GBT2信息安全管理手册.docx

GBT2信息安全管理手册.docx

《GBT2信息安全管理手册.docx》由会员分享，可在线阅读，更多相关《GBT2信息安全管理手册.docx（33页珍藏版）》请在冰豆网上搜索。

GBT2信息安全管理手册

编写委员会

信息安全管理手册

GLSC2020

第A/0版

编写：

审核：

批准：

受控状态：

XXX网络科技有限公司

发布时间：

2020年9月1日实施时间：

2020年9月1日

01目录

序号

名称

页码

01

1

02

修订页

3

03

颁布令

4

04

任命书

5

05

方针、目标

6

06

企业简介

8

07

管理手册

9

第一章

范围

11

第二章

规范性引用文件

12

第三章

术语和定义

13

第四章

组织环境

16

4.1

理解组织及其环境

16

4.2

理解相关方的需求和期望

16

4.3

确定信息安全管理体系范围

17

4.4

信息安全管理体系

17

第五章

领导

18

5.1

领导和承诺

18

5.2

方针

18

5.3

组织的角色、职责和权限

19

第六章

规划

22

6.1

应对风险和机会的措施

22

6.1.1

总则

22

6.1.2

信息安全风险评估

22

6.1.3

信息安全风险处置

22

6.2

信息安全目的及其实现规划

23

第七章

支持

25

7.1

资源

25

7.2

能力

27

7.3

意识

27

7.4

沟通

27

7.5

文件化信息

28

7.5.1

总则

28

7.5.2

创建和更新

28

7.5.3

文件化信息的控制

28

第八章

运行

30

8.1

运行规划和控制

30

8.2

信息安全风险评估

30

8.3

信息安全风险处置

30

第九章

绩效评价

31

9.1

监视、测量、分析和评价

31

9.2

内部审核

32

9.3

管理评审

32

第十章

改进

35

10.1

不符合及纠正措施

35

10.2

持续改进

35

F

附录

36

附录一

证照

36

附录二

组织机构图

37

附录三

职能分配要素表

38

附录四

程序文件目录

39

02修订页

序号

对应章、节、

条号

修订内容

修改人及

时间

批准人及

批准时间

03颁布令

为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T22080-2016/ISO/IEC27001:

2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司

总经理：

2020年9月1日

04任命书

为了贯彻执行GB/T22080-2016/ISO/IEC27001:

2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：

（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；

（3）负责与信息安全管理体系有关的协调和联络工作；

（4）负责确保管理手册的宣传贯彻工作；

（5）负责管理体系运行及持续改进活动的日常督导；

（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；

（7）主持公司内部审核活动，任命内部审核人员；

（8）代表公司就公司管理体系有关事宜与外部进行联络。

本授权书自任命日起生效执行。

总经理：

2020年9月1日

05方针、目标

为提高本公司的信息安全管理水平,保障公司和客户信息安全，本公司建立了信息安全管理制度，制定了信息安全方针和信息安全目标。

1公司信息安全方针

满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。

满足客户需求：

始终坚持以客户为关注焦点，遵循着公司“竭尽全力提供物超所值的产品和服务，让客户满意”的发展使命，满足客户的需求。

强化风险管理：

秉承“预防为主，防治结合”的理念，优化信息安全策略和信息安全管理流程，对运行的信息系统和重要信息资产进行全方位风险预防管控，保护信息系统和重要信息免受各种威胁的损害，使信息安全风险最小化，以确保信息系统业务的连续性。

保证信息安全：

坚持“安全第一、预防为主”的安全管理方针，定期开展信息安全风险评估，完善信息安全管理制度和管理信息系统灾害的应急预案，及时处理不可接受风险，杜绝可能出现的信息安全事故。

遵守法律法规：

严格遵守法律法规，自觉增强社会责任感，保障客户和公司的信息安全。

实现持续改进：

发挥全体员工的潜能，把质量预防机制构筑在每一个业务环节中，进行全面的质量管理，并持续改进。

2公司信息安全目标

a）不可接受风险处理率=100%

b）机密信息泄密事件=0次

c）重大突发事件=0次

d）客户满意度≥90%

3部门信息安全目标

3.1信息安全管理委员会：

a）不可接受风险处理率=100%

3.2综合部：

a）审核实施及时率≥90%

b）员工入职培训完成率=100%

c）员工保密协议签订率=100%

d）计划培训实施率≥95%

e）文件有效率=100%

f）文件按时发放率=100%

3.3技术部

a）机密信息泄密事件=0次

b）大面积感染病毒次数=0次

c）成功防范黑客攻击率=100%

d）重要信息备份技术率=100%

e）计算机故障处理完成率=100%

f）产品及时完成率=100%

3.4业务部

a）客户满意度≥90%

b）产品退回=0

c）投诉=0

总经理：

fran

2020年9月1日

06公司简介

XXX有限公司位于XX省XX市XXX街道XX号，成立于2019年1月，是一家专注于软件开发、企业信息化建设、网站建设、广告设计的专业型新型电子商务公司。

公司主营业务有：

网站建设（包含手机端网站、PC端官网订制、公共平台搭建等），订制软件（包含手机软件和电脑软件）、搭建企业信息化平台、广告设计。

作为一家专业服务于企业信息化建设的公司，公司拥有一只经验丰富的行业精英组成的的团队，公司自成立一年以来，已经为多家企业完成了网站建设和推广，设计完成了XXXXX，赢得了众多客户的一致好评。

通信信息

公司名称：

公司地址：

联系人：

电话：

传真：

电子信箱：

07管理手册

1概述

本《管理手册》依据GB/T22080-2016/ISO/IEC27001:

2013《信息技术安全技术信息安全管理体系要求》以及公司实际情况编制的，是本公司从事信息安全管理有关的活动的纲领性文件，为保持其持续适应性和有效性，明确管理者和持有者的责任，对管理手册的编写、修订、发放等实行统一管理。

2依据

2.1GB/T22080-2016/ISO/IEC27001:

2013《信息技术安全技术信息安全管理体系要求》

3手册的编写和管理职责

3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。

3.2由总经理批准颁布实施。

3.3资料管理员负责管理手册发放、回收、登记、保管和控制。

3.4管理手册按“受控”和“非受控”两种版本管理。

“受控”版本正本由资料管理员保管，非正本限于本公司内部使用；“非受控”版本对外发放，在对外发放时必须经经理批准并加盖“非受控”标识后方可对外发放。

4手册持有者的责任

4.1管理手册是本公司信息安全管理体系运行的纲领性文件，本公司人员必须认真学习、了解信息安全管理管理工作等，熟悉各项规定并严格遵照执行。

4.2管理手册是公司的受控文件，限公司内部使用，应妥善保管，不得遗失、擅自更改、翻印和外借，如有丢失应向资料管理员作书面报告，经管理者代表批准后方可补发。

4.3更改页下发后，按更改内容要求贯彻执行。

4.4持有者调离本公司，必须交回手册，办理回收手续后方可离开。

5管理手册的宣传与贯彻

5.1管理手册是本公司活动管理的指导性文件，是开展管理活动的依据和规范，全体人员必须认真学习和掌握管理手册的规定和要求。

5.2管理者代表制定宣传与贯彻计划并组织全体人员学习，使全体人员了解信息安全管理工作，对管理手册中条款作必要的说明和解释，以便在信息安全管理活动中得以正确贯彻和执行。

5.3新调入本公司工作人员，岗前培训内容包含管理手册的学习。

6手册的修订

6.1在管理体系活动中，员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。

6.2管理者代表负责收集修改意见和建议，一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。

6.3修订稿由管理者代表组织起草，报总经理审批。

修订稿经总经理审核批准后印制，手册持有者更换修订后的管理手册，并对旧版手册进行回收。

7手册的改版

7.1当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化，现行管理体系与之不相适应，或上级主管部门要求改版时，管理手册予以改版。

7.2改版工作由管理者代表负责，组织人员编写，新版本由总经理负责审核。

新版本自总经理批准颁布实施之日起，旧版本同时废止并予以回收。

第一章范围

1.1本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。

1.2本手册适用于相关方审核本公司信息安全管理能力的依据之一。

1.3本手册是信息安全管理体系文件，满足公司内部管理体系需要。

1.4本公司不进行外包，本手册不适用于外包。

第二章规范性引用文件

下列文件对于本手册的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本手册。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本手册。

1）GB/T22080-201