1、主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管 理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。*公司*20xx年1月15日03企业概况这里是公司情况介绍哦单位地址:单位地址电 话:单位电话传 真:邮 编:邮编管代:审核人A04信息安全管理方针目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业 和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定 了信息安全目标。信息安全管理方针:数据保密、信息完整、控制风险、持续改进、遵守法律。本公司信息安全管理方针包括内容如下:一、
2、 信息安全管理机制1.公司采用系统的方法,按照ISO/IEC27001:2013建立信息安全管理体 系,全面保护本公司的信息安全。二、 信息安全管理组织2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信 息安全要求,提供信息安全资源。3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理 体系,保证信息安全管理体系的持续适宜性和有效性。4 .在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协 调机构,保证信息安全管理体系的有效运行。5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安 全要求和发展动态,获得对信息安全管理的支持。三、 人员安
3、全6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职 责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规 定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。7.对本公司的相关方,要明确安全要求和安全职责。8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以 提高安全意识。9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全 措施。四、 识别法律、法规、合同中的安全0.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措 施,保证满足安全要求。五、 风险评估1.根据本公司业务信息安全的特点、法律法规要求,建立
4、风险评估程序, 确定风险接受准则。2.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变 化。本公司或环境发生重大变化时,随时评估。3.应根据风险评估的结果,采取相应措施,降低风险。六、 报告安全事件4 .公司建立报告信息安全事件的渠道和相应的主管部门。5.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现 信息安全事件,应立即按照规定的途径进行报告。6.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处 理,并向报告人员反馈处理结果。七、 监督检查7.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检 查、内部审核等。八、 业务持续性8.公司根
5、据风险评估的结果,建立业务持续性计划,抵消信息系统的中断 造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确 保能够及时恢复。9.定期对业务持续性计划进行测试和更新。九、 违反信息安全要求的惩罚0.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。信息安全目标如下:重大信息安全事件(损失达1万以上的)为零。公司发生网络中断时间小于2小时每年。05手册的管理1信息安全管理手册的批准办公室负责组织编制信息安全管理手册,总经理负责批准。2信息安全管理手册的发放、更改、作废与销毁a) 办公室负责按文件管理程序的要求,进行信息安全管理手册的 登记、发放、回收、更改、归档、作废
6、与销毁工作;b) 各相关部门按照受控文件的管理要求对收到的信息安全管理手册进 行使用和保管;c) 办公室按照规定发放修改后的信息安全管理手册,并收回失效的文 件作出标识统一处理,确保有效文件的唯一性;d) 办公室保留信息安全管理手册修改内容的记录。3信息安全管理手册的换版当依据的ISO/IEC27001:2013或ISO/IEC27002:2013标准有重大变化、组织的 结构、内外部环境、生产技术、信息安全风险等发生重大改变及信息安全管 理手册发生需修改部分超过1/3时,应对信息安全管理手册进行换版。 换版应在管理评审时形成决议,重新实施编、审、批工作。4信息安全管理手册的控制a) 本信息安全
7、管理手册标识分受控文件和非受控文件两种:受控文件发放范围为公司领导、各相关部门的负责人、内审员; 非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的 等发给受控范围以外的其他相关人员。b) 信息安全管理手册有书面文件和电子文件,电子版本文件的有效格 式为.doc文档。06信息安全管理手册范围总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理 体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管 理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全 管理体系的有效性,特制定本手册。应用覆盖范围本信息安全管理手册规定了 *公司*信息安全
8、管理体系要求、管理职责、 内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于*公司*电磁屏蔽机房的设计业务活动所涉及 的信息系统、资产及相关信息安全管理活动。删减说明本信息安全管理手册采用了 ISO/IEC27001:2013标准正文的全部内容,对 适用性声明SOA的删减如下:A.14.2.7外包开发 删减理由:公司无此业务规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安 全管理手册的条款。凡是注日期的引用文件,其随后所有的修改单或修订版 均不适用于本标准,然而,办公室应研究是否可使用这些文件的最新版本。凡 是不注日期的引用文件、其最新版本适用
9、于本信息安全管理手册。ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则术语和定义2013信息技术-安全技术-信息安全管理体系-要求、2013信息技术-安全技术-信息安全管理实用规则规定的术语和 定义适用于本信息安全管理手册。本公司指*公司*包括*公司*所属各部门。信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一 定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机 系统。计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计 算机使用
10、,并能自我复制的一组计算机指令或者程序代码。信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用 信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信 息系统的破坏窃密事件。相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。 主要为:政府、上级部门、供方、银行、用户等。组织环境组织及其环境本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边 界,本公司信息安全管理体系的范围包括:a) 本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范 围:与信息管理软件设计开发相关的信息安全管理活动);b) 与所述信息系统有关
11、的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的全部信息资产。e) 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织 范围,见附录A (规范性附录)组织机构图。f) 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了 信息安全管理体系的物理范围和信息安全边界。g) 本公司信息安全管理体系的物理范围为本公司位于单位地址。相关方的需求和期望确定信息安全管理体系的范围体系范围:与信息管理软件设计开发、计算机系统集成相关的信息安全管 理活动本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范 围:与电磁屏蔽机房的设计相关的信息
12、安全管理活动)组织范围:本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范 围,见附录A (规范性附录)组织机构图。物理范围:本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信 息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为本公司位于单位地址。本公司在软件产品的技术开发,设计的管理活动中,按 ISO/IEC27001:2013 信息技术-安全技术-信息安全管理体系-要求规定,参照ISO/IEC27002:2013 信息技术-安全技术-信息安全管理实用规则标准,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。信息安全管理体
13、系使用的过程基于图 1所示的PDCA莫型。图1信息安全管理体系模型领导力领导和承诺我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和 改进信息安全管理体系的承诺提供证据:a) 建立信息安全方针(见本手册第0.4章);b) 确保信息安全目标得以制定(见本手册第 0.4章、适用性声明SoA、风险处理计划及相关记录);c) 建立信息安全的角色和职责;d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持 续改进的重要性;e) 提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息 安全管理体系(见本手册第5.2章);f) 决定接受风险的准则和风险的可接受等级(见信
14、息安全风险管理标准 及相关记录);g)确保内部信息安全管理体系审核(见本手册第 9.2章)得以实施;h)实施信息安全管理体系管理评审(见本手册第 9.3章)。方针满足客户要求,遵守法律法规,实施风险管理,确保信息安全,实现持续 改进。信息安全目标下:组织角色、职责和权限详见附录B规划应对风险和机会的措施为了满足适用法律法规及相关方要求,维持电力整流器开发和经营的正常 进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、 地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册 第0.4条款。该信息安全方针符合以下要求:a) 为信息安全目标建立了框架,并为信息安全活动
15、建立整体的方向和原 则;b) 考虑业务及法律或法规的要求,及合同的安全义务;c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体 系;d) 建立了风险评价的准则;e) 经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制 措施;明确信息安全的管理职责,详见附录 B (规范性附录)信息安全管理职 责明细表;b) 识别并满足适用法律、法规和相关方信息安全要求;c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措 施,保证体系的持续有效性;d) 采用先进有效的设施和技术,处理、传递、储存和保护各类
16、信息,实现 信息共享;e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全 意识和能力;f) 制定并保持完善的业务连续性计划,实现可持续发展。信息安全风险评估6.121风险评估的方法办公室负责制定信息安全风险管理程序,建立识别适用于信息安全管 理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接 受风险的准则并识别风险的可接受等级。6.122识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险管理程 序,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬 件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身 价值、信息分类、保
17、密性、完整性、法律法规符合性要求进行了量化赋值,根 据重要资产判断依据确定是否为重要资产,形成了重要资产清单。同时,根据信息安全风险管理程序,识别了对这些资产的威胁、可能 被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失 可能对资产造成的影响。6.1.2.3分析和评价风险本公司按信息安全风险管理程序,采用 FMEA分析方法,分析和评价 风险:a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的 后果进行赋值;b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施, 判定安全失效发生的可能性,并进行赋值;c) 根据信息安全风险管理程序计算风险等级;
18、d) 根据信息安全风险管理程序及风险接受准则,判断风险为可接受或 需要处理。6.1.2.4识别和评价风险处理的选择办公室组织有关部门根据风险评估的结果,形成风险处理计划,该计 划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的 措施:a)控制风险,米用适当的内部控制措施;b) 接受风险(不可能将所有风险降低为零);c) 避免风险(如物理隔离);d) 转移风险(如将风险转移给保险者、供方、分包商)。信息安全风险处置办公室根据信息安全方针、业务发展要求及风险评估的结果,组织有关部 门制定了信息安全目标,并将目标分解到有关部门
19、(见信息安全适用性声 明):信息安全控制目标获得了信息安全最高责任者的批准。本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施控制目标及控制措施的选择原则来源于 ISO/IEC27001:2013信息技术-安全 技术-信息安全管理体系-要求附录A,具体控制措施参考ISO/IEC27002:2013 信息技术-安全技术-信息安全管理实用规则。制定风险处置计划。对风险处理后的剩余风险,得到了公司最高管理者的批准信息安全目标和规划实现6.2.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查 处理、电子监控、定期技术检查等控制措施并报告结果以实现:a) 及时发现处理结果中的错误
20、、信息安全体系的事故(事件)和隐患;b) 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各 类攻击;c) 使管理者确认人工或自动执行的安全活动达到预期的结果;d) 使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;e) 积累信息安全方面的经验;622根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持, 每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范 围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有 效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本 手册第7章。6.2.3办公室应组织有关部门按照信息安全风
21、险管理程序的要求,采用 FMEA分析方法,对风险处理后的残余风险进行定期评审,以验证残余风险是否 达到可接受的水平,对以下方面变更情况应及时进行风险评估:a) 组织;b) 技术;c) 业务目标和过程;d) 已识别的威胁;e) 实施控制的有效性;f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境 的变化。6.2.4按照计划的时间间隔进行信息安全管理体系内部审核。6.2.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识 别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第 7章。6.2.6考虑监视和评审活动的发现,更新安全计划。6.2.7记录可能对信息安全管
22、理体系有效性或业绩有影响的活动和事情。支持资源本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措 施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系;b) 确保信息安全程序支持业务要求;c) 识别并指出法律法规要求和合同安全责任;d) 通过正确应用所实施的所有控制来保持充分的安全;e) 必要时进行评审,并对评审的结果采取适当措施;f) 需要时,改进信息安全管理体系的有效性。能力组织应:a) 确定员工为完成其本职工作所所需的安全技能;b) 确保员工具备完成工作所需的教育、培训和经验;c) 采取合适的措施确保员工具
23、备相应的技能并对技能进行考核;d) 保留适当的文档信息作为证据。注:适当的措施可能包括,例如:提供培训、指导或重新分派现有员工, 或雇用具备相关技能的人士。意识组织的员工应了解:a) 信息安全方针;b) 个人对于实现信息安全管理的重要性,提高组织信息安全绩效的收益;c) 不符合信息安全管理体系要求所造成的影响。沟通办公室制定并实施人力资源管理程序文件,确保被分配信息安全管理 体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:a) 确定承担信息安全管理体系各工作岗位的职工所必要的能力;b) 提供职业技术教育和技能培训或采取其他的措施来满足这些需求;c) 评价所采取措施的有效性;d)
24、 保留教育、培训、技能、经验和资历的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重 要性,以及如何为实现信息安全管理体系目标做出贡献。文件化信息本公司信息安全管理体系文件包括:a) 文件化的信息安全方针、控制目标,在信息安全管理手册中描述;b) 信息安全管理手册(本手册,包括信息安全适用范围及引用的标 准);c) 本手册要求的信息安全风险管理程序、业务持续性管理程序、 纠正措施管理程序等支持性程序;d) 信息安全管理体系引用的支持性程序。如:文件管理程序、记录 管理程序、内部审核管理程序等;e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;f) 风险评
25、估报告、风险处理计划以及信息安全管理体系要求的记录 类文件;g) 相关的法律、法规和信息安全标准;h) 适用性声明(SoA。创建和更新文件化信息的控制办公室制定并实施文件管理程序,对信息安全管理体系所要求的文件 进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为 保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、 批准、标识、发放、使用、修订、作废、回收等管理工作作出规定,以确保在 使用场所能够及时获得适用文件的有效版本。文件控制应保证:a) 文件发布前得到批准,以确保文件是充分的;b) 必要时对文件进行评审、更新并再次批准;c) 确保文件的更改和现行修订状态得到识别;d) 确保在使用时,可获得相关文件的最新版本;e) 确保文件保持清晰、易于识别;f) 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转 移、存储和最终的销毁;g) 确保外来文件得到识别;h) 确保文件的分发得到控制;i) 防止作废文件的非预期使用;j) 若因任何目的需保留作废文件时,应对其进行适当的标识。运行运行的规划和控制按照PDCA寸体系进行运行。在公司实际推动信息安全体系运行。识别风险分析和评价风险办公室组织有关部门根据风险评估的结果,形成风险处理计划,该计 划明确了风险处理责任部门、负责人、处理方法及起始、完成
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 