信息安全管理手册.docx
《信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《信息安全管理手册.docx(22页珍藏版)》请在冰豆网上搜索。
信息安全管理手册
信息安全管理体系
管理手册
ISMS-M-yyyy
版本号:
A/1
受控状态:
■受控口非受控
日期:
20xx年1月8日实施日期:
20xx年1月8日
修改履历
00目录
01颁布令
为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司**《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、法规要求及IS0/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自20xx年1月8日起实施。
企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
总经理
20xx年1月8日
02管理者代表授权书
为贯彻执行信息安全管理体系,满足ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命审核人B为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
负责与信息安全管理体系有关的协调和联络工作;
确保在整个组织内提高信息安全风险的意识;
审核风险评估报告、风险处理计划;
批准发布程序文件;
主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
本授权书自任命日起生效执行。
**公司**
总经理:
总经理
20xx年1月15日
03企业概况
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
单位地址:
单位地址
电话:
单位电话
传真:
单位电话
邮编:
邮编
总经理:
总经理
管代:
审核人A
04信息安全管理方针目标
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针:
数据保密、信息完整、控制风险、持续改进、遵守法律。
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
1.公司采用系统的方法,按照ISO/IEC27001:
2013建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:
技能、职责和意识。
以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
0.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
1.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
2.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。
本公司或环境发生重大变化时,随时评估。
3.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
4.公司建立报告信息安全事件的渠道和相应的主管部门。
5.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
6.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
7.定期对信息安全进行监督检查,包括:
日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
8.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
9.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
0.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标如下:
重大信息安全事件(损失达1万以上的)为零。
公司发生网络中断时间小于2小时每年。
05手册的管理
1信息安全管理手册的批准
办公室负责组织编制《信息安全管理手册》,总经理负责批准。
2信息安全管理手册的发放、更改、作废与销毁
a)办公室负责按《文件管理程序》的要求,进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管;
c)办公室按照规定发放修改后的《信息安全管理手册》,并收回失效的文件作出标识统一处理,确保有效文件的唯一性;
d)办公室保留《信息安全管理手册》修改内容的记录。
3信息安全管理手册的换版
当依据的ISO/IEC27001:
2013或ISO/IEC27002:
2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时,应对《信息安全管理手册》进行换版。
换版应在管理评审时形成决议,重新实施编、审、批工作。
4信息安全管理手册的控制
a)本《信息安全管理手册》标识分受控文件和非受控文件两种:
――受控文件发放范围为公司领导、各相关部门的负责人、内审员;
非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《信息安全管理手册》有书面文件和电子文件,电子版本文件的有效格式为.doc文档。
06信息安全管理手册
范围
总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
应用
覆盖范围
本信息安全管理手册规定了**公司**信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。
本信息安全管理手册适用于**公司**电磁屏蔽机房的设计业务活动所涉及的信息系统、资产及相关信息安全管理活动。
删减说明
本信息安全管理手册采用了ISO/IEC27001:
2013标准正文的全部内容,对《适用性声明SOA〉的删减如下:
A.14.2.7外包开发删减理由:
公司无
此业务
规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,办公室应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》
ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》
术语和定义
ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》、
ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。
本公司
指**公司**包括**公司**所属各部门。
信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。
主要为:
政府、上级部门、供方、银行、用户等。
组织环境
组织及其环境
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a)本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范围:
与信息管理软件设计开发相关的信息安全管理活动);
b)与所述信息系统有关的活动;
c)与所述信息系统有关的部门和所有员工;
d)所述活动、系统及支持性系统包含的全部信息资产。
e)本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见附录A(规范性附录)《组织机构图》。
f)本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
g)本公司信息安全管理体系的物理范围为本公司位于单位地址。
相关方的需求和期望
重大信息安全事件(损失达1万以上的)为零。
公司发生网络中断时间小于2小时每年。
确定信息安全管理体系的范围
体系范围:
与信息管理软件设计开发、计算机系统集成相关的信息安全管理活动
本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范围:
与电磁屏蔽机房的设计相关的信息安全管理活动)
组织范围:
本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见附录A(规范性附录)《组织机构图》。
物理范围:
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司信息安全管理体系的物理范围为本公司位于单位地址。
信息安全管理体系
本公司在软件产品的技术开发,设计的管理活动中,按ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》规定,参照ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运行、监
视、评审、保持和改进文件化的信息安全管理体系。
信息安全管理体系使用的过程基于图1所示的PDCA莫型。
图1信息安全管理体系模型
领导力
领导和承诺
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
a)建立信息安全方针(见本手册第0.4章);
b)确保信息安全目标得以制定(见本手册第0.4章、《适用性声明
SoA〉、《风险处理计划》及相关记录);
c)建立信息安全的角色和职责;
d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e)提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2章);
f)决定接受风险的准则和风险的可接受等级(见《信息安全风险管理标准》及相关记录);
g)确保内部信息安全管理体系审核(见本手册第9.2章)得以实施;
h)实施信息安全管理体系管理评审(见本手册第9.3章)。
方针
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针:
满足客户要求,遵守法律法规,实施风险管理,确保信息安全,实现持续改进。
信息安全目标下:
重大信息安全事件(损失达1万以上的)为零。
公司发生网络中断时间小于2小时每年。
组织角色、职责和权限
详见附录B
规划
应对风险和机会的措施
总则
为了满足适用法律法规及相关方要求,维持电力整流器开发和经营的正常进行,实现业务可持续发展的目的。
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4条款。
该信息安全方针符合以下要求:
a)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
b)考虑业务及法律或法规的要求,及合同的安全义务;
c)与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;
d)建立了风险评价的准则;
e)经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a)在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责,详见附录B(规范性附录)《信息安全管理职责明细表》;
b)识别并满足适用法律、法规和相关方信息安全要求;
c)定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e)对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f)制定并保持完善的业务连续性计划,实现可持续发展。
信息安全风险评估
6.121风险评估的方法
办公室负责制定《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。
6.122识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。
资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。
对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。
同时,根据《信息安全风险管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
6.1.2.3分析和评价风险
本公司按《信息安全风险管理程序》,采用FMEA分析方法,分析和评价风险:
a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b)针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c)根据《信息安全风险管理程序》计算风险等级;
d)根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
6.1.2.4识别和评价风险处理的选择
办公室组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)控制风险,米用适当的内部控制措施;
b)接受风险(不可能将所有风险降低为零);
c)避免风险(如物理隔离);
d)转移风险(如将风险转移给保险者、供方、分包商)。
信息安全风险处置
办公室根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《信息安全适用性声明》):
信息安全控制目标获得了信息安全最高责任者的批准。
本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施
控制目标及控制措施的选择原则来源于ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》。
制定风险处置计划。
对风险处理后的剩余风险,得到了公司最高管理者的批准
信息安全目标和规划实现
6.2.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验;
622根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。
管理评审的具体要求,见本手册第7章。
6.2.3办公室应组织有关部门按照《信息安全风险管理程序》的要求,采用FMEA分析方法,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a)组织;
b)技术;
c)业务目标和过程;
d)已识别的威胁;
e)实施控制的有效性;
f)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
6.2.4按照计划的时间间隔进行信息安全管理体系内部审核。
6.2.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。
6.2.6考虑监视和评审活动的发现,更新安全计划。
6.2.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
支持
资源
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:
a)建立、实施、运作、监视、评审、保持和改进信息安全管理体系;
b)确保信息安全程序支持业务要求;
c)识别并指出法律法规要求和合同安全责任;
d)通过正确应用所实施的所有控制来保持充分的安全;
e)必要时进行评审,并对评审的结果采取适当措施;
f)需要时,改进信息安全管理体系的有效性。
能力
组织应:
a)确定员工为完成其本职工作所所需的安全技能;
b)确保员工具备完成工作所需的教育、培训和经验;
c)采取合适的措施确保员工具备相应的技能并对技能进行考核;
d)保留适当的文档信息作为证据。
注:
适当的措施可能包括,例如:
提供培训、指导或重新分派现有员工,或雇用具备相关技能的人士。
意识
组织的员工应了解:
a)信息安全方针;
b)个人对于实现信息安全管理的重要性,提高组织信息安全绩效的收益;
c)不符合信息安全管理体系要求所造成的影响。
沟通
办公室制定并实施《人力资源管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。
可以通过:
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
文件化信息
总则
本公司信息安全管理体系文件包括:
a)文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;
b)《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);
c)本手册要求的《信息安全风险管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序;
d)信息安全管理体系引用的支持性程序。
如:
《文件管理程序》、《记录管理程序》、《内部审核管理程序》等;
e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录类文件;
g)相关的法律、法规和信息安全标准;
h)适用性声明(SoA。
创建和更新
文件化信息的控制
办公室制定并实施《文件管理程序》,对信息安全管理体系所要求的文件进行管理。
对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应保证:
a)文件发布前得到批准,以确保文件是充分的;
b)必要时对文件进行评审、更新并再次批准;
c)确保文件的更改和现行修订状态得到识别;
d)确保在使用时,可获得相关文件的最新版本;
e)确保文件保持清晰、易于识别;
f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g)确保外来文件得到识别;
h)确保文件的分发得到控制;
i)防止作废文件的非预期使用;
j)若因任何目的需保留作废文件时,应对其进行适当的标识。
运行
运行的规划和控制
按照PDCA寸体系进行运行。
在公司实际推动信息安全体系运行。
信息安全风险评估
识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。
资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。
对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。
同时,根据《信息安全风险管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
分析和评价风险
本公司按《信息安全风险管理程序》,采用FMEA分析方法,分析和评价风险:
a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b)针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c)根据《信息安全风险管理程序》计算风险等级;
d)根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
信息安全风险处置
办公室组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成
升级会员 