******-1001
**********************有限公司
信息安全管理手册
编号:****-1001 编写:信息安全领导小组 审核:***** 批准:***** 发布版次:第A/0版 生效日期 分发:各部门 状态:受控 2019年5月8日 2019年5月8日 2019年5月8日 2019年5月8日 2019年5月8日 接受部门:
第1页共28页
****-1001
变 更 记 录
变更日期 2019-5-8 版本 A/0 变更说明 初始版本 编写 信息安全领导小组 审核 *** 批准 ***
第2页共28页
****-1001
目录
1、目的和范围 ......................................................................... 4 2、规范性引用文件 ..................................................................... 4 3、术语和定义 ......................................................................... 4 4、组织环境 ........................................................................... 5
4.1 理解组织及其环境 .............................................................. 5 4.2 理解相关方的需求和期望 ........................................................ 5 4.3 确定信息安全管理体系的范围 .................................................... 7 4.4 信息安全管理体系 .............................................................. 7 5 领导力 .............................................................................. 8
5.1 领导力和承诺 .................................................................. 8 5.2 方针 .......................................................................... 8 5.3 组织角色、职责和权限 .......................................................... 8 6、规划 ............................................................................... 9
6.1 应对风险和机会的措施 .......................................................... 9 6.1.1总则 ......................................................................... 9 6.1.2 信息安全风险评估 ........................................................... 10 6.2 信息安全目标和规划实现 ....................................................... 11 7、支持 .............................................................................. 12
7.1 资源 ......................................................................... 12 7.2 能力 ......................................................................... 12 7.3 意识 ......................................................................... 12 7.4 沟通 ......................................................................... 12 7.5 文件化信息 ................................................................... 12 8 运行 ............................................................................... 13
8.1 运行的规划和控制 ............................................................. 13 8.2 信息安全风险评估 ............................................................. 13 8.3 信息安全风险处置 ............................................................. 14 9 绩效评价 ........................................................................... 15
9.1 监视、测量、分析和评价 ....................................................... 15 9.2 内部审核 ..................................................................... 15 9.3 管理评审 ..................................................................... 16 10 改进 .............................................................................. 17
10.1 不符合和纠正措施 ............................................................ 17 10.2 持续改进 .................................................................... 18 附录1:信息安全管理体系组织机构图 .................................................... 19 附录2:信息安全职责权限划分对照表 .................................................... 19 附录3:公司简介 ...................................................................... 24 附录4:信息安全管理手册发布令 ........................................................ 27 附录5:信息安全管理体系管理者代表任命书 .............................................. 28
第3页共28页
****-1001
1、范围
1.1 目的
为了建立、健全本公司信息安全管理体系(简称****),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进****的有效性,特制定本手册。本公司信息安全管理体系符合第4章到第10章的所有要求。
2、规范性引用文件
2.1 ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系—要求》
Information technology -- Security techniques -- Information security management systems --Requirements 2.2 ISO/IEC 27002:2013《信息技术安全技术—信息安全控制措施实用规则》 Information technology -- Security techniques -- Code of practice for information security management
3、术语和定义
本手册旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能按策划运行、信息服务能满足法律法规与顾客要求。
3.1 信息安全定义
信息安全:防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。确保信息的完整性、保密性,可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是充分保护本组织信息资产并给予相关方信心。 3.2 术语
本手册中使用术语的定义采用《信息技术安全技术信息安全管理体系要求》中有关术语的定义。 3.3缩写
****:Information Security Management Systems =信息安全管理体系; SoA: Statement of Applicability =适用性声明;
PDCA: Plan Do Check Action =计划、实施、检查、改进; IDS: Intrusion Detection System =攻击检测系统。
第4页共28页
****-1001
4、组织环境
4.1理解组织及其环境
公司确定了与公司信息安全目标相关并影响实现信息安全管理体系预期结果能力的外部环境、内部环境和风险管理流程环境。确保风险准则制定过程中外部相关方的目标和关注点被加以考虑,与公司的文化、流程、组织架构和战略相匹配。风险管理实施中要考虑需求因素、所需资源、责任和能力及相关记录。
公司的外部环境包括但不限于:
a)社会和文化、政治、法律、监管、金融、技术、经济、自然环境和竞争环境、无论国家、区域或地方;
b)影响公司信息安全目标的主要驱动和趋势; c)与外部利益相关者的价值观的关系。 内部环境包括但不限于: a)治理,组织机构,角色和责任; b)政策、目标、实现目标的战略;
c)能力、资源和知识(资本、时间、人、能力、流程、系统和技术等); d)内部利益相关者的价值观与组织文化之间的关系; e)信息系统、信息流和决策流程; f)合同关系的形成和范围;
随着组织需求变化,风险管理流程环境也要变化,包括: a)识别风险管理活动的目标; b)界定风险管理流程中的责任;
c)及时准确的识别活动、流程、功能、项目、产品、服务和资产及之间的关系; d)确定风险评估方法,界定风险评估管理的方式和有效性; e)识别和判定不得不作出的决定。
本公司主要从事软件开发及服务,具有满足顾客要求,为企业自身利益需要,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。为此应确定影响公司信息安全管理体系实现目标能力的外部环境和内部环境。
外部环境:
近年来国务院及有关政府部门先后颁布了一系列法规政策,为软件行业发展建立了优良的政策环境,在较长时期内对软件行业发展带来促进作用。
第5页共28页