信息安全管理手冊

手冊控制

本手冊由我公司體系管理小組根據(jù)IS027001:2013《信息安全管理體系規(guī)范》要求，結(jié)

合我公司現(xiàn)狀和發(fā)展需求制定而成，并經(jīng)體系管理委員會審核，最終由最高管理者批準(zhǔn)頒布

開始執(zhí)行的。

當(dāng)下列情況發(fā)生時，應(yīng)對木手冊進行評審，必要時進行修改。手冊修改時，同樣應(yīng)經(jīng)以

上權(quán)責(zé)人員審查、核準(zhǔn)后方可生效：

1）在管理體系運行過程中發(fā)現(xiàn)手冊存在差錯或條文要求不明時；

2）當(dāng)我公司組織結(jié)構(gòu)發(fā)生變化時；

3）當(dāng)我公司信息安全管理活動發(fā)生重大變化時；

4）當(dāng)引用的1S027001標(biāo)準(zhǔn)版本修W時;

5）管理評審對體系提出改進要求時；

6）我公司高層領(lǐng)導(dǎo)認為需要進行修改時。

經(jīng)核準(zhǔn)后的手冊，依照《文件控制程序》進行分發(fā)和使用控制。當(dāng)文件修改時，也按照

《文件控制程序》要求回收舊版文件、發(fā)行新文件。管理手冊允許進行單頁版本修訂，修訂

時，應(yīng)在修W頁中注明修止情形。當(dāng)本手冊其中一頁修止次數(shù)超過10次時，則應(yīng)對手冊進行

整本改版。

如需要對外發(fā)布本手冊，可依照相關(guān)規(guī)定進行發(fā)布控制。

頒布令

為了加強技術(shù)管理并與國際標(biāo)準(zhǔn)接軌，按照IS027001：2013信息安全管理標(biāo)準(zhǔn)要求，并

結(jié)合我公司（以下簡稱“公司”）實際情況，編寫了我公司的管理體系文件。

管理體系文件中的《信息安全管理手冊》是綱領(lǐng)性文件，《程序文件》是《信息安全管

理手冊》的支持性文件，作業(yè)指導(dǎo)書是《信息安全管理手冊》和《程序文件》的支持性文件。

管理體系文件是公司管理體系運行所遵循的規(guī)則，是質(zhì)量/服務(wù)管理的依據(jù)，具有指令性、

政策性和制度性的效能?！缎畔踩芾硎謨浴吠瑫r還是公司對外做出的承諾。為此，要求

全公司人員自發(fā)布之日起認真組織學(xué)習(xí)、試行，正式生效后必須嚴(yán)格貫徹執(zhí)行。

管理體系文件2021年1月30日發(fā)布，2021年1月30日起正式生效。

特此發(fā)布！

XX公司：

二0二一年一月三十日

任命書

為了確保公司按照ISO27OO1：2013國際標(biāo)準(zhǔn)建立、實施、完善信息安全管理體系，并將

信息安全管理體系納入公司管理體系，實現(xiàn)產(chǎn)品及服務(wù)質(zhì)量與效益相結(jié)合的持續(xù)發(fā)展目標(biāo)，

茲任命：我公司XX為信息安全管理體系負責(zé)人

管理體系負責(zé)人直接向公司負責(zé)人匯報，并在管理體系推進過程中行使以下職責(zé)：

全面負責(zé)公司按照ISO27OO1：2013國際標(biāo)準(zhǔn)建立、實施管理體系，并確保管理體系持續(xù)

有效運行；

在職責(zé)范圍內(nèi)保障建立、實施管理體系所必要的資源配置（包括人力、財力、物力等）,

并向公司負責(zé)人匯報管理體系運行績效，為持續(xù)改進提供依據(jù)：

全面負責(zé)處理管理體系中內(nèi)部、外部的信息傳遞與溝通，并負責(zé)處理質(zhì)量或服務(wù)事故。

本任命書自即日起生效。

特此任命！

XX公司：

二。二一年一月三十日

1.范圍

為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系，確定信息

安全方針和目標(biāo)，對信息安全風(fēng)險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管

理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。

本《信息安全管理體系手冊》采用了IS0/IEC2700l:2013標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄A

的刪減及理由詳見《信息安全適用性聲明》。

2.規(guī)范性引用文件

下列文件的全部或部分內(nèi)容在本文件中進行了規(guī)范引用，對于其應(yīng)用是必不可少的。凡

是注日期的引用文件，只有引用的版本適用于本標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版

本（包括任何修改）適用于本標(biāo)準(zhǔn)。

ISO/IEC27000,信息技術(shù)一安全技術(shù)一信息安全管理體系一概述和詞匯

3.術(shù)語和定義

IS0/IEC27000中的術(shù)語和定義適用于本標(biāo)準(zhǔn)。

4.組織環(huán)境

4.1理解組織及其環(huán)境

本公司依據(jù)《信息安全風(fēng)險評估管理程序》，建立組織的外部和內(nèi)部環(huán)境，確定與其目

標(biāo)相關(guān)并影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題，形成外部和內(nèi)部

問題清單。

4.24.2理解相關(guān)方的需求和期望

本公司通過建立組織的外部和內(nèi)部環(huán)境確定如下內(nèi)容：

a）與信息安全管理體系有關(guān)的相關(guān)方；

b）這些相關(guān)方與信息安全有關(guān)的要求。

注：相關(guān)方的要求可能包括法律法規(guī)要求和合同義務(wù)。

4.34.3確定信息安全管理體系的范圍

本公司充分考慮如下內(nèi)容：

a）在4.1中提及的外部和內(nèi)部問題：

b）在4.2中提及的要求；

c）組織所執(zhí)行的活動之間以及與其它組織的活動之間的接口和依賴性。

確定信息安全管理體系的邊界和適用性，建立信息安全管理體系的范圍和邊界：

a）ISMS的范圍是：計算機信息系統(tǒng)集成、應(yīng)用軟件開發(fā)

b）ISMS的邊界是：

4.44.4信息安全管理體系

公司依據(jù)ISO/IEC27091:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》建立、

實施、保持和持續(xù)改進信息安全管理體系。

5.領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

高層管理者應(yīng)通過下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：

a）確保建立信息安全方針和信息安全目標(biāo)，并與組織的戰(zhàn)略方向保持一致；

b）確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過程中；

c）確保信息安全管理體系所需資源可用；

d）傳達信息安全管理有效實施、符合信息安全管理體系要求的重要性；

e）確保信息安全管理體系實現(xiàn)其預(yù)期結(jié)果；

f）指揮并支持人員為信息安全管理體系的有效實施作出貢獻；

g）促進持續(xù)改進；

h）支持其他相關(guān)管理角色在其職貴范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。

5.2方針

為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù)可持

續(xù)發(fā)展，公司高層管理者建立信息安全方針：

提供滿足客戶要求的服務(wù)。

信息安全方針滿足以下要求：

a）適于組織的目標(biāo)；

b）包含信息安全目標(biāo)（見6.2）或設(shè)置信息安全目標(biāo)提供框架；

c）包含滿足適用的信息安全相關(guān)要求的承諾；

d）包含信息安全管理體系持續(xù)改進的承諾。

公司文件化信息安全方針，保持可用性，并在組織內(nèi)部進行傳達，適當(dāng)時，對相關(guān)方可

用O

5.3組織角色、職責(zé)和權(quán)限

高層管理者應(yīng)確保分配并傳達了信息安全相關(guān)角色的職責(zé)和權(quán)限。

高層管理者應(yīng)分配下列職責(zé)和權(quán)限：

a）確保信息安全管理體系符合本標(biāo)準(zhǔn)的要求；

b）將信息安全管理體系的績效報告給高層管理者。

注：高層管理者可能還要分配在組織內(nèi)部報告信息安全管理體系績效的職責(zé)和權(quán)限。

5.3.1信息安全組織機構(gòu)

本公司成立信息安全領(lǐng)導(dǎo)機構(gòu)一一信息安全管理小組的職責(zé)是實現(xiàn)信息安全管理體系

方針和本公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項；審定公司信息

安全方針、目標(biāo)、工作計劃和重要文件；為信息安全工作的有序推進和信息安全管理體系的

有效運行提供必要的資源。

本公司的信息安全職能由信息安全管理小組承擔(dān)，其主要職責(zé)是：負責(zé)制訂、落實信息

安全工作計劃，對單位、部門信息安全工作進行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安

全管理體系，保持其有效、持續(xù)運行。

本公司采取相關(guān)部門代表組成的協(xié)調(diào)會的方式，進行信息安全協(xié)調(diào)和協(xié)作，履行“5.1

領(lǐng)導(dǎo)和承諾”中的相關(guān)職責(zé)。

信息安全小組由公司負責(zé)人、市場部、采購中心、研發(fā)中心、交付中心、運維中心、綜

合管理部、財務(wù)部總監(jiān)組成。

5.3.2信息安全職責(zé)和權(quán)限

本公司總經(jīng)理為信息安全最高責(zé)任者。總經(jīng)理指定信息安全管理者代表，無論信息安全

管理者代表其他方面的職責(zé)如何，對信息安全負有以下職責(zé)：

建立并實施信息安全管理體系必要的程序并維持其有效運行；

對信息安全管理體系的運行情況和必要的改善措施向信息安全管理小組或最高責(zé)任者

報告。

各部門負責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行

信息安全保密義務(wù)。

各部門、人員有關(guān)信息安全職責(zé)分配見《附錄3-信息安全職能分配表》和相應(yīng)的程序文

件（管理標(biāo)準(zhǔn)）、規(guī)定及崗位說明書。

6.規(guī)劃

6.1應(yīng)對風(fēng)險和機會的措施

6.1.1總則

當(dāng)規(guī)劃信息安全管理體系時，公司應(yīng)考慮4.1中提及的問題和4.2中提及的要求，確定需

要應(yīng)對的風(fēng)險和機會，以：

a）確保信息安全管理體系能實現(xiàn)其預(yù)期結(jié)果；

b）防止或減少意外的影響；

c）實現(xiàn)持續(xù)改進。

公司應(yīng)規(guī)劃：

d）應(yīng)對這些風(fēng)險和機會的措施;

e）如何

1）整合和實施這些措施并將其納入信息安全管理體系過程；

2）評價這些措施的有效性。

6.1.2信息安全風(fēng)險評估

公司通過建立公司外部和內(nèi)部環(huán)境，制定《信息安全風(fēng)險評估管理程序》，定義并應(yīng)用

風(fēng)險評估過程。信息安全管理小組建立識別適用于信息安全管理體系和已經(jīng)識別的業(yè)務(wù)信息

安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級。按

信息安全風(fēng)險評估執(zhí)行《信息安全風(fēng)險評估管理程序》進行，以保證所選擇的風(fēng)險評估方法

應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。

6.1.2.1建立并保持信息安全風(fēng)險準(zhǔn)則

建立并保持信息安全風(fēng)險準(zhǔn)則，包括

1）風(fēng)險接受準(zhǔn)則；

2）執(zhí)行信息安全風(fēng)險評估的準(zhǔn)則；

定義風(fēng)險評估的方法，確保重復(fù)性的信息安全風(fēng)險評估可產(chǎn)生一致的、有效的和可比較

的結(jié)果。

6.1.2.2識別信息安全風(fēng)險

由信息安全管理小組組建風(fēng)險評估小組，風(fēng)險評估小組應(yīng)：

1）應(yīng)用信息安全風(fēng)險評估過程來識別信息安全管理體系范圍內(nèi)的信息喪失保密性、完

整性和可用性的相關(guān)風(fēng)險；

2）識別風(fēng)險負責(zé)人；

通過風(fēng)險識別，形成信息安全風(fēng)險清單。

6.1.2.3分析信息安全風(fēng)險：

1）評估6.1.2.2中所識別風(fēng)險發(fā)生后將導(dǎo)致的潛在影響；

2）評估6.1.2.2中所識別風(fēng)險發(fā)生的現(xiàn)實可能性;

3）確定風(fēng)險級別;

6.1.2.4評價信息安全風(fēng)險；

1）將風(fēng)險分析結(jié)果同6.1.2.1建立的風(fēng)險準(zhǔn)則進行比較；

2）為實施風(fēng)險處置確定已分析風(fēng)險的優(yōu)先級。

公司應(yīng)保留信息安全風(fēng)險評估過程的文件記錄信息。

6.1.3信息安全風(fēng)險處置

公司定義并應(yīng)用信息安全風(fēng)險處置過程，以：

a）在考慮風(fēng)險評估結(jié)果的前提下，選擇適當(dāng)?shù)男畔踩L(fēng)險處置選項；

b）為實施所選擇的信息安全風(fēng)險處置選項，確定所有必需的控制措施；

注：組織可按要求設(shè)計控制措施，或從其他來源識別控制措施。

c）將6.1.3b）所確定的控制措施與附錄A的控制措施進行比較，以核實沒有遺漏必要

的控制措施；

注1：附錄A包含了一份全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可利月附錄A以

確保不會遺漏必要的控制措施。

注2：控制目標(biāo)包含于所選擇的控制措施內(nèi)。附錄A所列的控制目標(biāo)和控制措施并不是所

有的控制目標(biāo)和控制措施，組織也可能需要另外的控制目標(biāo)和控制措施。

d）產(chǎn)生《信息安全適用性聲明》。適用性聲明要包含必要的控制措施（見6.1.3b）和c）、

對包含的合理性說明（無論是否已實施）以及對附錄A控制措施刪減的合理性說明；

0）制定信息安全風(fēng)險處置計劃；

f）獲得風(fēng)險負責(zé)人對信息安全風(fēng)險處置計劃以及接受信息安全殘余風(fēng)險的批準(zhǔn)。

6.2信息安全目標(biāo)和規(guī)劃實現(xiàn)

公司在相關(guān)職能和層次上建立信息安全目標(biāo)。

信息安全目標(biāo)應(yīng)：

a）與信息安全方針一致;

b）可測量（如可行）；

c）考慮適用的信息安全要求以及風(fēng)險評估和風(fēng)險處置結(jié)果；

d）被傳達；

e）適當(dāng)時進行更新。

公司信息安全目標(biāo)見《信息安全目標(biāo)》：

公司建立《信息安全目標(biāo)B4》，明確管理和測量信息安全目標(biāo)的職責(zé)，明確測量的內(nèi)容

和頻率要求，并對測量的結(jié)果進行評價，識別改進的機會。

7.支持

7.1資源

公司確定并提供建立、實施、保持和持續(xù)改進信息安全管理體系所需的資源，包括資金、

人力、設(shè)施和技術(shù)等資源。

7.2能力

信息安全管理小組制定并實施《人力資源管理程序》文件，確保被分配信息安全管理體

系規(guī)定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：

a）確定從事影響信息安全執(zhí)行工作的人員在組織的控制下從事其工作的必要能力；

b）確保人員在適當(dāng)教育，培訓(xùn)和經(jīng)驗的基礎(chǔ)上能夠勝任工作；

c）適用時，采取措施來獲得必要的能力，并評價所采取措施的有效性：

d）保留適當(dāng)?shù)奈募涗浶畔⒆鳛槟芰Ψ矫娴淖C據(jù)。

注：例如適當(dāng)措施可能包括為現(xiàn)有員工提供培訓(xùn)、對其進行指導(dǎo)或重新分配工作；雇用

或簽約有能力的人員。

7.3意識

公司通過教育、培訓(xùn)等手段，使員工在組織的控制下從事其工作時應(yīng)意識到：

a）信息安全方針;

b）他們對有效實施信息安全管理體系的貢獻，包括信息安全績效改進后的益處；

C）不符合信息安全管理體系要求可能的影響。

7.4溝通

公司確定有關(guān)信息安全管理體系在內(nèi)部和外部進行溝通的需求，明確以下內(nèi)容：

a）什么需要溝通；

b）什么時候溝通；

C）跟誰進行溝通；

d）由誰負責(zé)溝通；

e）影響溝通的過程。

7.5文件化信息

7.5.1總則

公司制定《文件控制程序》和《記錄控制程序》對文件化信息進行控制，公司的信息安

全管理體系應(yīng)包括：

a）本標(biāo)準(zhǔn)要求的文件化信息；

b）組織為有效實施信息安全管理體系確定的必要的文件化信息。

7.5.2創(chuàng)建和更新

創(chuàng)建和更新文件化信息時，應(yīng)確保適當(dāng)?shù)模?/p>

a）標(biāo)識和描述（例如：標(biāo)題、日期、作者或參考編號）；

b）格式（例如：語言，軟件版本，圖表）和介質(zhì)（例如：紙質(zhì)介質(zhì)，電子介質(zhì)）；

c）評審和批準(zhǔn)其適用性和充分性。

7.5.3文件記錄信息的控制

信息安全管理體系和本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制，以確保：

a）無論何時何地需要，它都是可用并適合使用的;

b）它被充分保護（例如避免喪失保密性、使用不當(dāng)或喪失完整性）

對于文件化信息的控制，適用時，組織應(yīng)處理下列問題：

C）分發(fā)、訪問、檢索和使用：

d）存儲和保存，包括可讀性的保持：

e）變更控制（例如版本控制〉；

f）保留和處置。

組織為規(guī)劃和實施信息安全管理體系確定的必要的外部原始文件記錄信息，適當(dāng)時應(yīng)予

以識別并進行控制。訪問隱含一個權(quán)限決策：僅能查看文件記錄信息，或有權(quán)去查看和變更

文件記錄信息等。

8.運行

8.1運行的規(guī)劃和控制

公司應(yīng)規(guī)劃、實施和控制滿足信息安全要求所需的過程，并實施6.1中確定的措施（詳

見《信息安全適用性聲明》）。組織還應(yīng)實施這些規(guī)劃來實現(xiàn)6.2中所確定的信息安全目標(biāo)。

公司應(yīng)控制計劃了的變更，評審非預(yù)期變更的后果，必要時采取措施減緩負面影響。

組織應(yīng)確保外包的過程已確定，并處于可控狀態(tài)。

8.2信息安全風(fēng)險評估

公司依據(jù)《信息安全風(fēng)險評估管理程序》、《糾正和預(yù)防措施控制流程》及6.1.2中建立

的風(fēng)險評估執(zhí)行準(zhǔn)則，每年定期執(zhí)行一次信息安全風(fēng)險評估，當(dāng)重大變更被提出或發(fā)生時，

應(yīng)不定期執(zhí)行信息安全風(fēng)險評估。

組織應(yīng)保留信息安全風(fēng)險評估結(jié)果的文件記錄信息。

8.3信息安全風(fēng)險處置

公司應(yīng)實施6.1.2中制定的信息安全風(fēng)險處置計劃，并執(zhí)行變更了的處置計劃，

組織應(yīng)保留信息安全風(fēng)險處置結(jié)果的文件記錄信息。

9.績效評價

9.1監(jiān)視、測量、分析和評價

公司建立《信息安全目標(biāo)》，定義測量和評價的方法，明確相關(guān)職責(zé)，定期評價信息安

全績效和信息安全管理體系的有效性。滿足以下要求：

a）什么需要監(jiān)視和測量，包括信息安全過程和控制措施；

b）監(jiān)視、測量、分析和評價的方法，適用時，確保結(jié)果有效；

c）什么時候應(yīng)執(zhí)行監(jiān)視和測量；

d）誰應(yīng)實施監(jiān)視和測量；

e）什么時候應(yīng)對監(jiān)視和測量的結(jié)果進行分析和評價；

f）誰應(yīng)分析和評價這些結(jié)果。

組織應(yīng)保留適當(dāng)?shù)奈募涗浶畔⒆鳛楸O(jiān)視和測量結(jié)果的證據(jù)。

9.2內(nèi)部審核

公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃和實施信息安全管理體系內(nèi)

部審核以及報告結(jié)果和保持記錄。

公司每年進行一次內(nèi)部審核，以提供信息確定信息安全管理體系是否：

a）符合

1）組織自身信息安全管理體系的要求；

2）本標(biāo)準(zhǔn)的要求；

b）得到有效的實施和保持。

公司應(yīng)按《內(nèi)部審核管理程序》執(zhí)行如下活動：

c）規(guī)劃、建立、實施和保持審核方案，包括頻次、方法、職責(zé)、計劃要求和報告。審

核方案應(yīng)考慮所關(guān)注過程的重要性以及以往審核的結(jié)果；

d）為每次審核定義審核準(zhǔn)則和審核范圍；

e）審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性;

f）確保審核結(jié)果報告給相關(guān)的管理者;

g）保留文件記錄信息作為審核方案和審核結(jié)果的證據(jù)。

9.3管理評審

綜合管理部應(yīng)每半年組織進行一次管理評審并召開安全會議，以確保信息安全管理體系

持續(xù)的