ISMS手册信息安全管理体系手册
ISMS-1001信息安全管理手册
有限公司信息安全管理手册编号:ISMS-1001 状态:受控编写:信息安全管理委员会2012年10月15日审核:印峰2012年10月15日批准:邓庆平2012年10月15日发布版次:第A/0版2012年10月15日生效日期2012年10月15日分发:各部门接受部门:变更记录变更日期版本变更说明编写审核批准2012年10月15日A/0 初始版本信息安全管理委员会印峰邓庆平优化科技(苏州)有限公司信息安全管理手册发布令公司依据GB/T22080-2008《信息安全管理体系》标准的要求,结合公司的实际情况,在公司内部建立信息安全的管理体系,组织编写了《信息安全管理手册》,经审定符合国家、地方及行业的有关法律法规和本公司的实际情况,现予以发布。
《信息安全管理手册》是本公司日常信息流转管理活动必须遵循的纲领性文件,本公司将按《信息安全管理手册》的规定要求组织本公司进行金融软件的开发和技术服务。
全体员工必须认真学习,准确理解其内容,并严格遵照执行。
总经理:邓庆平 2012年10月15日优化科技(苏州)有限公司ISO/IEC 27001:2005信息安全管理体系管理者代表任命书为贯彻执行ISO/IEC 27001:2005《信息安全管理体系--要求》,加强对公司体系运作的领导,特任命印峰为我公司的管理者代表。
管理者代表的职责是:1、确保信息安全管理体系所需的过程得到建立、实施和保持;2、向总经理报告信息安全管理体系的业绩和任何改进的需求;3、确保在整个公司内提高信息安全的意识;4、就信息安全管理体系有关事宜进行内外部联络;5、组织、指挥、监督、协调各部门体系的运作。
总经理签字:2012年10月15日目录1、目的和适用范围 (6)1.1 目的 (6)1.2 适用范围 (6)2、引用标准 (6)2.1 ISO/IEC 27001:2005(GB/T 22080-2008)《信息安全管理体系—要求》 (6)2.2 ISO/IEC 27002:2005(GB/T 22081-2008)《信息技术—信息安全管理实用规则》 (6)3、定义和术语 (6)3.1 信息安全定义 (6)3.2 术语 (6)3.3 缩写 (6)4、信息安全管理体系 (7)4.1 总要求 (7)4.2 建立和管理ISMS (7)4.2.1 建立ISMS (7)4.2.2 ISMS实施与运行 (9)4.2.3 ISMS监视与评审 (10)4.2.4 ISMS保持与改进 (11)4.3 文件要求 (11)4.3.1 总则 (11)4.3.2 文件控制 (12)4.3.3 记录控制 (12)5、管理职责 (13)5.1 管理承诺 (13)5.2 资源管理 (13)5.2.1 提供资源 (13)5.2.2 能力、意识和培训 (14)6、ISMS管理评审 (14)6.1 总则 (14)6.2 管理评审的输入 (14)6.3 管理评审的输出 (14)6.4 内部审核 (15)6.4.1 内部审核程序 (15)6.4.2 内部审核需保留以下记录 (16)7、ISMS改善 (16)7.1 持续改善 (16)7.2 纠正措施 (16)7.3 预防措施 (17)附录1:信息安全职责权限划分对照表 (18)附件2:优化科技(苏州)有限公司介绍 (20)1、目的和适用范围1.1 目的为了建立、健全本公司信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性,特制定本手册。
四级文件目录模板【《ISMS方针、手册、程序文件模版》目录】
四级文件目录模板【《ISMS方针、手册、程序文件模版》目录】《ISMS方针、手册、程序文件模版》目录1信息安全管理体系手册2信息安全管理体系程序文件2.1ISMS-业务持续性管理程序2.2ISMS-事故、薄弱点与故障管理程序2.3ISMS-企业商业技术秘密管理程序2.4ISMS-信息处理设施引进实施管理程序2.5ISMS-信息处理设施维护管理程序2.6ISMS-信息安全人员考察与保密管理程序2.7ISMS-信息安全奖励、惩戒管理规定2.8ISMS-信息安全适用性声明2.9ISMS-信息安全风险评估管理程序2.10ISMS-内部审核管理程序2.11ISMS-恶意软件控制程序2.12ISMS-更改控制程序2.13ISMS-物理访问程序2.14ISMS-用户访问控制程序2.15ISMS-管理评审控制程序2.16ISMS-系统开发与维护控制程序2.17ISMS-系统访问与使用监控管理程序2.18ISMS-计算机应用管理岗位工作标准2.19ISMS-计算机管理程序2.20ISMS-记录控制程序2.21ISMS-重要信息备份管理程序2.22ISMS-预防措施程序3信息安全管理体系作业文件3.1T oken管理规定3.2产品运输保密方法管理规定3.3介质销毁办法3.4保安业务管理规定3.5信息中心主机房管理制度3.6信息中心信息安全处罚规定3.7信息中心密码管理规定3.8信息安全人员考察与保密管理程序3.9信息开发岗位工作标准3.10信息系统访问权限说明3.11信息销毁制度(档案室)3.12可移动媒体使用与处置管理规定3.13各部门微机专责人工作标准3.14复印室管理规定3.15工程师室和电子间管理规定3.16数据加密管理规定3.17文件审批表3.18机房安全管理规定3.19档案室信息安全职责3.20法律法规与符合性评估程序3.21生产经营持续性管理战略计划3.22监视系统管理规定3.23系统分析员岗位工作标准3.24经营部信息事故处理规定3.25经营部信息安全岗位职责规定3.26经营部计算机机房管理规定3.27经营部访问权限说明3.28网站信息发布管理程序3.29网络中间设备安全配置管理规定3.30网络通信岗位工作标准3.31计算机硬件管理维护规定3.32财务管理系统访问权限说明3.33远程工作控制程序4常见信息安全管理体系记录\上级单位领导来访登记表4.1事故调查分析及处理报告4.2信息发布审查表4.3信息处理设施使用情况检查表4.4信息安全内部顾问名单4.5信息安全外部专家名单4.6信息安全故障处理记录4.7信息安全法律、法规清单4.8信息安全法律、法规符合性评价报告4.9信息安全薄弱点报告4.10信息安全记录一览表4.11信息安全重要岗位评定表4.12信息设备转交使用记录4.13信息设备转移单4.14信息设备(设施)软件采购申请4.15信息资产识别表4.16内部员工访问特别安全区域审批表4.17外部网络访问授权登记表4.18应用软件开发任务书4.19应用软件测试报告4.20操作系统更改技术评审报告4.21敏感重要信息媒体处置申请表4.22文件修改通知单4.23文件借阅登记表4.24文件发放回收登记表4.25文件销毁记录表4.26时钟校准记录4.27机房值班日志4.28机房出入登记表4.29生产经营持续性管理战略计划4.30生产经营持续性管理计划4.31生产经营持续性计划测试报告4.32生产经营持续性计划评审报告4.33用户设备使用申请单4.34用户访问授权登记表a4.35用户访问授权登记表b4.36监控活动评审报告4.37私人信息设备使用申请单4.38第三方访问申请授权表a 4.39第三方访问申请授权表b 4.40系统测试计划4.41网络打印机清单4.42计算机信息网络系统容量规划4.43记录借阅登记表4.44记录销毁记录表4.45设备处置再利用记录4.46设施系统更改报告4.47访问权限评审记录4.48软件安装升级申请表4.49软件设计开发方案4.50软件设计开发计划4.51软件验收报告4.52远程工作申请表4.53重要信息备份周期一览表5典型信息安全策略集锦5.1安全监控策略5.2安全培训策略5.3备份安全策略5.4便携式计算机安全策略5.5病毒检测策略5.6电子邮件策略5.7服务器加强策略5.8更改管理安策略5.9互联网使用策略5.10口令策略5.11卖方访问策略5.12入侵检测策略5.13软件注册策略5.14事故管理策略5.15特权访问管理策略5.16网络访问策略5.17网络配置安全策略5.18物理访问策略5.19系统开发策略5.20信息资源保密策略5.21信息资源使用策略5.22帐号管理策略。
ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
信息安全管理体系
演进:2000年,BS 7799标准升级为ISO 27001标准,成为全球通用的信息安全管理体 系标准
现状:目前,ISO 27001标准已被广泛应用 于各个行业和领域,成为衡量组织信息安全管 理水平的重要依据。
信息安全管理体系的核心理念
保护信息的机密 性、完整性和可 用性
确保信息的安全 性和可靠性
通信管理:确保信息的传输 安全,防止信息泄露和改
访问控制:控制用户对信息 的访问权限,防止未授权访
问
安全审计:对操作行为进行 审计,及时发现和纠正违规
行为
访问控制
定义:对系统资 源的访问权限进 行管理和控制的 机制
目的:确保只有 授权的用户才能 访问特定的资源
方法:通过身份 验证、授权和审 计等手段实现访 问控制
信息安全管理体系的起源和发展
起源:20世纪70年代,随着计算机技术的普 及和网络应用的兴起,信息安全问题逐渐凸显
发展:20世纪80年代,国际标准化组织 (ISO)开始关注信息安全问题,并制定了一 系列相关标准
里程碑:1995年,英国标准协会(BSI)发布 了BS 7799标准,成为全球首个信息安全管理 体系标准
定期评估:对信息安全管 理体系进行定期评估,确
保其有效性和适用性
持续改进:根据评估结果, 对信息安全管理体系进行 持续改进,提高其安全性
和可靠性
培训和教育:对员工进行 信息安全培训和教育,提 高他们的安全意识和技能
监控和审计:对信息安全 管理体系进行监控和审计, 确保其正常运行和合规性
信息安全管理体系的监控和测量
体素质和执行力
资产管理
资产分类:根据资产的重要 性和敏感性进行分类
资产识别:明确资产的范围 和类型
ISMS信息安全管理体系文件(全面)2完整篇.doc
ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。
本公司:上海海湃计算机科技有限公司信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2 理解相关方的需求和期望组织应确定:1)与信息安全管理体系有关的相关方2)这些相关方与信息安全有关的要求。
2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动3)与所述信息系统有关的部门和所有员工;4)所述活动、系统及支持性系统包含的全部信息资产。
银行业信息安全管理体系手册
为满足适用法律法规及相关方需求,使得生产和经营更有效的运行,使得客户信息保存传输更为安全,XX银行信息科技部依据ISO/IEC27001:2005标准,建立信息安全管理体系,以保证XX银行信息科技部及行内所有有关信息的保密性、完成性、可用性,实现业务可持续发展的目的。XX银行信息科技部承诺:
1)包括设定目标的框架和建立信息安全工作的总方向和原则。
2)考虑业务和法律法规的要求,及合同中的安全义务。
3)XX银行信息科技部根据战略性风险管理环境下,建立和保持ISMS。
4)建立风险评估的准则。
5)信息安全方针设定完成后,应获得管理者的批准。
4.2.1.3信息安全管理体系方针
增强科技风险意识,提升风险管理水平;
b)控制目标及控制措施的选择原则来源于ISO/IEC27001:2005标准附录A,具体控制措施可以参考ISO27002:2005《信息技术——安全技术——信息安全管理实施细则》。XX银行信息科技部根据信息安全管理的需要,可以选择标准之外的其他控制措施。
பைடு நூலகம்范围
本手册适用于XX银行信息科技部(信息科技部位于XX银行第八层)安全管理活动。
2
ISO/IEC 27001:2005 <信息技术——安全技术——信息安全管理体系——要求>
ISO/IEC 27002:2005<信息技术——安全技术——信息安全管理实施细则>
3
3.1本手册中使用术语的定义采用ISO/IEC 27001:2005《信息技术——安全技术——信息安全管理体系——要求》中的定义
4.2
4.2.1
4.2.1.1 ISMS的范围和周界
1)XX银行主要从事个人服务、企业服务、卡服务等,信息科技部为金融服务提供IT基础架构的支持服务,确保整体金融业务过程的有序开展;
信息安全管理手册
信息安全管理手册第一章:信息安全概述在当今数字化时代,信息安全已成为一个至关重要的议题。
信息安全不仅仅关乎个人隐私,更关系到国家安全、企业利益以及社会秩序。
信息安全管理是确保信息系统运行稳定、数据完整性和可用性的过程,它涉及到安全政策、安全措施、安全风险管理等方面。
本手册旨在指导企业或组织建立有效的信息安全管理体系,保障信息资产的安全性。
第二章:信息安全管理体系2.1 信息安全政策制定信息安全政策是建立信息安全管理体系的第一步。
信息安全政策应明确表达管理层对信息安全的重视以及员工在信息处理中应遵守的规范和责任。
其中包括但不限于访问控制政策、数据备份政策、密码管理政策等。
2.2 信息安全组织建立信息安全组织是确保信息安全有效实施的关键。
信息安全组织应包括信息安全管理委员会、信息安全管理组、信息安全管理员等角色,以确保信息安全政策的执行和监督。
2.3 信息安全风险管理信息安全风险管理是识别、评估和处理信息系统中的风险,以保障信息资产的安全性。
通过制定相应的风险管理计划和措施,可以有效降低信息系统遭受攻击或数据泄露的风险。
第三章:信息安全控制措施3.1 网络安全控制网络安全是信息安全的重点领域之一。
建立有效的网络安全控制措施包括网络边界防护、入侵检测、安全监控等技术手段,以及建立网络安全审计、用户身份认证等管理控制措施。
3.2 数据安全控制数据安全是信息安全的核心内容。
加密技术、访问控制、数据备份等控制措施是保护数据安全的重要手段。
企业或组织应根据数据的重要性和敏感性,制定相应的数据安全控制策略。
第四章:信息安全培训与意识4.1 员工培训员工是信息系统中最容易出现安全漏洞的因素之一。
定期进行信息安全培训可以增强员工对信息安全的意识,加强他们在信息处理中的规范操作。
同时,要求员工签署保密协议并接受安全宣誓也是有效的措施。
4.2 管理层意识管理层对信息安全的重视直接影响整个组织的信息安全水平。
信息安全管理层应该关注信息安全政策的制定和执行,定期评估信息安全风险,并支持信息安全培训等活动,以提升整体的信息安全意识。
(2020年最新版本)信息安全管理手册
信息安全管理手册版本号:V1.0目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1 范围 (7)1.1 总则 (7)1.2 应用 (7)2 规范性引用文件 (8)3 术语和定义 (8)3.1 本公司 (8)3.2 信息系统 (8)3.3 计算机病毒 (8)3.4 信息安全事件 (8)3.5 相关方 (8)4 信息安全管理体系 (9)4.1 概述 (9)4.2 建立和管理信息安全管理体系 (9)4.3 文件要求 (15)5 管理职责 (18)5.1 管理承诺 (18)5.2 资源管理 (18)6 内部信息安全管理体系审核 (19)6.1 总则 (19)6.2 内审策划 (19)6.3 内审实施 (19)7 管理评审 (21)7.1 总则 (21)7.2 评审输入 (21)7.3 评审输出 (21)7.4 评审程序 (22)8 信息安全管理体系改进 (23)8.1 持续改进 (23)8.2 纠正措施 (23)8.3 预防措施 (23)01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISMS 手册-信息安全管理体系手册7
信息安全管理IT 服务管理体系手册
发布令
本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系,
现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。
为实现信息安全管理与IT 服务管理,开展持续改进
服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准
则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务
管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据
ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。
管理者代表职责:
a)建立服务管理计划;
b)向组织传达满足服务管理目标和持续改进的重要性;
e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;
1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。
2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告
IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服
务管理目标所应做出的贡献。
总经理:
日期:
信息安全方针和信息安全目标
信息安全方针:信息安全人人有责
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
1.公司采用系统的方法,按照ISO/IEC27001:2005 建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规
定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。
以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司
风险的变化。
本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发
现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处
理,并向报告人员反馈处理结果。
七、监督检查
17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标:
1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。
2.重大顾客因信息安全事件投诉为0 次(重大顾客投诉是指直接经济损失金额达1 万元以上)
1 信息安全管理手册说明
1.1 公司简介
XX
1.1 编制依据和目的
本手册在遵循ISO9001 :2005 《信息安全管理体系要求》与ISO/IEC20000 《信息技术服务管理-规范》的要求编制而成,包括了
ISO27001 :2005 的全部要求,对附录A 的删减见《适用性声明SoA 》。
手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001 :2005 信息安全管理标准的要求;满足本公司向客户提供IT 服务所需的IT 基础设施和IT 技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的IT 服务能力和服务质量。
本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。
1.2 适用范围
信息安全管理&IT 服务管理体系手册适用于本公司提供安全管理体系认证服务与IT 服务有关的所有部门和活动。
1.3 术语和定义
1.3.1 本手册应用ISO/IEC20000 中的术语及定义。
1.3.2 本手册应用ISO/IEC27001 中的术语及定义。
2 信息安全管理&IT 服务管理手册的管理
2.1 手册的编制、批准和发布
2.1.1 按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC20000 标准谢谢观赏
的要求编写。
2.1.2《IT 服务管理手册》由公司管理者代表批准后发布。
2.2 手册的分发
2.2.1 技术服务事业部负责手册的发放、更新、管理与存档。
2.2.2 公司各部门负责手册的使用和保管。
2.3 手册的受控状态
2.3.1 书面形式的手册分“有效文件”和“保留文件”两种形式。
作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。
2.3.2 当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。
2.3.3“有效文件”形式的文件在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。