信息安全管理手册ISO27001 最新版.docx
《信息安全管理手册ISO27001 最新版.docx》由会员分享,可在线阅读,更多相关《信息安全管理手册ISO27001 最新版.docx(37页珍藏版)》请在冰点文库上搜索。
信息安全管理手册ISO27001最新版
信息安全管理手册
(依据GB/T22080-2016idtISO/IEC27001:
2013标准编制)
编号:
ISMS-A-01
版本号:
V1.0
编制:
日期:
2019-11-01
审核:
日期:
2019-11-01
批准:
日期:
2019-11-01
受控状态
修订记录
版本
编写人
审核人
批准人
修订日期
修订说明
1概述
1.1颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2016idtISO/IEC27001:
2013《信息安全管理体系要求》标准工作,建立、实施和持续改进文件化的信息安全管理体系,制订了XXX有限公司《信息安全管理手册》。
《信息安全管理手册》经评审后,现予以批准发布。
《信息安全管理手册》的发布,标志着我公司从现在起,必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定,不断增强持续满足顾客要求、相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务,以确立公司在社会上的良好信誉。
《信息安全管理手册》是公司规范内部管理的指导性文件,也是全体员工在向顾客提供服务过程必须遵循的行动准则。
《信息安全管理手册》一经发布,就是强制性文件,全体员工必须认真学习、切实执行。
XXX有限公司
总经理:
XXX
2019年11月01日
1.2
任命书
任命书
为贯彻执行GB/T22080-2016idtISO/IEC27001:
2013《信息安全管理体系要求》,加强对信息管理体系运行的领导,特任命曹飞澎为公司管理者代表。
授权信息安全管理者代表有如下职责和权限:
1)确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2)负责与信息安全管理体系有关的协调和联络工作;
3)确保在整个组织内提高信息安全风险的意识;
4)审核风险评估报告、风险处理计划;
5)批准发布程序文件;
6)主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7)向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
本任命书自任命日起生效执行。
XXX有限公司
总经理:
XXX
2019年11月01日
1.3手册说明
1.3.1总则
《信息安全管理手册》的编制,是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。
通过对各项业务进行风险评估,识别出公司的关键资产,并根据资产的不同级别风险采取与之相对应的处理措施。
《信息安全管理手册》为审核信息安全管理体系提供了文件依据。
《信息安全管理手册》证明公司已经按照GB/T22080-2016idtISO/IEC27001:
2013标准的要求建立并实际运行一套信息安全管理体系。
《信息安全管理手册》的编制及颁布可以对公司信息安全管理各项活动进行控制,指导公司开展各项业务活动,并通过不断的持续改进来完善信息安全管理体系。
1.3.2信息安全管理手册的批准
管理者代表负责组织信息安全小组编制《信息安全管理手册》及其相关规章制度,总经理负责批准。
1.3.3信息安全管理手册的发放、作废与销毁
(1)综合管理部负责按《文件控制程序》的要求,进行《信息安全管理手册》的登记、发放、回收、归档、作废与销毁工作。
(2)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。
(3)综合管理部按照规定发放修改后的《信息安全管理手册》,并收回失效的文件做出标识统一处理,确保有效文件的唯一性。
(4)综合管理部保留《信息安全管理手册》修改内容的记录。
1.3.4信息安全管理手册的修改
《信息安全管理手册》如根据实际情况发生变化时,应用信息安全体系相关部门提出申请,经综合管理部讨论、商议,信息安全代表审核、总经理批准后方可进行修改。
为保证修改后的手册能够及时发放给相关人员,综合管理部对手册实施修改后,应及时发布修改信息,通知相关人员。
《信息安全管理手册》的修改分为两种:
一是少量的文字性修改。
此种修改不改变手册的版本号,只需在本手册的“文档修改记录”如实记录即可,不需保存手册修改前的文档原件。
二是大范围的信息安全管理体系版本升级,即改版。
在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况下,需要对本手册进行改版。
本手册的改版应该对改版前的《信息安全管理手册》原件进行保存。
在出现下列情况时,《信息安全管理手册》可以进行修改:
Ø信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进
Ø内部信息安全提出新的需求
Ø组织机构和职能发生变化
Ø经营环境和产品结构有调整
Ø发现本手册中存在差错或不明确之处
Ø引用的法规或体系标准有修改
Ø体系审核或管理评审提出改进要求
Ø本手册的更改控制按《文件管理程序》执行
1.3.5信息安全管理手册的换版
《信息安全管理手册》进行换版,换版应在管理评审时形成决议,重新编制、审批工作。
Ø当依据的GB/T22080-2016idtISO/IEC27001:
2013信息安全管理体系有重大变化时,如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。
Ø相应的法律法规发生重大变化时,如国家法律法规、政策、标准等发生改变的。
Ø《信息安全管理手册》发生需修改部分超过1/3时。
Ø《信息安全管理手册》执行已满三年时。
1.3.6信息安全管理手册的控制
(1)《信息安全管理手册》标识分受控文件和非受控文件:
Ø受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。
Ø非受控文件印制成单行本,作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。
(2)《信息安全管理手册》分为书面文件和电子文件两种。
2规范性引用文件
GB/T22080-2016信息技术安全技术信息安全管理体系要求;
GB/T22081-2016信息安全管理实用规则;
与公司运营相关的法律法规和技术标准。
3术语和定义
●本手册采用GB/T22080-2016idtISO/IEC27001:
2013标准的术语和定义,并根据需要在相应章节所描述的要求中,增补了所涉及的术语和定义;
●本手册出现的术语“产品”指的是公司提供的产品和服务;
●ISMS-IntegratedManagementSystem的缩写,代表“信息安全管理体系”;
4组织环境
4.1理解组织及其环境
公司定期识别和信息安全管理目标相关,并影响实现信息安全管理预期结果的内外部问题。
4.2理解相关方的需求和期望
本公司确定:
a)与ISMS有关的相关方;
b)这些相关方与信息安全有关的要求。
4.3确定ISMS的范围
应用范围:
本《信息安全管理手册》规定了信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。
产品和服务范围:
与计算机应用软件的设计、开发及售后服务相关的信息安全管理
活动区域范围:
广东省深圳市八卦岭八卦路31号众鑫科技大厦1310室
组织机构范围:
管理层、技术部、销售部、综合管理部
4.4信息安全管理体系
4.4.1总则
为了建立、实施、运行、监视、评审、持续改进信息管理管理体系,提高全员的信息安全意识,对信息安全风险进行有效管理,使全公司贯彻落实安全方针和各项安全措施,保护用户信息和资料,保证的信息资产免遭破坏,降低可能影响到信息安全的各种风险,防止安全事故的发生。
同时确保全体员工理解并遵守执行信息安全管理体系文件,持续改进信息安全管理体系的有效性,树立公司良好的服务形象,增强用户对公司的技术和管理水平的信心,保证公司业务可持续开展,特制定本《信息安全管理手册》。
4.4.2ISMS体系过程方法
5领导作用
5.1领导作用和承诺
●总经理领导信息安全工作,并确定相应的职责和作用。
●制定信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。
●向公司传达满足信息安全目标以及信息安全方针,以及法律责任和持续改进的重要性。
●提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS;
●决定可接受风险的标准和可接受风险的等级;
●确保按照标准严格执行ISMS内部审核并进行管理评审。
5.2ISMS管理方针
一、信息安全管理方针
为了满足适用法律法规及相关方要求,维持ISMS范围内的业务正常进行,实现业务可持续发展,本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针:
满足客户要求,保障信息安全,遵守法律法规,持续改进管理。
二、信息安全管理目标
1.针对客户信息安全事件的投诉每年不超过1次
2.重要信息设备丢失每年不超过1起
3.机密和绝密信息泄漏事件每年不超过1次
三、信息安全管理适用范围
本信息安全管理方针适用于公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。
5.3组织架构、职责和权限
5.3.1ISMS管理体系组织架构图
附录2-组织架构图
5.3.2ISMS管理职能分配
见附录3-职能分配表
5.3.3职责和权限
见附录8-信息安全职责说明
6规划
6.1风险和机遇的应对措施
信息安全小组组织有关部门根据风险评估结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及完成时间。
对于信息安全风险和给予,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
●控制风险,采用适当的内部控制措施。
●接受风险(不可能将所有风险降低为零);
●避免风险(如物理隔离);
●转移风险(如将风险转移给保险者、供方、分包商)。
6.2信息安全目标及其实现规划
6.2.1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。
信息安全目标应:
a)与信息安全方针保持一致
b)可测量;
c)考虑适用的要求,以及风险评估和风险处置的结果;
d)得到沟通;
e)适时更新。
组织应保持有关信息安全目标的文件化信息。
6.2.2在策划信息安全目标的实现时,公司确定:
a)采取的措施;
b)所需的资源(见7.1);
c)责任人;
d)完成的时间表;
e)如何评价结果。
7支持
7.1资源
7.1.1总则
总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的资源,应考虑现有的资源、能力、局限;
7.1.2基础设施
组织应识别、提供并保持实现产品/服务符合性所需的基础设施,这些设施包括:
●工作场所相应的设施(办公电脑、服务器、软硬件、机房等);
●服务过程设备,如各种通讯设备、监控设备和客户服务管理系统、业务系统(软件)等;
●维修保养和保障设施(各种辅助设施、安全防护设施等);
●支持性服务,如运输、通讯信息系统等。
7.1.3过程环境
公司各部门应识别提供产品/服务所需环境中人和物的因素,并对其加以有效的控制,保证提供产品/服务过程中的人员、财产安全。
过程环境可包括物理的、社会的、心理的和环境的因素。
7.1.4监视和测量设备
对照国际或国家的测量标准,在规定的时间间隔或在使用前进行校准和检定,如果没有上述标准的,应记录校准或检定(验证)的依据,以确保下列设备处于正常状态:
●开发用途的电脑设备;
●测试用途的电脑设备;
●开发用途的软件;
●测试用途的软件;
●集成项目使用的设备。
处于正常状态的设备应具备下列特征:
●设备的型号能够符合预期的使用目的;
●无论设备处于待用状态还是处于使用状态,设备均是正常的;
●设备得到周期性的养护和校正,并标识其校准状态;
●必要时,各部门使用设备进行测量前,应再次校准设备;
●测试软件应确认其具有满足预期用途的能力,初次使用前应进行确认,必要时可以进行重新确认。
当发现软件或设备不符合要求时,应对以往的测量结果进行有效性评价和记录,并对受影响的产品采取适当的措施。
校准和检定结果的记录应予保存。
7.1.5知识
公司应确保ISMS管理体系运行过程中,提供产品/服务的符合性和顾客满意所需的知识。
这些知识应得到保持、保护、需要时便于获取。
在应对变化的需求和趋势时,组织应考虑现有的知识基础,确定如何获取必需的更多知识。
7.2能力
公司应根据岗位所需的教育、培训、技能和经验要求,安排人员,以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要,能胜任其工作。
对于人员的配置,公司人事行政部应定岗定编并制定完善的岗位说明文件。
公司在《员工培训管理程序》中对在职培训、人员的意识的灌输和工作能力的增长作了要求,以便:
●确定从事影响产品/服务质量和信息安全的人员(包含营销、服务提供、质量检查、IT开发、顾客沟通、顾客信息反馈等)所必须的工作能力及培训需求;
●提供培训或采取其他措施,以满足所确定的需求并确保达成必须的能力;
●对培训的有效性进行评价;
●确保员工能意识到他们工作的相关性和重要性,以及他们如何为达到ISMS目标做出努力;
●保存有关教育、经验、培训、资格的适当的记录。
7.3意识
公司应确保工作的人员意识到:
●ISMS管理方针;
●相关的信息安全目标;
●他们对信息安全管理体系有效性的贡献,包括改进绩效的益处;
●偏离信息安全管理体系要求的后果。
7.4沟通
管理者代表为信息安全沟通交流主管部门,负责内、外部信息的交流与管理,及时将信息进行处理传递给有关部门。
各部门负责涉及自身职责范围内的信息安全信息的沟通交流工作,收集与外部相关方的信息资料,并保存回复的证据。
7.4.1内部信息
·信息安全方针、目标及实施方案
·资产识别与风险评估
·职责与权限的传达与落实
·培训教育的实施与效果
·监控与测量结果的反馈及法律、法规的符合情况
·不符合的纠正和预防措施的执行情况
·紧急状态下的信息等
7.4.2外部信息
·信息安全方针通报相关方,对外宣传;
·法律、法规的获取与监测及执法部门的联络;
·监控、检测结果的外部联络和接受、答复;
·认证与监督审核;
7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。
公司制定《信息安全沟通协调管理程序》规范信息安全沟通过程,必要时,保留信息交流相关证据。
7.5文件记录信息
7.5.1文件体系结构
信息安全管理体系的文件由上而下分为四个层次,如下图所示:
信息安全管理体系文件包括:
(1)管理手册(信息安全手册、信息安全策略):
规定信息安全管理体系的文件,是公司内部的信息安全法规,阐述了信息安全管理体系的方针、目标、范围、组织结构和职责权限,同时描述了信息安全管理体系的主体文件(程序文件),是信息安全管理体系的纲领性文件。
(2)程序文件:
是信息安全手册的支持性文件,规定了实施与信息安全管理体系有关的各项活动的途径和方法,是各项活动得以有效实施的保障。
与信息安全管理体系有关的各项活动必须按照程序文件规定实施,并定期对其进行评审,保持其有效性。
(3)作业指导、规范规章制度、计划等:
是现场或岗位使用的详细工作文件,是程序文件的支撑和补充性文件,是信息安全管理体系过程得以有效策划、运行、控制所需要的文件,也是信息安全活动的基础文件。
(4)表单记录:
通过表单模板,对信息安全管理体系实施的一系列活动进行规范,形成记录文件,用于作为管理评审、内部审核、外部审核、持续改进的客观证据。
信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息安全小组组织协调各相关部门共同完成编写。
支持文件:
●《文件控制程序》
7.5.2文件控制
综合管理部组织编制《文件控制程序》,确保信息安全管理体系的文件在以下几个方面得到控制:
(1)文件发布前得到批准,以确保文件是充分与适宜的。
(2)管理体系文件应定期进行评审、修订完善,并再次批准以保持文件要求与实际运作的一致性,充分保障文件的有效性、充分性和适宜性。
(3)确保文件的更改和现行修订状态得到识别。
(4)确保在使用处可获得适用文件的有关版本。
(5)确保文件保持清晰、易于识别。
(6)确保综合管理部确定的体系所需的外来文件得到识别,并控制其分发。
(7)防止作废文件的非预期使用,若因任何原因而保留作废文件时,对这些文件进行适当的标识。
(8)具体执行按《文件控制程序》的规定,对文件的审核、批准、发布、变更、修改、废止等环节进行控制。
支持文件:
●《文件控制程序》
7.5.3记录控制
信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据,对记录的标识、储存、保护、检索、保管、废弃等事项进行了规定,各部门应根据《记录控制程序》的要求采取适当的方式妥善保管信息安全记录,具体记录如下:
(1)建立并保持记录,以提供符合要求和信息安全管理体系有效运行的证据。
(2)保护并控制记录。
信息安全管理体系应考虑相关的法律要求和合同责任。
记录应保持合法,易于识别和检索。
(3)编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。
(4)记录的要求和管理:
Ø真实、完整、字迹清晰,可识别是何种产品或项目的何种活动。
Ø填写及时、禁止未经许可的更改。
Ø各部门应对本部门的记录自行归档保存,保存环境应适宜,以防止记录损坏、变质和丢失,保管方式便于存取和检索。
Ø记录的保存期限应根据产品的特点、法规要求及合同要求来决定,见“记录清单”。
Ø超过保存期的质量记录处理应按审批规定进行处置。
支持文件:
●《记录控制程序》
8运行
8.1运行的策划和控制
公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程,这些过程与公司ISMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定。
公司识别每一过程对满足客户服务要求的能力的影响,并确保营运活动中每个质量特性都受到有效控制。
8.1.1ISMS运行总要求
●实现过程的策划中应明确:
●质量目标和要求;
●明确各岗位的信息安全职责;
●服务标准
●明确过程控制的准则和方法,制定必要的作业指导文件,为产品和服务实现提供资源和设施,保证其所需的工作环境;
●保留服务过程提供及过程测量和检查结果的记录。
经识别公司没有外包过程。
对于公司的服务商,综合管理部按照《第三方服务管理程序》进行管理。
8.2信息安全风险评估
8.2.1风险评估的方法
信息安全小组负责组织编制《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法,在决定风险的可接受范围内,采取适当的风险控制措施。
8.2.2识别风险
在信息安全管理体系范围内,对所有信息资产进行识别评价,识别资产面临的威胁以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险,并通过这些项目的风险标识推算出对重要资产造成的影响。
8.2.3分析和评价风险
针对每一项信息资产,识别出其面临的所有威胁,并考虑现有的控制措施,识别出被该威胁可能利用的薄弱点。
针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判断安全失效发生的可能性。
根据《信息安全风险管理程序》计算风险等级以及风险接受准则,判断风险为可接受或需要处理。
8.2.4识别和评价风险处理的选择
项目风险的识别贯穿整个业务活动过程,明确哪些风险可能影响项目造成影响、记录这些风险的各方面特征。
在记录风险的基础上对项目进行初步分析,依据影响对项目风险进行优先级排序。
综合管理部根据风险评估的结果,形成《信息安全风险评估表(含<风险处理计划>)》,该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略,具体措施如下:
(1)适时适当的控制措施。
(2)规避风险,采取有效的控制措施避免风险的发生。
(3)接受风险,在一定程度上有意识、有目的地接受风险。
(4)风险转移,转移相关业务风险到其他方面。
(5)消减风险,通过适当的控制措施降低风险发生的可能性。
8.3信息安全风险处置
组织应实施信息安全风险处置计划。
保留信息安全风险处置结果的文件记录信息。
详见《信息安全风险管理程序》
8.3.1相关文件
●《信息安全风险管理程序》
9绩效评价
9.1监视、测量、分析和评价
为了保证服务的符合性及实施必要的改进,应规定、策划和实施所需的测量和监视活动。
在策划时,应确定统计技术及其他适用的方法的需要和使用。
需要监视和测量的过程和措施包括:
客户满意度测量、过程的监视和测量、产品的监视和测量。
综合管理部应组织相关部门,对质量服务信息安全措施的绩效和体系的有效性进行评价。
综合管理部应与各部门协调,根据公司管理的实际需要,建立恰当的度量体系,以度量员工、项目组的工作业绩。
由综合管理部组织实施监视和测量,每年至少一次对对监视和测量的结果进行分析和评价,由总经理以及各部门经理分析和评价这些结果,保留相关的监视和测量证据。
9.2内部审核
公司应按计划的时间要求进行ISMS内部审核,以确定控制目标、控制措施、过程和程序是否:
●符合标准及相关法律法规的要求;
●符合确定的信息安全要求;
●得到有效地实施和维护;
●按期望运行。
内部审核程序应进行计划,并考虑受审核的状况、重要性和受审核的区域以及上次审核结果,应规定审核准则、范围、频次和方式,审核员的选择和审核活动应保证审核过程的客观和公正,审核员不能审核自己的工作。
9.3管理评审
9.3.1总则
为确保信息安全管理体系持续运行,具体如下:
(1)管理者代表组织并编制《管理评审程序》,指导管理评审工作的执行。
(2)管理评审由最高管理者或其授权人员组织,每年至少一次。
一般情况下,采取会议的形式,安排在内部审核之后。
当出现下列情况之一时,应及时进行管理评审:
Ø公司管理体系发生重大变化。
Ø国家法律法规、相关标准发生重大变化。
Ø外审之前。
Ø其他认为需要评审时。
(3)各部门负责均需参加管理评审活动,需要时,由总经理或其授权人员决定具体的参加人员。
(4)管理评审会议的决议事项以会议纪要形式体现,由各相关部门负责配合执行,并对执行状况予以跟踪评估。
9.3.2评审输入
在管理评审时,管理者代表应组织各相关部门提供以下资料,以供评审:
a)以往管理评审的措施的状态;
b)与信息安全管理体系相关的外部和内部问题的变更;
c)信息安全绩效的反馈,包括下列方面的趋势:
1)不符合和纠正措施;
2)监视和测量结果;
3)审核结果;
4)信息安全目标的实现;
d)相关方的反馈;
e)风险评估的结果和风险处置计划的状态;
f)持续改进的机会。
9.3.3评审输出
按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析,管理评审输出包括以下方面有关的任何决定和措施:
(1)信息安全管理体系有效性的改进,应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。
(2)信息安全管