信息安全管理手册.doc

文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期XXXX信息安全管理手册创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批准人变化状态：新建，增加，修改,删除文件修订履历目录1信息安全管理手册颁布令42信息安全手册说明和管理52.1说明52.2管理52.2.1编写52.2.2批准、发布52.2.3发放和回收52.2.4修改52.2.5保存63目的64适用范围65引用标准66术语和定义67信息安全管理体系67.1总要求67.2建立和管理ISMS77.2.1建立ISMS77.2.2实施和运行ISMS97.2.3监视和评审ISMS107.2.4保持和改进ISMS117.3文件要求117.3.1总则117.3.2文件控制117.3.3记录控制128管理职责128.1管理承诺128.2资源管理128.2.1提供资源128.2.2能力、意识和培训139内部ISMS审核139.1内部审核的要求139.2内部审核记录1410ISMS管理评审1410.1总则1410.2评审输入1410.3评审输出1511ISMS改进1511.1持续改进1511.2纠正措施1511.3预防措施1612附则16XXXX信息安全管理手册1信息安全管理手册颁布令为防范一切来自内部或外部、蓄意或意外的信息安全风险，保护XXXX的信息资产，依据ISO27001:2005信息安全管理体系要求，XXXX编制了信息安全管理手册，经评审定稿，现予以发布实施。XXXX依据ISO27001:2005信息安全管理体系要求建立了信息安全管理体系，以保证XXXX的信息安全目标和方针的实现。本手册是XXXX信息安全管理体系的核心文件，是实施信息安全管理的纲领和行动准则，XXXX的各个部门要组织全体员工认真学习，全面贯彻执行，确保信息安全管理体系的有效运行。本手册可用于对外提供信息安全保证。信息安全管理手册自年月日起生效，XXXX原有与信息安全管理手册相违背的文件同时废止。XXXX年月日2信息安全手册说明和管理2.1说明信息安全管理手册依据ISO27001:2005信息安全管理体系要求并结合XXXX具体情况编写而成。在信息安全管理手册中阐明了XXXX的信息安全方针和目标，对信息安全管理体系做了概括性叙述，是XXXX对外实施信息安全保证、对内进行信息安全管理的纲领性文件。信息安全管理手册所采用的条款与ISO27001:2005信息安全管理体系要求中的条款编写一致，并结合XXXX特点编写了程序文件、制度规定和相关记录文件，形成XXXX的信息安全管理标准，使信息安全管理体系有章可循、有法可依。信息安全管理手册适用于XXXX所有的信息资产。2.2管理通过控制信息安全管理手册的编制、审核、发放、更改、保管和回收等，确保各部门、各岗位使用信息安全管理手册的现行有效版本。2.2.1编写由XXXX信息安全工作小组进行手册的编写工作。2.2.2批准、发布由XXXX信息安全管理委员会批准、签署发布和规定实施日期。2.2.3发放和回收由行政部负责手册的发放和回收。信息安全管理手册的持有者若调离单位或不再从事相关工作时，行政部应及时收回手册，办理回收登记和注销手续。受控的信息安全管理体系文件发放须列发放清单，由信息安全工作主管领导批准。经批准的文件持有者或部门，不得擅自对外交流、发放和外送。非受控文件，可发给对外交流单位和个人，但须由使用部门申请，行政部批准和登记在册，方可发放。2.2.4修改信息安全管理手册应在以下情况发生时进行更改，程序和方法需按照文件控制程序执行。1、单位组织结构有较大变动时；2、单位业务系统有较大变动时；3、外部环境发生重大变化时；4、国家法律、法规有重大变化时；5、单位信息安全方针和目标有重大变化时。2.2.5保存持有者应爱护并妥善保管好本手册，保证其完整、清晰，不得遗失、损坏。3目的为了建立、健全本单位信息安全管理体系（简称ISMS），逐步提升单位的信息安全保障能力，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件，持续改进ISMS的有效性，特制定本手册。4适用范围本手册适用于7.2.1.1条款确定范围内的信息安全管理活动。5引用标准本单位选择ISO27001:2005标准，并结合各部门业务特点和信息安全管理需要建立了信息安全管理体系。信息安全管理手册引用的标准有：ISO27001:2005，信息安全管理体系要求ISO17799:2005，信息安全管理实施细则6术语和定义本手册采用ISO27001:2005信息安全管理体系要求及ISO17799:2005信息安全管理实施细则中的术语和定义。7信息安全管理体系7.1总要求按照ISO27001:2005信息安全技术-信息安全管理体系要求，采用PDCA模式建立信息安全管理体系，同时考虑该体系的实施、维持和持续改善，确保体系的有效性。7.2建立和管理ISMS7.2.1建立ISMS7.2.1.1ISMS范围信息安全管理体系（ISMS）适用于位于XXXXX的信息安全管理活动。具体范围包括：1、单位的所有部门和所有人员。2、单位的所有业务系统及其他IT系统（xxx系统、XXX系统）。3、单位的所有基础设施、硬件设备、软件及信息资产。7.2.1.2ISMS目标提高全员的信息安全意识，积极做好预防工作，保护单位的信息资产免受非授权的访问、修改、泄密和破坏，防止安全事故的发生，最小化安全事故的影响，保障信息系统安全、持续的运行。7.2.1.3ISMS方针为制定符合实际情况的ISMS方针，依据以下方面的要求：1、作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则。2、考虑单位业务发展、法律法规要求及其他相关方信息安全的要求。3、为ISMS的建立和维持提供一个组织化的战略和风险管理的基本环境。4、确定风险评估的准则和结构。为了满足适用法律法规及相关方要求，维持业务的正常进行，依据ISO27001:2005标准，建立信息安全管理体系，以保证单位业务信息的保密性、完整性和可用性，实现业务可持续发展的目的。单位的ISMS方针如下：XXXXXXXXXXXXXXXXX为了满足以上信息安全方针，维持生产和经营的正常进行，实现业务可持续发展的目的。本单位承诺：1、成立信息安全管理委员会来领导信息安全工作，信息安全管理委员会定期召开会议，对有关的信息安全重大问题做出决策。2、清晰识别所有的资产，实施等级标记，对资产进行分级、分类管理，并编制和维护所有重要资产的清单。3、综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全，并加强对外单位人员访问信息系统的控制和制约，降低系统被入侵的风险。4、启动所有操作系统、网络设备、安全设备、应用软件的日志功能，定期进行审计并作相应的记录。5、明确全体员工的信息安全责任，所有员工都必须接受信息安全的教育培训，提高信息安全意识，针对不同岗位，制定不同等级的培训计划，并定期对各个岗位的人员进行安全技能及安全认知的考核。6、建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息安全事故的流程，并使所有的员工和相关方都能理解和执行事故处理流程，同时妥善保存安全事件的相关记录与证据。7、对用户权限和口令进行严格管理，防止对信息系统的非法访问。8、控制对内部、外部网络服务的访问，保护网络化服务的安全性与可用性。9、实施业务连续性计划，保证XXXX的核心业务不受重大故障和灾难的影响，业务连续性计划的制定应基于风险评估的结果。10、制定完善的数据备份策略，对重要数据进行备份，数据备份定期进行还原测试，备份介质与原信息所在场所应保持安全距离。11、与外单位的外包（服务）合同应明确规定合同参与方的安全要求、安全责任和安全规定等安全相关内容，并采取相应措施严格保证对协议安全内容的执行。12、在开发新业务系统时，应充分考虑相关的安全需求，并严格控制对项目相关文件和源代码等敏感数据的访问。13、应定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施进行风险控制。14、应识别并满足适用的法律、法规和相关方的信息安全要求，形成正式的文件并定期加以审查。7.2.1.4ISMS策略为了支持ISMS方针的有效执行，需在ISMS方针的框架内进一步细化和明确安全控制措施的要素、要求和结果，依据ISO17799:2005标准，单位制定了信息安全策略，用以指导安全控制措施的执行，以及评价安全控制措施的有效性、充分性和适用性。详细内容参见信息安全策略。7.2.1.5风险评估方法信息安全工作小组负责建立信息安全风险评估管理程序并组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见风险评估程序。7.2.1.6风险处理方法对于信息安全风险，需考虑控制措施与费用的平衡原则，选用以下适当的风险处理措施：1、降低风险（采用适当的内部控制措施）。2、接受风险（不可能将所有风险降低为零）。3、避免风险（如物理隔离）。4、转移风险（如将风险转移给产品或服务供应商、保险单位等）。7.2.1.7选择控制目标和措施1、由信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结果，组织各部门制定信息安全目标，并将目标分解到各部门。信息安全目标已获得XXXX信息安全管理委员会的批准。2、控制目标及控制措施的选择来源于ISO27001:2005附录A，具体控制措施可以参考ISO17799:2005信息安全管理实施细则。单位根据实际信息安全管理的需要，可以选择标准之外的其它控制措施。7.2.2实施和运行ISMS7.2.2.1信息安全组织机构单位管理层决定信息安全组织机构和各部门的信息安全职责，并形成文件：1、由单位管理层和各部门负责人组成信息安全管理委员会，作为单位的信息安全管理最高机构。信息安全管理委员会主席由总经理担任，为信息安全最高责任者；常务副主席由单位总经理任命，为信息安全管理者代表，无论该成员在其它方面的职责如何，对本单位的信息安全负有以下职责：建立并实施信息安全管理体系的必要程序并维持其有效运行；对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员会或最高责任者报告。2、单位各部门负责人为本部门信息安全管理责任者，全体员工都须按保密承诺的要求自觉履行信息安全保密义务。信息安全组织机构和各部门信息安全职责的详细内容见信息安全组织建设规定。7.2.2.2体系实施和运行为确保信息安全有效实施，对已识别的信息安全风险进行有效处理，单位开展以下活动：1、按照信息安全管理体系文件，确定适当的管理措施、职责及安全控制措施的优先级。2、为实现已确定的安全目标，按照信息安全管理体系中的制度、流程和记录文件内容进行实施。3、实施所选择的控制措施，以实现控制目标和方针的要求。4、进行信息安全培训，提高全体员工的信息安全意识和能力。5、对体系的运作进行管理。6、对信息安全所需资源进行管理。7、实施控制程序，对信息安全事故进行迅速反应。7.2.3监视和评审ISMS1、单位通过实施不定期技术检查、内部审核、事故报告调查处理、电子监控等控制措施并报告结果；及时发现信息安全事故和隐患；及时了解信息系统遭受的各类攻击；使单位各级管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的措施；积累信息安全方面的经验。2、根据以上活动的结果以及来自相关方的建议和反馈，由信息安全管理者代表主持，定期（每半年一次）对信息安全管理体系的有效性进行评审，其中包括信息安全管理范围、方针、目标及控制措施有效性的评审。3、信息安全工作小组需组织各部门对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况需及时进行风险评估：组织机构发生重大变更；信息处理技术发生重大变更；业务目标及流程发生重大变更；发现信息资产面临重大威胁；外部环境，如法律法规或信息安全标准发生重大变更。4、保持上述活动和措施的记录。7.2.4保持和改进ISMS单位开展以下活动，以确保ISMS的持续改进：1、实施管理评审、内部审核、安全检查等活动以确定需改进的项目；2、吸取其他组织及本单位安全事故的经验教训，不断改进安全措施的有效性；3、与信息安全目标及方针进行对比，确保改进达到预期的效果；4、包括外部信息安全专家、上级主管部门等。如：管理评审会议、内部审核报告、内部网络和邮件系统、法律法规清单等。7.3文件要求7.3.1总则本单位信息安全管理体系文件包括：1、信息安全管理手册。2、本手册要求的业务连续性管理程序、安全事故管理程序等支持性程序。3、为确保有效策划、运作和控制信息安全过程所制定的流程文档。4、ISMS要求的记录文件。5、相关的法律法规和信息安全标准列表。7.3.2文件控制制定信息安全管理体系文件的管理程序，保证信息安全管理体系文件得到以下所需的控制：1、文件的编写、发放、更改、作废等事项得到相应授权的查阅、批准，确保文件是合适的、可行的；2、文件的标识和修订状态清晰、易于识别，确保使用的文件是当前有效版本；3、为了文件的有效性，要定期确认其内容是否过时，根据需要决定保持或修改并再次得到相应的批准；4、确保信息安全的外部标准和相应法律法规得到明确的标识和管理。7.3.3记录控制信息安全管理体系所要求的记录文件是体系符合标准要求和有效运行的证据，记录要易读、易识别和方便检索，记录文件的管理规定包括以下内容：1、明确规定记录文件的标识、储存、保护、检索、保管、废弃等事项；2、信息安全管理体系的记录文件包括8.2中所列出的所有过程的结果及与ISMS相关的安全事故；3、各部门需采取适当的方式妥善保管信息安全记录文件。8管理职责8.1管理承诺为确保建立、维持并持续改进信息安全管理体系，信息安全管理委员会特做出以下承诺：1、建立信息安全目标、方针和策略。2、建立信息安全组织并明确职责。3、通过适当的沟通方式，向全体员工传达满足信息安全目标、符合信息安全方针以及法律法规要求和持续改进的重要性。4、提供适当的资源以满足信息安全管理体系的需要。5、对可接受风险的级别进行决策。6、实施ISMS管理评审。8.2资源管理8.2.1提供资源单位确保提供适当的资源，以满足以下需求：1、建立、实施和维持ISMS。2、确保信息安全管理程序支持业务流程的要求。3、识别并致力于满足法律法规要求及合同规定的安全义务。4、切实实施已有的控制措施，保持信息安全的充分性。5、必要时进行评审，并对评审结果做出适当的反应。6、需要时，改进信息安全管理体系的有效性。8.2.2能力、意识和培训为提高全员的信息安全意识、确保相关人员履行信息安全职责所需的能力，制定并实施以下的管理活动：1、明确各岗位的信息安全职责和对能力的要求。2、实施信息安全意识和能力的教育、培训，并评价培训的有效性。3、通过宣传和其它活动使全体员工认识到信息安全职责的重要性及如何为实现信息安全目标做出各自的贡献。4、保持以上活动的记录。各部门的职责见信息安全组织建设规定。9内部ISMS审核单位每半年组织一次内部审核，以处理ISMS规定的安全目标、控制措施和程序是否：1、符合信息安全标准和有关法律法规要求。2、符合已识别的信息安全要求。；3、得到有效实施和保持。4、完成预期的目标。9.1内部审核的要求1、审核计划需覆盖整个ISMS体系，并得到信息安全管理委员会的批准。2、内部审核以本手册、相应的规章、制度、流程为基准，选定的信息安全员须是了解单位业务流程、熟悉安全体系标准并经过培训的员工。3、信息安全审计员资格需获得信息安全管理委员会的批准。4、进行内审时，需有计划的进行以下的事项：审核员的选定、教育与培训；编写审核计划，指定审核员（审核员应与被审核对象无直接责任关系）；准备必要的相关文件。5、审核中发现的不符合事项，要向责任部门报告，由责任部门明确纠正预防措施的实施计划。6、要对该纠正预防措施的实施计划的执行情况进行跟踪，确认是否有效实施。7、以上的工作完成后，须经信息安全管理委员会确认后，审核才算结束。8、如果发现信息安全重大不符合时，或者信息安全管理委员会判断必要时，可调整审核计划。9、对审核的结果进行适当的汇总整理，作为管理评审的输入资料。9.2内部审核记录内部审核记录应包括以下内容：1、被审核对象范围、审核日期、审核员、被审核方。2、依据的文件、具体审核事项及其审查结果、不符合内容和程度(严重或轻微及观察事项)、不符合事项的纠正预防措施和实施期限。3、纠正预防措施的实施状况及其效果、其它必要事项和审核结束的确凿证据。10ISMS管理评审10.1总则信息安全管理委员会为确认信息安全管理体系的适宜性、充分性和有效性，每半年对信息安全管理体系进行一次管理评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价，以及对安全方针、安全目标的评价。管理评审的结果需形成书面记录，该记录按7.3.3条款的要求进行保存。10.2评审输入在管理评审时，信息安全管理委员会需组织各部门提供以下资料：1、ISMS体系内、外部审核的结果；2、相关方的反馈（投诉、抱怨、建议等）；3、可以用来改进ISMS有效性的新技术、产品或程序；4、信息安全目标达成情况，纠正预防措施的实施情况；5、信息安全事故或事件，以往风险评估时未充分考虑到的薄弱点或威胁；6、上次管理评审时决定事项的实施情况；7、可能影响信息安全管理体系变更的事项（标准、法律法规、相关方要求等）；8、对信息安全管理体系改善的建议。10.3评审输出信息安全管理委员会对