ISO27001信息安全管理手册

iso27001iso27001信息安全治理手册信息安全治理手册版本号：V1.0目目录公布令 1治理者代表授权书 2企业概况 3\l“_TOC_250000“信息安全治理方针目标 3手册的治理 6信息安全治理手册 7范围 7总则 7应用 7标准性引用文件 8术语和定义 8本公司 8信息系统 8计算机病毒 8信息安全大事 8相关方 8信息安全治理体系 9概述 9建立和治理信息安全治理体系 9文件要求 15治理职责 18治理承诺 18资源治理 18内部信息安全治理体系审核 196.1总则 19内审筹划 19内审实施 19治理评审 217.1总则 21评审输入 21评审输出 21评审程序 22信息安全治理体系改进 23持续改进 23订正措施 23预防措施 23iso27001iso27001信息安全治理手册110101为提高我公司的信息安全治理水平，保障公司业务活动的正常进展，防止由于信息安全大事〔信息系统的中断、数据的丧失、敏感信息的泄密〕导致的公司和客户的损失，我公司《信息技术-安全技术-信息安全治理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全治理体系，制定了《信息安全治理运行、持续改进，表达企业对社会的承诺。2023年1223日起实施。企业全体员工必需遵照执行。彻实施本手册的各项要求，努力实现公司信息安全治理方针和目标。总经理：2023年12月 23日iso27001iso27001信息安全治理手册220202GB/T22080-2023idtISO27001:2023《信息技术-安全技术-信息安全治理体系-要求》标准的要求，加强领导，特任命为我公司信息安全治理者代表。授权信息安全治理者代表有如下职责和权限：体系；负责与信息安全治理体系有关的协调和联络工作；确保在整个组织内提高信息安全风险的意识；审核风险评估报告、风险处理打算；批准公布程序文件；主持信息安全治理体系内部审核，任命审核组长，批准内审工作报告；行状况、内外部审核状况。本授权书自任命日起生效执行。总经理：202312月23日iso27001iso27001信息安全治理手册10100304本公司建立了信息安全治理体系，制订了信息安全方针，确定了信息安全目标。信息安全治理方针如下：一、信息安全治理机制全面保护本公司的信息安全。二、信息安全治理组织供给信息安全资源。信息安全治理体系的持续适宜性和有效性。证信息安全治理体系的有效运行。三、人员安全信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动位调动或离职人员，应准时调整安全职责和权限。对本公司的相关方针，要明确安全要求和安全职责。定期对全体员工进展信息安全相关教育，包括：技能、职责和意识。以提高安全意识。四、识别法律、法规、合同中的安全准时识别顾客、合作方、相关方、法律法规对信息安全的要求，实行措施，保证满足安全要求。五、风险评估1．依据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。或环境发生重大变化时，随时评估。应依据风险评估的结果，实行相应措施，降低风险。六、报告安全大事，应马上依据规定的途径进展报告。告人员反响处理结果。七、监视检查八、业务持续性2．定期对业务持续性打算进展测试和更。九、违反信息安全要求的惩罚信息安全目标如下：确保每年重大信息安全大事〔事故〕发生次数为零。确保单个重要业务系统每月中断次数不超过1次，每次中断时间不超过2小时。确保信息安全大事觉察率99%、上报和处理率100%。05051信息安全治理手册的批准2信息安全治理手册的发放、更改、作废与销毁记、发放、回收、更改、归档、作废与销毁工作；各相关部门依据受控文件的治理要求对收到的《信息安全治理手册》进展使用和保管；行政中心依据规定发放修改后的《信息安全治理手册统一处理，确保有效文件的唯一性；3信息安全治理手册的换版GB/T22080-2023idtISO27001:20231/3时，应对《信息安全治理手册》进展换版。换版应在治理评审时形成决议，重实施编制、审批工作。4信息安全治理手册的掌握——受控文件发放范围为公司领导、各相关部门的负责人、内审员；围以外的其他相关人员。b《信息安全治理手册》有书面文件和电子文件。信息安全治理手册信息安全治理手册范围总则〔确定信息安全方针和目标，对信息安全风险进展有效治理，确保全体员工理解并遵照执行信息安全治理体系文件、持续改进信息安全治理体系的有效性，特制定本手册。应用本信息安全治理手册规定了DXC的信息安全治理体系要求、治理职责、内部审核、治理评审和信息安全治理体系改进等方面内容。本信息安全治理手册适用于DXC业务活动所涉及的信息系统、资产及相关信息安全治理4.2.2.1删减说明A标准性引用文件以下文件中的条款通过本《信息安全治理手册》的引用而成为本《信息安全治理手册》用于本信息安全治理手册。《信息技术-安全技术-信息安全治理体系-要求》GB/T22081-2023idtISO27002:2023《信息技术-安全技术-信息安全治理有用规章》术语和定义GB/T22080-2023idtISO27001:2023本公司DXCDXC所属各部门。信息系统指由计算机及其相关的和配套的设备、设施〔含网络〕构成的，且依据肯定的应用目标计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并信息安全大事的反动有害信息和涉密信息的传播大事、利用网络所从事的对信息系统的破坏窃密大事。相关方供方、银行、用户、电信等。信息安全治理体系概述本公司在软件开发、经营、效劳和日常治理活动中，按GB/T22080-2023idtISO27001:2023《信息技术-安全技术-信息安全治理体系-要求》规定，参照《信息技术-安全技术-信息安全治理有用规章》标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系。信息安全治理体系使用的过程基于图1所示的PDCA模型。筹划筹划相关方建立ISMS相关方实施ISMSISMS处置信息安全期望ISMS信息安全治理检查1信息安全治理体系模型建立和治理信息安全治理体系建立信息安全治理体系信息安全治理体系的范围和边界息安全治理体系的范围包括：本公司涉及软件开发、营销、效劳和日常治理的业务系统；与所述信息系统有关的活动；与所述信息系统有关的部门和全部员工；所述活动、系统及支持性系统包含的全部信息资产。组织范围：A〔标准性附录〕《信息安全治理体系组织机构图》。物理范围：系的物理范围和信息安全边界。2B〔标准性附录〕《办公场所平面图》。信息安全治理体系的方针0.4该信息安全方针符合以下要求：为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；考虑业务及法律或法规的要求，及合同的安全义务；与组织战略和风险治理相全都的环境下，建立和保持信息安全治理体系；建立了风险评价的准则；经最高治理者批准。为实现信息安全治理体系方针，本公司承诺：信息安全的治理职责识别并满足适用法律、法规和相关方信息安全要求；系的持续有效性；d〕承受先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；制定并保持完善的业务连续性打算，实现可持续进展。风险评估的方法的风险评估方法应确保风险评估能产生可比较的和可重复的结果。识别风险性要求进展了量化赋值，形成了《资产识别清单》。同时，依据《信息安全风险评估治理程序》，识别了对这些资产的威逼、可能被威逼利分析和评价风险本公司按《信息安全风险评估治理程序》，承受人工分析法，分析和评价风险：针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进展赋值；针对每一项威逼、薄弱点，对资产造成的影响，考虑现有的掌握措施，判定安全失效发生的可能性，并进展赋值；依据《信息安全风险评估治理程序》计算风险等级；依据《信息安全风险评估治理程序》及风险承受准则，推断风险为可承受或需要处理。识别和评价风险处理的选择该打算明确了风险处理责任部门、负责人、目的、范围以及处置策略。对于信息安全风险，应考虑掌握措施与费用的平衡原则，选用以下适当的措施：消减风险〔通过适当的掌握措施降低风险发生的可能性〕；〔/剩余风险〕；躲避风险〔打算不进展引起风险的活动，从而避开风险〕；转移风险〔通过购置保险、外包等方法把风险转移到外部机构〕。选择掌握目标与掌握措施息安全目标，并将目标分解到有关部门〔见《适用性声明》〕：信息安全掌握目标获得了信息安全最高责任者的批准。GB/T22080-2023idtISO27001:2023《信息技术AGB/T22081-2023idtISO27002:2023《信息技术-安全技术-信息安全治理有用规章》。本公司依据信息安全治理的需要，可以选择标准之外的其他掌握措施。对风险处理后的剩余风险，得到了公司最高治理者的批准。最高治理者通过本手册对实施和运行信息安全治理体系进展了授权。适用性声明〔SoA〕。该声明包括以下方面的内容：a)所选择掌握目标与掌握措施的概要描述，以及选择的缘由；A说明〔本公司未涉及此项业务〕。实施及运作信息安全治理体系下活动：措施的优先级；信息安全职责；实施所选择的掌握措施，以实现掌握目标的要求；有效性以得出可比较的、可重复的结果；f)对信息安全体系的运作进展治理；对信息安全所需资源进展治理；实施掌握程序，对信息安全大事〔或征兆〕进展快速反响。信息安全组织机构本公司成立了信息安全领导机构-信息安全委员会，其职责是实现信息安全治理体系方必要的资源。行。〔协调会〕的方式，进展信息安全协调和协作，以：确保安全活动的执行符合信息安全方针；确定怎样处理不符合；批准信息安全的方法和过程，如风险评估、信息分类；识别重大的威逼变化，以及信息和相关的信息处理设施对威逼的暴露；评估信息安全掌握措施实施的充分性和协调性；有效的推动组织内信息安全教育、培训和意识；当的措施。信息安全职责和权限全治理者代表在其他方面的职责如何，对信息安全负有以下职责：建立并实施信息安全治理体系必要的程序并维持其有效运行；报告。信息安全保密义务；C〔标准性附录〕《信息安全治理职责明细表》和相应的程序文件。〔包括安全运行的各种掌握程序〕的要求实施信息安全掌握措施。监视与评审信息安全治理体系〔大事〕报告调查处理、电子监控、定期技术检查等掌握措施并报告结果以实现：准时觉察处理结果中的错误、信息安全体系的事故〔大事〕和隐患；c)使治理者确认人工或自动执行的安全活动到达预期的结果；e)积存信息安全方面的阅历。依据以上活动的结果以及来自相关方的建议和反响，由总经理主持，每年至少一次7应准时进展风险评估：组织；技术；业务目标和过程；已识别的威逼；实施掌握的有效性；外部大事，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。67考虑监视和评审活动的觉察，更安全打算。保持与持续改进信息安全治理体系我公司开展以下活动，以确保信息安全治理体系的持续改进：实施每年治理评审、内部审核、安全检查等活动以确定需改进的工程；依据《内部审核治理程序》、《订正措施治理程序》、《预防措施治理程序》的要〔大事〕的阅历教训，不断改进安全措施的有效性；通过适当的手段保持在内部对信息安全措施的执行状况与结果进展有效的沟通。包的要求等；对信息安全目标及分解进展适当的治理，确保改进到达预期的效果。文件要求总则本公司信息安全治理体系文件包括：文件化的信息安全方针、掌握目标，在《信息安全治理手册》中描述；《信息安全治理手册》〔本手册，包括信息安全适用范围及引用的标准〕；本手册要求的《信息安全风险评估治理程序》、《业务持续性治理程序》、《订正措施治理程序》等支持性程序；程序》、《内部审核治理程序》等；为确保有效筹划、运作和掌握信息安全过程所制定的文件化操作程序；体系要求的记录类文件；相关的法律、法规和信息安全标准；〔SOA〕。文件掌握行政中心制定并实施《文件和资料治理程序》，对信息安全治理体系所要求的文件进展治理。对《信息安全治理手册》、程序文件、治理规定、作业指导书和为保证信息安全治理作废、回收等治理工作做出规定，以确保在使用场所能够准时获得适用文件的有效版本。文件掌握应保证：文件公布前得到批准，以确保文件是充分的；必要时对文件进展评审、更并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用时，可获得相关文件的最版本；确保文件保持清楚、易于识别；终的销毁；确保外来文件得到识别；确保文件的分发得到掌握；防止作废文件的非预期使用；假设因任何目的需保存作废文件时，应对其进展适当的标识。记录掌握信息安全治理体系所要求的记录是体系符合标准要求和有效运行的证据。行政中心定记录的标识、储存、保护、检索、保管、废弃等事项。4.2ISMS相关的安全事故〔大事〕的记录。各部门应依据《记录治理程序》的要求实行适当的方式妥当保管信息安全记录。ISMS主管部门总经理主管部门总经理治理者代表行政中心工程中客服中心手册条款信息安全治理体系8总体要求▲△△△△ISMS▲▲▲▲4ISMS▲▲▲▲监视和评审ISMS▲△△△保持和改进ISMS▲△△△文件掌握△▲△△记录掌握△▲△△5治理承诺▲△△△治理职资源供给▲△△△责培训意识和力量▲▲△△6ISMS▲▲△△7ISMS▲△▲△△持续改进▲▲▲△△订正措施▲▲△△改进预防措施▲△▲△△A5安全方针▲△△△A6信息安全组织▲△△△A7资产治理▲▲△△A8人力资源治理▲▲△△A9物理和环境安全▲▲△△A10通讯和操作治理▲△▲△A11访问掌握▲△▲△信息系统的猎取开发和 △ ▲ △A12 ▲维护A13信息安全事故治理▲▲△△A14业务持续性治理▲△▲△A15符合性▲▲△△治理职责治理承诺治理体系的承诺供给证据：建立信息安全方针(见本手册第0.4章)；确保信息安全目标得以制定〔0.4承受风险处理打算》及相关记录〕；建立信息安全的角色和职责〔见本手册附录E〕；要性；5.2记录)；确保内部信息安全治理体系审核〔见本手册第6章〕得以实施；7〕。资源治理资源的供给安全治理体系工作的员工的力量是胜任的，以保证：建立、实施、运作、监视、评审、保持和改进信息安全治理体系；确保信息安全程序支持业务要求；识别并指出法律法规要求和合同安全责任；通过正确应用所实施的全部掌握来保持充分的安全；必要时进展评审，并对评审的结果实行适当措施；培训、意识和力量责的全部人员，都必需有力量执行所要求的任务。可以通过：确定担当信息安全治理体系各工作岗位的职工所必要的力量；c)评价所实行措施的有效性；d)保存教育、培训、技能、阅历和资格的记录。何为实现信息安全治理体系目标做出奉献。内部信息安全治理体系审核总则确定其信息安全治理体系的掌握目标、掌握措施、过程和程序是否：符合本标准的要求和相关法律法规的要求；符合已识别的信息安全要求；得到有效地实施和维护；内审筹划案进展筹划。应编制内审年度打算，确定审核的准则、范围、频次和方法。每次审核前，行政中心应编制内审打算，确定审核的准则、范围、日程和审核组。审内审实施应按审核打算的要求实施审核，包括：a〕进展首次会议，明确审核的目的和范围，承受的方法和程序；b〕实施现场审核，检查相关文件、记录和凭证，与相关人员进展沟通；c〕进展对检查内容进展分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；d〕审核组长编制审核报告。门的订正措施的实施状况进展跟踪、验证。依据《记录治理程序》的要求，保存审核记录。内部审核报告，应作为治理评审的输入之一。治理评