公司技术中心信息安全管理手册.docx

《公司技术中心信息安全管理手册.docx》由会员分享，可在线阅读，更多相关《公司技术中心信息安全管理手册.docx（33页珍藏版）》请在优知文库上搜索。

1、公司技术中心信息安全管理手册目录0.1颁布令20.2管理者代表任命书30.3关于成立管理体系工作小组的决定40.4公司简介50.5组织结构50.6信息安全方针与目标71.0范围81.1 总则81.2 适用范围81.3 删减说明92.0规范性引用文件93.0术语与定义104.0组织环境124.1 理解组织及其环境124.2 利益相关方的需求和期望124.3 管理体系覆盖范围134.4 管理体系135.0领导力145.1 领导力及承诺145.2 方针155.3 角色、职责和权力156.1 策划186.1 处理风险和机遇的行动186.2 支持217.1 资源217.2 能力217.3 意识227.4

2、 沟通227.5 文档化的信息238. 0运行268.1 运行计划及控制278.2 信息安全风险评估278.3 信息安全风险处置279. 0绩效评价279.1 总要求279.2 内部审核289.3 管理评审2810.0改进3110.1 总要求3110.2 管理改进3110.3 纠正措施32附1职能分配表33附2程序文件清单错误!未定义书签。附3网络拓扑图错误!未定义书签。0.1颁布令为提高北京XXX有限公司（技术中心）的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2015年10月开展贯彻IS027001：2

3、013信息技术-安全技术-信息安全管理体系要求国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了北京XXX有限公司（技术中心）信息安全管理手册。信息安全管理手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。信息安全管理手册符合有关信息安全法律、法规要求及IS027001：2013信息技术-安全技术-信息安全管理体系-要求标准和企业实际情况，现正式批准发布，手册自2015年11月1日起实施。企业全体员工必须遵照执行。全体员工必须严格按照信息安全管理手册的

4、要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。该体系覆盖范围为：与金融理财系统软件开发、维护，金融理财信息咨询的信息技术服务相关的信息安全管理活动。批准：日期：2015年11月1日0.2管理者代表任命书为贯彻执行信息安全管理体系，满足IS027001：2013信息技术-安全技术-信息安全管理体系-要求标准的要求，加强领导，特任命迎为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1 .确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2 .负责与信息安全管理体系有关的协调和联络工作；3 .确保在整

5、个组织内提高信息安全风险的意识；4 .审核风险评估报告、风险处理计划；5 .负责组织编写和批准发布程序文件，负责年度培训计划、支持性文件的审批。6 .主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7 .向总经理报告信息安全管理体系的运行情况和所有改进要求，包括内外部审核情况。本授权书自任命日起生效执行。批准：日期：2015年11月1日0.3关于成立管理体系工作小组的决定为确保本公司信息安全管理体系的有效运行，认真贯彻信息安全管理方针,特授权以下人员组成信息安全管理体系(ISMS)工作小组。兹任命XXX,XXX,XXX担任本公司信息安全管理工作小组组员。批准：日期：2015年11

6、月1日0.4公司简介北京XXX有限公司总部位于北京，是一家集提供财富管理及借款咨询服务与对接、信用风险评估与管理、信用数据整合服务等服务于一体的综合性现代服务类企业。XXX采用先进的信用管理模式，拥有精通金融风险评估、政策法规的专业团队，帮助千万小微企业主、工薪阶层、学生和农民建立信用体制，释放信用价值，获取信用资金，并为他们提供培训等增值服务。同时，XXX专业的财富管理团队为大众富裕人群和高净值人群提供全方位财富管理顾问服务。通过创新的模式与企业文化，XXX以客户的财富管理需求为基础，根据客户的风险偏好、财务状况、家庭结构等因素量身定制财富管理方案，优选固定收益类、股权类等财富管理模式，帮助

7、客户实现安全、稳定的财富增值。自成立至今，XXX已在全国二十余个省市自治区，一百多座城市开设了分公司，XXX公司将继续为客户提供全方位、个性化的财富增值与信用增值服务。未来，XXX将继续坚守“诚信为本、专业立足、坚持创新、协作共赢”的核心理念，通过专业的个性化、顾问式服务，为用户打造出一个诚信、透明、公平、高效的企业金融服务平台，充分发挥信用担保纽带作用，XXX愿与社会各界诚信互助、互惠互赢、共创美好前景！0.5组织结构0.6信息安全方针与目标1.0信息安全方针全员参与、控制风险；积极预防、持续改进；客户信赖、永续经营2.0信息安全目标可用性及连续性目标确保本公司业务系统能有效地运转并使所有授

8、权用户得到所需信息服务。1）授权用户执行数据操作被拒绝的次数少于10起/年；2）信息安全事件导致的事故未能在规定时间内恢复的次数少于2起/年。完整性目标完整性目标包括两个方面：数据完整性和系统完整性。确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据；确保本公司业务系统不受非法操作干扰并以无损方式执行预定功能。1、非授权方式更改数据导致系统出现故障而影响工作的事故少于2起/年；2、非法操作干扰和无法按照无损方式执行预定功能的事态发生少于1起/年。保密性目标保密性目标是指不向非授权个人和部门暴露私有或者保密信息。确保本公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。

9、1、顾客对保密性抱怨/投诉的次数不超过1起/年。2、受控信息泄露的事态发生不超过3起/年；3、公司或客户的机密信息泄露的事故不得发生。1.0范围1.1 总则公司为证实有能力稳定地提供满足顾客和适用的法律、法规要求的服务，按IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求建立信息安全管理体系，它适用于：a）实施、保持并改进信息安全管理体系；b）使本公司确信能符合所声明的服务方针；c）向外界展示符合性；d）必要时寻求外部组织对其信息安全管理体系的认证；e）对符合本标准的情况进行自我鉴定和自我声明。1.2 适用范围本手册适用于公司内部部门和外部（包括国家主管部门和认证机构）评价

10、本公司满足IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求、顾客、法律法规要求和本公司要求的能力。本手册信息安全管理体系覆盖范围为：与金融理财系统软件开发、维护，金融理财信息咨询的信息技术服务相关的信息安全管理活动。1.3 删减说明由于本公司是按顾客要求、法律法规、标准要求,采用了ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准的条款，对附录A的删减详见适用性声明。2.0规范性引用文件ISO/IEC27000:2013信息技术安全技术信息安全管理体系概述和词汇ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求ISO/IEC27

11、002:2013信息技术-安全技术-信息安全管理实用规则中华人民共和国计算机信息系统安全保护条例互联网电子公告服务管理规定中华人民共和国计算机软件保护条例ISO/IEC27001-2005信息技术安全技术信息安全管理体系要求GB/T20271-2006信息系统通用安全技术要求GB/T20269-2006信息系统安全管理要求GB/T20984-2007信息安全风险评估规范GB/T21052-2007信息系统物理安全技术要求GB/T20270-2006网络基础安全技术要求GB/T20272-2006操作系统安全技术要求GB/T20273-2006数据库管理系统安全技术要求GB/T21028-200

12、7服务器安全技术要求3.0术语与定义IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求、IS0/IEC27002:2013信息技术安全技术信息安全管理实用规则规定的术语和定义适用于本管理手册。3.1 文件信息及其承载媒体。注L在本标准中，记录区别于文件。因为事实上，记录的作用在于作为活动的证据，而不是意图的证据。注2：文件的示例包括方针说明、计划、流程、服务级别协议和合同。3.2信息安全事件单个或一系列不需要的或非预期的、有明显的可能性危害业务运行和威胁信息安全的事情。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一

13、组计算机指令或者程序代码。3.4可用性保证被授权的使用者需要时能够访问信息及相关资产。3.5保密性保证信息只被授权的人访问。3.6完整性保护信息和处理过程的准确和完整。3.7信息安全保持信息的保密性、完整性和可用性。3.8风险接受接受一个风险的决定。3.9风险分析系统化地使用信息识别来源和估计风险。3.10风险评估风险分析和风险评价的整个过程。3.11风险评价比较估计风险与给出的风险标准，确定风险严性的过程。3.12风险管理指导和控制组织风险的联合行动。3. 13风险处理选择和实施措施以更改风险的处理过程。ISOGuide733.14 适用性声明描述适用于组织的ISMS范围的控制目标和控制措施

14、。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。3.15 相关方与服务提供方行为或行动的业绩或成就有利益关系的个人或团体。示例：客户、所有者、员工、管理方、服务提供方组织内的人员、供应商银行、工会或合作伙伴。注1：一个团体可由一个组织或其一部分组织或多个组织构成。3.16 本公司指北京XXX有限公司（技术中心），包括技术中心所属各部门。3.17 管理体系指技术中心的信息安全管理体系。4.0组织环境3.18 解组织及其环境本公司体系管理领导小组人员和各部门相关人员按照标准要求，在充分理解内部环境及外部因素两方面的前提下建立和管理体系，并形成文件，加以实施、运行、监视、评审、

15、保持和改进。公司内部环境及外部因素包括：内部环境：内控、组织架构、员工角色与职责、管理目标以及达成目标所采用的策略资源与能力；外部因素：文化、政治、法律法规、金融、经济以及竞争因素；影响目标达成的关键外部驱动力和趋势；利益相关方的认识及价值观。3.19 益相关方的需求和期望利益相关方对管理体系的需求和期望是：1、进行公司IT环境的信息安全管理，提高系统的可用性；2、对信息资产进行分类，有针对性的采取管理措施，提高安全管理能力；3、规范信息安全管理措施，防范信息安全事故的发生。3.20 理体系覆盖范围根据本公司的业务性质、地理位置、信息资产和技术的特点，本公司的信息安全管理体系的管理范围：与金融理财系统软件开发、维护，金融理财信息咨询的信息技术服务相关的信息