建立的福建省宏祥智能科技有限公司信息安全管理体系已得到建立。

指导管理体系运行的公司《信息安全管理手册》经评审后，现予以批准发布。

《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的企业信息管理软件开发 ，以确立公司在社会上的良好信誉。

《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在企业信息管理软件开发 过程必须遵循的行动准则。

《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。

本手册自2013年4月15日正式实施。

总经理：

吴桂祥

2013年03月30日

授权书

为贯彻执行ISO/IEC27001：

2013《信息安全管理体系》，加强对信息管理体系运行的领导，特授权：

1.授权林长江为公司管理者代表，其主要职责（角色）和权限为：

1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。

确保信息安全业务风险得到有效控制。

2）向最高管理者报告信息安全管理体系业绩（绩效）和任何改善需求，为最高管理层评审提供依据。

3）确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。

4）在信息安全管理体系事宜方面负责与外部的联络。

2.授权吴进论为ISMS信息安全管理项目责任人，其主要职责（角色）和权限为：

确保信息安全管理方的控制措施得到形成、实施、运行和控制。

3.授权各部门主管为信息安全管理体系在本部门的责任人，对ISMS要求在本部门的实施负责。

总经理：

吴桂祥

2013年3月30日

第4页

厦门文创电子有限公司｜

版权所有

福建省宏祥智能科技有限公司

文件编号

HXZNKJ-ISMS-A-01

信息安全管理手册

文件版次

1.0

密级

敏感

0前言

福建省宏祥智能科技有限公司《信息安全管理手册》（以下简称本手册）依据ISO/IEC27001：

2013《信息技术-安全技术-信息安全管理体系-要求》，参照ISO/IEC27002:

2005《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。

本手册对本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。

1范围

1.1总则

为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

1.2应用

1.2.1覆盖范围

本信息安全体系认证的业务范围为：

计算机软件设计开发的信息安全管理。

物理范围：

晋江市青阳曾井小区八八商业城2G

本信息安全策略适用于整个信息安全管理体系（ISMS），范围包括：

Ø属于公司的一切受知识产权保护的信息；

Ø属于公司所有雇员的相关个人信息

Ø公司持有一切相关客户资料信息

Ø公司持有的一切相关企业资料信息

Ø公司持有的一切关于供应商及合作伙伴的资料信息

Ø公司持有的一切合同信息

Ø属于公司的一切相关信息系统的物理实体

Ø公司所属的一切人员、IT系统，设备，文档，公司规章制度以及其他的信息和信息载体。

1.2.2删减说明

本《信息安全管理手册》采用了ISO/IEC27001:

2005标准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明SoA》。

2规范性引用文件

下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。

凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本《信息安全管理手册》，然而，信息安全管理小组应研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件、其最新版本适用于本《信息安全管理手册》。

ISO/IEC27001：

2013《信息技术-安全技术-信息安全管理体系-要求》

ISO/IEC27002:

2005《信息技术-安全技术-信息安全管理实用规则》

3术语和定义

3.1术语

ISO/IEC27001：

2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC27002:

2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义以及下述定义适用于本《信息安全管理手册》。

本组织、本公司、我公司：

均指福建省宏祥智能科技有限公司。

3.2缩写

ISMS：

InformationSecurityManagementSystems信息安全管理体系；

SoA:

：

StatementofApplicability适用性声明；

PDCA:

：

PlanDoCheckAction计划、实施、检查、改进。

4信息安全管理体系

4.1总要求

4.1.1要求

本公司在涉及企业信息管理软件开发，按ISO/IEC27001：

2013《信息技术-安全技术-信息安全管理体系-要求》规定，参照ISO/IEC27002:

2005《信息技术-安全技术-信息安全管理实用规则》标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。

4.1.2PDCA模型

信息安全管理体系使用的过程基于图1所示的PDCA模型。

建立

ISMS

实施和运

行

ISMS

保持和改

进

ISMS

监视和评

审

ISMS

相关方

信息安全

要求和期望

相关方

受控的

信息安全

规划

P

lan

检查

Check

处置

Act

实施

Do

图1信息安全管理体系PDCA模型

4.2建立和管理信息安全管理体系

4.2.1建立信息安全管理体系

4.2.1.1信息安全管理体系的范围和边界

本公司根据业务特征、组织结构、地理位置、资产和技术确定了ISMS的范围和边界：

a）ISMS的范围是：

嵌入式系统软件的设计开发及软件外包服务的信息安全管理。

《信息安全管理手册》采用了ISO/IEC27001：

2013标准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明SoA》；

b）ISMS的边界是：

晋江市青阳曾井小区八八商业城2G；（详见《附录7-公司外部环境、内部环境及网络图》）

4.2.1.2信息安全管理体系的方针

4.2.1.2.1方针

为保护本公司的相关信息资产（包括软硬件设施、数据和信息）的安全，维护其保

密性、完整性和可用性,使其免于因外在的威胁或者内部管理不善而遭受泄密、破坏或

者遗失的风险，公司特制定以下信息安全管理方针，以供全体员工共同遵循。

预防为主，共筑信息安全；完善管理，赢得顾客信赖。

内涵：

1.风险可预防、可规避。

在信息安全管理过程中，根据风险评估准则评估信息资

产所面临的风险并对可能的风险实施有效控制措施，以确保风险被降低或消除。

全体员工应当积极参与风险预防工作。

2.信息安全管理的重点是人员有意识的维护公司信息资产安全。

全体员工应本着

主人翁精神，群策群力，共同构筑公司信息安全。

3.公司遵守信息安全的相关法令、法规、业界方针及规范，建立信息安全管理体

系。

通过全体员工的持续努力来完善体系，通过切实的控制措施来保障公司及顾客的信息安全。

4.信息安全，是公司正常经营活动的重要保障，是客户信赖的基础，也是我们认

同的一种社会责任。

公司通过完善的管理，赢得顾客的信赖，以此保障公司业务的持续发展。

此方针由信息安全委员会评审通过，并经总经理审批发布。

全体员工都应当充分认

识到信息安全的重要性，并身体力行地致力于保护工作，为不断提高顾客信任度而努力。

公司信息安全委员会负责对[信息安全性方针]的有效性进行评价，必要时对其修改，并不断改善，以确保该信息安全方针符合现行需求。

ISMS工作组应通过编写和审核文件化的程序来落实此方针的要求。

全体员工都有责任报告所发现的信息安全意外事故或信息安全弱点。

4.2.1.2.2要求

本公司信息安全管理体系方针符合以下要求：

a）为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；

b）识别并满足适用法律、法规和相关方信息安全要求；

c）与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；

d）建立了风险评价的准则；

e）经总经理批准，并定期评审其适用性、充分性，必要时予以修订。

4.2.1.2.3承诺

为实现信息安全管理体系方针，本公司承诺：

a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；

b）识别并满足适用法律、法规和相关方信息安全要求；

c）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；

d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；

e）对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；

f）制定并保持完善的业务连续性计划，实现可持