ISO27001信息安全管理方案手册.docx

合集下载

完整版ISO27001信息安全管理手册

信息安全管理手册iso27001信息安全管理手册V1.0 版本号：信息安全管理手册iso27001录目1 ................................................................ 颁布令 012 ...................................................... 管理者代表授权书 023 ............................................................. 企业概况 033 .................................................. 信息安全管理方针目标 046 ............................................................ 手册的管理057 ......................................................... 信息安全管理手册7 (1)范围7 ............................................................. 1.1 总则7 .............................................................1.2 应用8 (2)规范性引用文件8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司8 ......................................................... 3.2 信息系统8 ....................................................... 3.3 计算机病毒8 ..................................................... 信息安全事件3.48 ........................................................... 相关方3.59. ..................................................... 4 信息安全管理体系9 .............................................................4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系15 ........................................................ 4.3 文件要求18 ............................................................ 管理职责 .518 ........................................................ 管理承诺5.118 ........................................................ 资源管理5.219 ............................................. 6 内部信息安全管理体系审核19 ............................................................ 6.1 总则19 ........................................................ 内审策划6.219 ........................................................ 6.3 内审实施21 ............................................................ .管理评审7iso27001信息安全管理手册7.1 总则 ............................................................217.2 评审输入 ........................................................217.3 评审输出 ........................................................217.4 评审程序 ........................................................228 信息安全管理体系改进 (23)8.1 持续改进 ........................................................238.2 纠正措施 ........................................................238.3 预防措施 ........................................................23iso27001信息安全管理手册01 颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司信息安全管理体系要求》-GB/T22080-2008idtISO27001:2005《信息技术-安全技术开展贯彻国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理。

ISO27001-2013信息安全管理手册

信息安全管理手册版本号：V1.0目录01颁布令 (1)02管理者代表授权书 (2)03企业概况 (3)04信息安全管理方针目标 (3)05手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。

《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。

《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2015年12月23日起实施。

ISO27001信息安全管理手册

b) 如何
1) 将实施行动整合到信息安全管理体系流程中；
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
b）确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c）为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。
2) 识别风险的属主；
d) 分析信息安全风险：
1) 评估在信息安全风险评估中识别的风险产生的潜在后果；
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性；
3) 确定风险的等级；
e) 评价信息安全风险：
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较；
2) 根据风险等级确定风险处置的优先级。
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力；
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求；
c)评价所采取措施的有效性；
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。
GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》

iso27001：2013信息安全管理体系一整套文件(手册+程序)

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

信息安全管理手册-ISO27001

信息安全管理体系管理手册ISMS-M-yyyy版本号：A/1受控状态：■受控□非受控编制审核批准编写组审核人A 总经理yyyy-mm-dd yyyy-mm-dd yyyy-mm-dd日期： 2016年1月8日实施日期： 2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人同意AA/1编写组2017-1-15定版审核人同意B00 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (8)05 手册的管理 (10)06 信息安全管理手册 (11)1 范围 (11)1.1 总则 (11)1.2 应用 (11)2 规范性引用文件 (11)3 术语和定义 (11)3.1 本公司 (12)3.2 信息系统 (12)3.3 计算机病毒 (12)3.4 信息安全事件 (12)3.5 相关方 (12)4 组织环境 (12)4.1 组织及其环境 (12)4.2 相关方的需求和期望 (12)4.3 确定信息安全管理体系的范围 (13)4.4 信息安全管理体系 (13)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (14)5.3 组织角色、职责和权限 (14)6 规划 (14)6.1 应对风险和机会的措施 (15)6.2 信息安全目标和规划实现 (17)7 支持 (18)7.1 资源 (18)7.2 能力 (18)7.3 意识 (18)7.4 沟通 (18)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (20)8.3 信息安全风险处置 (20)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (22)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (23)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)01 颁布令为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司**《信息安全管理手册》。

信息安全手册-ISO27001

任何单位和个人未经南京XXX有限公司的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。

目录1 公5司简介02.I S M S03 .I S M S 组织机构图 (6)手册发布令 (9)04. 05 1 .I S M S. I S M S一..一. 10一..一. 13方针目标批准令．．一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一管理者代表任命书．．一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一目的和范围 (14)1.1 目的 (14)1.2 范围 (14)1.3 删减说明 (14)2.应用标准 (15)3.术语和定义 (15)3.1 信息安全定义 (15)3.2 术语 (15)3.3 缩写 (15)4.组织环境 (15)4.1理解组织及其环境 (15)4.2理解相关方的需求和期望 (16)4.3确定信息安全管理体系的范围 (16)4.4信息安全管理体系 (16)5.领导 (17)5 .1 领5.2 方导和承诺 (17)" (17)5.3 组织角色、职责和权限 (17)6.规划 (18)6 .1 应对风险和机会的措施 (18)6.1.1 总则 (18)6.1.2信息安全风险评估 (18)6.1.3信息安全风险处置 (19)6.2 信息安全目标和规划实现 (20)7.支持 (20)7.1 资源 (20)7 .2能力 (20)7.3 意识 (21)7 .4 沟通·····································································································································2 17 . 5文件记录信息 (21)7.5.1 总则 (21)7.5.2创建和更新 (21)7.5.3文件记录信息的控制 (22)8.运行 (22)8.1运行的规划和控制 (22)8.2信息安全风险评估 (22)8.3信息安全风险处置 (23)9. 绩效评价 (23)9.1监视、测撮、分析和评价 (23)9.2内部审核 (24)9.3管理评审 (24)10.改进 (25)1 0. 1 1 0 .2．一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一. . . 25不符合和纠正措施待续改进 (25)附录A:附录B:信息安全职责说明书 (26)信息安全部门职能分配表 (29)01. 公司简介公司地址：联系方式：。

ISO27001：2022信息安全管理手册

信息安全管理手册目录4 组织环境 (2)4.1 理解组织及其环境 (2)4.2 理解相关方的需求和期望 (2)4.3 确定信息安全管理体系范围 (2)4.4 信息安全管理体系 (2)5 领导作用 (2)5.1 领导作用和承诺 (2)5.2 方针 (2)5.3 组织角色、职责和权限 (3)6 策划 (3)6.1 应对风险和机遇的措施 (3)6.1.1 总则 (3)6.1.2 信息安全风险评估 (3)6.1.3 信息安全风险处置 (3)6.2 信息安全目标及其实现的策划 (4)6.3 变更策划 (4)7 支持 (4)7.1 资源 (4)7.2 能力 (4)7.3 意识 (5)7.4 沟通 (5)7.5 文件化信息 (5)7.5.1 总则 (5)7.5.2 创建和更新 (5)7.5.3 文件化信息的控制 (5)8 运行 (6)8.1 运行策划与控制 (6)8.2 信息安全风险评估 (6)8.3 信息安全风险处置 (6)9 绩效评价 (6)9.1 监视、测量、分析和评价 (6)9.2 内部审核 (6)9.2.1 总则 (6)9.2.2 内部审核方案 (6)9.3 管理评审 (7)9.3.1 总则 (7)9.3.2 管理评审输入 (7)9.3.3 管理评审结果 (7)10 改进 (7)10.1 持续改进 (7)10.2 不符合和纠正措施 (7)4 组织环境4.1 理解组织及其环境组织应确定与其宗旨相关的，且影响其实现信息安全管理体系预期结果的能力相关的外部和内部因素。

4.2 理解相关方的需求和期望组织应确定：a) 与信息安全管理体系有关的相关方；b) 这些相关方的相关要求；c）需要通过信息安全管理体系应对的要求。

注：相关方的要求可包括法律法规要求和合同义务。

4.3 确定信息安全管理体系范围组织应确定信息安全管理体系的边界和适用性以建立其范围。

当确定范围时，组织应考虑：a) 4.1 中提到的外部和内部因素；b) 4.2 中提到的要求c）组织实施活动之间及与其他组织间实施活动的接口和依赖关系。

ISO27001信息安全管理手册

信息安全管理手册版本号：V1.0目录01颁布令 (1)02管理者代表授权书 (2)03企业概况 (3)04信息安全管理方针目标 (3)05手册的管理 (6)信息安全管理手册 (7)1范围 (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 (8)3术语和定义 (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 (21)7.1总则 (21)7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)01颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。

《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2015年12月23日起实施。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

~~信息安全管理手册版本号： V1.0~~目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1范围 . (7)1.1总则 (7)1.2应用 (7)2规范性引用文件 . (8)3术语和定义 . (8)3.1本公司 (8)3.2信息系统 (8)3.3计算机病毒 (8)3.4信息安全事件 (8)3.5相关方 (8)4信息安全管理体系 . (9)4.1概述 (9)4.2建立和管理信息安全管理体系 (9)4.3文件要求 (15)5管理职责 . (18)5.1管理承诺 (18)5.2资源管理 (18)6内部信息安全管理体系审核 . (19)6.1总则 (19)6.2内审策划 (19)6.3内审实施 (19)7管理评审 . (21)~~7.2评审输入 (21)7.3评审输出 (21)7.4评审程序 (22)8信息安全管理体系改进 (23)8.1持续改进 (23)8.2纠正措施 (23)8.3预防措施 (23)~~1颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻 GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了《信息安全管理手册》。

《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》标准和企业实际情况，现正式批准发布，自 2015年12 月 23 日起实施。

企业全体员工必须遵照执行。

全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。

总经理：2015 年 12月23日~~2管理者代表授权书为贯彻执行信息安全管理体系，满足GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》标准的要求，加强领导，特任命为我公司信息安全管理者代表。

授权信息安全管理者代表有如下职责和权限：1．确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2．负责与信息安全管理体系有关的协调和联络工作；3．确保在整个组织内提高信息安全风险的意识；4．审核风险评估报告、风险处理计划；5．批准发布程序文件；6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7．向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。

本授权书自任命日起生效执行。

总经理：2013 年 12月23日3公司概况4信息安全管理方针目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。

信息安全管理方针如下：强化意识规范行为数据保密信息完整本公司信息安全管理方针包括内容如下：一、信息安全管理机制公司采用系统的方法，按照 GB/T22080-2008idtISO27001:2005 建立信息安全管理体系，全面保护本公司的信息安全。

二、信息安全管理组织1．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。

2．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。

3．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。

4．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。

三、人员安全1．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。

特殊岗位的人员应规定特别的安全责任。

对岗位调动或离职人员，应及时调整安全职责和权限。

2．对本公司的相关方针，要明确安全要求和安全职责。

3．定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。

以提高安全意识。

4．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。

四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。

~~1．根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。

2．采用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变化。

本公司或环境发生重大变化时，随时评估。

3．应根据风险评估的结果，采取相应措施，降低风险。

六、报告安全事件1．公司建立报告信息安全事件的渠道和相应的主管部门。

2．全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。

3．接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。

七、监督检查定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。

八、业务持续性1．公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。

2．定期对业务持续性计划进行测试和更新。

九、违反信息安全要求的惩罚对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。

信息安全目标如下：1）确保每年重大信息安全事件（事故）发生次数为零。

2）确保单个重要业务系统每月中断次数不超过 1次，每次中断时间不超过 2 小时。

3）确保信息安全事件发现率 99%、上报和处理率100%。

5手册的管理1信息安全管理手册的批准信息安全管理委员会负责组织编制《信息安全管理手册》，总经理负责批准。

2信息安全管理手册的发放、更改、作废与销毁a）行政中心负责按《文件和资料管理程序》的要求，进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作；b）各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管；c）行政中心按照规定发放修改后的《信息安全管理手册》，并收回失效的文件做出标识统一处理，确保有效文件的唯一性；d）行政中心保留《信息安全管理手册》修改内容的记录。

3信息安全管理手册的换版当依据的 GB/T22080-2008idtISO27001:2005标准有重大变化、组织的结构、内外部环境、开发技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3 时，应对《信息安全管理手册》进行换版。

换版应在管理评审时形成决议，重新实施编制、审批工作。

4信息安全管理手册的控制a）本《信息安全管理手册》标识分受控文件和非受控文件两种：——受控文件发放范围为公司领导、各相关部门的负责人、内审员；——非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。

b）《信息安全管理手册》有书面文件和电子文件。

信息安全管理手册范围总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

应用覆盖范围：本信息安全管理手册规定了DXC的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。

本信息安全管理手册适用于DXC业务活动所涉及的信息系统、资产及相关信息安全管理活动，具体见 4.2.2.1条款规定。

删减说明本信息安全管理手册采用了 GB/T22080-2008idtISO27001:2005 标准正文的全部内容，对附录 A 的删减见《适用性声明》。

规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。

凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，行政中心应研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。

GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》GB/T22081-2008idtISO27002:2005 《信息技术 - 安全技术 - 信息安全管理实用规则》术语和定义GB/T22080-2008idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》、GB/T22081-2008idtISO27002:2005 《信息技术 - 安全技术 - 信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。

本公司指 DXC，包括 DXC所属各部门。

信息系统指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。

主要为：政府、供方、银行、用户、电信等。

信息安全管理体系概述4.1.1 本公司在软件开发、经营、服务和日常管理活动中，按GB/T22080-2008 idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》规定，参照GB/T22081-2008idtISO27002:2005 《信息技术 - 安全技术 - 信息安全管理实用规则》标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。

4.1.2信息安全管理体系使用的过程基于图 1 所示的 PDCA模型。

策划相关方建立相关方ISMS实施和运行保持和改进实施处置ISMS ISMS信息安全信息安全要求和监视和评审管理期望ISMS检查图 1 信息安全管理体系模型建立和管理信息安全管理体系建立信息安全管理体系4.2.1.1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括：a)本公司涉及软件开发、营销、服务和日常管理的业务系统；b)与所述信息系统有关的活动；c)与所述信息系统有关的部门和所有员工；d)所述活动、系统及支持性系统包含的全部信息资产。