ISO27001信息安全管理手册

公司名

编版

号本密受

级控

内部限制是信息安全管理手册生效日期

核

准

审

查

制

订

序号

修改原因

修改内容

修改人/时间

批准人/时间

备注

目录0.1信安管手发令0.2管者表命0.3公简0.4信安方0.5信安目1范2引标3术和义4信安管体组理明信5领领方组6计处信7支资能

意沟文8实运信信9绩评监内管10改不持附：

0.1

信息安全理手册发布

彻27001:2013《信息技术安全技术信息安全

下公公司的管

0.2管理者代表任命书

司ISO270011、ISO27001的推行认证工作，负责组织信息安全管理体系建立、实施2、3、4、

0.3公司简介

0.4

信息安全针实风管，保息全保业可续展义采取降低0.5、信息安全目标

：次，次年，8次/年。：次

部

门

部门信安全目标

统计方

监测频率管理部

1、人员招聘手续办理完成率100%；2、人员教育或培训实施率100%；3、人员离职手续办理完成率100%。4、办公环境消防设施配置率100%5、办公环境消防设施点检率100%1、每年至少组织实施完成1次信息安全内审资料齐全；2、每年至少组织实施完成1次信息安全管理评

1、查看全部员工入职手续办理情况；2、查看培训计划及培训实施情况；3、查看实际人员离职及手续办理情况。4、现场检查办公环境消防器材配备情每年况；5场检查办公环境消防器材的检修情况。1照信息安全内审计划执行内审及改进，及时整理信息安全内审资料；2照信息安全管理评审计划执行评审及改进，及时整理信息安全管理评审资料；生产部

审，且资料齐全；3、每年至少进行1次信息安全体系文件评审及更新；4、每年至少组织实施完

3年集中对信息安全管理体系文件进行评审，必要时进行更新；4年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估。

每年成1次风险评估。1、网络非正常中断每月产品部

≤1次。2、主机系统非正常中断

1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据

每月每月≤1次。其他部门

重要文档及数据被正确保管及使用密信息泄露次数为0

每半年检查一次日常工作文件及数据是否被正确保管及使用，以及机密信息泄露相关事件。

每年

1范1.1

总称ISMS确对信息安全风险进行有效管理，确1.2

应A明SoA2规性用件27001:2013《术术信息27002:2013《术术信息

3术和义--、27002:2013《-安全技术信息安全管理实施细则》规本4信安管体4.1组环

4.2理相方需和望与本公司信息安全管理各相关方

4.3

本司息全理系范和界业务范围信息系统组织范围地理范围4.4信安管体照27001:2013《信息技术安全术信系参照ISO/IEC-术

5领5.1领和诺

5.2方0.4为信考虑与组持建立经最

5.3组角、责权bc全体员工都应按保密承诺的要求自觉

6.1处风和遇我司参考组织环境中的问题和

所选择图2.

信形《

于附录A，具体控制措施考27002:2013《信息技术安全术6.2信安目的划实0.5章

求

7.1

资7.2

能7.37.4

意沟

7.5文要7.5.1综合ISO/IEC27001:20137.5.2创建更abc7.5.3文档制b

确8实8.1运计和制确

8.2信安风评所有的资产进行列别针针断风险8.3信安风处计划明确了风险

9绩评9.1监、量分和价9.2内审过12个9.3管评司

10改10.1不合纠措采取措施处置影响发生，通评审不符明确不符明确是否组织应保留以下文档信息作为证10.2持改

附一信安职分表注▲负责门△相关门：管理单位信息安全

管理者

市场营总经理

管理部

生产部

产品部

研发部体系要求

委员会

代表

销部4.组环境4.1理解组织及其环境4.2理解相关方的需求和期望

▲▲

▲▲

△△

△△

△△

△△

△△

△△4.3明确信息安全管理体系的范▲▲▲△△△△△围4.4信息安全管理体系

▲

△

▲

△

△

△

△

△5领导5.1领导和承诺5.2方针5.3组织角色、职责和权力

△△△

▲▲▲

△△△

△△△

△△△

△△△

△△△

△△△6计划6.1处置风险和机遇6.2信息安全目标的计划和实现

▲▲

▲△

△△

△△

△△

△△

△△

△△7支持7.1资源7.2能力7.3意识7.4沟通7.5文档要求

△△△▲△

▲△△▲△

△△△▲△

△▲▲△△

△△△△▲

△△△△△

△△△△△

△△△△△8实施8.1运行计划和控制8.2信息安全风险评估8.3信息安全风险处置

▲▲▲

△△△

△△△

△△△

△△△

△△△

△△△

△△△9绩效评价9.1监视、测量、分析和评价9.2内部审核9.3管理评审

▲△△

△△▲

△▲△

△△△

△△△

△△△

△△△

△△△10改进10.1不符合项和纠正措施10.2持续改进

△△

△△

△△

△△

▲▲

△△

△△

△△A.5信息安全方针A.5.1信息安全管理指引

▲

△

▲

△

△

△

△

△A.6信息安全组织A.6.1内部组织A.6.2移动设备和远程办公

▲△

△△

▲△

△△

△△

△▲

△▲

△▲A.7人力资源安全A.7.1任用前

△

△

△

▲

△

△

△

△

管理单位信息安全

管理者

市场营总经理

管理部

生产部

产品部

研发部体系要求

委员会

代表

销部A.7.2任用中A.7.3任用终止和变更

△△

△△

△△

▲▲

△△

△△

△△

△△A.8资产管理A.8.1资产的责任A.8.2信息分类A.8.3介质处理

△▲△

△△△

△△△

▲▲▲

▲△▲

▲△▲

▲△▲

▲△▲A.9访问控制A.9.1访问控制的业务需求A.9.2用户访问管理A.9.3用户责任A.9.4系统和应用访问控制

△△△△

△△△△

△△△△

△▲△△

△▲△△

▲▲▲▲

△△△△

△▲△△A.10加密技术A.10.1加密控制

▲

△

△

△

△

▲

▲

△A.11物理和环境安全

△A.11.1安全区域A.11.2设备安全

△△

△△

△△

▲△

△△

△▲

△△

△△A.12操作安全A.12.1操作程序及职责A.12.2防范恶意软件A.12.3备份A.12.4日志记录和监控A.12.5操作软件的控制A.12.6技术脆弱性管理A.12.7信息系统审计的考虑因素

△△△△△△△

△△△△△△△

△△△△△△△

△△▲△△△△

△△▲△△△△

▲▲▲▲▲▲▲

△△▲△△△△

△△▲△△△△A.13通信安全A.13.1网络安全管理A.13.2信息传输

△△

△△

△△

△▲

△▲

▲▲

△▲

△△A.14系统的获取、开发及维护A.14.1信息系统安全需求A.14.2开发和支持过程的安全A.14.3测试数据

△△△

△△△

△△△

△△△

△△△

△△△

▲▲▲

△△△A.15供应商关系A.15.1供应商关系的信息安全A.15.2供应商服务交付管理

△△

△△

△△

▲▲

△△

△△

△△

△△A.16信息安全事件管理A.16.1信息安全事件的管理和改进A.16.1.1职责和程序A.16.1.2报告信息安全事态A.16.1.3报告信息安全弱点

△△△△

△△△△

△△△△

△△▲▲

△△▲▲

▲▲▲▲

△△▲▲

△△▲▲

管理单位信息安全

管理者

市场营总经理

管理部

生产部

产品部

研发部体系要求

委员会

代表

销部A.16.1.4评估和决策信息安全事件A.16.1.5响应信息安全事故A.16.1.6从信息安全事故中学习A.16.1.7收集证据

△△△△

△△△△

△△△△

△△△△

△△△△

▲▲▲▲

△△△△

△△△△A.17业务连续性管理中的信息安全A.17.1信息安全的连续性A.17.2冗余

▲▲

△△

△△

△△

△△

△△

△△

△△A.18符合性A.18.1法律和合同规定的符合性A.18.2信息安全评审

△△

△△

△△

△△

▲▲

△△

△△

△△

附二信安职序号12345

架构部门信息安全委员会最高管理者管理者代表各部门负责人管理部

成员及能最高管理者总经理：管理者代表成员系我司信息安全最高组织机构，负责公司整体信息安全管理工作，推动信息安全工作的实施；制定信息安全方针、信息安全管理目标；负责审核信息安全小组提交的信息安全管理体系、规范及管理办法；负责决策与信息安全管理相关的重大事项，包括信息安全组织机构调整、信息安全关键人事变动以及信息安全管理重大策略变更、确认可接受的风险和风险水平等；评审与监督重大信息安全事故的处理与改进；定期组织信息安全管理体系（）评审等。1)组织并制定信息安全方针策略。2)任命管理者代表，明确管理者代表的职责和权限。3)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。4)为信息安全管理体系配备必要的资源。5)主持管理评审；6)对信息安全全面负责。1)协助最高管理者建立、实施、检查、改进信息安全管理体系。2)负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效运行。3)组织公司信息安全风险评估和风险管理。4)组织开展信息安全内部审核、安全检查工作。5)负责向总经理报告信息安全体系运行的业绩和任何改进的需求。6)负责就信息安全管理体系有关事宜的对外联络。7)监控信息安全事件和确保安全控制措施得到执行。1)负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。2)参与公司信息安全工作的讨论和决策。3)对信息安全管理体系内部审核、管理评审及其他安全检查时发现的问题及采取的纠正预防措施进行审核和确认。4)负责管理和维护部门发布的信息安全管理体系相关文件。5)负责信息安全事件的调查及协调处理。6)做好本岗位信息安全相关的保密工作1)负责公司员工招聘、聘用及离职全过程的安全管理。2)负责公司内部人事档案等重要文件资料的安全管控。3)负责公司日常行政安全的管理。4)负责公司办公环境的物理安全，包括人员及物品出入控制、门禁管理等。5)负责公司及部门重要文件资料的安全管控。6)负责公司的财务管理工作。7)负责本部门的重要信息的安全保密管控，包括财务凭证、财务报表、工资单等重要文件的安全管控。8)信息安全事件的报告及协助处理。9)做好本岗位信息安全相关的保密工作1)负责监控信息安全管理体系的日常运行。6

生产部

2)3)4)

负责信息安全管理体系文件的控制。负责本公司信息安全管理体系的推行落实。信息安全事件的报告及协助处理。7

产品部1)

负责公司信息系统的安全规划设计及实施。

8910111213

研发部市场营销部市场营销销售人员IT维护工程师/网络管理员会计及出纳所有员工

2)3)4)1)2)3)1)2)3)4)5)1)2)3)4)1)2)3)4)5)6)1)2)3)4)1)2)3)4)5)6)

负责公司机房及软硬件系统的安全运行维护。负责本部门重要信息的安全管控。负责信息安全事件的调查及协调处理。负责公司软件研发工作。负责本部门重要信息的安全管控，包括项目方案、设计文档等重要文件的安全管控。负责信息安全事件的调查及协调处理。负责公司业务相关的销售管理。负责本部门的重要信息的安全保密管控，包括客户信息、商务文档、项目合同、投标文件等重要文件的安全管控。负责对公司客户请求的积极响应，妥善处理顾客的投诉等。负责本部门重要信息的安全保密管控括客户信息等重要数据的安全管控。信息安全事件的报告及协助处理。负责公司业务相关的销售工作。负责本人接触到的重要信息的安全保密管控，包括客户信息、商务文档、项目合同、投标文件等重要文件的安全管控。信息安全事件的报告及协助处理。做好本岗位信息安全相关的保密工作负责公司信息系统建设及运行维护。负责公司机房安全管理。负责公司各部门办公电脑的维护及安全管理。按时