ISO27001信息安全管理手册模板Word文件下载.docx
《ISO27001信息安全管理手册模板Word文件下载.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册模板Word文件下载.docx(10页珍藏版)》请在冰点文库上搜索。
1.3.信息安全管理方针/目标
1.4.公司组织机构
1.5.公司信息安全组织结构图
第2章信息安全组织职责
2.1.信息安全决策委员会
2.2.信息安全管控委员会
2.3.信息安全执行工作组
第3章职责和权限
3.1.信息管理部
3.2.经营管理部
3.3.财务管理部
3.4.人力资源及行政中心
3.5.营销中心
1.1.前言
1.1.1.批准页
本信息安全管理手册是依据信息安全管理体系的要求,结合本公司的实际制定的,是公司信息安全管理的纲领性文件。
信息安全管理手册包括:
XXX公司的信息安全管理方针和信息安全管理目标;
组织结构的描述。
本手册的规定及其所引出的程序文件和管理性文件从批准之日起生效实施,要求公司全体员工在日常工作中认真执行,严格遵守和贯彻执行本手册的各项规定和要求,确保信息安全管理体系的要求和方针与目标的实现。
总经理:
年月日
1.1.2.管理者代表任命书
为了建立信息安全管理体系并确保体系的有效运行和持续改进,特任命为管理者代表,行使其规定的职责和权限,直接负责与信息安全管理相关的事务及外部联络,兹自签发之日起生效。
总经理
1.1.3.
手册应用范围与管理
1.1.3.1.应用范围
1.1.3.1.1.本手册采用信息安全部分适用于ISO27001-2005除去电子商务部分的所有内容。
1.1.3.1.2.本手册适用于公司从软件的计划、设计、开发、应用、管理、业务流程,以及持续改善的所有过程控制。
1.1.3.2.手册的编写与核准
1.1.3.2.1.本手册应由管理代表或指定人员起草编写
1.1.3.2.2.本手册的审查应由管理代表完成,确定其适用性及有效性;
1.1.3.2.3.本手册的核准发行权由总经理决定;
1.1.3.3.《信息安全管理手册》之管理
1.1.3.3.1.《信息安全管理手册》的发行由信息管理部负责,并进行发行、编号;
1.1.3.3.2.手册如有破损、遗失、增发参照《文件控制程序》作业
1.1.3.3.3.任何持有者离开公司必须交回手册;
1.1.3.3.4.信息安全管理手册的持有者不得自行对信息安全管理手册进行删改、撕页、涂改,要保持信息安全管理手册的完整、清洁,注意保管,慎防遗失,未经总经理或管理者代表批准不得复制,向外提供。
1.1.3.3.5.各部门经理应负责向本部门人员做好本信息安全管理手册的宣传工作,并组织实施。
XXX公司企业概况
1.2.XXX公司概述
XXX公司是
1.3.信息安全管理方针/目标
1.3.1.信息安全管理方针
XXX公司的信息安全管理方针是:
着眼于公司长期持续稳定的发展,合法保护公司自主知识产权,有效控制公司各类商务信息,
含义:
信息安全管理体系:
由安全组织、安全管理流程和安全防护手段构成的企业信息安全内控体系,由“持续风险评估、安全体系规划建设、安全体系运行与完善”构成的持续改进体系。
企业安全文化氛围:
人人关注信息安全,事事相关切身利益;
保护公司知识产权就是保护自身劳动创造。
可信任企业:
采取各项信息安全措施,信息安全管理变被动的事件导向为主动的风险导向,赢得客户信任。
1.3.2.信息安全管理目标指标
信息安全管理体系方针
信息安全管理体系目标
信息安全管理体系指标
责任部门
备注
信息安全政策宣贯
信息安全策略发布和变更时
信息安全管理委员会
通过文件、会议、PPT、知识竞赛等形式
指定或委派各信息安全相关部门管理者代表及成员
通过文件形式下发
定期评审信息安全策略文件
一年一次或安全策略发生变更时对策略进行评审工作的发起
依据变更流程
定期召开信息安全工作会议,讨论信息安全相关事项
每月一次
信息管理部
会议记录并上报信息安全管理委员会
定期对信息安全策略实施审计
每年一次或业务发生变更后
对审计结果上报信息安全管理委员会
净化办公环境,降低安全风险
采用集中部署杀毒软件形式统一管理
通过统一部署防病毒服务器监控
建立信息审计制度,保护核心信息资产
所有外发信息均纳入审计范围
通过审计实施监控
建立资产标识和资产分类
对资产在下发前按应用做重要性分级
对资产列表实施更新
普及安全意识,全员动员共建安全
每年不少于1次的信息安全相关培训
人力资源部及行政中心
以培训通知或培训登记表确认
加固创维大厦物理环境保护
关闭不必要的出口
根据重要程度划分工作区域
对重要部门采取封闭式环境
物理区间隔离
制定违反信息安全策略的惩戒措施
明确违反信息安全策略的惩戒性处罚制度
在员工手册中明确相应责任
对公司有关业务用软件产生的法律问题作出规范要求
建立相应的符合性制度
知识产权部
形成公司级制度文件
1.4.公司组织机构
1.5.公司信息安全组织结构图
(一)信息安全管理委员会成员:
由公司领导和各部门、各中心负责人组成。
(成员名单参见《XXX信息安全管理委员会任命书》)
主任:
副主任:
成员:
(各部门部门经理)
(二)信息安全管控委员会成员:
由信息管理部负责人、部门管理代表和信息安全管理委员会指定人选组成。
(成员名单参见由信息安全管理委员会批准《XXX信息安全管控委员会任命书》)
执行机构(信息安全常设机构):
(三)信息安全执行工作组成员:
由信息管理部相关人员和各部门保密管理员组成。
信息管理部相关人员、各部门保密管理员(名单)
(成员名单参见由信息安全管理委员会批准《XXX信息安全执行工作组任命书》)
备注:
各部门内审员建议由现ISO9000审核员担任,具备体系审核的基础
人员变更:
由公司信息安全管理委员会审核批准;
第2章信息安全组织职责
2.1.信息安全决策委员会
1.负责公司信息安全决策
2.负责公司信息安全相关任命或指示
2.2.信息安全管控委员会
1.信息管理部为统一协调各部门的信息安全常设机构,对企业日常信息安全监控及管理,并通过全局性的指导,监察和审计等手段保障信息安全改进工作。
2.信息安全技术
(1)负责建立并完善信息安全技术体系;
(2)负责信息安全内控技术支持;
(3)负责信息安全技术系统的建设和推广;
(4)负责追踪最新漏洞/补丁、病毒信息、攻防技术;
(5)负责信息安全系统数据的监控、收集和分析;
(6)负责追踪并应用计算机取证技术;
(7)负责提供数据销毁、加密等技术支持
。
3.信息安全审计
(1)负责建立和完善信息安全审计体系;
(2)负责规划和实施全公司每年的信息安全审计工作;
(3)负责公司三方面的信息安全审核工作:
信息安全内部审核、对供应商的信息安全审核、应对客户信息安全审核;
(4)负责公司信息安全风险评估并出具评估报告;
(5)负责信息安全事件调查处理。
4.信息安全管理策略
(1)负责建立完善信息安全管理体系;
(2)负责建立和推广信息安全相关策略和管理规定;
(3)负责制定信息安全管理制度和流程;
(4)负责制定和实施公司每年的信息安全宣传培训方案和计划。
5.信息安全项目
(1)负责在各部门和职能部门开展信息安全项目,导入信息安全体系;
(2)根据公司信息安全策略,协助各部门和职能部门制定信息安全管理流程和操作手册;
(3)负责定期对各部门进行风险检查,并根据检查报告督促各部门制定改善计划;
(4)负责对各部门进行每月的信息安全巡查,并根据巡查报告督促各部门改善风险点。
2.3.信息安全执行工作组
1.负责接收信息安全管控委员会的策略,并在本机构具体落实信息安全体系;
2.作为职能部门与公司层面信息安全的接口,定期向信息安全管控委员会反馈信息安全管理情况等工作;
3.负责根据信息安全管控委员会的各项信息安全风险评估报告,制定后期改善计划,以求不断改进本机构信息安全状况;
4.各部门信息安全负责人
(1)由各部门经理指派信息安全负责人;
(2)信息安全负责人在获得最新公司信息安全要求及信息,并在各部门内部推行;
(3)负责落实本部门信息安全培训,宣传等工作。
(4)对本部门信息安全状况负责;
(5)协助信息安全管控委员会的安全审计工作;
(6)负责本部门信息安全巡查工作;
(7)根据信息安全管控委员会的要求,提供信息安全相关数据,报表等。
第3章职责和权限
3.1.信息管理部
3.2.经营管理部
3.3.财务管理部
3.4.人力资源及行政中心
3.5.营销中心
升级会员 