信息安全管理手册-ISO27001

1、WORD格式信息平安管理手册信息平安管理体系管理手册ISMS-M-yyyy版本号： A/1受控状态：受控非受控编 制审 核批 准编写组审核人 A总经理yyyy-mm-ddyyyy-mm-ddyyyy-mm-dd专业资料整理WORD格式日期：2021年1月8日实施日期：2021年1月8日专业资料整理WORD格式信息平安管理手册修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2021-1-08定版审核人同意AA/1编写组2021-1-15定版审核人同意B专业资料整理WORD格式第2页共29页专业资料整理WORD格式信息平安管理手册0 目录00 目录 .301 公布令.502

2、 管理者代表授权书 .603 企业概况 .704 信息平安管理方针目标 .805 手册的管理 .1006 信息平安管理手册 .111X围 .111.1总那么 .111.2应用 .112标准性引用文件 .113术语和定义 .113.1本公司 .123.2信息系统 .123.3计算机病毒 .123.4信息平安事件 .123.5相关方 .124组织环境 .124.1组织及其环境 .124.2相关方的需求和期望 .124.3确定信息平安管理体系的X围.134.4信息平安管理体系 .135领导力 .145.1领导和承诺 .145.2方针 .145.3组织角色、职责和权限 .146规划 .146.1应对风

3、险和时机的措施 .156.2信息平安目标和规划实现 .177支持 .187.1资源 .187.2能力 .187.3意识 .187.4沟通 .187.5文件化信息 .198运行 .208.1运行的规划和控制 .208.2信息平安风险评估 .208.3信息平安风险处置 .209绩效评价 .219.1监视、测量、分析和评价 .219.2内部审核 .229.3管理评审 .22专业资料整理WORD格式第3页共29页专业资料整理WORD格式信息平安管理手册10 改进2310.1 不符合和纠正措施2310.2 持续改进23附录 A 信息平安管理组织构造图25附录 B 信息平安管理职责明细表26附录 C 信息

4、平安管理程序文件清单28专业资料整理WORD格式第4页共29页专业资料整理WORD格式信息平安管理手册1 公布令为提高 * 公司 * 的信息平安管理水平， 保障我公司业务活动的正常进展，防止由于信息系统的中断、数据的丧失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系要求"国际标准工作，建立、实施和持续改进文件化的信息平安管理体系，制定了* 公司 *"信息平安管理手册"。"信息平安管理手册" 是企业的法规性文件，是指导企业建立并实施信息平安管理体系

5、的纲领和行动准那么，用于贯彻企业的信息平安管理方针、目标，实现信息平安管理体系有效运行、持续改进，表达企业对社会的承诺。"信息平安管理手册"符合有关信息平安法律、法规要求及ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系 - 要求"标准和企业实际情况，现正式批准发布，自2021年 1 月 8 日 起实施。企业全体员工必须遵照执行。全体员工必须严格按照"信息平安管理手册"的要求，自觉遵循信息平安管理方针，贯彻实施本手册的各项要求，努力实现公司信息平安管理方针和目标。* 公司 *总 经 理：总经理2021年

6、1月8日专业资料整理WORD格式第5页共29页专业资料整理WORD格式信息平安管理手册2 管理者代表授权书为贯彻执行信息平安管理体系，满足 ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系 - 要求"标准的要求，加强领导，特任命 审核人 B 为我公司信息平安管理者代表。授权信息平安管理者代表有如下职责和权限：1确保按照标准的要求，进展资产识别和风险评估， 全面建立、实施和保持信息平安管理体系；2负责与信息平安管理体系有关的协调和联络工作；3确保在整个组织内提高信息平安风险的意识；4审核风险评估报告、风险处理方案；5批准发布程序文件；6主持信息

7、平安管理体系内部审核，任命审核组长，批准内审工作报告；7向最高管理者报告信息平安管理体系的业绩和改进要求，包括信息平安管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。* 公司 *总 经 理：总经理2021年 1月 15日专业资料整理WORD格式第6页共29页专业资料整理WORD格式信息平安管理手册3 企业概况这里是公司情况介绍哦这里是公司情况介绍哦这里是公司情况介绍哦这里是公司情况介绍哦这里是公司情况介绍哦单位地址：单位地址：单位：单位：总经理： 总经理管代： 审核人 A专业资料整理WORD格式第7页共29页专业资料整理WORD格式信息平安管理手册4 信息平安管理方针目标为防止由

8、于信息系统的中断、 数据的丧失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息平安管理体系，制订了信息平安方针，确定了信息平安目标。信息平安管理方针：数据*、信息完整、控制风险、持续改进、遵守法律。本公司信息平安管理方针包括内容如下：一、信息平安管理机制1公司采用系统的方法，按照ISO/IEC27001:2021建立信息平安管理体系，全面保护本公司的信息平安。二、信息平安管理组织2公司总经理对信息平安工作全面负责，负责批准信息平安方针，确定信息平安要求，提供信息平安资源。3公司总经理任命管理者代表负责建立、实施、检查、改进信息平安管理体系，保证信息平安管理体系的持续适宜性和有效性。4

9、在公司内部建立信息平安组织机构，信息平安管理委员会和信息平安协调机构，保证信息平安管理体系的有效运行。5与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解平安要求和发展动态，获得对信息平安管理的支持。三、人员平安6信息平安需要全体员工的参与和支持，全体员工都有保护信息平安的职责，在劳动合同、岗位职责中应包含对信息平安的要求。特殊岗位的人员应规定特别的平安责任。对岗位调动或离职人员，应及时调整平安职责和权限。7对本公司的相关方，要明确平安要求和平安职责。8定期对全体员工进展信息平安相关教育，包括：技能、职责和意识。以提高平安意识。9全体员工及相关方人员必须履行平安职责，执行平安方针、程

10、序和平安措施。四、识别法律、法规、合同中的平安专业资料整理WORD格式第8页共29页专业资料整理WORD格式信息平安管理手册10及时识别顾客、合作方、相关方、法律法规对信息平安的要求，采取措施，保证满足平安要求。五、风险评估11根据本公司业务信息平安的特点、法律法规要求，建立风险评估程序，确定风险接受准那么。12采用先进的风险评估技术，定期进展风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。13应根据风险评估的结果，采取相应措施，降低风险。六、报告平安事件14公司建立报告信息平安事件的渠道和相应的主管部门。15全体员工有报告信息平安隐患、威胁、薄弱点、事故的责任，一旦发

11、现信息平安事件，应立即按照规定的途径进展报告。16承受信息平安事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反响处理结果。七、监视检查17定期对信息平安进展监视检查，包括：日常检查、专项检查、技术性检查、内部审核等。八、业务持续性18公司根据风险评估的结果，建立业务持续性方案， 抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。19定期对业务持续性方案进展测试和更新。九、违反信息平安要求的惩罚20对违反信息平安方针、职责、程序和措施的人员，按规定进展处理。信息平安目标如下：1. 重大信息平安事件损失达 1 万以上的为零。2

12、. 公司发生网络中断时间小于 2 小时每年。专业资料整理WORD格式第9页共29页专业资料整理WORD格式信息平安管理手册5 手册的管理1 信息平安管理手册的批准办公室负责组织编制"信息平安管理手册"，总经理负责批准。2 信息平安管理手册的发放、更改、作废与销毁a办公室负责按"文件管理程序"的要求，进展"信息平安管理手册"的登记、发放、回收、更改、归档、作废与销毁工作；b各相关部门按照受控文件的管理要求对收到的"信息平安管理手册"进展使用和保管；c办公室按照规定发放修改后的"信息平安管理手册"，

13、并收回失效的文件作出标识统一处理，确保有效文件的唯一性；d办公室保存"信息平安管理手册"修改内容的记录。3 信息平安管理手册的换版当依据的 ISO/IEC27001:2021或 ISO/IEC27002:2021标准有重大变化、 组织的构造、 内外部环境、生产技术、信息平安风险等发生重大改变及"信息平安管理手册"发生需修改部分超过 1/3 时，应对"信息平安管理手册"进展换版。换版应在管理评审时形成决议，重新实施编、审、批工作。4 信息平安管理手册的控制a本"信息平安管理手册"标识分受控文件和非受控文件两种：受控文

14、件发放X围为公司领导、各相关部门的负责人、内审员；非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控X围以外的其他相关人员。b"信息平安管理手册"有书面文件和电子文件，电子版本文件的有效格式为.doc 文档。专业资料整理WORD格式第10页共29页专业资料整理WORD格式信息平安管理手册6 信息平安管理手册1 X围1.1 总那么为了建立、实施、运行、监视、评审、保持和改进文件化的信息平安管理体系 简称 ISMS，确定信息平安方针和目标， 对信息平安风险进展有效管理， 确保全体员工理解并遵照执行信息平安管理体系文件、持续改进信息平安管理体系的有效性，特制定

15、本手册。1.2 应用1.2.1 覆盖X围本信息平安管理手册规定了* 公司 * 信息平安管理体系要求、管理职责、内部审核、管理评审和信息平安管理体系改进等方面内容。本信息平安管理手册适用于* 公司 * 电磁屏蔽机房的设计业务活动所涉及的信息系统、资产及相关信息平安管理活动。1.2.2 删减说明本信息平安管理手册采用了ISO/IEC27001:2021标准正文的全部内容，对"适用性声明SOA"的删减如下 :A.14.2.7外包开发删减理由：公司无此业务2 标准性引用文件以下文件中的条款通过本"信息平安管理手册"的引用而成为本"信息平安管理手册&qu

16、ot;的条款。但凡注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，办公室应研究是否可使用这些文件的最新版本。但凡不注日期的引用文件、 其最新版本适用于本信息平安管理手册。ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系 - 要求"ISO/IEC27002:2021"信息技术 - 平安技术 - 信息平安管理实用规那么"3 术语和定义ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系 - 要求"、ISO/IEC27002:2021"信息技术 - 平

17、安技术 - 信息平安管理实用规那么" 规定的术语和定义适用于本 "信息平安管理手册"。专业资料整理WORD格式第11页共29页专业资料整理WORD格式信息平安管理手册3.1 本公司指* 公司 * 包括 * 公司 * 所属各部门。3.2 信息系统指由计算机及其相关的和配套的设备、设施含网络构成的，且按照一定的应用目标和规那么对信息进展采集、加工、存储、传输、检索等处理的人机系统。3.3 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用， 并能自我复制的一组计算机指令或者程序代码。3.4 信息平安事件指导致信息系统不能提供正常效劳或

18、效劳质量下降的技术故障事件、 利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3.5 相关方关注本公司信息平安或与本公司信息平安绩效有利益关系的组织和个人。 主要为：政府、上级部门、供方、银行、用户等。4 组织环境4.1 组织及其环境本公司根据业务特征、组织构造、地理位置、资产和技术定义了X围和边界，本公司信息平安管理体系的X围包括：a) 本公司涉及软件产品的技术开发，设计的管理的业务系统本次认证X围：与信息管理软件设计开发相关的信息平安管理活动；b) 与所述信息系统有关的活动；c) 与所述信息系统有关的部门和所有员工；d) 所述活动、系统及支持性

19、系统包含的全部信息资产。e) 本公司根据组织的业务特征和组织构造定义了信息平安管理体系的组织X围，见附录 A标准性附录"组织机构图"。f) 本公司根据组织的业务特征、组织构造、地理位置、资产和技术定义了信息平安管理体系的物理X围和信息平安边界。g本公司信息平安管理体系的物理X围为本公司位于单位地址。4.2 相关方的需求和期望重大信息平安事件损失达1 万以上的为零。专业资料整理WORD格式第12页共29页专业资料整理WORD格式信息平安管理手册公司发生网络中断时间小于2 小时每年。4.3 确定信息平安管理体系的X围体系X围：与信息管理软件设计开发、计算机系统集成相关的信息平安

20、管理活动本公司涉及软件产品的技术开发，设计的管理的业务系统本次认证X围：与电磁屏蔽机房的设计相关的信息平安管理活动组织X围：本公司根据组织的业务特征和组织构造定义了信息平安管理体系的组织X围，见附录 A 标准性附录"组织机构图"。物理X围：本公司根据组织的业务特征、组织构造、地理位置、资产和技术定义了信息平安管理体系的物理X围和信息平安边界。本公司信息平安管理体系的物理X围为本公司位于单位地址。4.4 信息平安管理体系本公司在软件产品的技术开发， 设计的管理活动中， 按 ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系 - 要求&q

21、uot;规定，参照 ISO/IEC27002:2021"信息技术 - 平安技术 - 信息平安管理实用规那么"标准，建立、实施、运行、监视、评审、保持和改进文件化的信息平安管理体系。信息平安管理体系使用的过程基于图1 所示的 PDCA模型。图 1 信息平安管理体系模型筹划相关方建立相关方ISMS实施和运行保持和改进实施处置ISMSISMS信息平安信息平安要求监视和评审管理和期望ISMS检查专业资料整理WORD格式第13页共29页专业资料整理WORD格式信息平安管理手册5 领导力5.1 领导和承诺我公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息平安管理体

22、系的承诺提供证据：a) 建立信息平安方针 ( 见本手册第 0.4 章 ) ；b) 确保信息平安目标得以制定见本手册第 0.4 章、"适用性声明 SoA"、"风险处理方案"及相关记录；c) 建立信息平安的角色和职责；d) 向组织传达满足信息平安目标、符合信息平安方针、履行法律责任和持续改进的重要性；e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息平安管理体系 ( 见本手册第 5.2 章) ；f) 决定承受风险的准那么和风险的可承受等级 ( 见"信息平安风险管理标准"及相关记录 ) ；g) 确保内部信息平安管理体系审核

23、见本手册第 9.2 章得以实施；h) 实施信息平安管理体系管理评审见本手册第 9.3 章。5.2 方针为防止由于信息系统的中断、 数据的丧失、敏感信息的泄密所导致的企业和客户的损失，本公司建立了信息平安管理体系，制订了信息平安方针，确定了信息平安目标。信息平安管理方针：满足客户要求，遵守法律法规，实施风险管理，确保信息平安，实现持续改进。信息平安目标下：1. 重大信息平安事件损失达 1 万以上的为零。2. 公司发生网络中断时间小于 2 小时每年。5.3 组织角色、职责和权限详见附录B6 规划专业资料整理WORD格式第14页共29页专业资料整理WORD格式信息平安管理手册6.1 应对风险和时机的

24、措施6.1.1 总那么为了满足适用法律法规及相关方要求，维持电力整流器开发和经营的正常进展，实现业务可持续开展的目的。本公司根据组织的业务特征、组织构造、地理位置、资产和技术定义了信息平安管理体系方针，见本信息平安管理手册第0.4 条款。该信息平安方针符合以下要求：a) 为信息平安目标建立了框架，并为信息平安活动建立整体的方向和原那么；b) 考虑业务及法律或法规的要求，及合同的平安义务；c) 与组织战略和风险管理相一致的环境下，建立和保持信息平安管理体系；d) 建立了风险评价的准那么；e) 经最高管理者批准。为实现信息平安管理体系方针，本公司承诺：a) 在各层次建立完整的信息平安管理组织机构，

25、确定信息平安目标和控制措施；明确信息平安的管理职责，详见附录 B标准性附录"信息平安管理职责明细表"；b) 识别并满足适用法律、法规和相关方信息平安要求；c) 定期进展信息平安风险评估，信息平安管理体系评审，采取纠正预防措施，保证体系的持续有效性；d采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e) 对全体员工进展持续的信息平安教育和培训， 不断增强员工的信息平安意识和能力；f) 制定并保持完善的业务连续性方案，实现可持续开展。6.1.2 信息平安风险评估6.1.2.1风险评估的方法办公室负责制定"信息平安风险管理程序"，建立识

26、别适用于信息平安管理体系和已经识别的业务信息平安、法律和法规要求的风险评估方法，建立承受风险的准那么并识别风险的可承受等级。6.1.2.2识别风险在已确定的信息平安管理体系X围内，本公司按"信息平安风险管理程序"，对所有的资产进展了识别，并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、效劳及人力资源。对每一项资产按自身价值、信息分类、*性、完整性、法律法规专业资料整理WORD格式第15页共29页专业资料整理WORD格式信息平安管理手册符合性要求进展了量化赋值，根据重要资产判断依据确定是否为重要资产，形成了"重要资产清单"。同时，根据

27、"信息平安风险管理程序"，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、*性、完整性和可用性、合规性损失可能对资产造成的影响。6.1.2.3分析和评价风险本公司按"信息平安风险管理程序"，采用FMEA分析方法，分析和评价风险：a) 针对重要资产自身价值、*性、完整性和可用性、合规性损失导致的后果进展赋值；b) 针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定平安失效发生的可能性，并进展赋值；c) 根据"信息平安风险管理程序"计算风险等级；d) 根据"信息平安风险管理程序"及风险承受

28、准那么，判断风险为可承受或需要处理。6.1.2.4识别和评价风险处理的选择办公室组织有关部门根据风险评估的结果，形成"风险处理方案"，该方案明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息平安风险，应考虑控制措施与费用的平衡原那么，选用以下适当的措施：a) 控制风险，采用适当的内部控制措施；b) 承受风险不可能将所有风险降低为零；c) 防止风险如物理隔离；d) 转移风险如将风险转移给保险者、供方、分包商。6.1.3 信息平安风险处置办公室根据信息平安方针、 业务开展要求及风险评估的结果，组织有关部门制定了信息平安目标，并将目标分解到有关部门见"信

29、息平安闲用性声明"：a) 信息平安控制目标获得了信息平安最高责任者的批准。b) 本公司根据信息平安管理的需要，可以选择标准之外的其他控制措施c) 控制目标及控制措施的选择原那么来源于 ISO/IEC27001:2021"信息技术 - 平安技术 - 信息平安管理体系 - 要求"附录 A，具体控制措施参考 ISO/IEC27002:2021"信息技术 - 平安技术 - 信息平安管理实用规那么"。专业资料整理WORD格式第16页共29页专业资料整理WORD格式信息平安管理手册d)适用性声明：办公室负责编制"信息平安闲用性声明"So

30、A，所选择控制目标与控制措施的概要描述， 以及选择的原因； 对 ISO/IEC27001:2021附录 A 中未选用的控制目标及控制措施理由的说明。e) 制定风险处置方案。f) 对风险处理后的剩余风险，得到了公司最高管理者的批准6.2 信息平安目标和规划实现6.2.1 本公司通过实施不定期平安检查、内部审核、事故事件报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a) 及时发现处理结果中的错误、信息平安体系的事故事件和隐患；b) 及时了解识别失败的和成功的平安破坏和事件、信息处理系统遭受的各类攻击；c) 使管理者确认人工或自动执行的平安活动到达预期的结果；d) 使管理者掌握信息

31、平安活动和解决平安破坏所采取的措施是否有效；e) 积累信息平安方面的经历 ;6.2.2 根据以上活动的结果以及来自相关方的建议和反响，由总经理主持，每年至少一次对信息平安管理体系的有效性进展评审，其中包括信息平安X围、方针、目标的符合性及控制措施有效性的评审，考虑平安审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7 章。6.2.3办公室应组织有关部门按照"信息平安风险管理程序"的要求，采用FMEA分析方法，对风险处理后的剩余风险进展定期评审，以验证剩余风险是否到达可承受的水平，对以下方面变更情况应及时进展风险评估：a) 组织；b)

32、技术；c) 业务目标和过程；d) 已识别的威胁；e) 实施控制的有效性；f) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。6.2.4 按照方案的时间间隔进展信息平安管理体系内部审核。6.2.5 定期对信息平安管理体系进展管理评审，以确保X围的充分性，并识别信息平安管理体系过程的改进，管理评审的具体要求，见本手册第7 章。专业资料整理WORD格式第17页共29页专业资料整理WORD格式信息平安管理手册6.2.6 考虑监视和评审活动的发现，更新平安方案。6.2.7 记录可能对信息平安管理体系有效性或业绩有影响的活动和事情。7 支持7.1 资源本公司确定并提供实施、保持信息平安管理体系所需资源；采取适当措施，使影响信息平安管理体系工作的员工的能力是胜任的，以保证：a) 建立、实施、运作、监视、评审、保持和改进信息平安管理体系；b) 确保信息平安程序支持业务要求；c) 识别并指出法律法规要求和合同平安责任；d) 通过正确应用所实施的所有控制来保持充分的平安；e) 必要时进展评审，并对评审的结果采取适当措施；f) 需要时，改进信息平安管理体系的有效性。7.2 能力组织应