logo资料库

ISO27001手册信息安全管理手册.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.40M 资料格式:doc 举报 版权申诉
第1页 / 共31页
第2页 / 共31页
第3页 / 共31页
第4页 / 共31页
第5页 / 共31页
第6页 / 共31页
第7页 / 共31页
第8页 / 共31页
资料共31页,剩余部分请下载后查看
    01信息安全管理手册发布令
    02信息安全方针批准令
    03任 命 书
    04公司介绍
    1.目的和范围
    1.1 总则
    1.2范围
    1.3删减说明
    2.引用标准
    3.术语和定义
    3.1 术语
    3.2 缩写
    4.信息安全管理体系
    4.1 总要求
    4.2 建立和管理ISMS
    4.3 文件要求
    5.管理职责
    5.1 管理承诺
    5.2 资源管理
    5.2.3 相关文件
    6. ISMS内部审核
    6.1 总则
    6.2 内审策划
    6.3 内审实施
    7. ISMS 管理评审
    7.1 总则
    7.2 评审输入
    7.3 评审输出
    8 ISMS改进
    8.1持续改进
    8.2 纠正措施
    9. 记录
    表A.1 受控文件清单
    表A.3 信息安全组织机构图
    表A.4 信息安全职责说明
    表A.5 XXX有限公司新点2008年12月组织机构图
    信息安全管理手册
    版 本 编 号 变 化 简要说明(变更内容、 变更履历 序 号 或 更 改 记 状 态 变更位置、变更原因和 变更日期 变更人 审核人 批准人 批准日期 录编号 1 1.0 * C 变更范围) 创建,全页。 2009-1-5 金浩海 金浩海 曹立斌 2009-1-5 *变化状态:C——创建,A——增加,M——修改,D——删除
    目 录 01 信息安全管理手册发布令 ................................................................... 4 02 信息安全方针批准令 ....................................................................... 5 03 任 命 书 ............................................................................... 7 04 公司介绍 ................................................................................. 8 1.目的和范围 .............................................................................. 11 1.1 总则 ................................................................................. 11 1.2 范围 ................................................................................... 11 1.3 删减说明 ............................................................................... 11 2.引用标准 ................................................................................ 11 3.术语和定义 .............................................................................. 11 3.1 术语 .................................................................................. 11 3.2 缩写 .................................................................................. 11 4.信息安全管理体系 ........................................................................ 11 4.1 总要求 ................................................................................ 11 4.2 建立和管理 ISMS ........................................................................ 12 4.3 文件要求 .............................................................................. 16 5.管理职责 ................................................................................ 17 5.1 管理承诺 .............................................................................. 17 5.2 资源管理 .............................................................................. 18 5.2.3 相关文件 ............................................................................ 18 6. ISMS 内部审核 ........................................................................... 18 6.1 总则 ................................................................................. 18 6.2 内审策划 ............................................................................. 18 6.3 内审实施 ............................................................................. 19 7. ISMS 管理评审 .......................................................................... 19 7.1 总则 .................................................................................. 19 7.2 评审输入 .............................................................................. 19 7.3 评审输出 .............................................................................. 19 8 ISMS 改进 ................................................................................ 20 8.1 持续改进 ............................................................................... 20 8.2 纠正措施 .............................................................................. 20 9. 记录 ................................................................................... 21 表 A.1 受控文件清单 ....................................................................... 22 表 A.3 信息安全组织机构图 ................................................................. 27 表 A.4 信息安全职责说明 ................................................................... 28 表 A.5 江苏苏州金商科技发展有限公司新点 2008 年 12 月组织机构图 .............................. 31
    01 信息安全管理手册发布令 本《信息安全管理手册》(以下简称手册)第 1.0 版是我们公司按照 ISO/IEC 27001:2005《信 息安全管理体系要求》,并结合我们公司管理工作的实践和公司组织机构的设置而编写的,体现了 我们公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款 的要求,符合我公司的实际运作情况,可作为向客户及第三方组织提供信息安全保证和进行信息 安全管理体系审核的依据,全体员工必须严格遵照执行。 现予以批准,同意发布实施。 总经理: 批准日期:2009-1-5
    02 信息安全方针批准令 信息安全管理体系方针 1.总体方针: 满足客户要求,实施风险管理,确保信息安全,实现持续改进。 2.诠释: 一、信息安全管理机制 1.我们通过计算机及网络设备提供软件开发业务、IT 系统集成业务等服务,因此,信息资产的安全性对我们 来说是非常重要的事情。为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,我们依 据 ISO/IEC 27001:2005 标准,建立信息安全管理体系,全面保护公司的信息安全,并承诺如下: 一、信息安全管理组织 1. 总经理对信息安全全面负责,批准信息安全方针,确定安全要求,提供资源。 2. 信息安全管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜 性和有效性。 3. 在公司内部建立息安全组织机构:信息安全委员会及信息安全工作小组,负责信息安全管理体系的运行。 4. 与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安 全管理的支持。 二、人员安全 1. 信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包 含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全 职责和权限。 2. 对公司的相关方,如:软硬件供应商、服务商、保卫、消防、清洁等人员,也要明确安全要求和安全职责。 3. 定期对全体员工进行信息安全相关教育和培训,包括:技能、职责等,以提高安全意识。 4. 全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 三、识别法律、法规、合同中的安全 1. 及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 四、风险评估 1. 根据公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 2. 定期进行风险评估,以识别公司风险的变化。公司或环境发生重大变化时,随时评估。 3. 应根据风险评估的结果,采取相应措施,降低风险。 五、报告安全事件
    1. 公司建立报告安全事件的渠道和相应部门。 2. 全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径 进行报告。 3. 接受报告的相应部门应记录所有报告,及时相应处理,并向报告人员反馈处理结果。 六、监督检查 1. 定期对信息安全进行定期或不定期的监督检查,包括:日常检查、专项检查、技术性检查、内部审核 等, 2. 对信息安全方针及其他信息安全政策进行定期评审(至少一年一次)或不定期评审 七、业务持续性 1. 公司根据风险评估的结果,建立业务持续性计划,减少信息系统的中断发生的几率,防止关键业务过 程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。 2. 定期对业务持续性计划进行测试演练和更新。 八、违反信息安全要求的惩罚 1. 对违反安全方针、职责、程序和措施的人员,按规定进行处理。 2009 年 1 月 5 日 XXXX 有限公司 总经理:
    03 任 命 书 为贯彻执行信息安全管理体系,满足 ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》标准 的要求,加强领导,特任命行政部经理 XXX 为 XXXXX 有限公司信息安全管理者代表。 授权信息安全管理者代表有如下职责和权限: 1. 确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系; 2. 负责与信息安全管理体系有关的协调和联络工作; 3. 确保在整个组织内提高信息安全风险的意识; 4. 审核风险评估报告、风险处理计划; 5. 批准发布程序文件; 6. 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 7. 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外审核情况。 本授权书自任命日起生效执行。
    04 公司介绍 一、 公司简介 首批通过认定的软件企业、江苏省高新技术企业;通过 ISO9000 质量体系认定,通过 CMMI L3 认证评 估;建筑智能化设计甲级、施工三级;江苏省软件和集成电路专项基金项目开发承担者。公司自建自用的 软件园占地面积 1 公顷、建筑面积 4300 平方米,设施齐全,条件优良。 专业从事电子政务软件、建筑行业软件的开发,年纯软件销售额超过 2300 万元。开发平台主要采用 微软的.NET 技术,及其它的微软系列开发工具。主要软件产品有:政府版 OA、网站大师、数据整合、报 表统计、系列造价软件等,其中套装软件累计销售 20000 多套,同时为 200 多个政府部门完成了 700 多个 定制项目,业绩在业内领先。 经过 8 年摸索,公司现已进入快速扩张期,已在江苏各地及上海、安徽、山东、浙江设有数十个分支 机构或服务点,拟建立更多的销售服务点。公司注册资本 1000 万元,员工总人数超过 150 人,本科学历 为主体,平均年龄 27 周岁。 二、 股权结构 公司管理者 公司骨干员工 、 三、 部门划分 董事会下的总经理负责制。 主要部门有: 行政部:负责公司财务、人事、采购、资质管理、后勤等工作。 拓展部:技术研究,方案设计,售前支持。 开发部:公司所有软、硬件产品的开发。 测试部:公司所有软、硬件产品的测试。 市场部:市场推广,产品销售。又分为各软件事业部和地区办事处。 实施部:售后支持,硬件施工,软件安装、调试、培训和服务。 四、 指导思想  推广和使用先进技术  为社会提供有益的服务和产品  创造物质财富  培养一批中产阶级 五、 长期目标  建立良好的工作硬环境  引导公司内部和谐的人际关系  提供优厚的薪酬待遇
    分享到:
    收藏

    相关推荐

    资料库

    信息化

    共收录1827份资料,累计6个分类,关注成员有19位,主要包括:管理软件,企业管理,电子商务,其它,IT管理,项目管理

    热门标签

    管理软件 企业管理 电子商务 其它 IT管理 项目管理

    最新资料