ISO27001信息安全管理手册.docx

德信诚培训网信息安全治理手册〔ISO27001-2013〕目 录0.1 、信息安全治理手册公布令0.2 、治理者代表任命书0.3 、公司简介0.4 、信息安全方针0.5 、信息安全目标1、范围2、引用标准3、术语和定义4、信息安全治理体系4.1 组织环境4.2 理解相关方的需求和期望4.3 明确信息安全治理体系的范围4.4 信息安全治理体系5、领导5.1 领导和承诺5.2 方针5.3 组织角色、职责和权力6、打算6.1 处置风险和机遇6.2 信息安全目标的打算和实现7、支持7.1 资源7.2 力量7.3 意识7.4 沟通更多免费资料下载请进： :// 55top 好好学习社区德信诚培训网7.5 文档要求8、实施8.1 运行打算和掌握8.2 信息安全风险评估8.3 信息安全风险处置9、绩效评价9.1 监视、测量、分析和评价9.2 内部审核9.3 治理评审10、改进10.1 不符合项和订正措施10.2 持续改进附件：附件一：信息安全职能安排表附件二：信息安全职责附件三：信息安全治理体系程序文件清单附件四：信息安全治理体系作业指导书文件清单更多免费资料下载请进： :// 55top 好好学习社区德信诚培训网0.1 信息安全治理手册公布令为提高 XXXXX 科技的信息安全治理水平，保障企业经营、效劳和日常治理活动， 防止由于信息系统的中断、数据的丧失、敏感信息的泄密所导致的业务中断或安全事故，公司开展贯彻 ISO/IEC 27001:2013《信息技术-安全技术-信息安全治理体系要求》标准的工作， 建立文件化的信息安全治理体系，制定了 XXXXX 科技《信息安全治理手册》〔以下简称手册〕。

本手册是企业的法规性文件，是指导企业建立并实施信息安全治理体系的纲领和行动准则，用于贯彻企业的信息安全治理方针、治理目标，实现信息安全治理体系有效运行、持续改进，是 XXXXX 科技信息安全治理工作长期遵循的准则全体职工必需严格依据手册的要求，自觉执行治理方针，贯彻实施本手册的各项规定， 努力实现 XXXXX 科技的治理目标和治理承诺本手册自公布之日起生效执行XXXXX 科技总经理： 二〇一六年三月一日更多免费资料下载请进： :// 55top 好好学习社区财务部德信诚培训网0.2 治理者代表任命书兹委任 担当 XXXXX 科技 ISO27001 信息安全治理体系治理者代表他将履行以下职责及权限：1、 负责公司 ISO27001 的推行认证工作，负责组织信息安全治理体系建立、实施和维持，确保公司的信息安全治理体系运作符合信息安全治理体系标准；2、 信息安全治理体系内部审核的筹划、组织及实施；3、 批准信息安全治理体系程序文件；4、 代表公司就信息安全的有关事项和外部进展联络总经理：日 期：二〇一六年三月一日0.3 、公司简介公司组织架构如以下图所示：总 经 理治理者代表信息安全委员销售部技术部研发部综合部更多免费资料下载请进： :// 55top 好好学习社区0.4 信息安全方针德信诚培训网实施风险治理，确保信息安全，保障业务可持续进展。

信息安全方针含义:a. 依据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险承受准则定期进展风险评估，以识别本公司风险的变化本公司或环境发生重大变化时，随时评估应依据风险评估的结果，实行相应措施，降低风险b. 在日常企业生产和治理中，对信息安全予以重视，全面识别和分析全部信息资产， 系统考虑企业信息系统薄弱点、可能存在的威逼，考虑本钱、利益、风险的综合平衡，对资产进展分类保护，以适宜的本钱到达系统保护的要求c. 建立健全信息安全监视和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全治理通过测量和监控，持续改进，保证信息安全治理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、治理和效劳的持续和安全，实现企业进展目标更多免费资料下载请进： :// 55top 好好学习社区德信诚培训网0.5 、信息安全目标：本公司信息安全目标： 1)安全大事发生次数：重大安全大事目标值：0 次/年 ；较大安全大事目标值：不大于 4 次/年；一般安全大事目标值：不大于 8 次/年2)信息泄密次数：保证各种需要保密的资料〔包括电子文档、光盘等〕不被泄密，确保隐秘、机密信息不泄漏给非授权人员。

信息泄密次数目标值：0 次/年各部门信息安全目标：部 门 部门信息安全目标 统计方式 监测频率1 、人员聘请手续办理完成率100%；2、人员教育或培训实施率 100%；3 、人员离职手续办理完成率100%；4 、办公环境消防设施配置率100%；5 、办公环境消防设施点检率综合部 100%；6、每年至少组织实施完成 1 次信息安全内审，且资料齐全；7、每年至少组织实施完成 1 次信息安全治理评审，且资料齐全； 8、每年至少进展 1 次信息安全体系文件评审及更；9、每年至少组织实施完成 1 次风险评估1、查看全部员工入职手续办理状况；2、查看培训打算及培训实施状况；3、查看实际人员离职及手续办理状况；4、现场检查办公环境消防器材配备状况；5、现场检查办公环境消防器材的检修状况；7、依据信息安全内审打算执行内审及改进，准时整理信息安全内审资料； 每年8、依据信息安全治理评审打算执行评审及改进，准时整理信息安全治理评审资料； 9、每年集中对信息安全治理体系文件进展评审，必要时进展更；10、每年组织各相关部门进展风险评估回忆、对增或发生变化的信息资产进展风险评估1、网络非正常中断每月≤1 次 1、以每月的网络中断大事为依据 每半研发部 2、主机系统非正常中断每月≤ 1 2、以每月的主机系统中断大事为依据 年次。

其他部 重要文档及数据被正确保管及使门 用，机密信息泄露次数为 0 次每半年检查一次日常工作文件及数据是否被正确保管及使用，以及机密信息泄露相关 每年大事更多免费资料下载请进： :// 55top 好好学习社区德信诚培训网1、范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系〔简称 ISMS〕，确定信息安全方针和目标，对信息安全风险进展有效治理，确保全体员工理解并遵照执行信息安全治理体系文件、持续改进信息安全治理体系的有效性，特制定本手册1.2 应用1.2.1 掩盖范围本信息安全治理手册规定了 XXXXX 科技信息安全治理体系的建立和治理、治理职责、内部审核、治理评审和体系持续改进等方面内容1.2.2 删减说明本信息安全治理手册承受了 ISO/IEC27001:2013 标准正文的全部内容，对附录 A 的删减见《适用性声明 SoA》2、标准性引用文件ISO/IEC 27001:2013《信息技术-安全技术-信息安全治理体系要求》ISO/IEC 27002:2013《信息技术-安全技术-信息安全治理实施细则》3、术语和定义3.3.1 ISO/IEC 27001:2013 《信息技术-安全技术-信息安全治理体系要求》、ISO/IEC 27002:2013《信息技术-安全技术-信息安全治理实施细则》规定的术语和定义适用于本《信息安全治理手册》。

3.3.2 本组织、本公司、我司：指 XXXXX 科技4、信息安全治理体系4.1 组织环境组织外部环境包括如下几个方面，但并不局限于此：——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方；——影响组织目标的主要驱动因素和进展趋势；——外部利益相关者的观点和价值观更多免费资料下载请进： :// 55top 好好学习社区组织内部环境包括如下几个方面，但并不局限于此：德信诚培训网——资源与学问的理解力量〔如：资本、时间、人力、流程、系统和技术〕；——信息系统、信息流淌以及决策过程〔包括正式和非正式的〕；——内部利益相关者；——政策，为实现的目标及战略；——观念、价值观、文化；——组织通过的标准以及参考模型；以上相关因素将影响公司实现信息安全治理体系的预期成果4.2 理解相关方的需求和期望a) 与本公司信息安全治理体系有关的相关方有：供方、合同方、顾客及其他第三方访问者b) 各相关方对我司的信息安全需求，包括了信息安全相关法律法规要求和合同规定的义务4.3 本公司信息安全治理体系的范围和边界本公司依据业务特征、组织构造、地理位置、资产和技术定义了范围和边界，本公司信息安全治理体系的范围包括：a) 业务范围： 的设计开发和效劳的信息安全治理活动；b) 信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；c) 组织范围：与所述业务有关的部门和全部员工；d) 地理范围：。

4.4 信息安全治理体系本公司依据 ISO/IEC 27001:2013《信息技术-安全技术-信息安全治理体系-要求》规定，参照 ISO/IEC 27002:2013《信息技术-安全技术-信息安全治理有用规章》，建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系5 领导5.1 领导和承诺本公司通过以下行动证明公司实施了与信息安全治理体系有关的领导工作与承诺：a) 确保建立与组织战略目标全都的信息安全方针和信息安全目标；b) 确保信息安全治理体系要求集成到组织的治理流程；更多免费资料下载请进： :// 55top 好好学习社区德信诚培训网c) 确保供给信息安全治理体系需要的各项资源；d) 传达信息安全治理的重要性及信息安全治理体系要求；e) 确保信息安全治理体系实现其预期目标；f) 指导和支持信息安全团队；g) 促使持续改进；h) 支持其他相关的治理者在其职责范围内履行治理职责5.2 方针为了满足适用法律法规及相关方要求，维持公司经营和治理的正常进展，实现业务可持续进展的目的本公司依据组织的业务特征、组织构造、地理位置、资产和技术定义了ISMS 方针，见本信息安全治理手册第 0.4 条款。

该信息安全方针符合以下要求：1) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；2) 考虑业务及法律或法规的要求，及合同的安全义务；3) 与组织战略和风险治理相全都的环境下，建立和保持 ISMS；4) 建立了风险评价的准则；5) 经最高治理者批准。