ISMSA01信息安全管理手册

1、xxx信息服务有限公司信息安全管理手册文件编号ISMS-A-01文件名称信息安全管理手册文件版本1.0文件密级内部文件发布部门信息安全工作小组批准人生效日期2018年3月1日分发范围xxx信息服务有限公司本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。修订历史版本日期修订情况修订人1.02018年3月1日建立1.0版本目录1 目的32 适用范围33 公司信息安全方针33 信息安全目标44 公司组织架构45 信息安全体系组织架构46 信息安全管理职责57 信息安全管理体系67.1 总要求67.2 建立和管理信息安

2、全管理体系77.3 文件要求138 管理职责148.1 管理承诺148.2 资源管理149 内部信息安全管理体系审核159.1 总则159.2 内审策划169.3 内审员169.4 内审实施1610 管理评审1710.1 总则1710.2 评审输入1710.3 评审输出1711 信息安全管理体系改进1811.1 持续改进1811.2 纠正措施1811.3 预防措施191 目的本手册描述xxxx（以下简称公司）的信息安全管理体系的总要求，以确保公司的信息安全管理体系能够达到网络安全法、国家标准信息安全等级保护基本要求、国际标准ISO27001的要求。通过信息安全管理体系的实施，提高公司全体员工的

3、信息安全意识，保证公司在商业运作过程中的安全性、可持续性，确保公司进行所有商务活动中获得的顾客、隐私、企业专有技术等的信息的安全且可用，提升客户的满意度，提高公司的核心竞争力和抵御安全风险的能力。2 适用范围本文件适xxxxx信息服务有限公司所有部门、所有员工。整个安全管理体系（ISMS）的覆盖范围包括：信息安全管理体系（ISMS）适用于所有与xxxx服务有限公司业务有关的运维管理、技术支持服务以及其他支持系统相关的业务活动。信息安全管理体系的建立，旨在保护本公司所有的信息资产，包括但不限于知识产权、技术资料、操文件、研发成果、产品信息、投资信息、客户数据、市场信息、人事信息、财务信息、商业合

4、同、各类软件硬件设施以及通信和供电等基础设施等。3 公司信息安全方针为加强公司全部职员的信息安全意识，贯彻落实信息安全方针及各项控制措施，保护客户及公司自有的信息资产，积极预防安全事件的发生，使安全事件的影响最小化，以此确保全公司业务的持续性，并且赢得客户的信任，提高公司的竞争力。本公司制定了以下信息安全方针：l 确保信息和信息系统的保密性、完整性和可用性；l 做好信息系统的开发安全工作；l 做好信息系统的安全运维工作；l 做好信息安全事件预防和应急响应工作；l 做好核心业务系统服务中断的应急预案；l 做好人员招聘、筛选、管理和安全意识培训工作；l 做好第三方对公司信息系统的访问，识别相关风险

5、；l 做好信息安全的监督与审计工作；l 遵守法律法规，保障公司利益；3 信息安全目标信息安全事件处理率：100；信息安全培训计划达成率：100%；重大信息安全事故为：0；信息安全体系制度修订有效性：100%；核心业务系统可用性：99.99%以上；软件正版化覆盖率：95%以上；终端防病毒覆盖率：95%以上；重要信息（IT）设备丢失：每年不超过1起；客户针对信息安全事件的投诉：每年不超过2次；机密和绝密信息泄漏事件：每年不超过1次；大面积内网中断时间：每年累计不超过240分钟；大规模内网病毒爆发：每年不超过2次；各应急预案演练：每年至少演练1次（在条件具备和许可的前提下）。4 公司组织架构5 信息

6、安全体系组织架构信息安全委员会组长：总经理成员：公司管理层及各中心负责人信息安全部信息安全主管（专职）信息安全工作小组组长： 信息安全主管（专职）核心成员：IT各部门经理及骨干成员其它成员：各业务部门经理或关键用户公司各业务部门6 信息安全管理职责为了加强对信息安全管理体系运作的管理，公司成立信息安全委员会，并明确最高管理者、管理者代表及各部门的职责，具体如下：6.1 信息安全最高领导：总经理，负责以下工作：1) 负责信息安全规划的审议和决策；2) 审议信息安全总体方针策略；3) 负责重大信息安全事件的审议和决策；4) 总体指导信息安全工作；5) 为信息安全管理提供资源保障。6) 保障信息安全

7、所需资源；7) 审批信息安全重要工作计划和预算；8) 审批信息安全管理制度；6.2 信息安全委员会成员：各部门总监，成员均为兼职，负责以下工作：1) 参与评议信息安全相关的管理制度和各项控制措施；2) 提出信息安全需求；3) 落实本部门信息安全控制措施的执行工作；4) 落实本部门信息安全宣导工作；5) 协同处理信息安全事件。6) 审议信息安全工作报告；7) 审议信息安全风险报告和处理计划；6.3 信息安全工作小组组长：由“信息安全主管”专人担任，负责以下工作：1) 协调信息安全部门与各部门之间的工作；1) 起草和修订信息安全管理制度、明确公司各部门信息安全职责； 2) 起草信息安全规划、预算和

8、重要工作计划；3) 起草信息安全风险报告；4) 报告信息安全工作进展；5) 各部门信息安全工作的落实；6) 组织解决重大信息安全事件；7) 提出信息安全需求；8) 推广信息安全技术控制措施、管理控制措施的落地。9) 组织信息安全意识培训；6.4 信息安全工作小组成员：各部门经理、系统管理员、网络管理员、DBA等兼任，负责以下工作：1) 在整个组织内提高信息安全意识；2) 落实信息安全责任；3) 落实信息安全控制措施的执行工作。4) 落实本部门信息安全宣导工作；5) 参与评议信息安全相关的管理制度和各项控制措施；6) 负责部门统计本部门重要资产，并对本部门重要资产进行安全管理和风险监控。6.5

9、系统管理员安全职责：负责系统的运行管理，实施系统安全运行细则；严格用户权限管理，维护系统安全正常运行；认真记录系统安全事项，及时向信息安全人员报告安全事件；对进行系统操作的其他人员予以安全监督。6.6 网络管理员安全职责：负责网络的运行管理，实施网络安全策略和安全运行细则；安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；对操作网络管理功能的其他人员进行安全监督。6.7 系统维护人员安全职责：负责系统维护，及时解除系统故障，确保系统正常运行；不得擅自改变系统功能；不得安装与系统无关的其他计算

10、机程序；维护过程中，发现安全漏洞应及时报告信息安全人员。6.7 数据库管理员安全职责：（1）负责数据库管理系统的安装、备份与维护，保证系统安全、正常运行；（2）负责定期检查系统运行情况，检测并优化系统性能；（3）负责检查数据库系统的用户权限，防止非法用户的入侵和越权访问；（4）负责定期检查数据库数据的完整性和可用性，发现系统故障及时排除，做好系统恢复。 6.8 数据安全员职责：（1）负责信息网络数据的安全，保障信息的保密性、完整性和可用性；（2）负责对信息网络数据备份与灾难恢复系统的维护与管理，实时对重要数据进行安全备份；（3）负责对信息采集、传输及存储的技术手段和工作环境以及介质管理各环节的

11、监督检查，发现问题及漏洞及时解决；（4）负责定期对重要数据存储备份介质的检查，防止数据的丢失或被破坏。 6.9 防病毒管理员安全职责：防病毒安全员负责信息网络系统的计算机病毒的防护工作。其主要职责是： （1）负责计算机防病毒软件的购置、保管、发放、升级和安装；（2）负责信息网络系统的计算机病毒的防护，在病毒发作日前及时发布公告，并采取必要的预防措施；（3）负责定期对信息网络系统进行病毒检测，发现系统被计算机病毒感染，及时组织清毒、消毒；（4）负责计算机病毒防护知识的宣传教育工作。 6.10 机房管理员安全职责：机房安全员负责计算机机房的安全与管理。其主要职责是：（1）负责计算机机房的防火、防水

12、、防静电、防雷击和防辐射等安全设施的管理；（2）负责对计算机机房的内部装修，落实电磁波防护等技术规范与技术要求；（3）负责计算机机房配电系统、空调系统的维护与管理；（4）负责计算机机房的进出口的控制机监控系统和门禁系统的维护与管理；（5）负责对本单位计算机机房及所属各部门计算机机房安全性的检查，发现问题或隐患及时提出整改意见和书面报告。6.9 开发人员安全职责：严格按照公司的标准开发流程进行开发、测试、代码的管理工作。及时向安全人员报告系统各种安全事件。6.10 业务操作人员安全职责：严格执行系统操作规程和运行安全管理制度；不得向他人提供自己的操作密码；及时向系统管理员报告系统各种异常事件。6

13、.11 信息安全人员职责：负责信息安全管理的日常工作；开展信息安全检查工作，对要害岗位人员安全工作进行指导和监督；负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；开展信息安全知识的培训和宣传工作；监控信息安全总体状况，提出信息安全分析报告。7 信息安全管理体系7.1 总要求公司根据整体业务活动和风险，开发、实施、保持并持续改进文件化的信息安全管理体系。本手册应用了PDCA模式。 建立ISMS 实施和运行ISMS 保持和改进ISMS 监视和评审ISMS 相关方 信息安全 要求和期望 相关方 受控的 信息安全 规划Plan 检查Check 处置Act 实施Do 图1 信息安

14、全管理体系PDCA模型7.2 建立和管理信息安全管理体系信息安全管理体系的建立遵照PDCA的过程，包括建立、实施、监督和改进等过程。1) 建立ISMS2) 实施和运行ISMS 3) 监督和评审ISMS 4) 维持和改进ISMS 7.2.1 建立信息安全管理体系7.2.1.2 信息安全管理体系的方针7.2.1.2.1 方针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针。7.2.1.2.2 要求本公司信息安全管理体系方针符合以下要求：a) 为信息安全目标建立了框架，并为信息安

15、全活动建立整体的方向和原则；b) 识别并满足适用法律、法规和相关方信息安全要求；c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d) 建立了风险评价的准则；e) 经总经理批准，并定期评审其适用性、充分性，必要时予以修订。7.2.1.2.3 承诺为实现信息安全管理体系方针，本公司承诺：a) 在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；b) 识别并满足适用法律、法规和相关方信息安全要求；c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d) 采用先进有效的设施和技术，处

16、理、传递、储存和保护各类信息，实现信息共享；e) 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f) 制定并保持完善的业务连续性计划，实现可持续发展。7.2.1.3 风险评估的方法信息安全工作小组制定信息安全风险管理程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行信息安全风险管理程序进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。7.2.1.4 识别风险在已确定的信息安全管理体系范围内，本公司按信息安全风险管理程序对所有的资产和资产

17、所有者进行了识别；对每一项资产按重置成本级别、保密性、完整性、可用性和资产价值及重要性级别进行了量化赋值，根据重要资产判断准则确定是否为重要资产，形成重要资产清单。同时根据信息安全风险管理程序识别对这些资产的威胁、可能被威胁利用的脆弱性、现有的控制措施及现有控制措施的有效性，并通过对这些项目的赋值计算出在丧失保密性、完整性和可用性可能对重要资产造成的影响。7.2.1.5 分析和评价风险本公司按信息安全风险管理程序分析和评价风险：a) 针对重要资产的价值和脆弱性严重程度，计算出风险发生的影响值；b) 针对每一项威胁发生频率、脆弱性被威胁利用的容易程度进行赋值，然后计算得出风险发生的可能性；c)

18、根据信息安全风险管理程序计算风险等级，从而得出风险等级；d) 根据信息安全风险管理程序及风险接受准则，判断风险为可接受或需要处理。7.2.1.6 识别和评价风险处理的选择信息安全工作小组和相关部门根据风险评估的结果，形成信息安全风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a) 控制风险，采用适当的内部控制措施；b) 接受风险；c) 避免风险；d) 转移风险。7.2.1.7 选择控制目标与控制措施信息安全工作小组根据相关法律法规要求、信息安全方针、业务发展要求及风险评估的结果，组织有关部门选择

19、和制定了信息安全目标。a) 信息安全控制目标获得总经理的批准。b) 控制目标及控制措施的选择原则来源于信息安全等级保护基本要求、ISO/IEC 27001；c) 本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。7.2.1.8 剩余风险对风险处理后的剩余风险应形成信息安全剩余风险评估报告并得到公司管理者的批准。7.2.1.9 授权公司最高管理层对实施和运行信息安全管理体系进行授权。7.2.2 实施及运行信息安全管理体系7.2.2.1 活动为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a) 形成信息安全风险处理计划，以确定适当的管理措施、职责及安全控

20、制措施的优先级；b) 为实现已确定的安全目标、实施信息安全风险处理计划，明确各岗位的信息安全职责；c) 实施所选择的控制措施，以实现控制目标的要求；d) 确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；e) 进行信息安全培训，提高全员信息安全意识和能力；f) 对信息安全体系的运行进行管理；g) 对信息安全所需资源进行管理；h) 实施控制程序，对信息安全事故（或征兆）进行迅速反应。7.2.2.2 信息安全组织机构本公司成立信息安全领导机构信息安全工作小组的职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及

21、到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由信息安全工作小组承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：a) 确保安全活动的执行符合信息安全方针；b) 确定怎样处理不符合；c) 批准信息安全的方法和过程，如风险评估、信息分类；d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e) 评估信息安全控

22、制措施实施的充分性和协调性；f) 有效的推动组织内信息安全教育、培训和意识；g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。7.2.2.3 信息安全职责和权限本公司总经理为信息安全最高责任者，对信息安全负有以下职责：a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全工作小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。7.2.3 监督与评审信息安全管理体系7.2.3.1 活动本公司通过实施不定期安全检查、内部审核、事故报

23、告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a) 及时发现处理结果中的错误、信息安全管理体系的事故和隐患；b) 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c) 使管理者确认人工或自动执行的安全活动达到预期的结果；d) 使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e) 积累信息安全方面的经验。7.2.3.2 管理评审根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全管理体系的范围、方针、目标的符合性及控制措施有效性的评审，考虑信息安全审核、事件、有效性测量的结果

24、，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7章。7.2.3.3 检查和测量在管理标准中，对安全措施的实施规定了检查和测量的要求。同时，信息安全工作小组应定期的进行信息安全检查和信息安全技术监督，通过对安全措施的实施检查和信息安全技术监督，保证安全措施得到满足。7.2.3.4 风险再评估信息安全工作小组组织有关部门按照信息安全风险管理程序的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a) 组织；b) 技术；c) 业务目标和过程；d) 已识别的威胁；e) 实施控制的有效性；f) 外部事件，例如法律或规章环境的

25、变化、合同责任的变化以及社会环境的变化。7.2.3.5 内部审核按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体要求，见本手册第6章。7.2.3.6 更新计划考虑监视和评审活动的发现，更新信息安全计划。7.2.3.7 记录记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。7.2.4 保持与持续改进信息安全管理体系我公司开展以下活动，以确保信息安全管理体系的持续改进：a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；b) 按照本手册第6章和第8章的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；c) 通过适当

26、的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等；d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。7.3 文件要求7.3.1 文件控制信息安全工作小组按文件控制程序的要求，对信息安全管理体系所要求的文件进行管理。对信息安全管理体系手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施控制，以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证：a) 文件发布前得到

27、批准，以确保文件是充分的；b) 必要时对文件进行评审、更新并再次批准；c) 确保文件的更改和现行修订状态得到识别；d) 确保在使用时，可获得相关文件的最新版本；e) 确保文件保持清晰、易于识别；f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g) 确保外来文件得到识别；h) 确保文件的分发得到控制；i) 防止作废文件的非预期使用；j) 若因任何目的需保留作废文件时，应对其进行适当的标识。7.3.2.3 外来文件管理外来文件包括信息安全法律、行政法规、部门规章、地方法规，按以下规定执行：a) 信息安全适用的法律法规按照信息安全法律法规管理程序规定执行；b)

28、 外来的文件按照文件控制程序和其他相关规定执行；c) 外来标准按本公司标准化管理的相关规定进行。7.3.3 记录控制信息安全管理体系所要求的记录是信息安全管理体系符合标准要求和有效运行的证据。信息安全工作小组按记录控制程序的要求，对记录的标识、储存、保护、检索、保管、废弃等进行管理，详细内容参见记录控制程序。信息安全管理记录可以是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，可以是书面的或电子媒体的。需要归档的记录，按记录控制程序执行，属于电子数据的记录，按重要信息备份管理程序执行。8 管理职责8.1 管理承诺我公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进

29、信息安全管理体系的承诺提供证据：l 建立信息安全方针； l 确保信息安全目标和计划的建立； l 明确公司各部门信息安全职责； l 向公司传达满足信息安全目标、符合信息安全方针的法律责任和持续改进的重要性； l 提供足够的资源以建立、实施、运行、维持和改进ISMS； l 决定可接受准则和风险的可接受等级； l 定期进行ISMS的内部审核和管理评审。8.2 资源管理8.2.1 资源的提供本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工是有能力胜任的，以保证：a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系；b) 确保信息安全程序支持业

30、务要求；c) 识别并指出法律法规要求和合同安全责任；d) 通过正确应用所实施的所有控制来保持充分的安全；e) 必要时，进行评审，并对评审的结果采取适当措施；f) 需要时，改进信息安全管理体系的有效性。8.2.2 培训、意识和能力信息安全工作小组制定并实施员工培训管理程序文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a) 确定承担信息安全管理体系各工作岗位的职工所必要的能力；b) 提供职业技术教育和技能培训或采取其他的措施来满足这些需求；c) 评价所采取措施的有效性；d) 保留教育、培训、技能、经验和资格的记录。本公司还确保所有相关人员意识到其所从事

31、的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。9 内部信息安全管理体系审核9.1 总则9.1.1 要求本公司信息安全工作小组按内部审核管理程序的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。9.1.2 活动本公司每年进行壹次信息安全管理体系内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a) 符合本标准的要求和相关法律法规的要求；b) 符合已识别的信息安全要求；c) 得到有效地实施和维护；d) 按预期执行。9.2 内审策划信息安全工作小组策划审核的过程、区域的状况、重要性以及以往审核的结果，对审核工作进行策划。应编制年度内审

32、计划，确定审核的准则、范围、频次和方法。每次审核前，信息安全工作小组应编制内部审核计划，确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。内部审核计划，经信息安全委员会批准，提前3天通知被审核部门，被审核部门到时应选派有关人员配合审核。9.3 内审员内部审核员必须是熟悉本公司信息安全管理情况，参加内部审核员培训并考核合格的人员。内部审核员应来自于不同的部门，审核人员应与被审活动无直接责任，以保持工作的独立性。各部门选择符合内部审核员条件的候选人，参加内部审核员培训并考试合格，填写内部审核员评定表，经信息安全委员会批准，方取得内

33、部审核员资格。9.4 内审实施9.4.1 活动应按审核计划的要求实施审核，包括：a) 进行首次会议，明确审核的目的和范围，采用的方法和程序；b) 实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，填写审核发现；c) 对检查内容进行分析，对审核发现的问题在不符合项报告及纠正报告单中开出不符合项；d) 审核组长编制内部审核报告。9.4.2 不符合处理对审核中提出的不符合项，责任部门应制定纠正措施，由信息安全工作小组对纠正措施的实施情况进行跟踪、验证，将结果记入不符合项报告及纠正报告单。9.4.3 记录内部审核记录由信息安全工作小组保存，并作为管理评审的输入之一。10 管理评审10.1 总则总经理应每年进行一次管理评审，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理