1信息安全管理手册.docx

1、1信息安全管理手册1信息安全管理手册 作者： 日期： 江苏XXXX科技有限公司编 号XX-ISMS-01版 本A/0密 级内部限制受 控是信息安全管理手册生效日期核 准审 查制 订2016.3.1修改记录序号修改原因修改内容修改人/时间批准人/时间备注0.1、信息安全管理手册发布令0.2、管理者代表任命书0.3、公司简介0.4、信息安全方针0.5、信息安全目标1、范围2、引用标准3、术语和定义4、信息安全管理体系4.1 组织环境4.2 理解相关方的需求和期望4.3 明确信息安全管理体系的范围4.4 信息安全管理体系5、领导5.1 领导和承诺5.2 方针 5.3 组织角色、职责和权力6、计划6.

2、1 处置风险和机遇6.2 信息安全目标的计划和实现7、支持7.1 资源 7.2 能力7.3 意识 7.4 沟通 7.5 文档要求8、实施 8.1 运行计划和控制8.2 信息安全风险评估8.3 信息安全风险处置9、绩效评价 9.1 监视、测量、分析和评价9.2 内部审核9.3 管理评审10、改进10.1 不符合项和纠正措施10.2 持续改进附件：附件一：信息安全职能分配表附件二：信息安全职责附件三：信息安全管理体系程序文件清单附件四：信息安全管理体系作业指导书文件清单0.1 信息安全管理手册发布令为提高江苏XXXX科技有限公司的信息安全管理水平，保障企业经营、服务和日常管理活动，防止由于信息系统

3、的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司开展贯彻ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求标准的工作，建立文件化的信息安全管理体系，制定了江苏XXXX科技有限公司信息安全管理手册（以下简称手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运行、持续改进，是江苏XXXX科技有限公司信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规定，努力实现江苏XXXX科技有限公司的管理目标和管理

4、承诺。本手册自颁布之日起生效执行。 江苏XXXX科技有限公司总经理： 二一六年三月一日0.2管理者代表任命书兹委任 担任江苏XXXX科技有限公司ISO27001信息安全管理体系管理者代表。 他将履行以下职责及权限：1、 负责公司ISO27001的推行认证工作，负责组织信息安全管理体系建立、实施和维持，确保公司的信息安全管理体系运作符合信息安全管理体系标准；2、 信息安全管理体系内部审核的策划、组织及实施；3、 批准信息安全管理体系程序文件；4、 代表公司就信息安全的有关事项和外部进行联络。 总经理： 日 期：二一六年三月一日0.3、公司简介公司组织架构如下图所示： 技 术 部 财 务 部 综

5、合 部 研 发 部 销 售 部 0.4 信息安全方针实施风险管理，确保信息安全，保障业务可持续发展。信息安全方针含义:a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，

6、以人为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进，保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管理和服务的持续和安全，实现企业发展目标。 0.5、信息安全目标：本公司信息安全目标：1)安全事件发生次数：重大安全事件目标值：0次/年 ；较大安全事件目标值：不大于 4次/年；一般安全事件目标值：不大于8次/年。2)信息泄密次数：保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值：0次/年各部门信息安全目标：部 门部门信息安全目标统计方式监测频率综合部1、人员招聘手续

7、办理完成率100%；2、人员教育或培训实施率100%；3、人员离职手续办理完成率100%；4、办公环境消防设施配置率100%；5、办公环境消防设施点检率100%；6、每年至少组织实施完成1次信息安全内审，且资料齐全；7、每年至少组织实施完成1次信息安全管理评审，且资料齐全；8、每年至少进行1次信息安全体系文件评审及更新；9、每年至少组织实施完成1次风险评估。1、查看全部员工入职手续办理情况；2、查看培训计划及培训实施情况；3、查看实际人员离职及手续办理情况；4、现场检查办公环境消防器材配备情况；5、现场检查办公环境消防器材的检修情况；7、按照信息安全内审计划执行内审及改进，及时整理信息安全内审

8、资料；8、按照信息安全管理评审计划执行评审及改进，及时整理信息安全管理评审资料；9、每年集中对信息安全管理体系文件进行评审，必要时进行更新；10、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估。每年研发部1、网络非正常中断每月1次。2、主机系统非正常中断每月1次。1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据每半年其他部门重要文档及数据被正确保管及使用，机密信息泄露次数为0次每半年检查一次日常工作文件及数据是否被正确保管及使用，以及机密信息泄露相关事件。每年1、范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简

9、称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2 应用1.2.1覆盖范围本信息安全管理手册规定了江苏XXXX科技有限公司信息安全管理体系的建立和管理、管理职责、内部审核、管理评审和体系持续改进等方面内容。1.2.2删减说明本信息安全管理手册采用了ISO/IEC27001:2013标准正文的全部内容，对附录A的删减见适用性声明SoA。2、规范性引用文件ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求ISO/IEC 27002:2013信息技术-安全技

10、术-信息安全管理实施细则3、术语和定义3.3.1 ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求、ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实施细则规定的术语和定义适用于本信息安全管理手册。3.3.2 本组织、本公司、我司：指江苏XXXX科技有限公司。4、信息安全管理体系4.1 组织环境 组织外部环境包括如下几个方面，但并不局限于此： 文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方； 影响组织目标的主要驱动因素和发展趋势； 外部利益相关者的观点和价值观。 组织内部环境包括如下几个方面，但并不局

11、限于此： 资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）； 信息系统、信息流动以及决策过程（包括正式和非正式的）； 内部利益相关者； 政策，为实现的目标及战略； 观念、价值观、文化； 组织通过的标准以及参考模型；以上相关因素将影响公司实现信息安全管理体系的预期成果。4.2 理解相关方的需求和期望a)与本公司信息安全管理体系有关的相关方有：供方、合同方、顾客及其他第三方访问者。b) 各相关方对我司的信息安全需求，包括了信息安全相关法律法规要求和合同规定的义务。4.3 本公司信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安

12、全管理体系的范围包括：a) 业务范围：。的设计开发和服务的信息安全管理活动；b) 信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；c) 组织范围：与所述业务有关的部门和所有员工；d) 地理范围：。4.4 信息安全管理体系本公司按照ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求规定，参照ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实用规则，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。5 领导5.1 领导和承诺本公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺：a) 确保建立与组织战略目标

13、一致的信息安全方针和信息安全目标；b) 确保信息安全管理体系要求集成到组织的管理流程；c) 确保提供信息安全管理体系需要的各项资源；d) 传达信息安全管理的重要性及信息安全管理体系要求；e) 确保信息安全管理体系实现其预期目标；f) 指导和支持信息安全团队；g) 促使持续改进；h) 支持其他相关的管理者在其职责范围内履行管理职责。5.2 方针为了满足适用法律法规及相关方要求，维持公司经营和管理的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了ISMS方针，见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求：1) 为信息安全目标建立了框

14、架，并为信息安全活动建立整体的方向和原则；2) 考虑业务及法律或法规的要求，及合同的安全义务；3) 与组织战略和风险管理相一致的环境下，建立和保持ISMS；4) 建立了风险评价的准则；5) 经最高管理者批准。5.3 组织角色、职责和权力5.3.1信息安全组织机构本公司成立了由最高管理者、管理者代表及各部门负责人组成的信息安全委员会，其职责是实现信息安全管理体系方针和本公司承诺，负责制订、落实信息安全管理工作计划，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的运行分析会议的方式，进行信息安全协调和协作，以：a) 确保安全活动的执行符合信息安全方针；b) 确定怎

15、样处理不符合；c) 批准信息安全的方法和过程，如风险评估、信息分类；5.3.2信息安全职责和权限本公司总经理为信息安全最高管理者，对信息安全全面负责，主要包括：a) 组织制定信息安全方针及目标，任命管理者代表，明确管理者代表的职责和权限。b）确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。c）为信息安全管理体系配备必要的资源。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门有关信息安全职责分配见信息安全管理职能分配表。各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措

16、施。6.1 处置风险和机遇6.1.1总则为实现公司信息安全管理体系方针和目标，我司参考组织环境中的问题和相关方的需求和，来决定需要被处置的风险和机遇：a) 确保信息安全管理体系可以实现其预期目标；b) 避免或减少不良影响； c) 实现持续改进。 公司对以下方面进行规划：a) 处置风险和机遇的行动；b) 如何1) 将实施行动整合到信息安全管理体系流程中；2) 评价行动的有效性。6.1.2信息安全风险评估公司制定信息安全风险评估控制程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估

17、能产生可比较的和可重复的结果。信息安全风险评估的流程见 图2.风险评估流程图。公司实施信息安全风险评估流程，从而：a) 建立和维护信息安全风险标准，包括：1) 风险接受标准；2) 实施信息安全风险评估的标准；b) 确保信息安全风险评估活动产生一致性，产生有效的和可比较的结果；c) 识别信息安全风险：1) 在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性和可用性的丧失带来的风险；2) 识别风险的属主；d) 分析信息安全风险：1) 评估在信息安全风险评估中识别的风险产生的潜在后果； 2) 评估在信息安全风险评估中识别的风险转化为事件的可能性；3) 确定风险的等级；e

18、) 评价信息安全风险：1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较；2) 根据风险等级确定风险处置的优先级。 f) 组织保留有关信息安全风险评估的过程文档。 6.1.3 信息安全风险处置 公司根据风险评估的结果，形成风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施： a)采用适当的内部控制措施；b)接受风险（不可能将所有风险降低为零）；c)避免风险（如物理隔离）；d)转移风险（如将风险转移给保险者、供方、分包商）。控制目标及控制措施的选择原则来源于ISO/IEC 27001:

19、2013附录A，具体控制措施参考ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实用规则组织保留信息安全风险处置的过程文档。6.2 信息安全目标的计划和实现本公司建立不同职能及层级的信息安全目标。详见本手册0.5章内容。此信息安全目标应：a) 与信息安全方针一致；b) 可度量（如果可操作）；c) 考虑适用的信息安全要求,以及风险评估和风险处置结果；d) 得到沟通；e) 及时更新。 信息安全目标以文档化形式保留。在规划如何实现信息安全目标时，公司明确：a) 要做什么；b) 需要什么资源；c) 谁来负责；d) 什么时候完成；e) 如何评价结果。7.1 资源本公司确定并提供实施、

20、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证：a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系；b) 确保信息安全程序支持业务要求；c) 识别并指出法律法规要求和合同安全责任；d) 通过正确应用所实施的所有控制来保持充分的安全；e) 必要时进行评审，并对评审的结果采取适当措施；f) 需要时，改进信息安全管理体系的有效性。7.2 能力公司制定并实施人力资源安全管理程序文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a)确定承担信息安全管理体系各工作岗位的职工所必要的能力；b)提供职业技

21、术教育和技能培训或采取其他的措施来满足这些需求；c)评价所采取措施的有效性；d)保留教育、培训、技能、经验和资历的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。7.3 意识公司员工应理解：a) 信息安全方针；b) 个人对于实现信息安全管理的重要性，提高组织信息安全绩效的收益； c) 不符合信息安全管理体系要求所造成的影响。7.4 沟通公司制定信息沟通协调管理规范，以明确与信息安全管理体系相关的内、外部沟通需求，包括： a) 沟通什么；b) 何时沟通； c) 和谁沟通；d) 谁应该沟通；e) 哪种沟通过程有效。7.5 文档

22、要求7.5.1 综述组织的信息安全管理体系包括： a) 符合ISO/IEC27001:2013标准的文件包括：信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件；b) 组织所明确的，表明信息安全管理体系有效性的必要的记录文档。7.5.2创建和更新公司制定并实施文件控制程序，对信息安全管理体系所要求的文件进行管理，以确定：a）识别和描述（例如：标题、日期、作者和版本号）； b）格式（例如：语言、软件版本和图形）与介质（例如：纸质、电子）； c）适宜性和充分性经过评审。7.5.3文档控制 公司制定并实施文件控制程序，对信息安全管理体系所要求的

23、文件进行管理。以确保： a) 在需要的时间和场合可用； b）文档得到充分保护（例如：防止泄密、不当使用或丧失完整性）。 文档控制应保证：a)文件发布前得到批准，以确保文件是充分的；b)必要时对文件进行评审、更新并再次批准；c)确保文件的更改和现行修订状态得到识别；d)确保在使用时，可获得相关文件的最新版本；e)确保文件保持清晰、易于识别；f)确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g)确保外来文件得到识别；h)确保文件的分发得到控制；i)防止作废文件的非预期使用；j)若因任何目的需保留作废文件时，应对其进行适当的标识。8 实施8.1 运行计划和控制为确

24、保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a)形成风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b)为实现已确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责；c)实施所选择的控制措施，以实现控制目标的要求；d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；e)进行信息安全培训，提高全员信息安全意识和能力；f)对信息安全体系的运作进行管理；g)对信息安全所需资源进行管理；h)实施控制程序，对信息安全事故（或征兆）进行迅速反应。公司保留以上必要的过程文档信息，以表明相关过程

25、已按照计划执行。控制计划更改，并审核计划变更的影响，如有必要采取措施减少不利影响。确保外包过程受控。8.2 信息安全风险评估8.2.1识别风险在已确定的信息安全管理体系范围内，按照计划，或者在重大改变提出或发生时进行信息安全风险评估，本公司执行信息安全风险评估控制程序，对所有的资产进行列表识别，并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，形成资产清单。同时，根据信息安全风险评估控制程序，识别对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合

26、规性损失可能对资产造成的影响。8.2.2分析和评价风险本公司按信息安全风险评估控制程序，分析和评价风险：a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b)针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；c)根据信息安全风险评估控制程序计算风险等级；d)根据信息安全风险评估控制程序中的风险接受准则，判断风险为可接受或需要处理。8.3 信息安全风险处置公司根据风险评估的结果，形成了风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置，并保持处置的记录。对风险处理后的

27、剩余风险，得到了管理者的批准。9 绩效评价9.1 监视、测量、分析和评价本公司通过实施监视、测量、分析和评价控制程序以监视、测量、分析和评价公司信息安全管理状况结果，以实现：a)及时发现处理结果中的错误、信息安全体系的事故和隐患；b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c)使管理者确认人工或自动执行的安全活动达到预期的结果；d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e)积累信息安全方面的经验；9.2 内部审核公司建立内部审核控制程序。内部审核控制程序包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔（两次内部审核的

28、间隔不得超过12个月）进行内部信息安全管理体系审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a) 符合本标准的要求和相关法律法规的要求；b) 符合已识别的信息安全要求；c) 得到有效地实施和维护；d) 按预期执行。内部审核的过程文档应清晰地形成记录，并加以保持。9.3 管理评审公司建立并实施管理评审控制程序，公司管理者应按管理评审控制程序规定的时间间隔（两次管理评审的间隔不得超过12个月）评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。管理评审的结果应清晰地形成文件，记录应加以保

29、持。10 改进10.1 不符合和纠正措施公司建立并实施纠正与预防控制程序，当出现不符合情况时：a) 对不符合情况采取措施，如： 1) 采取措施，以控制和改正它；2) 处置影响；b) 明确必要的控制措施，以消除不符合情况产生的原因，确保它不会再发生或在其他地方 发生，通过：1) 评审不符合项；2) 明确不符合项产生的原因；3) 明确是否存在或可能发生类似的不符合项； c) 采取必要的措施；d) 评审已采取的改正措施的有效性； e) 必要时改进信息安全管理体系。纠正措施应与所发生的不符合的影响程度相适应。 组织应保留以下文档信息作为证据：f) 不符合情况的性质和所采取的后续行动；g) 纠正措施的结果。10.2 持续改进本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，不断完善信息安全管理体系的适宜性、充分性和有效性。