ISO27001：2013信息安全管理手册.docx

《ISO27001：2013信息安全管理手册.docx》由会员分享，可在线阅读，更多相关《ISO27001：2013信息安全管理手册.docx（41页珍藏版）》请在第一文库网上搜索。

1、信息靠全管理毛照GB/T 220S0-2016/IS0/IEC 27001:2013编写委员会信息安全管理手册GLSC2020第A/0版编写：审 核：批 准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录序号名称页码01目录102修订页303颁布令404任命书505方针、目标606企业简介807管理手册9第一章范围11第二章规范性引用文件12第三章术语和定义13第四章组织环境164. 1理解组织及其环境164.2理解相关方的需求和期望164.3确定信息安全管理体系范围174.4信息安全管理体系17第五章领导185. 1领导和承诺185.2方针1

2、85.3组织的角色、职责和权限19第六章规划226. 1应对风险和机会的措施226. 1. 1总则226. 1.2信息安全风险评估226. 1.3信息安全风险处置226.2信息安全目的及其实现规划23第七章支持257. 1资源257.2能力277.3意识277.4沟通277.5文件化信息287. 5. 1总则287. 5.2创建和更新287. 5.3文件化信息的控制28第八章运行308. 1运行规划和控制308.2信息安全风险评估308.3信息安全风险处置30第九章绩效评价319. 1监视、测量、分析和评价31第2页序号名称页码9.2内部审核329.3管理评审32第十章改进3510. 1不符合

3、及纠正措施3510.2持续改进35F附录36附录一证照36附录二组织机构图37附录三职能分配要素表38附录四程序文件目录39第3页02修订页序号对应章、节、条号修订内容修改人及时间批准人及批准时间第4页03颁布令为提高我公司的信息安全管理水平，保障公司和客户信息安全，依据GB/T 22080-2016/IS0/IEC 27001 ：2013信息技术 安全技术 信息安全管理体系 要求结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。管理手册阐述了公司信息安全管理，并对公司管理体系提出了具体要求,引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲

4、领和行动准则，也是公司对所有社会、客户的承诺。管理手册是由公司管理者代表负责组织编写，经公司总经理审核批准实施。管理手册A/0版于2020年9月1日发布，并自颁布日起实施。本公司全体员工务必认真学习，并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。在贯彻管理手册中，如发现问题，请及时反馈，以利于进一步修改完善。授权综合部为本管理手册A/0版的管理部门。XXX网络科技有限公司总经理：2020年9月1日第37页04任命书为了贯彻执行GB/T 22080-2016/ISG/IEC 27001:2013信息技术 安全技术信息安全管

5、理体系要求，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。除履行原有职责外，还具有以下的职责和权限如下：(1)确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。(2)向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；(3)负责与信息安全管理体系有关的协调和联络工作；(4)负责确保管理手册的宣传贯彻工作；(5)负责管理体系运行及持续改进活动的日常督导；(6)负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；(7)主持公司内部审核活动，任命内部审核人员；(8)代表公司就公司管理体系有关事宜与外部进行联络。本授权书自

6、任命日起生效执行。总经理：2020年9月1日05方针、目标为提高本公司的信息安全管理水平，保障公司和客户信息安全，本公司建立了信息安全管理制度，制定了信息安全方针和信息安全目标。1公司信息安全方针满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。满足客户需求：始终坚持以客户为关注焦点，遵循着公司“竭尽全力提供物超所值的产品和服务，让客户满意”的发展使命，满足客户的需求。强化风险管理：秉承“预防为主，防治结合”的理念，优化信息安全策略和信息安全管理流程，对运行的信息系统和重要信息资产进行全方位风险预防管控，保护信息系统和重要信息免受各种威胁的损害，使信息安全风险最小化，以确保

7、信息系统业务的连续性。保证信息安全：坚持“安全第一、预防为主”的安全管理方针，定期开展信息安全风险评估，完善信息安全管理制度和管理信息系统灾害的应急预案，及时处理不可接受风险，杜绝可能出现的信息安全事故。遵守法律法规：严格遵守法律法规，自觉增强社会责任感，保障客户和公司的信息安全。实现持续改进：发挥全体员工的潜能，把质量预防机制构筑在每一个业务环节中，进行全面的质量管理，并持续改进。2公司信息安全目标a）不可接受风险处理率=10096b）机密信息泄密事件二0次c）重大突发事件二0次d）客户满意度290%3部门信息安全目标3.1 信息安全管理委员会：a）不可接受风险处理率=100%3. 2综合部

8、：a）审核实施及时率290%b）员工入职培训完成率=100%c）员工保密协议签订率=100%d）计划培训实施率295%e）文件有效率二100%f）文件按时发放率=100%3.3 技术部a）机密信息泄密事件=0次b）大面积感染病毒次数二0次c）成功防范黑客攻击率二100%d）重要信息备份技术率=10096e）计算机故障处理完成率二100%f）产品及时完成率=100%3.4 业务部a）客户满意度290%b）产品退回二0c）投诉二0总经理：fran2020年9月1日06公司简介XXX有限公司位于XX省XX市XXX街道XX号，成立于2019年1月，是一家专注于软件开发、企业信息化建设、网站建设、广告设

9、计的专业型新型电子商务公司。公司主营业务有：网站建设（包含手机端网站、PC端官网订制、公共平台搭建等），订制软件（包含手机软件和电脑软件）、搭建企业信息化平台、广告设计。作为一家专业服务于企业信息化建设的公司，公司拥有一只经验丰富的行业精英组成的的团队，公司自成立一年以来，已经为多家企业完成了网站建设和推广，设计完成了 XXXXX,赢得了众多客户的一致好评。通信信息公司名称公司地址联系人电 话传 真电子信箱07管理手册1概述本管理手册依据GB/T 22080-2016/IS0/IEC 27001:2013信息技术安全技术信息安全管理体系要求以及公司实际情况编制的，是本公司从事信息安全管理有关的

10、活动的纲领性文件，为保持其持续适应性和有效性，明确管理者和持有者的责任，对管理手册的编写、修订、发放等实行统一管理。2依据2. 1 GB/T 22080-2016/IS0/IEC 27001 ：2013信息技术安全技术信息安全管理体系要求3手册的编写和管理职责2.1 管理者代表负责组织管理手册编写、会审、修订并组织宣贯。2.2 由总经理批准颁布实施。3. 3资料管理员负责管理手册发放、回收、登记、保管和控制。3. 4管理手册按“受控”和“非受控”两种版本管理。“受控”版本正本由资料管理员保管，非正本限于本公司内部使用；“非受控”版本对外发放，在对外发放时必须经经理批准并加盖“非受控”标识后方可

11、对外发放。4手册持有者的责任3.1 管理手册是本公司信息安全管理体系运行的纲领性文件，本公司人员必须认真学习、了解信息安全管理管理工作等，熟悉各项规定并严格遵照执行。3.2 管理手册是公司的受控文件，限公司内部使用，应妥善保管，不得遗失、擅自更改、翻印和外借，如有丢失应向资料管理员作书面报告，经管理者代表批准后方可补发。4. 3更改页下发后，按更改内容要求贯彻执行。4.1 持有者调离本公司，必须交回手册，办理回收手续后方可离开。5管理手册的宣传与贯彻4.2 管理手册是本公司活动管理的指导性文件，是开展管理活动的依据和规范，全体人员必须认真学习和掌握管理手册的规定和要求。4.3 管理者代表制定宣

12、传与贯彻计划并组织全体人员学习，使全体人员了解信息安全管理工作，对管理手册中条款作必要的说明和解释，以便在信息安全管理活动中得以正确贯彻和执行。5. 3新调入本公司工作人员，岗前培训内容包含管理手册的学习。6手册的修订5.1 在管理体系活动中，员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。5.2 管理者代表负责收集修改意见和建议，一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。6. 3修订稿由管理者代表组织起草，报总经理审批。修订稿经总经理审核批准后印制，手册持有者更换修订后的管理手册，并对旧版手册进行回收。7手册的改版7.1 当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化，现行管理体系与之不相适应，或上级主管部门要求改版时，管理手册予以改版。7.2 改版工作由管理者代表负责，组织人员编写，新版本由总经理负责审核。新版本自总经理批准颁布实施之日起，旧版本同时废止并予以回收。第一章1.1 本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。1.2 本手册适用于相关方审核本公司信息安全管理能力的依据之一。1. 3本手册是信息安全管理体系文件，满足公司内部管理体系需要。L 4本公司不进行外包，本手册不适用于外包。第