信息安全管理手册
0.4 信息安全方针 为保护公司的信息资产,以及软硬件设施、软件、数据、文件等信息的安全,使其免于因外在的威胁或者内部管理不善而遭受泄密、破坏或者遗失的风险,特制定信息安全方针。 公司的信息安全方针是: “高度重视、全面管理、积极预防、持续改进” 此信息安全方针适用于公司全体员工。 此方针由公司领导层和各部门负责人以会议或会签的形式讨论评审通过,并经总经理签字颁发,自颁发之日起开始生效。 此方针由管理层根据公司内、外环境的变化适时予以修订、调整并予以公告。公司全体员工以及相关各方应该随时关注信息安全方针的变化并按照最新的信息安全方针执行。 0.5、信息安全目标: 本公司信息安全目标: 1) 安全事件发生次数: 重大安全事件目标值:0次/年 ,较大安全事件目标值:不大于 4次/年,一般安全事件目标值:不大于8次/年。 2) 信息泄密次数: 保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。 信息泄密次数目标值:0次/年
各部门信息安全目标: 部 门 部门信息安全目标 统计方式 监测频率 1、人员招聘手续办理完成率100%; 2、人员教育或培训实施率100%; 3、人员离职手续办理完成率100%。 4、办公环境消防设施配置率100% 5、办公环境消防设施点检率综合部 100% 6、每年至少组织实施完成1次信息安全内审,且资料齐全; 7、每年至少组织实施完成1次信息安全管理评审,且资料齐全; 8、每年至少进行1次信息安全体系文件评审及更新。 1、查看全部员工入职手续办理情况; 2、查看培训计划及培训实施情况; 3、查看实际人员离职及手续办理情况。 4、现场检查办公环境消防器材配备情况; 5、现场检查办公环境消防器材的检修情况. 6、按照信息安全内审计划执行内审及改进,及时整理信息安全内审资料; 7、按照信息安全管理评审计划执行评审及改进,及时整理信息安全管理评审资料; 8、每年集中对信息安全管理体系文件进行评审,必要时进行更新; 每年 1、每年至少组织实施完成1次风险评估; 2、网络非正常中断每月≤1技术部 次; 3、主机系统非正常中断每月≤1次。 1、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估; 每年 2、以每月的网络中断事件为依据; 3、以每月的主机系统中断事件为依据。 其他部门 重要文档及数据被正确保管及使用,机密信息泄露次数为0 每半年检查一次日常工作文件及数据是否被正确保管及使用,以及机密信息泄露相关事件。 每半年
1、范围 1.1 总则 为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。 1.2 应用 1.2.1覆盖范围 本信息安全管理手册规定了公司信息安全管理体系的建立和管理、管理职责、内部审核、管理评审和体系持续改进等方面内容。 公司信息安全管理体系覆盖范围:信息系统集成、计算机软硬件运行维护服务的信息安全管理活动。 1.2.2删减说明 本信息安全管理手册采用了GB/T 22080-2016/ISO/IEC 27001:2013标准正文的全部内容,对附录A的删减见《适用性声明SoA》,A/0版。 2、规范性引用文件 GB/T 22080-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》 GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》
3、术语和定义 3.3.1 GB/T 22080-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》、GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》规定的术语和定义适用于本《信息安全管理手册》。 3.3.2 本组织、本公司、我司:指公司。 4、组织环境 4.1 组织及其环境 组织外部环境包括如下几个方面,但并不局限于此: ——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境,无论是国际、国内、区域或地方; ——影响组织目标的主要驱动因素和发展趋势; ——外部利益相关者的观点和价值观。 组织内部环境包括如下几个方面,但并不局限于此: ——资源与知识的理解能力(如:资本、时间、人力、流程、系统和技术); ——信息系统、信息流动以及决策过程(包括正式和非正式的); ——内部利益相关者; ——政策,为实现的目标及战略; ——观念、价值观、文化; ——组织通过的标准以及参考模型; 以上相关因素将影响公司实现信息安全管理体系的预期成果。 4.2 理解相关方的需求和期望 a)与本公司信息安全管理体系有关的相关方有:供方、合同方、顾客及其他第三
ISO27001信息安全管理手册
