ISO27001信息安全管理手冊模板

ISO27001信息安全管理手冊內部公開2022年7月PagePAGE1ofNUMPAGES27文件編號：XX-XXX-XX版本:V02保存期限:5年ISO27001信息安全管理手冊

目錄 4 5 6 71.0 8 8 8 8 9 9 10 10 11 12 12 12 12 13 14 14 14 14 16 16 167.2能力 167.3意識 177.4溝通 177.5文件化信息 17 17 17 18 188.1運行的規(guī)劃和控制 188.2信息安全風險評估 198.3信息安全風險處置 19 19 19 19 20 20 20 21附錄1信息安全體系要求與部門職能分配表 21附錄2文件目錄 25附錄3部門信息安全目標分解 27附錄4：信息安全適用性聲明（見附件） 27本《信息安全管理手冊》(以下簡稱手冊)第V01版是我們公司按照ISO/IEC27001:2013《信息安全管理體系要求》，并結合我們公司管理工作的實踐和公司組織機構的設置而編寫的最新版本，體現了我們公司對信息安全的承諾及持續(xù)改進的要求。本手冊貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實際運作情況，可作為向客戶及第三方組織提供信息安全保證和進行信息安全管理體系審核的依據，全體員工必須嚴格遵照執(zhí)行?，F予以批準，同意發(fā)布實施。為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC27001:2013《信息技術-安全技術-信息安全管理體系要求》標準的要求，加強領導，特任命XXXX為我公司信息安全管理者代表。授權信息安全管理者代表有如下職責和權限：確保按照標準的要求，進行資產識別和風險評估，全面建立、實施和保持信息安全管理體系；負責與信息安全管理體系有關的協調和聯絡工作；確保在整個組織內提高信息安全風險的意識；審核風險評估報告、風險處理計劃；批準發(fā)布程序文件；主持信息安全管理體系內部審核，任命審核組長，批準內審工作報告；向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內外審核情況。本授權書自任命日起生效執(zhí)行。全員參與、控制風險、積極預防持續(xù)改進、客戶信賴、永續(xù)經營ISO27001信息安全管理手冊內部公開2019年7月PagePAGE8ofNUMPAGES271.0（以下簡稱本手冊）依據ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求，參照ISO/IEC27002:2013信息技術-安全技術-信息安全管理實用規(guī)則，結合本行業(yè)信息安全的特點編寫。本手冊對本公司信息安全管理體系作出了概括性描述，為建立、實施和保持信息安全管理體系提供框架。下列文件中的條款通過本的引用而成為本的條款。凡是標注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修改版均不適用于本，然而，體系辦應研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息技術-安全技術-信息安全管理體系概述和術語《信息技術-安全技術-信息安全管理體系-要求》（ISO/IEC27001:2013）《信息技術-安全技術-信息安全管理實用規(guī)則》（ISO/IEC27002:2013）ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系-要求、ISO/IEC27002:2013信息技術-安全技術-信息安全管理實用規(guī)則規(guī)定的術語和定義以及下述定義適用于本。ISO/IEC27000中的術語和定義適用于本標準。本公司依據【信息安全風險管理規(guī)定】，建立組織的外部和內部環(huán)境，確定與其目標相關并影響其實現信息安全管理體系預期結果的能力的外部和內部問題。本公司通過建立組織的外部和內部環(huán)境確定如下內容。a)與信息安全管理體系有關的相關方；b)這些相關方與信息安全有關的要求。注：相關方的要求可能包括法律法規(guī)要求和合同義務本公司充分考慮如下內容：a)在4.1中提及的外部和內部問題；b)在4.2中提及的要求；c)組織所執(zhí)行的活動之間以及與其它組織的活動之間的接口和依賴性。確定信息安全管理體系的邊界和適用性，建立信息安全管理體系的范圍和邊界：公司建立的信息安全與職業(yè)健康安全管理體系，覆蓋公司服務提供。覆蓋場所包括：本信息安全策略適用于整個信息安全管理體系（ISMS），范圍包括：公司依據ISO/IEC27001:2013【信息技術-安全技術-信息安全管理體系-要求】建立、實施、保持和持續(xù)改進信息安全管理體系高層管理者應通過下列方式展示其關于信息安全管理體系的領導力和承諾：確保建立信息安全方針和信息安全目標，并與組織的戰(zhàn)略方向保持一致；確保將信息安全管理體系要求整合到組織的業(yè)務過程中；確保信息安全管理體系所需資源可用；傳達信息安全管理有效實施、符合信息安全管理體系要求的重要性；確保信息安全管理體系實現其預期結果；指揮并支持人員為信息安全管理體系的有效實施作出貢獻；促進持續(xù)改進。為了滿足適用法律法規(guī)及相關方要求，維持ISMS范圍內的業(yè)務正常進行，實現業(yè)務可持續(xù)發(fā)展，公司高層管理者建立信息安全方針并發(fā)布信息安全管理的重點是人員有意識的維護公司信息資產安全。全體員工應本著主人翁精神，群策群力，共同構筑公司信息安全。公司遵守信息安全的相關法令、法規(guī)、業(yè)界方針及規(guī)范，建立信息安全管理體系。通過全體員工的持續(xù)努力來完善體系，通過切實的控制措施來保障公司及顧客的信息安全。信息安全，是公司正常經營活動的重要保障，是客戶信賴的基礎，也是我們認同的一種社會責任。公司通過完善的管理，贏得顧客的信賴，以此保障公司業(yè)務的持續(xù)發(fā)展。信息安全方針滿足以下要求：適于組織的目標；包含信息安全目標（見6.2）或設置信息安全目標提供框架；包含滿足適用的信息安全相關要求的承諾；包含信息安全管理體系持續(xù)改進的承諾。公司文件化信息安全方針，保持可用性，并在組織內部進行傳達，適當時，對相關方可用。高層管理者應確保分配并傳達了信息安全相關角色的職責和權限。高層管理者應分配下列職責和權限：a)確保信息安全管理體系符合本標準的要求；b)將信息安全管理體系的績效報告給高層管理者。注：高層管理者可能還要分配在組織內部報告信息安全管理體系績效的職責和權限本公司信息安全領導機構：體系辦的職責是實現信息安全管理體系方針和本公司承諾。具體職責是：研究決定信息安全工作涉及到的重大事項；審定公司信息安全方針、目標、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的有效運行提供必要的資源。本公司的信息安全職能由體系辦承擔，其主要職責是：負責制訂、落實信息安全工作計劃，對單位、部門信息安全工作進行檢查、指導和協調，建立健全企業(yè)的信息安全管理體系，保持其有效、持續(xù)運行。本公司采取相關部門代表組成的協調會的方式，進行信息安全協調和協作，履行“5.1領導和承諾”中的相關職責。本公司總經理為信息安全最高責任者。總經理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責如何，對信息安全負有以下職責：建立并實施信息安全管理體系必要的程序并維持其有效運行；對信息安全管理體系的運行情況和必要的改善措施向體系辦或最高責任者報告。全體員工都應按保密承諾的要求自覺履行信息安全保密義務，相關職責見【公司信息組織架構與職責說明】。當規(guī)劃信息安全管理體系時，公司應考慮4.1中提及的問題和4.2中提及的要求，確定需要應對的風險和機會，以：確保信息安全管理體系能實現其預期結果；防止或減少意外的影響；實現持續(xù)改進。應對這些風險和機會的措施；如何整合和實施這些措施并將其納入信息安全管理體系過程；評價這些措施的有效性公司通過建立公司外部和內部環(huán)境，制定【信息安全風險控制管理規(guī)定】，定義并應用風險評估過程。體系辦建立識別適用于信息安全管理體系和已經識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。按信息安全風險評估執(zhí)行【信息安全風險控制管理規(guī)定】進行，以保證所選擇的風險評估方法應確保風險評估能產生可比較的和可重復的結果。6.1.2.1建立并保持信息安全風險準則建立并保持信息安全風險準則，包括：風險接受準則；執(zhí)行信息安全風險評估的準則；定義風險評估的方法，確保重復性的信息安全風險評估可產生一致的、有效的和可比較的結果。6.1.2.2識別信息安全風險由資訊部組建風險評估小組，風險評估小組應：應用信息安全風險評估過程來識別信息安全管理體系范圍內的信息喪失保密性、完整性和可用性的相關風險；識別風險負責人；通過風險識別，形成【信息安全風險評估表】。信息安全風險包括人員風險、資訊風險、物理風險與可持續(xù)性風險。其中，人員風險指人員的入職、異動、離職及入項目的風險；資訊風險指電腦、網絡、信息相關的風險；物理風險是指與客戶保密項目的產品相關的風險；可持續(xù)性風險是指體系運行、管理的風險。6.1.2.3分析信息安全風險：評估6.1.2.2中所識別風險發(fā)生后將導致的潛在影響；評估6.1.2.2中所識別風險發(fā)生的現實可能性；確定風險級別；6.1.2.4評價信息安全風險將風險分析結果同6.1.2.1建立的風險準則進行比較；為實施風險處置確定已分析風險的優(yōu)先級。公司應保留信息安全風險評估過程的文件記錄信息，詳見【信息安全風險評估表】。在考慮風險評估結果的前提下，選擇適當的信息安全風險處置選項；為實施所選擇的信息安全風險處置選項，確定所有必需的控制措施；注：組織可按要求設計控制措施，或從其他來源識別控制措施。將6.1.3b）所確定的控制措施與附錄A的控制措施進行比較，以核實沒有遺漏必要的控制措施；注:1：附錄A包含了一份全面的控制目標和控制措施的列表。本標準用戶可利用附錄A以確保不會遺漏必要的控制措施。2：控制目標包含于所選擇的控制措施內。附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要另外的控制目標和控制措施。產生【信息安全適用性聲明】。適用性聲明要包含必要的控制措施（見6.1.3b）和c））、對包含的合理性說明（無論是否已實施）以及對附錄A控制措施刪減的合理性說明；制定【信息安全風險處置計劃】；獲得風險負責人對信息安全風險處置計劃以及接受信息安全殘余風險的批準。公司在相關職能和層次上建立信息安全目標。信息安全目標應：與信息安全方針一致；可測量（如可行）；考慮適用的信息安全要求以及風險評估和風險處置結果；被傳達；適當時進行更新。公司信息安全目標：為貫徹實施信息安全方針，根據公司實際情況，確定公司的信息安全目標如下：重大信息安全泄密事件0件客戶信息外泄事件為0公司明確管理和測量信息安全目標的職責，明確測量的內容和頻率要求，并對測量的結果進行評價，識別改進的機會。公司確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資源，包括資金、人力、設施和技術等資源。7.2能力人力資源制定并實施《信息安全人力資源管理規(guī)定》，確保被分配信息安全管理體系規(guī)定職責的所有人員，都必須有能力執(zhí)行所要求的任務。可以通過：確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力；確保人員在適當教育，培訓和經驗的基礎上能夠勝任工作；適用時，采取措施來獲得必要的能力，并評價所采取措施的有效性；保留適當的文件記錄信息作為能力方面的證據。注：例如適當措施可能包括為現有員工提供培訓、對其進行指導或重新分配工作；雇用或簽約有能力的人員。7.3意識公司通過教育、培訓等手段，使員工在組織的控制下從事其工作時應意識到：信息安全方針；他們對有效實施信息安全管理體系的貢獻，包括信息安全績效改進后的益處；不符合信息安全管理體系要求可能的影響。7.4溝通公司制定【信息交流控制流程】，確定有關信息安全管理體系在內部和外部進行溝通的需求，明確以下內容：什么需要溝通；什么時候溝通；跟誰進行溝通；由誰負責溝通；影響溝通的過程。7.5文件化信息公司制定【文件和記錄控制流程】對文件化信息進行控制，公司的信息安全管理體系應包括：本標準要求的文件化信息；組織為有效實施信息安全管理體系確定的必要的文件化信息。創(chuàng)建和更新文件化信息時，應確保適當的：標識和描述（例如：標題、日期、作者或參考編號）；格式（例如：語言，軟件版本，圖表）和介質（例如：紙質介質，電子介質）；評審和批準其適用性和充分性。信息安全管理體系和本標準所要求的文件化信息應予以控制，以確保：無論何時何地需要，它都是可用并適合使用的；它被充分保護（例如避免喪失保密性、使用不當或喪失完整性）對于文件化信息的控制，適用時，組織應處理下列問題：分發(fā)、訪問、檢索和使用；存儲和保存，包括可讀性的保持；變更控制（例如版本控制）；保留和和處置。組織為規(guī)劃和實施信息安全管理體系確定的必要的外部原始文件記錄信息，適當時應予以識別并進行控制，訪問隱含一個權限決策：僅能查看文件記錄信息，或有權去查看和變更文件記錄信息等。8.1運行的規(guī)劃和控制公司應規(guī)劃、實施和控制滿足信息安全要求所需的過程，并實施6.1中確定的措施（詳見【適用性聲明】）。組織還應實施這些規(guī)劃來實現6.2中所確定的信息安全目標。公司應控制計劃了的變更，評審非預期變更的后果，必要時采取措施減緩負面影響。組織應確保外包的過程已確定，并處于可控狀態(tài)。公司保密項目的運行參照【項目生命周期信息安全流程】：項目人員選擇：執(zhí)行【信息安全人力資源管理規(guī)定】、【保密項目的人力資源控制流程】；物料管理：執(zhí)行【涉密物料試產量產管控規(guī)范】、【涉密物料報廢處理流程】、【涉密測試物料信息安全管理規(guī)范】、【樣板樣機管理規(guī)范】；物料存儲、運輸：執(zhí)行【涉密物料存儲運輸管控流程】；生產管理：執(zhí)行【保密車間管理規(guī)范】、【智能手機融入生產車間管理流程】、【人員進出生產大樓及涉密區(qū)域管理流程】；信息管理：執(zhí)行【涉密項目開發(fā)信息管理規(guī)范】8.2信息安全風險評估公司依據【信息安全風險控制管理規(guī)定】及6.1.2中建立的風險評估執(zhí)行準則，每年定期執(zhí)行一次信息安全風險評估，當重大變更被提出或發(fā)生時，應不定期執(zhí)行信息安全風險評估。保留信息安全風險評估結果的文件化信息。8.3信息安全風險處置公司按建立的準則實現信息安全風險處置計劃。信息安全風險處置：公司應實施6.1.2中制定的【信息安全風險處置計劃】，并執(zhí)行變更了的處置計劃。公司明確相關職責，定期評價信息安全績效和信息安全管理體系的有效性。滿足以下要求：什么需要監(jiān)視和測量，包括信息安全過程和控制措施；監(jiān)視、測量、分析和評價的方法，適用時，確保結果有效；什么時候應執(zhí)行監(jiān)視和測量；誰應實施監(jiān)視和測量；什么時候應對監(jiān)視和測量的結果進行分析和評價；誰應分析和評價這些結果。組織應保留適當的文件記錄信息作為監(jiān)視和測量結果的證據。公司體系辦按【內部審核控制流程】的要求策劃和實施信息安全管理體系內部審核以及報告結果和保持記錄。公司至少每年進行一次內部審核，以提供信息確定信息安全管理體系是否：符合組織自身信息安全管理體系的要求；本標準的要求；得到有效的實施和保持。公司應按【內部審核控制流程】執(zhí)行如下活動：規(guī)劃、建立、實施和保持審核方案，包括頻次、方法、職責、計劃要求和報告。審核方案應考慮所關注過程的重要性以及以往審核的結果；為每次審核定義審核準則和審核范圍；審核員的選擇和審核的實施應確保審核過程的客觀性和公正性；確保審核結果報告給相關的管理者；保留文件記錄信息作為審核方案和審核結果的證據。體系辦應每年組織進行一次管理評審并召開安全會議，以確保信息安全管理體系持續(xù)的適宜性、充分性和有效性，管理評審按【管理評審控制流程】進行。管理評審應包括下列方面的考慮：以往管理評審的措施的狀態(tài)；與信息安全管理體系相關的外部和內部問題的變更；信息安全績效的反饋，包括下列方面的趨勢：不符合和糾正措施；監(jiān)視和測量結果；審核結果；信息安全目標的實現；相關方的反饋；風險評估的結果和風險處置計劃的狀態(tài)；持續(xù)改進的機會。管理評審的輸出應包括與持續(xù)改進機會有關的決定，以及變更信息安全管理體系的所有需求，組織應保留文件記錄信息作為管理評審結果的證據。本公司依據【糾正與預防措施控制流程】的要求,通過使用信息安全方針、信息安全目標、審核結果、監(jiān)控事件的分析、糾正和預防措施以及管理評審，持續(xù)改進信息安全管理體系的有效性。本公司資訊部處理糾正措施，不符合項的責任部門負責采取糾正措施，以消除與信息安全管理體系要求不符合的原因，以防止再發(fā)生，糾正措施的實施按【糾正與預防措施控制流程】進行。針對發(fā)生的不符合，公司應：對不符合作出反應，適用時：采取措施控制并糾正不符合；處理后果；為確保不符合不再發(fā)生或不在其他地方發(fā)生，通過下列方式評價消除不符合原因的措施需求：評審不符合；確定不符合的原因；確定是否存在或可能發(fā)生相似的不符合；實施所需的措施；評審所采取糾正措施的有效性；必要時，對信息安全管理體系實施變更。糾正措施應與所遇不符合的影響相適應。組織應保留文件記錄信息作為下列事項的證據：不符合的性質以及所采取的所有后續(xù)措施；所有糾正措施的結果。本公司依據【糾正與預防措施控制流程】的要求,通過使用信息安全方針、信息安全目標、審核結果、監(jiān)控事件的分析、糾正和預防措施以及管理評審，持續(xù)改進信息安全管理體系的有效性。附錄1信息安全體系要求與部門職能分配表部門要素總經辦(高層管理者)管理中心資訊部采購中心市場部體系辦制造中心品質部研發(fā)部財務部物控部4.1理解組織及其環(huán)境★○○○○○○○○○○4.2理解相關方的需求和期望★○○○○○○○○○○4.3確定ISMS范圍★○★○○★○○○○○4.4信息安全管理體系★○★○○★○○○○○5.1領導和承諾★○○○○○○○○○○5.2方針★○○○○○○○○○○5.3組織角色、職責和權限★★○○○○○○○○○6.1應對風險和機會的措施★★★○○○○○○○○6.1.1總則○★★○○○○○○○○6.1.2信息安全風險評估○★★○○★★★★○★6.1.3信息安全風險處置○★★○○★★★★○★6.2信息安全目標和規(guī)劃實現★○★○○★○○○○○7.1資源★○○○○○○○○○○7.2能力○★○○○○○○○○○7.3意識○★○○○○○○○○○7.4溝通○★○○○○○○○○○7.5文件記錄信息○○○○○★○○○○○8.1運行的規(guī)劃和控制○★★○○★○○○○○8.2信息安全風險評估○★★○○○○○○○○8.3信息安全風險處置○★★○○○○○○○○9.1監(jiān)視、測量、分析和評價○★★○○○○○○○○9.2內部審核○○○○○★○○○○○9.3管理評審★○○○○○○○○○○10.1不符合和糾正措施○★★○○★○○○○○10.2持續(xù)改進○★★○○★○○○○○A.5.1.1信息安全策略★○○○○○○○○○○A.5.1.2信息安全策略的評審○○○○○★○○○○○A.6.1.1信息安全的角色和責任★○○○○○○○○○○A.6.1內部組織○○○○○★○○○○○A.6.2移動設備和遠程工作○○★○○○○○○○○A.7.1認用前○○★○○○○○○○○A.7.2認用中○○★○○○○○○○○A.7.3任用的終止和變化○○★○○○○○○○○A.8.1有關資產的責任○○★○○○○○○○○A.8.2信息分類○○○○○★○○○○○A.8.3介質處理○○★○○○○○○○○A.9.1訪問控制的業(yè)務要求○○★○○○○○○○○A.9.2用戶訪問管理○○★○○○○○○○○A.9.3用戶責任○★★○○○○○○○○A.9.4系統(tǒng)和應用訪問控制○★★○○○○○○○○A.10.1密碼控制○○★○○○○○○○○A.11.1安全區(qū)域○★★○○○○○○○○A.11.2設備○○★○○○○○○○○A.12.1運行規(guī)程和責任○○★○○○○○○○○A.12.2惡意軟件防范★○★○○○○○○○○A.12.3備份○○★○○○○○○○○A.12.4日志和監(jiān)視○○★○○○○○○○○A.12.5運行軟件控制○○★○○○○○○○○A.12.6技術脆弱性管理○○★○○○○○○○○A.12.7信息系統(tǒng)審計考慮○○★○○★○○○○○A.13.1.網絡安全管理○○★○○○○○○○○A.13.2信息傳輸○★★○○★○○○○○A.14.1信息系統(tǒng)的安全要求○○★○○★○○○○○A.14.2開發(fā)和支持過程中的安全○○★○○○○○○○○A.14.3測試數據○○★○○○○○○○○A.15供應商關系○○○★○○○○○○○A.16信息安全事件的管理○★★★○★○○○○○A.17業(yè)務連續(xù)性管理的信息安全方面★○○○○○○○○○○A.18.1符合法律和合同要求○○○○○★○○○○○A.18.2信息安全評審○○○○○★○○○○○注：★為主控