GBT2信息安全管理手册.docx

1、GBT2信息安全管理手册编 写 委 员 会信息安全管理手册GLSC2020第A/0版编 写：审 核：批 准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日 实施时间：2020年9月1日01目录序号名称页码01102修订页303颁布令404任命书505方针、目标606企业简介807管理手册9第一章范围11第二章规范性引用文件12第三章术语和定义13第四章组织环境164.1理解组织及其环境164.2理解相关方的需求和期望164.3确定信息安全管理体系范围174.4信息安全管理体系17第五章领导185.1领导和承诺185.2方针185.3组织的角色、职责和权限19第六章规划226.1应

2、对风险和机会的措施226.1.1总则226.1.2信息安全风险评估226.1.3信息安全风险处置226.2信息安全目的及其实现规划23第七章支持257.1资源257.2能力277.3意识277.4沟通277.5文件化信息287.5.1总则287.5.2创建和更新287.5.3文件化信息的控制28第八章运行308.1运行规划和控制308.2信息安全风险评估308.3信息安全风险处置30第九章绩效评价319.1监视、测量、分析和评价319.2内部审核329.3管理评审32第十章改进3510.1不符合及纠正措施3510.2持续改进35F附录36附录一证照36附录二组织机构图37附录三职能分配要素表3

3、8附录四程序文件目录3902修订页序号对应章、节、条号修订内容修改人及时间批准人及批准时间03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 22080-2016/ISO/IEC 27001:2013信息技术 安全技术 信息安全管理体系 要求结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。管理手册阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。管理手册是由公司管理者代表负责组织编写，经公司总经理审核批准实施。管

4、理手册A/0版于2020年9月1日发布，并自颁布日起实施。 本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。在贯彻管理手册中，如发现问题，请及时反馈，以利于进一步修改完善。授权综合部为本管理手册A/0版的管理部门。 XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013信息技术 安全技术 信息安全管理体系 要求，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。除履行原有职责外，还具有以下的职

5、责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。本授权书自任命日起生效执行。 总经理： 2020年9月1日05方针、目标为提高本公司的信息安全管理水平,保障公司和客户信息安

6、全，本公司建立了信息安全管理制度，制定了信息安全方针和信息安全目标。1 公司信息安全方针满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。满足客户需求：始终坚持以客户为关注焦点，遵循着公司“竭尽全力提供物超所值的产品和服务，让客户满意”的发展使命，满足客户的需求。强化风险管理：秉承“预防为主，防治结合”的理念，优化信息安全策略和信息安全管理流程，对运行的信息系统和重要信息资产进行全方位风险预防管控，保护信息系统和重要信息免受各种威胁的损害，使信息安全风险最小化，以确保信息系统业务的连续性。保证信息安全：坚持“安全第一、预防为主”的安全管理方针，定期开展信息安全风险评估，完善

7、信息安全管理制度和管理信息系统灾害的应急预案，及时处理不可接受风险，杜绝可能出现的信息安全事故。遵守法律法规：严格遵守法律法规，自觉增强社会责任感，保障客户和公司的信息安全。实现持续改进：发挥全体员工的潜能，把质量预防机制构筑在每一个业务环节中，进行全面的质量管理，并持续改进。 2 公司信息安全目标a）不可接受风险处理率=100%b）机密信息泄密事件=0次c）重大突发事件=0次d）客户满意度90% 3部门信息安全目标3.1信息安全管理委员会：a）不可接受风险处理率=100%3.2综合部：a）审核实施及时率90%b）员工入职培训完成率=100%c）员工保密协议签订率=100%d）计划培训实施率9

8、5%e）文件有效率=100%f）文件按时发放率=100%3.3技术部a）机密信息泄密事件=0次b）大面积感染病毒次数=0次c）成功防范黑客攻击率=100%d）重要信息备份技术率=100%e）计算机故障处理完成率=100%f）产品及时完成率=100%3.4业务部a）客户满意度90%b）产品退回=0c）投诉=0 总经理：fran 2020年9月1日06公司简介XXX有限公司位于XX省XX市XXX街道XX号，成立于2019年1月，是一家专注于软件开发、企业信息化建设、网站建设、广告设计的专业型新型电子商务公司。公司主营业务有：网站建设（包含手机端网站、PC端官网订制、公共平台搭建等），订制软件（包含

9、手机软件和电脑软件）、搭建企业信息化平台、广告设计。作为一家专业服务于企业信息化建设的公司，公司拥有一只经验丰富的行业精英组成的的团队，公司自成立一年以来，已经为多家企业完成了网站建设和推广，设计完成了XXXXX，赢得了众多客户的一致好评。通信信息公司名称：公司地址：联 系 人：电 话：传 真：电子信箱：07管理手册1 概述本管理手册依据GB/T 22080-2016/ISO/IEC 27001:2013信息技术 安全技术 信息安全管理体系 要求以及公司实际情况编制的，是本公司从事信息安全管理有关的活动的纲领性文件，为保持其持续适应性和有效性，明确管理者和持有者的责任，对管理手册的编写、修订、

10、发放等实行统一管理。2 依据2.1 GB/T 22080-2016/ISO/IEC 27001:2013信息技术 安全技术 信息安全管理体系 要求3 手册的编写和管理职责3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。3.2由总经理批准颁布实施。3.3资料管理员负责管理手册发放、回收、登记、保管和控制。3.4管理手册按“受控”和“非受控”两种版本管理。“受控”版本正本由资料管理员保管，非正本限于本公司内部使用；“非受控”版本对外发放，在对外发放时必须经经理批准并加盖“非受控”标识后方可对外发放。4 手册持有者的责任4.1管理手册是本公司信息安全管理体系运行的纲领性文件，本公司人员必

11、须认真学习、了解信息安全管理管理工作等，熟悉各项规定并严格遵照执行。4.2管理手册是公司的受控文件，限公司内部使用，应妥善保管，不得遗失、擅自更改、翻印和外借，如有丢失应向资料管理员作书面报告，经管理者代表批准后方可补发。4.3更改页下发后，按更改内容要求贯彻执行。4.4持有者调离本公司，必须交回手册，办理回收手续后方可离开。5 管理手册的宣传与贯彻5.1管理手册是本公司活动管理的指导性文件，是开展管理活动的依据和规范，全体人员必须认真学习和掌握管理手册的规定和要求。5.2管理者代表制定宣传与贯彻计划并组织全体人员学习，使全体人员了解信息安全管理工作，对管理手册中条款作必要的说明和解释，以便在

12、信息安全管理活动中得以正确贯彻和执行。5.3新调入本公司工作人员，岗前培训内容包含管理手册的学习。6 手册的修订6.1在管理体系活动中，员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。6.2管理者代表负责收集修改意见和建议，一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。6.3修订稿由管理者代表组织起草，报总经理审批。修订稿经总经理审核批准后印制，手册持有者更换修订后的管理手册，并对旧版手册进行回收。7 手册的改版7.1当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化，现行管理体系与之不相适应，或上级主管部门要求改版时，管理手册予以改版。7.2 改版

13、工作由管理者代表负责，组织人员编写，新版本由总经理负责审核。新版本自总经理批准颁布实施之日起，旧版本同时废止并予以回收。第一章 范围1.1 本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。1.2 本手册适用于相关方审核本公司信息安全管理能力的依据之一。1.3 本手册是信息安全管理体系文件，满足公司内部管理体系需要。1.4 本公司不进行外包，本手册不适用于外包。第二章 规范性引用文件下列文件对于本手册的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本手册。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本手册。 1）GB/T 22080-201