XXX-ISMS-手册.doc

信息安全管理体系手册依据ISO/IEC 27001:2005标准要求XX公司2011年10月25日文档信息文档说明本文档是ISO/IEC 27001:2005信息安全管理体系的信息安全管理体系手册。本文档说明了XX公司信息安全管理体系的结构与内容。版权说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XX公司所有，受到有关产权及版权法保护。任何个人、机构未经XX公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 文件修改记录编号版本修改内容修改日期批准人11.0新建文档2011-10-26查正朋目 录文档信息2文档说明2版权说明2文件修改记录2目 录30.1批准发布令40.2信息安全管理者代表任命书50.3公司简介60.4信息安全方针80.5信息安全目标90.6信息安全管理体系手册的管理101总则111.1目的111.2适用范围112引用标准113定义114信息安全管理体系124.1总要求124.2建立并管理ISMS144.3文件要求165管理职责195.1管理层的承诺195.2资源管理206ISMS内部审计226.1总则227ISMS管理评审237.1总则237.2评审输入237.3评审输出248ISMS改进248.1持续改进248.2纠正措施258.3预防措施26| Confidential290.1 批准发布令本公司依据ISO/IEC 27001:2005标准编制的信息安全管理体系手册规定了信息安全管理体系的范围和本公司对信息安全管理体系的要求。本手册作为信息安全管理的指导性文件，主要作用是：1. 强化员工的信息安全意识，规范公司的信息安全行为；2. 对公司的关键信息资产进行全面系统的保护，维持竞争优势；3. 当信息系统受到侵害时，确保业务持续开展并将损失降到最低程度；4. 使合作伙伴和客户对公司充满信心。在广泛征求意见的基础上经过多次修订，现予以发布，并于2007年2月1日正式实施。望公司各部门及各级人员认真学习本手册内容，严格遵守并执行本手册的各项规定和要求。信息安全管理体系手册以质量手册为基准，在编制过程中坚持符合性、适宜性和有效性的统一。同时，本手册将根据内、外部环境的变化进行评审、修改和完善。总经理：2011年10月25日0.2 信息安全管理者代表任命书为了贯彻实施ISO/IEC 27001:2005信息安全管理体系-要求国际标准，确保公司信息安全管理体系的建立、实施、运作、监视、评审、保护和改进，现经公司总经理批准任命 为信息安全管理者代表，行使以下的职责并拥有以下权限：1. 代表总经理负责按标准要求建立、实施、运作、监视、评审、保护并持续改进公司的信息安全管理体系，实现公司的信息安全方针和目标；2. 负责组织公司信息安全管理体系手册的编写、修计和审核工作；3. 协助总经理开展管理评审，并向总经理报告信息安全管理体系业绩和改进需求；4. 确保公司提高信息安全保密意识；5. 负责公司信息安全管理体系有关事宜与外界联络的工作。总经理： 2011年10月25日0.3 公司简介0.4 信息安全方针保障业务正常和安全运行，保证业务的连续性；保护客户隐私及客户资料的机密性，维护客户的利益；保护公司的商业秘密和技术机密，维护公司的利益；建立公司的安全品牌，确保客户的信心。信息安全方针经公司最高领导层制定颁布，公司全体员工应能理解并执行信息安全方针，并就信息安全方针进行交流。0.5 信息安全目标建立国际一流、国内领先的信息安全保障体系。建立和完善信息安全组织体系、管理体系和技术体系，达到国际一流、国内领先的信息安全保障水平，同步或领先公司的信息化水平，保障和促进公司业务发展和业务目标的实现。0.6 信息安全管理体系手册的管理公司的信息安全管理体系手册分为受控原本、受控副本及非受控副本。受控原本由XX公司存档，作为标准文件；受控副本是受控原版的复印件，发至本公司内使用者或认证中心手中加盖红色“受控”印章并编制发放号码，作为有效文件使用。向本公司以外的相关人员提供本手册时，须经管理者代表批准，且必须加盖蓝色“非受控”印章。该文件作为非受控副本，不受文件修改的控制。信息安全管理体系手册受控副本根据文件持有者名单由XX公司发至相关人员，并按文件控制程序予以培训。信息安全管理体系手册在以下情况应进行修改：l 本公司组织结构有较大变动时l 外部环境有重大变化时l 国家法律、法规有重大变化时l 本公司信息安全方针有重大变化时信息安全管理体系手册的修改由管理者代表负责组织有关人员实施，经管理者代表审核后，报总经理批准，同时更改信息安全管理体系手册修改状态或版本号。1 总则1.1 目的1.1.1 通过编制和发布本信息安全管理体系手册，向客户证实公司具有稳定的提供满足客户需求和使用法律法规要求的交付平台的设计、开发、服务的能力。1.1.2 通过信息安全管理体系的有效运行和不断的持续改进，增强客户满意度。1.2 适用范围1.2.1 本手册适用于涉及交付平台设计、开发和维护；与上述相关的基础设施和人员。与最新版本的适用性声明相一致。1.2.2 本手册可作为内审和外审的依据。2 引用标准ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求ISO/IEC 17799:2005 信息技术-安全技术-信息安全管理实施指南ISO/IEC 13335:2004 IT安全管理3 定义资产：任何对组织有价值的事物。可用性：需要时，授权实体可以访问和使用的特性。保密性：信息不可用或不被泄露给未授权的个人、实体和过程的特性。信息安全：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。信息安全事件：信息安全事件是指识别出的发生的系统、服务或网络事件表明可能违反信息安全策略或防护措施失效；或以前未知的与安全相关的情况。信息安全事故：信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。信息安全管理体系：信息安全管理体系是整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。完整性：保护资产的正确和完整的特性。残余风险：实施风险处置后仍旧残留的风险。风险接受：接受风险的决策。风险分析：系统地使用信息以识别来源和估计风险。风险评估：风险分析和风险评价的全过程。风险评价：将估计的风险与既定的风险准则进行比较以确定重要风险的过程。风险管理：指导和控制一个组织的风险的协调的活动。风险处置：选择和实施措施以改变风险的过程。适用性声明：与组织信息安全管理体系相关并适用于信息安全管理体系的控制目标和控制措施的文件化的陈述。4 信息安全管理体系4.1 总要求公司在建立信息安全管理体系的过程中，充分遵循ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求，采用PDCA模式建立信息安全管理体系，并加以实施、保持和改进其有效性。本公司建立健全信息安全管理体系的过程模式如下图所示。信息安全管理体系的建立、实施、运作、监视、评审、保持和改进的策划活动包括：l 信息安全管理体系的策划与准备。策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、信息安全管理现状调查与风险评估，及信息安全管理体系设计。l 信息安全管理体系文件的编制。为实现风险控制、评价和改进信息安全管理体系、实现持续改进提供不可或缺的依据。l 信息安全管理体系运行。信息安全管理体系文件编制完成以后，按照文件的控制要求进行审核与批准并发布实施。在体系运行试运行期间（为期3个月），及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。l 信息安全管理体系审核与评审。公司为验证所有安全程序的正确实施，以及检查信息系统是否符合安全实施标准，将进行系统的、独立的检查和评价。公司把审核与评审作为一种自我改进的机制，保持信息安全管理体系持续有效性，并不断的改进与完善。4.2 建立并管理ISMS4.2.1 建立ISMS公司根据ISO/IEC 27001:2005的要求，按以下步骤建立ISMS：1. 根据业务特征、组织结构、地理位置、资产、技术确定ISMS的范围涵盖XX公司等部门；2. 根据实际情况确定ISMS策略；3. 定义适用于公司的风险评估方法；4. 识别公司信息系统涉及的资产面临的各种风险；5. 对各种风险加以评估，判断风险是否可以接受或需要进行必要的处置；6. 识别风险处置的各种措施；7. 选择风险处置的控制目标和控制方式；8. 根据公司的信息安全方针，处置不可接受的风险。管理层批准可接受的残留风险；9. 管理层授权实施并运作ISMS；10. 准备适用性声明。4.2.2 实施和运作ISMS公司在信息安全管理体系文件编制完成以后，分成两个阶段来实施并运作ISMS：1. 按照文件的控制要求对信息安全管理体系文件进行审核与批准，并发布实施，进入试运行期。在试运行期间，公司充分发挥体系本身的各项功能，及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合，并按照更改控制程序要求体系予以更改，进一步完善信息安全管理体系的目的。这一阶段的主要工作是：a) 公布风险处置计划；b) 实施风险处置计划以达到确定的控制目标；c) 评估控制措施的有效性；d) 对全体员工进行培训。2. 试运行期满，公司正式实施ISMS，工作的重点是应用PDCA模式，保持信息安全管理体系的持续有效。这一阶段的主要工作是：a) 管理ISMS的运作；b) 管理ISMS资源；c) 实施程序及其他控制以及时检测、响应安全事故。4.2.3 监视和评审ISMS公司为验证所有安全程序和正确实施，并检查信息系统是否符合安全实施标准，将1. 执行监视程序和其它控制； a) 及时检测过程、结果中的错误； b) 及时识别失败的或成功的安全违规和事故； c) 使管理层能确定是否将安全活动授权给人，或由信息技术实施的的安全活动是否按期望的实施；d) 决定反映业务优先级的安全违规的解决措施。 2. 定期评审ISMS的有效性，包括达到安全方针和目标和评审安全控制考虑安全审核事故以及相关方建议和反馈的结果； 3. 评审残留风险和可接受风险的等级考虑以下方面的变化：a) 公司 b) 技术 c) 业务目标和过程 d) 已识别的威胁 e) 外部事件如法律法规环境的变化社会风气的变化4. 按计划的时间间隔进行ISMS内部审核； 5. 定期进行ISMS管理评审，至少一年一次，确保仍然充分识别了ISMS过程的改进； 6. 记录可能影响ISMS有效性或业绩的措施和事件。 4.2.4 保持和改进ISMS建立、实施和保持ISMS的目的是不断改进公司的信息安全管理绩效，降低安全风险，保护组织关键的信息资产，保持公司商务可持续性发展，因此，公司将：1. 实施ISMS已识别的改进； 2. 按照要求采取适当的纠正和预防措施，总结从其它公司或公司自身的安全经验得到的教训；3. 沟通结果和措施并与所有相关方达成一致； 4. 确保改进活动达到了预期的目的。 4.3 文件要求4.3.1 本公司的信息安全管理体系文件包括以下内容：l ISMS策略和控制目标的陈述；l ISMS范围；l ISMS的支持程序和控制；l 风险评估方法的描述；l 风险评估报告；l 风险处置计划；l 其他的程序文件；l 本标准所要求的记录；l 适用性声明。手册程序文件管理文件、资料、标准等表单、模板 4.3.2 文件控制4.3.2.1 总则为保证信息安全管理体系文件的适用性、系统性和完整性，确保对信息安全管理体系有效运行起重要作用的各个活动场所都能得到相应文件的有效版本，防止误用失效文件，公司建立并保持文件控制程序。文件控制由XX公司负责。4.3.2.2 本公司的信息安全管理体系文件包含在4.3.1节中。4.3.2.3 文件的审批、发布a) 各类文件按程序文件的职责权限进行审批，确保文件的充分性、适宜性；b) 公司文件以书面形式予以发布,并在公司内部网站上公布。4.3.2.4 文件的管理a) 所有文件的发放均由XX公司统一负责，按授权批准的发放范围登记发放，保证发放到有效的使用场所；b) 各类文件的原稿由XX公司负责保管，建立归档手续；c) 各部门指定专人负责文件的保管，建立文件清单，保证文件便于检索；d) 按程序规定对文件的编号，受控状态、作废和保留状态进行标识，确保使用有效文件；e) 外来文件由管理者代表阅批，保证使用文件的最新有效版本，并保证分发到相应的使用场所, 外来文件由XX公司管理；f) 所有文件均应做到防潮、防火、防虫蛀、防丢失，禁止乱放、乱画、有脏污出现。电子版文件应做到版本一致性、存储安全、访问控制安全。4.3.2.5 文件的评审、修改每次管理评审应对文件的有效性进行评审，当发生文件控制程序中规定的有关情况时，文件主管部门应及时组织对文件的适宜性进行评审并做好记录。当决定修改时，按程序规定实施修改，并按授权进行审批；4.3.3 记录控制 4.3.3.1 总则为保持信息管理体系有效运行，并为信息安全管理体系改进活动提供依据，本公司建立并保持记录控制程序，对记录进行管理。4.3.3.2 记录范围和编制要求a) 记录范围包括：执行过程中的有关记录，信息安全管理体系运行记录，以及与ISMS有关的重大安全事件的记录等； b) 记录采用书面、磁盘等形式；c) 记录尽量以表格形式编制，以编号作为标识；d) 记录必须真实完整，数据可靠、字迹清晰，签字齐全。4.3.3.3 记录的收集、整理、归档a) 各部门编制本部门的记录清单，明确保存期限，经各部门经理审批后留存，并报XX公司一份备案，XX公司提供记录总清单；b) 各部门指定专人负责本部门记录的收集、整理，同一类的记录按项目或序号装订成册，编制归档目录，妥善保存，以便存取和检查。4.3.3.4 记录的存贮、保管a) 记录应存放在适宜的环境，做到防潮、防火、防虫蛀、防盗；b) 记录的保存期限一般不少于一年，其中信息安全管理体系运行记录不少于三年。4.3.3.5 记录的查阅、借阅a) 记录借阅须由部门经理或授权责任人批准后并填写记录借阅记录表，因工作原因需借阅其他部门的记录时，应同时经本部门经理及对方部门经理批准；b) 一般不准许外部人员查阅，特殊情况下，须经管理者代表批准，并做好借阅记录；c) 借阅人不得在记录案卷中有涂改、勾划、拆散、抽换等现象，违反者将追究个人责任。归还时部门记录保管人要认真核对，以保证案卷的齐全、完整。4.3.3.6 记录的处理对已超过保存期限的记录，需经部门经理审批后处理，并做好销毁记录。信息安全管理体系运行记录须经管理者代表批准后处理。5 管理职责5.1 管理层的承诺本公司总经理在建立信息安全管理体系，保持和改进信息安全管理体系有效性的过程中，应确保开展以下活动：a) 公司成立信息安全管理小组，由其领导信息安全工作。b) 制订信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。c) 提供充分的资源以保证信息安全管理体系的制定、实施、运作、维护和不断改善。d) 对公司信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性，防范对信息的未经授权访问。对公司信息资产进行风险评估，制定风险可接受标准，对公司不能接受的风险进行处置。e) 建立业务连续性管理体系。进行业务影响分析，编写、实施业务持续性计划和灾难恢复计划。以保证公司主要业务的连续，不受重大故障和灾难的影响。f) 公司所有员工必须接受信息安全的教育培训，提高信息安全意识。g) 保护公司、客户、相关政府部门和合作伙伴的信息安全。h) 建立公司信息安全组织架构，明确信息安全责任，确定报告可疑的和发生的信息安全事故的流程，对违反安全制度的人员进行惩罚。i) 建立物理安全和网络安全管理制度，以确保信息的安全性。j) 保护公司软件和信息的完整性，防止病毒与各种恶意软件的入侵。k) 任何人在未经审批的情况下，禁止将信息资产带离公司。l) 公司所有员工都要严格遵守公司的安全方针、程序和制度。m) 控制对内外部网络服务的访问，保护网络化服务的安全性与可用性n) 对用户账号、口令和权限进行严格管理，防止对信息系统的非授权访问。o) 对重要信息进行备份保护，以保证信息的可用性。p) 定期对信息安全管理体系进行内审和管理评审。5.2 资源管理5.2.1 资源提供1. 本公司通过信息安全管理体系的全面策划，为建立、实施、运作、监视、评审、保持和改进ISMS提供必要的资源，包括：a) 人力资源：确保从事信息安全工作的人员都能够胜任，全体员工都具有安全保密意识；b) 基础设施：提供为保证信息安全要求所必需的基础设施，如生产设备、生产场所、办公场所、办公设备等；c) 工作环境：确保满足信息安全的工作环境和工作秩序。2. 确保信息安全程序支持业务要求； 3. 识别并指出法律法规要求和合同安全责任； 4. 通过正确应用所实施的所有控制的来保持足够的安全； 5. 必要时进行评审对评审结果采取适当的对应措施； 6. 需要时改进ISMS的有效性。 5.2.2 能力、意识和培训5.2.2.1 人力资源部组织各职能部门对与信息安全有关的、所有岗位的人员所必需的能力。5.2.2.2 满足需求的措施a) 外聘：在聘用人员时，招聘符合任职资格的人员；b) 本公司对不够条件的人员经过培训，使其达到任职要求；c) 通过教育使员工认识到自己岗位的重要性，发挥主观能动性，为实现信息安全做出贡献；d) 评估所提供培训和所采取措施的有效性。5.2.2.3 培训包括：a) 入职培训b) 再提高培训5.2.2.4 培训计划每年XX公司根据信息安全建设的需求，结合公司实际需要，制定培训计划，规定对各类人员的基本培训要求和培训内容，并对公司培训计划的执行情况进行监督检查，确保计划完成。5.2.2.5 培训记录人力资源部负责建立员工的教育、培训、技能、经验和资质的记录。6 ISMS内部审计6.1 总则通过内部审核及时发现信息安全管理体系运行中的问题并及时采取纠正措施，以确保信息安全管理体系运行的符合性、有效性，实现信息安全管理体系的持续改进，本公司建立并保持内部审核控制程序。6.2 每年年初由XX公司负责编制年度内部审核计划，确定年度内审的时机和范围，报管理者代表审核、总经理审批后实施。若发生特殊情况，应及时增加内审。6.3 管理者代表任命内审组长，组成内审小组。内审组长编制内部审核实施计划，组织内审员学习信息安全管理体系手册、程序文件和有关的作业指导书，为内审的实施做好准备。6.4 内审实施由内审员采用交谈、提问、抽样、查阅记录、现场查等方式，发现不合格时，扩大抽样、增加调研深度，获取更全面、更准确的客观事实，并要求受审部门确认不合格事实。6.5 内审组长组织汇总审核结果，对体系运行情况做出综合分析。由内审组长编制内部审核报告，经管理者代表批准后，下发有关部门和有关领导。 6.6 纠正措施的实施和验证a) 受审部门负责人组织调查分析产生不合格原因，针对原因制定纠正措施，并明确完成期限，经审核组认可，管理者代表批准后，由部门负责人组织实施；b) XX公司验证受审部门纠正措施实施的有效性。6.7 年度审核报告a) 为对本公司整个信息安全管理体系运行状况做出总体评价，在完成年度审核计划后，由管理者代表组织年度审核结果的汇总分析，包括纠正措施完成情况，对完不成或拖后的原因进行分析，并编写年度审核报告。b) 年度审核报告由管理者代表提交管理评审，作为改进的依据。7 ISMS管理评审 7.1 总则为确保信息安全管理体系，包括信息安全方针、质量目标持续的适宜性、充分性和有效性，本公司建立并保持管理评审控制程序，评价信息安全管理体系改进的机会和变更的需要。7.1.1 公司每年至少开展一次管理评审，两次间隔不得超过十二个月。一般情况下，采取会议的形式，安排在内部审核之后。当出现下列情况时，应及时进行管理评审：a) 公司信息安全管理体系发生重大变化；b) 国家法律、法规、信息安全标准发生重大变化；c) 外审之前；d) 其他认为需要评审时。7.1.2 XX公司组织有关部门实施管理评审，并对实施效果进行跟踪验证。7.1.3 管理评审由总经理主持，管理评审的有关计划、报告、记录由XX公司保管，保存期为三年。7.2 评审输入7.2.1 管理者代表组织XX公司编制管理评审计划，安排评审的目的、内容、时间、参加人员及有关要求等。7.2.2 XX公司组织有关部门按计划的要求收集整理有关文件和数据资料提交管理评审，包括：a) ISMS审核（包括内审和外审）和管理评审的结果； b) 相关方（客户、政府部门、供应商、内部员工等）的反馈； c) 公司用于改进ISMS业绩和有效性的技术、产品或程序的发展及变化； d) 纠正和预防措施的实施情况； e) 上次风险评估未充分指出的脆弱性或威胁； f) 上次管理评审所采取措施的跟踪验证； g) 影响信息安全管理体系的变更，如标准改版和信息安全组织架构变化等； h) 质量/信息安全管理体系文件的适用性,包括修改要求等；i) 改进的建议。7.3 评审输出按照信息安全方针、目标对上述信息进行全面的讨论、评价、分析，决定所要采取的改进措施，包括：a) ISMS有效性的改进；b) 更新风险评估和风险处置计划；c) 必要时修订影响信息安全的程序，以反映影响ISMS的内外事件包括以下变化：1 业务需求； 2 安全需求； 3 影响已有业务需求的业务过程； 4 法律法规环境； 5 合同责任；6 风险和/或风险接受等级。 d) 资源需求；e) 改进测量控制措施有效性的方式。8 ISMS改进8.1 持续改进为保证信息安全管理体系有效性的持续改进，提高信息安全管理体系过程的有效性，本公司将开展如下活动：a) 公司通过信息安全方针的建立与实施，营造一个激励改进的氛围；b) 确立信息安全目标，明确改进方向；c) 通过内审、风险分析，不断寻求改进机会，并作出适当改进活动安排；d) 实施纠正和预防措施，实现改进；e) 在管理评审中评价改进效果，确定新的改进目标。8.2 纠正措施 8.2.1 总则为消除与ISMS要求不符合的原因，防止不符合情形再次发生，对纠正措施的实施进行有效控制，本公司建立并保持纠正措施控制程序。8.2.2 纠正措施的信息来源a) 风险评估；b) 员工及客户的信息反馈（包括意见、建议和投诉）；c) 内、外部审核提出的不合格项；d) 管理评审提出的改进决策。8.2.3 纠正措施的制定a) XX公司组织有关人员对发现的不符合和各方反馈意见进行汇总，分析不合格原因；b) 评价确保不符合不再发生所需的措施；c) 制定纠正措施，填写纠正措施实施跟踪表，下发各相关部门执行。8.2.4 纠正措施的实施各相关部门应严格按纠正措施的内容组织实施，做好实施记录，实施完毕后提交XX公司进行验证。8.2.5 纠正措施的验证XX公司负责纠正措施实施效果的跟踪评审，并做好记录，验证内容包括：a) 措施是否按期完成；b) 是否按纠正措施内