ISO27001信息安全管理手册.docx
《ISO27001信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册.docx(38页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理手册
ISO27001:
2013
科技有限公司
信息安全管理手册
编号:
HB-ISMS-M01(A)
状态:
编写:
2020年4月1日
审核:
2020年4月1日
批准:
2020年4月1日
发布版次:
第A/0版
2020年4月1日
生效日期
2020年4月1日
分发:
各部门
接受部门:
所有部门
变更记录
变更日期
版本
变更说明
编写
审核
批准
00目录
00目录3
01颁布令5
02管理者代表授权书6
03企业概况7
04手册的管理8
信息安全管理手册9
a)范围9
b)规范性引用文件10
c)术语和定义10
3.1本公司10
3.2信息系统10
3.3计算机病毒10
3.4信息安全事件10
3.5相关方10
4组织环境10
4.1理解组织及其环境11
4.2理解相关方的需求和期望11
4.3确定信息安全管理体系的范围11
4.4信息安全管理体系11
5领导14
5.1领导和承诺14
5.2方针14
5.3组织角色、职责和权限14
6规划14
6.1应对风险和机会的措施14
6.1.1总则14
6.1.2信息安全风险评估15
6.1.3信息安全风险处置15
6.2信息安全目标和实现规划16
7支持17
7.1资源17
7.2能力17
7.3意识17
7.4沟通17
7.5文件化信息17
7.5.1总则17
7.5.2创建和更新18
7.5.3文件化信息的控制18
8运行19
8.1运行规划和控制19
8.2信息安全风险评估19
8.3信息安全风险处置19
9绩效评价19
9.1监视、测量、分析和评价19
9.2内部审核20
9.3管理评审21
10改进21
10.1不符合和纠正措施21
10.2持续改进22
附录A:
信息安全管理组织结构图1
附录B:
信息安全管理职责表2
附录C:
信息安全管理程序文件清单4
01颁布令
为提高公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了公司《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、法规要求及GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2020年4月1日起实施。
企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
2020年4月1日
02管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.负责组织编写和批准发布程序文件,负责年度培训计划、支持性文件的审批。
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7.向总经理报告信息安全管理体系的运行情况和所有改进要求,包括内外部审核情况。
本授权书自任命日起生效执行。
总经理:
2020年4月1日
03企业概况
1信息安全管理手册的批准
行政部负责组织编制《信息安全管理手册》,总经理负责批准。
2信息安全管理手册的发放、更改、作废与销毁
a)行政部负责按《文件管理程序》的要求,进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管;
c)行政部按照规定发放修改后的《信息安全管理手册》,并收回失效的文件做出标识统一处理,确保有效文件的唯一性;
d)行政部保留《信息安全管理手册》修改内容的记录。
3信息安全管理手册的换版
当依据的GB/T22080-2016/ISO/IEC27001:
2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时,应对《信息安全管理手册》进行换版。
换版应在管理评审时形成决议,重新实施编、审、批工作。
4信息安全管理手册的控制
a)本《信息安全管理手册》标识分受控文件和非受控文件两种:
——受控文件发放范围为公司领导、各相关部门的负责人、内审员(除总经理、行政部存档外,其他相关人员均以电子版形式发放);
——非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《信息安全管理手册》有书面文件和电子文件,电子版本文件的有效格式为WORD文档保护格式。
信息安全管理手册
a)范围
从组织环境的角度考虑,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
本信息安全管理手册从组织环境的角度规定了公司信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。
本信息安全管理手册适用于:
公司:
计算机软件开发相关的信息安全管理活动。
。
本信息安全管理手册采用了GB/T22080-2016/ISO/IEC27001:
2013标准正文的全部内容,其中对标准规范附录A的删减见《适用性声明SOA》。
b)规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。
凡是标注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,相关部门应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-概述和词汇》
GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》
ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》
c)术语和定义
GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-概述和词汇》中
规定的术语和定义适用于本《信息安全管理手册》。
3.1本公司
指上北京神州云动科技股份有限公司。
3.2信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.3计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.4信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
3.5相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。
主要为:
政府、上级部门、供方、用户等。
4组织环境
4.1理解组织及其环境
组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题
注:
确定这些问题涉及到建立组织的外部和内部环境。
4.2理解相关方的需求和期望
组织应确定:
与信息安全管理体系有关的相关方;
这些相关方与信息安全有关的要求。
注:
相关方的要求可能包括法律法规要求和合同义务。
4.3确定信息安全管理体系的范围
本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:
a)公司:
计算机软件开发相关的信息安全管理活动。
b)与所述活动相关的信息系统;
c)与所述活动相关的各部门(包括行政部,财务部,研发部,市场部)的所有员工;
d)所述活动、产品包含的全部信息资产(不在体系覆盖范围内的相关部门,以公司内部相关方形式出现)。
组织范围:
本公司信息安全管理体系适用的组织范围,见附录A(规范性附录)《组织机构图》。
4.4信息安全管理体系
本公司在日常经营管理活动中,按GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》规定,建立、实施、保持和持续改进信息安全管理体系。
信息安全管理体系使用的过程基于图1所示的PDCA模型。
图1信息安全管理体系模型
4.2总则
本公司信息安全管理体系文件包括:
a)文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;
b)《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);
c)本手册要求的《信息安全风险识别与评价管理程序》、《业务持续性管理程序》、《纠正预防措施管理程序》等支持性程序;
d)信息安全管理体系引用的支持性程序。
如:
《文件管理程序》、《记录管理程序》、《内部审核管理程序》等;
e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录类文件;
g)相关的法律、法规和信息安全标准;
h)适用性声明(SOA)。
4.4.1.1文件控制
行政部组织制定并实施《文件管理程序》,对信息安全管理体系所要求的文件进行管理。
对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应保证:
a)文件发布前得到批准,以确保文件是充分的;
b)当文件实施更改时,对文件进行评审、更新并再次批准;
c)确保文件的更改和现行修订状态得到识别;
d)确保在使用时,可获得相关文件的最新版本;
e)确保文件保持清晰、易于识别;
f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g)确保外来文件(指与公司经营有关的一切外部文件)得到识别;
h)确保文件的分发得到控制;
i)防止作废文件的非预期使用;
j)若因任何目的需保留作废文件时,应对其进行适当的标识。
4.4.1.2记录控制
4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。
行政部负责组织制定并维持易读、易识别、可方便检索又考虑法律、法规要求的《记录管理程序》,规定记录的标识、储存、保护、检索、保管、废弃等事项。
4.3.3.2信息安全管理体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事件(事故)的记录。
4.3.3.3各部门应根据《记录管理程序》的要求采取适当的方式妥善保管信息安全记录。
5领导
5.1领导和承诺
高层管理者应通过以下方式展示其关于信息安全管理体系的领导力和承诺:
a)建立信息安全方针和信息安全目标(见本手册第04章);
b)确保将信息安全管理体系要求整合到组织的业务过程中;
c)确保信息安全管理体系所需资源可用(见本手册第7.1章);
d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;
e)确保信息安全管理体系实现其预期结果;
f)指挥并支持人员为信息安全管理体系的有效实施做出贡献;
g)促进持续改进;
h)支持其他相关角色在其职责范围内展示他们的领导力。
5.2方针
高层管理者应建立信息安全方针。
(见信息安全方针目标文件)
5.3组织角色、职责和权限
本公司总经理为信息安全最高责任者。
总经理指定了信息安全管理者代表。
无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:
a)建立并实施信息安全管理体系必要的程序并维持其有效运行;
b)对信息安全管理体系的运行情况向总经理报告。
c)对各部门的信息安全管理体系的运行情况在公司内部进行通告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按信息安全管理体系的要求自觉履行信息安全义务;
各部门、人员有关信息安全职责分配见附录C(规范性附录)《信息安全管理职责明细表》和附录D《职责分配权限表》。
6规划
6.1应对风险和机会的措施
6.1.1总则
当规划信息安全管理体系时,要考虑公司面临的内外部问题、相关方的要求和期望,确定需要应对的风险和机会。
a)确保信息安全管理体系能实现其预期效果;
b)防止或减少意外的影响;
c)实现持续改进。
组织应规划:
d)应对这些风险和机会的措施;
e)如何
i.整合和实施这些措施并将其纳入信息安全管理体系过程;
ii.评价这些措施的有效性。
6.1.2信息安全风险评估
相关部门负责组织制定《信息安全风险识别与评价管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。
信息安全风险评估依据《信息安全风险识别与评价管理程序》进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
1)识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险识别与评价管理程序》识别与信息保密性、完整性和可用性损失有关的风险,并确定每个风险的负责人。
2)分析和评价风险
本公司按《信息安全风险识别与评价管理程序》规定,分析风险发生的可能性和可能导致的潜在后果,并计算风险等级。
根据风险接受准则,判断风险为可接受或需要处理。
6.1.3信息安全风险处置
组织相关部门根据风险评估的结果,对风险进行处置,确定风险控制措施。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)控制风险,采用适当的内部控制措施;
b)接受风险(不可能将所有风险降低为零,但可控制到可接受范围内);
c)避免风险(如物理隔离);
d)转移风险(如将风险转移给保险者、供方、分包商)。
控制措施的选择原则来源于GB/T22080-2016/ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》附录A。
本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
对风险处置计划要得到风险负责人的批准,风险处置后的剩余风险,也要得到风险责任人的批准。
相关部门负责组织编制《信息安全适用性声明》(SOA)。
该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述,以及选择的原因;
b)对GB/T22080-2016/ISO/IEC27001:
2013附录A中未选用的控制目标及控制措施理由的说明。
6.2信息安全目标和实现规划
公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标,并在全公司发布,参见信息安全方针目标文件。
7支持
7.1资源
本公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需资源。
7.2能力
公司相关部门组织制定并实施《人力资源管理程序》文件,达到以下要求:
a)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;
b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d)保留适当的文件化信息作为能力的证据。
注:
适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员。
7.3意识
公司通过培训、教训等措施,保证工作人员了解:
a)信息安全方针;
b)其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;
c)不符合信息安全管理体系要求带来的影响。
7.4沟通
公司制定了信息安全沟通管理程序,明确了信息安全管理体系相关的内部和外部的沟通需求,包括:
a)沟通内容;
b)沟通时间;
c)沟通对象;
d)谁应负责沟通;
e)影响沟通的过程。
7.5文件化信息
7.5.1总则
本公司信息安全管理体系文件包括:
a)文件化的信息安全方针目标;
b)《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);
c)本手册要求的《信息安全风险识别与评价管理程序》、《业务持续性管理程序》、《纠正预防措施管理程序》等支持性程序;
d)信息安全管理体系引用的支持性程序。
如:
《文件管理程序》、《记录管理程序》、《内部审核管理程序》等;
e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录类文件;
g)相关的法律、法规和信息安全标准;
h)适用性声明(SOA)。
7.5.2创建和更新
公司相关部门制定并实施《文件管理程序》,创建和更新文件化信息时,应确保适当的:
a)标识和描述(例如标题、日期、作者或编号);
b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);
c)对适宜性和充分性的评审和批准。
7.5.3文件化信息的控制
公司相关部门制定并实施《文件管理程序》,对信息安全管理体系所要求的文件进行控制。
对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件化信息控制应确保:
a)在需要的地点和时间,是可用和适宜的;
b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
为控制文件化信息,适用时,组织应开展以下活动:
c)分发,访问,检索和使用;
d)存储和保护,包括保持可读性;
e)控制变更(例如版本控制);
f)保留和处置。
组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。
注:
访问隐含着允许仅浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。
8运行
8.1运行规划和控制
公司应针对满足信息安全要求及实施确定的控制措施制定相关的程序和规章制度,所需的过程予以规划、实施和控制。
组织也应实施计划以实现6.2中确定的信息安全目标。
公司应详细记录信息安全管理体系运行过程中的各种信息数据,以确保信息安全管理体系是否正在按照计划有效运行。
当公司信息安全方针、目标、工作计划和程序、控制措施等发生变更时,应进行管理。
计划的变更要按照计划进行控制;非预期的变更要评审变更的影响,确保变更没有负面的影响,必要时采取措施减轻负面影响。
公司目前没有外包过程。
8.2信息安全风险评估
相关部门按照6.1.2章的风险接受准则和风险评估方法,每年至少进行一次风险评估,并产出风险评估报告。
当重大变更提出或发生时,也需要执行信息安全风险评估。
8.3信息安全风险处置
相关部门按照6.1.3章的信息安全风险处置计划进行实施,并按照风险接受准则评价实施效果,对风险处理后的残余风险,得到风险负责人的批准。
9绩效评价
9.1监视、测量、分析和评价
本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验;
根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。
管理评审的具体要求,见本手册第9.3章。
组织应记录可能对信息安全管理体系有效性或业绩有影响的活动和事情,并进行分析,分析结果上报管理者代表。
9.2内部审核
组织应建立并实施《内部审核管理程序》,《内部审核管理程序》应包括策划和实施审核以及报告结果和保持记录的职责和要求。
并按照策划的时间间隔进行内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:
a)符合本标准的要求;
b)组织自身对信息安全管理体系的要求;
c)得到有效地实施和保持
应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。
应编制内审年度计划,确定审核的准则、范围、频次和方法。
每次审核前,内审组长应策划编制内审计划,确定审核的准则、范围、日程和审核组。
审核员的选择和审核的实施应确保审核过程的客观性和公正性。
审核员不应审核自己的工作。
应按审核计划的要求实施审核,包括:
a)进行首次会议,明确审核的目的和范围,采用的方法和程序;
b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;
c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;
d)审核组长编制审核报告。
对审核中提出的不符合项报告,责任部门应编制纠正措施,由行政部组织对受审部门的纠正措施的实施情况进行跟踪、验证;
按照《记录管理程序》的要求,保存审核记录。
内部审核报告,应作为管理评审的输入之一。
9.3管理评审
总经理为确认信息安全管理体系的适宜性、充分性和有效性,每年对信息安全管理体系进行一次评审。
该管理评审应包括对信息安全管理体系是否需改进或变更的评价,以及对安全方针、安全目标的评价。
管理评审的结果应形成书面记录。
在管理评审时,管理者代表应组织相关部门提供以下资料,供最高责任者和信息安全委员会进行评审:
a)以往管理评审要求采取措施的状态;
b)与信息安全管理体系相关的外部和内部情况的变化
升级会员 