ISO27001信息安全管理手册.docx
- 文档编号:11561048
- 上传时间:2023-03-19
- 格式:DOCX
- 页数:23
- 大小:35.14KB
ISO27001信息安全管理手册.docx
《ISO27001信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理手册.docx(23页珍藏版)》请在冰豆网上搜索。
ISO27001信息安全管理手册
xx有限公司
信
息
安
全
管
理
手
册
ISO/IEC27001:
2013
编制:
审核:
批准:
受控编号:
HTGK-IM-01版本号:
A/1
2016年3月1日颁布2016年3月2日发行
颁布令
经公司全体员工的共同努力下,依据ISO/IEC27001:
2013标准编写的xx有限公司信息安全管理体系已经得到建立并实施。
指导信息安全管理体系运行的信息安全管理体系手册经评审后,现予以批准发布。
《信息安全管理体系手册》的发布,标志着我公司从现在起,必须按照信息安全管理体系标准的要求和公司《信息安全管理体系手册》所描述的规定,不断增强持续满足顾客要求,相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质,安全的产品开发和维护服务,以确定公司在社会上的良好信誉。
《信息安全管理体系手册》是公司规范内部管理的指导性文件,也是全体员工在向顾客提供服务过程必须遵循的行动准则。
《信息安全管理体系手册》一经发布,全体员工必须认证学习,切实执行。
本手册自2016年3月2日正式实施。
总经理:
2016年3月2日
授权书
为贯彻执行ISO/IEC27001:
2013《信息安全管理体系》,加强对信息管理体系运行的领导,特授权:
1,授权XX为公司管理者代表,其主要职责和权限为:
a,确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。
确保信息安全业务风险得到有效控制。
b,向最高管理者报告信息安全管理体系业绩(绩效)和任何改善机会,为最高管理层评审提供依据。
c,确保满足顾客和相关方要求,法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。
d,在信息安全管理体系事宜方面负责与外部的联络。
2,授权梁昆山为ISMS信息安全管理项目责任人,其主要职责和权限为:
确保信息安全管理方案的控制措施得到形成、实施、运行和控制。
3,授权各部门主管为信息安全管理体系在本部门的责任人,对ISMS要求在本部门的实施负责。
总经理:
2016年3月1日
1、前言
xx有限公司《信息安全管理体系手册》(以下简称本手册)依据ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》,结合本行业信息安全的特点编写。
本手册对本公司信息安全管理体系作出了概括性描述,为建立、实施和保持信息安全管理体系提供框架。
1,范围
为建立、实施、运行、监视、评审、保持和改进文件化得信息安
全管理体系,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件,持续改进信息安全管理体系的有效性,特制定本手册。
本手册规定了xx有限公司信息安全管理体
系涉及的范围为电能质量在线监测装置、有源滤波器、输电线路图像/视频在线监测装置、电能质量分析仪的研发与销售相关的信息安全管理。
1.1.1删减说明
本手册采用了ISO/IEC27001:
2013标准正文的全部内容,对附
录A的删减及理由详见《信息安全适用性声明SoA》。
2规范性引用文件
下列文件中的条款通过本手册的引用而成为本手册的条款,凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本手册,然而,信息安全管理小组应研究是否可适用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本手册。
ISO/IEC27001;2013《信息技术-安全技术-信息安全管理体系-要求》
3术语和定义
3.1术语
ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC27002:
2013《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义以及下述定义适用于本手册。
本组织、本公司指:
xx有限公司
3.2缩写定义
ISMS:
InformationSecurityManagementSystems信息安全管理体系;
SoA:
StatementofApplicability适用性声明;
4组织环境
4.1理解组织及其环境
本公司在涉及电能质量在线监测装置、有源滤波器、输电线路图像/视频在线监测装置、电能质量分析仪的研发与销售相关的信息安全管理。
按ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理体系-要求》规定标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系,目的为适应公司内部信息安全管理要求及外部不断变化的信息安全管理要求,从而进一步提升公司的竞争力。
4.2理解相关方的需求和期望
本公司关于信息安全的相关方为提供服务的客户,客户涉及的相关行政单位等。
4.3确定信息安全管理体系范围
本公司根据业务特征、组织结构,地理位置,资产和技术确定了范围和边界:
ISMS的业务范围是:
电能质量在线监测装置、有源滤波器、输电线路图像/视频在线监测装置、电能质量分析仪的研发与销售相关的信息安全管理。
1,ISMS的物理范围是:
办公区域;
2,ISMS的资产范围是:
与1所述业务活动及2所述的物理环境内的相关的软件,硬件,人员及支持性服务等全部信息资产;
3,ISMS的逻辑边界是:
公司连接互联网的计算机,及相关数据传输的活动;
4,本体系适合的资产和技术:
体系所依赖的资产和技术详见《资产清单》;
5,本手册采用了ISO/IEC27001:
2013标准正文的全部内容,对附录A的删减及理由详见《信息安全适用性声明SoA》。
4.4信息安全管理体系
本公司按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。
5.领导力
5.1领导力和承诺
1.在公司内各层次建立完整的信息安全管理组织机构,确定信息安全方针、安全目标和控制措施,明确信息安全的管理职责;
2.识别并满足适用法律、法规和相关方信息安全要求;
3.定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证本体系的持续有效性;
4.采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
5.对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
6.制定并保持完善的业务连续性计划,实现可持续发展。
5.2方针
为了满足适用法律法规及相关方要求,维持ISMS范围内的
业务正常进行,实现业务可持续发展,本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针:
预防为主、安全管理、持续改进、顾客利益至上
本公司信息安全管理体系方针符合以下要求:
1,为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
2,识别并满足适用法律、法规和相关方信息安全要求,以及业务和合同中的安全义务;
3,与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;
4,建立了风险评价的准则;
5,经总经理批准,并定期评审其适用性、充分性、必要时予以修订;
5.3组织的角色,职责和权限
本公司总经理为信息安全最高责任者,总经理制定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何,对信息安全负有以下职责;
1,建立并实施信息安全管理体系必要的程序并维持其有效运行;
2,对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务。
各部门、人员有关信息安全职责分配见附录3(规范性附录)《职责权限》和相应的管理文件(管理标准)规定及岗位说明书。
本公司成立信息安全领导机构----信息安全管理小组的职责是实现信息安全管理体系方针和本公司承诺。
具体职责是;研究决定信息安全工作涉及到的重大事项;审定公司信息安全方针,目标,工作计划和重要文件;为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。
本公司的信息安全职能由信息安全管理小组承担,其主要职责是:
负责制订、落实信息安全工作计划,对单位、部门信息安全工作进行检查、指导和协调,建立健全企业的信息安全管理体系,保持其有效性、持续运行。
本公司采取相关部门代表组成的协调会的方式,进行信息安全协调和协作,以:
1,确保安全活动的执行符合信息安全方针;
2,确定怎样处理不符合;
3,批准信息安全的方法和过程,如风险评估、信息分类;
4,识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;
5,评估信息安全控制措施实施的充分性和协调性;
6,有效的推动组织内信息安全教育、培训和意识;
评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施;
6.规划
6.1应对风险的机会的措施
6.1.1总则
本公司在规划信息安全管理体系时,应确定需要应对的风险和机会以确保信息安全管理体系能实现预期的结果及预防或减少意外的影响,从而实现持续改进,为了达到此目的,本公司应规划应对这些风险和机会的措施,及将这些措施整合到信息安全管理体系过程中,并予以实施和评价这些措施的有效性。
6.1.2信息安全风险评估
信息安全管理小组制定《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受登记。
按信息安全风险评估执行《信息安全风险管理程序》进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
6.1.2.1识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》对所有的资产和资产所有者进行了识别。
对每一项资产按重置成本级别、保密性、完整性、可用性和资产减值及重要性级别进行了量化赋值,根据重要资产判断准则确定是否为重要资产,形成《重要资产清单》。
同时根据《信息安全风险管理程序》识别对这些资产的威胁、可能被威胁利用的脆弱性、现有的控制措施及现有控制措施的有效性,并通过对这些项目的赋值计算出在丧失保密性、完整性和可利用性可能对重要资产造成的影响。
6.1.2.2分析和评价风险
本公司按《信息安全风险管理程序》分析和评价风险:
1,针对重要资产的价值和脆弱性严重程度,计算出风险发生的影响值;
2,针对每一项威胁发生频率、脆弱性被威胁利用的容易程度进行赋值,然后计算得出风险发生的可能性;
3,根据《信息安全风险管理程序》计算风险等级,从而得出风险等级;
4,根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
6.1.2.3识别和评价风险处理的选择
信息安全管理小组和相关部门根据风险评估的结果,形成《信息安全风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施;
1,控制风险,采用适当的内部控制措施;接受风险;避免风险;转移风险;
6.1.3选择控制目标与控制措施
信息安全管理小组根据相关法律法规要求、信息安全方针、业务发展要求及风险评估的结果,组织有关部门选择和制定了信息安全目标,并将目标分解到有关部门(见《信息安全适用性声明》):
1,信息安全控制目标获得总经理的批准。
2,控制目标及控制措施的选择原则来源于ISO/IEC27001:
2013附录A,
3,本公司根据信息安全管理的需要,可以选择标准之外的其它控制措施。
6.1.3.1剩余风险
对风险处理后的剩余风险应形成《信息安全剩余风险评估报告》并得到公司管理者的批准。
6.1.3.2授权
管理者对实施和运行信息安全管理体系进行授权。
6.1.3.3适用性声明
信息安全管理小组编制《信息安全适用性声明(SoA)》。
该声明包括以下方面的内容;
1,所选择控制目标与控制措施的概要描述,以及选择的原因;
2,对ISO/IEC27001:
2013附录A中未选用的控制目标及控制措施理由的说明。
6.2信息安全目标和实现规划
本公司的信息安全目标为:
泄密事件发生次数≤1次/年
为确保本公司信息安全目标的实现,落实到各个部门的目标为:
行政部:
机房发生瘫痪次数≤1次/每年
业务部:
客户泄密发生次数≤1次/每年
技术部:
技术资料丢失次数≤2次/每年
7支持
7.1资源
本公司应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。
7.2能力
信息安全管理小组制定并实施《员工培训管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。
可以通过:
1,确定承担信息安全管理体系各工作岗位的职工所必要的能力;
2,提供职业技术教育和技能培训或采取其他措施来满足这些需求;
3,评价所采取措施的有效性;
4,保留教育、培训、技能、经验和资格的记录;
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
7.3意识
本公司工作的人员应了解:
1,信息安全管理方针,
2,员工对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处
3,不符合信息安全管理体系要求带来的影响。
7.4沟通
在本公司内外部沟通应确定:
沟通内容,沟通时间,沟通对象,责任者等。
7.5文件化信息
7.5.1总则
本公司信息安全管理体系文件包括:
1,文件化的信息安全方针,在《信息安全管理体系手册》中描述,选择的控制目标在《信息安全适用性声明SoA》中描述;
2,《信息安全管理体系手册》(本手册,包括信息安全适用范围及引用的标准);
3,ISO/IEC27001:
2013标准中规定需文件化的程序;
4,本手册涉及的相关支持性程序性文件;
5,为确保有效策划、运作和控制信息安全过程所指定的文件化操作程序;
6,《风险管理计划》以及信息安全管理体系要求的记录类;
7,相关的法律、法规和信息安全标准;
8,《信息安全适用性声明SoA》;
7.5.2创建和更新
信息安全管理小组按《文件控制程序》及《记录控制程序》的要求,对信息安全管理体系所要求的文件进行管理。
对《信息安全管理体系手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标示、发放、适用、修订、作废、回收等工作实施控制,以确保在适用场所能够及时获得适用文件的有效版本。
7.5.3文件化信息的控制
文件化信息控制应保证:
1,文件发布前得到批准,以确保文件是充分的和适宜的;
2,必要时对文件进行评审、更新并再次批准;
3,确保文件的更改和现行修订状态得到识别;
4,确保在使用时,可获得相关文件的最新版本;
5,确保文件保持清晰,易于识别;
6,确保文件可以为需要者所获得,并根据适用于其他类别的程序进行转移、存储和最终的销毁;
7,确保外来文件得到识别;
8,确保文件的分发得到控制;
9,防止作废文件的非预期适用;
10,如果因为任何目的的需要保留作废文件时,应对其进行适当的标识。
11.信息安全管理小组对记录的标识、储存、保护、检索、保管、废弃等进行管理。
8.运行
8.1运行规划和控制
为确保信息安全管理体系的有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
1,形成《信息安全风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
2,为实现已确定的安全目标、实施《信息安全风险处理计划》,明确各岗位的信息安全职责;
3,实施所选择的控制措施,以实现控制目标的要求;
4,确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
5,进行信息安全培训,提高全员信息安全意识和能力;
6,对信息安全体系的运行进行管理;
7,对信息安全所需资源进行管理;
8.2信息安全风险评估
信息安全管理小组组织有关部门按照《信息安全风险管理程序》的要求,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估;
1,组织;
2,技术
3,业务目标和过程;
4,已识别的威胁;
5,实施控制的有效性;
6,外部事件,例如法律或规章环境的变化;合同责任的变化以及社会环境的变化。
考虑监视和评审活动的发现,更新信息安全计划
8.3信息安全风险处置
本公司针对信息安全评估所获得的不可接受的风险,实施控制程序,对信息安全事故(或征兆)进行迅速反应。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括信息安全运行的各种管理标准、规章制度)的要求实施信息安全控制措施。
9绩效评价
9.1监视、测量、分析和评价
本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现;
1,及时发现处理结果中的错误、信息安全管理体系的事故和隐患;
2,及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
3,使管理者确认人工或自动执行的安全活动达到预期的结果;
4,使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
5,积累信息安全方面的经验。
9.2内部审核
本公司信息安全管理小组按《内部审核管理程序》的要求策划和实施信息安全管理体系内部审核以及报告结果和保持纪录。
本公司每年进行一次信息安全管理体系内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:
1,符合本标准的要求和相关法律法规的要求;
2,符合已识别的信息安全要求;
3,得到有效地实施和维护;
4,按预期执行;
9.2.1内审策划
信息安全管理小组策划审核过程、区域的状况、重要性以及以往审核的结果,对审核工作进行策划。
应编制《年度内审计划》,确定审核的准则、范围、频次和方法。
每次审核前,信息安全管理小组应编制《内部审核计划》,确定审核的准则、范围、日程和审核组。
审核员的选择和审核的实施应确保审核过程的客观性和公正性。
审核员不应审核自己的工作。
《内部审核计划》经信息安全管理者代表批准,提前三天通知被审核部门,被审核部门现场审核时应选派有关人员配合审核。
9.2.2内审员
内部审核员必须是熟悉本公司信息安全管理情况,参加内部审核员培训并考核合格的人员。
内部审核员应来自于不同的部门,审核人员应与被审核活动无直接责任,以保持工作的独立性。
各部门选择符合内部审核员条件的候选人,参加内部审核员的培训并考试合格,填写内部审核员评定表,经信息安全管理者代表批准,方取得内部审核员资格。
9.2.3内审实施
9.2.4活动
应按审核计划的要求实施审核,包括:
1,进行首次会议,明确审核的目的和范围,采用的方法和程序;
2,实施现场审核,检查相关文件,记录和凭证,与相关人员进行交流,填写审核发现;
3,对检查内容进行分析,对审核发现的问题在《不符合项报告及纠正报告单》中开出不符合项;
4,审核组长编制《内部审核报告》;
9.2.5不符合处理
对审核中提出的不符合项,责任部门应制定纠正措施,由信息安全管理小组对纠正措施的实施情况进行跟踪、验证,并将结果记入《不符合项报告及纠正报告单》。
9.2.6记录
内部审核记录由信息安全管理小组保存,并作为管理评审的输入之一。
9.3管理评审
根据以上活动的结果及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全管理体系的范围、方针、目标的符合性及控制措施有效性的评审,考虑信息安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。
9.3.1评审输入
管理评审的输入要包括以下信息:
1,信息安全管理体系审核和评审结果;
2,相关方的反馈;
3,用于改进信息安全管理体系业绩和有效性的技术、产品或程序;
4,预防和纠正措施的状况;
5,以往风险评估没有充分强调的脆弱点或威胁;
6,有效性测量的结果;
7,以往管理评审的跟踪措施;
8,任何可能影响信息安全管理体系的任何变更。
9,改进的建议;
9.3.2评审输出
管理评审的输出应包括与以下方面有关的任何决定和措施:
1,信息安全管理体系有效性的改进;
2,更新风险评估和风险处理计划;
3,必要时,修订影响信息安全的程序和控制程序,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化;
A,业务要求;
B,安全要求;
C,影响现有业务要求的业务过程;
D,法律法规环境;
E,合同义务;
F,风险级别/或接受风险的准则;
4,资源需求;
5,改进测量控制措施有效性的方式。
5信息安全管理体系改进
5.1.1.1记录
记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
5.1.2保持与持续改进信息安全管理体系
我公司开展以下活动,以确保信息安全管理体系的持续改进;
1,实施每年管理评审,内部审核、安全检查等活动以确定需改进的项目;
2,按照本手册第六章和第八章的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故的经验教训,不断改进安全措施的有效性;
3,通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。
包括获取外部信息安全专家的建议,信息安全正副行政主管部门的联系及识别顾客对信息安全的要求等;
4,对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
1,建立信息安全方针;
2,确保信息安全目标和计划得以制定(见《信息安全适用性声明SoA》、《风险处理计划》及相关记录);
3,建立信息安全的角色和职责(见本手册附录3(规范性附录)《职责权限》和相应的管理程序);
4,向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
5,提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2.1章);
6,决定接受风险的准则和风险的可接受等级(见《信息安全风险管理程序》及相关记录);
7,确保内部信息安全管理体系审核(见本手册第6章)得以实施;
8,实施信息安全管理体系管理评审(见本手册第七章);
5.2资源管理
5.2.1资源的提供
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工是有能力胜任的,以保证:
1,建立、实施、运作、监视、评审、保持和改进信息安全管理体系;
2,确保信息安全管理程序支持业务要求;
3,识别并指出法律法规要求和合同安全责任;
4,通过正确应用所实施的所有控制来保持充分的安全;
5,必要时,进行评审,并对评审的结果采取适当措施;
6,需要时,改进信息安全管理体系的有效性;
6内部信息安全管理体系审核
6.1总则
总经理应每年进行一次管理评审,以确保信息安全管理体系持续的适宜性、充分性和有效性,管理评审按《管理评审程序》进行。
管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括信息安全方针的信息安全目标。
管理评审的结果应清晰地形成文件,记录应加以保持。
10改进
10.1不符合和纠正措施
本公司依据《纠正措施控制程序》和《预防措施控制程序》的要求,通过使用信息安全方针、信息安全目标
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 手册