信息安全管理手册

编号XX-ISMS-01编号XX-ISMS-01版本A/0密级内部限制受控是信息安全治理手册生效日期 核准 审查 制订修改记录序号 修改缘由 修改内容 修改人/时间 批准人/时间 备注、信息安全治理手册公布令、治理者代表任命书、公司简介、信息安全方针1、范围2、引用标准3、术语和定义组织环境理解相关方的需求和期望明确信息安全治理体系的范围信息安全治理体系5、领导领导和承诺方针组织角色、职责和权力6、打算处置风险和机遇信息安全目标的打算和实现7、支持沟通文档要求8、实施运行打算和掌握信息安全风险评估信息安全风险处置9、绩效评价监视、测量、分析和评价内部审核治理评审10、改进不符合项和订正措施持续改进附件：附件一：信息安全职能安排表附件二：信息安全职责附件三：信息安全治理体系程序文件清单附件四：信息安全治理体系作业指导书文件清单信息安全治理手册公布令为提高江苏XXXX活动，防止由于信息系统的中断、数据的丧失、敏感信息的泄密所导致的业务中断或安全事故，公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全治理体系XXXX〔以下简称手册。本手册是企业的法规性文件，是指导企业建立并实施信息安全治理体系的纲领和行动准则，用于贯彻企业的信息安全治理方针、治理目标，实现信息安全治理体系有效运行、持续改进，是江苏XXXX全体职工必需严格依据手册的要求，自觉执行治理方针，贯彻实施本手册的各项规定，努力实现江苏XXXX本手册自公布之日起生效执行。江苏XXXX二〇一六年三月一日治理者代表任命书兹委任代表。

XXXXISO27001他将履行以下职责及权限：1ISO27001和维持，确保公司的信息安全治理体系运作符合信息安全治理体系标准；234总经理：日期：二〇一六年三月一日公司组织架构如以下图所示：

、公司简介总经理治理者代表 信息安全委员销 技 研 综 财售 术 发 合 务部 部 部 部 部信息安全方针信息安全方针含义:依据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险承受准则。定期进展风险评估，以识别本公司风险的变化。本公司或环境发在日常企业生产和治理中，对信息安全予以重视，全面识别和分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威逼，考虑本钱、利益、风险的综合平衡，对资产进展分类保护，以适宜的本钱到达系统保护的要求。建立健全信息安全监视和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全治理。通过测量和监控，持续改进，保证信息安全治理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、治理和效劳的持续和安全，实现企业进展目标。、信息安全目标：本公司信息安全目标：1)安全大事发生次数：4/年；一8/年。2)信息泄密次数：保证各种需要保密的资料〔包括电子文档、光盘等〕不被泄密，确保隐秘、机密信息不泄漏给非授权人员。信息泄密次数目标值：0/年各部门信息安全目标：部门 部门信息安全目标 统计方式 、人员聘请手续办理完100%；、人员教育或培训实施100%；、人员离职手续办理完100%；、办公环境消防设施配100%；、办公环境消防设施点100%；综合部6、每年至少组织实施完资料齐全；7、每年至少组织实施完1审，且资料齐全；息安全体系文件评审及更；、每年至少组织实施完11、网络非正常中断每月

1、查看全部员工入职手续办理状况；2、查看培训打算及培训实施状况；3、查看实际人员离职及手续办理状况；4、现场检查办公环境消防器材配备状况；；7进，准时整理信息安全内审资料； 8依据信息安全治理评审打算执行评审料；评审，必要时进展更；、每年组织各相关部门进展风险评估风险评估。门

≤1、主机系统非正常中断每月≤1重要文档及数据被正确0

1、以每月的网络中断大事为依据 每半2、以每月的主机系统中断大事为依据 年每半年检查一次日常工作文件及数据是否被正确保管及使用，以及机密信息泄每年露相关大事。1、范围总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系〔简称ISMS，确定信息安全方针和目标，对信息安全风险进展有效治理，确保全体员工理解并遵照执行信息安全治理体系文件、持续改进信息安全治理体系的有效性，特制定本手册。应用本信息安全治理手册规定了江苏XXXX、治理职责、内部审核、治理评审和体系持续改进等方面内容。ISO/IEC27001:2013A的删减见《适用性声明SoA2、标准性引用文件ISO/IEC27001:2013《信息技术-安全技术-信息安全治理体系要求》ISO/IEC27002:2013《信息技术-安全技术-信息安全治理实施细则》3、术语和定义ISO/IEC27001:2013《信息技术-安全技术-信息安全治理体系要求》、ISO/IEC27002:2013《信息技术-安全技术-信息安全治理实施细则》规定的术语和定义适用本组织、本公司、我司：指江苏XXXX4、信息安全治理体系组织环境组织外部环境包括如下几个方面，但并不局限于此：——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无论是国际、国内、区域或地方；——影响组织目标的主要驱动因素和进展趋势；——外部利益相关者的观点和价值观。组织内部环境包括如下几个方面，但并不局限于此：——资源与学问的理解力量〔如：资本、时间、人力、流程、系统和技术；——信息系统、信息流淌以及决策过程〔包括正式和非正式的；——内部利益相关者；——政策，为实现的目标及战略；——观念、价值观、文化；——组织通过的标准以及参考模型；以上相关因素将影响公司实现信息安全治理体系的预期成果。理解相关方的需求和期望与本公司信息安全治理体系有关的相关方有：供方、合同方、顾客及其他第三方访问者。定的义务。本公司信息安全治理体系的范围和边界本公司依据业务特征、组织构造、地理位置、资产和技术定义了范围和边界，本公司信息安全治理体系的范围包括：。。信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；组织范围：与所述业务有关的部门和全部员工；。本公司依据ISO/IEC27001:2013《信息技术-安全技术-信息安全治理体系-要求》实施、运行、监视、评审、保持和改进文件化的信息安全治理体系。5领导领导和承诺本公司通过以下行动证明公司实施了与信息安全治理体系有关的领导工作与承诺：确保建立与组织战略目标全都的信息安全方针和信息安全目标；确保信息安全治理体系要求集成到组织的治理流程；确保供给信息安全治理体系需要的各项资源；传达信息安全治理的重要性及信息安全治理体系要求；确保信息安全治理体系实现其预期目标；指导和支持信息安全团队；促使持续改进；支持其他相关的治理者在其职责范围内履行治理职责。方针为了满足适用法律法规及相关方要求，维持公司经营和治理的正常进展，实现业务可持续进展的目的。本公司依据组织的业务特征、组织构造、地理位置、资产和技术定ISMS为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；考虑业务及法律或法规的要求，及合同的安全义务；与组织战略和风险治理相全都的环境下，建立和保持ISMS；建立了风险评价的准则；经最高治理者批准。组织角色、职责和权力本公司成立了由最高治理者、治理者代表及各部门负责人组成的信息安全委员会，其职责是实现信息安全治理体系方针和本公司承诺，负责制订、落实信息安全治理工作打算，建立健全企业的信息安全治理体系，保持其有效、持续运行。本公司实行相关部门代表组成的运行分析会议的方式，进展信息安全协调和协作，以：确保安全活动的执行符合信息安全方针；确定怎样处理不符合；批准信息安全的方法和过程，如风险评估、信息分类；信息安全职责和权限本公司总经理为信息安全最高治理者，对信息安全全面负责，主要包括：a)组织制定信息安全方针及目标，任命治理者代表，明确治理者代表的职责和权限。b〕确保在内部传达满足客户、法律法规和公司信息安全治理要求的重要性。c〕为信息安全治理体系配备必要的资源。履行信息安全保密义务；各部门有关信息安全职责安排见《信息安全治理职能安排表各部门应依据《信息安全适用性声明》中规定的安全目标、掌握措施〔包括安全运行的各种掌握程序〕的要求实施信息安全掌握措施。处置风险和机遇需求和，来打算需要被处置的风险和机遇：确保信息安全治理体系可以实现其预期目标；避开或削减不良影响；实现持续改进。公司对以下方面进展规划：处置风险和机遇的行动；如何将实施行动整合到信息安全治理体系流程中；评价行动的有效性。经识别的业务信息安全、法律和法规要求的风险评估方法，建立承受风险的准则并识别结果。2.风险评估流程图。公司实施信息安全风险评估流程，从而：建立和维护信息安全风险标准，包括：风险承受标准；实施信息安全风险评估的标准；确保信息安全风险评估活动产生全都性，产生有效的和可比较的结果；识别信息安全风险：在信息安全治理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性和可用性的丧失带来的风险；识别风险的属主；分析信息安全风险：评估在信息安全风险评估中识别的风险产生的潜在后果；评估在信息安全风险评估中识别的风险转化为大事的可能性；确定风险的等级；评价信息安全风险：将风险分析结果与在信息安全风险评估中所定义的风险标准进展比较；依据风险等级确定风险处置的优先级。组织保存有关信息安全风险评估的过程文档。信息安全风险处置负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑掌握措施与费用的平衡原则，选用以下适当的措施：a)承受适当的内部掌握措施；b)承受风险〔不行能将全部风险降低为零c)避开风险〔如物理隔离；d)转移风险〔如将风险转移给保险者、供方、分包商。掌握目标及掌握措施的选择原则来源于ISO/IEC27001:2013A，具体掌握措施参考ISO/IEC27002:2013《信息技术-安全技术-信息安全治理有用规章》组织保存信息安全风险处置的过程文档。信息安全目标的打算和实现本公司建立不同职能及层级的信息安全目标。详见本手册章内容。此信息安全目标应：与信息安全方针全都；可度量〔假设可操作；考虑适用的信息安全要求,以及风险评估和风险处置结果；得到沟通；准时更。信息安全目标以文档化形式保存。在规划如何实现信息安全目标时，公司明确：要做什么；需要什么资源；谁来负责；什么时候完成；如何评价结果。资源本公司确定并供给实施、保持信息安全治理体系所需资源；实行适当措施，使影响信息安全治理体系工作的员工的力量是胜任的，以保证：建立、实施、运作、监视、评审、保持和改进信息安全治理体系；确保信息安全程序支持业务要求；识别并指出法律法规要求和合同安全责任；通过正确应用所实施的全部掌握来保持充分的安全；必要时进展评审，并对评审的结果实行适当措施；需要时，改进信息安全治理体系的有效性。力量公司制定并实施《人力资源安全治理程序》文件，确保被安排信息安全治理体系规定职责的全部人员，都必需有力量执行所要求的任务。可以通过：确定担当信息安全治理体系各工作岗位的职工所必要的力量；供给职业技术教育和技能培训或实行其他的措施来满足这些需求；c)评价所实行措施的有效性；d)保存教育、培训、技能、阅历和资格的记录。本公司还确保全部相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全治理体系目标做出奉献。意识公司员工应理解：信息安全方针；个人对于实现信息安全治理的重要性，提高组织信息安全绩效的收益；不符合信息安全治理体系要求所造成的影响。沟通公司制定《信息沟通协调治理标准通需求，包括：沟通什么；何时沟通；和谁沟通；谁应当沟通；哪种沟通过程有效。文档要求综述组织的信息安全治理体系包括：符合ISO/IEC27001:2013规定、作业指导书和为保证信息安全治理体系有效筹划、运行和掌握所需的受控文件；组织所明确的，说明信息安全治理体系有效性的必要的记录文档。公司制定并实施《文件掌握程序确定：a〕识别和描述〔例如：标题、日期、作者和版本号；b〕格式〔例如：语言、软件版本和图形〕与介质〔例如：纸质、电子c〕适宜性和充分性经过评审。公司制定并实施《文件掌握程序确保：a)在需要的时间和场合可用；b〕文档得到充分保护〔例如：防止泄密、不当使用或丧失完整性。文档掌握应保证：a)文件公布前得到批准，以确保文件是充分的；b)必要时对文件进展评审、更并再次批准；c)确保文件的更改和现行修订状态得到识别；d)确保在使用时，可获得相关文件的最版本；e)确保文件保持清楚、易于识别；确保文件可以为需要者所获得，并依据适用于他们类别的程序进展转移、存储和最终的销毁；确保外来文件得到识别；h)确保文件的分发得到掌握；防止作废文件的非预期使用；假设因任何目的需保存作废文件时，应对其进展适当的标识。实施运行打算和掌握为确保信息安全治理体系有效实施，对已识别的风险进展有效处理，本公司开展以下活动：b)为实现已确定的安全目标、实施《风险处理打算c)实施所选择的掌握措施，以实现掌握目标的要求；确定如何测量所选择的掌握措施的有效性，并规定这些测量措施如何用于评估掌握的有效性以得出可比较的、可重复的结果；进展信息安全培训，提高全员信息安全意识和力量；f)对信息安全体系的运作进展治理；对信息安全所需资源进展治理；实施掌握程序，对信息安全事故〔或征兆〕进展快速反响。公司保存以上必要的过程文档信息，以说明相关过程已依据打算执行。掌握打算更改，并审核打算变更的影响，如有必要实行措施削减不利影响。确保外包过程受控。信息安全风险评估在已确定的信息安全治理体系范围内，依据打算，或者在重大转变提出或发生时进行信息安全风险评估，本公司执行《信息安全风险评估掌握程序表识别，并识别这些资产的全部者。资产包括硬件与设施、软件与系统、数据与文档、效劳及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进展了量化赋值，形成《资产清单同时，依据《信息安全风险评估掌握程序用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。本公司按《信息安全风险评估掌握程序针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进展赋值；针对每一项威逼、薄弱点，对资产造成的影响，考虑现有的掌握措施，判定安全失效发生的可能性，并进展赋值；依据《信息安全风险评估掌握程序》计算风险等级；依据《信息安全风险评估掌握程序》中的《风险承受准则需要处理。信息安全风险处置公司依据风险评估的结果，形成了《风险处理打算门、负责人、处理方法及起始、完成时间。公司依据打算进展了处置，并保持处置的记录。对风险处理后的剩余风险，得到了治理者的批准。绩效评价监视、测量、分析和评价本公司通过实施《监视、测量、分析和评价掌握程序》以监视、测量、分析和评价公司信息安全治理状况结果，以实现：准时觉察处理结果中的错误、信息安全体系的事故和隐患；准时了解识别失败的和成功的安全破坏和大事、信息处理系统患病的各类攻击；使治理者确认人工或自动执行的安全活动到达预期的结果；使治理者把握信息安全活动和解决安全破坏所实行的措施是否有效；e)积存信息安全方面的阅历；内部审核告结果和保持记录的职责和要求。并依据筹划的时间间隔〔两次内部审核的间隔不得超12〕进展内部信息安全治理体系审核，以确定其信息安全治理体系的掌握目标、掌握措施、过程和程序是否：符合本标准的要求和相关法律法规的要求；符合已识别的信息安全要求；得到有效地实施和维护；按预期执行。内部审核的过程文档应清楚地形成记录，并加以保持。治理评审公司建立并实施《治理评审掌握程序的时间间隔〔两次治理评审的间隔不得超过12〕评审信息安全治理体系，以确保其持续的适宜性、充分性和有效性。治理评审应包括评价信息安全治理体系改进的时机和变更的需要，包括安全方针和安全目标。治理评审的结果应清楚地形成文件，记录应加以保持。改进不符合和订正措施公司建立并实施《订正与预防掌握程序对不符合状况实行措施，如：实行措施，以掌握和改正它；处置影响；明确必要的掌握措施，以消退不符合状况产生的缘由，确保它不会再发生或在其评审不符合项；明确不符合项产生的缘由；明确是否存在或可能发生类似的不符合项；实行必要的措施；评审已实行的改正措施的有效性；必要时改进信息安全治理体系。据：不符合状况的性质和所实行的后续行动；订正措施的结果。持续改进本公司通过使用信息安全方针、信息安全目标、审核结果、监控大事的分析、订正和预防措施以及治理评审，不断完善信息安全治理体系的适宜性、充分性和有效性。附件一：信息安全职能安排表〔注：附件一：信息安全职能安排表〔注：〕：治理单位信息安全治理者总经理 研发部技术部财务部销售部体系要求 委员会 代表4.组织环境理解组织及其环境▲▲△△△△△△理解相关方的需求和期望▲▲△△△△△△明确信息安全治理体系的范围▲▲▲△△△△△信息安全治理体系▲△▲△△△△△5领导领导和承诺△▲△△△△△△方针△▲△△△△△△组织角色、职责和权力6打算△▲△△△△△△处置风险和机遇▲▲△△▲△△△信息安全目标的打算和实现▲△△△△△△△7支持资源△▲△△△△△△力量△△△▲△△△△意识△△△▲△△△△沟通▲▲▲△△△△△文档要求8实施△△△▲△△△△运行打算和掌握▲△△△▲△△△信息安全风险评估▲△△△▲△△△信息安全风险处置9绩效评价▲△△△▲△△△监视、测量、分析和评价▲△△△△△△△内部审核△△▲△△△△△治理评审10改进△▲△△△△△△不符合项和订正措施△△△▲△△△△持续改进△△△▲△△△△信息安全方针信息安全治理指引▲△▲△△△△△信息安全组织内部组织▲△▲△△△△△移动设备和远程办公△△△△▲▲△△人力资源安全△任用前△△△▲△△△△任用中△△△▲△△△△任用终止和变更△△△▲△△△△资产治理资产的责任△△△▲▲▲▲▲信息分类▲△△▲△△△△介质处理△△△△△▲△△访问掌握访问掌握的业务需求△△△△△▲△△用户访问治理△△△△△▲△△用户责任△△△△△▲△△系统和应用访问掌握△△△△△▲△△加密技术加密掌握▲△△△△▲△△物理和环境安全安全区域△△△▲△△△△设备安全△△△▲△▲△△操作安全操作程序及职责△△△△▲△△△防范恶意软件△△△△△▲△△备份△△△△△▲△△日志记录和监控△△△△△▲△△操作软件的掌握△△△△△▲△△技术脆弱性治理△△△△△▲△△信息系统审计的考虑因素△△△△△▲△△通信安全网络安全治理△△△△△▲△△信息传输△△△▲△▲△△系统的猎取、开发及维护信息系统安全需求△△△△▲△△△开发和支持过程的安全△△△△▲△△△测试数据△△△△▲△△△供给商关系供给商关系的信息安全△△△▲△△△△供给商效劳交付治理△△△▲△△△△信息安全大事治理信息安全大事的治理和改进△△△△▲△△△△△△△▲△△△△△△▲▲▲▲▲△△△▲▲▲▲▲△△△△▲△△△△△△△▲△△△△△△△▲△△△业务连续性治理中的信息安全△△△△▲△△△信息安全的连续性▲△△△△△△△冗余符合性▲△△△△△△△法律和合同规定的符合性△△△▲△△△△信息安全评审△△△▲△△△△附件二：信息安全职责序号 架构/部门

成员

成员及职能XXX、XX〔技术部、XX〔研发部、XXX〔综合部、XX〔财务部〕信息安全 安全最高组织机构，负责公司整体信息安全治理工作，推动信息安全委员会 ；制定信息安全方针、信息安全治理目标；负责审核信息安全小组提交的信息安全治理体系、标准及治理方法；负责决策与信息安全治理相关的重大处理与改进；定期组织信息安全治理体系〔ISMS〕评审等。组织并制定信息安全方针策略。任命治理者代表，明确治理者代表的职责和权限。人综合部研发部

确保在内部传达满足客户、法律法规和公司信息安全治理要求的重要性。为信息安全治理体系配备必要的资源。主持治理评审。对信息安全全面负责。帮助最高治理者建立、实施、检查、改进信息安全治理体系。运行。组织公司信息安全风险评估和风险治理。组织开展信息安全内部审核、安全检查工作。负责向总经理报告信息安全体系运行的业绩和任何改进的需求。负责就信息安全治理体系有关事宜的对外联络。监控信息安全大事和确保安全掌握措施得到执行。负责公司信息安全方针、目标、政策在部门内部的有效执行、监视、检查。参与公司信息安全工作的争论和决策。的订正预防措施进展审核和确认。负责治理和维护部门公布的信息安全治理体系相关文件。负责信息安全大事的调查及协调处理。做好本岗位信息安全相关的保密工作负责监控信息安全治理体系的日常运行。负责信息安全治理体系文件的掌握。负责本公司信息安全治理体系的推行落实。负责公司员工聘请、聘用及离职全过程的安全治理。负责公司内部人事档案等重要文件资料的安全管控。负责公司日常行政安全的治理。负责公司办公环境的物理安全，包括人员及物品出入掌握、门禁治理等。负责公司业务相关的销售治理。同、投标文件等重要文件的安全管控。负责公司及部门重要文件资料的安全管控。信息安全大事的报告及帮助处理。负责公司信息系统的安全规划设计及实施。负责公司机房及软硬件系统的安全运行维护。

全管控。负责信息安全大事的调查及协调处理。负责对公司客户恳求的乐观响应，妥当处理顾客的投诉等。信息安全大事的报告及帮助处理。做好本岗位信息安全相关的保密工作负责公司业务相关的销售工作。负责本人接触到的重要信息的安全保密管控，包括客户信息、商务文档、项销售部 目合同、投标文件等重要文件的安全管控。信息安全大事的报告及帮助处理。做好本岗位信息安全相关的保密工作负责公司的财务治理工作。的重要信息的安全保密管控，包括财务凭证、财务报表、工资单财务部 等重要文件的安全管控。信息安全大事的报告及帮助处理。做好本岗位信息安全相关的保密工作负责公司信息系统建设及运行维护。师/网络治理员

负责公司机房安全治理。负责公司各部门办公电脑的维护及安全治理。按时记录网络机房运行日志信息安全大事的报告、响应及协调处理。做好本岗位信息安全相关的保密工作负责公司财务记帐、报帐、应收及应付、资产盘点等日常工作。负责本岗位的重要信息的安全保密管控，包括财务报表、各类凭证等重要文会计及出纳 件的安全管控。信息安全大事的报告及帮助处理。做好本岗位信息安全相关的保密工作负责效劳工程的具体实施及治理。工程专员全部员工

打数据等重要数据的安全管控。信息安全大事的报告及帮助处理。做好本岗位信息安全相关的保密工作严格遵守国家及行业的法律法规和政策。严格遵守公司的各项信息安全政策。正确、安全的使用及保管公司及客户的各类信息资产。乐观参与信息安全教育与培训，提高信息安全意识。信息安全大事的报告及帮助处理。附件三：信息安全治理体系程序文件清单序号附件三：信息安全治理体系程序文件清单序号文件名称文件编号版本号制定/修订制定部门备注1文件掌握程序XX-QP-01A/0日期综合部受控文件