《ISO27001:2013信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001:2013信息安全管理手册.docx(41页珍藏版)》请在第一文库网上搜索。
1、信息靠全管理毛照GB/T 220S0-2016/IS0/IEC 27001:2013编写委员会信息安全管理手册GLSC2020第A/0版编写:审 核:批 准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录序号名称页码01目录102修订页303颁布令404任命书505方针、目标606企业简介807管理手册9第一章范围11第二章规范性引用文件12第三章术语和定义13第四章组织环境164. 1理解组织及其环境164.2理解相关方的需求和期望164.3确定信息安全管理体系范围174.4信息安全管理体系17第五章领导185. 1领导和承诺185.2方针1
2、85.3组织的角色、职责和权限19第六章规划226. 1应对风险和机会的措施226. 1. 1总则226. 1.2信息安全风险评估226. 1.3信息安全风险处置226.2信息安全目的及其实现规划23第七章支持257. 1资源257.2能力277.3意识277.4沟通277.5文件化信息287. 5. 1总则287. 5.2创建和更新287. 5.3文件化信息的控制28第八章运行308. 1运行规划和控制308.2信息安全风险评估308.3信息安全风险处置30第九章绩效评价319. 1监视、测量、分析和评价31第2页序号名称页码9.2内部审核329.3管理评审32第十章改进3510. 1不符合
3、及纠正措施3510.2持续改进35F附录36附录一证照36附录二组织机构图37附录三职能分配要素表38附录四程序文件目录39第3页02修订页序号对应章、节、条号修订内容修改人及时间批准人及批准时间第4页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 22080-2016/IS0/IEC 27001 :2013信息技术 安全技术 信息安全管理体系 要求结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。管理手册阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲
4、领和行动准则,也是公司对所有社会、客户的承诺。管理手册是由公司管理者代表负责组织编写,经公司总经理审核批准实施。管理手册A/0版于2020年9月1日发布,并自颁布日起实施。本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。在贯彻管理手册中,如发现问题,请及时反馈,以利于进一步修改完善。授权综合部为本管理手册A/0版的管理部门。XXX网络科技有限公司总经理:2020年9月1日第37页04任命书为了贯彻执行GB/T 22080-2016/ISG/IEC 27001:2013信息技术 安全技术信息安全管
5、理体系要求,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。本授权书自
6、任命日起生效执行。总经理:2020年9月1日05方针、目标为提高本公司的信息安全管理水平,保障公司和客户信息安全,本公司建立了信息安全管理制度,制定了信息安全方针和信息安全目标。1公司信息安全方针满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。满足客户需求:始终坚持以客户为关注焦点,遵循着公司“竭尽全力提供物超所值的产品和服务,让客户满意”的发展使命,满足客户的需求。强化风险管理:秉承“预防为主,防治结合”的理念,优化信息安全策略和信息安全管理流程,对运行的信息系统和重要信息资产进行全方位风险预防管控,保护信息系统和重要信息免受各种威胁的损害,使信息安全风险最小化,以确保
7、信息系统业务的连续性。保证信息安全:坚持“安全第一、预防为主”的安全管理方针,定期开展信息安全风险评估,完善信息安全管理制度和管理信息系统灾害的应急预案,及时处理不可接受风险,杜绝可能出现的信息安全事故。遵守法律法规:严格遵守法律法规,自觉增强社会责任感,保障客户和公司的信息安全。实现持续改进:发挥全体员工的潜能,把质量预防机制构筑在每一个业务环节中,进行全面的质量管理,并持续改进。2公司信息安全目标a)不可接受风险处理率=10096b)机密信息泄密事件二0次c)重大突发事件二0次d)客户满意度290%3部门信息安全目标3.1 信息安全管理委员会:a)不可接受风险处理率=100%3. 2综合部
8、:a)审核实施及时率290%b)员工入职培训完成率=100%c)员工保密协议签订率=100%d)计划培训实施率295%e)文件有效率二100%f)文件按时发放率=100%3.3 技术部a)机密信息泄密事件=0次b)大面积感染病毒次数二0次c)成功防范黑客攻击率二100%d)重要信息备份技术率=10096e)计算机故障处理完成率二100%f)产品及时完成率=100%3.4 业务部a)客户满意度290%b)产品退回二0c)投诉二0总经理:fran2020年9月1日06公司简介XXX有限公司位于XX省XX市XXX街道XX号,成立于2019年1月,是一家专注于软件开发、企业信息化建设、网站建设、广告设
9、计的专业型新型电子商务公司。公司主营业务有:网站建设(包含手机端网站、PC端官网订制、公共平台搭建等),订制软件(包含手机软件和电脑软件)、搭建企业信息化平台、广告设计。作为一家专业服务于企业信息化建设的公司,公司拥有一只经验丰富的行业精英组成的的团队,公司自成立一年以来,已经为多家企业完成了网站建设和推广,设计完成了 XXXXX,赢得了众多客户的一致好评。通信信息公司名称公司地址联系人电 话传 真电子信箱07管理手册1概述本管理手册依据GB/T 22080-2016/IS0/IEC 27001:2013信息技术安全技术信息安全管理体系要求以及公司实际情况编制的,是本公司从事信息安全管理有关的
10、活动的纲领性文件,为保持其持续适应性和有效性,明确管理者和持有者的责任,对管理手册的编写、修订、发放等实行统一管理。2依据2. 1 GB/T 22080-2016/IS0/IEC 27001 :2013信息技术安全技术信息安全管理体系要求3手册的编写和管理职责2.1 管理者代表负责组织管理手册编写、会审、修订并组织宣贯。2.2 由总经理批准颁布实施。3. 3资料管理员负责管理手册发放、回收、登记、保管和控制。3. 4管理手册按“受控”和“非受控”两种版本管理。“受控”版本正本由资料管理员保管,非正本限于本公司内部使用;“非受控”版本对外发放,在对外发放时必须经经理批准并加盖“非受控”标识后方可
11、对外发放。4手册持有者的责任3.1 管理手册是本公司信息安全管理体系运行的纲领性文件,本公司人员必须认真学习、了解信息安全管理管理工作等,熟悉各项规定并严格遵照执行。3.2 管理手册是公司的受控文件,限公司内部使用,应妥善保管,不得遗失、擅自更改、翻印和外借,如有丢失应向资料管理员作书面报告,经管理者代表批准后方可补发。4. 3更改页下发后,按更改内容要求贯彻执行。4.1 持有者调离本公司,必须交回手册,办理回收手续后方可离开。5管理手册的宣传与贯彻4.2 管理手册是本公司活动管理的指导性文件,是开展管理活动的依据和规范,全体人员必须认真学习和掌握管理手册的规定和要求。4.3 管理者代表制定宣
12、传与贯彻计划并组织全体人员学习,使全体人员了解信息安全管理工作,对管理手册中条款作必要的说明和解释,以便在信息安全管理活动中得以正确贯彻和执行。5. 3新调入本公司工作人员,岗前培训内容包含管理手册的学习。6手册的修订5.1 在管理体系活动中,员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。5.2 管理者代表负责收集修改意见和建议,一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。6. 3修订稿由管理者代表组织起草,报总经理审批。修订稿经总经理审核批准后印制,手册持有者更换修订后的管理手册,并对旧版手册进行回收。7手册的改版7.1 当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化,现行管理体系与之不相适应,或上级主管部门要求改版时,管理手册予以改版。7.2 改版工作由管理者代表负责,组织人员编写,新版本由总经理负责审核。新版本自总经理批准颁布实施之日起,旧版本同时废止并予以回收。第一章1.1 本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。1.2 本手册适用于相关方审核本公司信息安全管理能力的依据之一。1. 3本手册是信息安全管理体系文件,满足公司内部管理体系需要。L 4本公司不进行外包,本手册不适用于外包。第
免费区 
