信息安全管理体系手册样本.doc

《信息安全管理体系手册样本.doc》由会员分享，可在线阅读，更多相关《信息安全管理体系手册样本.doc（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、资料内容仅供您学习参考，如有不当之处，请联系改正或者删除。文档密级: 一般文档状态: 草案 正式发布 正在修订受控状态: 受控 非受控 日期版本描述作者审核 审批 -01-08A0A版首次发布 质量小组孙佩连春华目录1.目的和适用范围21.1.目的21.2.适用范围22.引用标准、 文件、 术语及定义22.1.引用标准22.2.引用文件22.3.定义和术语22.3.1.术语22.3.2.缩写23.信息安全管理体系23.1.总要求23.2.建立和管理ISMS23.2.1.建立ISMS23.2.2.ISMS实施及运作23.2.3.ISMS的监督检查与评审23.2.3.1.控制措施23.2.3.2.

2、管理评审23.2.3.3.残余风险的评审23.2.4.ISMS保持与改进23.3.文件要求24.信息安全管理方针21. 目的和适用范围1.1. 目的为了建立、 健全本公司信息安全管理体系( 简称ISMS) , 确定信息安全方针和目标, 对信息安全风险进行有效管理, 确保全体员工理解并遵照执行信息安全管理体系文件、 持续改进ISMS的有效性, 参考管理手册, 特制定本手册。1.2. 适用范围结合管理手册, 本信息安全管理手册规定了本公司信息安全管理体系涉及的生产、 营销、 服务和日常管理等方面内容。整个信息安全管理体系( ISMS) 的覆盖范围包括: a) 本公司涉及营销、 生产服务和日常管理的

3、重要信息系统和生产系统; b) 与所述信息系统有关的活动; c) 与所述信息系统有关的部门和所有正式员工, d) 基于军工、 人力资源和社会保障、 医疗卫生、 公积金、 民政、 食药监、 金融等领域的系统建设和维护服务e) 所述活动、 系统及支持性系统包含的全部信息资产。2. 引用标准、 文件2.1. 引用标准1、 ISO27001: 信息技术、 安全技术、 信息安全管理体系要求Information technology . Security techniques . Information security management systems . Requirements2、 ISO27

4、002: 信息技术信息安全管理实施细则Information technologyCode of practice for information Security management2.2. 引用文件管理手册3. 定义和术语3.1. 术语本手册中使用术语的定义采用ISO / IEC 27000 的术语和定义。3.2. 缩写1、 ISMS: Information Security Management Systems:信息安全管理体系; 2、 SOA: Statement of Applicability :适用性声明; 4. 本公司的背景4.1. 了解本公司现状及背景本公司应明确与信息安

5、全管理体系目的及影响其能力有关的内外部问题, 以达到信息安全管理体系的预期效果。注: 确定这些问题是指建立ISO 31000 第5.3.1 考虑外部和内部环境的本公司。4.2. 理解相关方的需求和期望本公司应确定: a) 信息安全管理体系的相关方;b) 这些相关方信息安全相关要求。注: 有关各方的要求可能包括法律、 监管规定和合同义务。4.3. 确定 ISMS 的范围本公司应确定信息安全管理体系的边界和适用性, 以确定其范围。在确定此范围时, 本公司应考虑: a) 4.1 提及的外部和内部的问题;b) 4.2 提及的要求;c) 接口和执行本公司之间活动的依赖关系, 以及其它本公司的相关活动。范

6、围应可成为文档化信息。4.4. ISMS本公司应按照本国际标准的要求建立, 实施, 保持和持续改进信息安全管理体系。5. 领导力5.1. 领导力和承诺最高管理者应表现出对信息安全管理体系的领导力和承诺: a) 确保信息安全策略和信息安全目标的制定, 并与本公司的战略方向兼容;b) 确保信息安全管理体系的要求整合到本公司的过程中;c) 确保信息安全管理体系所需要的资源;d) 传达有效的信息安全管理的重要性, 并符合信息安全管理体系的要求;e) 确保信息安全管理体系达到其预期的效果;f) 指导和支持员工对信息安全管理体系作出有效的贡献;g) 促进持续改进;h) 支持其它相关管理角色来展示自己的领导

7、力, 因为它适用于她们的职责范围。5.2. 方针最高管理者应建立一个信息安全方针: a) 与本公司的宗旨相适应;b) 包括信息安全目标( 见6.2) , 或为信息安全目标提供框架;c) 包括满足与信息安全相关要求的承诺;d) 包括信息安全管理体系持续改进的承诺。信息安全的方针应: e) 可成为文档化信息;f) 在本公司内沟通;g) 视情况提供给相关方。5.3 角色、 责任和承诺最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。最高管理者应指定责任和权限: a) 确保信息安全管理体系符合本国际标准的要求;b) 将ISMS 的绩效报告给最高管理者。注: 最高管理层能够授权她人负责ISMS

8、 的绩效报告。6. 计划6.1. 处理风险和机遇的行动6.1.1. 总则当规划本公司的信息安全管理体系时, 应当考虑4.1 提到的问题和4.2 中所提到的要求, 并确定需要解决的风险和机遇: a) 确保信息安全管理体系可实现预期的结果;b) 防止或减少不良影响;c) 实现持续改进。本公司应策划: d) 解决这些风险和机遇的措施; e) 如何1) 整合和实施这些措施, 并纳入其信息安全管理体系过程中;2) 评估这些措施的有效性。6.1.2. 信息安全风险评估本公司应确定信息安全风险评估过程: a) 建立和维护信息安全风险的标准, 包括风险接受准则;b) 决定执行的信息安全风险评估的标准;c) 确

9、保重复使用信息安全风险评估过程能产生一致的, 有效的和可比较的结果。本公司应: d) 识别信息安全的风险。1) 应用信息安全风险评估过程, 以识别ISMS 范围内的信息保密性, 完整性和可用性的损失风险。2) 识别风险的所有者。e) 分析信息安全风险。1) 评估6.1.1e) 1) 实现后潜在的后果。2) 评估6.1.1e) 1) 实现的可能性。3) 确定风险等级。f) 评估信息安全风险。1) 用6.1.2a) 建立的风险标准比较风险分析结果, 并建立优先级。本公司应保留的信息安全风险评估过程中的文档化信息。6.1.3. 信息安全风险处理本公司应采用信息安全风险处理过程: a) 选择适当的信息

10、安全风险处理方法, 考虑风险评估的结果;b) 确定所有实施的信息安全风险处理措施是必要的;注: 本公司能够设计所需的控制项, 或从任何来源中识别它们。c) 比较6.1.3 b)中与附件A 中的控制项, 并确认已省略没有必要的控制项;注1: 附件A 中包含控制目标和控制项的完整列表。本国际标准的用户应注意附件A, 以确保没有重要的控制项被忽略注2: 控制目标是隐含在所选择的控制项中。附件A 所列的控制目标和控制项并不详尽, 可能还需要额外的控制目标和控制项。d) 制作一个包含必要的控制项( 见6.1.3) , B)和C) ) 和包含理由的适用性声明, 无论实施与否, 并应包含删减附件A 中控制项

11、的理由;e) 制定信息安全风险处理计划;f) 风险处理方案和残余风险应得到风险负责人的批准。本公司应保留信息安全风险的处理过程中的文档化信息。注意: 信息安全风险评估和处理过程与国际标准ISO 31000 规定的原则和通用的准则相一致。6.2. 可实现的信息安全目标和计划本公司应建立相关职能和层次的信息安全目标。信息安全目标应: a) 与信息安全方针一致;b) 是可衡量的( 如果可行) ;c) 考虑到适用的信息安全要求, 以及风险评估和处理结果;d) 是可沟通的;e) 能适时更新。本公司应保留信息安全目标相关的文档化信息。当计划如何实现信息安全目标时, 本公司应确定: f) 做什么;g) 需要

12、哪些资源;h) 谁负责;i) 何时完成;j) 如何评估结果。7. 支持7.1. 资源本公司应确定并提供信息安全管理体系的建立, 实施, 维护和持续改进所需的资源。7.2. 能力本公司应: a) 确定员工在ISMS 管控下工作的必备能力, 这会影响到本公司的信息安全绩效;b) 确保这些人在适当的教育, 培训或取得经验后是能胜任的;c) 在适当情况下, 采取行动以获得必要的能力, 并评估所采取行动的有效性;d) 保留适当的文档化信息作为证据。注: 适用的行动可能包括, 例如: 提供培训, 指导, 或重新分配现有雇员、 主管人员的聘用或承包。7.3. 意识为本公司工作的人员应了解: a) 信息安全方

13、针;b) 她们对信息安全管理体系有效性的贡献, 包括提高信息安全绩效的收益;c) 不符合信息安全管理体系要求所带来的影响, 。7.4. 沟通本公司应确定信息安全管理体系中内部和外部相关的沟通需求: a) 沟通什么;b) 何时沟通;c) 和谁沟通;d) 谁应该沟通;e) 怎样的沟经过程是有效的。7.5. 文档化信息7.5.1. 总则本公司的信息安全管理体系应包括: a) 本国际标准所需要的文档化信息;b) 记录信息安全管理体系有效性必要的文档化信息。注意: 不同本公司的信息安全管理体系文档化信息的多少与详略程度取决于: 1) 本公司的规模、 活动的类型, 过程, 产品和服务;2) 过程及其相互作

14、用的复杂性;3) 人员的能力。7.5.2. 创立和更新当创立和更新文档化信息时, 本公司应确保适当的: a) 识别和描述( 如标题, 日期, 作者, 或参考号码) ;b) 格式( 如语言, 软件版本, 图形) 和媒体( 如纸张, 电子) ;c) 适当和足够的审查和批准。7.5.3. 文档化信息的控制信息安全管理体系与本国际标准要求的文档化信息应被管理, 以确保: a) 当文档化信息被需要时是可用且适用的;b) 得到充分的保护( 例如保密性丧失, 使用不当, 完整性丧失) 。对于文档化信息的控制, 本公司应制定以下活动( 如适用) : c) 分配, 访问, 检索和使用;d) 存储和保存, 包括易

15、读性的保存;e) 变更管理( 例如版本控制) ;f) 保留和处理。本公司信息安全管理体系的规划和运作必要的外来文档化信息, 应被适当识别和管理。注: 访问表示有权查看文档化信息, 或获得授权以查看和更改文档化信息等。8. 运行8.1. 运行计划及控制本公司应策划, 实施和控制过程需求以满足信息安全要求, 并实施在6.1 中确定措施。本公司还应当实施计划, 以实现信息安全在6.2 中确定的目标。本公司应保存相关的文档化信息, 以保证过程已按照计划实施。本公司应控制计划变更, 同时审计非计划变更, 并采取适当措施以减轻任何不良影响。本公司应确保外包过程是被确定和受控。8.2. 信息安全风险评估本公

16、司应在技术时间间隔或发生重大变化时执行信息安全风险评估, 将6.1.2 中建立的标准纳入考虑范围。本公司应保留信息安全风险评估结果的相关文档化信息。8.3. 信息安全风险处理本公司应实施信息安全风险处理计划。本公司应保留信息安全风险处理结果的文档化信息。9. 绩效评价9.1. 监控, 度量, 分析和评价本公司应评估信息安全绩效和信息安全管理体系的有效性。本公司应确定: a) 需要进行监视和测量, 包括信息安全过程和控制要求;b) 监测, 测量, 分析和评估( 如适用) 的方法, 以确保结果有效;注: 选择被认为是有效的方法应该能够产生可比性和可再现的结果。c) 监视和测量时间;d) 谁应监视和

17、测量;e) 何时对监视和测量的结果进行分析和评估;f) 谁应分析和评估这些结果。本公司应保留适当的监视和测量结果的文档化信息作为证据。9.2. 内部审核本公司应在计划的时间间隔进行内部审核, 根据提供的信息判断是否安全管理体系: a) 符合1) 本公司自身信息安全管理体系的要求;2) 本国际标准的要求;b) 有效实施和保持。本公司应: c) 计划, 建立, 实施并保持审核方案, 其中包括频率, 方法, 职责, 计划要求和报告。 审核程序应考虑相关过程和以往审核结果的重要性;d) 定义每次审核的章程和范围;e) 选择审核员和审核组长以确保审核过程的客观性和公正;f) 确保审核结果报告提交相关管理

18、层;g) 保留审核程序和审核结果相关的文档化信息作为证据。9.3. 管理评审最高管理者应在计划的时间间隔评审本公司的信息安全管理体系, 以确保其持续的适宜性, 充分性和有效性。管理评审应考虑: a) 以往管理评审行动措施的状态;b) 与信息安全管理体系相关的内外部问题的变化;c) 反馈信息安全绩效和趋势, 包括: 1) 不符合与纠正措施;2) 监控和测量结果;3) 审核结果;4) 信息安全目标的实现;d) 相关方的反馈;e) 风险评估的结果和风险处理的状态;f) 持续改改进的机会。管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相关决定。本公司应保留管理评审结果的文档化信息作

19、为证据。10. 改进10.1. 符合及纠正措施出现不符合时, 本公司应: a) 对不符合作出反应, 如适用: 1) 采取行动控制和纠正;2) 处理结果;b) 评估采取措施必要性, 消除不符合的原因, 使不复发或不再其它地方发生, 经过: 1) 审查不符合;2) 确定不符合的原因;3) 确定是否存在类似的不符合和发生的可能;c) 实施所需的任何措施;d) 审查已采取纠正措施的有效性;e) 如果有必要的话, 改进信息安全管理体系。纠正措施应对不符合产生适当的影响。本公司应保留以下文档化信息作为证据: f) 不符合的性质和后续措施;g) 任何纠正措施的结果。10.2. 持续改进本公司应不断提高信息安

20、全管理体系的适宜性, 充分性和有效性。11. 信息安全管理方针实施安全管理, 积极预防风险, 完善控制措施, 实现持续发展。为了满足适用法律法规及相关方要求, 维持生产和经营的正常进行, 本公司依据ISO27001: 标准, 建立信息安全管理体系, 以保证本公司生产经营信息的保密性、 完整性、 可用性, 实现业务可持续发展的目的。本公司承诺: 1、 在公司内各层次建立完整的管理本公司机构, 确定信息安全方针、 安全目标和控制措施, 明确信息安全的管理职责; 2、 识别并满足适用法律、 法规和相关方信息安全要求; 3、 定期进行信息安全风险评估, ISMS评审, 采取纠正预防措施, 保证体系的持续有效性; 4、 采用先进有效的设施和技术, 处理、 传递、 储存和保护各类信息, 实现信息共享; 5、 对全体员工进行持续的信息安全教育和培训, 不断增强员工的信息安全意识和能力; 6、 制定并保持完善的业务连续性计划, 实现可持续发展。上述方针由公司信息安全最高责任者批准发布, 并定期评审其适用性、 充分性, 必要时予以修订。批 准 人: 陈柯 1 月 8 日