公司信息安全管理体系手册

xxxx

信息安全管理体系文件

ISMSM-01-A

信息安全管理体系手册

20XX-XX-XX发布20XX-XX-XX实施

XXXX

18027001:2005信息安全管理体系文件颁布令

为保证公司信息安全，保护客户信息，提高公司整体形象，增强

公司的竞争力，创造新的市场机会，公司决定贯彻TS027001:2005信

息安全管理体系国际标准。经过各部门的共同努力，信息安全管理体

系的纲领性文件一一信息安全管理体系手册，及指导各部门日常运营

的信息安全管理体系程序文件经过公司领导及各部门的审核，认为符

合公司实际情况，可以作为公司运营过程中对信息安全管控的依据，

现批准发布，全体员工必须严格遵照执行。

XXXX

总经理：

20XX年XX月XX日

目录

1目的和适用范围

1.1目的

1.2适用范围

2引用标准

3术语和定义

4信息安全管理体系（ISMS）

4.1总要求

4.2建立和管理ISMS

4.2.1建立ISMS

4.2.2实施和运作ISMS

4.2.3监视和评审ISMS

4.2.4保持和持续改进ISMS

4.3文件要求

4.3.1总则

4.3.2文件控制

4.3.3记录控制

5管理职责

5.1管理承诺

5.2资源管理

5.2.1提供资源

5.2.2培训、意识和能力

6内部部MS审核

7ISMS管理评审

7.1总则

7.2评审输入

7.3评审输出

8ISMS持续改进

8.1持续改进

8.2纠正措施

8.3预防措施

附录-1按部门分与信息安全管理体系的关系

附录-2各部门对信息安全管理体系的职责和权限

附录・3ISMS信息安全目标及指标分解

1目的和适用范围

1.1目的

为了建立、健全本公司信息安全管理体系（简称ISMS）,确定信息安全方针

和FI标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全

管理体系文件、持续改进1SMS的有效性，特制定本手册。

1.2范围

本手册适用于421.1条款确定范围内的信息安全管理活动。

2引用标准

ISO/IEC27001:2005《信息技术——安全技术——信息安全管理体系——要求》

ISG/IEC27OO2:2OO5《信息技术——安全技术——信息安全管理实施细则》

3术语和定义

3.1术语

本手册中使用术语的定义采用ISO/IEC27001:2005《信息技术一一安全技术

——信息安全管理体系一一要求》中的定义。

3.2缩写

ISMS：InformationSecurityManagementSystems信息安全管理体系;

SOA：StatementofApplicability适用性声明；

PDCA：PlanDoCheckAct；

4信息安全管理体系（ISMS）

4.1总要求

公司根据ISO/IEC270。1:2005标准在整体业务活动和所面临风险的环境下建

立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。ISMS

所涉及的过程基于以下PDCA模式：

策划

检杳

4.2建立和管理ISMS

4.2.1建立1SMS

4.2.1.1本公司ISMS的范围和周界包括：

a）本公司位于XXXXXXXX的所有部门和所有正式员工；

b）基于XXXXXX服务活动；

c）与b）所述活动相关的应用系统及支持性信息管理系统包含的全部信息资

产。

4.2.1.2本公司ISMS方针的制定考虑了以下方面的要求：

a）作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则;

b）考虑公司业务发展、法律法规要求及其他相关方合同涉及的信息安全要

求；

c）为ISMS的建立和维持，提供一个组织化的战略和风险管理的基本环境;

d）确定风险评估的准则和结构。

421.3信息安全管理体系方针

实施风险管理，满足相关方信息安全要求，保证业务连续性。

为了满足适用法律法规及相关方要求，维持生产和经营的正常进行，本公司

依据ISO/IEC27001:2005标准，建立信息安全管理体系，以保证本公司生产经营

信息的保密性、完整性、可用性，实现业务可持续发展的目的。本公司承诺：

a）在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、

安全目标和控制措施，明确信息安全的管理职责；

b）识别并满足适用法律、法规和相关方信息安全要求；

c）对ISMS进行测量活动，定期（一年至少一次）进行信息安全风险评估,

ISMS评审，采取纠正预防措施，保证体系的持续有效性；

d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现

信息共享；

e）对全体员工讲行持续的信息安全教育和培训，不断增弼员工的信息安全

意识和能力：

0制定并保持完善的业务连续性计划，实现可持续发展。

上述方针由公司信息安全最高责任者批准发布，并定期评审其适用性、充分

性，必要时予以修订。

4.2.1.4风险评估的系统方法

总经办负责建立XX信息安全风险评估控制程序并组织实施。风险评估控制

程序包括可接受风险准则和可接受水平，所选择的评估方法应确保风险评估能产

生可比较的和可重复的结果。具体的风险评估过程控制执行《XX信息安全风险

评估控制程序》

风险评估流程

4.2.1.5风险识别

在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括

软件/系统、数据/文档、硬件/设施、人力资源及服务。对每一项信息资产，根据

重要信息资产判断依据确定是否为重要信息资产，形成《重要信息资产清单》。

4.2.1.6评估风险

a）针对每一项重要信息资产，参考《信息安全威胁列表》及以往的安全事

故（事件）记录、信息资产所处的环境等因素，识别出所有重要信息资产所面临

的威胁；

b）针对每一项威胁，考虑现有的控制措施，参考《信息安全薄弱点列表》

识别出被该威胁可能利用的薄弱点；

c）综合考虑以上2点，按照《威胁发生可能性等级表》中的判定准则对每

一个威胁发生的可能性进行赋值；

d）根据《威胁影响程度判断准则》，判断一个威胁发生后可能对信息资产在

保密性（C）、完整性⑴和可用性（A）方面的损害，进而对公司业务造成的影响，来

给威胁影响赋值，取C、I、A的最大值为威胁影响程度的值；

e）风险大小计算：考虑威胁产生安全故障的可能性及其所造成影响程度两

者的结合，根据《风险矩阵计算表》来得到风险等级；

0对于信息安全风险，在考虑控制措施与费用平衡的原则下制定《风险接

受准则》，按照该准则确定何种等级的风险为不可接受风险。

4.2.1.7风险处理方法的识别与评价

总经办应组织有关部门根据风险评估的结果，形成《风险处理计划》，该计

划应明确风险处理责任部门、方法及时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措

施：

a）采用适当的内部控制措施；

b）接受某些风险（不可能将所有风险降低为零）；

c）回避某些风险（如物理隔离）；

d）转移某些风险（如将风险转移给保险者、供方、分包方）。

4.2.1.8选择控制目标与控制措施

a）信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结

果，组织有关部门制定信息安全目标，并将目标分解到有关部门。信息安全目标

应获得信息安全最高责任者的批准。

b）控制目标及控制措施的选择原则来源于ISO/IEC27001:2005标准附录A,

具体控制措施可以参考ISO17799:2005《信息技术一一安全技术一一信息安全管

理实施细则》。本公司根据信息安全管理的需要，可以选择标准之外的其他控制

措施。

4.2.1.9适用性声明SOA

总经办负责编制《信息安全适用性声明》（SOA）。，亥声明包括以下方面的内

容：

a）所选择控制目标与控制措施的概要描述；

b）当前已经实施的控制；

c）对ISO/IEC27001:2005附录A中未选用的控制目标及控制措施理由的说

明。

该声明的详细内容见ISMS-02-A《信息安全适用性声明》

4.2.2ISMS实施及运作

422.1为确保ISMS有效实施，对己识别的风险进行有效处理，木公司开展以F

活动：

a）形成《风险处理计划》，以确定适当的管理措施、职责及安全控制措施的

优先级；

b）为实现已确定的安全目标、实施《风险处理计划》，明确各岗位的信息安

全职责；

c）实施所选择的控制措施，以实现控制目标；

d）进行信息安全培训，提高全员信息安全意识和能力；

e）对信息安全体系的运作进行管理；

f）对信息安全所需资源进行管理；

g）实施控制程序，对信息安全事故（或征兆）进行迅速反应。

4.222信息安全组织机构

公司管理层决定全公司的组织机构和各部门的职责（包括信息安全职责），

并形成文件。

a）由管理层和各部门经理组成的信息安全管理委员会为公司信息安全管理

最高机构：

b）各部门经理根据公司组织机构和职责决定本部门组织形式和业务分担，

并形成文件。

422.3信息安全职责和权限

a）总经理为公司信息安全最高责任者。最高责任者指定为信息安全管理者

代表。无论该成员在其他方面的职责如何，对公司信息安全负有以下职责：

建立并实施信息安全管理体系必要的程序并维持其有效运行；

对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员会

或最高责任者报告。

b）各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺

的要求自觉履行信息安全保密义务；

c）有关信息安全管理体系各部门职责分担参照附表1,详细责任和权限见附

表2o

4.224各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施（包

括安全运行的各种控制程序）的要求实施信息安全控制措施。

4.2.3ISMS的监督检查与评审

4.2.3.1本公司通过实施不定期安全检查、内部审核、事故报告调查处理、定期技

术检查（如口志审核）等控制措施并报告结果以实现：

a）及时发现信息安全体系的事故和隐患；

b）及时了解信息处理系统遭受的各类攻击；

c）使管理者掌握信息安全活动是否有效，并根据优先级别确定所要采取的

措施；

d）积累信息安全方面的经验。

423.2根据以上活动的结果以及来自相关方的建议和反馈，由最高责任者主持，

定期（每年至少一次）对1SMS的有效性进行评审，其中包括信息安全范围、方

针、目标及控制措施有效性的评审。管理评审的具体要求，见本手册第7章。

423.3总经办应组织有关部门按照《XX信息安全风险评估控制程序》的要求对

风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，

对以下方面变更情况应及时进行风险评估：

a）组织机构发生重大变更；

b）信息处理技术发生重大变更；

0公司业务目标及流程发生重大变更：

d）发现信息资产面临重大威胁；

e）外部环境，如法律法规或信息安全标准发生重大变更。

423.4保持上述活动和措施的记录。

以上活动的详细程序规定于以下文件中：

《XX记录控制程序》；

《组织机构及职责》；

《XX信息安全风险评估控制程序》；

«XX内部审核控制程序》；

4.2.4ISMS保持与改进

本公司开展以下活动，以确保ISMS的持续改进：

a）实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；

b）按照《XX内部审咳控制程序》、《XX纠正措施控制程序》、《XX预防措

施控制程序》的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事

故的经验教训，不断改进安全措施的有效性；

c）对信息安全目标及分解进行适当的管理，确保改进达到预期的效果；（信

息安全目标及指标的分解见附表3）

d）为了确保信息安全管理体系的持续有效，各级管理者应通过适当的手段

保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外

部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系

及识别顾客对信息安全的要求等。如：管理评审会议、内部审核报告、公司内文

件体系、内部网络和邮件系统、法律法规评估报告等。

e）以上详细程序规定于以下文书中：

《XX法律法规、相关方要求识别与符合性评估管理程序》；

上述活动的会议记耍和报告。

4.3文件要求

431总则

本公司信息安全管理体系文件包括：

a）文件化的信息安全方针、目标和适应性声明；

b）信息安全管理手册（本手册，包括信息安全适月范围及引用的标准）；

c）本手册要求的《XX信息安全风险评估控制程序》、《XX商业秘密控制程

序》等支持性程序；

d）ISMS引用质量体系的程序；

e）为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；

f）ISMS要求的记录类；

g）相关的法律、法规和信息安全标准。

注：相关的文书和记录的媒体可能有：纸、磁盘等。所有文件应该容易为需

要使用的员工获得。

4.3.2文件控制

总经办制定信息安全管理体系所要求文件的管理程序，保证信息安全管理体

系文件得到以下所需的控制：

a）文件的作成、发行、修订、废弃等事项得到相应授权的查阅、批准，确

保文件是合适的、可行的；

b）文件的标识和修订状态清晰、易于识别，确保使用的文书是当前的有效

版本；

0为「文书的有效性，要定期确认记载内容是否过时，根据需要决定保持

或修改并再次得到相应的批准；

d）确保信息安全的外部标准、相应法律、法规得到明确的标识和管理；

e）以上规定的详细内容见：

《XX文件控制程序》

《XX法律法规、相关方要求识别与符合性评估管理程序》

4.3.3记录控制

4.331信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。

总经办负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录

管理规定。该规定应指定记录的标识、储存、保护、检索、保管、废弃等事项。

4.332信息安全体系的记录包括4.2中所列出的所有过程的结果及与ISMS相关

的安全事故。各部门应根据记录管理规定的要求采取适当的方式妥善保管信息安

全记录。

433.3该程序详细的规定见《XX记录控制程序》。

5管理职责

5.1管理承诺

信息安全最高责任者为确保建立、维持并持续改善信息安全管理体系特做出

以下承诺：

a）建立信息安全方针；

b）建立信息安全目标和实施计划；

c）建立信息安全组织并明确职责；

d）通过适当的沟通方式，向全体员工传达满足信息安全目标、符合信息安

全方针以及法律、法规要求和持续改进的重要性；

e）提供适当的资源以满足信息安全管理体系的需要；

0对可接受风险的水平进行决策；

g）实施ISMS管理评审。

5.2资源管理

5.2.1提供资源

本公司确定并提供适当的资源，以满足以下需求：

a）建立、实施和维持ISMS：

b）确保信息安全管理程序支持业务流程的要求；

C）识别并致力于满足法律法规要求及合同规定的安全义务：

d）切实实施已有的控制措施，保持信息安全的充分性；

e）必要时进行评审并对评审结果做出适当的反应；

f）需要时，改进信息安全体系的有效性。

资源管理的具体内容见每年度的《公司财务预算》c

5.2.2能力、意识和培训

为提高全员信息安全的意识、确保相关人员履行信息安全职责所需的能力，

应制定并实施以下的管理活动：

a）明确各岗位信息安全的职责和对能力的要求；

b）实施信息安全意识和能力的教育、培训并评价其培训的有效性；

c）通过宣传和其他活动使员T.普遍认识到信息安全职责的重要性及如何为

实现信息安全目标做出各自的贡献；

d）保持以上活动的记录。

以上活动的详细规程见：

a）各部门的岗位描述

b）《XX人力资源安全管理程序》

6ISMS内部审核

总经办负贡制定内审计划并组织实施，以判定ISMS规定的安全目标、控制

措施、和程序是否：

a）符合ISO/IEC27001:2005标准和有关法律法规要求；

b）符合已识别的信息安全要求；

c）有效实施和保持；

d）完成预期的目标。

6.1内部审核程序

6.1.1总经办制定信息安全管理体系年度审核计划，该计划应覆盖整个ISMS体系

并得到信息安全管理体系最高责任者的批准。

6.1.2内部审核以本手册、相应的规则、作业指导书为基准。选定的内审员应是

了解公司业务流程、熟悉安全体系标准并经过培训取得信息安全内审员资格的本

公司员工。内审员资格需取得信息安全管理者代表的批准。

6.1.3进行内审时，总经办要有计划的进行以下的事项：

1）审核员的选定和教育及培训；

2）制定审核计划，指定审核员（审核员应与被审核对象无直接责任关系）；

3）准备必要的相关文件。

6.1.4审核中发现的不符合事项，要向责任部门报告，由责任部门明确纠正措施

的实施计划。

6.1.5要对该纠正措施的实施计划，进行适宜的跟踪，确认是否有效实施。

6.1.6以上的工作完成后，须经管理者代表确认后，审核才算结束。

6.1.7如果发现信息安全重大不符合或征兆时，或者管理者代表判断必要时，可

调整年度审核计划。

6.1.8对审核的结果进行适当的汇总整理，作为管理评审的输入资料。

6.2内部审核需保留以下记录

1）被审核对象范围；

2）审核口期；

3）审核员；

4）被审核方；

5）依据的文件；

6）具体审核事项及其审查结果；

7）不符合内容和程度（严重或轻微及观察事项）；

8）不符合事项的纠正措施和实施期限；

9）纠正措施的实施状况及其效果，其他必要事项、审核结束的确凿证据。

6.3以上程序详细内容见：

《XX内部审核控制程序》。

7ISMS管理评审

7・1总则

信息安全最高责任者为确认信息安全管理体系的适宜性、充分性和有效性，

每半年对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理体

系是否需改进或变更的评价，以及对安全方针、安全目标的评价。管理评审的结

果应形成书面记录，该记录按4.3.3的要求进行保存。

7.2管理评审的输入

在管理评审时，管理者代表应组织相关部门提供以下资料•，供最高责任者和

信息安全委员会进行评审：

a）ISMS体系内、外部审核的结果；

b）相关方的反馈（投诉、抱怨、建议）；

c）可以用来改进ISMS业绩和有效性的新技术、产品或程序；

d）信息安全目标达成情况，纠正和预防措施的实施情况；

e）信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁；

0上次管理评审时决定事项的实施情况；

g）可能影响信息安全管理体系变更的事项（标准、法律法规、相关方要求）;

h）对信息安全管理体系改善的建议。

7.3管理评审的输出