信息安全管理手
信息安全管理手册
目 录
01 颁布令 ................................................................ 3 02 管理者代表授权书 ...................................................... 4 03 企业概况 .............................................................. 5 04 信息安全管理方针目标 .................................................. 6 05 手册的管理 ............................................................ 8 信息安全管理手册 ......................................................... 9 1 范围 .................................................................. 9
1.1 总则 ............................................................. 9 1.2 应用 ............................................................. 9 2 规范性引用文件 ....................................................... 10 3 术语和定义 ........................................................... 10
3.1 本公司 .......................................................... 10 3.2 信息系统 ........................................................ 10 3.3 计算机病毒 ...................................................... 10 3.4 信息安全事件 .................................................... 10 3.5 相关方 .......................................................... 10 4 信息安全管理体系 ..................................................... 11
4.1 概述 ............................................................ 11 4.2 建立和管理信息安全管理体系 ...................................... 11 4.3 文件要求 ........................................................ 17 5 管理职责 ............................................................. 19
5.1 管理承诺 ........................................................ 19 5.2 资源管理 ........................................................ 19 6 内部信息安全管理体系审核 ............................................. 20
6.1 总则 ............................................................ 20
第 1 页 共 37页
信息安全管理手册
6.2 内审策划 ........................................................ 20 6.3 内审实施 ........................................................ 20 7 管理评审 ............................................................. 22
7.1 总则 ............................................................ 22 7.2 评审输入 ........................................................ 22 7.3 评审输出 ........................................................ 22 7.4 评审程序 ........................................................ 23 8 信息安全管理体系改进 ................................................. 24
8.1 持续改进 ........................................................ 24 8.2 纠正措施 ........................................................ 24 8.3 预防措施 ........................................................ 24 附录A(规范性附录)信息安全管理组织结构图 ............................... 26 附录B(规范性附录)办公大楼平面图 ....................................... 27 附录C(规范性附录)信息安全管理职责明细表 ............................... 27 附录D(资料性附录)信息安全管理程序文件清单 ............................. 30 附录E (规范性附录) 信息安全角色和职责................................... 30 附录F(规范性附录)组织机构图........................................... 35 附录G(规范性附录)ISMS职能分配表.......................................36
第 2 页 共 37页
信息安全管理手册
01 颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了无锡********安全技术研究有限公司《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自 2009年 12月 23 日起实施。企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
无锡********安全技术研究有限公司
总经理:
2009年 12 月 23 日
第 3 页 共 37页
信息安全管理手册
02 管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命 刘亚利 为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作; 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 7. 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体
系运行情况、内外部审核情况。
本授权书自任命日起生效执行。
无锡********安全技术研究有限公司
总 经 理:
2009年 12 月 23 日
第 4 页 共 37页