ISMS-信息安全与服务管理手册.docx

《ISMS-信息安全与服务管理手册.docx》由会员分享，可在线阅读，更多相关《ISMS-信息安全与服务管理手册.docx（48页珍藏版）》请在优知文库上搜索。

1、受控状态:文件编号：ISMS-0001-2022信息安全与服务管理手册(依据ISO/IEC27001:2013ISO/IEC20000.1:2018)0.1发布令40.2任命书50.3公司简介604管理方针与目标61范围92 .引用标准103 .术语和定义114 .组织环境164.1 了解组织及其背景164. 1.1内部问题.164.1. 2组织外部问题.164. 2理解相关方的需求和期望174. 3确定管理体系范围.175. 4管理体系的建立176. 领导力195. 1领导力和承诺195. 2方针195. 3组织的角色、职责和权限206.策划216. 1应对风险和机遇的措施216.2管理目标

2、及其实现策划236.3策划服务管理体系247.支持247.1资源247.2能力257.3意识267.4沟通267.5文档化的信息277. 5.1总则.278. 5.2创建和更新.279. 5.3文档化信息的控制.288.运行298. 1运行策划与控制298. 2信息安全风险评估与服务组合309. 2.1信息安全风险评估.308. 2.2服务交付.308. 2.3服务策划.309. 2.4控制服务生命周期涉及的各相关方3010. 2.5月艮务目录管理.3111. .6资产管理.3112. .7配置管理.318. 3信息安全风险处置及关系和协议.328. 3.2关系与协议总则(SMS8.3.1)3

3、28. 3.3业务关系管理(SMS8.3.2)328. 3.5供应商管理(SMS8.3.4)338. 3.5.1管理外部供应商(SMS8.3.4.1)3310. 3.5.2管理内部供应商和充当供应商的客户(SMS8.3.4.2)348.4供应与需求.348 .4.1服务预算与核算.349 .4.3能力管理.358.5服务设计、构建与转换358.5. 1变更管理.358.5.1.1 变更管理策略358.5.1.2 变更管理启动358.5.1.3 变更管理活动368. 5.2服务设计与转换368.1.1.1 策划新的或变更的服务368.1.1.2 设计378.5.3发布与部署管理.388.6解决与

4、履行388.6.1事牛管理.388.6.2服务请求管理.388.6.3问题管壬里.398.7服务保障391.1.1 7.1服务可用性管理.391.1.2 服务连续性管理.401.1.3 信息安全管理.401.1.1 .1信息安全策略408.73.3 信息安全事件419.绩效评价419. 7监视、测量、分析和评价.4110. 内部审核4211. 3管理评审429. 4月及务报告4410. 1不符合及纠正措施.4410.1.1不符合和纠正措施.4410.12应形成文档化的信息作为以下方面的证据:4510.2持续改进.450.1发布令为提高我公司的信息安全与服务管理水平，保障我公司业务活动的正常进行

5、，防止由于信息系统的中断、数据的丢失、敏感信息的泄密、计划外的服务中断所导致的公司和客户用户的损失，我公司于2022年1月开展贯彻IS027001：2013信息技术-安全技术-信息安全管理体系要求、IS020000.1：2018信息技术-服务管理-服务管理体系要求国际标准工作，建立、实施和持续改进文档化的信息安全与服务管理体系，制定了本公司信息安全与服务管理手册（下简称本手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。本手册符合有关信息安全和服务法律法规要

6、求及ISO27001：2013信息技术-安全技术-信息安全管理体系要求、ISO20000.1：2018信息技术-服务管理-服务管理体系要求国际标准和企业实际情况，现正式批准发布，自2022年1月6日发布之日起实施，公司全体员工必须遵照执行。公司各级干部职工必须严格按照本手册的要求，自觉遵循公司信息安全、服务管理方针,贯彻实施本手册的各项要求，努力实现公司信息安全、服务管理目标。总经理：批准日期:O.2任命书为贯彻执行信息安全与服务管理体系，满足IS027001：2013信息技术-安全技术-信息安全管理体系要求、IS020000.1：2018信息技术-服务管理-服务管理体系要求国际标准的要求，加

7、强公司领导，特任命为我公司信息安全与服务管理体系管理者代表（体系负责人），并授权其如下职责和权限：1 .确保按照标准的要求，全面建立、实施和保持信息安全与服务管理体系；2 .负责信息安全与服务管理体系有关的协调和联络工作；3 .确保信息安全业务风险及服务质量得到有效控制；4 .确保在整个组织内提高信息安全与服务管理能力；5 .传达信息安全、服务管理目标的重要性和持续改善的必要性与重要性；6 .组织信息安全与服务管理体系的内部审核；7 .提供服务资源以满足服务交付、支持及信息安全、服务交付的作业与管理活动；8 .对信息安全与服务管理组织和服务的风险进行管理；9 .信息安全与服务流程的处理、评审、

8、决策等。10 .向最高管理者报告信息安全与服务管理体系及信息安全与服务管理体系的业绩和改进要求,包括信息技术服务管理体系和信息安全管理体系运行情况、内外部审核情况。本任命书自任命之日起生效执行。总经理：批准日期:0.3公司简介0.4管理方针与目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密及计划外的服务中断、对外提供应用软件运维服务质量的下降所导致的企业和客户用户的损失、丢失，本公司建立了信息安全与服务管理体系，制订了信息安全与服务管理方针，确定了信息安全目标。信息安全管理方针：研究企业，服务企业，精心设计，用心服务服务管理方针：以客户为中心，提供精准/专业服务；以流程为导向，超越客户

9、期望本公司信息安全、服务管理方针包括内容如下：一、信息安全管理与服务机制基于风险和机遇分析、适用法律法规的遵守情况，公司采用体系过程的方法，按照IS027001：2013.IS020000.1：2018建立信息安全与服务管理体系，全面保护本公司的信息安全、服务到位。二、信息安全与服务管理组织1 .公司总经理对信息安全与服务工作全面负责，负责批准信息安全、服务管理方针，确定信息安全要求、相关方服务需求，提供信息安全与服务资源。2 .公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。3 .公司运营管理部，保证信息安全与服务管理体系的有效运

10、行。4 .与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全、服务管理的支持。三、人员安全1 .信息安全与服务需要全体员工的参与和支持，全体员工都有保护信息安全与服务的职责，在劳动合同、岗位职责中应包含对信息安全与服务的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整其信息安全、服务职责和权限。2 .对本公司的相关方，要明确安全、服务要求和安全、服务职责。3 .定期对全体员工进行信息安全与服务体系相关教育，包括：技能、职责和意识。以提高安全意识。4 .全体员工及相关方人员必须履行安全职责，执行信息安全、服务方针、程序和安全措

11、施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全与运维服务的要求，采取措施，保证满足安全、服务要求，力争超越。五、风险评估1 .根据本公司业务信息安全与服务管理业务的特点、法律法规要求，建立信息安全风险识别与评价管理程序，确定风险接受准则。2 .采用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。3 .应根据风险评估的结果，采取相应措施，降低风险。4 .为变更请求、服务请求、服务可用性、服务连续性提供输入。六、报告事件1.公司建立报告信息安全与运维服务事件的渠道和相应的主管部门。2,全体员工有报告信息安全与

12、运维服务隐患、威胁、薄弱点、事故的责任，一旦发现信息安全与服务事件，应立即按照规定的途径进行报告。3.接受信息安全与运维服务事件报告的主管部门应记录所有报告，及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查定期对信息安全、运维服务质量进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。八、业务持续性和可用性1 .公司根据风险评估的结果，建立业务持续性和可用性计划，抵消信息系统、运维业务的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。2 .定期对业务持续性和可用性计划进行测试和更新。九、违反信息安全、服务要求的惩罚对违反信息安全方针

13、、服务方针、职责、程序和措施的人员，按规定进行处理。信息安全目标如下：1.信息零泄漏。3 .公司的重大信息安全事故为零。服务目标如下：1 .客户满意度290旅2 .有效投诉W2次；投诉及建议处理及时率：100%3 .客户请求反馈率：100%4 .故障解决率：100机总经理：批准日期:1范围公司从自身组织环境的角度考虑，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全与服务管理体系，确定信息安全、服务方针和目标，对信息安全和服务进行有效管理，确保全体员工理解并遵照执行信息安全与服务管理体系文件、持续改进信息安全与服务管理体系的有效性，特制定本管理手册。本手册规定了公司信息安全与服务管理

14、体系要求、管理职责、运行策划和控制、内部审核、管理评审、信息安全和服务管理体系改进等方面内容。本手册适用于公司所有范围内的信息安全与服务业务活动，包括应用软件的研发、系统集成、运维服务等。本手册依据ISO/IEC27001:2013信息技术-安全技术-信息技术管理体系要求和IS0/IEC20000.1:2018信息技术-服务管理第1部分:服务管理体系要求，结合本行业信息安全与服务业务特点编写，对本公司信息安全与服务管理体系作出了概括性描述，为公司建立、实施、运作和保持信息安全与服务管理体系提供框架。2.引用标准2. 1ISO/IEC27000：2018信息技术-安全技术-信息安全管理体系概述和

15、词汇2.2 IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系要求2.3 IS0/IEC27002:2013信息技术-安全技术-信息安全管理实用规则2.4 IS0/IEC20000.1:2018信息技术-服务管理-服务管理体系要求2.5 IS0/IEC9001:2015质量管理体系要求3.术语和定义3.1 本公司（或公司、我公司）3.2 有关信息安全的术语和定义3.2.1 可用性：保证被授权的使用者需要时能够访问信息及相关资产。3.2.2 保密性：保证信息只被授权的人访问。3.2.3 信息安全：保持信息的保密性、完整性和可用性。3.2.4 信息安全管理体系：是整个管理体系的一部分，建立在业务风险的方法上，以开发、实施、完成、评审和维护信息安全。注：管理体系包括组织的