22080-2023年信息安全管理体系管理手册

1078页22080-2023文档审批信息安全治理者文档审批信息安全治理者签字：日期：代表文档审批人签字：日期：文档编号〔由总裁办填写〕密级内部公开文档公布级别公司级文档公布及实行范围全员制度试行日期〔可选〕制度执行日期2023/07/01文档起草人签字：日期：文档修订人：签字：日期：修订说明： 业务范围部门名称修改备注：文档负责人：签字：日期：目 录概述目的适用范围公布令授权书依据文件和术语依据文件术语定义裁剪说明组织环境组织环境描述信息安全相关方的需求和期望信息安全治理体系范围确实定体系概述领导力领导力和承诺信息安全方针和目标组织角色、职责和权限筹划风险评估和处置目标实现过程支持资源供给信息安全力气治理意识培训信息安全沟通治理存档信息把握运行体系筹划与运行绩效评价力气评价有效性测量内部审核治理评审改进信息安全总体把握信息安全策略信息安全组织人力资源安全资产治理访问把握密码把握物理和环境安全操作安全通信安全系统猎取、开发和维护供给商关系信息安全事故业务连续性治理的信息安全方面符合性附件二：信息安全职责安排表附件三：信息安全目标附件四：信息安全适用声明书附件五：信息安全体系文件治理矩阵表概述安全意识水平，XXX〔以下简称“公司”〕依据信息安全治理标准《GB/T22080:2023/ISO/IEC27001:2023信息技术安全通过体系的有效运行，实现持续改进，到达动态系统、全员参与、制度化的、以预防为主的信息安全治理方式。目的治理体系的方针、目标、治理机制和要求等方面的内容。活动的安全、稳定、高效，提升企业核心竞争力。适用范围务范围包括信息技术处理设施的治理运维效劳、信息技术系统的开发、猎取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全治理相关活动。公布令为提高信息安全治理水平，贯彻落实“以客户为中心，将安全意识融入日常工作、严格审查各项把握措施、准时消退安全隐患、保障业务连续性。”的根本方针，保障公司的生产、经营、效劳和日常治理活动，防止由于信息系统故障、数据的丧失、敏感信息的泄密所GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息安全治理体系要求》标准要求，建立了文件化的信息安全治理体系。现信息安全治理体系的有效运行和持续改进。执行本总纲的各项规定，努力实现公司生产运行和日常办公的安全。并传达给外部相关方。本手册自公布之日起生效执行。公司总经理：2023年七月一日授权书GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息安全治理体系要求》的要求，加强对信息安全治理体系建设和持续运行的领导工作，特任命xxx先生为公司信息安全治理者代表。授权信息安全治理者代表有如下职责和权限：风险评估；协调与信息安全治理体系有关的各项工作；确保提高员工信息安全意识；催促信息安全治理体系内部审核和信息安全检查的开展；帮助最高治理者进展信息安全治理体系的治理评审；向最高治理者报告信息安全治理体系的业绩和改进要求。本授权书自任命日起生效执行。公司总经理：2023年七月一日依据文件和术语依据文件度》。的法律、法规；用的全部文件、规定等；和指导作用的全部文件；循的具有约束和指导作用的国际通用惯例；标准：《GB/T22080-2023/ISO/IEC27001:2023术信息安全治理体系要求》；术语定义信息安全：对信息的机密性、完整性和可用性的保护；机密性：确保信息仅供给那些获得授权的人使用；完整性：保护信息及信息处理方法的准确性和完全性；地使用；、影响和薄弱环节，是风险分析和风险评价的全过程；风险治理：指导和把握组织通过区分、把握、削减或去除等方法将风险把握在可承受范围内的活动；裁剪说明《GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息安全治理体系要求》的条款与公司信息安全治理体系的适用关系，详见《信息安全治理体系适用性声明(SOA)》。组织环境组织环境描述1、内外部组织关系XXX2023计算应用效劳供给商。公司制定《组织环境及相关方治理把握程序》确保识别组织所处的环境。公司提倡“人性化科技帮助客户提升业绩”，致力于帮助企业利用云计算技术，以客户为中心，协同各种经营资源，改善营销流和效劳流，从而提高人均产值，重塑客户体验。讯鸟软件是中国云计算应用/SaaS、PaaS2023SaaS50产权。2、法律法规环境公司应遵循信息安全法律法规要求和义务，避开员工违反法律、法规的要求，把握相关法律风险。具体要求见《法律法规符合性把握程序。3、组织架构及部门职责公司组织架构图如下，部门包括总裁办、行政部、人力资源部、商务选购部、财务部、产品部、销售部、效劳部、研发部、测试部。如以以下图所示：总裁办负责帮助总裁执行日常工作打算和其他工作安排；执行相关信息安全治理规章制度。行政部负责公司各项行政事务治理工作；完善公司内部把握制度建设；交办的其他工作；负责制定并执行相关信息安全治理的规章制度。人力资源部负责人力资源规划的制定、实施及完善；负责组织机构方案、人员编制、岗位评价方案的研拟与执行；负责培训体系、绩效考评体系的制定、实施及追踪；负责公司人力本钱的预算及调控；部门费用预算的把握；负责企业文化的建立、宣传及推动；员工职业生涯的规划设计；负责员工的聘请、高级人才的引进；执行相关信息安全治理的规章制度。商务选购部业务合同的保管、查询、建立合同档案，定期检查合同执行状况，不执行、终止；负责各种促销活动方案中商户的协调和落实；执行相关信息安全治理的规章制度；财务部围绕公司的经营进展规划和工作打算，负责编制公司财务打算和定；做好财务统计和会计账目、报表及年终结算工作，并妥当保管会计凭证，账簿、报表和其他档案资料；财务部日常治理工作，部门人员的治理、培训、考核；建立健全公司内部核算的组织、指导和数据取与支出治理工作；执行相关信息安全治理的规章制度。产品部〔出合理化建议〔包括产品价格的调整等〕，并组织相关人员承受最产品学问的培训；制定公司品牌治理与进展策略，维护公司品牌；治理、监视和把握市场政策执行状况；执行相关信息安全治理的规章制度。销售部负责产品或效劳的销售工作；负责代理人市场的推广，特别是战对销售业务流程执行的监视；执行相关信息安全治理规章制度。效劳部端产品部署、治理、维护、运营和效劳运营质量的治理和提升工作；负责客户关系的维护、客户的技术培训、合同的执行，工程验收等相环境维护治理规章制度和相关信息安全治理的规章制度。研发部打算，并依据各种变化修改工程打算；制定有效的工程决策过程；织构造;进展风险治理；负责定期进展工程评估(review)会议；负责有效治理工程资源；负责制定并执行相关信息安全治理的规章制度。测试部性、可用性、功能、性能进展系统性测试；负责对各业务系统及运行份；负责制定并执行相关信息安全治理的规章制度。信息安全相关方的需求和期望相关方识别缘由信息安全要求和更频相关方识别缘由信息安全要求和更频识别方法期望率符合体系标准认证标认证单位 相关资质的信息 与认证单要求方可通过 准公布ISO27001 安全要求 位联系认证 周期合同要合同中要求的信客户合同关系求更合同息安全内容周期合同要合同中要求的信供给商合同关系求更合同息安全内容周期各部门实际工作内部部门信息安全工作中的信息安全要及员工执行层不定期 安全会求个人隐私安全信息安全治理体系范围确实定体系范围确实定主要考虑到公司的实际业务特点和资源的合理信息安全治理水平，保障业务稳定进展的需求。及相关信息效劳；物理范围：113A302-304室；资产范围：支撑业务活动的文档、数据、软硬件系统、物理环境、人员及支持性第三方效劳、无形资产〔专利〕等全部信息资产；产品部、销售部、效劳部、研发部、测试部。体系概述公司依据《GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息安全治理体系要求》的要求，同时考虑行业的特点，从业务需求动身，遵从风险治理的理念，留意过程治理，建立和实施信息安全治理体系，确保与信息安全相关的资源、技术、治理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类可用性，确保各项业务的连续性。领导力领导力和承诺由公司负责人授权治理者代表全权负责信息安全治理体系的日常工作，包括批准并正式公布各项制度、规定，建立体系推动组织，任命相关角色，协调与信息安全治理体系有关的各项工作。信息安全方针和目标信息安全方针:施、准时消退安全隐患、保障业务连续性。信息安全目标:为落实上述方针，公司定义如下信息安全目标：全年不发生重大信息安全大事和二级以上运行安全事故；重要保障时期不发生三级以上安全大事。组织角色、职责和权限信息安全治理体系负责人〔工作小组组长〕：负责组织建立、实施、保持和改进信息安全治理体系，保证信息安全体系的有效运行；负责公司信息安全治理手册〔一级〕的审核，制度文件〔二级〕的审批；组织并领导公司内部审核工作；负责组织发起信息安全治理体系的治理评审工作；负责向领导小组报告信息安全体系运行的业绩和任何改进的需求。信息安全工作小组：、使用的信息资产的安全；负责指导和要求本部门员工遵守信息安全政策；组织落实部门信息安全订正措施(包括内部审核整改意见)和预防措施。公司全体员工：严格遵守全部与信息安全相关的国家法律、法规和政策，遵守公司全部的信息安全政策，并签字承诺遵守保密协议的有关规定；以安全负责的方式使用公司的信息资产；乐观参与信息安全教育与培训，提高信息安全意识；有责任将违反信息安全政策的大事与行为准时报告给本部门信息安全治理员及其他相关人员。筹划风险评估和处置法，把与信息安全相关的资源和活动作为过程来治理，即应用PDCA过程方法，持续改进信息安全治理体系。具体包括：改进信息安全以到达期望的结果；依据“过程模式”确定上述过程的挨次和相互关系；体系文件；运作；持续测量、监控和分析这些过程，并进展必要的改进。风险评估及机遇务的潜在风险及进展机遇以：建立和维护信息安全风险标准，包括：风险承受标准；实施信息安全风险评估的标准。果；识别信息安全风险：识别由于信息的机密性、完整性和可用性的丧失带来的风险；识别风险责任人。分析信息安全风险：评估识别的风险产生的潜在后果；评估识别的风险转化为大事的可能性；确定风险的等级。评价信息安全风险：将风险分析结果与所定义的风险标准进展比较；依据风险等级确定风险处置的优先级。风险处置信息安全治理领导小组应定义和实施信息安全风险处置过程：确定信息安全风险处置所需的各项把握措施；A措施进展比较，确保没有遗漏必要的把握措施；制定具备必要把握措施的适用性声明SOA，适用性声明要〔无论是否实施〕A明；制定信息安全风险处置打算；需得到风险责任人对信息安全风险处置打算和剩余风险接受的审核。有关风险评估和处置的具体操作指导详见《风险和机遇的识别评价分析及应对措施把握程序》。目标实现过程的安全评审会议的综合过程来实现，同时保存相关文档内容。整体信息安全目标实现过程内容如下：风险来源信息安全问题进展评估，并全部进展风险处置。每年进展一次集中风险评估工作，具体开展过程为：定期的息安全风险承受水平对活动中觉察的中、高风险进展处置。信息资产治理、系统交付投产、运行监控、变更治理、数据提取与使用、补丁治理、密钥治理、移动介质治理、病毒防范、应急处理和安监控,觉察问题准时订正。每年对各流程要求进展回忆、评估和更。风险处置程或监视本部门员工严格执行安全制度。门负责选购并部署。信息安全风险处置的监视和验证信息安全工作组负责催促并监视各组对信息安全风险的处置。全工作组负责对安全漏洞的整改状况进展复查验证。评价周期及起始时间、最终评价信息安全目标的达成状况。的信息安全会议，并依据目标达成状况，实行相应的订正预防措施。支持资源供给公司领导层应确保供给以下方面所需的资源：实施、保持治理体系并持续改进其有效性所需的各种资源；满足客户要求，提高客户满足度所需的各种资源。编制了《人力资源把握程序》，公司依据人员的学历、技能和阅历IT能培训，确保其能胜任工作。信息安全力气治理从以下几方面动身来实现：影响信息安全执行工作的人员岗位,在岗位设立时应明确信息安全力气的要求,并在聘请时严格把关〔例如学历教育、力气测试等〕；确保人员在适当教育、培训和阅历的根底上能够胜任工作；在人员调岗时,应考虑相关人员信息安全力气确实定和培育。保存培训记录作为力气培育的证据。4)意识培训每季度对当季入职的全部员工进展信息安全意识培训并进展考试，对于信息安全小组成员应进展岗位相关的信息安全专业培训，〔如系统治理员应安排专业技能培训。信息安全沟通治理沟通沟通机制与形沟通沟通责任部沟通沟通机制与形沟通沟通责任部沟通内容对象式频率门改善效劳，提升客户满意度客户满足度调客户对信息安全的要求定期、客户 查 信息安全相关状况及问发生时题沟通信息安全大事通报信息安全目标和方针信息安全意识信息安全制度要求信息安全小员工 不定期培训 信息安全职责 组信息安全意识调查供应供给商评价供给商效劳评价不定期商务选购部商商工程合作公司信息安全要求邮件往来信息安全询问建议询问信息安全大事响应和处理存档信息把握存档信息是指支撑和维持公司信息安全治理体系运行的相关信息，以确保存储信息能够符合信息安全治理目标，表达形式包括〔但不限于〕如下内容：1)GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术2)GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息安全治理体系要求》所要求的制度文件和作业指导书，即各项流程治理方法、治理方法、实施细则等；3)GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术4)文档、数据等。文件架构方法/制度类文件、治理方法/实施细则/操作指南类文件、记录/日志。如以以下图所示：各层级文件所关注的内容依次如下：治理手册。二阶文件：关于《GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息安全治理体系要求》各个把握域的标准指南文件，表达信息安全治理体系在各个方面的目标标准和根本要求。信息安全风险点的把握和对具体业务工作的安全治理要求。工作能够依据文件的具体要求有效开展。具体文件见《信息安全治理体系文件矩阵表》。文件把握公司对信息安全治理体系的相关文件进展全面把握，以满足《GB/T22080-2023/ISO/IEC27001:2023信息技术安全技术信息确保文件编制、评审、批准、发放、使用、修改、作废得到有效的把握；确保文件清楚可辨，版本标示清楚，易于识别和检索；确保在使用时可获得最、有效版本的适用文件；确保外来文件得到识别，对文件的分发加以把握；对不同媒体和不同种类的文件，实行相应的把握；进展明确的标识。要求参见《文档治理把握程序》。记录把握为供给符合信息安全治理体系要求的证据且表达体系的有效运集、归档、保管、借阅、销毁和检查等要求，确保相关记录能够保持完备、易于识别和检索。要求，相关把握要求参见《记录把握程序》。运行体系筹划与运行公司依据PDCA体系的筹划确定体系的治理范围、方针和目标；2)GB/T22080-2023/ISO/IEC27001:2023要求，进展差距和信息安全风险评估；设计符合公司业务特点的信息安全治理体系架构；建立安全治理标准，制定表单、打算、报告模板等；落实岗位、角色和职责。体系的实施和运行1)保体系的执行力；实施信息安全意识培训；工作结果可考核。详见《实施运行把握程序》绩效评价力气评价安全力气满足要求。聘请信息安全力气合格的员工；通过培训提高现有人员的信息安全力气；购置信息安全效劳，弥补信息安全缺乏可能造成的风险。有效性测量定期依据有效性测量的工程和目标值对信息安全体系运作的有效性进展测量，对测量的结果进展分析和评价，并编制相关报告。信息安全治理体系把握措施有效性测量是实现信息安全治理体系目标的重要保障机制，应依据循序渐进、持续改进的原则，严密结和目标值。参见《有效性测量把握程序》。9.2.1实施流程设计测量指标信息安全工作组依据信息安全治理策略设计衡量把握措施有效控领域，包括但不限于：人员信息安全治理、资产治理、物理和环境治理、通讯与操作治理、访问把握、信息安全大事治理等信息安全治理领域。及目标值。信息安全工作组应将测量指标、测量方法、目标值、测量周期等计表。实施测量表要求的测量周期，组织各小组开展有效性测量活动。各小组信息安全员应依据有效性测量统计表定义的数据来源收集、统计信息安全治理体系运行数据，并提交信息安全工作组。量指标未达标项，将其提交信息安全治理领导小组确认。和预防把握程序》进展改善。信息安全治理体系有效性测量活动应在内审及治理评审前开展，量的结果作为治理评审活动的输入项。持续改进测量依据“循序渐进、持续改进”的原则，信息安全工作组负责对有效性测量指标不断进展完善。活动的周期〔每年至少一次〕，因此测量指标修订和完善的周期不能超过一年。内部审核面的、系统的检查和评价活动，包括检查信息安全策略、标准、规定据，确保治理体系持续有效地运行。详见《内部审核把握程序》治理评审目标。9.4.1监控和评审体系的运行状况。具体包括：规定的要求和标准进展作业和操作，降低操作风险，提高工作效率；控信息安全大事的发生状况；程执行，定期编制流程治理报告，反响流程运行状况，分析运行的效果和效率；全治理的执行力、有效性，识别差距和缺乏。具体参见《内部审核把握制度》；治理体系的评审：每年定期对信息安全治理体系进展评审回一年度的改进方向和重点，记录会议纪要。具体参见《治理评审把握程序》。改进符合和订正措施两种方式对体系进展改进。组织应保存文件化信息作为以下方面的证据：包括不符合的性质及所实行的后续措施以及订正措施的结果。不符合的安全治理和技术在实施过程中存在相应的执行偏差订正措施和持续改进各流程或安全工作组分析自身存在的问题缘由改进打算并贯彻实施。检查和验证改进打算的有效性。《订正和预防措施把握程序