iso27001信息安全管理手册
信息安全管理手册
版本号:V1.0
iso27001信息安全管理手册
目 录
01 颁布令 ................................................................ 1 02 管理者代表授权书 ...................................................... 2 03 企业概况 ............................................................. 3 04 信息安全管理方针目标 .................................................. 3 05 手册的管理 ............................................................ 6 信息安全管理手册 ......................................................... 7 1 范围 .................................................................. 7
1.1 总则 ............................................................. 7 1.2 应用 ............................................................. 7 2 规范性引用文件 ........................................................ 8 3 术语和定义 ............................................................ 8
3.1 本公司 ........................................................... 8 3.2 信息系统 ......................................................... 8 3.3 计算机病毒 ....................................................... 8 3.4 信息安全事件 ..................................................... 8 3.5 相关方 ........................................................... 8 4 信息安全管理体系 ...................................................... 9
4.1 概述 ............................................................. 9 4.2 建立和管理信息安全管理体系 ....................................... 9 4.3 文件要求 ........................................................ 15 5 管理职责 ............................................................. 18
5.1 管理承诺 ........................................................ 18 5.2 资源管理 ........................................................ 18 6 内部信息安全管理体系审核 ............................................. 19
6.1 总则 ............................................................ 19 6.2 内审策划 ........................................................ 19 6.3 内审实施 ........................................................ 19 7 管理评审 ............................................................. 21
iso27001信息安全管理手册
7.1 总则 ............................................................ 21 7.2 评审输入 ........................................................ 21 7.3 评审输出 ........................................................ 21 7.4 评审程序 ........................................................ 22 8 信息安全管理体系改进 ................................................. 23
8.1 持续改进 ........................................................ 23 8.2 纠正措施 ........................................................ 23 8.3 预防措施 ........................................................ 23
iso27001信息安全管理手册
01 颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自 2015年 12月 23 日起实施。企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
2015年 12 月 23 日
1
iso27001信息安全管理手册
02 管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命 为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作; 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7. 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运
行情况、内外部审核情况。
本授权书自任命日起生效执行。
总 经 理:
2013年 12 月 23 日
2