ISO27001信息安全管理手册.docx

1、ISO27001信息安全管理手册ISO27001：2013科技有限公司信息安全管理手册编号：HB-ISMS-M01（A)状态： 编写：2020年4月1日审核： 2020年4月1日批准： 2020年4月1日发布版次：第A/0版2020年4月1日生效日期2020年4月1日分发：各部门接受部门：所有部门 变 更 记 录变更日期版本变更说明编写审核批准00 目录00 目录 301 颁布令 502 管理者代表授权书 603 企业概况 704 手册的管理 8信息安全管理手册 9a) 范围 9b) 规范性引用文件 10c) 术语和定义 103.1本公司 103.2信息系统 103.3计算机病毒 103.4信

2、息安全事件 103.5相关方 104 组织环境 104.1 理解组织及其环境 114.2 理解相关方的需求和期望 114.3 确定信息安全管理体系的范围 114.4 信息安全管理体系 115 领导 145.1 领导和承诺 145.2 方针 145.3 组织角色、职责和权限 146 规划 146.1 应对风险和机会的措施 146.1.1 总则 146.1.2 信息安全风险评估 156.1.3 信息安全风险处置 156.2信息安全目标和实现规划 167 支持 177.1 资源 177.2 能力 177.3 意识 177.4 沟通 177.5 文件化信息 177.5.1 总则 177.5.2 创建和

3、更新 187.5.3 文件化信息的控制 188 运行 198.1 运行规划和控制 198.2 信息安全风险评估 198.3 信息安全风险处置 199 绩效评价 199.1 监视、测量、分析和评价 199.2 内部审核 209.3 管理评审 2110 改进 2110.1不符合和纠正措施 2110.2持续改进 22附录A：信息安全管理组织结构图 1附录B：信息安全管理职责表 2附录C：信息安全管理程序文件清单 401 颁布令为提高公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻GB/T22080-201

4、6/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了公司信息安全管理手册。信息安全管理手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。信息安全管理手册符合有关信息安全法律、法规要求及GB/T22080-2016/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求标准和企业实际情况，现正式批准发布，自2020年4月1日起实施。企业全体员工必须遵照执

5、行。全体员工必须严格按照信息安全管理手册的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。 总 经 理： 2020年4月1日02 管理者代表授权书为贯彻执行信息安全管理体系，满足GB/T22080-2016/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求标准的要求，加强领导，特任命 为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2负责与信息安全管理体系有关的协调和联络工作；3确保在整个组织内提高信息安全风险的意识

6、；4审核风险评估报告、风险处理计划；5负责组织编写和批准发布程序文件，负责年度培训计划、支持性文件的审批。6主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7向总经理报告信息安全管理体系的运行情况和所有改进要求，包括内外部审核情况。本授权书自任命日起生效执行。 总 经 理： 2020年 4月 1日03 企业概况1 信息安全管理手册的批准行政部负责组织编制信息安全管理手册，总经理负责批准。2 信息安全管理手册的发放、更改、作废与销毁a）行政部负责按文件管理程序的要求，进行信息安全管理手册的登记、发放、回收、更改、归档、作废与销毁工作；b）相关部门按照受控文件的管理要求对收到的信息安

7、全管理手册进行使用和保管；c）行政部按照规定发放修改后的信息安全管理手册，并收回失效的文件做出标识统一处理，确保有效文件的唯一性；d）行政部保留信息安全管理手册修改内容的记录。3 信息安全管理手册的换版当依据的GB/T22080-2016/ISO/IEC 27001:2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及信息安全管理手册发生需修改部分超过1/3时，应对信息安全管理手册进行换版。换版应在管理评审时形成决议，重新实施编、审、批工作。4 信息安全管理手册的控制a）本信息安全管理手册标识分受控文件和非受控文件两种：受控文件发放范围为公司领导、各相关部门的

8、负责人、内审员（除总经理、行政部存档外，其他相关人员均以电子版形式发放）；非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。b）信息安全管理手册有书面文件和电子文件，电子版本文件的有效格式为WORD文档保护格式。信息安全管理手册a)范围从组织环境的角度考虑，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。本信息安全管理手册从组织环境的角度规定了公司信息安全管理体系要求、

9、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于：公司：计算机软件开发相关的信息安全管理活动。本信息安全管理手册采用了GB/T22080-2016/ISO/IEC 27001:2013标准正文的全部内容，其中对标准规范附录A的删减见适用性声明SOA。b)规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册的条款。凡是标注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，相关部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。GB/T22080-2016/ISO/I

10、EC 27001:2013信息技术-安全技术-信息安全管理体系-概述和词汇GB/T22080-2016/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实用规则c)术语和定义 GB/T22080-2016/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-概述和词汇中规定的术语和定义适用于本信息安全管理手册。3.1本公司指上北京神州云动科技股份有限公司。3.2信息系统指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储

11、、传输、检索等处理的人机系统。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。3.4信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3.5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为：政府、上级部门、供方、用户等。4组织环境4.1理解组织及其环境组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题注：确定这些问题涉及到建立组织的外部和内

12、部环境。4.2理解相关方的需求和期望组织应确定：与信息安全管理体系有关的相关方；这些相关方与信息安全有关的要求。注：相关方的要求可能包括法律法规要求和合同义务。4.3确定信息安全管理体系的范围本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全管理体系的边界和适用性，本公司信息安全管理体系的范围包括：a)公司：计算机软件开发相关的信息安全管理活动。b) 与所述活动相关的信息系统；c) 与所述活动相关的各部门（包括行政部，财务部，研发部，市场部）的所有员工；d) 所述活动、产品包含的全部信息资产（不在体系覆盖范围内的相

13、关部门，以公司内部相关方形式出现）。组织范围：本公司信息安全管理体系适用的组织范围，见附录A（规范性附录）组织机构图。4.4信息安全管理体系本公司在日常经营管理活动中，按GB/T22080-2016/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求规定，建立、实施、保持和持续改进信息安全管理体系。信息安全管理体系使用的过程基于图1所示的PDCA模型。图1 信息安全管理体系模型4.2总则本公司信息安全管理体系文件包括：a) 文件化的信息安全方针、控制目标，在信息安全管理手册中描述；b) 信息安全管理手册（本手册，包括信息安全适用范围及引用的标准）；c) 本手册要求的

14、信息安全风险识别与评价管理程序、业务持续性管理程序、纠正预防措施管理程序等支持性程序；d) 信息安全管理体系引用的支持性程序。如：文件管理程序、记录管理程序、内部审核管理程序等；e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；f)风险评估报告、风险处理计划以及信息安全管理体系要求的记录类文件；g) 相关的法律、法规和信息安全标准；h) 适用性声明（SOA）。4.4.1.1文件控制行政部组织制定并实施文件管理程序，对信息安全管理体系所要求的文件进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批

15、准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证：a) 文件发布前得到批准，以确保文件是充分的；b) 当文件实施更改时，对文件进行评审、更新并再次批准；c) 确保文件的更改和现行修订状态得到识别；d) 确保在使用时，可获得相关文件的最新版本；e) 确保文件保持清晰、易于识别；f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g) 确保外来文件（指与公司经营有关的一切外部文件）得到识别；h) 确保文件的分发得到控制；i) 防止作废文件的非预期使用；j) 若因任何目的需保留作废文件时，应对

16、其进行适当的标识。4.4.1.2记录控制4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政部负责组织制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理程序，规定记录的标识、储存、保护、检索、保管、废弃等事项。4.3.3.2 信息安全管理体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事件（事故）的记录。4.3.3.3各部门应根据记录管理程序的要求采取适当的方式妥善保管信息安全记录。5领导5.1领导和承诺高层管理者应通过以下方式展示其关于信息安全管理体系的领导力和承诺：a) 建立信息安全方针和信息安全目标(见本手册第04

17、章)；b) 确保将信息安全管理体系要求整合到组织的业务过程中；c) 确保信息安全管理体系所需资源可用 (见本手册第7.1章)；d) 传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；e) 确保信息安全管理体系实现其预期结果；f) 指挥并支持人员为信息安全管理体系的有效实施做出贡献；g) 促进持续改进；h) 支持其他相关角色在其职责范围内展示他们的领导力。 5.2方针高层管理者应建立信息安全方针。(见信息安全方针目标文件)5.3组织角色、职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责：a)

18、建立并实施信息安全管理体系必要的程序并维持其有效运行；b) 对信息安全管理体系的运行情况向总经理报告。c) 对各部门的信息安全管理体系的运行情况在公司内部进行通告。各部门负责人为本部门信息安全管理责任者，全体员工都应按信息安全管理体系的要求自觉履行信息安全义务；各部门、人员有关信息安全职责分配见附录C（规范性附录）信息安全管理职责明细表和附录D职责分配权限表。6规划6.1 应对风险和机会的措施6.1.1总则 当规划信息安全管理体系时，要考虑公司面临的内外部问题、相关方的要求和期望，确定需要应对的风险和机会。a)确保信息安全管理体系能实现其预期效果；b)防止或减少意外的影响；c)实现持续改进。组

19、织应规划：d)应对这些风险和机会的措施；e)如何i.整合和实施这些措施并将其纳入信息安全管理体系过程；ii.评价这些措施的有效性。6.1.2信息安全风险评估相关部门负责组织制定信息安全风险识别与评价管理程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估依据信息安全风险识别与评价管理程序进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。1）识别风险在已确定的信息安全管理体系范围内，本公司按信息安全风险识别与评价管理程序识别与信息保密性、完整性和可用性损失有关的风险，并确定

20、每个风险的负责人。2）分析和评价风险本公司按信息安全风险识别与评价管理程序规定，分析风险发生的可能性和可能导致的潜在后果，并计算风险等级。根据风险接受准则，判断风险为可接受或需要处理。6.1.3信息安全风险处置组织相关部门根据风险评估的结果，对风险进行处置，确定风险控制措施。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a) 控制风险，采用适当的内部控制措施；b) 接受风险（不可能将所有风险降低为零，但可控制到可接受范围内）；c) 避免风险（如物理隔离）；d) 转移风险（如将风险转移给保险者、供方、分包商）。控制措施的选择原则来源于GB/T22080-2016/ISO/

21、IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求附录A。本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。对风险处置计划要得到风险负责人的批准，风险处置后的剩余风险，也要得到风险责任人的批准。相关部门负责组织编制信息安全适用性声明（SOA）。该声明包括以下方面的内容：a)所选择控制目标与控制措施的概要描述，以及选择的原因；b)对GB/T22080-2016/ISO/IEC 27001:2013附录A中未选用的控制目标及控制措施理由的说明。6.2信息安全目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标，并在全公司发布，参见信息安全方

22、针目标文件。7支持7.1资源本公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需资源。7.2能力公司相关部门组织制定并实施人力资源管理程序文件，达到以下要求：a)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力；b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；c)适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d)保留适当的文件化信息作为能力的证据。注：适用的措施可包括，例如针对现有雇员提供培训、指导或重新分配；雇佣或签约有能力的人员。7.3意识公司通过培训、教训等措施，保证工作人员了解：a)信息安全方针；b)其对信息安全管理体系有效性的贡献

23、，包括改进信息安全绩效带来的益处；c)不符合信息安全管理体系要求带来的影响。7.4沟通公司制定了信息安全沟通管理程序，明确了信息安全管理体系相关的内部和外部的沟通需求，包括：a)沟通内容；b)沟通时间；c)沟通对象；d)谁应负责沟通；e)影响沟通的过程。7.5 文件化信息7.5.1总则本公司信息安全管理体系文件包括：a) 文件化的信息安全方针目标；b) 信息安全管理手册（本手册，包括信息安全适用范围及引用的标准）；c) 本手册要求的信息安全风险识别与评价管理程序、业务持续性管理程序、纠正预防措施管理程序等支持性程序；d) 信息安全管理体系引用的支持性程序。如：文件管理程序、记录管理程序、内部审

24、核管理程序等；e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；f)风险评估报告、风险处理计划以及信息安全管理体系要求的记录类文件；g) 相关的法律、法规和信息安全标准；h) 适用性声明（SOA）。7.5.2创建和更新公司相关部门制定并实施文件管理程序，创建和更新文件化信息时，应确保适当的：a)标识和描述（例如标题、日期、作者或编号）；b)格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；c)对适宜性和充分性的评审和批准。7.5.3文件化信息的控制公司相关部门制定并实施文件管理程序，对信息安全管理体系所要求的文件进行控制。对信息安全管理手册、程序文件、管理规定、作

25、业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件化信息控制应确保：a)在需要的地点和时间，是可用和适宜的；b)得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。为控制文件化信息，适用时，组织应开展以下活动：c)分发，访问，检索和使用；d)存储和保护，包括保持可读性；e)控制变更（例如版本控制）；f)保留和处置。组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息，应得到适当的识别，并予以控制。注：访问隐含着允许仅浏览文件化信息，或

26、允许和授权浏览及更改文件化信息等决定。8运行8.1运行规划和控制公司应针对满足信息安全要求及实施确定的控制措施制定相关的程序和规章制度，所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。公司应详细记录信息安全管理体系运行过程中的各种信息数据，以确保信息安全管理体系是否正在按照计划有效运行。当公司信息安全方针、目标、工作计划和程序、控制措施等发生变更时，应进行管理。计划的变更要按照计划进行控制；非预期的变更要评审变更的影响，确保变更没有负面的影响，必要时采取措施减轻负面影响。公司目前没有外包过程。8.2信息安全风险评估相关部门按照6.1.2章的风险接受准则和风险评

27、估方法，每年至少进行一次风险评估，并产出风险评估报告。当重大变更提出或发生时，也需要执行信息安全风险评估。8.3信息安全风险处置相关部门按照6.1.3章的信息安全风险处置计划进行实施，并按照风险接受准则评价实施效果，对风险处理后的残余风险，得到风险负责人的批准。9绩效评价9.1监视、测量、分析和评价本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a)及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c)使管理者确认人工或自动执行的安全活动达到预

28、期的结果；d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e)积累信息安全方面的经验;根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第9.3章。组织应记录可能对信息安全管理体系有效性或业绩有影响的活动和事情，并进行分析，分析结果上报管理者代表。9.2内部审核组织应建立并实施内部审核管理程序，内部审核管理程序应包括策划和实施审核以及报告结果和保持记录的职责和要求。

29、并按照策划的时间间隔进行内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a) 符合本标准的要求；b) 组织自身对信息安全管理体系的要求；c) 得到有效地实施和保持应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划，确定审核的准则、范围、频次和方法。每次审核前，内审组长应策划编制内审计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。应按审核计划的要求实施审核，包括：a）进行首次会议，明确审核的目的和范围，采用的方法和程序；b）实施现场审核，检查相关文件、

30、记录和凭证，与相关人员进行交流；c）进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；d）审核组长编制审核报告。对审核中提出的不符合项报告，责任部门应编制纠正措施，由行政部组织对受审部门的纠正措施的实施情况进行跟踪、验证；按照记录管理程序的要求，保存审核记录。内部审核报告，应作为管理评审的输入之一。9.3管理评审总经理为确认信息安全管理体系的适宜性、充分性和有效性，每年对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价，以及对安全方针、安全目标的评价。管理评审的结果应形成书面记录。在管理评审时，管理者代表应组织相关部门提供以下资料，供最高责任者和信息安全委员会进行评审：a)以往管理评审要求采取措施的状态；b)与信息安全管理体系相关的外部和内部情况的变化