ISMS手册-信息安全管理体系手册
2020最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。
2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效纠正与预防措施,正确处置已经评价出风险,特制定本程序。
3 职责3.1 各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。
3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。
4 程序4.1 信息安全事故定义与分类:4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:a) 企业秘密、机密及国家秘密泄露或丢失;b) 服务器停运4 小时以上;c) 造成信息资产损失的火灾、洪水、雷击等灾害;d) 损失在十万元以上的故障/事件。
4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:a) 企业机密及国家秘密泄露;b) 服务器停运8 小时以上;c) 造成机房设备毁灭的火灾、洪水、雷击等灾害;d) 损失在一百万元以上的故障/事件。
4.1.3 信息安全事件包括:a) 未产生恶劣影响的服务、设备或者实施的遗失;b) 未产生事故的系统故障或超载;c) 未产生不良结果的人为误操作;d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更;f) 策略、指南和绩效的不符合;g) 可恢复的软件、硬件故障;h) 未产生恶劣后果的非法访问。
4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务:a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。
ISMS信息安全管理体系文件(全面)2完整篇.doc
ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。
本公司:上海海湃计算机科技有限公司信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2 理解相关方的需求和期望组织应确定:1)与信息安全管理体系有关的相关方2)这些相关方与信息安全有关的要求。
2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动3)与所述信息系统有关的部门和所有员工;4)所述活动、系统及支持性系统包含的全部信息资产。
JYYH-HB-02-信息安全管理体系手册
文档密级:一般文档状态:[]草案[V]正式发布[]正在修订受控状态:[V]受控[]非受控1. 目的和适用范围目的1.2. 适用范围2.2.1.引用标准...2.2.引用文件...2.3.定义和术语引用标准、文件、术语及定义2.3.1. 术语2.3.2. 缩写3. 信息安全管理体系3.1. 总要求3.2. 建立和管理ISMS建立ISMS ...321.3.2.2. ISMS实施及运作4.3.2.3.3.2.3.1.3.2.3.2.3.2.3.3.3.2.4.ISMS的监督检查与评审控制措施管理评审残余风险的评审ISMS保持与改进3.3. 文件要求信息安全管理方针目录错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
131.目的和适用范围1.1. 目 的对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、 改进ISMS 的有效性,参考《管理手册》,特制定本手册。
12适用范围结合《管理手册》,本《信息安全管理手册》规定了本公司信息安全管理体系涉及的生 产、营销、服务和日常管理等方面内容。
整个信息安全管理体系(ISMS )的覆盖范围包括:本公司涉及营销、生产服务和日常管理的重要信息系统和生产系统;基于军工、人力资源和社会保障、医疗卫生、公积金、民政、食药监、金融等领域 的系统建设和维护服务e )所述活动、系统及支持性系统包含的全部信息资产。
£027001:2013 《信息技术、安全技术、信息安全管理体系要求》In formati on tech no logy . Security tech niq ues .In formatio n security man ageme nt systems . Requireme nts—Code of p ractice for in formati on Security manageme nt为了建立、健全本公司信息安全管理体系(简称ISMS ),确定信息安全方针和目标,持续b) 与所述信息系统有关的活动;C ) 与所述信息系统有关的部门和所有正式员工, a) d) 2.弓 用标准、文件2.1.引 用标准1、 2、 ISO27002:2005《信息技术一一信息安全管理实施细则》In formati on tech no logy22引用文件《管理手册》3.定义和术语3.1.术语本手册中使用术语的定义采用ISO / IEC 27000 的术语和定义。
信息安全管理手册
a) 确保安全活动的执行符合信息安全方针; b) 确定怎样处理不符合; c) 批准信息安全的方法和过程,如风险评估、信息分类; 5.3.2 信息安全职责和权限 本公司总经理为信息安全最高管理者,对信息安全全面负责,主要包括: a) 组织制定信息安全方针及目标,任命管理者代表,明确管理者代表的职责和权 限。 b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。 c)为信息安全管理体系配备必要的资源。 各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉 履行信息安全保密义务; 各部门有关信息安全职责分配见《信息安全管理职能分配表》。 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运 行的各种控制程序)的要求实施信息安全控制措施。
江苏 XXXX 科技有限公司
编号 版本 密级 受控
XX-ISMS-01 A/0
(2020年最新版本)信息安全管理手册
信息安全管理手册版本号:V1.0目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1 范围 (7)1.1 总则 (7)1.2 应用 (7)2 规范性引用文件 (8)3 术语和定义 (8)3.1 本公司 (8)3.2 信息系统 (8)3.3 计算机病毒 (8)3.4 信息安全事件 (8)3.5 相关方 (8)4 信息安全管理体系 (9)4.1 概述 (9)4.2 建立和管理信息安全管理体系 (9)4.3 文件要求 (15)5 管理职责 (18)5.1 管理承诺 (18)5.2 资源管理 (18)6 内部信息安全管理体系审核 (19)6.1 总则 (19)6.2 内审策划 (19)6.3 内审实施 (19)7 管理评审 (21)7.1 总则 (21)7.2 评审输入 (21)7.3 评审输出 (21)7.4 评审程序 (22)8 信息安全管理体系改进 (23)8.1 持续改进 (23)8.2 纠正措施 (23)8.3 预防措施 (23)01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。
27001-2013信息安全管理体系ISMS内审员培训教材[文字可编辑]
![27001-2013信息安全管理体系ISMS内审员培训教材[文字可编辑]](https://img.taocdn.com/s3/m/1add4d216edb6f1afe001f27.png)
2018年5月28日
课程内容
? 第一部分
信息安全基础知识及案例介绍 ? 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 ? 第三部分 信息安全风险评估与管理 ? 第四部分 体系文件编写 ? 第五部分 信息安全管理体系内部审核
信息为什么会有安全问题
?信息具有重要的价值
? ?
?信息及系统固有的脆弱性
? ?
信息社会对信息的高度依赖 信息的高附加值会引起盗窃、滥用等威胁
信息本身易传播、易毁坏、易伪造 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局 限)、没有避免的因素(默认配臵)
?威胁客观存在
? 恶意攻击、企业间谍、内部系统的误用 /滥用、敌对势力等
案
例
二
如果使用winny 下载的文件中隐藏着“Antinny ” 等病毒,用户只要双击下载的文件图标,就会导致电 脑感染病毒。病毒在电脑中任意将个人文件压缩后放 臵到共享文件夹中,导致信息泄漏。由于电脑本身不 会出现异常,用户往往直到被别人告知自己的个人信 息泄漏了,才意识到电脑感染了病毒。更为糟糕的是, 流失的文件会被记录到许多电脑中,几乎不可能回收。
案 例
一
利用特权进入充值数据库
2006 年2月27日, 中央电视台报道了全国最大的网上 盗窃通讯资费案:UT 斯达康中国有限公司深圳分公司资
深软件研发工程师31岁的程姓工程师,在任华为工程师
时负责西藏移动等公司的设备安装工作。自2005 年2月, 从西藏移动公司系统进入北京移动公司的充值中心数据
库,获得最高系统权限,根据“已充值”的充值卡显示
是不是把相关技术及产品都部署到位了,就安全了呢? 到底如何做才能真正保障信息安全呢? 下面我们先来看几个案例
《信息安全管理》第二章 信息安全管理体系
BS7799-2: 详细说明了建立、实施和维
护信息安全管理体系的要求,是 组织全面或部分信息安全管理系 统评估的基础
信息安全 管理体系
在BS7799中ISMS可能涉及以下内容。 组织的整个信息系统。 信息系统的某些部分。 一个特定的信息系统。
信息安全 管理体系
组织在实施BS 7799时,可以根据需求和实际情况,采用以下四种模式。
准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。
信息安全 管理体系
PDCA循环的四个阶段的具体任务和内容如下。 (1)计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以下4 个步骤。 分析目前现状,找出存在的问题。 分析产生问题的各种原因以及影响因素。 分析并找出管理中的主要问题。 制定管理计划,确定管理要点。
思想。 强调遵守国家有关信息安全的法律法规及其他合同方要求。 强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制
方式。 强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的
机密性、完整性和可用性,保持组织的竞争优势和业务运作的持续性。
信息安全 管理体系
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体 的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要 经过下列五个基本步骤。 信息安全管理体系的策划与准备。 信息安全管理体系文件的编制。 建立信息安全管理框架。 信息安全管理体系的运行。 信息安全管理体系的审核与评审。
实际上建立和实施信息安全管理体系ISMS和其他管理体系一样(如质量 管理体系),需要采用过程的方法开发、实施和改进信息安全管理体系的有效 性。ISMS的PDCA过程如图2.1所示。
信息安全 管理体系
ISMS信息安全管理体系建立方法(DOC57页)
信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。
后续将详细介绍不同部分的管理。
1 信息安全管理体系概述1.1什么是信息安全管理体系信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。
它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1. ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:●组织所有的信息系统;●组织的部分信息系统;●特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。
例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
2.组织内部成功实施信息安全管理的关键因素●反映业务目标的安全方针、目标和活动;●与组织文化一致的实施安全的方法;●来自管理层的有形支持与承诺;●对安全要求、风险评估和风险管理的良好理解;●向所有管理者及雇员推行安全意思;●向所有雇员和承包商分发有关信息安全方针和准则的导则;●提供适当的培训与教育;●用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。
3.确保在整个组织内提高信息安全风险的意识;4.审核风险评估报告、风险处理计划;5.批准发布程序文件;6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。
总经理:日期:信息安全方针和信息安全目标信息安全方针:信息安全人人有责本公司信息安全管理方针包括内容如下:一、信息安全管理机制1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。
以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。
本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标:1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。
2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)1信息安全管理手册说明1.1公司简介XX1.1编制依据和目的本手册在遵循ISO9001:2005 《信息安全管理体系要求》与ISO/IEC 20000 《信息技术服务管理-规范》的要求编制而成,包括了ISO27001:2005的全部要求,对附录A的删减见《适用性声明SoA》。
手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001:2005信息安全管理标准的要求;满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的IT服务能力和服务质量。
本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。
1.2适用范围信息安全管理&IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。
1.3术语和定义1.3.1本手册应用ISO/IEC 20000中的术语及定义。
1.3.2本手册应用ISO/IEC27001中的术语及定义。
2 信息安全管理&IT服务管理手册的管理2.1手册的编制、批准和发布2.1.1按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC 20000标准的要求编写。
2.1.2《IT服务管理手册》由公司管理者代表批准后发布。
2.2手册的分发2.2.1技术服务事业部负责手册的发放、更新、管理与存档。
2.2.2公司各部门负责手册的使用和保管。
2.3手册的受控状态2.3.1书面形式的手册分“有效文件”和“保留文件”两种形式。
作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。
2.3.2当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。
2.3.3“有效文件”形式的文件在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。
2.3.4电子形式的手册由技术服务事业部在工作流转系统中进行管理。
2.4手册的变更2.4.1因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。
2.4.2更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。
对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。
2.5公司内部手册持有者的责任2.5.1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。
2.5.2妥善保管,不得私自更改、曲解手册的内容。
不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。
3 公司架构和安全承诺3.1公司行政组织架构3.2公司信息安全管理体系组织架构图注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。
3.3公司IT服务管理职能关系架构图3.4信息安全承诺◆公司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。
◆制订信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。
◆提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。
◆对公司信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。
对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。
◆建立业务持续性管理流程。
进行业务持续性风险评估,编写、测试并实施业务持续性计划和灾难恢复计划,以保证公司关键业务的连续,不受重大故障和灾难的影响。
◆确保公司所有员工都接受信息安全的教育培训,提高信息安全意识。
◆保护公司、客户、相关合作方的信息安全。
◆建立公司信息安全组织架构,明确信息安全责任,确定报告可疑的和发生的信息安全事故及事件的流程,对违反安全制度的人员进行惩罚。
◆建立物理安全和网络安全管理制度,以确保信息的安全性。
◆保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。
◆任何人在未经审批的情况下,禁止将信息资产带离公司。
◆公司所有员工都要严格遵守公司的安全方针、程序和制度。
◆控制对内外部网络服务的访问,保护网络服务的安全性与可用性。
◆对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。
◆对重要信息进行备份保护,以保证信息的可用性。
◆定期对信息安全管理体系进行内审和管理评审。
3.5信息安全管理委员会为了加强对信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。
信息安全管理职责明细表备注:以上职能划分,适用所有信息安全管理体系文件。
信息安全管理委员会组成人员:3.6服务管理职能说明3.6.1为保证IT服务管理体系的顺利实施,以及实施后得到持续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。
IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。