ISO27001信息安全管理手册模板

ISO27001信息安全管理手册内部公开2022年7月PagePAGE1ofNUMPAGES27文件编号：XX-XXX-XX版本:V02保存期限:5年ISO27001信息安全管理手册

目录 4 5 6 71.0 8 8 8 8 9 9 10 10 11 12 12 12 12 13 14 14 14 14 16 16 167.2能力 167.3意识 177.4沟通 177.5文件化信息 17 17 17 18 188.1运行的规划和控制 188.2信息安全风险评估 198.3信息安全风险处置 19 19 19 19 20 20 20 21附录1信息安全体系要求与部门职能分配表 21附录2文件目录 25附录3部门信息安全目标分解 27附录4：信息安全适用性声明（见附件） 27本《信息安全管理手册》(以下简称手册)第V01版是我们公司按照ISO/IEC27001:2013《信息安全管理体系要求》，并结合我们公司管理工作的实践和公司组织机构的设置而编写的最新版本，体现了我们公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款的要求，符合我公司的实际运作情况，可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据，全体员工必须严格遵照执行。现予以批准，同意发布实施。为贯彻执行信息安全管理体系，满足ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》标准的要求，加强领导，特任命XXXX为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；负责与信息安全管理体系有关的协调和联络工作；确保在整个组织内提高信息安全风险的意识；审核风险评估报告、风险处理计划；批准发布程序文件；主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外审核情况。本授权书自任命日起生效执行。全员参与、控制风险、积极预防持续改进、客户信赖、永续经营ISO27001信息安全管理手册内部公开2019年7月PagePAGE8ofNUMPAGES271.0（以下简称本手册）依据ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求，参照ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则，结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。下列文件中的条款通过本的引用而成为本的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本，然而，体系办应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息技术-安全技术-信息安全管理体系概述和术语《信息技术-安全技术-信息安全管理体系-要求》（ISO/IEC27001:2013）《信息技术-安全技术-信息安全管理实用规则》（ISO/IEC27002:2013）ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求、ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则规定的术语和定义以及下述定义适用于本。ISO/IEC27000中的术语和定义适用于本标准。本公司依据【信息安全风险管理规定】，建立组织的外部和内部环境，确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。本公司通过建立组织的外部和内部环境确定如下内容。a)与信息安全管理体系有关的相关方；b)这些相关方与信息安全有关的要求。注：相关方的要求可能包括法律法规要求和合同义务本公司充分考虑如下内容：a)在4.1中提及的外部和内部问题；b)在4.2中提及的要求；c)组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性。确定信息安全管理体系的边界和适用性，建立信息安全管理体系的范围和边界：公司建立的信息安全与职业健康安全管理体系，覆盖公司服务提供。覆盖场所包括：本信息安全策略适用于整个信息安全管理体系（ISMS），范围包括：公司依据ISO/IEC27001:2013【信息技术-安全技术-信息安全管理体系-要求】建立、实施、保持和持续改进信息安全管理体系高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；确保将信息安全管理体系要求整合到组织的业务过程中；确保信息安全管理体系所需资源可用；传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；确保信息安全管理体系实现其预期结果；指挥并支持人员为信息安全管理体系的有效实施作出贡献；促进持续改进。为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，公司高层管理者建立信息安全方针并发布信息安全管理的重点是人员有意识的维护公司信息资产安全。全体员工应本着主人翁精神，群策群力，共同构筑公司信息安全。公司遵守信息安全的相关法令、法规、业界方针及规范，建立信息安全管理体系。通过全体员工的持续努力来完善体系，通过切实的控制措施来保障公司及顾客的信息安全。信息安全，是公司正常经营活动的重要保障，是客户信赖的基础，也是我们认同的一种社会责任。公司通过完善的管理，赢得顾客的信赖，以此保障公司业务的持续发展。信息安全方针满足以下要求：适于组织的目标；包含信息安全目标（见6.2）或设置信息安全目标提供框架；包含满足适用的信息安全相关要求的承诺；包含信息安全管理体系持续改进的承诺。公司文件化信息安全方针，保持可用性，并在组织内部进行传达，适当时，对相关方可用。高层管理者应确保分配并传达了信息安全相关角色的职责和权限。高层管理者应分配下列职责和权限：a)确保信息安全管理体系符合本标准的要求；b)将信息安全管理体系的绩效报告给高层管理者。注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限本公司信息安全领导机构：体系办的职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由体系办承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，履行“5.1领导和承诺”中的相关职责。本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：建立并实施信息安全管理体系必要的程序并维持其有效运行；对信息安全管理体系的运行情况和必要的改善措施向体系办或最高责任者报告。全体员工都应按保密承诺的要求自觉履行信息安全保密义务，相关职责见【公司信息组织架构与职责说明】。当规划信息安全管理体系时，公司应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：确保信息安全管理体系能实现其预期结果；防止或减少意外的影响；实现持续改进。应对这些风险和机会的措施；如何整合和实施这些措施并将其纳入信息安全管理体系过程；评价这些措施的有效性公司通过建立公司外部和内部环境，制定【信息安全风险控制管理规定】，定义并应用风险评估过程。体系办建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行【信息安全风险控制管理规定】进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。6.1.2.1建立并保持信息安全风险准则建立并保持信息安全风险准则，包括：风险接受准则；执行信息安全风险评估的准则；定义风险评估的方法，确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果。6.1.2.2识别信息安全风险由资讯部组建风险评估小组，风险评估小组应：应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；识别风险负责人；通过风险识别，形成【信息安全风险评估表】。信息安全风险包括人员风险、资讯风险、物理风险与可持续性风险。其中，人员风险指人员的入职、异动、离职及入项目的风险；资讯风险指电脑、网络、信息相关的风险；物理风险是指与客户保密项目的产品相关的风险；可持续性风险是指体系运行、管理的风险。6.1.2.3分析信息安全风险：评估6.1.2.2中所识别风险发生后将导致的潜在影响；评估6.1.2.2中所识别风险发生的现实可能性；确定风险级别；6.1.2.4评价信息安全风险将风险分析结果同6.1.2.1建立的风险准则进行比较；为实施风险处置确定已分析风险的优先级。公司应保留信息安全风险评估过程的文件记录信息，详见【信息安全风险评估表】。在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项；为实施所选择的信息安全风险处置选项，确定所有必需的控制措施；注：组织可按要求设计控制措施，或从其他来源识别控制措施。将6.1.3b）所确定的控制措施与附录A的控制措施进行比较，以核实没有遗漏必要的控制措施；注:1：附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保不会遗漏必要的控制措施。2：控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要另外的控制目标和控制措施。产生【信息安全适用性声明】。适用性声明要包含必要的控制措施（见6.1.3b）和c））、对包含的合理性说明（无论是否已实施）以及对附录A控制措施删减的合理性说明；制定【信息安全风险处置计划】；获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。公司在相关职能和层次上建立信息安全目标。信息安全目标应：与信息安全方针一致；可测量（如可行）；考虑适用的信息安全要求以及风险评估和风险处置结果；被传达；适当时进行更新。公司信息安全目标：为贯彻实施信息安全方针，根据公司实际情况，确定公司的信息安全目标如下：重大信息安全泄密事件0件客户信息外泄事件为0公司明确管理和测量信息安全目标的职责，明确测量的内容和频率要求，并对测量的结果进行评价，识别改进的机会。公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源，包括资金、人力、设施和技术等资源。7.2能力人力资源制定并实施《信息安全人力资源管理规定》，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；确保人员在适当教育，培训和经验的基础上能够胜任工作；适用时，采取措施来获得必要的能力，并评价所采取措施的有效性；保留适当的文件记录信息作为能力方面的证据。注：例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作；雇用或签约有能力的人员。7.3意识公司通过教育、培训等手段，使员工在组织的控制下从事其工作时应意识到：信息安全方针；他们对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处；不符合信息安全管理体系要求可能的影响。7.4沟通公司制定【信息交流控制流程】，确定有关信息安全管理体系在内部和外部进行沟通的需求，明确以下内容：什么需要沟通；什么时候沟通；跟谁进行沟通；由谁负责沟通；影响沟通的过程。7.5文件化信息公司制定【文件和记录控制流程】对文件化信息进行控制，公司的信息安全管理体系应包括：本标准要求的文件化信息；组织为有效实施信息安全管理体系确定的必要的文件化信息。创建和更新文件化信息时，应确保适当的：标识和描述（例如：标题、日期、作者或参考编号）；格式（例如：语言，软件版本，图表）和介质（例如：纸质介质，电子介质）；评审和批准其适用性和充分性。信息安全管理体系和本标准所要求的文件化信息应予以控制，以确保：无论何时何地需要，它都是可用并适合使用的；它被充分保护（例如避免丧失保密性、使用不当或丧失完整性）对于文件化信息的控制，适用时，组织应处理下列问题：分发、访问、检索和使用；存储和保存，包括可读性的保持；变更控制（例如版本控制）；保留和和处置。组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息，适当时应予以识别并进行控制，访问隐含一个权限决策：仅能查看文件记录信息，或有权去查看和变更文件记录信息等。8.1运行的规划和控制公司应规划、实施和控制满足信息安全要求所需的过程，并实施6.1中确定的措施（详见【适用性声明】）。组织还应实施这些规划来实现6.2中所确定的信息安全目标。公司应控制计划了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响。组织应确保外包的过程已确定，并处于可控状态。公司保密项目的运行参照【项目生命周期信息安全流程】：项目人员选择：执行【信息安全人力资源管理规定】、【保密项目的人力资源控制流程】；物料管理：执行【涉密物料试产量产管控规范】、【涉密物料报废处理流程】、【涉密测试物料信息安全管理规范】、【样板样机管理规范】；物料存储、运输：执行【涉密物料存储运输管控流程】；生产管理：执行【保密车间管理规范】、【智能手机融入生产车间管理流程】、【人员进出生产大楼及涉密区域管理流程】；信息管理：执行【涉密项目开发信息管理规范】8.2信息安全风险评估公司依据【信息安全风险控制管理规定】及6.1.2中建立的风险评估执行准则，每年定期执行一次信息安全风险评估，当重大变更被提出或发生时，应不定期执行信息安全风险评估。保留信息安全风险评估结果的文件化信息。8.3信息安全风险处置公司按建立的准则实现信息安全风险处置计划。信息安全风险处置：公司应实施6.1.2中制定的【信息安全风险处置计划】，并执行变更了的处置计划。公司明确相关职责，定期评价信息安全绩效和信息安全管理体系的有效性。满足以下要求：什么需要监视和测量，包括信息安全过程和控制措施；监视、测量、分析和评价的方法，适用时，确保结果有效；什么时候应执行监视和测量；谁应实施监视和测量；什么时候应对监视和测量的结果进行分析和评价；谁应分析和评价这些结果。组织应保留适当的文件记录信息作为监视和测量结果的证据。公司体系办按【内部审核控制流程】的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。公司至少每年进行一次内部审核，以提供信息确定信息安全管理体系是否：符合组织自身信息安全管理体系的要求；本标准的要求；得到有效的实施和保持。公司应按【内部审核控制流程】执行如下活动：规划、建立、实施和保持审核方案，包括频次、方法、职责、计划要求和报告。审核方案应考虑所关注过程的重要性以及以往审核的结果；为每次审核定义审核准则和审核范围；审核员的选择和审核的实施应确保审核过程的客观性和公正性；确保审核结果报告给相关的管理者；保留文件记录信息作为审核方案和审核结果的证据。体系办应每年组织进行一次管理评审并召开安全会议，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按【管理评审控制流程】进行。管理评审应包括下列方面的考虑：以往管理评审的措施的状态；与信息安全管理体系相关的外部和内部问题的变更；信息安全绩效的反馈，包括下列方面的趋势：不符合和纠正措施；监视和测量结果；审核结果；信息安全目标的实现；相关方的反馈；风险评估的结果和风险处置计划的状态；持续改进的机会。管理评审的输出应包括与持续改进机会有关的决定，以及变更信息安全管理体系的所有需求，组织应保留文件记录信息作为管理评审结果的证据。本公司依据【纠正与预防措施控制流程】的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的有效性。本公司资讯部处理纠正措施，不符合项的责任部门负责采取纠正措施，以消除与信息安全管理体系要求不符合的原因，以防止再发生，纠正措施的实施按【纠正与预防措施控制流程】进行。针对发生的不符合，公司应：对不符合作出反应，适用时：采取措施控制并纠正不符合；处理后果；为确保不符合不再发生或不在其他地方发生，通过下列方式评价消除不符合原因的措施需求：评审不符合；确定不符合的原因；确定是否存在或可能发生相似的不符合；实施所需的措施；评审所采取纠正措施的有效性；必要时，对信息安全管理体系实施变更。纠正措施应与所遇不符合的影响相适应。组织应保留文件记录信息作为下列事项的证据：不符合的性质以及所采取的所有后续措施；所有纠正措施的结果。本公司依据【纠正与预防措施控制流程】的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的有效性。附录1信息安全体系要求与部门职能分配表部门要素总经办(高层管理者)管理中心资讯部采购中心市场部体系办制造中心品质部研发部财务部物控部4.1理解组织及其环境★○○○○○○○○○○4.2理解相关方的需求和期望★○○○○○○○○○○4.3确定ISMS范围★○★○○★○○○○○4.4信息安全管理体系★○★○○★○○○○○5.1领导和承诺★○○○○○○○○○○5.2方针★○○○○○○○○○○5.3组织角色、职责和权限★★○○○○○○○○○6.1应对风险和机会的措施★★★○○○○○○○○6.1.1总则○★★○○○○○○○○6.1.2信息安全风险评估○★★○○★★★★○★6.1.3信息安全风险处置○★★○○★★★★○★6.2信息安全目标和规划实现★○★○○★○○○○○7.1资源★○○○○○○○○○○7.2能力○★○○○○○○○○○7.3意识○★○○○○○○○○○7.4沟通○★○○○○○○○○○7.5文件记录信息○○○○○★○○○○○8.1运行的规划和控制○★★○○★○○○○○8.2信息安全风险评估○★★○○○○○○○○8.3信息安全风险处置○★★○○○○○○○○9.1监视、测量、分析和评价○★★○○○○○○○○9.2内部审核○○○○○★○○○○○9.3管理评审★○○○○○○○○○○10.1不符合和纠正措施○★★○○★○○○○○10.2持续改进○★★○○★○○○○○A.5.1.1信息安全策略★○○○○○○○○○○A.5.1.2信息安全策略的评审○○○○○★○○○○○A.6.1.1信息安全的角色和责任★○○○○○○○○○○A.6.1内部组织○○○○○★○○○○○A.6.2移动设备和远程工作○○★○○○○○○○○A.7.1认用前○○★○○○○○○○○A.7.2认用中○○★○○○○○○○○A.7.3任用的终止和变化○○★○○○○○○○○A.8.1有关资产的责任○○★○○○○○○○○A.8.2信息分类○○○○○★○○○○○A.8.3介质处理○○★○○○○○○○○A.9.1访问控制的业务要求○○★○○○○○○○○A.9.2用户访问管理○○★○○○○○○○○A.9.3用戶责任○★★○○○○○○○○A.9.4系统和应用访问控制○★★○○○○○○○○A.10.1密码控制○○★○○○○○○○○A.11.1安全区域○★★○○○○○○○○A.11.2设备○○★○○○○○○○○A.12.1运行规程和责任○○★○○○○○○○○A.12.2恶意软件防范★○★○○○○○○○○A.12.3备份○○★○○○○○○○○A.12.4日志和监视○○★○○○○○○○○A.12.5运行软件控制○○★○○○○○○○○A.12.6技术脆弱性管理○○★○○○○○○○○A.12.7信息系統审计考虑○○★○○★○○○○○A.13.1.网络安全管理○○★○○○○○○○○A.13.2信息传输○★★○○★○○○○○A.14.1信息系統的安全要求○○★○○★○○○○○A.14.2开发和支持过程中的安全○○★○○○○○○○○A.14.3测试数据○○★○○○○○○○○A.15供应商关系○○○★○○○○○○○A.16信息安全事件的管理○★★★○★○○○○○A.17业务连续性管理的信息安全方面★○○○○○○○○○○A.18.1符合法律和合同要求○○○○○★○○○○○A.18.2信息安全评审○○○○○★○○○○○注：★为主控