信息安全管理手册-ISO27001

信息安全管理体系

管理手册ISMS—M-yyyy版本号：A/1受控状态:■受控□非受控2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016—1—08定版审核人同意AA/1编写组2017—1-15定版审核人同意信息安全管理手册信息安全管理手册第第#页共28页符合性要求进行了量化赋值，根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。同时，根据《信息安全风险管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。8.2.2分析和评价风险本公司按《信息安全风险管理程序》，采用FMEA分析方法，分析和评价风险：a）针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施,判定安全失效发生的可能性，并进行赋值；c）根据《信息安全风险管理程序》计算风险等级；d）根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。信息安全风险处置办公室组织有关部门根据风险评估的结果,形成《风险处理计划》，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a）控制风险，采用适当的内部控制措施；b）接受风险（不可能将所有风险降低为零）；c）避免风险（如物理隔离）；d）转移风险（如将风险转移给保险者、供方、分包商）.9绩效评价监视、测量、分析和评价9。1。1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a）及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c）使管理者确认人工或自动执行的安全活动达到预期的结果；d）使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e）积累信息安全方面的经验；9.1。2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7章。9。1.3办公室应组织有关部门按照《信息安全风险管理程序》的要求，采用FMEA分析方法，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：组织；技术；业务目标和过程；已识别的威胁；实施控制的有效性；外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。按照计划的时间间隔进行信息安全管理体系内部审核，内部审核的具体要求，见本手册第6章。9.1.5定期对信息安全管理体系进行管理评审，以确保范围的充分性，并识别信息安全管理体系过程的改进，管理评审的具体要求，见本手册第7章。9.1。6考虑监视和评审活动的发现，更新安全计划.9。1。7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。9.2内部审核9。2。1办公室应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法.9。2。2每次审核前，办公室应编制内审计划，确定审核的准则、范围、日程和审核组.审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。9.2。3应按审核计划的要求实施审核，包括:进行首次会议，明确审核的目的和范围，采用的方法和程序；实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流；进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；d）审核组长编制审核报告.9。2。4对审核中提出的不符合项报告，责任部门应编制纠正措施，由办公室组织对受审部门的纠正措施的实施情况进行跟踪、验证;按照《记录管理程序》的要求，保存审核记录。9。2。6内部审核报告，应作为管理评审的输入之一.9.3管理评审管理评审的输入要包括以下信息：a）信息安全管理体系审核和评审的结果；b）相关方的反馈；c）用于改进信息安全管理体系业绩和有效性的技术、产品或程序；d）预防和纠正措施的状况；e）风险评估没有充分强调的脆弱性或威胁；f）有效性测量的结果；g）管理评审的跟踪措施；h）任何可能影响信息安全管理体系的变更；i）改进的建议。管理评审的输出应包括与下列内容相关的任何决定和措施：a）信息安全管理体系有效性的改进；b）更新风险评估和风险处理计划；c）必要时，修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件，包括以下方面的变化:1）业务要求；2）安全要求；3）影响现有业务要求的业务过程；4）法律法规要求；5）合同责任；6）风险等级和（或）风险接受准则。d）资源需求；e）改进测量控制措施有效性的方式。10改进10.1不符合和纠正措施办公室负责建立并实施《纠正和预防控制程序》,采取以下措施，消除与信息安全管理体系要求不符合的原因，以防止再发生。《纠正和预防控制程序》应规定以下方面的要求：识别存在的不符合;确定不符合的原因;评价确保不符合不再发生的措施要求；确定并实施所需的纠正和预防措施；记录所采取措施的结果；评审所采取的纠正和预防措施。公司网络管理部应定期进行风险评估，以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求.预防措施的优先级应基于风险评估结果来确定.10.2持续改进本公司制定和实施《纠正和措施管理程序》《内部审核管理程序》等文件，通过下列途径持续改进信息安全管理体系的有效性:a)通过信息安安全管理体系方针的建立与实施，对持续改进做出正式的承诺;b)通过建立信息安全管理体系目标明确改进的方向;通过内部审核不断发现问题，寻找体系改进的机会并予实施,详见《内部审核管理程序》；通过实施纠正和预防措施实现改进,详见《纠正和措施管理程序》；通过管理评审输出的有关改进措施的实施实现改进。附录A信息安全管理组织结构图附录B信息安全管理职责明细表规范性附录）序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责.2总经理信息安全第一责任人，制定信息安全方针，对信息安全全面负责。1。组织制定并批准信息安全管理方针、信息安全目标和计划。2。为发展、贯彻、运行和保持ISMS提供充足的资源为员工提供所需的资源、培训，并赋予其职责范围内的自主权。3。负责任命管理者代表，并定期进行管理评审。4。决定风险的可接受水平.5。负责批准公司信息安全管理手册和管理评审计划。3管理者代表负责建立、实施、检查、改进信息安全管理体系（具体见《管理者代表授权书》）。4商务部我公司信息安全管理体系的归口管理部门。负责管理体系的建立、实施、保持、测量和改进.负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改负责本公司保密工作的管理。负责安全区域的管理.负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容.参与涉密及司法介入的信息安全事件的调查。&负责公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。负责公司财务相关的信息安全管理，包括出纳、人员工资发放，以及代理记帐公司的管理。负责公司客户反馈信息的搜集,定期对客户回访跟踪。认真执行信息安全方针、标准、安全策略和规范，做好本部门职责范围内的信息安全管理体系运行工作。5技术部负责收集与本部门相关的信息安全方面的法规及其他要求，并及时上报信息安全委员会，冋时负责在本部门内传达，贯彻和实施与部门相关的法规及其他要求。协助在本部门内宣传公司的信息安全管理体系文件的要求，提咼本部门员工的信息安全意识.按照信息安全体系文件的要求,在本部门遵照执行。发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实施处置措施。协助信息安全审计小组进行体系的内部审查与外部评审。

序号单位/部门信息安全职责7销售部负责收集与本部门相关的信息安全方面的法规及其他要求，并及时上报信息安全委员会，冋时负责在本部门内传达，贯彻和实施与部门相关的法规及其他要求。协助在本部门内宣传公司的信息安全管理体系文件的要求，提咼本部门员工的信息安全意识.按照信息安全体系文件的要求，在本部门遵照执行。发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实施处置措施。协助信息安全审计小组进行体系的内部审查与外部评审。对信息资产实行有效管理，确保信息的机密性,维持信息的完整性和可用性，防范对信息的未经授权访问.处理本部门与信息安全相关的事宜，向信息安全委员会反馈本部门在信息安全方面的要求和建议.&在第三方或对外联络中积极宣传本公司的信息安全目标和方针。9.在与第三方或外界进行信息交流、接触时，保证信息的安全。备注:以上职能划分，适用所有信息安全管理体系文件。

附录C信息安全管理程序文件清单（资料性附录）序号文件名称文件编号10001-文件管理程序ISMS—0001—yyyy20002—记录官理程序ISMS—0002—yyyy30003-内部审核管理程序ISMS-0003-yyyy40004-纠正预防措施管理程序ISMS-0004—yyyy50005—管理评审管理程序ISMS—0005-yyyy60006-监视和测量管理程序ISMS—0006—yyyy70101—信息安全风险识别与评价管理程序ISMS-0101-yyyy80102-商业秘密管理程序ISMS—0102-yyyy90103—人力资源管理程序ISMS—0103-yyyy100104—信息安全惩戒管理程序ISMS—0104—yyyy110105—相关方信息安全管理程序ISMS—0105—yyyy120106—信息安全合规性管理程序ISMS—0106-yyyy130107-信息安全沟通管理程序ISMS—0107-yyyy140108-信息安全事件管理程序ISMS—0108—yyyy150201—安全区域管理程序ISMS-0201-yyyy160301-网络安全管理程序ISMS—0301-yyyy170302数据安全管理程序ISMS—0302-yyyy180303—信息处理设施管理程序ISMS—0303-yyyy190304-个人计算机管理程序ISMS-0304-yyyy200305-用户访问管理程序ISMS-0305—yyyy210306-信息系统开发建设管理程序ISMS—0306-yyyy220307—信息系统应用管理程序ISMS—0307—yyyy230308-信息系统监控管理程序ISMS-0308—yyyy240309-信息交换管理程序ISM