公司信息安全管理手册.doc
《公司信息安全管理手册.doc》由会员分享,可在线阅读,更多相关《公司信息安全管理手册.doc(37页珍藏版)》请在冰豆网上搜索。
信息安全管理手册
信息安全管理手
目录
01颁布令 2
02管理者代表授权书 3
03企业概况 4
04信息安全管理方针目标 5
05手册的管理 7
信息安全管理手册 8
1 范围 8
1.1 总则 8
1.2 应用 8
2 规范性引用文件 9
3 术语和定义 9
3.1 本公司 9
3.2 信息系统 9
3.3 计算机病毒 9
3.4 信息安全事件 9
3.5 相关方 9
4 信息安全管理体系 10
4.1 概述 10
4.2 建立和管理信息安全管理体系 10
4.3 文件要求 16
5 管理职责 18
5.1 管理承诺 18
5.2 资源管理 18
6 内部信息安全管理体系审核 19
6.1 总则 19
6.2 内审策划 19
6.3 内审实施 19
7 管理评审 21
7.1 总则 21
7.2 评审输入 21
7.3 评审输出 21
7.4 评审程序 22
8 信息安全管理体系改进 23
8.1 持续改进 23
8.2 纠正措施 23
8.3 预防措施 23
附录A(规范性附录)信息安全管理组织结构图 25
附录B(规范性附录)办公大楼平面图 26
附录C(规范性附录)信息安全管理职责明细表 27
附录D(资料性附录)信息安全管理程序文件清单 29
附录E(规范性附录)信息安全角色和职责...................................30
附录F(规范性附录)组织机构图...........................................35
附录G(规范性附录)ISMS职能分配表.......................................36
01颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:
2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了无锡********安全技术研究有限公司《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:
2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2009年12月23日起实施。
企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
无锡********安全技术研究有限公司
总经理:
2009年12月23日
02管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:
2005《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命刘亚利为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7.向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
本授权书自任命日起生效执行。
无锡********安全技术研究有限公司
总经理:
2009年12月23日
03企业概况
我公司是专业从事计算机软件技术应用的研发公司,公司坚持自主创新、政产学研相结合的发展道路,以一流的科研成果创造一流的产业应用为目标,围绕计算机技术在信息安全、生产安全相关领域的应用,开拓进取,取得了多项重大科研成果,并通过了CMMI3级认证和双软企业认定,研发项目得到相关政府行业客户的认可,在相关应用领域多次推动技术变革,创造了重大的社会与经济效益。
研究方向:
信息安全InformationSecurity
涉及计算机信息数据安全保护、计算机行为风险控制与跟踪、计算机电子信息对抗与取证、手机应用安全。
智能识别IntelligentIdentification
行业专用RFID(电子标签)设计、封装、应用中间件研发、读写设备开发。
特种设备安全SpecialEquipmentSafety
特种设备监察、检验(检测)、维保、许可、执法、巡查、追溯系统的研发。
嵌入&移动商务Embedded&MobileBusiness
嵌入式应用、无线传感网、移动商务应用研发。
企业名称:
无锡********安全技术研究有限公司
企业法人:
通讯地址:
邮政编码:
联系电话:
04信息安全管理方针目标
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针如下:
强化意识规范行为
数据保密信息完整
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
公司采用系统的方法,按照GB/T22080-2008idtISO27001:
2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
1.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
3.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
2.对本公司的相关方针,要明确安全要求和安全职责。
3.定期对全体员工进行信息安全相关教育,包括:
技能、职责和意识。
以提高安全意识。
4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
1.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
2.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。
本公司或环境发生重大变化时,随时评估。
3.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
1.公司建立报告信息安全事件的渠道和相应的主管部门。
2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
3.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
定期对信息安全进行监督检查,包括:
日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
1.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
2.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标如下:
1)确保每年重大信息安全事件(事故)发生次数为零。
2)确保单个重要业务系统每月中断次数不超过1次,每次中断时间不超过2小时。
3)确保信息安全事件发现率99%、上报和处理率100%。
05手册的管理
1信息安全管理手册的批准
信息安全管理委员会负责组织编制《信息安全管理手册》,总经理负责批准。
2信息安全管理手册的发放、更改、作废与销毁
a)行政中心负责按《文件和资料管理程序》的要求,进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管;
c)行政中心按照规定发放修改后的《信息安全管理手册》,并收回失效的文件做出标识统一处理,确保有效文件的唯一性;
d)行政中心保留《信息安全管理手册》修改内容的记录。
3信息安全管理手册的换版
当依据的GB/T22080-2008idtISO27001:
2005标准有重大变化、组织的结构、内外部环境、开发技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时,应对《信息安全管理手册》进行换版。
换版应在管理评审时形成决议,重新实施编制、审批工作。
4信息安全管理手册的控制
a)本《信息安全管理手册》标识分受控文件和非受控文件两种:
——受控文件发放范围为公司领导、各相关部门的负责人、内审员;
——非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《信息安全管理手册》有书面文件和电子文件。
信息安全管理手册
1范围
1.1总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
1.2应用
1.2.1覆盖范围:
本信息安全管理手册规定了无锡********安全技术研究有限公司的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。
本信息安全管理手册适用于无锡********安全技术研究有限公司业务活动所涉及的信息系统、资产及相关信息安全管理活动,具体见4.2.2.1条款规定。
1.2.2删减说明
本信息安全管理手册采用了GB/T22080-2008idtISO27001:
2005标准正文的全部内容,对附录A的删减见《适用性声明》。
2规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,行政中心应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
GB/T22080-2008idtISO27001:
2005《信息技术-安全技术-信息安全管理体系-要求》
GB/T22081-2008idtISO27002:
2005《信息技术-安全
升级会员 