ISO27001：2013信息资产分类分级管理制度

信息资产管理规定（版本号：V1.1）更改控制页目录1目的 (2)2范围 (2)3术语定义 (2)4职责 (2)4.1管理者代表 ............................................................................ 错误!未定义书签。

4.2信息安全经理 (2)4.3各部门 (2)5内容 (3)5.1角色和责任 ............................................................................ 错误!未定义书签。

5.2信息资产类型 (3)5.3信息资产分级标准 (4)5.3.1信息资产密级确定方式 (5)5.3.2信息资产密级标注规定 (6)5.4信息资产处理和保护 (6)6相关文件 (8)7相关记录 (8)1目的本规定旨在对XXX内部重要的信息资产进行分类分级，对不同级别的信息资产提出恰当的处理原则，以便对信息的分发和流转进行恰当的控制，确保信息资产的保密性、完整性和可用性。

2范围本规定适用于整个xxx公司。

本规定所涉及的信息包括各种存储或者存在形式，包括但不限于电子信息、纸质数据文件、语音和图像等。

3术语定义责任人（Owner）：信息资产的创建者，或者主要用户所在组织、单位或部门的负责人。

信息资产责任人对所属信息资产负直接责任。

保管者（Custodian）：受信息资产责任人委托，对信息资产进行日常的管理。

用户（User）：信息资产的使用者，除了公司内部员工，也可能是因为业务需要而访问公司信息的客户或第三方组织。

4职责4.1信息安全经理负责确定信息资产的分类标准；负责制定信息资产的赋值规则；组织并指导各部门正确识别信息资产。

4.2各部门5内容5.1信息资产分类及维护信息资产责任人应该指导进行相关资产的调查，资产调查以业务流程为线索，包括各类输入、中间环节和输出信息，所有这些信息资产都为业务流程的运转提供支持。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

iso27001 信息资产概念【实用版】目录1.ISO27001 简介2.信息资产的定义与分类3.信息资产管理的重要性4.ISO27001 与信息资产管理的关系5.如何实施 ISO27001 信息资产管理正文【ISO27001 简介】ISO27001 是国际通用的信息安全管理体系标准，主要用于指导各类组织建立、实施、维护和持续改进信息安全管理体系，以确保信息资产的安全。

【信息资产的定义与分类】信息资产是指组织拥有和控制的、对组织运营有价值的信息和信息系统。

信息资产包括硬件、软件、数据、文档、人员等。

根据其价值和重要性，信息资产可分为核心资产、重要资产和一般资产。

【信息资产管理的重要性】信息资产管理对组织的运营和发展具有重要意义。

有效的信息资产管理可以降低信息安全风险，保障业务的连续性和可靠性，提高组织的竞争力。

【ISO27001 与信息资产管理的关系】ISO27001 标准中的信息资产管理是一个关键环节，涉及到信息的保护、存储、处理和使用等方面。

通过实施 ISO27001，组织可以建立完善的信息资产管理制度，确保信息资产的安全和有效利用。

【如何实施 ISO27001 信息资产管理】1.确立信息资产管理的目标和范围，明确各类信息资产的价值和重要性。

2.制定并实施信息资产管理政策和程序，确保信息资产的安全和合规性。

3.进行信息资产风险评估，识别潜在的安全威胁和风险，采取相应的控制措施。

4.对信息资产进行分类管理，根据其价值和重要性制定相应的保护策略。

5.建立并维护信息资产台账，实时掌握信息资产的动态变化。

6.定期进行信息资产审计和监督，确保信息资产管理制度的有效性和持续改进。

7.提供培训和教育，提高员工的信息安全意识和能力，形成全员参与的信息安全氛围。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

iso27001标准2013版ISO27001标准2013版。

ISO27001标准是国际标准化组织（ISO）发布的信息安全管理体系标准，旨在帮助组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系。

2013年版的ISO27001标准是对2005年版的修订和更新，以适应当今信息安全环境的变化和发展。

本文将对ISO27001标准2013版进行详细介绍，包括标准的背景、内容要点和实施方法。

ISO27001标准2013版的背景。

ISO27001标准的制定是为了应对信息安全威胁的不断增加，保护组织的信息资产免受各种威胁和风险。

随着互联网的普及和信息技术的发展，信息安全已成为组织面临的重大挑战。

因此，ISO27001标准的修订和更新是必要的，以使其更好地适应当前的信息安全需求。

ISO27001标准2013版的内容要点。

ISO27001标准2013版主要包括以下内容要点：1. 范围，明确了标准适用的范围，包括信息安全管理体系的建立、实施、运行、监控、审查、维护和改进。

2. 规范性引用，列出了与ISO27001标准相关的其他国际标准和文档。

3. 术语和定义，对一些关键术语和定义进行了详细解释，以便于标准的理解和应用。

4. 上下文分析，要求组织必须了解其内外部环境，明确信息安全管理体系的范围和目标。

5. 领导和承诺，要求组织的领导层必须承担信息安全管理的责任，并提供必要的资源支持。

6. 策划，要求组织必须制定信息安全政策、风险评估和风险处理计划。

7. 支持，要求组织必须提供必要的资源、培训和意识培养，以支持信息安全管理体系的实施和运行。

8. 运作，要求组织必须实施各种信息安全控制措施，以保护信息资产的安全。

9. 评价绩效，要求组织必须对信息安全管理体系进行定期的内部和外部审核，以确保其持续有效性。

10. 改进，要求组织必须不断改进信息安全管理体系，以适应不断变化的信息安全威胁和风险。

ISO27001标准2013版的实施方法。

信息安全设备设施管理规范
1适用与目的
本程序适用于公司与IT相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的引进、实施、维护等事宜的管理。

本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处理设施的保密性、完整性和可用性。

2信息处理设施的分类
2.1研发控制系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用控制系统终端设备。

2.2业务管理系统、财务管理系统，包括位于机房的服务器和位于使用区域的终端设备。

2.3办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS服务器、Email服务器等。

2.4网络设备，包括交换机、路由器、防火墙等。

2.5其它办公设备，包括电话设备、复印机、传真机等。

3职责
3.1DXC主要负责全公司与IT相关各类信息处理设施及其服务的引进。

包括制作技术规格书、进行技术选型、安装和验收等。

DXC同时负责全公司网络设备、研发控制系统、业务管理系统、财务管理系统日常管理与维护。

3.2各部负责项目实施过程中设备及软件系统的管理制度的执行与维护。

3.3DXC负责后勤系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。