ISO27001信息安全体系培训(条款A9-物理与环境安全)

ISO27001培训系列V1.0

ISO 27001信息安全体系培训控制目标和控制措施（条款A9-物理与环境安全）

2009年11月

董翼枫（dongyifeng78@https://www.360docs.net/doc/802717778.html, ）

条款A9

物理和环境安全

A9.1安全区域

?目标：

防止对组织场所和信息的未授权物理访问、损坏和干

扰。

?关键或敏感的信息处理设施要放置在安全区域内，并受到确定的安全边界的保护，包括适当的安全屏障和入口控制。这些设施要在物理上避免未授权访问、损坏和干扰。

?所提供的保护要与所识别的风险相匹配。

控制措施

应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。

实施指南

对于物理安全边界，若合适，下列指南应予以考虑和实施：

a)安全边界应清晰地予以定义，各个边界的设置地点和强度取决于边界内资产的安全要求和风险评

估的结果；

b)包含信息处理设施的建筑物或场地的边界应在物理上是安全的（即，在边界或区域内不应存在可

能易于闯入的任何缺口）；场所的外墙应是坚固结构，所有外部的门要使用控制机制来适当保护，以防止未授权进入，例如，门闩、报警器、锁等；无人看管的门和窗户应上锁，还要考虑窗户的外部保护，尤其是地面一层的窗户；

c)对场所或建筑物的物理访问手段要到位（如有人管理的接待区域或其他控制）；进入场所或建筑

物应仅限于已授权人员；

d)如果可行，应建立物理屏障以防止未授权进入和环境污染；

e)安全边界的所有防火门应可发出报警信号、被监视并经过检验，和墙一起按照合适的地方、国内

和国际标准建立所需的防卫级别；他们应使用故障保护方式按照当地防火规则来运行。

f)应按照地方、国内和国际标准建立适当的入侵检测系统，并定期检测以覆盖所有的外部门窗；要

一直警惕空闲区域；其他区域要提供掩护方法，例如计算机室或通信室；

g)组织管理的信息处理设施应在物理上与第三方管理的设施分开。

控制措施

安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。

实施指南

下列指南应予以考虑：

a)记录访问者进入和离开的日期和时间，所有的访问者要予以监督，除非他们的访问事

前已经经过批准；只能允许他们访问特定的、已授权的目标，并要向他们宣布关于该区域的安全要求和应急程序的说明。

b)访问处理敏感信息或储存敏感信息的区域要受到控制，并且仅限于已授权的人员；认

证控制（例如，访问控制卡加个人识别号）应用于授权和确认所有访问；所有访问的审核踪迹要安全地加以维护。

c)所有雇员、承包方人员和第三方人员以及所有访问者要佩带某种形式的可视标识，如

果遇到无人护送的访问者和未佩带可视标识的任何人应立即通知保安人员。

d)第三方支持服务人员只有在需要时才能有限制的访问安全区域或敏感信息处理设施；

这种访问应被授权并受监视；

e)对安全区域的访问权要定期地予以评审和更新，并在需要时废除（见A8.3.3）。

A9.1.3办公室、房间和设施的安全保护

控制措施

?应为办公室、房间和设施设计并采取物理安全措施。

实施指南

?应考虑下列指南以保护办公室、房间和设施：

a)相关的健康和安全法规、标准要考虑在内；

b)关键设施应坐落在可避免公众进行访问的场地；

c)如果可行，建筑物要不引人注目，并且在建筑物内侧或外侧用不明显的标记给出其用

途的最少指示，以标识信息处理活动的存在；

d)标识敏感信息处理设施位置的目录和内部电话簿不要轻易被公众得到。

A9.1.4外部和环境威胁的安全防护

控制措施

?为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。

实施指南

?要考虑任何邻近区域所带来的安全威胁，例如，邻近建筑物的火灾、屋顶漏水或地下室地板渗水或者街上爆炸。

?要避免火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难的破坏，应考虑以下因素：

a)危险或易燃材料应在离安全区域安全距离以外的地方存放。大批供应品（例如文具）

不应存放于安全区域内；

b)备份设备和备份介质的存放地点应与主要场所有一段安全的距离，以避免影响主要场

所的灾难产生的破坏；

c)应提供适当的灭火设备，并应放在合适的地点。

A9.1.5在安全区域工作

控制措施

?应设计和运用用于安全区域工作的物理保护和指南。

实施指南

?下列指南应予以考虑：

a)只在有必要知道的基础上，员工才应知道安全区域的存在或其中的活动；

b)为了安全原因和减少恶意活动的机会，均应避免在安全区域内进行不受监督的工作；

c)未使用的安全区域在物理上要上锁并周期地予以检查；

d)除非授权，不允许携带摄影、视频、声频或其他记录设备，例如移动设备中的照相机

。

?在安全区域工作的安排包括对工作在安全区域内的雇员、承包方人员和第三方人员的控制，以及对其他发生在安全区域的第三方活动的控制。

A9.1.6公共访问、交接区安全

控制措施

?访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以控制，如果可能，要与信息处理设施隔离，以避免未授权访问。

实施指南

?下列指南应予以考虑：

a)由建筑物外进入交接区的访问应局限于已标识的和已授权的人员；

b)交接区应设计成在无需交货人员获得对本建筑物其他部分的访问权的情况下就能卸下

物资；

c)当内部的门打开时，交接区的外部门应得到安全保护；

d)在进来的物资从交接区运到使用地点之前，要检查是否存在潜在威胁（见A9.2.1））

；

e)进来的物资应按照资产管理程序（见A7.1.1）在场所的入口处进行登记；

f)如果可能，进入和外出的货物应在物理上予以隔离。

A9.2设备安全

?目标：

防止资产的丢失、损坏、失窃或危及资产安全以及组

织活动的中断。

?应保护设备免受物理的和环境的威胁。

?对设备（包括离开组织使用和财产移动）的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的。这样做还要考虑设备安置和处置。可能需要专门的控制用来防止物理威胁以及保护支持性设施，诸如供电和电缆设施。

控制措施

应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

实施指南

下列指南应予以考虑以保护设备：

a)设备应进行适当安置，以尽量减少不必要的对工作区域的访问；

b)应把处理敏感数据的信息处理设施放在适当的限制观测的位置，以减少在其使用期间

信息被窥视的风险，还应保护储存设施以防止未授权访问；

c)要求专门保护的部件要予以隔离，以降低所要求的总体保护等级；

d)应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（

或供水故障）、尘埃、振动、化学影响、电源干扰、通信干扰、电磁辐射和故意破坏；

e)应建立在信息处理设施附近进食、喝饮料和抽烟的指南；

f)对于可能对信息处理设施运行状态产生负面影响的环境条件（例如温度和湿度）要予

以监视；

g)所有建筑物都应采用避雷保护，所有进入的电源和通信线路都应装配雷电保护过滤器

；

h)对于工业环境中的设备，要考虑使用专门的保护方法，例如键盘保护膜；

控制措施

应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。

实施指南

?应有足够的支持性设施（例如电、供水、排污、加热/通风和空调）来支持系统。支持性设施应定期检查并适当的测试以确保他们的功能，减少由于他们的故障或失效带来的风险。应按照设备制造商的说明提供合适的供电。

?对支持关键业务操作的设备，推荐使用支持有序关机或连续运行的不间断电源（UPS）。

电源应急计划要包括UPS故障时要采取的措施。如果电源故障延长，而处理要继续进行，则要考虑备份发电机。应提供足够的燃料供给，以确保在延长的时间内发电机可以进行工作。UPS设备和发电机要定期地检查，以确保它们拥有足够能力，并按照制造商的建议予以测试。另外，如果办公场所很大，则应考虑使用多来源电源或一个单独变电站。

?另外，应急电源开关应位于设备房间应急出口附近，以便紧急情况时快速切断电源。万一主电源出现故障时要提供应急照明。

?要有稳定足够的供水以支持空调、加湿设备和灭火系统（当使用时），供水系统的故障可能破坏设备或阻止有效的灭火。如果需要还应有告警系统来指示水压的降低。

?连接到公共提供商的通信设备应至少有两条不同线路以防止在一条连接路径发生故障时语音服务失效。要有足够的语音服务以满足地方法规对于应急通信的要求。

控制措施

应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。

实施指南

布缆安全的下列指南应予以考虑：

a)进入信息处理设施的电源和通信线路宜在地下，若可能，提供足够的可替换的保护；

b)网络布缆要免受未授权窃听或损坏，例如，利用电缆管道或使路由避开公众区域；

c)为了防止干扰，电源电缆要与通信电缆分开；

d)使用清晰的可识别的电缆和设备记号，以使处理失误最小化，例如，错误网络电缆的

意外配线；

e)使用文件化配线列表减少失误的可能性；

f)对于敏感的或关键的系统，更进一步的控制考虑应包括：

①在检查点和终接点处安装铠装电缆管道和上锁的房间或盒子；

②使用可替换的路由选择和/或传输介质，以提供适当的安全措施；

③使用纤维光缆；

④使用电磁防辐射装置保护电缆；

⑤对于电缆连接的未授权装置要主动实施技术清除、物理检查；

⑥控制对配线盘和电缆室的访问；

A9.2.4设备维护

控制措施

?设备应予以正确地维护，以确保其持续的可用性和完整性。

实施指南

?设备维护的下列指南应予以考虑：

a)要按照供应商推荐的服务时间间隔和规范对设备进行维护；

b)只有已授权的维护人员才可对设备进行修理和服务；

c)要保存所有可疑的或实际的故障以及所有预防和纠正维护的记录；

d)当对设备安排维护时，应实施适当的控制，要考虑维护是由场所内部人

员执行还是由外部人员执行；当需要时，敏感信息需要从设备中删除或者维护人员应该是足够可靠的；

e)应遵守由保险策略所施加的所有要求。

A9.2.5组织场所外的设备安全

控制措施

?应对组织场所的设备采取安全措施，要考虑工作在组织场所以外的不同风险。

实施指南

?无论责任人是谁，在组织场所外使用任何信息处理设备都要通过管理者授权。

?离开办公场所的设备的保护应考虑下列指南：

a)离开建筑物的设备和介质在公共场所不应无人看管。在旅行时便携式计算机要作为手提行李携

带，若可能宜伪装起来；

b)制造商的设备保护说明要始终加以遵守，例如，防止暴露于强电磁场内；

c)家庭工作的控制措施应根据风险评估确定，当适合时，要施加合适的控制措施，例如，可上锁

的存档柜、清理桌面策略、对计算机的访问控制以及与办公室的安全通信；

d)足够的安全保障掩蔽物宜到位，以保护离开办公场所的设备。

?安全风险在不同场所可能有显著不同，例如，损坏、盗窃和截取，要考虑确定最合适的控制措施。

完整版ISO27001信息安全管理手册

信息安全管理手册iso27001 信息安全管理手册V1.0 版本号：

信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职

【精品推荐】ISO27001信息安全管理体系全套文件

目录前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。本国际标准可以用于内部、外部评估其符合性。 0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安全策略和目标的需求； b)在组织的整体业务风险框架下，通过实施及运作控制措施管理组织的信息安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

ISO27001信息安全管理体系

官方网站：https://www.360docs.net/doc/802717778.html, 信息安全管理体系一、申请依据 1、BS 7799-2:2002 《信息安全管理体系规范》； 2、ISO/IEC17799:2000《信息技术-信息安全管理实施细则》。二、申请信息安全管理体系认证的企业类型 1、中华人民共和国境内登记注册的企业法人或事业法人。三、申请条件 1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件； 2、外国企业持有关机构的登记注册证明； 3、申请方的信息安全管理体系已按ISO/IEC27001:2005标准的要求建立，并实施运行3个月以上； 4、至少完成一次内部审核，并进行了管理评审； 5、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。四、申请材料 1、组织法律证明文件，如营业执照及年检证明复印件; 2、组织机构代码证书复印件、税务登记证复印件;

官方网站：https://www.360docs.net/doc/802717778.html, 3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件; 4、申请组织的简介： 5、申请组织的体系文件： 6、申请组织体系文件与GB/T22080-2008/ISO/IEC 27001:2005要求的文件对照说明; 7、申请组织内部审核和管理评审的证明资料; 8、申请组织记录保密性或敏感性声明; 9、认证机构要求申请组织提交的其他补充资料。五、申请流程 1、提交申请材料； 2、申请评审； 3、签订认证合同； 4、阶段审查； 5、认证决定； 6、认证取证。六、服务标准

官方网站：https://www.360docs.net/doc/802717778.html, 1、服务模式：全包模式——由专家上门现场进行业务评估、指导填报申请书、4-6人项目组负责全套资料编制（咨询客户只需要提供法定材料及必要技术文档）、指导并监督落实运行记录、现场审查指导与支持（可专人现场协同）、发证跟踪、取证。 2、服务承诺：包过模式——在客户充分配合情况下，一次通过现场审查，包取证，承诺不过咨询费用全退。八、时间期限 1、申请书递交期限：15-30天内； 2、全套资料交付：15天内； 3、通过现场审查：15天内（具体以认证机构为准）。九、收费标准 1、认证费：无； 2、咨询服务费：与企业规模有关，具体详情欢迎来电咨询四川首翔科技有限公司。四川首翔科技有限公司（首翔军民融合公共服务平台）是经政府权威认定的具有军民融合服务资质的全国性军民融合公共服务平台，专业面向全国企业事业单位提供保密教育培训、企业保密管理咨询和军民融合科技咨询服务、涉密场所（保密室）工程建设、安全保密产品和涉密运维服务。

ISO27001信息安全管理手册

信息安全管理手册（ISO27001-2013）目录 0.1、信息安全管理手册发布令 0.2、管理者代表任命书 0.3、公司简介 0.4、信息安全方针 0.5、信息安全目标 1、范围 2、引用标准 3、术语和定义 4、信息安全管理体系 4.1 组织环境 4.2 理解相关方的需求和期望 4.3 明确信息安全管理体系的范围 4.4 信息安全管理体系 5、领导 5.1 领导和承诺 5.2 方针 5.3 组织角色、职责和权力 6、计划 6.1 处置风险和机遇 6.2 信息安全目标的计划和实现 7、支持 7.1 资源 7.2 能力 7.3 意识 7.4 沟通

7.5 文档要求 8、实施 8.1 运行计划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9、绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10、改进 10.1 不符合项和纠正措施 10.2 持续改进附件：附件一：信息安全职能分配表附件二：信息安全职责附件三：信息安全管理体系程序文件清单附件四：信息安全管理体系作业指导书文件清单

0.1 信息安全管理手册发布令为提高XXXXX科技有限公司的信息安全管理水平，保障企业经营、服务和日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》标准的工作，建立文件化的信息安全管理体系，制定了XXXXX科技有限公司《信息安全管理手册》（以下简称手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运行、持续改进，是XXXXX科技有限公司信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规定，努力实现XXXXX科技有限公司的管理目标和管理承诺。本手册自颁布之日起生效执行。 XXXXX科技有限公司总经理：二〇一六年三月一日

ISO27001信息安全管理手册新版

ISO27001信息安全管理手册版本号：V1.0 受控状态： ■ 受控 □ 非受控日期： 2019年X 月X 日实施日期： 2019年X 月X 日

目录目录 (2) 01 颁布令 (1) 02 管理者代表授权书 (2) 03 公司概况 (3) 04 信息安全管理方针目标 (4) 05 手册的管理 (6) 信息安全管理手册 (7) 1 范围 (7) 1.1总则 (7) 1.2应用 (7) 2 规范性引用文件 (8) 3 术语和定义 (8) 3.1本公司 (8) 3.2信息系统 (8) 3.3计算机病毒 (8) 3.4信息安全事件 (8) 3.5相关方 (8) 4 信息安全管理体系 (9) 4.1概述 (9) 4.2建立和管理信息安全管理体系 (9) 4.3文件要求 (15) 5 管理职责 (18) 5.1管理承诺 (18) 5.2资源管理 (18) 6 内部信息安全管理体系审核 (19) 6.1总则 (19) 6.2内审策划 (19) 6.3内审实施 (19) 7 管理评审 (21)

7.1总则 (21) 7.2评审输入 (21) 7.3评审输出 (21) 7.4评审程序 (22) 8 信息安全管理体系改进 (23) 8.1持续改进 (23) 8.2纠正措施 (23) 8.3预防措施 (23)

01 颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2015年 12月 23 日起实施。企业全体员工必须遵照执行。全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。总经理： 2015年 12 月 23 日

(完整版)ISO27001信息安全管理手册

信息安全管理手册版本号：V1.0

目录 01 颁布令 (1) 02 管理者代表授权书 (2) 03 企业概况 (3) 04 信息安全管理方针目标 (3) 05 手册的管理 (6) 信息安全管理手册 (7) 1 范围 (7) 1.1 总则 (7) 1.2 应用 (7) 2 规范性引用文件 (8) 3 术语和定义 (8) 3.1 本公司 (8) 3.2 信息系统 (8) 3.3 计算机病毒 (8) 3.4 信息安全事件 (8) 3.5 相关方 (8) 4 信息安全管理体系 (9) 4.1 概述 (9) 4.2 建立和管理信息安全管理体系 (9) 4.3 文件要求 (15) 5 管理职责 (18) 5.1 管理承诺 (18) 5.2 资源管理 (18) 6 内部信息安全管理体系审核 (19) 6.1 总则 (19) 6.2 内审策划 (19) 6.3 内审实施 (19) 7 管理评审 (21)

7.1 总则 (21) 7.2 评审输入 (21) 7.3 评审输出 (21) 7.4 评审程序 (22) 8 信息安全管理体系改进 (23) 8.1 持续改进 (23) 8.2 纠正措施 (23) 8.3 预防措施 (23)

ISO27001信息安全风险评估程序

ISO27001信息安全风险评估程序 1.目的本文件为公司执行信息安全风险评估提供指导和规范。本程序的运行结果产生《风险评估报告-（加注日期）》。公司依据风险评估报告编制风险处理计划。 2.适用范围本程序适用风险评估所涉及的所有部门。风险评估工作组成员据此执行风险评估活动。其他相应员工据此理解风险评估的过程，完成自己职责范围内风险评估相关工作。 3.风险评估的实施频率及评审公司规定风险评估活动要定期进行，常规的风险评估每年执行一次，执行风险评估前应对本程序进行评审。遇到以下情况，公司也将启动风险评估：增加了大量新的信息资产；业务环境发生了重大的变化；发生了重大信息安全事件。 4.风险评估方法根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3，公司采用“详细风险分析方法（Detailed Risk Approach）”来实施风险评估，该方法主要包括：风险分析：识别资产、威胁、脆弱性、影响和可能性风险评价：风险＝影响×可能性 5.风险评估流程公司风险评估流程如下图所示：

5.1.确定风险评估范围在执行风险评估前，由信息安全领导小组负责，确定本次风险评估的范围，并明确传达给风险评估工作组。 5.2.建立风险评估工作组在执行风险评估前，由信息安全领导小组负责，建立风险评估工作组，并明确工作组成员职责。 5.3.识别风险

5.3.2.识别威胁及威胁可利用的脆弱性（依下表）。 5.4.分析和评价风险 5.4.1.分析和评价风险发生后对公司的影响（依下表）。风险发生后对公司影响的赋值准则 5.4.2.分析和评价风险发生的可能性（依下表）。

(完整word版)信息安全管理体系(ISO27001ISO20000)所需条件和资料

ISO27001产品概述； ISO/IEC27001 信息安全管理体系（ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，最终再2005年被国际标准化组织（ISO）转化为正式的国际标准，目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施，通过管理体系保障组织全方面的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的信息安全管理。 Plan规划：信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明（SOA）； DO：实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训； Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件；Act：测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。条件： 1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件； 2) 申请方应按照国际有效标准（ISO/IEC27001:2013）的要求在组织内建立信息安全管理体系，并实施运行至少3个月以上； 3) 至少完成一次内部审核，并进行了有效的管理评审； 4) 提供企业业务相关的必备资质：如系统集成资质、安防资质等，并且保证资质的有效性和合法性。材料 1) 法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章； 2) 临时场所清单（如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点）； 3) 至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等； 4) 关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)； 5) 信息安全管理体系方针和目标； 6) 支持信息安全管理体系的规程和控制措施； 7) 风险评估报告（含风险评估方法的描述）； 8) 残余风险报告；

ISO27001信息安全管理体系及ISO 20000 IT服务管理体系

ISO27001信息安全管理体系及ISO 20000 IT服务管理体系 ISO27001介绍 ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。对现代企业来说，将以往被认为是成本中心的IT部门转变成积极的增值服务提供者，是一种挑战，也是机遇，而推动这一机遇成为现实的. ISO20000介绍 ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT 服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。有效融合ISO27001、ISO20000等IT控制和最佳实践，进行必要的体系整合，从而全面提升客户整体IT治理的水平。获取认证应具备的条件应具备相应的资质，（如营业执照、组织机构代码、相关的国家行政审批资质或行业资质），具备相关设施和资源，能正常开展经营活动。能提供三个月以上的经营活动记录。取得认证的程序通常把取得认证的程序分为两个阶段，认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查，重点是核实企业的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。取得认证的效益 ISO27001 1、通过定义、评估和控制风险，确保经营的持续性和能力 2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 3、通过遵守国际标准提高企业竞争能力，提升企业形象 4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失

ISO27001信息安全体系培训(条款A9-物理与环境安全)

完整版ISO27001信息安全管理手册

【精品推荐】ISO27001信息安全管理体系全套文件

ISO27001信息安全管理体系标准中文版

ISO27001信息安全管理体系

ISO27001信息安全管理手册

ISO27001信息安全管理手册新版

(完整版)ISO27001信息安全管理手册

ISO27001信息安全风险评估程序

最新iso27001信息安全手册

(完整word版)信息安全管理体系(ISO27001ISO20000)所需条件和资料

ISO27001信息安全管理体系及ISO 20000 IT服务管理体系