ISO27001信息安全管理體系-信息安全管理手冊

XXXX-ISMS-SC-2019版本制訂者XXX修改時間版本制訂者XXX修改時間審批人馮克艷馮克艷審核意見變更申請單號XXXXXX 7 7 71.2.2刪減說明 71.2.3信息安全手冊說明 72規(guī)范性引用文件 8 9 94組織的背景 4.1了解公司現(xiàn)狀及背景 94.2理解相關(guān)方的需求和期望 94.3確定信息安全管理體系的范圍 5.1領(lǐng)導(dǎo)力和承諾 5.2信息安全管理體系的方針 5.3角色，責(zé)任和承諾 5.3.1信息安全組織機構(gòu) 5.3.2信息安全職責(zé)和權(quán)限 6.1處理風(fēng)險和機遇的行動 6.1.2信息安全風(fēng)險評估 6.1.3信息安全風(fēng)險處置 6.2可實現(xiàn)的信息安全目標(biāo)和計劃 7.5.2創(chuàng)建和更新 7.5.3文檔化信息的控制 8.1運行計劃及控制 8.2信息安全風(fēng)險評估 8.3信息安全風(fēng)險處置 9.1監(jiān)視，測量，分析和評價 10.1不符合及糾正措施 信息安全管理職能分配表 01頒布令經(jīng)公司全體員工的共同努力依據(jù)GB/T22080-2016XXXXXXXX有限公司02管理者代表授權(quán)書為貫徹執(zhí)行GB/T22080-2016/ISO/IEC27001：2013《信息安全管理體系》，加強1）確保公司信息安全管理體系所需過程得到建立、實施、運行和保持。確保信息2）向最高管理者報告信息安全管理體系業(yè)績（績效）和任何改善需求，為最高管3）確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識和信息安全風(fēng)險意4）在信息安全管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)。2、授權(quán)XXX為ISMS信息XXXXXXXX有限公司XXXXXXXX有限公司《信息安全管理體系手冊》（以下簡稱本手冊）依據(jù)GB/T本《信息安全管理體系手冊》采用了GB/T220800-2016標(biāo)準(zhǔn)正文的內(nèi)容，本公司刪A.14.1.2保護公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.1.3保護應(yīng)用服務(wù)交易本手冊可根據(jù)實際情況的變化進行修改，應(yīng)由信息安全管理體系相關(guān)部門提出申信息安全管理體系運行過程中發(fā)現(xiàn)問題，或信息安全管理體系需進一步改進發(fā)現(xiàn)本手冊中的存在差錯或不明確之處體系審核或管理評審提出改進要求本手冊的更改控制按《文件管理程序》執(zhí)行組織機構(gòu)、經(jīng)營環(huán)境、信息技術(shù)架構(gòu)、產(chǎn)品結(jié)構(gòu)發(fā)生重大變化修改涉及了相當(dāng)多的頁次或一個版本的修改達(dá)到十次本手冊完成修改后，經(jīng)審批重新發(fā)布實施。本手冊的原審批崗位對手冊的修改信息安全手冊經(jīng)總經(jīng)理批準(zhǔn)后，由商務(wù)部存放到公司的文件服務(wù)器指定位置，GB/T22080-2016/ISO/IEC27001：2013的術(shù)語和定義適用于本《信息安全管理體4.2理解相關(guān)方的需求和期望本公司的信息安全管理體系按照GB/T22080-2016/ISO/IEC27001：2013《信息技的信息安全管理體系。e)向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進）；本公司總經(jīng)理為信息安全最高責(zé)任者。總經(jīng)理指定信息安全管理者代表,無論信息安全管理者代表其他方面的職責(zé)如何，對信息安全負(fù)有以下職責(zé)：a)建立并實施信息安全管理體系必要的程序并維持其有效運行；b)對信息安全管理體系的運行情況和必要的改善措施向信息安全小組或最高責(zé)任各部門、人員有關(guān)信息安全職責(zé)分配見附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)a)在公司內(nèi)各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全方針、安全c)定期進行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保d)采用先進有效的設(shè)施和技術(shù)，處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共e)對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和f)制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。6.1處理風(fēng)險和機遇的行動6.1.2信息安全風(fēng)險評估6.1.2.1風(fēng)險評估的方法過對這些項目的賦值計算出在喪失保密性、完整性和可用性可能對重要資產(chǎn)造成的影需對風(fēng)險的所有者進行指定。a)針對所有資產(chǎn)的自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果b)針對每一項威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進行賦值，然后計算d)根據(jù)《信息安全風(fēng)險識別與評價管理程序》及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時間。6.1.3.1選擇控制目標(biāo)與控制措施安全適用性聲明》6.1.3.3適用性聲明b)對GB/T22080-2016/ISO/IEC27001：2013錄A中未選用的控制目標(biāo)及控制措施6.2可實現(xiàn)的信息安全目標(biāo)和計劃a)信息安全方針;益;取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及的要求等，溝通方式在《信息安全溝通管理程序》進行規(guī)定。d)本手冊涉及的相關(guān)支持性程序性文件，例如《信息安全風(fēng)險識別與評價管理程a)形成《信息安全風(fēng)險處理計劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措b)為實現(xiàn)已確定的安全目標(biāo)、實施《信息安全風(fēng)險處理計劃》，明確各崗位的信d)確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估e)對運行過程中發(fā)生的非計劃的變更進行規(guī)劃，以減輕不良的影響；f)本公司外包方為物業(yè)公司及電信互聯(lián)網(wǎng)運行商、供應(yīng)商及信息安全產(chǎn)品供方。8.2信息安全風(fēng)險評估8.3信息安全風(fēng)險處置公司需保留信息安全風(fēng)險處理計劃的執(zhí)行結(jié)果的文檔化的記錄。b）本公司管理者代表組織日常的工作檢查、發(fā)現(xiàn)存在的問題，對發(fā)現(xiàn)的問題做出風(fēng)險應(yīng)按審核計劃的要求實施審核，包括：a)進行首次會議，明確審核的目的和范圍，采用的方法和程序；c)對檢查內(nèi)容進行分析，對審核發(fā)現(xiàn)的問題在《不符合項報告及糾正報告單》中b)相關(guān)方的反饋；b)更新風(fēng)險評估和風(fēng)險處理計劃；c)通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝識別顧客對信息安全的要求等；d)對信息安全目標(biāo)及分解進行適當(dāng)?shù)墓芾?，確保改進達(dá)到預(yù)期的效果。企業(yè)概況XXXXXXXX有限公司，是專業(yè)的呼叫中心外包服務(wù)提供商及電話營銷服務(wù)提供商，專業(yè)從事結(jié)合XXXX在外包及直復(fù)營銷領(lǐng)域的豐富經(jīng)驗，為國際企業(yè)提供專業(yè)的呼叫中心外包服務(wù)。在過去的8年,XXXXXXXX有限公司致力幫助企業(yè)建設(shè)成功的客戶關(guān)系，我們始終專注于國際及本土企業(yè)的實踐與應(yīng)用，致力于幫助更多的企業(yè)創(chuàng)造具有前瞻性和富有戰(zhàn)略意義的的客戶XXXX在合肥市建設(shè)了200個坐席的大型呼叫中心。呼叫中心采用業(yè)內(nèi)最先進的多媒體繼資源與高強度信息安全保障。XXXX利用先進的多媒體呼叫中心業(yè)務(wù)平臺，結(jié)合精準(zhǔn)的許可營銷數(shù)據(jù)庫，為國際企業(yè)XXXX依據(jù)自身的專業(yè)優(yōu)勢，為中國的呼叫中心行業(yè)提供包括呼叫中心全面外包、呼叫通過與眾多戰(zhàn)略伙伴合作，廣泛活躍于呼叫中心業(yè)務(wù)外包，呼叫中心運營管理咨詢，呼叫中心專業(yè)培訓(xùn)以及市場活動執(zhí)行。立志于提供最高品質(zhì)的呼叫中心綜合服務(wù)?？偨?jīng)理綜合部銷售部運營部技術(shù)部“☆”為配合職能56789確定信息安全管理體系的范圍★★★★★★★★★★★★★☆☆★☆☆☆☆☆★★☆★☆☆★★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆☆☆★★★★★★★★☆☆★☆☆★☆☆☆☆☆☆☆☆☆★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆☆☆★★★★A．6.2☆☆★☆A(yù)．7☆☆★☆A(yù)．7.1☆☆★☆A(yù)．7.2☆☆★☆A(yù)．7.3☆☆★☆☆☆★☆A(yù).8.1資產(chǎn)的責(zé)任★★★★信息分類☆☆★☆介質(zhì)處理☆☆★☆訪問控制☆☆☆☆訪問控制的業(yè)務(wù)需求☆☆☆☆用戶訪問管理☆☆☆☆用戶責(zé)任☆☆☆☆系統(tǒng)和應(yīng)用訪問控制☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆☆☆★☆☆☆☆☆☆☆☆☆全☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆★☆☆☆附錄4-信息安全小組成員1)任命管理者代表，明確管理者代表的職責(zé)和權(quán)限；2)確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的符合性；3)為信息安全管理體系配備必要的資源；5)負(fù)責(zé)公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控6)遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。1)負(fù)責(zé)建立、實施、保持和改進信息安全管理體系，保證信息安全體2)負(fù)責(zé)公司信息安全管理手冊的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)2管理者代表3)負(fù)責(zé)向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求；4)負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對外聯(lián)絡(luò)。1)負(fù)責(zé)本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項活動；2)負(fù)責(zé)按照ISMS體系的要求，對本部門所擁有和管理維護，包括資產(chǎn)的識別和分類、資產(chǎn)的威脅和脆弱性識別及安全需求級部門信息安全工作33)負(fù)責(zé)根據(jù)ISMS安全政策要求，在本部門提高員工安全意小組成員任，保護信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4)負(fù)責(zé)向信息安全管理工作小組組長報告信息安全事件和違反信息安全政策的行為，協(xié)助對違反安全政策的行為進行調(diào)查；5)協(xié)助信息安全管理工作小組組長和本部門信息安全主管領(lǐng)導(dǎo)落實針我公司信息安全管理體系的歸口實施部門。1.負(fù)責(zé)軟件市場需求調(diào)查，匯總，軟件測試，軟件相關(guān)記錄保管2.負(fù)責(zé)涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。3.對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理44.參與涉密及司法介入的信息安全事件的調(diào)查。5.負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能；