信息安全管理手册

XXX信息科技有限公司

信息安全管理手册

文档编号：

项目编号：

项目名称：信息安全管理体系建设项目

类别：IS027001信息安全管理体系文件

密级：内部公开

路径：

部门：XXX科技发展部

负责人：科技发展部总经理

本文档及所包含的信息为XXX科技发展部所有

未经授权不得以任何手段任何形式进行复制与传播

保留所有的权利

修订记录

日期（年月日）版本描述作者审批人审批日期

目录

1概述........................................................................3

1.1背景.......................................................................3

1.2颁布令....................................................................4

1.3授权书....................................................................5

2总则........................................................................6

2.1目的.......................................................................6

2.2范围......................................................................6

2.3使命和愿景................................................................6

2.4信息安全方针..............................................................6

2.5信息安全管理体系方针.....................................................7

2.6裁剪说明..................................................................7

2.7依据文件..................................................................7

2.8定义与缩写................................................................7

3信息安全管理体系...........................................................7

3.1体系概述..................................................................8

3.2文件要求..................................................................8

3.3体系文件架构..............................................................8

3.4文件控制..................................................................9

3.5记录控制.................................................................10

4管理职责..................................................................10

4.1管理者承诺...............................................................10

4.2资源提供.................................................................10

4.3内部审核.................................................................11

4.4管理评审.................................................................11

5体系改进..................................................................11

5.1持续改进.................................................................11

5.2纠正和预防措施...........................................................12

1概述

本手册是XXX科技发展部（以下简称“科技发展部”）根据《GB/T22080-2008/ISO/IEC

27001:2013信息技术安全技术信息安全管理体系要求》标准的要求，结合科技发展部

现状和发展需求制定，经科技发展部信息安全工作指挥小组审核，由最高管理者批准颁布并

执行。本手册规定了科技发展部信息安全管理体系范围内的管理职责、内部审核、管理评审

和信息安全管理体系改进等方面的内容。

L1背景

1.2颁布令

为提高XXX科技发展部的信息安全管理水平，保障科技发展部贯彻落实“生产安全、运

行稳定、支持有力、服务高效、操作严谨、管理规范”的基本要求，发挥“服务、管理、内控、

效益”四大功能，树立XXX的“技术实力精湛、精细化管理、企业文化”形象，防止由于信息

系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，科技发展部开展贯

彻《GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》

的工作，建立文件化的信息安全管理体系，制定了《信息安全管理手册》。

本手册是科技发展部信息安全管理的纲领性文件，是指导科技发展部建立并实施信息安

全管理体系的纲领和行动准则，用于贯彻科技发展部的信息安全管理方针，实现科技发展部

信息安全管理体系的有效运行和持续改进。

全体员工必须严格按照本手册的要求，自觉贯彻管理方针，严格执行本手册的各项规定,

努力实现科技发展部生产运行和日常办公的安全。

本手册自颁布之日起生效执行。

XXX科技发展部总经理

二零一一年月口

1.3授权书

为了贯彻执行信息安全管理体系，满足《GB/T22080-2008/ISO/IEC27001:2013信息

技术安全技术信息安全管理体系要求》的要求，加强对信息安全管理体系建设和持续运

行的领导工作，特任命同志为XXX科技发展部信息安全管理者代表。

授权信息安全管理者代表有如下职责和权限：

1.领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估；

2.协调与信息安全管理体系有关的各项工作；

3.确保在科技发展部内提高员工信息安全意识；

4.督促信息安全管理体系内部审核和信息安全检查的开展；

5.协助最高管理者进行信息安全管理体系的管理评审；

6.向最高管理者报告信息安全管理体系的业绩和改进要求。

本授权书自任命日起生效执行。

XXX行长

二零一一年月日

2总则

2.1目的

本手册为XXX科技发展部信息安全管理体系（ISMS）的建立和运行提供指导，并保证

科技发展部的信息安全管理体系符合《GB/T22080-2008/ISO/IEC27001:2013信息技术

安全技术信息安全管理体系要求》的要求，从而确保：

（一）科技发展部信息的保密性、完整性和可用性。

（二）科技发展部各项业务的连续性。

（三）科技发展部信息安全管理体系符合中华人民共和国、中国人美银行、公安部、中国

银行业监督管理委员会、XXX总行的各种强制性规定、规则及适用的相关惯例、

准则和协议。

2.2范围

本手册所描述的信息安全管理体系适用于XXX科技发展部。

科技发展部信息安全管理体系覆盖科技发展部所有部门，涵盖科技发展部职责范围内

信息系统运行维护、计算机设备管理、人员信息安全、数据安全等在内的各项信息安全管

理相关活动。

科技发展部信息安全管理体系的建设遵循《GB/T22080-2008/ISO/IEC27001:2013信

息技术安全技术信息安全管理体系要求》，并接受外部权威机构认证审核，认证范围是

XXX科技发展部。

2.3使命和愿景

利用信息科技促进我行发展战略的实现，在金融产品和服务创新工作中，发挥n■在技

术创新方面的先导作用，加强IT在我行风险防范和合规管理方面的支持，力争实现信息科

技三年内达到股份制银行中等水平，五年内步入领先行列的发展目标。

2.4信息安全方针

科技发展部的信息安全管理遵循XXX的“细节决定成败，合规创造价值，责任成就事业”

管理理念和“违规就是风险，安全就是效益”风险理念。

科技发展部的信息安全方针是：预防为主，分级保护，分层负责，持续改进。

预防为主:科技发展部信息安全工作贯彻预防为主的指导思想,采取各项主动预防措施,

建立信息安全和操作风险防控体系，增强全员安全意识，完善应急机制,加强内部安全检查，

做到防患于未然。

分级保护：科技发展部按照信息系统的重要程度划分相应等级，根据信息系统的等级采

取相应的保护措施，保证科技发展部各信息系统得到适当等级的保护。

分层负责：科技发展部建立层次化的信息安全组织，确保责任逐层分解并落实。

持续改进：科技发展部按照PDCA模型进行信息安全管理的持续改进，保证信息系统

在动态变化的过程中始终得到全面的保护。

2.5信息安全管理体系方针

科技发展部信息安全管理体系的方针是：在XXX的全面风险管理框架下，识别业务和

法律法规及合同中的安全要求，确定信息安全风险评价的准则，通过建设信息安全管理体系，

有效控制信息安全风险，保障科技发展部生产运行和日常办公的安全。

2.6裁剪说明

WB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要

求》的条款对于科技发展部信息安全管理体系的适用关系，详见《适用性声明》。

2.7依据文件

本手册制定参考并依据了下列文件资料，更详细参见《法律法规符合性管理规定》。

（一）法律法规：是指中华人民共和国颁布的、所有相关且具有约束和指导作用的法律、

法规。

（二）监管规定：是指中国人民银行及其分支机构和中国银行业监督管理委员会及其分

支机构颁布的具有约束和指导作用的所有文件、规定等。

（三）XXX总行文件：XXX总行下发的对业务和管理等有约束和指导作用的所有文件。

（四）国际惯例：是指XXX开办国际业务必须遵循的具有约束和指导作用的国际通用惯

例。

（五）标准：

（1）遵循标准：《GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信

息安全管理体系要求》

（2）参照标准：《GB/T22081-2008/ISO/IEC27002:2013信息技术安全技术信

息安全管理实用规则》

2.8定义与缩写

^GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要

«GB/T22081-2008/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规则》

文中所述定义和术语均适用于本手册。此外，本手册还使用《信息安全管理体系术语定义》

中的定义与缩写。

3信息安全管理体系

3.1体系概述

科技发展部按照《GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安

全管理体系要求》的要求，同时考虑银行服务行业的特点，从业务需求出发，遵从风险管

理的理念，注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技

术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全

事故或人为有意的破坏事件，保障科技发展部信息的保密性、完整性和可用性，确保各项业

务的连续性。

为建立和实施信息安全管理体系，科技发展部信息安全管理采用过程方法，把与信息安

全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体

系。具体包括：

（一）识别并确定科技发展部信息安全管理体系相关的策略、目标、过程和程序，改进信

息安全以达到期望的结果。

（二）依据“过程模式”确定上述过程的顺序和相互关系。

（三）将过程充分展开，明确信息安全控制点，编制形成信息安全管理体系文件。

（四）配置适当的资源，提供必要的支持和信息.，以保证过程的有效运作。

（五）持续度量、监控和分析这些过程，并进行必要的改进。

3.2文件要求

科技发展部信息安全管理体系文件包括：

（一）WB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体

系要求》所要求的信息安全管理手册。

（二）WB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体

系要求》所要求的程序文件和作业指导书。

（三）WB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体

系要求》所要求的记录。

（四）科技发展部为确保信息安全所要求的其他相关文件。

3.3体系文件架构

科技发展部信息安全管理体系文件包括四个层次：即信息安全管理手册、管理规定/规

程/程序类文件、实施细则/管理细则/操作指南类文件、记录/口志。如下图所示：

各层级文件所关注的内容依次如下：

•一阶文件：关于信息安全管理体系的策略声明文件，即体系管理手册。

•二阶文件：关于《GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安

全管理体系要求》各个控制域的标准指南文件，体现信息安全管理体系在各个方面的

目标规范和基本要求。

•三阶文件：关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制

和对具体业务工作的安全管理要求。

•四阶文件：关于信息安全体系运行的各类记录和报告，体现各项工作能够按照三阶文件

的具体要求有效开展。

3.4文件控制

科技发展部对与信息安全管理体系要求有关的文件进行严格控制，以满足《GB/T22080-

2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求》，具体要求包括：

（-）确保文件编制、评审、批准、发放、使用、修改、作废得到有效的控制。

（二）确保文件清晰可辨，版本标示清楚，易于识别和检索。

（三）确保在使用时可获得最新、有效版本的适用文件。

（四）确保外来文件得到识别，对文件的分发加以控制。

（五）对不同媒体和不同种类的文件，采取相应的控制。

（六）防止作废文件的非授权使用，保留作废文件时，对这些文件进行明确的标识。

科技发展部对信息安全管理体系文件的控制、公文管理、电子文件及保密文件的控制做

出规定，相关控制要求参见《文件控制管理规定》。

3.5记录控制

为提供符合要求且表明信息安全管理体系有效运行的证据，保证管理过程的可追溯性,

科技发展部通过编制并实施《记录控制管理规定》及相关文件，规定了信息安全相关记录的

标识、收集、归档、保管、借阅、销毁和检查等要求，确保信息安全相关记录能够保持清晰、

易于识别和检索。在体系运行期间各部门应保持相应的信息安全记录控制清单并明确责任

人，同时遵守记录的保存期限及存档要求。

4管理职责

4.1管理者承诺

经XXX行长授权，科技发展部管理者代表对建立、实施信息安全管理体系并持续改进

作出承诺：

（一）通过内部网络、刊物、会议、培训等形式，向全体员工传达满足客户和法律法规、

监管要求及XXX总行要求的重要性，持续加强员工的信息安全意识，使员工积极

参与提高信息安全水平的相关活动。

（二）制定信息安全方针，以明确科技发展部信息安全管理的宗旨和方向。

（三）实施管理评审，确保信息安全管理体系的适宜性、充分性和有效性。具体参见《信

息安全管理评审规定》。

（四）确保与建立和改进信息安全管理体系所需资源的充分获得和有效配置。

4.2资源提供

为了保证信息安全管理体系的建立、实施、运行、监控、评审和维护，最高管理者代表

需确保提供并合理配置了所需的资源，并确保承担信息安全管理体系工作的人员具备相应能

力。具体要求包括：

（一）组织

科技发展部成立信息安全工作指挥小组及其办公室,确定科技发展部范围内从事信息安

全管理工作的专职、兼职人员，以保证体系的运行。

科技发展部确定从事信息安全工作的人员所必要的能力，提供所需的教育和培训，评价

所采取措施的有效性，确保员工意识到所从事活动的重要性以及如何为实现信息安全方针做

出贡献。

（二）职责

科技发展部确保内部的职责杈限得到有效定义和划分，确保科技发展部信息安全管理体

系得到有效运行。

科技发展部的信息安全管理体系的机构设置详见《信息安全组织建设管理规定》。

（三）培训、意识和能力

制定并实施人力资源管理文件，确保被分配信息安全管理体系规定职责的所有人员，都

有能力执行所要求的任务，为此必须：