22080-2016信息安全管理体系管理手册及程序文件

合集下载

第7章信息安全管理体系

(2) 组建信息安全管理推进小组。在信息安全委员会批准下，任命信息安全管理经理，并由信息安全管理经理组建信息安全管理推进小组。小组成员一般是企业各部门的骨干成员，要求懂得信息安全技术知识，有一定的信息安全管理技能，并有较强的分析能力和厚实的文字功底。这些组织机构要保持合适的管理层次和控制范围，并具有一定的独立性，坚持执行部门与监督部门分离的原则。
信息安全管理体系文件没有刻意的描述形式，但根据 ISO 9000成功经验，在具体实施中，为便于运作并具有操作性，建议把ISMS管理文件分成以下几个层次：
1. 适用性声明
适用性声明(SoA，Statement of Applicability)是组织为满足安全需要而选择的控制目标和控制措施的评论性文件。在适用性声明文件中，应明确列出组织根据信息安全要求从 ISO/IEC 27001:2005或GB/T 22080—2008附录A中选择控制目标与控制措施，并说明选择与不选择的理由，如果有额外的控制目标和控制措施也要一并说明。
1. 人员能力的要求
信息安全管理相关人员应具有适应其工作并承担责任的能力，这种能力以教育、培训和经验为基础。应根据岗位职责的需要，就各岗位的能力提出具体的可评价的要求，
并将这些要求写在书面的任职条件中，作为人员招聘、上岗和转岗的条件和依据，当然，这些条件或依据应该随着组织环境、岗位要求等因素的变化而变化。
·确定教育与培训的内容和方式：教育与培训的内容包括信息安全相关的专业继续教育、相关的法律法规、规章制度、
政策和标准的培训、信息安全知识和安全技能的培训、信息安全意识的培训等。另外，可采用内部培训、外部培训、实习、自学和学术交流等不同方式来实现教育与培训的计划。
7.2.4 信息安全管理体系文件

信息安全管理体系ISMS审核实践指南

附录A（资料性附录）ISMS审核实践指南A.1概述本附录对声称符合GB/T 22080的组织提供有关如何审核ISMS的通用指南。

由于本指南旨在适用于所有ISMS审核，所以无论涉及的组织的是何规模或性质，本指南均适用。

本指南旨在供开展ISMS内部或外部审核的审核员使用。

注：GB/T 31496根据GB/T 22080给出了实施和操作ISMS的指南。

A.2总则A.2.1审核目标、范围、准则和审核证据在审核活动期间，宜通过适当的抽样方式获得并验证与审核目标、范围和准则有关的信息，包括职责，活动和过程之间的接口相关的信息。

只有能够证实的信息才可作为审核证据。

宜记录导致审核发现的审核证据。

获取信息的方法包括以下内容：—访谈；—观察；—文件评审，包括记录。

A.2.2ISMS审核策略GB/T 22080遵循ISO/IEC导则第1部分附录JC和融合的JTC1补充部分中的顶层结构、相同的章节标题、核心文本、通用术语与核心定义—JTC1特定规程。

GB/T 22080定义了一组相互依赖的要求，这些要求作为一个整体发挥作用（通常被称为“系统方法”），并通过交叉引用予以部署。

在审核时最好同时处理实践中密切相关的GB/T 22080条款。

信息安全管理手册

信息安全管理手册日期：2015-04-01日期：2015-04-01日期：2015-04-012015-04-01发布 2015-04-01实施XXXXXXXXX发布[版本变更记录]目录手册颁布令 (4)管理者代表任命书 (5)0.3 管理手册说明 (6)用途 (6)依据 (6)手册管理 (6)评审与更改 (6)其他 (6)公司概况 (7)公司组织结构图 (8)0.6 职责说明 (9)1目的 (13)2适用范围 (13)3术语和定义 (13)4信息安全管理体系 (13)总体要求 (13)建立和管理ISMS (13)文件体系 (18)5 管理职责 (19)管理者的承诺 (19)资源管理 (20)6 ISMS内部审核 (22)7 ISMS管理评审 (22)8 ISMS的改良 (22)持续改良 (22)纠正措施 (22)预防措施 (23)0.1手册颁布令颁布令本公司依据GB/T 22080-2008《信息安全管理体系要求》(idt ISO/IEC27001:2005)编制了《ISMS 管理手册》。

本《ISMS管理手册》是公司信息安全管理体系的总则，是公司实施信息安全管理、增强全员信息安全意识、开展信息安全活动等必须遵循的文件。

本公司将采取有力措施，确保信息安全方针为各级人员所理解和掌握，公司的信息安全目标，以及相关的各种控制措施能在全公司内贯彻执行。

xxxxx的《ISMS管理手册》发布之日起实施，全体职工及相关人员必须认真遵照执行。

总经理： XX2014年12月01日0.2管理者代表任命书任命书为了贯彻执行GB/T 22080-2008《信息安全管理体系要求》(idt ISO/IEC27001:2005)，加强对信息安全管理体系建立、实施保持和改良的领导，特任命XXXX为公司的管理者代表，并赋予《ISMS管理手册》中规定的管理者代表与管理体系有关的相应职责和权限。

总经理：XX2014 年12月01日0.3 管理手册说明用途管理手册〔或简称为‘手册’〕是向公司内部和外部提供本公司信息安全管理体系的一致信息的正式文件。

信息安全管理体系手册

xxxx 有限公司信息安全管理手册文件历史控制记录2011-12-01颁布封面 2011-01-01 实第一章前言随着xxxx有限公司业务发展日益增长，信息交换互连面也随之增大，信息业务系统依赖性扩大，所带来的信息安全风险和信息脆弱点也逐渐呈现，原有信息安全技术和管理手段很难满足目前和未来信息化安全的需求，为确保xxxx有限公司信息及信息系统的安全，使之免受各种威胁和损害，保证各项信息系统业务的连续性，使信息安全风险最小化，xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评，定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改，分析了信息安全管理上的不足与缺陷，编制了差距测评报告。

通过开展信息安全风险评估和等级保护测评，了解xxxx有限公司信息安全现状和未来需求，为建立xxxx有限公司信息安全管理体系奠定了基础。

2011年7月开展信息安全管理体系持续改进建设，依据信息安全现状和未来信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求，建立了符合xxxx有限公司信息安全管理现状和管理需求的信息安全管理体系，该体系覆盖了GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求12个控制领域、39个控制目标和133个控制措施。

本手册是xxxx有限公司信息安全管理体系的纲领性文件，由信息中心归口负责解释。

第二章信息安全管理手册颁布令xxxx有限公司（以下简称公司）依据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求，结合限公司实际情况，在原有的各项管理制度的基础上编制完成了《xxxx有限公司信息安全管理体系手册》第一版，现予以批准实施。

《xxxx有限公司信息安全管理体系手册》是公司在信息及信息系统安全方面的规范性文件，手册阐述了限公司信息安全服务方针，信息安全目标及信息安全管理体系的过程方法和策略，是公司信息安全管理体系建设实施的纲领和行动准则，是公司开展各项服务活动的基本依据；是对社会各界证实我公司有能力稳定地提供满足国际标准信息安全要求以及客户和法律法规相关要求的有效证据。

GBT22080：2016信息安全管理体系安全目标及管理方案考核统计

100% 半年 100% 半年 60% 0次完成情况未完成未完成未完成未完成以完成以完成未完成未完成未完成
统计人审核人
批准人
裴晓庆
付巍
王艺晓
马鸿玲
付巍
程文美未完成未完成以完成马鸿玲裴晓庆
付巍付巍付巍
信息安全目标考核表2018年
序号 1 2 3 4 5 6 7 9 10 11 13 15 项目确保单个重要业务系统，每月中断次数不超过1 次，每次中断时间不超过2小时。确保信息安全事件发现率99%、上报和处理率100% 。处理客户问题响应速度，客户满意度达到99%。客户关于信息保密的抱怨/投诉的次数0次/年。客户使用中的数字证书过期率0%，建立监测系统过期前1个月进行提醒续约。建立客户关系管理体系，采集数据，扩大客户来源渠道，标准使用CRM系统，使用率100%。基于企业业务目标，销售制定完成计划和实施方案，完成计划60%。客户关于信息保密的抱怨/投诉的次数公司财务系统数据在存储、处理和传输过程中向非授权用户暴露次数公司财务数据在存储、处理和传输过程中被非法修改次数商业及顾客秘密信息泄漏事故不可接受风险处理率（所有不可接受风险应降低到可接受的程度）目标值统计周期 1次 99% 99% 0次半年半年半年半年负责部门运维部运维部技术支持部技术支持部技术支持部销售部销售部销售部财务部财务部综合部运维部完成值 0次 99% 99% 0次 100% 100% 60% 0次 0次 0次 0次 100%

22080-2016信息安全管理体系内部审核检查表

22080-2016信息安全管理体系内部审核检查表审核日期：2020.07.07 序号项目内容审核内容审核记录审核结果备注 A.5信息安全方针 A.5.1信息安全管理指引目标：提供符合有关法律法规和业务需求的信息安全管理指引和支持。

A.5.1.1 信息安全方针应定义信息安全方针，信息安全方针文件应经过管理层批准，并向所有员工和相关方发布和沟通。

A.5.1.2 信息安全方针的评审应定期或在发生重大的变化时评审方针文件，确保方针的持续性、稳定性、充分性和有效性。 A.6信息安全组织 A.6.1内部组织目标：建立信息安全管理框架，在组织内部启动和控制信息安全实施。 A.6.1.1 信息安全的角色和职责应定义和分配所有信息安全职责。

A.6.1.2 职责分离有冲突的职责和责任范围应分离，以减少对组织资产未经授权访问、无意修改或误用的机会。 A.6.1.3 与监管机构的联系应与相关监管机构保持适当联系。 A.6.1.4 与特殊利益团体的联系与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。 A.6.1.5 项目管理中的信息安全实施任何项目时应考虑信息安全相关要求。 A.6.2移动设备和远程办公目标：应确保远程办公和使用移动设备的安全性。

A.6.2.1 移动设备策略应采取安全策略和配套的安全措施控制使用移动设备带来的风险。

A.6.2.2 远程办公应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。 A.7人力资源安全 A.7.1任用前目标：确保员工、合同方人员理解他们的职责并适合他们所承担的角色。

A.7.1.1 人员筛选根据相关法律、法规、道德规范，对员工、合同人员及承包商人员进行背景调查，调查应符合业务需求、访问的信息类别及已知风险。 A.7.1.2 任用条款和条件与员工和承包商的合同协议应当规定他们对组织的

信息安全管理体系标准

信息安全管理体系标准信息安全是当下互联网时代一个极为重要的议题，随着科技的发展和普及，个人和企业对于信息的保护变得尤为关键。

而信息安全管理体系标准作为衡量一个组织或企业信息安全管理实施的重要指标，被广泛应用于各个领域。

一、信息安全管理的意义信息安全管理是指组织或企业通过对信息系统和数据进行合理规划、管理、控制和保护，确保其机密性、完整性和可用性。

信息安全管理体系标准则是对信息安全管理实施过程的规范和指导，帮助组织建立科学的信息安全管理体系，提升信息保护的能力。

它能够确保组织内部的信息系统和数据不受到非法访问、破坏、泄漏等威胁，减少信息安全风险，保护用户和企业的权益。

二、信息安全管理体系标准的种类目前，国内外有多种信息安全管理体系标准，其中比较有代表性的有国际标准ISO 27001信息安全管理体系标准、国内标准GB/T 22080信息安全管理制度指南等。

ISO 27001是全球最广泛应用的信息安全管理标准，通过对信息安全风险的评估、控制和持续改进，确保信息资产的保护。

而GB/T 22080则是我国信息安全管理体系标准，依据ISO 27001标准进行了本土化的修订和实施。

三、信息安全管理体系标准的实施过程一个组织或企业要实施信息安全管理体系，首先需要建立信息安全管理制度，确定安全政策、目标和具体的管理流程。

其次，根据标准的要求，进行信息资产的风险评估和分类，制定相应的风险防控策略。

然后，根据风险防控策略，实施信息安全控制措施，包括技术控制、管理控制和组织控制。

对控制措施的运行情况进行监控和评估，并根据评估结果进行持续改进。

最后，经过一段时间的实施和运行，组织或企业可以通过第三方认证机构进行认证，以获得对外证明其信息安全管理体系合规性的证书。

四、信息安全管理体系标准的好处和挑战信息安全管理体系标准的优势在于能够规范信息安全管理实施过程，提供具体的要求和指导，使得组织或企业能够系统地进行信息安全管理。

它还能够增加对信息安全威胁的认识，降低信息安全风险，并提升应对突发事件的能力。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

22080-2016信息安全管理体系管理手册及程序文件信息安全管理手册目录1. 概述1.1目的1.2适用范围1.3颁布令1.4授权书2. 依据文件和术语2.1依据文件2.2术语定义3. 裁剪说明4. 组织环境4.1组织环境描述4.2信息安全相关方的需求和期望4.3信息安全管理体系范围的确定4.4体系概述5. 领导力5.1领导力和承诺5.2信息安全方针和目标5.3组织角色、职责和权限6. 策划6.1风险评估和处置6.2目标实现过程7. 支持7.1资源提供7.2信息安全能力管理7.3意识培训7.4信息安全沟通管理7.5存档信息控制8. 运行8.1体系策划与运行9. 绩效评价9.1能力评价9.2有效性测量9.3内部审核9.4管理评审10. 改进11. 信息安全总体控制A.5信息安全策略A.6信息安全组织A.7人力资源安全A.8资产管理A.9访问控制A.10密码控制A.11物理和环境安全A.12操作安全A.13通信安全A.14系统获取、开发和维护A.15供应商关系A.16信息安全事故A.17业务连续性管理的信息安全方面A.18符合性附件一：信息安全组织架构映射表附件二：信息安全职责分配表1.概述为提高服务质量，规范管理活动，保障系统安全运行，提升人员安全意识水平，XXX软件有限公司（以下简称“公司”）依据信息安全管理标准《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的相关要求，结合自身业务系统实际运行安全需求，已建立实施了一套科学有效的信息安全管理体系，并通过体系的有效运行，实现持续改进，达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。

目的本总纲为公司信息安全管理体系的纲领性文件，描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。

通过建立策划（P）→执行（D）→检查（C）→改进（A）的持续改进机制，不断提高公司的信息安全管理水平，确保日常信息安全管理活动的安全、稳定、高效，提升企业核心竞争力。

适用范围本总纲所描述信息安全管理体系适用于公司所有部门，所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。

颁布令为提高信息安全管理水平，贯彻落实“以客户为中心，将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。

”的基本方针，保障公司的生产、经营、服务和日常管理活动，防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司特依据《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》标准要求，建立了文件化的信息安全管理体系。

本体系是信息安全管理的纲领性文件，是指导公司建立并实施信息安全管理体系的纲领和行动准则，用于贯彻信息安全管理方针，实现信息安全管理体系的有效运行和持续改进。

全体员工必须严格按照本总纲的要求，自觉贯彻管理方针，严格执行本总纲的各项规定，努力实现公司生产运行和日常办公的安全。

并传达给外部相关方。

本手册自颁布之日起生效执行。

公司总经理：XXX2020年4月7日授权书为了贯彻执行信息安全管理体系，满足《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的要求，加强对信息安全管理体系建设和持续运行的领导工作，特任命__XXX__先生为公司信息安全管理者代表。

授权信息安全管理者代表有如下职责和权限：1)领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估；2)协调与信息安全管理体系有关的各项工作；3)确保提高员工信息安全意识；4)督促信息安全管理体系内部审核和信息安全检查的开展；5)协助最高管理者进行信息安全管理体系的管理评审；6)向最高管理者报告信息安全管理体系的业绩和改进要求。

本授权书自任命日起生效执行。

公司总经理：XXX2020年4月7日2.依据文件和术语依据文件本总纲的制定参考并依据了下列文件资料，详见《符合性实施制度》。

1)法律法规：是指我国颁布的、所有相关且具有约束和指导作用的法律、法规；2)监管规定：是指证监会及其分支机构颁布的具有约束和指导作用的所有文件、规定等；3)文件：公司下发的对信息业务系统、信息安全管理等有约束力和指导作用的所有文件；4)国际惯例：是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和指导作用的国际通用惯例；5)标准：➢《GB/T 22080-2016/ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》；术语定义1)信息安全：对信息的机密性、完整性和可用性的保护；2)机密性：确保信息仅供给那些获得授权的人使用；3)完整性：保护信息及信息处理方法的准确性和完全性；4)可用性：确保获得授权使用该信息及信息系统的人能及时、可靠地使用；5)风险评估：评估信息及信息处理系统所存在的或可能产生的威胁、影响和薄弱环节，是风险分析和风险评价的全过程；6)风险管理：指导和控制组织通过区分、控制、减少或去除等方法将风险控制在可承受范围内的活动；3.裁剪说明《GB/T 22080-2016/ISO/IEC 27001:2013 信息技术安全技术信息安全管理体系要求》的条款与公司信息安全管理体系的适用关系，详见《信息安全管理体系适用性声明(SOA)》。

4.组织环境组织环境描述1、外部组织关系XXX有限公司成立于2001年，是中国领先的呼叫中心与云计算应用服务提供商。

公司倡导“人性化科技帮助客户提升业绩”，致力于帮助企业利用云计算技术，以客户为中心，协同各种经营资源，改善营销流和服务流，从而提高人均产值，重塑客户体验。

讯鸟软件是中国云计算应用/SaaS、PaaS应用的先驱，从2005年即开始研发云计算SaaS产品，拥有上百人的云计算专业研发队伍、国内一流的云计算业务咨询顾问和运营服务团队，拥有50余项自主知识产权。

2、法律法规环境公司应遵循信息安全法律法规要求和义务，避免员工违反法律、法规的要求，控制相关法律风险。

具体要求见《符合性实施制度》。

3、组织架构及部门职责公司组织架构图如下，部门包括总裁办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。

如下图所示：1)总裁办负责协助总裁执行日常工作计划和其他工作安排；执行相关信息安全管理规章制度。

2)行政部负责公司各项行政事务管理工作；完善公司内部控制制度建设；负责日常行政事务工作和办公设施、办公场所等管理工作；上级领导交办的其他工作；负责制定并执行相关信息安全管理的规章制度。

3)人力资源部负责人力资源规划的制定、实施及完善；负责组织机构方案、人员编制、岗位评价方案的研拟与执行；负责培训体系、绩效考评体系的制定、实施及追踪；负责公司人力成本的预算及调控；部门费用预算的控制；负责企业文化的建立、宣传及推动；员工职业生涯的规划设计；负责员工的招聘、高级人才的引进；执行相关信息安全管理的规章制度。

4)商务采购部负责公司第三方服务业务谈判及组织实施；负责各项第三方服务业务合同的保管、查询、建立合同档案，定期检查合同执行情况，不断完善合同的各项条款；负责各项第三方服务业务合同的签订、变更、执行、终止；负责各种促销活动方案中商户的协调和落实；执行相关信息安全管理的规章制度；5)财务部围绕公司的经营发展规划和工作计划，负责编制公司财务计划和费用预算，有效地筹划和运用公司资金；财务制度的建设和规范的制定；做好财务统计和会计账目、报表及年终结算工作，并妥善保管会计凭证，账簿、报表和其他档案资料；财务部日常管理工作，部门人员的管理、培训、考核；建立健全公司内部核算的组织、指导和数据管理体系，以及核算和财务管理的规章制度；做好公司各项资金的收取与支出管理工作；执行相关信息安全管理的规章制度。

6)产品部为公司提供准确的行业定位，及时提供市场信息反馈；制定和实施年度产品推广计划和新产品开发计划（依据市场需求的变化，要提出合理化建议）；依据市场变化要随时调整产品战略与营销战术（包括产品价格的调整等），并组织相关人员接受最新产品知识的培训；制定公司品牌管理与发展策略，维护公司品牌；管理、监督和控制市场政策执行情况；执行相关信息安全管理的规章制度。

7)销售部负责产品或服务的销售工作；负责代理人市场的推广，特别是战略客户的市场推广策略并实施；负责制定并管理销售业务流程；负责对销售业务流程执行的监督；执行相关信息安全管理规章制度。

8)服务部负责对本部门新员工的工作技能进行培训，并进行考核；负责云端产品部署、管理、维护、运营和服务运营质量的管理和提升工作；负责客户关系的维护、客户的技术培训、合同的执行，项目验收等相关工作；负责大数据的运营、自建呼叫中心平台及云端产品的客户业务和售后服务工作，保证客户的满意度；负责制定和执行服务运营及环境维护管理规章制度和相关信息安全管理的规章制度。

9)研发部负责提供符合客户要求和认可的技术支持和解决方案；承担产品设计和开发工作；负责技术方案的评审工作，保证技术方案的可行性；负责组织和协调开发项目的资源，保证项目按计划进行；负责制定项目计划，并根据各种变化修改项目计划；制定有效的项目决策过程；负责实施项目的管理、开发、质量保证过程，确保客户的成本、进度、绩效和质量目标；负责确保在项目生命周期中遵循实施公司的管理和质量政策；负责招聘和培训必须的项目成员；负责确定项目的人员组织结构;进行风险管理；负责定期举行项目评估(review)会议；负责为项目所有成员提供足够的设备、有效的工具和项目开发过程；负责有效管理项目资源；负责制定并执行相关信息安全管理的规章制度。

10)测试部负责协调业务管理体系下各部门工作；负责源代码及软件的完整性、可用性、功能、性能进行系统性测试；负责对各业务系统及运行环境进行系统性测试和安全性检测；负责对源代码资源系统管理及备份；负责制定并执行相关信息安全管理的规章制度。

信息安全相关方的需求和期望公司信息安全相关方包括认证单位、客户、供应商、内部部门及员工等。

各相关方的信息安全要求和期望均应及时识别，并在实际业务开展时应遵照执行。

信息安全管理体系范围的确定体系范围的确定主要考虑到公司的实际业务特点和资源的合理利用，在公司范围内建立信息安全管理体系，有利于全面的提高公司信息安全管理水平，保障业务稳定发展的需求。

●业务范围：云呼叫中心软件平台的开发及运维、呼叫中心业务及相关信息服务；●物理范围：北京市海淀区知春路113号银网中心A座302-304室；资产范围：支撑业务活动的文档、数据、软硬件系统、物理环境、人员及支持性第三方服务、无形资产（专利）等全部信息资产；组织范围：总裁办、行政部、人力资源部、商务采购部、财务部、产品部、销售部、服务部、研发部、测试部。