版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)
文檔簡介
信息安全管理手冊
(依據(jù)GB/T22080-2016idtIS0/IEC27001:2013標(biāo)準(zhǔn)編制)
編號:ISMS-A-01
版本號:VI.0
編制:曹飛澎日期:2019-11-01
審核:汪倩日期:2019-11-01
批準(zhǔn):汪倩日期:2019-11-01
受控狀態(tài)|受控文件|
修訂記錄
版本編寫人審核人批準(zhǔn)人修訂日期修訂說明
VI.0普飛澎汪倩汪倩2019.11.01創(chuàng)建
目錄
1概述.......................................................................1
1.1頒布令...............................................................1
1.2任命書...............................................................2
1.3手冊說明.............................................................3
2規(guī)范性引用文件.............................................................5
3術(shù)語和定義.................................................................5
4組織環(huán)境...................................................................5
4.1理解組織及其環(huán)境......................................................5
4.2理解相關(guān)方的需求和期望...............................................5
4.3確定代入份的范圍.......................................................5
4.4信息安全管理體系.....................................................6
5領(lǐng)導(dǎo)作用...................................................................6
5.1領(lǐng)導(dǎo)作用和承諾.......................................................6
5.2ISMS管理方針.......................................................7
5.3組織架構(gòu)、職責(zé)和權(quán)限.................................................7
6規(guī)劃.......................................................................7
6.1風(fēng)險和機遇的應(yīng)對措施.................................................7
6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃.............................................8
7支持.......................................................................8
7.1資源..................................................................8
7.2能力.................................................................9
7.3意識.................................................................10
7.4溝通.................................................................10
7.5文件記錄信息........................................................11
8運行......................................................................13
8.1運行的策劃和控制....................................................13
8.2信息安全風(fēng)險評估..................................................14
8.3信息安全風(fēng)險處置...................................................14
9績效評價..................................................................15
9.1監(jiān)視、測量、分析和評價...............................................15
9.2內(nèi)部審核.............................................................15
9.3管理評審............................................................15
10改進.....................................................................17
10.1不符口和糾正才日施??????????????????????????????????■??????????????17
10.2持續(xù)改進............................................................17
10.3糾正措施............................................................18
10.4預(yù)防措施............................................................19
附錄1-組織簡介..............................................................20
附錄2-組織架構(gòu)圖............................................................21
附錄4-信息安全小組成員.....................................................25
附錄5-服務(wù)器拓撲圖.........................................................26
附錄6-信息安全職責(zé)說明.....................................................27
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
1概述
1.1頒布令
為提高我公司的信息安全管理水平,保障公司業(yè)務(wù)活動的正常進行,防止由于信息
安全事件(信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密)導(dǎo)致的公司和客戶的損失,
我公司開展貫徹GB/T22080-2016idtISO/IEC27001:2013《信息安全管理體系要求》
標(biāo)準(zhǔn)工作,建立、實施和持續(xù)改進文件化的信息安全管理體系,制訂了深圳市XXXX
有限公司《信息安全管理手冊》。
《信息安全管理手冊》經(jīng)評審后,現(xiàn)予以批準(zhǔn)發(fā)布。
《信息安全管理手冊》的發(fā)布.標(biāo)志著我公司從現(xiàn)在起,必須按照信息安全管理體
系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊》所描述的規(guī)定,不斷增強持續(xù)滿足顧客要求、
相關(guān)方要求和法律法規(guī)要求的能力,全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的自助服
務(wù)終端軟硬件的研發(fā)及運行維護服務(wù),以確立公司在社會上的良好信譽。
《信息安全管理手冊》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件,也是全體員工在向顧客
提供服務(wù)過程必須遵循的行動準(zhǔn)則?!缎畔踩芾硎謨浴芬唤?jīng)發(fā)布,就是強制性文件,
仝體員工必須認(rèn)真學(xué)習(xí)、切實執(zhí)行。
深圳市XXXX有限公司
總經(jīng)理:汪倩
2019年11月01日
笫1頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
L2任命書
任命書
為貫徹執(zhí)行GB/T22080-2016idtIS0/IEC27001:2013《信息安全管理體系要求》,
加強對信息管理體系運行的領(lǐng)導(dǎo),特任命曹飛澎為公司管理者代表。
授權(quán)信息安全管理者代表有如卜.職責(zé)和權(quán)限:
1)確保按照標(biāo)準(zhǔn)的要求,進行資產(chǎn)識別和風(fēng)險評估,全面建立、實施和保持信
息安全管理體系;
2)負責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作;
3)確保在整個組織內(nèi)提高信息安全風(fēng)險的意識;
4)審核風(fēng)險評估報告、風(fēng)險處理計劃;
5)批準(zhǔn)發(fā)布程序文件;
6)主持信息安全管理體系內(nèi)部審核,任命審核組長,批準(zhǔn)內(nèi)審工作報告;
7)向最高管理者報告信息安全管理體系的業(yè)績和改進要求,包括信息安全管理
體系運行情況、內(nèi)外部審核情況。
本任命書自任命日起生效執(zhí)行。
深圳市XXXX有限公司
總經(jīng)理:汪倩
2019年11月01日
笫2頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
1.3手冊說明
1.3.1總則
《信息安全管理手冊》的編制,是用以證明已建立并實施了一個完整的文件
化的信息安全管理體系。通過對各項業(yè)務(wù)進行風(fēng)給評估,識別出公司的關(guān)鍵資產(chǎn),
并根據(jù)資產(chǎn)的不同級別風(fēng)險采取與之相對應(yīng)的處理措施。
《信息安全管理手冊》為審核信息安全管理體系提供了文件依據(jù)。
《信息安全管理手冊》證明公司已經(jīng)按照GB/T22080-2016idtIS0/IEC
27001:2013標(biāo)準(zhǔn)的要求建立并實際運行一套信息安全管理體系?!缎畔踩芾?/p>
手冊》的編制及頒布可以對公司信息安全管理各項活動進行控制,指導(dǎo)公司開展
各項業(yè)務(wù)活動,并通過不斷的持續(xù)改進來完善信息安全管理體系。
1.3.2信息安全管理手冊的批準(zhǔn)
管理者代表負責(zé)組織信息安全小組編制《信息安全管理手冊》及其相關(guān)規(guī)章
制度,總經(jīng)理負責(zé)批準(zhǔn)。
1.3.3信息安全管理手冊的發(fā)放、作廢與銷毀
(1)綜合管理部負責(zé)按《文件控制程序》的要求,進行《信息安全管理手
冊》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。
(2)各相關(guān)部門按照受控文件的管理要求對收到的《信息安全管理手冊》
進行使用和保管。
(3)綜合管理部按照規(guī)定發(fā)放修改后的《信息安全管理手冊》,并收回失
效的文件做出標(biāo)識統(tǒng)一處理,確保有效文件的唯一性。
(4)綜合管理部保留《信息安全管理手冊》修改內(nèi)容的記錄。
1.3.4信息安全管理手冊的修改
《信息安全管理手冊》如根據(jù)實際情況發(fā)生變化時,應(yīng)用信息安全體系相關(guān)
部門提出申請,經(jīng)綜合管理部討論、商議,信息安全代表審核、總經(jīng)理批準(zhǔn)后方
可進行修改。為保證修改后的手冊能夠及時發(fā)放給相關(guān)人員,綜合管理部對手冊
實施修改后,應(yīng)及時發(fā)布修改信息,通知相關(guān)人員。
《信息安全管理手冊》的修改分為兩種:
笫3頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
一是少量的文字性修改。此種修改不改變手冊的版本號,只需在本手冊的“文
檔修改記錄”如實記錄即可,不需保存手冊修改前的文檔原件。
二是大范圍的信息安全管理體系版本升級,即改版。在本手冊經(jīng)過多次修改、
信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況
下,需要對本手冊進行改版。本手冊的改版應(yīng)該對改版前的《信息安全管理手冊》
原件進行保存。
在出現(xiàn)下列情況時,《信息安全管理手冊》可以進行修改:
>信息安全管理體系運行過程中發(fā)現(xiàn)問題或信息安全管理體系需進一步改
進
>內(nèi)部信息安全提出新的需求
>組織機構(gòu)和職能發(fā)生變化
>經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整
>發(fā)現(xiàn)本手冊中存在差錯或不明確之處
>引用的法規(guī)或體系標(biāo)準(zhǔn)有修改
>體系審核或管理評審提出改進要求
>本手冊的更改控制按《文件管理程序》執(zhí)行
1.3.5信息安全管理手冊的換版
《信息安全管理手冊》進行換版,換版應(yīng)在管理評審時形成決議,重新編制、
審批工作。
>當(dāng)依據(jù)的GB/T22080-2016idtTSO/TEC27001:2013信息安全管理體系有
重大變化時,如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險等發(fā)生重大改
變的。
>相應(yīng)的法律法規(guī)發(fā)生重大變化時,如國家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生
改變的。
>《信息安全管理手冊》發(fā)生需修改部分超過1/3時。
>《信息安全管理手冊》執(zhí)行已滿三年時。
1.3.6信息安全管理手冊的控制
(1)《信息安全管理手冊》標(biāo)識分受控文件和非受控文件:
笫4頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
>受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負責(zé)人、審計部或者內(nèi)審員。
>非受控文件印制成單行木,作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍
以外的其他相關(guān)人員。
(2)《信息安全管理手冊》分為書面文件和電子文件兩種。
2規(guī)范性引用文件
GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求;
GB/T22081-2016信息安全管理實用規(guī)則;
與公司運營相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。
3術(shù)語和定義
?本手冊采用GB/T22080-2016idtTSO/TEC27001:2013標(biāo)準(zhǔn)的術(shù)語和定義,并根
據(jù)需要在相應(yīng)章節(jié)所描述的要求中,增補了所涉及的術(shù)語和定義;
?本手冊出現(xiàn)的術(shù)語“產(chǎn)品”指的是公司提供的產(chǎn)品和服務(wù);
?ISMS-IntegratedManagementSystem的縮寫,代表“信息安全管理體系”;
4組織環(huán)境
4.1理解組織及其環(huán)境
公司定期識別和信息安全管理目標(biāo)相關(guān),并影響實現(xiàn)信息安全管理預(yù)期結(jié)果的內(nèi)外
部問題。
4.2理解相關(guān)方的需求和期望
本公司確定:
a)與ISMS有關(guān)的相關(guān)方;
b)這些相關(guān)方與信息安全有關(guān)的要求。
4.3確定ISMS的范圍
應(yīng)用范圍:
本《信息安全管理手冊》規(guī)定了〈深圳市XXXX有限公司>信息安全管理體系涉及的
笫5頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
開發(fā)和維護信息安全管理、職責(zé)管理、內(nèi)部審核、管理評審和信息安全管理體系持
續(xù)改進等方面內(nèi)容。
產(chǎn)品和服務(wù)范圍:與計算機應(yīng)用軟件的設(shè)計、開發(fā)及售后服務(wù)相關(guān)的信息安全管理
活動區(qū)域范圍:廣東省深圳市八卦嶺八卦路31號眾鑫科技大展1310室
組織機構(gòu)范圍:管理層、技術(shù)部、銷售部、綜合管理部
4.4信息安全管理體系
4.4.1總則
為了建立、實施、運行、監(jiān)視、評審、持續(xù)改進信息管理管理體系,提高全
員的信息安全意識,對信息安全風(fēng)險進行有效管理,使全公司貫徹落實安全方針
和各項安全措施,保護用戶信息和資料,保證的信息資產(chǎn)免遭破壞,降低可能影
響到信息安全的各種風(fēng)險,防止安全事故的發(fā)生。同時確保全體員工理解并遵守
執(zhí)行信息安全管理體系文件,持續(xù)改進信息安全管理體系的有效性,樹立公司良
好的服務(wù)形象,增強用戶對公司的技術(shù)和管理水平的信心,保證公司業(yè)務(wù)可持續(xù)
開展,特制定本《信息安全管理手冊》。
4.4.2ISMS體系過程方法
相關(guān)方/相關(guān)方/
第三方第三方
信
實
息
施
安
信
并
仝
息
管
運
安
理
行
全
需
管
求
理
和
期
里
監(jiān)控并評審
5領(lǐng)導(dǎo)作用
5.1領(lǐng)導(dǎo)作用和承諾
?總經(jīng)理領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職責(zé)和作用。
笫6頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
?制定信息安全方針和信息安全目標(biāo),建立和完善公司的信息安全管理體系。
?向公司傳達滿足信息安全目標(biāo)以及信息安全方針,以及法律責(zé)任和持續(xù)改進的重
要性。
?提供足夠的資源建立、實施、運行、監(jiān)控、評審、為何和改進ISMS;
?決定可接受風(fēng)險的標(biāo)準(zhǔn)和可接受風(fēng)險的等級;
?確保按照標(biāo)準(zhǔn)嚴(yán)格執(zhí)行ISMS內(nèi)部審核并進行管理評審。
5.2ISMS管理方針
一、信息安全管理方針
為了滿足適用法律法規(guī)及相關(guān)方要求,維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行,
實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展,本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)
和技術(shù)確定了信息安全管理體系方針:
滿足客戶要求,保障信息安全,遵守法律法規(guī),持續(xù)改進管理。
二、信息安全管理目標(biāo)
1.針對客戶信息安全事件的投訴每年不超過1次
2.重要信息設(shè)備丟失每年不超過1起
3.機密和絕密信息泄漏事件每年不超過1次
三、信息安全管理適用范圍
本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三
方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。
5.3組織架構(gòu)、職責(zé)和權(quán)限
5.3.1ISMS管理體系組織架構(gòu)圖
附錄2-組織架構(gòu)圖
5.3.2ISMS管理職能分配
見附錄3-職能分配表
5.3.3職責(zé)和權(quán)限
見附錄8-信息安全職責(zé)說明
6規(guī)劃
笫7頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
6.1風(fēng)險和機遇的應(yīng)對措施
信息安全小組組織有關(guān)部門根據(jù)風(fēng)險評估結(jié)果,形成《風(fēng)險處理計劃》,該
計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、處理方法及完成時間。
對于信息安全風(fēng)險和給予,應(yīng)考慮控制措施與費用的平衡原則,選用以下適
當(dāng)?shù)拇胧?/p>
?控制風(fēng)險,采用適當(dāng)?shù)膬?nèi)部控制措施。
?接受風(fēng)險(不可能將所有風(fēng)險降低為零);
?避免風(fēng)險(如物理隔離);
?轉(zhuǎn)移風(fēng)險(如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商)。
6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃
6.2.1公司在相關(guān)職能、層次和信息安全管理體系所需的過程建立信息安全目標(biāo)。
信息安全目標(biāo)應(yīng):
a)與信息安全方針保持一致
b)可測量;
c)考慮適用的要求,以及風(fēng)險評估和風(fēng)險處置的結(jié)果;
d)得到溝通:
e)適時更新。
組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化信息。
6.2.2在策劃信息安全目標(biāo)的實現(xiàn)時,公司確定:
a)采取的措施;
b)所需的資源(見7.1);
c)責(zé)任人;
d)完成的時間表;
e)如何評價結(jié)果。
7支持
7.1資源
7.1.1總則
笫8頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實施、保持和改進ISMS管理體系所需的
資源,應(yīng)考慮現(xiàn)有的資源、能力、局限;
7.1.2基礎(chǔ)設(shè)施
組織應(yīng)識別、提供并保持實現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施,這些設(shè)施包括:
?工作場所相應(yīng)的設(shè)施(辦公電腦、服務(wù)器、軟硬件、機房等);
?服務(wù)過程設(shè)備,如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)(軟
件)等;
?維修保養(yǎng)和保障設(shè)施(各種輔助設(shè)施、安全防護設(shè)施等);
?支持性服務(wù),如運輸、通訊信息系統(tǒng)等。
7.1.3過程環(huán)境
公司各部門應(yīng)識別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素,并對其加以有效的控
制,保證提供產(chǎn)品/服務(wù)過程中的人員、財產(chǎn)安全。
過程環(huán)境可包括物理的、社會的、心理的和環(huán)境的因素。
7.1.4監(jiān)視和測量設(shè)備
對照國際或國家的測量標(biāo)準(zhǔn),在規(guī)定的時間間隔或在使用前進行校準(zhǔn)和檢定,如果
沒有上述標(biāo)準(zhǔn)的,應(yīng)記錄校準(zhǔn)或檢定(驗證)的依據(jù),以確保下列設(shè)備處于正常狀態(tài):
?開發(fā)用途的電腦設(shè)備;
?測試用途的電腦設(shè)備;
?開發(fā)用途的軟件;
?測試用途的軟件;
?集成項目使用的設(shè)備。
處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征:
?設(shè)備的型號能夠符合預(yù)期的使用目的;
?無論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài),設(shè)備均是正常的;
?設(shè)備得到周期性的養(yǎng)護和校正,并標(biāo)識其校準(zhǔn)狀態(tài);
?必要時,各部門使用設(shè)備進行測量前,應(yīng)再次校準(zhǔn)設(shè)備;
?測試軟件應(yīng)確認(rèn)其具有滿足預(yù)期用途的能力,初次使用前應(yīng)進行確認(rèn),必要時
笫9頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
可以進行重新確認(rèn)。
當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時,應(yīng)對以往的測量結(jié)果進行有效性評價和記錄,并
對受影響的產(chǎn)品采取適當(dāng)?shù)拇胧?/p>
校準(zhǔn)和檢定結(jié)果的記錄應(yīng)予保存。
7.1.5知識
公司應(yīng)確保ISMS管理體系運行過程中,提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的
知識。這些知識應(yīng)得到保持、保護、需要時便于獲取。
在應(yīng)對變化的需求和趨勢時,組織應(yīng)考慮現(xiàn)有的知識基礎(chǔ),確定如何獲取必需的更
多知識。
7.2能力
公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗要求,安排人員,以確保影響產(chǎn)品
/服務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要,能勝任其工作。
對于人員的配置,公司人事行政部應(yīng)定鹵定編并制定完善的崗位說明文件。
公司在《員工培訓(xùn)管理程序》中對在職培訓(xùn)、人員的意識的灌輸和工作能力的增長
作了要求,以便:
?確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員(包含營銷、服務(wù)提供、質(zhì)量檢
查、IT開發(fā)、顧客溝通、顧客信息反饋等)所必須的工作能力及培訓(xùn)需求;
?提供培訓(xùn)或采取其他措施,以滿足所確定的需求并確保達成必須的能力;
?對培訓(xùn)的有效性進行評價;
?確保員工能意識到他們工作的相關(guān)性和重要性,以及他們?nèi)绾螢檫_到TSMS目標(biāo)
做出努力;
?保存有關(guān)教育、經(jīng)驗、培訓(xùn)、資格的適當(dāng)?shù)挠涗洝?/p>
7.3意識
公司應(yīng)確保工作的人員意識到:
?ISMS管理方針;
?相關(guān)的信息安全目標(biāo);
?他們對信息安全管理體系有效性的貢獻,包括改進績效的益處;
?偏離信息安全管理體系要求的后果。
第10頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
7.4溝通
管理者代表為信息安全溝通交流主管部門,負責(zé)內(nèi)、外部信息的交流與管理,及時
將信息進行處理傳遞給有關(guān)部門。各部門負責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝
通交流工作,收集與外部相關(guān)方的信息資料,并保存回復(fù)的證據(jù)。
7.4.1內(nèi)部信息
?信息安全方針、目標(biāo)及實施方案
?資產(chǎn)識別與風(fēng)險評怙
?職責(zé)與權(quán)限的傳達與落實
?培訓(xùn)教育的實施與效果
?監(jiān)控與測量結(jié)果的反饋及法律、法規(guī)的符合情況
?不符合的糾正和預(yù)防措施的執(zhí)行情況
?緊急狀態(tài)下的信息等
7.4.2外部信息
?信息安全方針通報相關(guān)方,對外宣傳;
?法律、法規(guī)的獲取與監(jiān)測及執(zhí)法部門的聯(lián)絡(luò);
?監(jiān)控、檢測結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù);
?認(rèn)證與監(jiān)督審核;
7.4.3管理者代表應(yīng)與相關(guān)方就影響他們的信息安全的變更進行協(xié)商。公司制定《信
息安全溝通協(xié)調(diào)管理程序》規(guī)范信息安全溝通過程,必要時,保留信息交流相關(guān)證據(jù)。
7.5文件記錄信息
7.5.1文件體系結(jié)構(gòu)
信息安全管理體系的文件由上而下分為四個層次,如下圖所示:
笫11頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
信息安全管理體系文件包括:
(1)管理手冊(信息安全手冊、信息安全策略):規(guī)定信息安全管理體系的文件,
是公司內(nèi)部的信息安全法規(guī),闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu)
和職責(zé)權(quán)限,同時描述了信息安全管理體系的主體文件(程序文件),是信息安全管理
體系的綱領(lǐng)性文件。
(2)程序文件:是信息安全手冊的支持性文件,規(guī)定了實施與信息安全管理體系
有關(guān)的各項活動的途徑和方法,是各項活動得以有效實施的保障。與信息安全管理體系
有關(guān)的各項活動必須按照程序文件規(guī)定實施,并定期對其進行評審,保持其有效性。
(3)作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計劃等:是現(xiàn)場或崗位使用的詳細工作文件,是
程序文件的支撐和補充性文件,是信息安全管理體系過程得以有效策劃、運行、控制所
需要的文件,也是信息安全活動的基礎(chǔ)文件。
(4)表單記錄:通過表單模板,對信息安全管理體系實施的一系列活動進行規(guī)范,
形成記錄文件,用于作為管理評審、內(nèi)部審核、外部審核、持續(xù)改進的客觀證據(jù)。
信息安全手冊、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、表單記錄等四層文件由信息
安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。
支持文件:
?《文件控制程序》
第12頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
7.5.2文件控制
綜合管理部組織編制《文件控制程序》,確保信息安全管理體系的文件在以下幾個
方而得到控制:
(1)文件發(fā)布前得到批準(zhǔn),以確保文件是充分與適宜的。
(2)管理體系文件應(yīng)定期進行評審、修訂完善,并再次批準(zhǔn)以保持文件要求與實
際運作的一致性,充分保障文件的有效性、充分性和適宜性。
(3)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別。
(4)確保在使用處可獲得適用文件的有關(guān)版本。
(5)確保文件保持清晰、易于識別。
(6)確保綜合管理部確定的體系所需的外來文件得到識別,并控制其分發(fā)。
(7)防止作廢文件的非預(yù)期使用,若因任何原因而保留作廢文件時,對這些文件
進行適當(dāng)?shù)臉?biāo)識。
(8)具體執(zhí)行按《文件控制程序》的規(guī)定,對文件的審核、批準(zhǔn)、發(fā)布、變更、
修改、廢止等環(huán)節(jié)進行控制。
支持文件:
?《文件控制程序》
7.5.3記錄控制
信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運行的依據(jù),對記錄的
標(biāo)識、儲存、保護、檢索、保管、廢棄等事項進行了規(guī)定,各部門應(yīng)根據(jù)《記錄控制程
序》的要求采取適當(dāng)?shù)姆绞酵咨票9苄畔踩涗?,具體記錄如下:
(1)建立并保持記錄,以提供符合要求和信息安全管理體系有效運行的證據(jù)。
(2)保護并控制記錄。信息安全管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記
錄應(yīng)保持合法,易于識別和檢索。
(3)編制形成文件的程序,以規(guī)定記錄的標(biāo)識、儲存、保護、檢索、保存期限和
處置所需的控制。
(4)記錄的要求和管理:
>真實、完整、字跡清晰,可識別是何種產(chǎn)品或項目的何種活動。
>填寫及時、禁止未經(jīng)許可的更改。
第13頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
>各部門應(yīng)對本部門的記錄自行歸檔保存,保存環(huán)境應(yīng)適宜,以防止記錄損壞、
變質(zhì)和丟失,保管方式便于存取和檢索。
>記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點、法規(guī)要求及合同要求來決定,見“記錄清
單”。
>超過保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進行處置。
支持文件:
?《記錄控制程序》
8運行
8.1運行的策劃和控制
公司規(guī)定了實現(xiàn)與計算機應(yīng)用軟件的設(shè)計、開發(fā)及售后服務(wù)所需的過程,這些過程
與公司ISMS管理體系中的其他要求相一致并對其順序和相互作用予以確定。公司識別
每一過程對滿足客戶服務(wù)要求的能力的影響,并確保營運活動中每個質(zhì)量特性都受到有
效控制。
8.1.1ISMS運行總要求
?實現(xiàn)過程的策劃中應(yīng)明確:
?質(zhì)量目標(biāo)和要求;
?明確各崗位的信息安全職責(zé);
?服務(wù)標(biāo)準(zhǔn)
?明確過程控制的準(zhǔn)則和方法,制定必要的作業(yè)指導(dǎo)文件,為產(chǎn)品和服務(wù)實現(xiàn)提供
度源和設(shè)施,保證其所需的工作環(huán)境;
?保留服務(wù)過程提供及過程測量和檢查結(jié)果的記錄c
經(jīng)識別公司沒有外包過程。對于公司的服務(wù)商,綜合管理部按照《第三方服務(wù)管理程
序》進行管理。
8.2信息安全風(fēng)險評估
8.2.1風(fēng)險評估的方法
信息安全小組負責(zé)組織編制《信息安全風(fēng)險管理程序》,建立識別適用于信息安全
管理體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險評估方法,在決定風(fēng)險的可
第14頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
接受范圍內(nèi),采取適當(dāng)?shù)娘L(fēng)險控制措施。
8.2.2識別風(fēng)險
在信息安全管理體系范圍內(nèi),對所有信息資產(chǎn)進行識別評價,識別資產(chǎn)面臨的威脅
以及脆弱性、識別保密性完整性和可用性對資產(chǎn)造成的影響程度、識別資產(chǎn)面臨的風(fēng)險,
并通過這些項目的風(fēng)險標(biāo)識推算出對重要資產(chǎn)造成的影響。
8.2.3分析和評價風(fēng)險
針對每一項信息資產(chǎn),識別出其面臨的所有威脅,并考慮現(xiàn)有的控制措施,識別出
被該威脅可能利用的薄弱點。
針對每一項威脅、薄弱點,對資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判斷安全失
效發(fā)生的可能性。
根據(jù)《信息安全風(fēng)險管理程序》計算風(fēng)險等級以及風(fēng)險接受準(zhǔn)則,判斷風(fēng)險為可接
受或需要處理。
8.2.4識別和評價風(fēng)險處理的選擇
項目風(fēng)險的識別貫穿整個業(yè)務(wù)活動過程,明確哪些風(fēng)險可能影響項目造成影響、記
錄這些風(fēng)險的各方面特征。在記錄風(fēng)險的基礎(chǔ)上對項目進行初步分析,依據(jù)影響對項目
風(fēng)險進行優(yōu)先級排序。
綜合管理部根據(jù)風(fēng)險評估的結(jié)果,形成《信息安全風(fēng)險評估表(含〈風(fēng)險處理計
劃》)》,該計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、目的、范圍以及處理策略,具體
措施如下:
(1)適時適當(dāng)?shù)目刂拼胧?/p>
(2)規(guī)避風(fēng)險,采取有效的控制措施避免風(fēng)險的發(fā)生。
(3)接受風(fēng)險,在一定程度上有意識、有目的地接受風(fēng)險。
(4)風(fēng)險轉(zhuǎn)移,轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面。
(5)消減風(fēng)險,通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險發(fā)生的可能性。
8.3信息安全風(fēng)險處置
組織應(yīng)實施信息安全風(fēng)險處置計劃。保留信息安全風(fēng)險處置結(jié)果的文件記錄信息。
詳見《信息安全風(fēng)險管理程序》
8.3.1相關(guān)文件
第15頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
?《信息安全風(fēng)險管理程序》
9績效評價
9.1監(jiān)視、測量、分析和評價
為了保證服務(wù)的符合性及實施必要的改進,應(yīng)規(guī)定、策劃和實施所需的測量和監(jiān)視
活動。在策劃時,應(yīng)確定統(tǒng)計技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視司測量的
過程和措施包括:客戶滿意度測量、過程的監(jiān)視和測量、產(chǎn)品的監(jiān)視和測量。
綜合管理部應(yīng)組織相關(guān)部門,對質(zhì)量服務(wù)信息安全措施的績效和體系的有效性進行
評價。
綜合管理部應(yīng)與各部門協(xié)調(diào),根據(jù)公司管理的實際需要,建立恰當(dāng)?shù)亩攘矿w系,以
度量員工、項目組的工作業(yè)績。
由綜合管理部組織實施監(jiān)視和測量,每年至少一次對對監(jiān)視和測量的結(jié)果進行分析
和評價,由總經(jīng)理以及各部門經(jīng)理分析和評價這些結(jié)果,保留相關(guān)的監(jiān)視和測量證據(jù)。
9.2內(nèi)部審核
公司應(yīng)按計劃的時間要求進行ISMS內(nèi)部審核,以確定控制目標(biāo)、控制措施、過程
和程序是否:
?符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求;
?符合確定的信息安全要求;
?得到有效地實施和維護;
?按期望運行。
內(nèi)部審核程序應(yīng)進行計劃,并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次
審核結(jié)果,應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式.審核員的選擇和審核活動應(yīng)保證審核
過程的客觀和公正,審核員不能審核自己的工作。
9.3管理評審
9.3.1總則
為確保信息安全管理體系持續(xù)運行,具體如下:
(1)管理者代表組織并編制《管理評審程序》,指導(dǎo)管理評審工作的執(zhí)行。
(2)管理評審由最高管理者或其授權(quán)人員組織,每年至少一次。一般情況下,采
第16頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
取會議的形式,安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時,應(yīng)及時進行管理評審:
>公司管理體系發(fā)生重大變化。
>國家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。
>外審之前。
>其他認(rèn)為需要評審時。
(3)各部門負責(zé)均需參加管理評審活動,需要時,由總經(jīng)理或其授權(quán)人員決定具
體的參加人員。
(4)管理評審會議的決議事項以會議紀(jì)要形式體現(xiàn),由各相關(guān)部門負責(zé)配合執(zhí)行,
并對執(zhí)行狀況予以跟蹤評估。
9.3.2評審輸入
在管理評審時,管理者代表應(yīng)組織各相關(guān)部門提供以下資料,以供評審:
a)以往管理評審的措施的狀態(tài);
b)與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更;
c)信息安全績效的反饋,包括下列方面的趨勢:
1)不符合和糾正措施;
2)監(jiān)視和測量結(jié)果;
3)審核結(jié)果;
4)信息安全目標(biāo)的實現(xiàn);
d)相關(guān)方的反饋;
e)風(fēng)險評估的結(jié)果和風(fēng)險處置計劃的狀態(tài);
f)持續(xù)改進的機會。
9.3.3評審輸出
按照信息安全管理與安全方針和目標(biāo)對上述信息進行全面的討論、評價、分析,管
理評審輸出包括以下方面有關(guān)的任何決定和措施:
(1)信息安全管理體系有效性的改進,應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)
務(wù)需求的業(yè)務(wù)過程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險以及風(fēng)險接受等級等。
(2)信息安全管理方針和目標(biāo)的修訂。
(3)與相關(guān)方/第三方有關(guān)的改進措施等。
第17頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
(4)風(fēng)險的等級或可接受風(fēng)險的水平,更新風(fēng)險評估和風(fēng)險評估表等。
(5)業(yè)務(wù)需求的變更。
(6)安全需求的變更。
(7)資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程;
(8)法律法規(guī)的環(huán)境。
(9)改進測量控制措施有效性的方式。
(10)對現(xiàn)有信息安全管理體系的評價結(jié)論以及對現(xiàn)有服務(wù)是否符合要求的評價。
以上內(nèi)容的詳細規(guī)定見《管理評審程序》。
公司應(yīng)保留文件記錄作為管理評審結(jié)果的證據(jù)。
10改進
10.1不符合和糾正措施
當(dāng)發(fā)生不符合時,應(yīng):
?對不符合作出反應(yīng),
>采取措施控制并糾正不符合;
>處理不符合造成的后果;
?評價消除不符合原因的措施的需求,通過采取以下措施防止不符合再次發(fā)生或在其他
區(qū)域發(fā)生:
>評審不符合;
>確定不符合的原因;
>確定類似不符合是否存在,或可能潛在發(fā)生
?實施所需的措施:
?評審所采取糾正措施的有效性;
?必要時,對體系實施變更。
應(yīng)將以下信息形成文件:
?不符合的性質(zhì)及隨后采取的措施
?糾正措施的結(jié)果
上述要求參見《糾正措施控制程序》。
第18頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
10.2持續(xù)改進
通過制定和改進管理方針和管理目標(biāo)、進行管理評審、進行內(nèi)部/外部審核、落實
糾正與預(yù)防措施工作、對信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全
管理體系的改進工作,必要時征求所有相關(guān)方對管理體系的意見,從而保證管理體系的
持續(xù)有效性和運行效率。
關(guān)注客戶的投訴、抱怨、記錄、評估服務(wù)改進建議,制定服務(wù)改進計劃,評估服務(wù)
改進情況,確保各項服務(wù)改進措施均已落實執(zhí)行,并實現(xiàn)預(yù)期的目標(biāo),從而改進完善服
務(wù)過程,提升服務(wù)質(zhì)量,提高客戶的滿意度。
規(guī)定各部門在持續(xù)改進活動中的角色和職責(zé),并從服務(wù)過程的所有方面考慮服務(wù)改
進要求。
計劃通過以下途徑持續(xù)改進信息安全管理的有效性:
(1)通過信息安全管理體系方針的建立與實施,對持續(xù)改進做出正式的承諾。
(2)通過信息安全管理體系目標(biāo)的建立與實施,對持續(xù)改進進行評價。
(3)通過內(nèi)部審核不斷發(fā)現(xiàn)問題,尋找體系改進的機會并予以實施。
(4)通過數(shù)據(jù)分析不斷尋求改進的機會,并做出適當(dāng)?shù)母倪M活動安排。
(5)通過實施糾正和預(yù)防措施實現(xiàn)改進的活動。
(6)監(jiān)控安全事件并對事件進行分析。
(7)確定糾正措施和預(yù)防措施的有效性。
(8)根據(jù)管理評審的結(jié)果尋求改進體系的機會。
(9)根據(jù)客戶滿意度調(diào)查尋求改進體系的機會。
支持文件:
?《糾正措施控制程序》
?《預(yù)防措施控制程序》
?《內(nèi)部審核管理程序》
10.3糾正措施
對于發(fā)現(xiàn)的不合格項,不僅要求責(zé)任人要糾正不合格行為,而且為了消除不合格項、
與實施和運行信息安全管理體系有關(guān)的原因,人事行政部要求責(zé)任人應(yīng)該制定糾正措
施,以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求:
第19頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
(1)識別實施和運行信息安全管理體系的不合格事件。
(2)分析并確定不合格的原因。
(3)評價確保不合格不再發(fā)生的相關(guān)因素。
(4)確定和實施所需的糾正措施。
(5)檢查、驗證糾正措施的結(jié)果。
(6)評審所采取的糾正措施的有效性。
支持文件:
?《糾正措施控制程序》
?《預(yù)防措施控制程序》
?《內(nèi)部審核管理程序》
10.4預(yù)防措施
在信息安全管理體系運行的過程中,通過日常的過程控制、結(jié)果驗證、體系審核等
方式發(fā)現(xiàn)的一些可能影響體系運行的、不受控制將會導(dǎo)致不合格產(chǎn)生的安全事件,應(yīng)該
及時采取預(yù)防措施控制事態(tài)的進一步擴大。預(yù)防措施應(yīng)該滿足如下幾方面的要求:
(1)識別潛在的信息安全事件及其原因,并確定。
(2)評價預(yù)防不合格發(fā)生的措施的需求。
(3)確定和實施所需的預(yù)防措施。
(4)評價預(yù)防措施的有效性,并對所采取措施的結(jié)果進行記錄。
(5)識別并控制重大的已變更的防線。
支持文件:
?《糾正措施控制程序》
?《預(yù)防措施控制程序》
第20頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
附錄卜組織簡介
深圳市XXXX有限公司是一家總部位于中國深圳的全方位IT及解決方案服務(wù)提供
商。主要致力于航空領(lǐng)域,提供航空IT產(chǎn)品、IT服務(wù)及解決方案、航空教育的一體化
專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系,不斷吸取各方先進
技術(shù)與管理經(jīng)驗,打造了一支經(jīng)驗豐富的管理團隊。在堅持高品質(zhì)的產(chǎn)品質(zhì)量、雄厚的
技術(shù)力量的支持下,研發(fā)了多項擁有自主知識產(chǎn)權(quán)的產(chǎn)品,同時具備了向市場提供綜合
化服務(wù)的實力。
我們的服務(wù):公司一直堅持“滿足客戶的需求就是我們的追求的服務(wù)“宗旨”,我
們將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位的IT服務(wù),提升客戶的企業(yè)價值,提高客戶的
市場競爭力。技術(shù)實力:公司擁有蓬勃向上,充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心,海外留學(xué)背
景,多年IT研發(fā)、管理經(jīng)濟的高層管理團隊;經(jīng)驗豐富的研發(fā)團隊一為客戶提供專業(yè)
的IT只是支持。
發(fā)展戰(zhàn)略:提供自主研發(fā)的一流軟件和服務(wù),持續(xù)為客戶創(chuàng)造最大價值核心價值觀
公司理念:幫助客戶創(chuàng)造價值,幫助員工實現(xiàn)夢想
誠信:最重要的無形資產(chǎn),是我們贏得客戶信任的基礎(chǔ)
專注:建立核心競爭力的關(guān)鍵
創(chuàng)新:企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)
第21頁
深圳市XXXX有限公司文件編號ISMS-A-01
信息安全管理手冊文件版本VI.0
密級秘密
附錄2-組織架構(gòu)圖
綜
銷
技
合
售
術(shù)
管
部
部
理
部
第22頁
深圳市XXXX有限公司文件編
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《機電概念設(shè)計基礎(chǔ)》課件-運行時行為
- 2024外墻保溫材料綠色施工技術(shù)與材料購銷合同協(xié)議2篇
- 換簽租賃合同(2篇)
- 2024年版項目管理實踐之招投標(biāo)策略3篇
- 2024年田土承包與土地整治服務(wù)合同協(xié)議3篇
- 2025年寶雞貨物從業(yè)資格證考試題
- 2025年中衛(wèi)貨運從業(yè)資格證試題庫及答案
- 2025年杭州貨運從業(yè)資格證模擬考試0題題庫
- 2025年福州貨運從業(yè)資格證考500試題
- 2025年哈爾濱貨運從業(yè)資格考試
- 全冀教版六年級上冊英語第四單元知識點總結(jié)
- 酒店接待醉酒客人流程課件
- PPT基礎(chǔ)教程完整版
- 2023年新版企業(yè)用安全檢查表《工貿(mào)行業(yè)重大事故隱患判定標(biāo)準(zhǔn)和重點檢查事項檢查表》《冶金企業(yè)重大事故隱患摸底表》
- 《平行四邊形的面積》說課課件
- (word完整版)使用Photoshop通道摳圖公開課教案
- 石油天然氣集團公司檔案管理手冊
- LTE高負荷小區(qū)的優(yōu)化解決方案
- 注射美容培訓(xùn)課件
- 教育科學(xué)研究方法智慧樹知到答案章節(jié)測試2023年延邊大學(xué)
- 中國肺動脈高壓診斷與治療指南(2021版)解讀
評論
0/150
提交評論