ISMS手冊-信息安全管理體系手冊

1、 3/3ISMS手冊-信息安全管理體系手冊 信息安全管理IT服務(wù)管理體系手冊 發(fā)布令 本公司按照020000:2005信息技術(shù)服務(wù)管理一規(guī)范和IS027001: 2005 信息安全管理體系要求以及本公司業(yè)務(wù)特點編制信息安全管理 b）向組織傳達滿足服務(wù)管理目標和持續(xù)改進的重要性； e）確定并提供策劃、實施、監(jiān)視、評審和改進服務(wù)交付和管理所需的資源, 如招聘合適的人員，管理人員的更新; 1確保按照0207001:2005標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管理體系；按照ISO/IEC 20000信息技術(shù)服務(wù)管理規(guī)范的要求，組織相關(guān)資源，建立、實施和保持IT服務(wù)管理體系，

2、不斷改進IT服務(wù)管理體系，確保其有效性、適宜性和符合性。 2?負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；向公司管理層報告IT服務(wù)管理體系的業(yè)績，如：服務(wù)方針和服務(wù)目標的業(yè)績、客戶滿意度狀況、各項服務(wù)活動及改進的要求和結(jié)果等。 3?確保在整個組織內(nèi)提高信息安全風險的意識； 4?審核風險評估報告、風險處理計劃； 5.批準發(fā)布程序文件； 6.主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告； 向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。 7.推動公司各部門領(lǐng)導，積極組織全體員工，通過工作實踐、教育培訓、業(yè)務(wù)指導等方式不斷提高員工 對滿

3、足客戶需求的重要性的認知程度，以及為達到公司服務(wù)管理目標所應做出的貢獻。 總經(jīng)理: 日期: 信息安全方針和信息安全目標 信息安全方針：信息安全人人有責 本公司信息安全管理方針包括內(nèi)容如下： 一、信息安全管理機制 1?公司采用系統(tǒng)的方法，按照ISO/IEC 27001:2005建立信息安全管理體系，全面保護本公司的信息安全。 二、信息安全管理組織 2?公司總經(jīng)理對信息安全工作全面負責，負責批準信息安全方針，確定信息安全要求，提供信息安全資源。 3?公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。 4.在公司內(nèi)部建立信息安全組織機構(gòu)，信

4、息安全管理委員會和信息安全協(xié)調(diào)機構(gòu)，保證信息安全管理體系的有效運行。 5.與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。 三、人員安全 6.信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應包含對信息安全的要求。特殊崗位的人員應規(guī)定特別的安全責任。對崗位調(diào)動或離職人員，應及時調(diào)整安全職責和權(quán)限。 7.對本公司的相關(guān)方，要明確安全要求和安全職責。 8.定期對全體員工進行信息安全相關(guān)教育，包括：技能、職責和意識。以提高安全意識。 9.全體員工及相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施

5、。 四、識別法律、法規(guī)、合同中的安全 10.及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。 五、風險評估 11.根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。 12.采用先進的風險評估技術(shù)和軟件，定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。 13.應根據(jù)風險評估的結(jié)果，采取相應措施，降低風險。 六、報告安全事件 14.公司建立報告信息安全事件的渠道和相應的主管部門。 15.全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)信息安全事件，應立即按照規(guī)定的途徑進行報告。 16.接

6、受信息安全事件報告的主管部門應記錄所有報告，及時做出相應的處理，并向報告人員反饋處理結(jié)果。 七、監(jiān)督檢查 17.定期對信息安全進行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。 八、業(yè)務(wù)持續(xù)性 18.公司根據(jù)風險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響, 防止關(guān)鍵業(yè)務(wù) 過程受嚴重的信息系統(tǒng)故障或者災難的影響，并確保能夠及時恢復。 19?定期對業(yè)務(wù)持續(xù)性計劃進行測試和更新。 九、違反信息安全要求的懲罰 20.對違反信息安全方針、職責、程序和措施的人員，按規(guī)定進行處理。 信息安全目標： 1.不可接受風險處理率：100% （所有不可接受風險應降低到可接受的程度）。

7、2.重大顧客因信息安全事件投訴為0次（重大顧客投訴是指直接經(jīng)濟損失金額達1萬元以上） 1信息安全管理手冊說明 1. 1公司簡介 XX 1.1編制依據(jù)和目的 本手冊在遵循IS09001: 2005信息安全管理體系要求與ISO/IEC 20000信息技術(shù)服務(wù)管理-規(guī)范的要求編制而成，包括了IS027001: 2005的全部要求，對附錄A的刪減見適用性聲明SoA。 手冊描述公司的信息安全管理體系的總要求，以確保公司的信息安全管理體系能夠達到IS027001: 2005信息安全管理標準的要求；滿足本公司向客戶提供IT服務(wù)所需的IT基礎(chǔ)設(shè)施和IT技術(shù)支持服務(wù)，適用于向客戶或認證機構(gòu)證實，本公司具備提供符

8、合客戶需求的IT服務(wù)能力和服務(wù)質(zhì)量。 本公司的體系程序是手冊的支持性文件，是對體系運作的具體描述。 1.2適用范圍 信息安全管理&IT服務(wù)管理體系手冊適用于本公司提供安全管理體系認證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動。 1. 3術(shù)語和定義 1. 3. 1本手冊應用ISO/IEC 20000中的術(shù)語及定義。 1 . 3. 2本手冊應用IS0/IEC27001中的術(shù)語及定義。 2信息安全管理&IT服務(wù)管理手冊的管理 2 . 1手冊的編制、批準和發(fā)布 2 . 1 . 1按照公司業(yè)務(wù)發(fā)展戰(zhàn)略和客戶需求，經(jīng)公司管理者代表批準，技術(shù)服務(wù)事業(yè)部組織相關(guān)人員，結(jié)合本公司業(yè)務(wù)特點，根據(jù)ISO/IEC 20000標準的要求編寫。 2 . 1. 2IT服務(wù)管理手冊由公司管理者代表批準后發(fā)布。 2 . 2手冊的分發(fā) 2 . 2. 1技術(shù)服務(wù)事業(yè)部負責手冊的發(fā)放、更新、管理與存檔。 2 . 2.2公司各部門負責手冊的使用和保管。 2 . 3手冊的受控狀態(tài) 2 . 3 . 1書面形式的手冊分“有效文件”和“保留文件”兩種形式。作為公司