ISO27001信息安全管理體系-信息安全管理手冊2021新版

1、 9/9ISO27001信息安全管理體系-信息安全管理手冊2021新版 ISO/IEC27001:2013信息安全管理體系管理手冊 ISMS-M-2019 版本號：A/1 受控狀態(tài)：受控非受控 編制審核批準(zhǔn) 編寫組審核人總經(jīng)理 XXX XXX XXX 日期： 2019年1月8日實(shí)施日期： 2019年1月8日 修改履歷 版本制訂者修改時(shí)間更改內(nèi)容審核人審核意見變更申請單號A/0編寫組2016-1-08定版審核人A同意 A/1編寫組2017-1-15定版審核人B同意 00 目錄 00 目錄 (3) 01 頒布令 (5) 02 管理者代表授權(quán)書 (6) 03 企業(yè)概況 (7) 04 信息安全管理方針

2、目標(biāo) (8) 05 手冊的管理 (10) 06 信息安全管理手冊 (11) 1 范圍 (11) 1.1 總則 (11) 1.2 應(yīng)用 (11) 2 規(guī)范性引用文件 (11) 3 術(shù)語和定義 (11) 3.1 本公司 (12) 3.2 信息系統(tǒng) (12) 3.3 計(jì)算機(jī)病毒 (12) 3.4 信息安全事件 (12) 3.5 相關(guān)方 (12) 4 組織環(huán)境 (12) 4.1 組織及其環(huán)境 (12) 4.2 相關(guān)方的需求和期望 (12) 4.3 確定信息安全管理體系的范圍 (13) 4.4 信息安全管理體系 (13) 5 領(lǐng)導(dǎo)力 (14) 5.1 領(lǐng)導(dǎo)和承諾 (14) 5.2 方針 (14) 5.3

3、 組織角色、職責(zé)和權(quán)限 (14) 6 規(guī)劃 (14) 6.1 應(yīng)對風(fēng)險(xiǎn)和機(jī)會的措施 (15) 6.2 信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn) (17) 7 支持 (18) 7.1 資源 (18) 7.2 能力 (18) 7.3 意識 (18) 7.4 溝通 (18) 7.5 文件化信息 (19) 8 運(yùn)行 (20) 8.1 運(yùn)行的規(guī)劃和控制 (20) 8.2 信息安全風(fēng)險(xiǎn)評估 (20) 8.3 信息安全風(fēng)險(xiǎn)處置 (20) 9 績效評價(jià) (21) 9.1 監(jiān)視、測量、分析和評價(jià) (21) 9.2 內(nèi)部審核 (22) 9.3 管理評審 (22) 10 改進(jìn) (23) 10.1 不符合和糾正措施 (23) 10.2

4、 持續(xù)改進(jìn) (23) 附錄A 信息安全管理組織結(jié)構(gòu)圖 (25) 附錄B 信息安全管理職責(zé)明細(xì)表 (26) 附錄C 信息安全管理程序文件清單 (28) 01 頒布令 為提高*公司*的信息安全管理水平，保障我公司業(yè)務(wù)活動的正常進(jìn)行，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的公司和客戶的損失，我公司開展貫徹ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求國際標(biāo)準(zhǔn)工作，建立、實(shí)施和持續(xù)改進(jìn)文件化的信息安全管理體系，制定了*公司*信息安全管理手冊。 信息安全管理手冊是企業(yè)的法規(guī)性文件，是指導(dǎo)企業(yè)建立并實(shí)施信息安全管理體系的綱領(lǐng)和行動準(zhǔn)則，用于貫徹企業(yè)的信息安全管

5、理方針、目標(biāo)，實(shí)現(xiàn)信息安全管理體系有效運(yùn)行、持續(xù)改進(jìn)，體現(xiàn)企業(yè)對社會的承諾。 信息安全管理手冊符合有關(guān)信息安全法律、法規(guī)要求及ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求標(biāo)準(zhǔn)和企業(yè)實(shí)際情況，現(xiàn)正式批準(zhǔn)發(fā)布，自2019年1月8日起實(shí)施。企業(yè)全體員工必須遵照執(zhí)行。 全體員工必須嚴(yán)格按照信息安全管理手冊的要求，自覺遵循信息安全管理方針，貫徹實(shí)施本手冊的各項(xiàng)要求，努力實(shí)現(xiàn)公司信息安全管理方針和目標(biāo)。 *公司* 總經(jīng)理：總經(jīng)理 2019年1月8日 02 管理者代表授權(quán)書 為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系

6、-要求標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命審核人B 為我公司信息安全管理者代表。 授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限： 1確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險(xiǎn)評估，全面建立、實(shí)施和保持信息安全管理體系； 2負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作； 3確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識； 4審核風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃； 5批準(zhǔn)發(fā)布程序文件； 6主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告； 7向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。 本授權(quán)書自任命日起生效執(zhí)行。 *公司* 總經(jīng)理：XXX 2019年1月15日 03

7、 企業(yè)概況 這里是公司情況介紹哦 這里是公司情況介紹哦 這里是公司情況介紹哦 這里是公司情況介紹哦 這里是公司情況介紹哦 單位地址：單位地址 電話：單位電話 傳真：單位電話 郵編：郵編 總經(jīng)理：總經(jīng)理 管代：審核人A 04 信息安全管理方針目標(biāo) 為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。 信息安全管理方針： 數(shù)據(jù)保密、信息完整、控制風(fēng)險(xiǎn)、持續(xù)改進(jìn)、遵守法律。 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機(jī)制 1公司采用系統(tǒng)的方法，按照ISO/IEC27001:2013建立信息安全

8、管理體系，全面保護(hù)本公司的信息安全。 二、信息安全管理組織 2公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。 3公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。 4在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。 5與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。 三、人員安全 6信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信

9、息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。 7對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。 8定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安全意識。 9全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。 四、識別法律、法規(guī)、合同中的安全 10及時(shí)識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。 五、風(fēng)險(xiǎn)評估 11根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。 12采用先進(jìn)的風(fēng)險(xiǎn)評估技術(shù)，定期進(jìn)行風(fēng)險(xiǎn)評估，以識別本公司風(fēng)險(xiǎn)的變化。本公司

10、或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評估。 13應(yīng)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。 六、報(bào)告安全事件 14公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。 15全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。 16接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告，及時(shí)做出相應(yīng)的處理，并向報(bào)告人員反饋處理結(jié)果。 七、監(jiān)督檢查 17定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 18公司根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者

11、災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。 19定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試和更新。 九、違反信息安全要求的懲罰 20對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。 信息安全目標(biāo)如下： 1.重大信息安全事件（損失達(dá)1萬以上的）為零。 2.公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2小時(shí)每年。 05 手冊的管理 1 信息安全管理手冊的批準(zhǔn) 辦公室負(fù)責(zé)組織編制信息安全管理手冊，總經(jīng)理負(fù)責(zé)批準(zhǔn)。 2 信息安全管理手冊的發(fā)放、更改、作廢與銷毀 a）辦公室負(fù)責(zé)按文件管理程序的要求，進(jìn)行信息安全管理手冊的登記、發(fā)放、回收、更改、歸檔、作廢與銷毀工作； b）各相關(guān)部門按照受控文件的管理要求對收到的信息安全管理手冊進(jìn)行使用

12、和保管； c）辦公室按照規(guī)定發(fā)放修改后的信息安全管理手冊，并收回失效的文件作出標(biāo)識統(tǒng)一處理，確保有效文件的唯一性； d）辦公室保留信息安全管理手冊修改內(nèi)容的記錄。 3 信息安全管理手冊的換版 當(dāng)依據(jù)的ISO/IEC27001:2013或ISO/IEC27002:2013標(biāo)準(zhǔn)有重大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、生產(chǎn)技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及信息安全管理手冊發(fā)生需修改部分超過1/3時(shí)，應(yīng)對信息安全管理手冊進(jìn)行換版。換版應(yīng)在管理評審時(shí)形成決議，重新實(shí)施編、審、批工作。 4 信息安全管理手冊的控制 a）本信息安全管理手冊標(biāo)識分受控文件和非受控文件兩種： 受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門的

13、負(fù)責(zé)人、內(nèi)審員； 非受控文件指印制成單行本，作為投標(biāo)書的資料或?yàn)樯a(chǎn)、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。 b）信息安全管理手冊有書面文件和電子文件，電子版本文件的有效格式為.doc文檔。 06 信息安全管理手冊 1 范圍 1.1 總則 為了建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系（簡稱ISMS），確定信息安全方針和目標(biāo)，對信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊。 1.2 應(yīng)用 1.2.1 覆蓋范圍 本信息安全管理手冊規(guī)定了*公司*信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、管理評審和

14、信息安全管理體系改進(jìn)等方面內(nèi)容。 本信息安全管理手冊適用于*公司*電磁屏蔽機(jī)房的設(shè)計(jì)業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全管理活動。 1.2.2 刪減說明 本信息安全管理手冊采用了ISO/IEC27001:2013標(biāo)準(zhǔn)正文的全部內(nèi)容，對適用性聲明SOA的刪減如下: A.14.2.7外包開發(fā)刪減理由：公司無此業(yè)務(wù) 2 規(guī)范性引用文件 下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)，然而，辦公室應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊。 ISO/

15、IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求 ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則 3 術(shù)語和定義 ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則規(guī)定的術(shù)語和定義適用于本信息安全管理手冊。 3.1 本公司 指*公司*包括*公司*所屬各部門。 3.2 信息系統(tǒng) 指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。 3.3 計(jì)算機(jī)病毒 指編制或者在

16、計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 3.4 信息安全事件 指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng)從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密事件。3.5 相關(guān)方 關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個(gè)人。主要為：政府、上級部門、供方、銀行、用戶等。 4 組織環(huán)境 4.1 組織及其環(huán)境 本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公司信息安全管理體系的范圍包括： a) 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)

17、系統(tǒng)（本次認(rèn)證范圍：與信息管理軟件設(shè)計(jì)開發(fā)相關(guān)的信息安全管理活動）； b) 與所述信息系統(tǒng)有關(guān)的活動； c) 與所述信息系統(tǒng)有關(guān)的部門和所有員工； d) 所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。 e) 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄A（規(guī)范性附錄）組織機(jī)構(gòu)圖。 f) 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 g）本公司信息安全管理體系的物理范圍為本公司位于單位地址。 4.2 相關(guān)方的需求和期望 重大信息安全事件（損失達(dá)1萬以上的）為零。 公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2小時(shí)每年。 4.3

18、 確定信息安全管理體系的范圍 體系范圍：與信息管理軟件設(shè)計(jì)開發(fā)、計(jì)算機(jī)系統(tǒng)集成相關(guān)的信息安全管理活動 本公司涉及軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理的業(yè)務(wù)系統(tǒng)（本次認(rèn)證范圍：與電磁屏蔽機(jī)房的設(shè)計(jì)相關(guān)的信息安全管理活動） 組織范圍： 本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見附錄A （規(guī)范性附錄）組織機(jī)構(gòu)圖。 物理范圍： 本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。 本公司信息安全管理體系的物理范圍為本公司位于單位地址。 4.4 信息安全管理體系 本公司在軟件產(chǎn)品的技術(shù)開發(fā)，設(shè)計(jì)的管理活動中，按ISO/IEC270

19、01:2013信息技術(shù)-安全技術(shù)-信息安全管理體系-要求規(guī)定，參照ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則標(biāo)準(zhǔn)，建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系。 信息安全管理體系使用的過程基于圖1所示的PDCA模型。 圖1 信息安全管理體系模型 建立 ISMS 實(shí)施和運(yùn)行 ISMS 保持和改進(jìn) ISMS 監(jiān)視和評審 ISMS 相關(guān)方 信息安全 要求和期望 相關(guān)方 信息安全 管理 策劃 實(shí)施 檢查 處置 5 領(lǐng)導(dǎo)力 5.1 領(lǐng)導(dǎo)和承諾 我公司管理者通過以下活動，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系的承諾提供證據(jù)： a) 建

20、立信息安全方針(見本手冊第0.4章)； b) 確保信息安全目標(biāo)得以制定（見本手冊第0.4章、適用性聲明SoA、風(fēng)險(xiǎn)處理計(jì)劃及相關(guān)記錄）； c) 建立信息安全的角色和職責(zé)； d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性； e) 提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)信息安全管理體系(見本手冊第5.2章)； f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(見信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)及相關(guān)記錄)； g) 確保內(nèi)部信息安全管理體系審核（見本手冊第9.2章）得以實(shí)施； h) 實(shí)施信息安全管理體系管理評審（見本手冊第9.3章）。 5.2 方針 為防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密所導(dǎo)致的企業(yè)和客戶的損失，本公司建立了信息安全管理體系，制訂了信息安全方針，確定了信息安全目標(biāo)。 信息安全管理方針： 滿足客戶要求，遵守法律法規(guī)，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。 信息安全目標(biāo)下： 1.重大信息安全事件（損失達(dá)1萬以上的）為零。 2.公司發(fā)生網(wǎng)絡(luò)中斷時(shí)間小于2小時(shí)每年。 5.3 組織角色、職責(zé)和權(quán)限 詳見附錄B 6 規(guī)劃 6.1 應(yīng)對風(fēng)險(xiǎn)和機(jī)會的措施 6.1.1 總則 為了滿足適用法律法規(guī)及相關(guān)方要求，維持電力整流器開發(fā)和經(jīng)營的正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資