ISO27001信息安全管理手册（10章高阶版）.docx

信息安全管理手册（依据 GB/T 22080-2016 idt IS0/IEC27001:2013 标准编制）编 号：ISMS-A-01版本号：VI. 0编制：日期：2021-8-3审核：日期：2021-8-3批准：日期：2021-8-3受控状态受控文件修订记录版本编写人审核人批准人修订日期修订说明VI. 02021-8-3创建概述1.11.21.3颁布令任命书.手册说明1. 3. 1总则1. 3. 2信息677安全管理手册的批准1.3. 3信息安全管理手册的发放、作废与销毁71. 3. 4信息安全管理手册的修改71. 3. 5信息安全管理手册的换版82. 3. 6信息安全管理手册的控制82 规范性引用文件93 术语和定义94 组织环境94.1 理解组织及其环境94. 2理解相关方的需求和期望94.3确定ISMS的范围94. 4信息安全管理体系104. 4. 1 总则105. 4.2 ISMS体系过程方法105 领导作用115.1 领导作用和承诺II5.2 ISMS管理方针115.3 组织架构、职责和权限115. 3. 1 ISMS管理体系组织架构图116. 3.3职责和权限116 规划126.1 风险和机遇的应对措施127 支持127. 1资源127. 1. 1总则137. 1.2基础设施137. 1.3过程环境137. 1.4监视和测量设备137.2能力147. 3意识147.4沟通147. 5文件记录信息157.5. 1 彳本勾.157. 5. 2文件控制16177. 5. 3记录控制10运行8. 1运行的策划和控制8. 1. 1 1SMS运行总要求8. 2信息安全风险评估1. 2. 1风险评估的方法2. 2. 2识别风险8. 2. 3分析和评价风险9. 2. 4识别和评价风险处理的选择8. 3信息安全风险处置9. 3. 1相关文件绩效评价10. 1监视、测量、分析和评价11. 内部审核12. 管理评审9. 3. 1总则9. 3. 2评审输入9.3.3 p|*ijlJ_ 改进10.1 不符合和纠正措施10.2 持续改进10.3 纠正措施10.4 4预防措施附录1-组织简介附录2-组织架构图附录4-信息安全小组成员附录5-服务器拓扑图附录6-信息安全职责说明1717 118181818 119191919192020202121» 122232324» 52929«01概述1.1颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失,我公司开展贯彻GB/T 22080-2016 idt IS0/1EC 27001:2013信息安全管理体系 要求标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了深圳市><><><科技有限公司信息安全管理手册。信息安全管理手册经评审后，现予以批准发布。信息安全管理手册的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司信息安全管理手册所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。信息安全管理手册是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。信息安全管理手册一经发布，就是强制性文件,全体员工必须认真学习、切实执行。1.2任命书任命书为贯彻执行GB/T 22080-2016 idt TS0/TEC 27001:2013信息安全管理体系 要求，加强对信息管理体系运行的领导，特任命*匕为公司管理者代表。授权信息安全管理者代表有如下职责和权限：1）确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2）负责与信息安全管理体系有关的协调和联络工作；3）确保在整个组织内提高信息安全风险的意识；4）审核风险评估报告、风险处理计划；5）批准发布程序文件；6）主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7）向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本任命书自任命日起生效执行。深圳市XXX科技有限公司总经理：2021-8-3L3手册说明1.3. 1总则信息安全管理手册的编制，是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估，识别出公司的关键资产，并根据资产的不同级别风险采取与之相对应的处理措施。信息安全管理手册为审核信息安全管理体系提供了文件依据。信息安全管理手册证明公司已经按照GB/T 22080-2016 idt IS0/IEC27001:2013标准的要求建立并实际运行一套信息安全管理体系。信息安全管理手册的编制及颁布可以对公司信息安全管理各项活动进行控制，指导公司开展各项业务活动，并通过不断的持续改进来完善信息安全管理体系。1. 3. 2信息安全管理手册的批准管理者代表负责组织信息安全小组编制信息安全管理手册及其相关规章制度，总经理负责批准。L 3. 3信息安全管理手册的发放、作废与销毁（1）综合管理部负责按文件控制程序的要求，进行信息安全管理手册的登记、发放、回收、归档、作废与销毁工作。（2）各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保管。（3）综合管理部按照规定发放修改后的信息安全管理手册，并收回失效的文件做出标识统一处理，确保有效文件的唯一性。（4）综合管理部保留信息安全管理手册修改内容的记录。1. 3. 4信息安全管理手册的修改信息安全管理手册如根据实际情况发生变化时，应用信息安全体系相关部门提出申请，经综合管理部讨论、商议，信息安全代表审核、总经理批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员，综合管理部对手册实施修改后，应及时发布修改信息，通知相关人员。信息安全管理手册的修改分为两种：一是少量的文字性修改。此种修改不改变手册的版本号，只需在本手册的“文档修改记录”如实记录即可，不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级，即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下，需要对本手册进行改版。本手册的改版应该对改版前的信息安全管理手册原件进行保存。在出现下列情况时，信息安全管理手册可以进行修改：信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进内部信息安全提出新的需求组织机构和职能发生变化经营环境和产品结构有调整发现本手册中存在差错或不明确之处引用的法规或体系标准有修改体系审核或管理评审提出改进要求本手册的更改控制按文件管理程序执行1. 3. 5信息安全管理手册的换版信息安全管理手册进行换版，换版应在管理评审时形成决议，重新编制、审批工作。当依据的GB/T 22080-2016 idt TS0/IEC 27001:2013信息安全管理体系有重大变化时，如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。相应的法律法规发生重大变化时，如国家法律法规、政策、标准等发生改变的。信息安全管理手册发生需修改部分超过1/3时。信息安全管理手册执行已满三年时。1. 3. 6信息安全管理手册的控制（1）信息安全管理手册标识分受控文件和非受控文件：受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。非受控文件印制成单行本，作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。（2）信息安全管理手册分为书面文件和电子文件两种。2规范性引用文件GB/T 22080-2016信息技术 安全技术信息安全管理体系要求；GB/T 22081-2016信息安全管理实用规则；与公司运营相关的法律法规和技术标准。3术语和定义本手册采用GB/T 22080-2016 idt TS0/TEC 27001:2013标准的术语和定义,并根据需要在相应章节所描述的要求中，增补了所涉及的术语和定义；本手册出现的术语“产品”指的是公司提供的产品和服务； ISMS-lntegrated Management System的缩写，代表“信息安全管理体系”；4组织环境4.1 理解组织及其环境公司定期识别和信息安全管理目标相关，并影响实现信息安全管理预期结果的内外部问题。4.2 理解相关方的需求和期望本公司确定：a）与ISMS有关的相关方;b）这些相关方与信息安全有关的要求。4. 3确定ISMS的范应用范围:本信息安全管理手册规定了深圳市XXX科技有限公司信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。产品和服务范围：与计算机应用软件的设计、开发及售后服务相关的信息安全管理活动 区域范围： 广东省*组织机构范围：管理层、技术部、销售部、综合管理部4.4信息安全管理体系4. 4. 1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系，提高全员的信息安全意识，对信息安全风险进行有效管理，使全公司贯彻落实安全方针和各项安全措施，保护用户信息和资料，保证的信息资产免遭破坏，降低可能影