【优质文档】ISO27001信息安全管理手册.pdf
《【优质文档】ISO27001信息安全管理手册.pdf》由会员分享,可在线阅读,更多相关《【优质文档】ISO27001信息安全管理手册.pdf(27页珍藏版)》请在三一文库上搜索。
1、 信息安全管理手册 版本号: V1.0 目录 01 颁布令 1 02 管理者代表授权书 2 03 企业概况 . 3 04 信息安全管理方针目标 3 05 手册的管理 6 信息安全管理手册. 7 1 范围. . 7 1.1 总则 . 7 1.2 应用 . 7 2 规范性引用文件 . . 8 3 术语和定义 . . 8 3.1 本公司 . 8 3.2 信息系统 . 8 3.3 计算机病毒. 8 3.4 信息安全事件. 8 3.5 相关方 . 8 4 信息安全管理体系 . . 9 4.1 概述 . 9 4.2 建立和管理信息安全管理体系. 9 4.3 文件要求 15 5 管理职责 . 18 5.1
2、管理承诺 18 5.2 资源管理 18 6 内部信息安全管理体系审核. 19 6.1 总则 19 6.2 内审策划 19 6.3 内审实施 19 7 管理评审 . 21 7.1 总则 21 7.2 评审输入 21 7.3 评审输出 21 7.4 评审程序 22 8 信息安全管理体系改进 . 23 8.1 持续改进 23 8.2 纠正措施 23 8.3 预防措施 23 01 颁布令 为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全 事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司 开展贯彻 GB/T22080-2008idtISO270
3、01:2005 信息技术 - 安全技术 - 信息安全管理体系要求 国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了信息安全管理 手册 。 信息安全管理手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系 的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效 运行、持续改进,体现企业对社会的承诺。 信息安全管理手册符合有关信息安全法律、GB/T22080-2008idtISO27001:2005 信 息技术 - 安全技术 - 信息安全管理体系 - 要求 标准和企业实际情况, 现正式批准发布,自 2015 年 12 月 23 日起实施。企业全体
4、员工必须遵照执行。 全体员工必须严格按照信息安全管理手册的要求,自觉遵循信息安全管理方针,贯 彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 2015 年 12 月 23 日 02 管理者代表授权书 为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:2005 信息技术 -安 全技术 - 信息安全管理体系 - 要求标准的要求,加强领导,特任命为我公司信息安 全管理者代表。 授权信息安全管理者代表有如下职责和权限: 1确保按照标准的要求, 进行资产识别和风险评估, 全面建立、 实施和保持信息安全管 理体系; 2负责与信息安全管理体系有关的协
5、调和联络工作; 3确保在整个组织内提高信息安全风险的意识; 4审核风险评估报告、风险处理计划; 5批准发布程序文件; 6主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 7 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运 行情况、内外部审核情况。 本授权书自任命日起生效执行。 总 经 理: 2013 年 12 月 23 日 03 公司概况 04 信息安全管理方针目标 为防止由于信息系统的中断、 数据的丢失、敏感信息的泄密所导致的企业和客户的损失, 本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。 信息安全管理方针如下: 强化意识规范
6、行为 数据保密信息完整 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 公司采用系统的方法, 按照 GB/T22080-2008idtISO27001:2005 建立信息安全管理体系, 全面保护本公司的信息安全。 二、信息安全管理组织 1公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求, 提供信息安全资源。 2公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证 信息安全管理体系的持续适宜性和有效性。 3在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保 证信息安全管理体系的有效运行。 4与上级部门、地方政府、相关专
7、业部门建立定期经常性的联系,了解安全要求和发 展动态,获得对信息安全管理的支持。 三、人员安全 1信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动 合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗 位调动或离职人员,应及时调整安全职责和权限。 2对本公司的相关方针,要明确安全要求和安全职责。 3定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意 识。 4全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措
8、施,保证满足安 全要求。 五、风险评估 1根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接 受准则。 2采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司 或环境发生重大变化时,随时评估。 3应根据风险评估的结果,采取相应措施,降低风险。 六、报告安全事件 1公司建立报告信息安全事件的渠道和相应的主管部门。 2全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事 件,应立即按照规定的途径进行报告。 3接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报 告人员反馈处理结果。 七、监督检查 定期对信息安全进行监
9、督检查,包括:日常检查、 专项检查、 技术性检查、 内部审核等。 八、业务持续性 1公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响, 防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。 2定期对业务持续性计划进行测试和更新。 九、违反信息安全要求的惩罚 对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。 信息安全目标如下: 1)确保每年重大信息安全事件(事故)发生次数为零。 2)确保单个重要业务系统每月中断次数不超过1 次,每次中断时间不超过2 小时。 3)确保信息安全事件发现率99% 、上报和处理率 100% 。 05 手册的管理 1
10、 信息安全管理手册的批准 信息安全管理委员会负责组织编制信息安全管理手册,总经理负责批准。 2 信息安全管理手册的发放、更改、作废与销毁 a)行政中心负责按文件和资料管理程序的要求,进行信息安全管理手册的登 记、发放、回收、更改、归档、作废与销毁工作; b)各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保 管; c)行政中心按照规定发放修改后的信息安全管理手册,并收回失效的文件做出标识 统一处理,确保有效文件的唯一性; d)行政中心保留信息安全管理手册修改内容的记录。 3 信息安全管理手册的换版 当依据的 GB/T22080-2008idtISO27001:2005标准有重
11、大变化、组织的结构、内外部环 境、开发技术、信息安全风险等发生重大改变及信息安全管理手册发生需修改部分超过 1/3 时,应对信息安全管理手册进行换版。换版应在管理评审时形成决议,重新实施编 制、审批工作。 4 信息安全管理手册的控制 a)本信息安全管理手册标识分受控文件和非受控文件两种: 受控文件发放范围为公司领导、各相关部门的负责人、内审员; 非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范 围以外的其他相关人员。 b) 信息安全管理手册有书面文件和电子文件。 信息安全管理手册 范围 总则 为了建立、实施、 运行、监视、 评审、保持和改进文件化的信息安全管理体系(简称
12、 ISMS ) , 确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信 息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。 应用 覆盖范围: 本信息安全管理手册规定了DXC 的信息安全管理体系要求、管理职责、内部审核、管理 评审和信息安全管理体系改进等方面内容。 本信息安全管理手册适用于DXC 业务活动所涉及的信息系统、资产及相关信息安全管理 活动,具体见 4.2.2.1条款规定。 删减说明 本信息安全管理手册采用了GB/T22080-2008idtISO27001:2005 标准正文的全部内容, 对 附录 A的删减见适用性声明 。 规范性引用文
13、件 下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册 的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而, 行政中心应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适 用于本信息安全管理手册。 GB/T22080-2008idtISO27001:2005 信息技术 - 安全技术 - 信息安全管理体系 - 要求 GB/T22081-2008idtISO27002:2005 信息技术 - 安全技术 - 信息安全管理实用规则 术语和定义 GB/T22080-2008idtISO27001:2005 信息技术 - 安全技术 - 信息
14、安全管理体系- 要求、 GB/T22081-2008idtISO27002:2005 信息技术 - 安全技术 - 信息安全管理实用规则规定的术 语和定义适用于本信息安全管理手册 。 本公司 指 DXC ,包括 DXC 所属各部门。 信息系统 指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标 和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并 能自我复制的一组计算机指令或者程序代码。 信息安全事件 指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系
15、统从事 的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。 相关方 关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、 供方、银行、用户、电信等。 信息安全管理体系 概述 4.1.1 本 公 司 在 软 件 开 发 、 经 营 、 服 务 和 日 常 管 理 活 动 中 , 按GB/T22080-2008 idtISO27001:2005 信 息 技 术 - 安 全 技 术 - 信 息 安 全 管 理 体 系 - 要 求 规 定 , 参 照 GB/T22081-2008idtISO27002:2005 信息技术 - 安全技术 - 信息安全
16、管理实用规则标准,建 立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。 4.1.2 信息安全管理体系使用的过程基于图1所示的 PDCA 模型。 图 1 信息安全管理体系模型 建立和管理信息安全管理体系 建立信息安全管理体系 4.2.1.1 信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信 息安全管理体系的范围包括: a) 本公司涉及软件开发、营销、服务和日常管理的业务系统; b) 与所述信息系统有关的活动; c) 与所述信息系统有关的部门和所有员工; d) 所述活动、系统及支持性系统包含的全部信息资产。 建立 ISMS
17、实施和运行 ISMS 保持和改进 ISMS 监视和评审 ISMS 相关方 信息安全 要求和 期望 相关方 信息安全 管理 策划 实施 检查 处置 组织范围: 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册 附录 A(规范性附录)信息安全管理体系组织机构图。 物理范围: 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体 系的物理范围和信息安全边界。 本公司信息安全管理体系的物理范围为本公司位于市惠山经济开发区前洲配套区兴洲 路 2 号,科创中心二楼,安全边界详见附录B(规范性附录)办公场所平面图。 4.2.1.2 信息安全管理体系的方针
18、为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持 续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息 安全管理体系方针,见本信息安全管理手册第0.4 条款。 该信息安全方针符合以下要求: a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则; b) 考虑业务及法律或法规的要求,及合同的安全义务; c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系; d) 建立了风险评价的准则; e) 经最高管理者批准。 为实现信息安全管理体系方针,本公司承诺: a) 在各层次建立完整的信息安全管理组织机构,确定信息安全
19、目标和控制措施;明确 信息安全的管理职责 b) 识别并满足适用法律、法规和相关方信息安全要求; c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体 系的持续有效性; d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享; e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力; f) 制定并保持完善的业务连续性计划,实现可持续发展。 4.2.1.3 风险评估的方法 行政中心负责制定信息安全风险评估管理程序,建立识别适用于信息安全管理体系 和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别 风
20、险的可接受等级。信息安全风险评估执行信息安全风险评估管理程序,以保证所选择 的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 4.2.1.4 识别风险 在已确定的信息安全管理体系范围内,本公司按信息安全风险评估管理程序,对所 有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服 务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合 性要求进行了量化赋值,形成了资产识别清单。 同时,根据信息安全风险评估管理程序,识别了对这些资产的威胁、可能被威胁利 用的脆弱性、 识别资产价值、 保密性、完整性和可用性、 合规性损失可能对资产造成的
21、影响。 4.2.1.5 分析和评价风险 本公司按信息安全风险评估管理程序,采用人工分析法,分析和评价风险: a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋 值; b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失 效发生的可能性,并进行赋值; c) 根据信息安全风险评估管理程序计算风险等级; d) 根据信息安全风险评估管理程序及风险接受准则,判断风险为可接受或需要处 理。 4.2.1.6 识别和评价风险处理的选择 行政中心组织有关部门根据风险评估的结果,形成信息安全不可接受风险处理计划, 该计划明确了风险处理责任部门、负责人、目的、范
22、围以及处置策略。 对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施: a) 消减风险(通过适当的控制措施降低风险发生的可能性); b) 接受风险(风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险/ 残余风险); c) 规避风险(决定不进行引起风险的活动,从而避免风险); d) 转移风险(通过购买保险、外包等方法把风险转移到外部机构)。 4.2.1.7选择控制目标与控制措施 行政中心根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信 息安全目标,并将目标分解到有关部门(见适用性声明): a)信息安全控制目标获得了信息安全最高责任者的批准。 b)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 优质文档 优质 文档 ISO27001 信息 安全管理 手册
链接地址:https://www.31doc.com/p-5294787.html