GBT220802016信息安全管理体系手册

1、XXXXXX技术服务有限公司版本：A/0受控状态：受控XXXXXX 技术服务有限公司信息安全管理手册（依据 GB/T22080-2016）编制：文件编写小组审批：版本：A/0受控状态：受控 文件编号：LHXR-ANSC-2018第1页共56页2018年4月20日发布2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者第8页共56页目录0.1颁布令 60.2管理者代表任命书 70.3关于成立管理体系工作小组的决定 80.4公司简介 90.5组织结构 90.6信息安全方针与目标 101.0 信息安全方针 错误！未定义书签。2.0 信息安全目标 错误！未定义书签。1.

2、0范围 141.1总则 141.2适用范围 141.3删减说明 142.0规范性引用文件 153.0术语与定义 153.3计算机病毒 163.15相关方 173.16本公司 173.17管理体系 174.0组织环境 错误！未定义书签。4.1理解组织及其环境 错误！未定义书签。4.2利益相关方的需求和期望 错误！未定义书签。4.3确定信息安全管理体系范围 错误！未定义书签。4.4信息安全管理体系 错误！未定义书签。5.0领导力 错误！未定义书签。5.1领导和承诺 错误！未定义书签。5.2方针 175.3组织的角色、责任和权限 316.0规划 346.1应对风险和机会的措施 366.2信息安全目标

3、及其实现规划 397.0支持 407.1资源 407.2能力 407.3意识 407.4沟通 417.5文件化信息 428.0 运行 458.1 运行规划和控制 458.2信息安全风险评估 468.3信息安全风险处置 469.0绩效评价 469.1 监视、测量、分析和评价 469.2内部审核 479.3管理评审 4810.0 改进 5010.1不符合及纠正措施 5010.2持续改进 51附1信息安全管理体系职责对照表 530.1颁布令为提高XXXXX）技术服务有限公司的信息安全管理水平，保障我 公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、 敏感信息的泄密所导致的公司和客户的损失

4、，我公司于2018年4月开展贯彻GB/T22080-2016信息技术-安全技术-信息安全管理体系 要求国际标准工作，建立、实施和持续改进文件化的信息安全管理 体系，制定了 XXXXX技术服务有限公司信息安全管理手册。信息安全管理手册是企业的法规性文件，是指导企业建立并 实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全 管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现 企业对社会的承诺。信息安全管理手册符合有关信息安全法律、法规要求及 GB/T22080-2016信息技术-安全技术-信息安全管理体系-要求标 准和企业实际情况，现正式批准发布，手册自2018年4月20日起实

5、 施。企业全体员工必须遵照执行。全体员工必须严格按照信息安全管理手册的要求，自觉遵循 信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息 安全管理方针和目标。该体系覆盖范围为：与“可信时间戳”运营相关的信息安全管 理活动。日期：2018年4月20日0.2管理者代表任命书为贯彻执行信息安全管理体系，满足GB/T22080-2016信息技术-安全技术-信息安全管理体系-要求标准的要求，加强领导，特 任命付巍为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1. 确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2. 负责与信息安全管理体系有关的协调和联络工作；3. 确保在整个组织内提高信息安全风险的意识；4. 审核风险评估报告、风险处理计划；5. 负责组织编写和批准发布程序文件，负责年度培训计划、 支持性文件的审批；6. 主持信息安全管理体系内部审核，任命审核组长，批准内 审工作报告；7 .向总经理报告信息安全管理体系的运行情况和所有改进要求，包括内外部审核情况。本授权书自任命日起生效执行。审核：日期：2018年4月20日0.3关于成立管理体系工作小组的决定为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全