ISO27001信息安全管理手册模板.docx
《ISO27001信息安全管理手册模板.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册模板.docx(35页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理手册模板
文件编号:
XX-XXX-XX
版本:
V02保存期限:
5年
ISO27001信息安全
管理手册
0.1信息安全管理手册颁布声明
本《信息安全管理手册》(以下简称手册)第V01版是我们公司按照ISO/IEC27001:
2013《信息安全管理体系要求》,并结合我们公司管理工作的实践和公司组织机构的设置而编写的最新版本,体现了我们公司对信息安全的承诺及持续改进的要求。
本手册贯穿了我们公司信息安全管理体系各条款的要求,符合我公司的实际运作情况,可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据,全体员工必须严格遵照执行。
现予以批准,同意发布实施。
总经理:
XXX
2018年04月13日
0.2公司简介
0.3管理者代表任命书
为贯彻执行信息安全管理体系,满足ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系要求》标准的要求,加强领导,特任命XXXX为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7.向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外审核情况。
本授权书自任命日起生效执行。
总经理:
XXX
20XX年XX月XX日
0.4管理方针
全员参与、控制风险、积极预防
持续改进、客户信赖、永续经营
总经理:
XXX
20XX年XX月XX日
1.0信息安全管理手册
1.1制定
【信息安全管理手册】(以下简称本手册)依据ISO/IEC27001:
2013【信息技术-安全技术-信息安全管理体系-要求】,参照ISO/IEC27002:
2013【信息技术-安全技术-信息安全管理实用规则】,结合本行业信息安全的特点编写。
本手册对本公司信息安全管理体系作出了概括性描述,为建立、实施和保持信息安全管理体系提供框架。
【信息安全管理手册】由体系办负责起草,管理者代表审核,总经理批准发布。
信息安全管理体系依据的标准变更或手册各章、节及其引用的文件有较大修改时,手册和整个体系文件应予以换版,换版工作由管理者代表决定,体系办执行。
手册的每个章节通过活页控制,其格式、文字、排版等要求按公司的【文件和记录控制流程】&【文件撰写规范】实施。
1.2发放与控制
1.2.1【信息安全管理手册】及相关流程文件的发放与控制工作由体系办负责:
电子档文件在PDMC系统中归档并发布。
1.2.2【信息安全管理手册】及相关流程文件的受控本发放给部门负责人,各部门负责确保本部门职员深入理解【信息安全管理手册】及相关流程文件中规定的方针及其相关的管理活动,并贯彻执行。
1.2.3【信息安全管理手册】及相关流程文件的非受控版本的发放对象是以上规定以外的人员,包括客户、认证机构、咨询机构等,但必须经管理者代表批准并由体系办作好发放记录。
1.2.4体系办在发放【信息安全管理手册】及相关流程文件时,应在PDMC系统中作好发放记录,由文件接收人进行接收确认。
发放记录应包括编号、发放日期、版本号等。
1.3修改
1.3.1在下列情况下修改
A、信息安全管理体系依据的标准要素或法规和公司组织结构及管理活动有变更或较大更时;
B、内外审核和管理评审中对管理体系的结构提出了必要的改进或存在差错条文含糊不清时。
1.3.2手册由体系办按章进行修改,管理者代表审核,总经理批准后,以章、节的活页形式发放,作好发放记录,同时收回作废的旧页。
修改内容应在1.2的文件修订记录。
1.3.3手册的版本以V0n表示,n用1~99表示,01表示版本序号(第一版),以此类推。
1.3.4对手册修改或换版后,收回的作废旧页销毁,原稿盖“作废”章,保存5年。
2.0引用标准
下列文件中的条款通过本【信息安全管理手册】的引用而成为本【信息安全管理手册】的条款。
凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本【信息安全管理手册】,然而,体系办应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本【信息安全管理手册】。
◆《信息技术-安全技术-信息安全管理体系概述和术语》(ISO/IEC27000)
◆《信息技术-安全技术-信息安全管理体系-要求》(ISO/IEC27001:
2013)
◆《信息技术-安全技术-信息安全管理实用规则》(ISO/IEC27002:
2013)
3.0术语与定义
ISO/IEC27001:
2013【信息技术-安全技术-信息安全管理体系-要求】、ISO/IEC27002:
2013【信息技术-安全技术-信息安全管理实用规则】规定的术语和定义以及下述定义适用于本【信息安全管理手册】。
ISO/IEC27000中的术语和定义适用于本标准。
下列术语和定义适用于本手册。
术语
定义
访问控制
基于业务要求和安全要求,确保授权和受限地访问资产的手段。
资产
对组织有价值的任何东西,包括:
信息资产、软件如计算机程序、物理资产如计算机、服务、人员及其资格、技能和经验、无形资产如名誉和形象。
攻击
破坏、泄露、篡改、损伤、偷窃、未授权访问或未授权使用资产的企图。
业务连续性
确保持续的业务运作过程和/或规程。
保密性
信息不能被未授权的个人、实体或者过程利用或知悉的特性。
控制措施
管理风险的方法,包括方针、规程、指南、惯例或组织结构。
它们可以是行政、技术、管理、法律等方面的。
控制目标
描述实施控制措施的结果所要达到的目标的声明。
信息安全
保持信息的保密性、完整性和可用性。
此外,诸如真实性、可核查性、搞抵赖和可靠性等其它特性也可被包括进来。
信息安全事态
已识别的一种系统、服务或网络状态的发生,指出可能违反信息安全方针或控制措施失效或者一种可能与安全相关但以前不为人知的情况。
信息安全事件
一个或一系列意外或不期望的信息安全事态,它/它们极有可能损害业务运行并威胁信息安全。
信息安全事件管理
发现、报告、评估、响应、处理和总结信息安全事件的过程。
信息安全风险
威胁利用单个或一组资产的脆弱性并对组织造成损害的可能性。
抗抵赖
证明所声称事态或行为的发生及其发起实体的能力,以解决有关事态或行为发生与否以及事态中实体是否牵涉的争端。
风险
事态发生的可能性及其后果的组合。
风险分析
系统地使用信息以识别风险来源并估算风险。
风险评估
风险分析和风险评价的整个过程。
风险评价
将估算的风险与给定的风险准则加以比较以确定风险严重性的过程。
风险处置
选择并且执行措施来更改风险的过程。
适用性声明
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。
脆弱性
可能会被威胁所利用的资产或控制措施的弱点。
4.1组织环境
本公司依据【信息安全风险管理规定】,建立组织的外部和内部环境,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
4.2理解相关方的需求和期望
本公司通过建立组织的外部和内部环境确定如下内容。
a)与信息安全管理体系有关的相关方;
b)这些相关方与信息安全有关的要求。
注:
相关方的要求可能包括法律法规要求和合同义务
公司识别的相关方需求和期望见【相关方的需求和期望清单】。
4.3明确信息安全管理体系的范围
本公司充分考虑如下内容:
a)在4.1中提及的外部和内部问题;
b)在4.2中提及的要求;
c)组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性。
确定信息安全管理体系的边界和适用性,建立信息安全管理体系的范围和边界:
公司建立的信息安全与职业健康安全管理体系,覆盖公司电子产品、移动通讯产品之塑胶件、精密模具的设计和制造[包括注塑、组装、表面处理(喷涂、丝印、真镀)、机加工等]及服务提供。
覆盖场所包括:
总公司(地址:
广东省深圳市XXXXX)。
本信息安全策略适用于整个信息安全管理体系(ISMS),范围包括:
Ø属于公司的一切受知识产权保护的信息;
Ø属于公司所有雇员的相关个人信息;
Ø公司持有一切相关客户资料信息;
Ø公司持有的一切相关企业资料信息;
Ø公司持有的一切关于供应商及合作伙伴的资料信息;
Ø公司持有的一切合同信息;
Ø属于公司的一切相关信息系统的物理实体;
4.4信息安全管理体系
公司依据ISO/IEC27001:
2013【信息技术-安全技术-信息安全管理体系-要求】建立、实施、保持和持续改进信息安全管理体系:
(1)向全体员工传达满足管理方针、相关方要求和法律法规要求的重要性。
(2)制定和发布管理方针。
(3)确保管理目标(指标)和方案的制定。
(4)按策划的要求进行管理评审。
(5)采取措施,确保资源的获得
5.0领导
5.1领导和承诺
高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺:
a)确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;
b)确保将信息安全管理体系要求整合到组织的业务过程中;
c)确保信息安全管理体系所需资源可用;
d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;
e)确保信息安全管理体系实现其预期结果;
f)指挥并支持人员为信息安全管理体系的有效实施作出贡献;
g)促进持续改进。
5.2方针
为了满足适用法律法规及相关方要求,维持ISMS范围内的业务正常进行,实现业务可持续发展,公司高层管理者建立信息安全方针并发布(参见本手册0.4)。
1)信息安全管理的重点是人员有意识的维护公司信息资产安全。
全体员工应本着主人翁精神,群策群力,共同构筑公司信息安全。
2)公司遵守信息安全的相关法令、法规、业界方针及规范,建立信息安全管理体系。
通过全体员工的持续努力来完善体系,通过切实的控制措施来保障公司及顾客的信息安全。
3)信息安全,是公司正常经营活动的重要保障,是客户信赖的基础,也是我们认同的一种社会责任。
公司通过完善的管理,赢得顾客的信赖,以此保障公司业务的持续发展。
信息安全方针满足以下要求:
a)适于组织的目标;
b)包含信息安全目标(见6.2)或设置信息安全目标提供框架;
c)包含满足适用的信息安全相关要求的承诺;
d)包含信息安全管理体系持续改进的承诺。
公司文件化信息安全方针,保持可用性,并在组织内部进行传达,适当时,对相关方可用。
5.3组织角色、职责和权力
高层管理者应确保分配并传达了信息安全相关角色的职责和权限。
高层管理者应分配下列职责和权限:
a)确保信息安全管理体系符合本标准的要求;
b)将信息安全管理体系的绩效报告给高层管理者。
注:
高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限
公司为满足信息安全管理要求,策划体系推进组织架构图,见【信息安全委员会人事任命及组织构架】,明确规定各部门与岗位的职责、权限和相互关系,制定并执行【信息交流控制流程】,对内外部的沟通进行规定。
本公司信息安全领导机构:
体系办的职责是实现信息安全管理体系方针和本公司承诺。
具体职责是:
研究决定信息安全工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。
本公司的信息安全职能由体系办承担,其主要职责是:
负责制订、落实信息安全工作计划,对单位、部门信息安全工作进行检查、指导和协调,建立健全企业的信息安全管理体系,保持其有效、持续运行。
本公司采取相关部门代表组成的协调会的方式,进行信息安全协调和协作,履行“5.1领导和承诺”中的相关职责。
本公司总经理为信息安全最高责任者。
总经理指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何,对信息安全负有以下职责:
a)建立并实施信息安全管理体系必要的程序并维持其有效运行;
b)对信息安全管理体系的运行情况和必要的改善措施向体系办或最高责任者报告。
全体员工都应按保密承诺的要求自觉履行信息安全保密义务,相关职责见【公司信息组织架构与职责说明】。
6.0计划
6.1处置风险和机遇
6.1.1总则
当规划信息安全管理体系时,公司应考虑4.1中提及的问题和4.2中提及的要求,确定需要应对的风险和机会,以:
a)确保信息安全管理体系能实现其预期结果;
b)防止或减少意外的影响;
c)实现持续改进。
d)应对这些风险和机会的措施;
e)如何
1)整合和实施这些措施并将其纳入信息安全管理体系过程;
2)评价这些措施的有效性
6.1.2信息安全风险评估
公司通过建立公司外部和内部环境,制定【信息安全风险控制管理规定】,定义并应用风险评估过程。
体系办建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。
按信息安全风险评估执行【信息安全风险控制管理规定】进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
6.1.2.1建立并保持信息安全风险准则
建立并保持信息安全风险准则,包括:
1)风险接受准则;
2)执行信息安全风险评估的准则;
定义风险评估的方法,确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果。
6.1.2.2识别信息安全风险
由资讯部组建风险评估小组,风险评估小组应:
1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险;
2)识别风险负责人;
通过风险识别,形成【信息安全风险评估表】。
信息安全风险包括人员风险、资讯风险、物理风险与可持续性风险。
其中,人员风险指人员的入职、异动、离职及入项目的风险;资讯风险指电脑、网络、信息相关的风险;物理风险是指与客户保密项目的产品相关的风险;可持续性风险是指体系运行、管理的风险。
6.1.2.3分析信息安全风险:
1)评估6.1.2.2中所识别风险发生后将导致的潜在影响;
2)评估6.1.2.2中所识别风险发生的现实可能性;
3)确定风险级别;
6.1.2.4评价信息安全风险
1)将风险分析结果同6.1.2.1建立的风险准则进行比较;
2)为实施风险处置确定已分析风险的优先级。
公司应保留信息安全风险评估过程的文件记录信息,详见【信息安全风险评估表】。
6.1.3信息安全风险处置公司定义并应用信息安全风险处置过程,以:
a)在考虑风险评估结果的前提下,选择适当的信息安全风险处置选项;
b)为实施所选择的信息安全风险处置选项,确定所有必需的控制措施;
注:
组织可按要求设计控制措施,或从其他来源识别控制措施。
c)将6.1.3b)所确定的控制措施与附录A的控制措施进行比较,以核实没有遗漏必要的控制措施;
注:
1:
附录A包含了一份全面的控制目标和控制措施的列表。
本标准用户可利用附录A以确保不会遗漏必要的控制措施。
2:
控制目标包含于所选择的控制措施内。
附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
d)产生【信息安全适用性声明】。
适用性声明要包含必要的控制措施(见6.1.3b)和c))、对包含的合理性说明(无论是否已实施)以及对附录A控制措施删减的合理性说明;
e)制定【信息安全风险处置计划】;
f)获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。
6.2信息安全目标和规划实现
公司在相关职能和层次上建立信息安全目标。
信息安全目标应:
a)与信息安全方针一致;
b)可测量(如可行);
c)考虑适用的信息安全要求以及风险评估和风险处置结果;
d)被传达;
e)适当时进行更新。
公司信息安全目标:
为贯彻实施信息安全方针,根据公司实际情况,确定公司的信息安全目标如下:
●重大信息安全泄密事件0件
●客户信息外泄事件为0
公司明确管理和测量信息安全目标的职责,明确测量的内容和频率要求,并对测量的结果进行评价,识别改进的机会。
7.0支持
7.1资源
公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源,包括资金、人力、设施和技术等资源。
7.2能力
人力资源制定并实施《信息安全人力资源管理规定》,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。
可以通过:
a)确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力;
b)确保人员在适当教育,培训和经验的基础上能够胜任工作;
c)适用时,采取措施来获得必要的能力,并评价所采取措施的有效性;
d)保留适当的文件记录信息作为能力方面的证据。
注:
例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作;雇用或签约有能力的人员。
7.3意识
公司通过教育、培训等手段,使员工在组织的控制下从事其工作时应意识到:
a)信息安全方针;
b)他们对有效实施信息安全管理体系的贡献,包括信息安全绩效改进后的益处;
c)不符合信息安全管理体系要求可能的影响。
7.4沟通
公司制定【信息交流控制流程】,确定有关信息安全管理体系在内部和外部进行沟通的需求,明确以下内容:
a)什么需要沟通;
b)什么时候沟通;
c)跟谁进行沟通;
d)由谁负责沟通;
e)影响沟通的过程。
7.5文件化信息
7.5.1总则
公司制定【文件和记录控制流程】对文件化信息进行控制,公司的信息安全管理体系应包括:
a)本标准要求的文件化信息;
b)组织为有效实施信息安全管理体系确定的必要的文件化信息。
7.5.2创建和更新
创建和更新文件化信息时,应确保适当的:
a)标识和描述(例如:
标题、日期、作者或参考编号);
b)格式(例如:
语言,软件版本,图表)和介质(例如:
纸质介质,电子介质);
c)评审和批准其适用性和充分性。
7.5.3文件记录信息的控制
信息安全管理体系和本标准所要求的文件化信息应予以控制,以确保:
a)无论何时何地需要,它都是可用并适合使用的;
b)它被充分保护(例如避免丧失保密性、使用不当或丧失完整性)
对于文件化信息的控制,适用时,组织应处理下列问题:
c)分发、访问、检索和使用;
d)存储和保存,包括可读性的保持;
e)变更控制(例如版本控制);
f)保留和和处置。
组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息,适当时应予以识别并进行控制,访问隐含一个权限决策:
仅能查看文件记录信息,或有权去查看和变更文件记录信息等。
8.0运行
8.1运行的规划和控制
公司应规划、实施和控制满足信息安全要求所需的过程,并实施6.1中确定的措施(详见【适用性声明】)。
组织还应实施这些规划来实现6.2中所确定的信息安全目标。
公司应控制计划了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响。
组织应确保外包的过程已确定,并处于可控状态。
公司保密项目的运行参照【项目生命周期信息安全流程】:
Ø项目人员选择:
执行【信息安全人力资源管理规定】、【保密项目的人力资源控制流程】;
Ø物料管理:
执行【涉密物料试产量产管控规范】、【涉密物料报废处理流程】、【涉密测试物料信息安全管理规范】、【样板样机管理规范】;
Ø物料存储、运输:
执行【涉密物料存储运输管控流程】;
Ø生产管理:
执行【保密车间管理规范】、【智能手机融入生产车间管理流程】、【人员进出生产大楼及涉密区域管理流程】;
Ø信息管理:
执行【涉密项目开发信息管理规范】
8.2信息安全风险评估
公司依据【信息安全风险控制管理规定】及6.1.2中建立的风险评估执行准则,每年定期执行一次信息安全风险评估,当重大变更被提出或发生时,应不定期执行信息安全风险评估。
保留信息安全风险评估结果的文件化信息。
8.3信息安全风险处置
公司按建立的准则实现信息安全风险处置计划。
9.0绩效评价
9.1监视、测量、分析和评价
信息安全风险处置:
公司应实施6.1.2中制定的【信息安全风险处置计划】,并执行变更了的处置计划。
公司明确相关职责,定期评价信息安全绩效和信息安全管理体系的有效性。
满足以下要求:
a)什么需要监视和测量,包括信息安全过程和控制措施;
b)监视、测量、分析和评价的方法,适用时,确保结果有效;
c)什么时候应执行监视和测量;
d)谁应实施监视和测量;
e)什么时候应对监视和测量的结果进行分析和评价;
f)谁应分析和评价这些结果。
组织应保留适当的文件记录信息作为监视和测量结果的证据。
9.2内部审核
公司体系办按【内部审核控制流程】的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。
公司至少每年进行一次内部审核,以提供信息确定信息安全管理体系是否:
a)符合
1)组织自身信息安全管理体系的要求;
2)本标准的要求;
b)得到有效的实施和保持。
公司应按【内部审核控制流程】执行如下活动:
c)规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报告。
审核方案应考虑所关注过程的重要性以及以往审核的结果;
d)为每次审核定义审核准则和审核范围;
e)审核员的选择和审核的实施应确保审核过程的客观性和公正性;
f)确保审核结果报告给相关的管理者;
g)保留文件记录信息作为审核方案和审核结果的证据。
9.3管理评审
体系办应每年组织进行一次管理评审并召开安全会议,以确保信息安全管理体系持续的适宜性、充分性和有效性,管理评审按【管理评审控制流程】进行。
管理评审应包括下列方面的考虑:
a)以往管理评审的措施的状态;
b)与信息安全管理体系相关的外部和内部问题的变更;
c)信息安全绩效的反馈,包括下列方面的趋势:
1)不符合和纠正措施;
2)监视和测量结果;
3)审核结果;
4)信息安全目标的实现;
d)相关方的反馈;
e)风险评估的结果和风险处置计划的状态;
f)持续改进的机会。
管理评审的输出应包括与持续改进机会有关的决定,以及变更信息安全管理体系的所有需求,组织应保留文件记录信息作为管理评审结果的证据。
10.0改进
本公司依据【纠正与预防措施控制流程】的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审,持续改进信息安全管理体系的有效性。
10.1不符合和纠正措施
本公司资讯部处理纠正措施,不符合项的责任部门负责采取纠正措施,以消除与信息安全管理体系要求不符合的原因,以防止再发生,纠正措施的实施按【纠正与预防措施控制流程】进行。
针对发生的不符合,公司应:
a)对不符合作出反应,适用时:
1)采取措施控制并纠正不符合;
2)处理后果;
b)为确保不符合不再发生或不在其他地方发生,通过下列方式评价消除不符合原因的措施需求:
1)评审不符合;
2)确定不符合的原因;
3)确定是否存在或可能发生相似的不符合;
c)实施所需的措施;
d)评审所采取纠正措施的有效性;
e)必要时,对信息安全管理体系实施变更。
f)纠正措施应与所遇不符合的影响相适应。
升级会员 