信息安全管理手册

1、文件名称版本号文件编号机密等级发布日期生效日期xxxx信息安全管理手册拟制日期审核日期批准日期文件修订履历创建/变更人变化状 态变更摘要（章节/内容）版本创建/变更时 间批准人变化状态：新建，增加，修改，删除目录1 信息安全管理手册颁布令 52 信息安全手册说明和管理 62.1 说明 62.2 管理 62.2.1 编写 62.2.2 批准、发布 62.2.3 发放和回收 62.2.4 修改 62.2.5 保存. 73 目的 74 适用范围 75 引用标准 76 术语和定义 77 信息安全管理体系 77.1 总要求 77.2 建立和管理 ISMS 87.2.1 建立 ISMS 87.2.2 实施

2、和运行 ISMS 107.2.3 监视和评审 ISMS 117.2.4 保持和改进 ISMS 127.3 文件要求 . 127.3.1 总则. 127.3.2 文件控制 127.3.3 记录控制 138 管理职责 138.1 管理承诺 . 138.2 资源管理 . 138.2.1 提供资源 138.2.2 能力、意识和培训. 149内部ISMS审核 149.1 内部审核的要求 149.2 内部审核记录 1510ISMS管理评审 1510.1 总则 1510.2 评审输入. 1510.3 评审输出. 1611ISMS 改进 1611.1 持续改进 . 1611.2 纠正措施 . 1611.3 预

3、防措施 . 1712 附则 17XXXX 信息安全管理手册 1 信息安全管理手册颁布令为防范一切来自内部或外部、蓄意或意外的信息安全风险，保护XXXX勺信息资产，依 据£027001:2005信息安全管理体系要求，XXXX®制了信息安全管理手册，经评审定 稿，现予以发布实施。XXX滋据£027001:2005信息安全管理体系要求建立了信息安全管理体系，以保 证XXXX勺信息安全目标和方针的实现。本手册是XXXX言息安全管理体系的核心文件，是实施信息安全管理的纲领和行动准 则，XXXX勺各个部门要组织全体员工认真学习，全面贯彻执行，确保信息安全管理体系的 有效运行。

4、本手册可用于对外提供信息安全保证。信息安全管理手册自年 月日起生效，XXXX原有与信息安全管理手册相违背的文件同时废止。XXXX年 月 日2 信息安全手册说明和管理2.1 说明信息安全管理手册依据£027001:2005信息安全管理体系要求并结合 XXX）具体情况编写而成。在信息安全管理手册中阐明了 XXXX勺信息安全方针 和目标，对信息安全管理体系做了概括性叙述，是XXXX寸外实施信息安全保证、 对内进行信息安全管理勺纲领性文件。信息安全管理手册所采用的条款与£027001:2005信息安全管理体系要 求中的条款编写一致，并结合XXXXf点编写了程序文件、制度规定和相关记

5、录文 件，形成XXXX勺信息安全管理标准，使信息安全管理体系有章可循、有法可依。信息安全管理手册适用于XXXX所有的信息资产。2.2 管理通过控制信息安全管理手册的编制、审核、发放、更改、保管和回收等，确保 各部门、各岗位使用信息安全管理手册的现行有效版本。2.2.1 编写由xxxX言息安全工作小组进行手册的编写工作。2.2.2 批准、发布由xxxX言息安全管理委员会批准、签署发布和规定实施日期。2.2.3 发放和回收由行政部负责手册的发放和回收。信息安全管理手册的持有者若调离单位 或不再从事相关工作时，行政部应及时收回手册，办理回收登记和注销手续。受 控的信息安全管理体系文件发放须列发放清单

6、，由信息安全工作主管领导批准。 经批准的文件持有者或部门，不得擅自对外交流、发放和外送。非受控文件，可 发给对外交流单位和个人，但须由使用部门申请，行政部批准和登记在册，方可 发放。2.2.4 修改信息安全管理手册应在以下情况发生时进行更改，程序和方法需按照文 件控制程序执行。1、单位组织结构有较大变动时；2、单位业务系统有较大变动时；3、外部环境发生重大变化时；4、国家法律、法规有重大变化时；5、单位信息安全方针和目标有重大变化时。2.2.5 保存持有者应爱护并妥善保管好本手册，保证其完整、清晰，不得遗失、损坏。3 目的为了建立、健全本单位信息安全管理体系（简称ISMS,逐步提升单位的信 息

7、安全保障能力，确定信息安全方针和目标，对信息安全风险进行有效管理，确 保全体员工理解并遵照执行信息安全管理体系文件，持续改进ISMS的有效性，特 制定本手册。4 适用范围本手册适用于 条款确定范围内的信息安全管理活动。5 引用标准本单位选择£027001:2005标准，并结合各部门业务特点和信息安全管理需 要建立了信息安全管理体系。信息安全管理手册引用的标准有：£027001:2005,信息安全管理体系要求 £017799:2005,信息安全管理实施细则6 术语和定义本手册采用£027001:2005信息安全管理体系要求及ISO17799:2005信 息

8、安全管理实施细则中的术语和定义。7 信息安全管理体系7.1 总要求按照£027001:2005信息安全技术-信息安全管理体系要求，采用PDCA模式 建立信息安全管理体系，同时考虑该体系的实施、维持和持续改善，确保体系的有 效性。7.2 建立和管理 ISMS7.2.1 建立 ISMS721.1 ISMS范 围信息安全管理体系（ISMS适用于位于XXXXX勺信息安全管理活动。具体范围包括：1 、单位勺所有部门和所有人员。2、单位的所有业务系统及其他IT系统（xxx系统、XXX系统）。3、单位勺所有基础设施、硬件设备、软件及信息资产。7.2.1.2 ISMS 目标提高全员的信息安全意识，积

9、极做好预防工作，保护单位的信息资产免受非授 权的访问、修改、泄密和破坏，防止安全事故的发生，最小化安全事故的影响，保障 信息系统安全、持续的运行。7.2.1.3 ISMS方#为制定符合实际情况的ISMS方针，依据以下方面的要求：1、作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则。2、考虑单位业务发展、法律法规要求及其他相关方信息安全的要求。3、为ISMS的建立和维持提供一个组织化的战略和风险管理的基本环境。4、确定风险评估的准则和结构。为了满足适用法律法规及相关方要求，维持业务的正常进行，依据 £027001:2005标准，建立信息安全管理体系，以保证单位业务信息的

10、保密性、 完整性和可用性，实现业务可持续发展的目的。单位的ISMS方针如下：XXXXXXXXXXXXXXXXX为了满足以上信息安全方针，维持生产和经营的正常进行，实现业务可持续 发展的目的。本单位承诺：1 、成立信息安全管理委员会来领导信息安全工作，信息安全管理委员会定 期召开会议，对有关的信息安全重大问题做出决策。2、清晰识别所有的资产，实施等级标记，对资产进行分级、分类管理，并编制和维护所有重要资产的清单。3、综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、 信息资源的安全，并加强对外单位人员访问信息系统的控制和制约，降低系统被 入侵的风险。4、启动所有操作系统、网络设备、安

11、全设备、应用软件的日志功能，定期 进行审计并作相应的记录。5、明确全体员工的信息安全责任，所有员工都必须接受信息安全的教育培训， 提高信息安全意识，针对不同岗位，制定不同等级的培训计划，并定期对各个岗位 的人员进行安全技能及安全认知的考核。6、建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息 安全事故的流程，并使所有的员工和相关方都能理解和执行事故处理流程， 同时妥 善保存安全事件的相关记录与证据。7、对用户权限和口令进行严格管理，防止对信息系统的非法访问。8、控制对内部、外部网络服务的访问，保护网络化服务的安全性与可用性。9、实施业务连续性计划，保证XXXX勺核心业务不受重大

12、故障和灾难的影响， 业务连续性计划的制定应基于风险评估的结果。10、制定完善的数据备份策略，对重要数据进行备份，数据备份定期进行还 原测试，备份介质与原信息所在场所应保持安全距离。11、与外单位的外包（服务）合同应明确规定合同参与方的安全要求、安全 责任和安全规定等安全相关内容，并采取相应措施严格保证对协议安全内容的执行。12、在开发新业务系统时，应充分考虑相关的安全需求，并严格控制对项目 相关文件和源代码等敏感数据的访问。13、应定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施 进行风险控制。14、应识别并满足适用的法律、法规和相关方的信息安全要求，形成正式的 文件并定期加以审查

13、。721.4 ISMS策 略为了支持ISMS方针的有效执行，需在ISMS方针的框架内进一步细化和明确 安全控制措施的要素、要求和结果，依据£017799:2005标准，单位制定了信息安 全策略，用以指导安全控制措施的执行， 以及评价安全控制措施的有效性、 充分性和适用性。详细内容参见信息安全策略。7.2.1.5 风险评估方法信息安全工作小组负责建立信息安全风险评估管理程序并组织实施。风险评估 管理程序包括可接受风险准则和可接受水平。该程序的详细内容见风险评估程序。7.2.1.6 风险处理方法对于信息安全风险，需考虑控制措施与费用的平衡原则，选用以下适当的风险 处理措施：1、降低风险（

14、采用适当的内部控制措施）。2、接受风险（不可能将所有风险降低为零）。3、避免风险（如物理隔离）。4、转移风险（如将风险转移给产品或服务供应商、保险单位等）。7.2.1.7 选择控制目标和措施1、由信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结 果，组织各部门制定信息安全目标，并将目标分解到各部门。信息安全目标已获得 xxxX言息安全管理委员会的批准。2、控制目标及控制措施的选择来源于£027001:2005附录A,具体控制措施可以参考£017799:2005信息安全管理实施细则。单位根据实际信息安全管理 的需要,可以选择标准之外的其它控制措施。7.2.2 实

15、施和运行 ISMS7.2.2.1 信息安全组织机构单位管理层决定信息安全组织机构和各部门的信息安全职责,并形成文件：1 、由单位管理层和各部门负责人组成信息安全管理委员会,作为单位的信息 安全管理最高机构。信息安全管理委员会主席由总经理担任,为信息安全最高责任 者；常务副主席由单位总经理任命,为信息安全管理者代表,无论该成员在其它方 面的职责如何,对本单位的信息安全负有以下职责：建立并实施信息安全管理体系的必要程序并维持其有效运行；对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员 会或最高责任者报告。2、单位各部门负责人为本部门信息安全管理责任者， 全体员工都须按保密承诺 的要求

16、自觉履行信息安全保密义务。信息安全组织机构和各部门信息安全职责的详细内容见信息安全组织建设规 定。7.2.2.2 体系实施和运行 为确保信息安全有效实施，对已识别的信息安全风险进行有效处理 ，单位开展 以下活动：1、按照信息安全管理体系文件，确定适当的管理措施、职责及安全控制措施的 优先级。2、为实现已确定的安全目标，按照信息安全管理体系中的制度、流程和记录文 件内容进行实施。3、实施所选择的控制措施，以实现控制目标和方针的要求。4、进行信息安全培训，提高全体员工的信息安全意识和能力。5、对体系的运作进行管理。6、对信息安全所需资源进行管理。7、实施控制程序，对信息安全事故进行迅速反应。7.2

17、.3 监视和评审 ISMS1、单位通过实施不定期技术检查、内部审核、事故报告调查处理、电子监控等 控制措施并报告结果；及时发现信息安全事故和隐患；及时了解信息系统遭受的各类攻击；使单位各级管理者掌握信息安全活动是否有效，并根据优先级别确定所 要采取的措施；积累信息安全方面的经验。2、根据以上活动的结果以及来自相关方的建议和反馈， 由信息安全管理者代表 主持，定期（每半年一次）对信息安全管理体系的有效性进行评审，其中包括信息 安全管理范围、方针、目标及控制措施有效性的评审。3、信息安全工作小组需组织各部门对风险处理后的残余风险进行定期评审， 以 验证残余风险是否达到可接受的水平，对以下方面变更情

18、况需及时进行风险评估： 组织机构发生重大变更； 信息处理技术发生重大变更； 业务目标及流程发生重大变更； 发现信息资产面临重大威胁； 外部环境，如法律法规或信息安全标准发生重大变更。4、保持上述活动和措施的记录。7.2.4 保持和改进 ISMS单位开展以下活动，以确保ISMS的持续改进：1、实施管理评审、内部审核、安全检查等活动以确定需改进的项目；2、吸取其他组织及本单位安全事故的经验教训，不断改进安全措施的有效性；3、与信息安全目标及方针进行对比，确保改进达到预期的效果；4、包括外部信息安全专家、 上级主管部门等。如：管理评审会议、内部审核报 告、内部网络和邮件系统、法律法规清单等。7.3

19、文件要求7.3.1 总则本单位信息安全管理体系文件包括：1、信息安全管理手册。2、本手册要求的业务连续性管理程序、安全事故管理程序等支持性程序。3、为确保有效策划、运作和控制信息安全过程所制定的流程文档。4、ISMS要求的记录文件。5、相关的法律法规和信息安全标准列表。7.3.2 文件控制 制定信息安全管理体系文件的管理程序 ，保证信息安全管理体系文件得到以下 所需的控制：1、文件的编写、发放、更改、作废等事项得到相应授权的查阅、 批准，确保文 件是合适的、可行的；2、文件的标识和修订状态清晰、易于识别，确保使用的文件是当前有效版本；3、为了文件的有效性，要定期确认其内容是否过时，根据需要决定

20、保持或修改并再次得到相应的批准；4、确保信息安全的外部标准和相应法律法规得到明确的标识和管理。7.3.3 记录控制 信息安全管理体系所要求的记录文件是体系符合标准要求和有效运行的证据， 记录要易读、易识别和方便检索，记录文件的管理规定包括以下内容：1、明确规定记录文件的标识、储存、保护、检索、保管、废弃等事项；2、信息安全管理体系的记录文件包括 8.2 中所列出的所有过程的结果及与ISMSft关的安全事故；3、各部门需采取适当的方式妥善保管信息安全记录文件。8 管理职责8.1 管理承诺 为确保建立、维持并持续改进信息安全管理体系，信息安全管理委员会特做出 以下承诺：1、建立信息安全目标、方针和

21、策略。2、建立信息安全组织并明确职责。3、通过适当的沟通方式，向全体员工传达满足信息安全目标、 符合信息安全方 针以及法律法规要求和持续改进的重要性。4、提供适当的资源以满足信息安全管理体系的需要。5、对可接受风险的级别进行决策。6、实施ISMS管理评审。8.2 资源管理8.2.1 提供资源单位确保提供适当的资源，以满足以下需求：1、建立、实施和维持 ISMS。2、确保信息安全管理程序支持业务流程的要求。3、识别并致力于满足法律法规要求及合同规定的安全义务。4、切实实施已有的控制措施，保持信息安全的充分性。5、必要时进行评审，并对评审结果做出适当的反应。6、需要时，改进信息安全管理体系的有效性

22、。8.2.2 能力、意识和培训 为提高全员的信息安全意识、确保相关人员履行信息安全职责所需的能力， 制定并实施以下的管理活动：1、明确各岗位的信息安全职责和对能力的要求。2、实施信息安全意识和能力的教育、培训，并评价培训的有效性。3、通过宣传和其它活动使全体员工认识到信息安全职责的重要性及如何为实 现信息安全目标做出各自的贡献。4、保持以上活动的记录。 各部门的职责见信息安全组织建设规定。9内部ISMS审核单位每半年组织一次内部审核，以处理ISMS规定的安全目标、控制措施和程 序是否：1、符合信息安全标准和有关法律法规要求。2、符合已识别的信息安全要求。；3、得到有效实施和保持。4、完成预期的

23、目标。9.1 内部审核的要求1审核计划需覆盖整个ISMS体系，并得到信息安全管理委员会的批准。2、内部审核以本手册、相应的规章、制度、流程为基准，选定的信息安全员 须是了解单位业务流程、熟悉安全体系标准并经过培训的员工。3、信息安全审计员资格需获得信息安全管理委员会的批准。4、进行内审时，需有计划的进行以下的事项：审核员的选定、教育与培训； 编写审核计划，指定审核员（审核员应与被审核对象无直接责任关系 ）； 准备必要的相关文件。5、审核中发现的不符合事项，要向责任部门报告，由责任部门明确纠正预防措施的实施计划6、要对该纠正预防措施的实施计划的执行情况进行跟踪，确认是否有效实 施。7、以上的工作

24、完成后，须经信息安全管理委员会确认后，审核才算结束。8、如果发现信息安全重大不符合时 ，或者信息安全管理委员会判断必要时， 可调整审核计划。9、对审核的结果进行适当的汇总整理，作为管理评审的输入资料。9.2 内部审核记录内部审核记录应包括以下内容：1、被审核对象范围、审核日期、审核员、被审核方。2、依据的文件、具体审核事项及其审查结果、 不符合内容和程度 （ 严重或轻 微及观察事项） 、不符合事项的纠正预防措施和实施期限。3、纠正预防措施的实施状况及其效果、其它必要事项和审核结束的确凿证 据。10ISMS管理评审10.1 总则信息安全管理委员会为确认信息安全管理体系的适宜性、充分性和有效性，

25、每半年对信息安全管理体系进行一次管理评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价，以及对安全 方针、安全目标的评价。管理评审的结果需形成书面记录，该记录按 条款的要求进行保存。10.2 评审输入在管理评审时，信息安全管理委员会需组织各部门提供以下资料：1、ISMS体系内、外部审核的结果；2、相关方的反馈（投诉、抱怨、建议等）；3、可以用来改进ISMS有效性的新技术、产品或程序；4、信息安全目标达成情况，纠正预防措施的实施情况；5、信息安全事故或事件，以往风险评估时未充分考虑到的薄弱点或威胁；6、上次管理评审时决定事项的实施情况；7、可能影响信息安全管理体系变更的事项（标准、法律法规、相关方要求等）；8、对信息安全管理体系改善的建议。10.3 评审输出信息安全管理委员会对以下事项做出必要的