ISMS手冊(cè)-信息安全管理體系手冊(cè)

1、 3/3ISMS手冊(cè)-信息安全管理體系手冊(cè) 信息安全管理IT服務(wù)管理體系手冊(cè) 發(fā)布令 本公司按照020000:2005信息技術(shù)服務(wù)管理一規(guī)范和IS027001: 2005 信息安全管理體系要求以及本公司業(yè)務(wù)特點(diǎn)編制信息安全管理 b）向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性； e）確定并提供策劃、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)服務(wù)交付和管理所需的資源, 如招聘合適的人員，管理人員的更新; 1確保按照0207001:2005標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估，全面建立、實(shí)施和保持信息安全管理體系；按照ISO/IEC 20000信息技術(shù)服務(wù)管理規(guī)范的要求，組織相關(guān)資源，建立、實(shí)施和保持IT服務(wù)管理體系，

2、不斷改進(jìn)IT服務(wù)管理體系，確保其有效性、適宜性和符合性。 2?負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報(bào)告IT服務(wù)管理體系的業(yè)績(jī)，如：服務(wù)方針和服務(wù)目標(biāo)的業(yè)績(jī)、客戶滿意度狀況、各項(xiàng)服務(wù)活動(dòng)及改進(jìn)的要求和結(jié)果等。 3?確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí)； 4?審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃； 5.批準(zhǔn)發(fā)布程序文件； 6.主持信息安全管理體系內(nèi)部審核，任命審核組長(zhǎng)，批準(zhǔn)內(nèi)審工作報(bào)告； 向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。 7.推動(dòng)公司各部門(mén)領(lǐng)導(dǎo)，積極組織全體員工，通過(guò)工作實(shí)踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工 對(duì)滿

3、足客戶需求的重要性的認(rèn)知程度，以及為達(dá)到公司服務(wù)管理目標(biāo)所應(yīng)做出的貢獻(xiàn)。 總經(jīng)理: 日期: 信息安全方針和信息安全目標(biāo) 信息安全方針：信息安全人人有責(zé) 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機(jī)制 1?公司采用系統(tǒng)的方法，按照ISO/IEC 27001:2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。 二、信息安全管理組織 2?公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。 3?公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。 4.在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信

4、息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。 5.與上級(jí)部門(mén)、地方政府、相關(guān)專(zhuān)業(yè)部門(mén)建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。 三、人員安全 6.信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。 7.對(duì)本公司的相關(guān)方，要明確安全要求和安全職責(zé)。 8.定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識(shí)。以提高安全意識(shí)。 9.全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施

5、。 四、識(shí)別法律、法規(guī)、合同中的安全 10.及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿足安全要求。 五、風(fēng)險(xiǎn)評(píng)估 11.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。 12.采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)和軟件，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。 13.應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。 六、報(bào)告安全事件 14.公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門(mén)。 15.全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。 16.接

6、受信息安全事件報(bào)告的主管部門(mén)應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。 七、監(jiān)督檢查 17.定期對(duì)信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專(zhuān)項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 18.公司根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響, 防止關(guān)鍵業(yè)務(wù) 過(guò)程受?chē)?yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。 19?定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。 九、違反信息安全要求的懲罰 20.對(duì)違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。 信息安全目標(biāo)： 1.不可接受風(fēng)險(xiǎn)處理率：100% （所有不可接受風(fēng)險(xiǎn)應(yīng)降低到可接受的程度）。

7、2.重大顧客因信息安全事件投訴為0次（重大顧客投訴是指直接經(jīng)濟(jì)損失金額達(dá)1萬(wàn)元以上） 1信息安全管理手冊(cè)說(shuō)明 1. 1公司簡(jiǎn)介 XX 1.1編制依據(jù)和目的 本手冊(cè)在遵循IS09001: 2005信息安全管理體系要求與ISO/IEC 20000信息技術(shù)服務(wù)管理-規(guī)范的要求編制而成，包括了IS027001: 2005的全部要求，對(duì)附錄A的刪減見(jiàn)適用性聲明SoA。 手冊(cè)描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達(dá)到IS027001: 2005信息安全管理標(biāo)準(zhǔn)的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)支持服務(wù)，適用于向客戶或認(rèn)證機(jī)構(gòu)證實(shí)，本公司具備提供符

8、合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。 本公司的體系程序是手冊(cè)的支持性文件，是對(duì)體系運(yùn)作的具體描述。 1.2適用范圍 信息安全管理&IT服務(wù)管理體系手冊(cè)適用于本公司提供安全管理體系認(rèn)證服務(wù)與IT服務(wù)有關(guān)的所有部門(mén)和活動(dòng)。 1. 3術(shù)語(yǔ)和定義 1. 3. 1本手冊(cè)應(yīng)用ISO/IEC 20000中的術(shù)語(yǔ)及定義。 1 . 3. 2本手冊(cè)應(yīng)用IS0/IEC27001中的術(shù)語(yǔ)及定義。 2信息安全管理&IT服務(wù)管理手冊(cè)的管理 2 . 1手冊(cè)的編制、批準(zhǔn)和發(fā)布 2 . 1 . 1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準(zhǔn)，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員，結(jié)合本公司業(yè)務(wù)特點(diǎn)，根據(jù)ISO/IEC 20000標(biāo)準(zhǔn)的要求編寫(xiě)。 2 . 1. 2IT服務(wù)管理手冊(cè)由公司管理者代表批準(zhǔn)后發(fā)布。 2 . 2手冊(cè)的分發(fā) 2 . 2. 1技術(shù)服務(wù)事業(yè)部負(fù)責(zé)手冊(cè)的發(fā)放、更新、管理與存檔。 2 . 2.2公司各部門(mén)負(fù)責(zé)手冊(cè)的使用和保管。 2 . 3手冊(cè)的受控狀態(tài) 2 . 3 . 1書(shū)面形式的手冊(cè)分“有效文件”和“保留文件”兩種形式。作為公司