信息安全管理手册_第1页
信息安全管理手册_第2页
信息安全管理手册_第3页
信息安全管理手册_第4页
信息安全管理手册_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、编号XX-ISMS-01江苏xxxX技有限公司版本A/0密级内部限制受控是生效日期核准审查制订2016.3.1修改记录厅P修改原因修改内容修改人/时间批准人/时间备注目录0.1、信息安全经管手册发布令0.2、经管者代表任命书0.3、公司简介0.4、信息安全方针0.5、信息安全目标1、范围2、引用规范3、术语和定义4、信息安全经管体系4.1 组织环境4.2 理解相关方的需求和期望4.3 明确信息安全经管体系的范围4.4 信息安全经管体系5、领导5.1 领导和承诺5.2 方针5.3 组织角色、职责和权力6、计划6.1 处置风险和机遇6.2 信息安全目标的计划和实现7、支持7.1 资源7.2 能力7

2、.3意识7.4 沟通7.5 文档要求8、实施8.1 运行计划和控制8.2 信息安全风险评估8.3 信息安全风险处置9、绩效评价9.1 监视、测量、分析和评价9.2 内部审核9.3 经管评审10、改进10.1 不符合项和纠正措施10.2 持续改进附件:附件一:信息安全职能分配表附件二:信息安全职责附件三:信息安全经管体系程序文件清单附件四:信息安全经管体系作业指导书文件清单0.1信息安全经管手册发布令为提高江苏XXX湘技有限公司的信息安全经管水平, 保障企业经营、服务和日常经 管活动,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或 安全事故,公司开展贯彻ISO/IEC 27

3、001:2013信息技术-安全技术-信息安全经管体系 要求规范的工作,建立文件化的信息安全经管体系,制定了江苏XXX涮技有限公司信 息安全经管手册(以下简称手册)。本手册是企业的法规性文件,是指导企业建立并实施信息安全经管体系的纲领和行 动准则,用于贯彻企业的信息安全经管方针、经管目标,实现信息安全经管体系有效运 行、持续改进,是江苏XXXX4*技有限公司信息安全经管工作长期遵循的准则。全体职工必须严格按照手册的要求,自觉执行经管方针,贯彻实施本手册的各项规 定,努力实现江苏XXXXM技有限公司的经管目标和经管承诺。本手册自颁布之日起生效执行。江苏XXXX4*技有限公司总经理:二0一六年三月一

4、日0.2经管者代表任命书兹委任担任江苏XXX)#技有FM公司ISO27001信息安全经管体系经管者代表。他将履行以下职责及权限:1、负责公司ISO27001的推行认证工作,负责组织信息安全经管体系建立、实施 和维持,确保公司的信息安全经管体系运作符合信息安全经管体系规范;2、信息安全经管体系内部审核的策划、组织及实施;3、批准信息安全经管体系程序文件;4、代表公司就信息安全的有关事项和外部进行联络。总经理:日期:二0一六年三月一日公司组织架构如下图所示:0.4 信息安全方针实施风险经管,确保信息安全,保障业务可持续发展。信息安全方针含义:a.根据本公司业务信息安全的特点、法律法规要求,建立风险

5、评估程序,确定风 险接受准则。定期进行风险评估,以识别本公司风险的变化。本公司或环境发 生重大变化时,随时评估。应根据风险评估的结果,采取相应措施,降低风险。b.在日常企业生产和经管中,对信息安全予以重视,全面识别和分析全部信息资 产,系统考虑企业信息系统薄弱点、可能存在的威胁,考虑成本、利益、风险 的综合平衡,对资产进行分类保护,以适宜的成本达到系统保护的要求。c.建立健全信息安全监督和保证体系,明确各级、各岗位的信息安全责任,以人 为本,坚持全员、全方位、全过程信息安全经管。通过测量和监控,持续改进, 保证信息安全经管体系的有效运行,做到制度执行有记录、记录记载可追溯, 最终保障企业生产、

6、经营、经管和服务的持续和安全,实现企业发展目标。0.5、信息安全目标:本公司信息安全目标:1)安全事件发生次数:重大安全事件目标值:0次/年;较大安全事件目标值:不大于 4次/年;一般安全事件目标值:不大于8次/年。2)信息泄密次数:保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值:0次/年各部门信息安全目标:部门部门信息安全目标统计方式监测 频率综合部1、人员招聘手续办理完成率100%2、人员教育或培训实施率 100%3、人员离职手续办理完成率100%4、办公环境消防设施配置率100%5、办公环境消防设施点检率100%6、每年至

7、少组织实施完 成1次信息安全内审,且 资料齐全;7、每年至少组织实施完 成1次信息安全经管评 审,且资料齐全;8、每年至少进行1次信 息安全体系文件评审及 更新;9、每年至少组织实施完 成1次风险评估。1、查看全部员工入职手续办理情况;2、查看培训计划及培训实施情况;3、查看实际人员离职及手续办理情况;4、现场检查办公环境消防器材配备情 况;5、现场检查办公环境消防器材的检修情 况;7、按照信息安全内审计划执行内审及改 进,及时整理信息安全内审资料;8、按照信息安全经管评审计划执行评审 及改进,及时整理信息安全经管评审资 料;9、每年集中对信息安全经管体系文件进 行评审,必要时进行更新;10、

8、每年组织各相关部门进行风险评估 回顾、对新增或发生变化的信息资产进 行风险评估。每年研发部1、网络非正常中断每月< 1次。2、主机系统非正常中断 每月< 1次。1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据每半 年其他部 门重要文档及数据被正确 保管及使用,机密信息泄露次数为0次每半年检查一次日常工作文件及数据是 否被正确保管及使用,以及机密信息泄 露相关事件。每年1、范围1.1 总、则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全经管体系(简称ISM0,确定信息安全方针和目标,对信息安全风险进行有效经管,确保全体员工理 解并遵照执行信息安全经管体系

9、文件、持续改进信息安全经管体系的有效性,特制定 本手册。1.2 应用1.2.1 覆盖范围本信息安全经管手册规定了江苏XXX湘技有限公司信息安全经管体系的建立和经管、经管职责、内部审核、经管评审和体系持续改进等方面内容。1.2.2 删减说明本信息安全经管手册采用了 ISO/IEC27001:2013规范正文的全部内容,对附录 A 的删减见适用性声明SoA。2、规范性引用文件ISO/IEC 27001:2013信息技术-安全技术-信息安全经管体系要求ISO/IEC 27002:2013信息技术-安全技术-信息安全经管实施细则3、术语和定义3.3.1 ISO/IEC 27001:2013信息技术-安

10、全技术-信息安全经管体系要求、ISO/IEC 27002:2013信息技术-安全技术-信息安全经管实施细则规定的术语和定义适用于本信息安全经管手册。3.3.2 本组织、本公司、我司:指江苏 XXX湘技有限公司。4、信息安全经管体系4.1 组织环境组织外部环境包括如下几个方面,但并不局限于此: 文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境,无 论是国际、国内、区域或地方; 影响组织目标的主要驱动因素和发展趋势; 外部利益相关者的观点和价值观。组织内部环境包括如下几个方面,但并不局限于此: 资源与知识的理解能力(如:资本、时间、人力、流程、系统和技术); 信息系统、信息流动以及决

11、策过程(包括正式和非正式的); 内部利益相关者; 政策,为实现的目标及战略; 观念、价值观、文化; 组织通过的规范以及参考模型;以上相关因素将影响公司实现信息安全经管体系的预期成果。4.2 理解相关方的需求和期望a)与本公司信息安全经管体系有关的相关方有:供方、合同方、顾客及其他第三 方访问者。b)各相关方对我司的信息安全需求,包括了信息安全相关法律法规要求和合同规 定的义务。4.3 本公司信息安全经管体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全经管体系的范围包括:a)业务范围:。的设计开发和服务的信息安全经管活动;b)信息系统范围:所述活

12、动、系统及支持性系统包含的全部信息资产;c)组织范围:与所述业务有关的部门和所有员工;d)地理范围:。4.4 信息安全经管体系本公司按照ISO/IEC 27001:2013信息技术-安全技术-信息安全经管体系-要求 规定,参照ISO/IEC 27002:2013信息术-安全技术-信息安全经管实用规则,建立、 实施、运行、监视、评审、保持和改进文件化的信息安全经管体系。5领导5.1 领导和承诺本公司通过以下行动证明公司实施了与信息安全经管体系有关的领导工作与承诺:a)确保建立与组织战略目标一致的信息安全方针和信息安全目标;b)确保信息安全经管体系要求集成到组织的经管流程;c)确保提供信息安全经管

13、体系需要的各项资源;d)传达信息安全经管的重要性及信息安全经管体系要求;e)确保信息安全经管体系实现其预期目标;f) 指导和支持信息安全团队;g)促使持续改进;h)支持其他相关的经管者在其职责范围内履行经管职责。5.2 方针为了满足适用法律法规及相关方要求,维持公司经营和经管的正常进行,实现业务 可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定 义了 ISMS方针,见本信息安全经管手册第 0.4条款。该信息安全方针符合以下要求:1)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;2)考虑业务及法律或法规的要求,及合同的安全义务;3)与组织战略和风险经

14、管相一致的环境下,建立和保持ISMS4)建立了风险评价的准则;5)经最高经管者批准。5.3 组织角色、职责和权力5.3.1 信息安全组织机构本公司成立了由最高经管者、经管者代表及各部门负责人组成的信息安全委员会, 其职责是实现信息安全经管体系方针和本公司承诺,负责制订、落实信息安全经管工作 计划,建立健全企业的信息安全经管体系,保持其有效、持续运行。本公司采取相关部门代表组成的运行分析会议的方式,进行信息安全协调和协作,以:a)确保安全活动的执行符合信息安全方针;b)确定怎样处理不符合;c)批准信息安全的方法和过程,如风险评估、信息分类;5.3.2 信息安全职责和权限本公司总经理为信息安全最高

15、经管者,对信息安全全面负责,主要包括:a)组织制定信息安全方针及目标,任命经管者代表,明确经管者代表的职责和权 限。b)确保在内部传达满足客户、法律法规和公司信息安全经管要求的重要性。c)为信息安全经管体系配备必要的资源。各部门负责人为本部门信息安全经管责任者, 全体员工都应按保密承诺的要求自觉 履行信息安全保密义务;各部门有关信息安全职责分配见信息安全经管职能分配表。各部门应按照信息安全适用性声明中规定的安全目标、控制措施(包括安全运 行的各种控制程序)的要求实施信息安全控制措施。6.1 处置风险和机遇6.1.1 总则为实现公司信息安全经管体系方针和目标,我司参考组织环境中的问题和相关方的需

16、求和,来决定需要被处置的风险和机遇:a)确保信息安全经管体系可以实现其预期目标;b)避免或减少不良影响;c)实现持续改进。公司对以下方面进行规划:a)处置风险和机遇的行动;b) 如何1)将实施行动整合到信息安全经管体系流程中;2)评价行动的有效性。6.1.2信息安全风险评估公司制定信息安全风险评估控制程序,建立识别适用于信息安全经管体系和已 经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别 风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的 结果。17 / 33公司实施信息安全风险评估流程,从而:a)建立和维护信息安全风险规范,包括:1)风

17、险接受规范;2)实施信息安全风险评估的规范;b)确保信息安全风险评估活动产生一致性,产生有效的和可比较的结果;c)识别信息安全风险:1)在信息安全经管体系范围内,通过信息安全风险评估流程,识别由于信息的机密性、完整性和可用性的丧失带来的风险;2)识别风险的属主;d)分析信息安全风险:1)评估在信息安全风险评估中识别的风险产生的潜在后果;2)评估在信息安全风险评估中识别的风险转化为事件的可能性;3)确定风险的等级;e)评价信息安全风险:1)将风险分析结果与在信息安全风险评估中所定义的风险规范进行比较;2)根据风险等级确定风险处置的优先级。f) 组织保留有关信息安全风险评估的过程文档。6.1.3

18、信息安全风险处置公司根据风险评估的结果,形成风险处理计划,该计划明确了风险处理责任部门、 负责人、处理方法及起始、完成时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a)采用适当的内部控制措施;b)接受风险(不可能将所有风险降低为零);c)避免风险(如物理隔离);d)转移风险(如将风险转移给保险者、供方、分包商)。控制目标及控制措施的选择原则来源于ISO/IEC 27001:2013附录A,具体控制措施参考ISO/IEC 27002:2013信息技术-安全技术-信息安全经管实用规则组织保留信息安全风险处置的过程文档。6.2信息安全目标的计划和实现本公司建立不同职能及

19、层级的信息安全目标。详见本手册0.5章内容。此信息安全目标应:a) 与信息安全方针一致;b)可度量(如果可操作);c)考虑适用的信息安全要求,以及风险评估和风险处置结果;d)得到沟通;e) 及时更新。信息安全目标以文档化形式保留。在规划如何实现信息安全目标时,公司明确:a)要做什么;b)需要什么资源;c) 谁来负责;d)什么时候完成;e)如何评价结果。7.1 资源本公司确定并提供实施、保持信息安全经管体系所需资源;采取适当措施,使影响 信息安全经管体系工作的员工的能力是胜任的,以保证:a)建立、实施、运作、监视、评审、保持和改进信息安全经管体系;b)确保信息安全程序支持业务要求;c)识别并指出

20、法律法规要求和合同安全责任;d)通过正确应用所实施的所有控制来保持充分的安全;e)必要时进行评审,并对评审的结果采取适当措施;f)需要时,改进信息安全经管体系的有效性。7.2 能力公司制定并实施人力资源安全经管程序文件,确保被分配信息安全经管体系规 定职责的所有人员,都必须有能力执行所要求的任务。可以通过:a)确定承担信息安全经管体系各工作岗位的职工所必要的能力;b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;c)评价所采取措施的有效性;d)保留教育、培训、技能、经验和资历的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以 及如何为实现信息安全经管体

21、系目标做出贡献。7.3 意识公司员工应理解:a)信息安全方针;b)个人对于实现信息安全经管的重要性,提高组织信息安全绩效的收益;c)不符合信息安全经管体系要求所造成的影响。7.4 沟通公司制定信息沟通协调经管规范,以明确与信息安全经管体系相关的内、外部沟 通需求,包括:a)沟通什么;b)何时沟通;c)和谁沟通;d)谁应该沟通;e)哪种沟通过程有效。7.5 文档要求7.5.1 综述组织的信息安全经管体系包括:a)符合ISO/IEC27001:2013规范的文件包括:信息安全经管手册、程序文件、经管 规定、作业指导书和为保证信息安全经管体系有效策划、运行和控制所需的受控文件;b)组织所明确的,表明

22、信息安全经管体系有效性的必要的记录文档。7.5.2 创建和更新公司制定并实施文件控制程序,对信息安全经管体系所要求的文件进行经管,以 确定:a)识别和描述(例如:标题、日期、作者和版本号);b)格式(例如:语言、软件版本和图形)与介质(例如:纸质、电子) ;c)适宜性和充分性经过评审。7.5.3 文档控制公司制定并实施文件控制程序,对信息安全经管体系所要求的文件进行经管。以 确保:a)在需要的时间和场合可用;b)文档得到充分保护(例如:防止泄密、不当使用或丧失完整性)。文档控制应保证:a)文件发布前得到批准,以确保文件是充分的;b)必要时对文件进行评审、更新并再次批准;c)确保文件的更改和现行

23、修订状态得到识别;d)确保在使用时,可获得相关文件的最新版本;e)确保文件保持清晰、易于识别;f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和 最终的销毁;g)确保外来文件得到识别;h)确保文件的分发得到控制;i)防止作废文件的非预期使用;j)若因任何目的需保留作废文件时,应对其进行适当的标识。8实施8.1运行计划和控制为确保信息安全经管体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a)形成风险处理计划,以确定适当的经管措施、职责及安全控制措施的优先级;b)为实现已确定的安全目标、实施风险处理计划,明确各岗位的信息安全职责;c)实施所选择的控制措施,以

24、实现控制目标的要求;d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;e)进行信息安全培训,提高全员信息安全意识和能力;f)对信息安全体系的运作进行经管;g)对信息安全所需资源进行经管;h)实施控制程序,对信息安全事故(或征兆)进行迅速反应。公司保留以上必要的过程文档信息,以表明相关过程已按照计划执行。控制计划更 改,并审核计划变更的影响,如有必要采取措施减少不利影响。确保外包过程受控。8.2 信息安全风险评估8.2.1 识别风险在已确定的信息安全经管体系范围内,按照计划,或者在重大改变提出或发生时进 行信息安全风险评估,本公司执

25、行信息安全风险评估控制程序,对所有的资产进行列 表识别,并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据与文档、 服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符 合性要求进行了量化赋值,形成资产清单。同时,根据信息安全风险评估控制程序,识别对这些资产的威胁、可能被威胁利 用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的 影响。8.2.2 分析和评价风险本公司按信息安全风险评估控制程序,分析和评价风险:a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行 赋值;b)针对每一项威胁、薄弱点,对资产造成的影响

26、,考虑现有的控制措施,判定安全 失效发生的可能性,并进行赋值;c)根据信息安全风险评估控制程序计算风险等级;d)根据信息安全风险评估控制程序中的风险接受准则,判断风险为可接受或 需要处理。8.3 信息安全风险处置公司根据风险评估的结果,形成了风险处理计划,该计划明确了风险处理责任部 门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置,并保持处置的记 录。对风险处理后的剩余风险,得到了经管者的批准。9绩效评价9.1 监视、测量、分析和评价本公司通过实施监视、测量、分析和评价控制程序以监视、测量、分析和评价公司信息安全经管状况结果,以实现:a)及时发现处理结果中的错误、信息安全体系的事故

27、和隐患;b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;c)使经管者确认人工或自动执行的安全活动达到预期的结果;d)使经管者掌握信息安全活动和解决安全破坏所采取的措施是否有效;e)积累信息安全方面的经验;9.2 内部审核公司建立内部审核控制程序。内部审核控制程序包括策划和实施审核以及报 告结果和保持记录的职责和要求。并按照策划的时间间隔(两次内部审核的间隔不得超 过12个月)进行内部信息安全经管体系审核,以确定其信息安全经管体系的控制目标、 控制措施、过程和程序是否:a)符合本规范的要求和相关法律法规的要求;b)符合已识别的信息安全要求;c)得到有效地实施和维护;d)

28、按预期执行。内部审核的过程文档应清晰地形成记录,并加以保持。9.3 经管评审公司建立并实施经管评审控制程序,公司经管者应按经管评审控制程序规定 的时间间隔(两次经管评审的间隔不得超过 12个月)评审信息安全经管体系,以确保其 持续的适宜性、充分性和有效性。经管评审应包括评价信息安全经管体系改进的机会和变更的需要,包括安全方针和 安全目标。经管评审的结果应清晰地形成文件,记录应加以保持。10改进10.1 不符合和纠正措施公司建立并实施纠正与预防控制程序,当出现不符合情况时:a)对不符合情况采取措施,如:1)采取措施,以控制和改正它;2)处置影响;b)明确必要的控制措施,以消除不符合情况产生的原因

29、,确保它不会再发生或在其 他地方发生,通过:1)评审不符合项;2)明确不符合项产生的原因;3)明确是否存在或可能发生类似的不符合项;c)采取必要的措施;d)评审已采取的改正措施的有效性;e)必要时改进信息安全经管体系。纠正措施应与所发生的不符合的影响程度相适应。组织应保留以下文档信息作为证据:f)不符合情况的性质和所采取的后续行动;g)纠正措施的结果。10.2 持续改进本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正 和预防措施以及经管评审,不断完善信息安全经管体系的适宜性、充分性和有效性。附件一:信息安全职能分配表(注:负责部门;相关部门):经管单位信息安全委员会总经

30、理经管者代表综合部研发部技术部财务部销售部一 .体共求_'''-_4.组织环境4.1理解组织及其环境AAAAA4.2理解相关方的需求和期望AAAAA4.3明确信息安全经管体系的范围AAAAA4.4信息安全经管体系AAAAA5领导5.1领导和承诺AAAAA5.2方针AAAAA5.3组织角色、职责和权力AAAAAAA6计划6.1处置风险和机遇AAAAA6.2信息安全目标的计划和实现AAAAA7支持7.1资源AAAAAA7.2能力AAAAA7.3意识AAAAAA7.4沟通AAAA7.5文档要求AAAA8实施8.1运行计划和控制AAAAA8.2信息安全风险评估AAAAA8.3信

31、息安全风险处置AAAAAA9绩效评价9.1监视、测量、分析和评价AAAAAA9.2内部审核AAAAA9.3经管评审AAAAA10改进10.1不符合项和纠正措施AAAAAA10.2持续改进AAAAAAAA.5信息安全方针A.5.1信息安全经管指引AAAAAA.6信息安全组织A.6.1内部组织AAAAAA.6.2移动设备和远程办公AAAAA.7人力资源安全A.7.1任用前AAAAA.7.2任用中AAAAAAAA.7.3任用终止和变更AAAAAAAA.8资产经管A.8.1 资产的责任AAA.8.2信息分类AAA.8.3介质处理AAAAAA.9访问控制A.9.1访问控制的业务需求AAAAAA.9.2用

32、户访问经管AAAAAAAA.9.3用户责任AAAAAAAA.9.4系统和应用访问控制AAAAAAAA.10加密技术A.10.1加密控制AAAAAAA.11物理和环境安全A.11.1 安全区域AAAAAA.11.2设备安全AAAAAAA.12操作安全A.12.1操作程序及职责AAAAAA.12.2防范恶意软件AAAAAA.12.3备份AAAAAAAA.12.4日志记录和监控AAAAAAAA.12.5操作软件的控制AAAAAAAA.12.6技术脆弱性经管AAAAAAAA.12.7信息系统审计的考虑因素AAAAAAAA.13通信安全A.13.1网络安全经管AAAAAAAA.13.2信息传输AAAAA

33、AA.14系统的获取、开发及维护A.14.1信息系统安全需求AAAAAA.14.2开发和支持过程的安全AAAAAAA.14.3测试数据AAAAAAAA.15供应商关系A.15.1供应商关系的信息安全AAAAAAA.15.2供应商服务交付经管AAAAAAA.16信息安全事件经管A.16.1信息安全事件的经管和改进AAAAAAA.16.1.1职责和程序AAAAAAA.16.1.2报告信息安全事态AAAA.16.1.3 报告信息安全弱点AAAA.16.1.4评估和决策信息安全事件AAAA.16.1.5 响应信息安全事故AAAA.16.1.6从信息安全事故中学习AAAAAAAA.16.1.7收集证据A

34、AAAAAA.17业务连续性经管中的信息安 全A.17.1信息安全的连续性AAAAAAA.17.2冗余AAAAAAA.18符合性A.18.1法律和合同规定的符合性AAAAAAA.18.2信息安全评审AAAAAA附件二:信息安全职责厅P架构/部门成员及职能1信息安全 委员会最高经管者总经理:张建厂经管者代表XXX成员XX (销售部)、XX (技术部)、XX (研发部)、XXX (综合部)、XX (财务部)系我司信息安全最高组织机构,负责公司整体信息安全经管工作,推动信息安全 工作的实施;制定信息安全方针、信息安全经管目标;负责审核信息安全小组提 交的信息安全经管体系、规范及经管办法;负责决策与信

35、息安全经管相关的重大 事项,包括信息安全组织机构调整、信息安全关键人事变动以及信息安全经管重 大策略变更、确认可接受的风险和风险水平等;评审与监督重大信息安全事故的 处理与改进;定期组织信息安全经管体系(ISMS)评审等。2最高经管者1)组织并制定信息安全方针策略。2)任命经管者代表,明确经管者代表的职责和权限。3)确保在内部传达满足客户、法律法规和公司信息安全经管要求的重要性。4)为信息安全经管体系配备必要的资源。5)主持经管评审。6)对缶息女全全面负贝o3经管者代表1)协助最高经管者建立、实施、检查、改进信息安全经管体系。2)负责建立、实施、保持和改进信息安全经管体系,保证信息安全体系的有

36、效 运行。3)组织公司信息安全风险评估和风险经管。4)组织开展信息安全内部审核、安全检查工作。5)负责向总经理报告信息安全体系运行的业绩和任何改进的需求。6)负责就信息安全经管体系有关事宜的对外联络。7)监控信息安全事件和确保安全控制措施得到执行。4各部门负责 人1)负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。2)参与公司信息安全工作的讨论和决策。3)对信息安全经管体系内部审核、经管评审及其他安全检查时发现的问题及采 取的纠止预防措施进行审核和确认。4)负责经管和维护部门发布的信息安全经管体系相关文件。5)负责信息安全事件的调查及协调处理。6)做好本岗位信息安全相关的保密

37、工作5综合部1)负责监控信息安全经管体系的日常运行。2)负责信息安全经管体系文件的控制。3)负责本公司信息安全经管体系的推行落实。4)负责公司员工招聘、聘用及离职全过程的安全经管。5)负责公司内部人事档案等重要文件资料的安全管控。6)负责公司日常行政安全的经管。7)负责公司办公环境的物理安全,包括人员及物品出入控制、门禁经管等。8)负责公司业务相关的销售经管。9)负责本部门的重要信息的安全保密管控,包括客户信息、商务文档、工程合 同、投标文件等重要文件的安全管控。10)负责公司及部门重要文件资料的安全管控。11)信息安全事件的报告及协助处理。6研发部1)负责公司信息系统的安全规划设计及实施。2

38、)负责公司机房及软硬件系统的安全运行维护。3)负责本部门重要信息的安全管控,包括工程方案、设计文档等重要文件的安 全官控。4)负责信息安全事件的调查及协调处理。7技术部1)负责对公司客户请求的积极响应,妥善处理顾客的投诉等。2)负责本部门重要信息的安全保密管控,包括客户信息等重要数据的安全管控。3)信息安全事件的报告及协助处理。4)做好本岗位信息安全相关的保密工作8销售部1)负责公司业务相关的销售工作。2)负责本人接触到的重要信息的安全保密管控,包括客户信息、商务文档、工 程合同、投标文件等重要文件的安全管控。3)信息安全事件的报告及协助处理。4)做好本岗位信息安全相关的保密工作9财务部1)负

39、责公司的财务经管工作。2)负责本部门的重要信息的安全保密管控,包括财务凭证、财务报表、工资单 等重要文件的安全管控。3)信息安全事件的报告及协助处理。4)做好本岗位信息安全相关的保密工作10IT维护工程 师/网络经 管员1)负责公司信息系统建设及运行维护。2)负责公司机房安全经管。3)负责公司各部门办公电脑的维护及安全经管。4)按时记录网络机房运行日志5)信息安全事件的报告、响应及协调处理。6)做好本岗位信息安全相关的保密工作11会计及出纳1)负责公司财务记帐、报帐、应收及应付、资产盘点等日常工作。2)负责本岗位的重要信息的安全保密管控,包括财务报表、各类凭证等重要文 件的安全管控。3)信息安

40、全事件的报告及协助处理。4)做好本岗位信息安全相关的保密工作12工程经理及 工程专员1)负责服务工程的具体实施及经管。2)负责本岗位的重要信息的安全保密管控,包括各类基础数据、原始数据、拨 打数据等重要数据的安全管控。3)信息安全事件的报告及协助处理。4)做好本岗位信息安全相关的保密工作13所有员工1)严格遵守国家及行业的法律法规和政策。2)严格遵守公司的各项信息安全政策。3)正确、安全的使用及保管公司及客户的各类信息资产。4)积极参加信息安全教育与培训,提高信息安全意识。5)信息安全事件的报告及协助处理。6)做好本岗位信息安全相关的保密工作附件三:信息安全经管体系程序文件清单厅P文件名称文件编号版本号制定/修订 日期制定部门备注1文件控制程序XX-QP-011A/02016.3.1综合部r受控文件12记录控制程序XX-QP-02A/02

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论