某科技信息安全管理手册.docx

某科技信息安全管理手册版本A/0密级内部限制受控是编号XX-ISMS-Ol信息安全管理手册生效日期核准审查制订2016.3.1修改记录序号修改原因修改内容修改人/时间批准人/时间备注目录O.K信息安全管理手册公布令0.2.管理者代表任命书0.3.公司简介0.4、信息安全方针0.5、信息安全目标1、范围2、引用标准3、术语与定义4、信息安全管理体系4. 1组织环境4.2 懂得有关方的需求与期望4.3 明确信息安全管理体系的范围4.4 信息安全管理体系5、领导1.1 领导与承诺1.2 方针1.3 组织角色、职责与权力6、计划6. 1处置风险与机遇6.1 信息安全目标的计划与实现7、支持6.2 资源6.3 能力7. 3意识8. 4沟通7. 5文档要求8、实施8.1运行计划与操纵8. 2信息安全风险评估8. 3信息安全风险处置9、绩效评价8.1 监视、测量、分析与评价8.2 内部审核9. 3管理评审10、改进10. 1不符合项与纠正措施11. 2持续改进附件：附件一：信息安全职能分配表附件二：信息安全职责附件三：信息安全管理体系程序文件清单附件四：信息安全管理体系作业指导书文件清单0.1信息安全管理手册公布令为提高江苏XXXX科技有限公司的信息安全管理水平，保障企业经营、服务与日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或者安全事故，公司开展贯彻ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求标准的工作，建立文件化的信息安全管理体系，制定了江苏XXXX科技有限公司信息安全管理手册（下列简称手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领与行动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运行、持续改进，是江苏XXXX科技有限公司信息安全管理工作长期遵循的准则。全体职工务必严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规定，努力实现江苏XXXX科技有限公司的管理目标与管理承诺。本手册自颁布之日起生效执行。江苏XXXX科技有限公司总经理：二。一六年三月一日O.2管理者代表任命书兹委任担任江苏XXXX科技有限公司IS027001信息安全管理体系管理者代表。他将履行下列职责及权限：1、负责公司IS027001的推行认证工作，负责组织信息安全管理体系建立、实施与维持，确保公司的信息安全管理体系运作符合信息安全管理体系标准；2、信息安全管理体系内部审核的策划、组织及实施；3、批准信息安全管理体系程序文件；4、代表公司就信息安全的有关事项与外部进行联络。总经理:日期：二。一六年三月一日0.3、公司简介公司组织架构如下图所示:0.4信息安全方针实施风险管理，确保信息安全，保障业务可持续进展。信息安全方针含义：a根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险同意准则。定期进行风险评估，以识别本公司风险的变化。本公司或者环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。b.在日常企业生产与管理中，对信息安全予以重视，全面识别与分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。c建立健全信息安全监督与保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量与监控，持续改进,保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管理与服务的持续与安全，实现企业进展目标。0.5、信息安全目标：本公司信息安全目标：1）安全事件发生次数：重大安全事件目标值：0次/年；较大安全事件目标值：不大于4次/年；通常安全事件目标值：不大于8次/年。2）信息泄密次数：保证各类需要保密的资料（包含电子文档、光盘等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值：0次/年各部门信息安全目标:部门部门信息安全目标统计方式监测频率综合部1、人员招聘手续办理完成率100%；2、人员教育或者培训实施率100%；3、人员离职手续办理完成率100%；4、办公环境消防设施配置率100%；5、办公环境消防设施点检率100%；6、每年至少组织实施完成1次信息安全内审，且资料齐全；7、每年至少组织实施完成1次信息安全管理评审，且资料齐全；8、每年至少进行1次信息安全体系文件评审及更新；9、每年至少组织实施完成1次风险评估。1、查看全部员工入职手续办理情况；2、查看培训计划及培训实施情况；3、查看实际人员离职及手续办理情况；4、现场检查办公环境消防器材配备情况；5、现场检查办公环境消防器材的检修情况；7、展照信息安全内审计划执行内审及改进，及时整理信息安全内审资料；8、按照信息安全管理评审计划执行评审及改进，及时整理信息安全管理评审资料；9、每年集中对信息安全管理体系文件进行评审，必要时进行更新；10、每年组织各有关部门进行风险评估回顾、对新增或者发生变化的信息资产进行风险评估。每年研发部1、网络非正常中断每月1次。2、主机系统非正常中断每月1次。1、以每月的网络中断事件为根据2、以每月的主机系统中断事件为根据每半年其他部门重要文档及数据被正确保管及使用，机密信息泄露次数为0次每半年检查一次日常工作文件及数据是否被正确保管及使用，与机密信息泄露有关事件。每年1、范围1.1 总则为了建立、实施、运行、监视、评审、保持与改进文件化的信息安全管理体系（简称ISMS）,确定信息安全方针与目标，对信息安全风险进行有效管理，确保全体员工懂得并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2 应用1.2. 1覆盖范围本信息安全管理手册规定了江苏XXXX科技有限公司信息安全管理体系的建立与管理、管理职责、内部审核、管理评审与体系持续改进等方面内容。1.2.2删减说明本信息安全管理手册使用了IS0IEC27001:2013标准正文的全部内容，对附录A的删减见适用性声明SoAK2、规范性引用文件ISO/1EC27001:2013信息技术-安全技术-信息安全管理体系要求IS0IEC27002:2013信息技术-安全技术-信息安全管理实施细则3、术语与定义3.3.1ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求、IS0/IEC27002:2013信息技术-安全技术-信息安全管理实施细则规定的术语与定义适用于本信息安全管理手册。3. 3.2本组织、本公司、我司：指江苏XXXX科技有限公司。4、信息安全管理体系3.1 组织环境组织外部环境包含如下几个方面，但并不局限于此： 文化、政治、法律、规章、金融、技术、经济、自然环境与竞争环境，不管是国际、国内、区域或者地方； 影响组织目标的要紧驱动因素与进展趋势； 外部利益有关者的观点与价值观。组织内部环境包含如下几个方面，但并不局限于此： 资源与知识的懂得能力（如：资本、时间、人力、流程、系统与技术）； 信息系统、信息流淌与决策过程（包含正式与非正式的）； 内部利益有关者； 政策，为实现的目标及战略； 观念、价值观、文化； 组织通过的标准与参考模型；以上有关因素将影响公司实现信息安全管理体系的预期成果。3.2 懂得有关方的需求与期望a）与本公司信息安全管理体系有关的有关方有：供方、合同方、顾客及其他第三方访问者。b）各有关方对我司的信息安全需求，包含了信息安全有关法律法规要求与合同规定的义务。3.3 本公司信息安全管理体系的范围与边界本公司根据业务特征、组织结构、地理位置、资产与技术定义了范围与边界，本公司信息安全管理体系的范围包含：a）业务范围：OOOOOO的设计开发与服务的信息安全管理活动；b）信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；C）组织范围：与所述业务有关的部门与所有员工；d）地理范围：。4. 4信息安全管理体系本公司按照IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求规定，参照IS0/IEC27002:2013信息技术-安全技术-信息安全管理有用规则，建立、实施、运行、监视、评审、保持与改进文件化的信息安全管理体系。5领导4.1 领导与承诺本公司通过下列行动证明公司实施了与信息安全管理体系有关的领导工作与承诺：a）确保建立与组织战略目标一致的信息安全方针与信息安全目标；b）确保信息安全管理体系要求集成到组织的管理流程；c）确保提供信息安全管理体系需要的各项资源；d）传达信息安全管理的重要性及信息安全管理体系要求；e）确保信息安全管理体系实现其预期目标；f）指导与支持信息安全团队；g）促使持续改进；h）支持其他有关的管理者在其职责范围内履行管理职责。4.2 方针为了满足适用法律法规及有关方要求，维持公司经营与管理的正常进行，实现业务可持续进展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产与技术定义了ISMS方针，见本信息安全管理手册第0.4条款。该信息安全方针符合下列要求：1）为信息安全目标建立了框架，并为信息安全活动建立整体的方向与原则；2）考虑业务及法律或者法规的要求，及合同的安全义务；3）与组织战略与风险管理相一致的环境下，建立与保持ISMS；4）建立了风险评价的准则；5）经最高管理者批准。5. 3组织角色、职责与权力5. 3.1信息安全组织机构本公司成立了由最高管理者、管理者代表及各部门负责人构成的信息安全委员会，其职责是实现信息安全管理体系方针与本公司承诺，负责制订、落实信息安全管理工作计划，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取有关部门代表构成的运行分析会议的方式，进行信息安全协调与协作，以：a）确保安全活动的执行符合信息安全方针；b）确定如何处理不符合；c）批准信息安全的方法与过程，如风险评估、信息分类；5. 3.2信息安全职责与权限本公司总经理为信息安全最高管理者，对信息安全全面负责，要紧包含：a）组织制定信息安全方针及目标，任命管理者代表，明确管理者代表的职责与权限。b）确保在内部传达满足客户、法律法规与公司信息安全管理要求的重要性。c）为信息安全管理体系配备必要的资源。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门有关信息安全职责分配见信息安全管理职能分配表。各部门应