ISO27001信息安全管理手册.docx
《ISO27001信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册.docx(36页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理手册
信息安全管理手册
1.概述
为提高服务质量,规范管理活动,保障系统安全运行,提升人员安全意识水平,XXXXXX软件有限公司(以下简称“公司”)依据信息安全管理标准《GB/T22080-2016/ISO/IEC27001:
2013信息技术安全技术信息安全管理体系要求》的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。
1.1目的
本总纲为公司信息安全管理体系的纲领性文件,描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。
通过建立策划(P)执行(D)检查(C)改进(A)的持续改进机制,不断提高公司的信息安全管理水平,确保日常信息安全管理活动的安全、稳定、高效,提升企业核心竞争力。
1.2适用范围
本总纲所描述信息安全管理体系适用于公司所有部门,所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。
1.3颁布令
为提高信息安全管理水平,贯彻落实“以客户为中心,将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。
”的基本方针,保障公司的生产、经营、服务和日常管理活动,防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,公司特依据《GB/T22080-2016/ISO/IEC27001:
2013信息技术安全技术信息安全管理体系要求》标准要求,建立了文件化的信息安全管理体系。
本体系是信息安全管理的纲领性文件,是指导公司建立并实施信息安全管理体系的纲领和行动准则,用于贯彻信息安全管理方针,实现信息安全管理体系的有效运行和持续改进。
全体员工必须严格按照本总纲的要求,自觉贯彻管理方针,严格执行本总纲的各项规定,努力实现公司生产运行和日常办公的安全。
并传达给外部相关方。
本手册自颁布之日起生效执行。
公司总经理:
XXXX
二零一七年七月一日
1.4授权书
为了贯彻执行信息安全管理体系,满足《GB/T22080-2016/ISO/IEC27001:
2013信息技术安全技术信息安全管理体系要求》的要求,加强对信息安全管理体系建设和持续运行的领导工作,特任命XXX先生为公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1)领导信息安全管理体系的建立、运行和维护,开展资产识别和风险评估;
2)协调与信息安全管理体系有关的各项工作;
3)确保提高员工信息安全意识;
4)督促信息安全管理体系内部审核和信息安全检查的开展;
5)协助最高管理者进行信息安全管理体系的管理评审;
6)向最高管理者报告信息安全管理体系的业绩和改进要求。
本授权书自任命日起生效执行。
公司总经理:
XXX
二零一七年七月一日
2.依据文件和术语
2.1依据文件
本总纲的制定参考并依据了下列文件资料,详见《符合性实施制度》。
1)法律法规:
是指我国颁布的、所有相关且具有约束和指导作用的法律、法规;
2)监管规定:
是指证监会及其分支机构颁布的具有约束和指导作用的所有文件、规定等;
3)文件:
公司下发的对信息业务系统、信息安全管理等有约束力和指导作用的所有文件;
4)国际惯例:
是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和指导作用的国际通用惯例;
5)标准:
Ø《GB/T22080-2016/ISO/IEC27001:
2013信息技术安全技术信息安全管理体系要求》;
2.2术语定义
1)信息安全:
对信息的机密性、完整性和可用性的保护;
2)机密性:
确保信息仅供给那些获得授权的人使用;
3)完整性:
保护信息及信息处理方法的准确性和完全性;
4)可用性:
确保获得授权使用该信息及信息系统的人能及时、可靠地使用;
5)风险评估:
评估信息及信息处理系统所存在的或可能产生的威胁、影响和薄弱环节,是风险分析和风险评价的全过程;
6)风险管理:
指导和控制组织通过区分、控制、减少或去除等方法将风险控制在可承受范围内的活动;
3.裁剪说明
《GB/T22080-2016/ISO/IEC27001:
2013信息技术安全技术信息安全管理体系要求》的条款与公司信息安全管理体系的适用关系,详见《信息安全管理体系适用性声明(SOA)》。
4.组织环境
4.1组织环境描述
1、内外部组织关系
XXXXXX软件有限公司成立于2001年,是中国领先的呼叫中心与云计算应用服务提供商。
公司倡导“人性化科技帮助客户提升业绩”,致力于帮助企业利用云计算技术,以客户为中心,协同各种经营资源,改善营销流和服务流,从而提高人均产值,重塑客户体验。
XX软件是中国云计算应用/SaaS、PaaS应用的先驱,从2005年即开始研发云计算SaaS产品,拥有上百人的云计算专业研发队伍、国内一流的云计算业务咨询顾问和运营服务团队,拥有50余项自主知识产权。
总经理应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
公司内部问题包括:
a)人员流动、人员意外伤害、人员故意泄密、违反规章制度泄密、人员无知泄密、网络管理者安全保密意识不强造成网络管理的漏洞;
b)病毒的侵袭、黑客的非法闯入、数据"窃听"和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗、系统权限滥用;
c)电脑丢失或被盗用、意外断电、XX的系统访问、设备故障、介质使用或处置不当造成泄密;
d)文档资料被虫咬、火灾、受潮、丢失、非预期有使用或滥用;
f)第三方服务的崩溃、缺乏对服务的监控;
公司外部问题包括:
a)广大中小企业、行业与事业单位用户对于信息安全的意识淡漠;
b)自然灾害;
c)意外事故;
d)行业竞争激烈;
e)社会的不安定因素;
2、法律法规环境
公司应遵循信息安全法律法规要求和义务,避免员工违反法律、法规的要求,控制相关法律风险。
具体要求见《符合性实施制度》。
3、组织架构及部门职责
公司组织架构图如下,部门包括总经办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。
如下图所示:
1)总经办
负责协助总经理执行日常工作计划和其他工作安排;执行相关信息安全管理规章制度。
2)行政部
负责公司各项行政事务管理工作;完善公司内部控制制度建设;负责日常行政事务工作和办公设施、办公场所等管理工作;上级领导交办的其他工作;负责制定并执行相关信息安全管理的规章制度。
3)人力资源部
负责人力资源规划的制定、实施及完善;负责组织机构方案、人员编制、岗位评价方案的研拟与执行;负责培训体系、绩效考评体系的制定、实施及追踪;负责公司人力成本的预算及调控;部门费用预算的控制;负责企业文化的建立、宣传及推动;员工职业生涯的规划设计;负责员工的招聘、高级人才的引进;执行相关信息安全管理的规章制度。
4)商务采购部
负责公司第三方服务业务谈判及组织实施;负责各项第三方服务业务合同的保管、查询、建立合同档案,定期检查合同执行情况,不断完善合同的各项条款;负责各项第三方服务业务合同的签订、变更、执行、终止;负责各种促销活动方案中商户的协调和落实;执行相关信息安全管理的规章制度;
5)财务部
围绕公司的经营发展规划和工作计划,负责编制公司财务计划和费用预算,有效地筹划和运用公司资金;财务制度的建设和规范的制定;做好财务统计和会计账目、报表及年终结算工作,并妥善保管会计凭证,账簿、报表和其他档案资料;财务部日常管理工作,部门人员的管理、培训、考核;建立健全公司内部核算的组织、指导和数据管理体系,以及核算和财务管理的规章制度;做好公司各项资金的收取与支出管理工作;执行相关信息安全管理的规章制度。
6)产品部
为公司提供准确的行业定位,及时提供市场信息反馈;制定和实施年度产品推广计划和新产品开发计划(依据市场需求的变化,要提出合理化建议);依据市场变化要随时调整产品战略与营销战术(包括产品价格的调整等),并组织相关人员接受最新产品知识的培训;制定公司品牌管理与发展策略,维护公司品牌;管理、监督和控制市场政策执行情况;执行相关信息安全管理的规章制度。
7)销售部
负责产品或服务的销售工作;负责代理人市场的推广,特别是战略客户的市场推广策略并实施;负责制定并管理销售业务流程;负责对销售业务流程执行的监督;执行相关信息安全管理规章制度。
8)服务部
负责对本部门新员工的工作技能进行培训,并进行考核;负责云端产品部署、管理、维护、运营和服务运营质量的管理和提升工作;负责客户关系的维护、客户的技术培训、合同的执行,项目验收等相关工作;负责大数据的运营、自建呼叫中心平台及云端产品的客户业务和售后服务工作,保证客户的满意度;负责制定和执行服务运营及环境维护管理规章制度和相关信息安全管理的规章制度。
9)研发部
负责提供符合客户要求和认可的技术支持和解决方案;承担产品设计和开发工作;负责技术方案的评审工作,保证技术方案的可行性;负责组织和协调开发项目的资源,保证项目按计划进行;负责制定项目计划,并根据各种变化修改项目计划;制定有效的项目决策过程;负责实施项目的管理、开发、质量保证过程,确保客户的成本、进度、绩效和质量目标;负责确保在项目生命周期中遵循实施公司的管理和质量政策;负责招聘和培训必须的项目成员;负责确定项目的人员组织结构;进行风险管理;负责定期举行项目评估(review)会议;负责为项目所有成员提供足够的设备、有效的工具和项目开发过程;负责有效管理项目资源;负责制定并执行相关信息安全管理的规章制度。
10)测试部
负责协调业务管理体系下各部门工作;负责源代码及软件的完整性、可用性、功能、性能进行系统性测试;负责对各业务系统及运行环境进行系统性测试和安全性检测;负责对源代码资源系统管理及备份;负责制定并执行相关信息安全管理的规章制度。
4.2信息安全相关方的需求和期望
公司信息安全相关方包括认证单位、客户、供应商、内部部门及员工等。
各相关方的信息安全要求和期望均应及时识别,并在实际业务开展时应遵照执行。
相关方
识别原因
信息安全要求和期望
更新频率
识别方法
认证单位ISO27001
符合体系标准要求方可通过认证
相关资质的信息安全要求
认证标准发布周期
与认证单位联系
客户
合同关系
合同中要求的信息安全内容
合同要求更新周期
合同
供应商
合同关系
合同中要求的信息安全内容
合同要求更新周期
合同
内部部门及员工
信息安全工作执行层
各部门实际工作中的信息安全要求
个人隐私安全
不定期
安全会
4.3信息安全管理体系范围的确定
体系范围的确定主要考虑到公司的实际业务特点和资源的合理利用,在公司范围内建立信息安全管理体系,有利于全面的提高公司信息安全管理水平,保障业务稳定发展的需求。
●业务范围:
云呼叫中心软件平台的开发及运维、呼叫中心业务及相关信息服务;
●物理范围:
XX市XX区XX路XX号XX中心X座XXX室;
●资产范围:
支撑业务活动的文档、数据、软硬件系统、物理环境、人员及支持性第三方服务、无形资产(专利)等全部信息资产;
组织范围:
总经办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。
4.4体系概述
公司依据《GB/T22080-2016/ISO/IEC27001:
2013信息技术安全技术信息安全管理体系要求》的要求,同时考虑行业的特点,从业务需求出发,遵从风险管理的理念,注重过程管理,建立和实施信息安全管理体系,确保与信息安全相关的资源、技术、管理等因素处于受控状态,形成文件并加以实施、保持和持续改进,有效防范各类安全事故或人为有意的破坏事件,保障公司信息的保密性、完整性和可用性,确保各项业务的连续性。
公司依据整体业务活动和风险,按照GB/T22080-2016标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,将PDCA(Plan、Do、Check和Act)持续改进模型作为贯穿整个信息安全管理的主要指导思想。
如下图所示。
a)规划(建立ISMS):
建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织总方针和总目标相一致的结果;
b)实施(实施和运行ISMS):
实施和运行ISMS方针、控制措施、过程和程序;
c)检查(监视和评审ISMS):
对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审;
d)处置(保持和改进ISMS):
基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。
5.领导力
5.1领导力和承诺
由公司负责人授权管理者代表全权负责信息安全管理体系的日常工作,包括批准并正式发布各项制度、规定,建立体系推进组织,任命相关角色,协调与信息安全管理体系有关的各项工作(详见4.1.3组织架构及部门职责)。
公司总经理通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
a)建立信息安全方针(见《信息安全方针》);
b)确保信息安全目标和计划得以制定(见《信息安全目标》及相关记录);
c)提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第7.1章);
d)建立信息安全的角色和职责和相应的管理程序;
e)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
f)实施信息安全管理体系管理评审,确保信息安全管理体系达到其预期的效果(见本手册第9章);
g)指导和支持员工对信息安全管理体系做出有效的贡献;
h)确保内部信息安全管理体系审核得以实施,促进持续改进(见本手册第9章);
i)支持其他相关管理角色来展示自己的领导力,因为它适用于他们的职责范围。
5.2信息安全方针和目标
公司信息安全方针的制定考虑了以下方面的要求:
a)与公司信息安全管理意图相适宜;
b)作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则;
c)考虑公司业务发展、法律法规要求及其他相关方信息安全的要求;
d)包括对持续改进信息安全管理体系的承诺;
信息安全方针的批准、发布及修订由公司总经理负责,最终方针应形成文件化信息并可用;通过培训、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知相关方、客户群等,以提高安全保密意识及服务水平;并定期通过《管理评审控制程序》评审其适用性、充分性,必要时予以修订。
●信息安全方针:
以客户为中心,将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。
●信息安全目标:
为落实上述方针,公司定义如下信息安全目标:
1)全年不发生重大信息安全事件和二级以上运行安全事故;
2)重要保障时期不发生三级以上安全事件。
5.3组织角色、职责和权限
●信息安全管理体系负责人(工作小组组长):
1)负责组织建立、实施、保持和改进信息安全管理体系,保证信息安全体系的有效运行;
2)负责公司信息安全管理手册(一级)的审核,制度文件(二级)的审批;
3)组织并领导公司内部审核工作;
4)负责组织发起信息安全管理体系的管理评审工作;
5)负责向领导小组报告信息安全体系运行的业绩和任何改进的需求。
●信息安全工作小组:
1)负责本部门的信息安全管理工作,负责保护本部门所管理、使用的信息资产的安全;
2)负责指导和要求本部门员工遵守信息安全政策;
3)组织落实部门信息安全纠正措施(包括内部审核整改意见)和预防措施。
●公司全体员工:
1)严格遵守所有与信息安全相关的国家法律、法规和政策,遵守公司所有的信息安全政策,并签字承诺遵守保密协议的有关规定;
2)以安全负责的方式使用公司的信息资产;
3)积极参加信息安全教育与培训,提高信息安全意识;
4)有责任将违反信息安全政策的事件与行为及时报告给本部门信息安全管理员及其他相关人员。
6.策划
6.1应对风险和机会的措施
6.1.1总则
为建立和实施信息安全管理体系,公司信息安全管理采用过程方法,把与信息安全相关的资源和活动作为过程来管理,即应用PDCA过程方法,持续改进信息安全管理体系。
具体包括:
1)识别并确定信息安全管理体系相关的策略、目标、过程和制度,改进信息安全以达到期望的结果;
2)依据“过程模式”确定上述过程的顺序和相互关系;
3)将过程充分展开,明确信息安全控制点,编制形成信息安全管理体系文件;
4)配置适当的资源,提供必要的支持和信息,以保证过程的有效运作;持续测量、监控和分析这些过程,并进行必要的改进。
6.1.2风险评估及机遇
信息安全管理领导小组应定义并应用风险评估过程,识别影响业务的潜在风险及发展机遇以:
1.建立和维护信息安全风险标准,包括:
1)风险接受标准;
2)实施信息安全风险评估的标准。
2.确保信息安全风险评估活动一致性,产生有效的和可比较的结果;
3.识别信息安全风险:
1)在信息安全管理体系范围内,通过信息安全风险评估流程,识别由于信息的机密性、完整性和可用性的丧失带来的风险;
2)识别风险责任人。
4.分析信息安全风险:
1)评估识别的风险产生的潜在后果;
2)评估识别的风险转化为事件的可能性;
3)确定风险的等级。
5.评价信息安全风险:
1)将风险分析结果与所定义的风险标准进行比较;
2)根据风险等级确定风险处置的优先级。
6.1.3风险处置
信息安全管理领导小组应定义和实施信息安全风险处置过程:
1)依据风险评估的结论,选择适当的信息安全风险处置方式;
2)确定信息安全风险处置所需的各项控制措施;
3)将风险处置中所选的各项控制措施的和标准附录A中的控制措施进行比较,确保没有遗漏必要的控制措施;
4)制定具备必要控制措施的适用性声明SOA,适用性声明要包含必要的控制措施、对包含的控制措施的合理性说明(无论是否实施)以及对标准附录A控制措施删减的合理性说明;
5)制定信息安全风险处置计划;
6)需得到风险责任人对信息安全风险处置计划和残余风险接受的审核。
有关风险评估和处置的具体操作指导详见《风险评估管理制度》。
6.2目标实现过程
信息安全目标将通过对信息安全风险的来源识别、风险处置、风险跟踪验证、以及信息安全管理体系各流程的落地跟踪,举行不定期的安全评审会议的综合过程来实现,同时保留相关文档内容。
整体信息安全目标实现过程内容如下:
1.风险来源
1)日常信息安全风险管理工作:
月度安全工作会议中发现的信息安全问题进行评估,并全部进行风险处置。
2)每年进行一次集中风险评估工作,具体开展过程为:
定期的信息安全风险评估活动:
每年开展信息安全风险评估活动,并根据信息安全风险接受水平对活动中发现的中、高风险进行处置。
3)做好各体系流程监控工作:
做好生产运营和信息安全相关的信息资产管理、系统交付投产、运行监控、变更管理、数据提取与使用、补丁管理、密钥管理、移动介质管理、病毒防范、应急处理和安全运营奖惩、故障分级评估、事故问责等方面的制度或流程的运行情况监控,发现问题及时纠正。
每年对各流程要求进行回顾、评估和更新。
2.风险处置
1)针对以上途径发现的信息安全风险,各部门负责制定相应的整改计划。
针对信息安全管理类风险如因制度或流程的缺失、制度或流程未严格执行造成的安全风险,由责任部门新增安全管理制度及流程或监督本部门员工严格执行安全制度。
2)针对信息安全技术类风险如渗透测试、主机扫描发现的安全漏洞,由公司技术部门统一负责整改。
对于部分需要通过新增安全设备才能完全消减的风险,在公司经济条件许可的情况下,由责任部门负责采购并部署。
3.信息安全风险处置的监督和验证
信息安全工作组负责督促并监督各组对信息安全风险的处置。
针对信息安全管理类风险的处置情况,由信息安全工作组通过定期安全内审的方式进行验证。
针对信息安全技术类风险的跟踪,由信息安全工作组负责对安全漏洞的整改情况进行复查验证。
4.评价周期及起始时间
对安全目标实现的评价,信息安全工作组每年组织召开信息安全管理评审会议,并邀请公司领导层参会,由信息安全管理体系负责人汇报信息安全管理体系运行状况及目标达成情况,与参会人员共同讨论、最终评价信息安全目标的达成情况。
信息安全管理目标的实现,不强制依赖于每年一次的信息安全管理评审会议,具体的信息安全管理目标的达成情况判定,可通过每月的信息安全会议,并根据目标达成情况,采取相应的纠正预防措施。
7.支持
7.1资源提供
公司领导层应确保提供以下方面所需的资源:
1)实施、保持管理体系并持续改进其有效性所需的各种资源;
2)满足客户要求,提高客户满意度所需的各种资源。
编制了《人力资源管理制度》,公司根据人员的学历、技能和经验,组织面向全员的信息安全意识培训及面向特定人员的专业IT技能培训,确保其能胜任工作。
7.2信息安全能力管理
结合当前信息安全管理认证范围,对员工信息安全能力管理主要从以下几方面出发来实现:
1)影响信息安全执行工作的人员岗位,在岗位设立时应明确信息安全能力的要求,并在招聘时严格把关(例如学历教育、能力测试等);
2)确保人员在适当教育、培训和经验的基础上能够胜任工作;在人员调岗时,应考虑相关人员信息安全能力的确定和培养。
3)评价所采取措施的有效性。
4)保留培训记录作为能力培养的证据。
7.3意识培训
每季度对当季入职的所有新员工进行信息安全意识培训并进行考试,对于信息安全小组成员应进行岗位相关的信息安全专业培训,对于信息安全岗位的工作人员(如系统管理员)应安排专业技能培训。
对公司全体人员通过培训、学习、宣传等方式提高人员信息安全意识,需了解到:
a)信息安全方针;
b)他们对信息安全管理体系有效性的贡献,包括提高信息安全绩效的收益;
c)不符合信息安全管理体系要求所带来的影响。
7.4信息安全沟通管理
公司的利益相关方由三类群体构成,分别是客户、员工、供应商。
针对不同的相关方群体,沟通方式分为内部和外部两类,并建立起不同的沟通机制和联系通讯录,以及时了解来自利益相关方的信息安全要求或将公司的信息安全要求传达给利益相关方。
沟通
对象
沟通机制与形式
沟通内容
沟通
频率
沟通责任部门
客户
客户满意度调查
改善服务,提升客户满意度
客户对信息安全的要求
信息安全相关情况及问题沟通信息安全事件通报
定期、
发生时
服务部
员工
信息安全意识培训
信息安全目标和方针
信息安全制度要求
信息安全职责
信息安全意识调查
不定期
信息安全小组
供应商
供应商评价
项目合作
邮件往来
电话咨询
供应商服务评价
公司信息安全要求
信息安全咨询建议
信息安全事件响应和处理
不定期
商务采购部
7.5文件记录信息控制
存档信息是指支撑和维持公司信息安全管理体系运行的相关信息,以确保存储信息能够符合信息安
升级会员 