《ISOIEC27001-2013信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISOIEC27001-2013信息安全管理手册.docx(30页珍藏版)》请在优知文库上搜索。
1、信息安全管理手册ISOIEC27001-2013目录1 .概述41.1 目的41.2 适用范围41.3 颁布令41.4 授权书52 .依据文件和术语52.1 依据文件52.2 术语定义63 .裁剪说明64 .组织环境64.1 组织环境描述64.2 信息安全相关方的需求和期望94.3 信息安全管理体系范围的确定104.4 体系概述105 .领导力105.1 领导力和承诺105.2 信息安全方针和目标105.3 组织角色、职责和权限116 .策划126.1 风险评估和处置126.2 目标实现过程131.1 资源提供141.2 信息安全能力管理141.3 意识培训151.4 信息安全沟通管理151.
2、5 存档信息控制168 .运行178.1 体系策划与运行179 .绩效评价189.1 能力评价189.2 有效性测量189.3 内部审核199.4 管理评审2010 .改进2011 .信息安全总体控制21A.5信息安全策略21A.6信息安全组织21A.7人力资源安全24A.8资产管理24A.9访问控制24A.10密码控制24A.11物理和环境安全25A.12操作安全25A.13通信安全25A.14系统获取、开发和维护26A.15供应商关系27A.16信息安全事故27A.17业务连续性管理的信息安全方面27附件一:信息安全组织架构映射表27附件二:信息安全职责分配表291 .概述为提高服务质量,
3、规范管理活动,保障系统安全运行,提升人员安全意识水平,北京讯鸟软件有限公司(以下简称“公司”)依据信息安全管理标准GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求的相关要求,结合自身业务系统实际运行安全需求,已建立实施了一套科学有效的信息安全管理体系,并通过体系的有效运行,实现持续改进,达到动态系统、全员参与、制度化的、以预防为主的信息安全管理方式。1.1 目的本总纲为公司信息安全管理体系的纲领性文件,描述了信息安全管理体系的方针、目标、管理机制和要求等方面的内容。通过建立策划(P)分执行(D)分检查(C)今改进(A)的持续改进机制,不断提高
4、公司的信息安全管理水平,确保日常信息安全管理活动的安全、稳定、高效,提升企业核心竞争力。1. 2适用范围本总纲所描述信息安全管理体系适用于公司所有部门,所涉及业务范围包括信息技术处理设施的管理运维服务、信息技术系统的开发、获取和运行维护、人员的信息安全、数据的安全等在内的各项信息安全管理相关活动。2. 3颁布令为提高信息安全管理水平,贯彻落实“以客户为中心,将安全意识融入日常工作、严格审查各项控制措施、及时消除安全隐患、保障业务连续性。”的基本方针,保障公司的生产、经营、服务和日常管理活动,防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,公司特依据GB/T22080
5、2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准要求,建立了文件化的信息安全管理体系。本体系是信息安全管理的纲领性文件,是指导公司建立并实施信息安全管理体系的纲领和行动准则,用于贯彻信息安全管理方针,实现信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本总纲的要求,自觉贯彻管理方针,严格执行本总纲的各项规定,努力实现公司生产运行和日常办公的安全。并传达给外部相关方。本手册自颁布之日起生效执行。公司总经理:XXX二零二二年八月二日1. 4授权书为了贯彻执行信息安全管理体系,满足GB/T22080-20161.SOAEC27001:2013信息技术安全
6、技术信息安全管理体系要求的要求,加强对信息安全管理体系建设和持续运行的领导工作,特任命陈俊祥先生为公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限:1)领导信息安全管理体系的建立、运行和维护,开展资产识别和风险评估:2)协调与信息安全管理体系有关的各项工作;3)确保提高员工信息安全意识;4)督促信息安全管理体系内部审核和信息安全检查的开展;5)协助最高管理者进行信息安全管理体系的管理评审;6)向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。公司总经理:二零二二年八月二日2.依据文件和术语2. 1依据文件本总纲的制定参考并依据了下列文件资料,详见符合性
7、实施制度。1)法律法规:是指我国颁布的、所有相关且具有约束和指导作用的法律、法规:2)监管规定:是指证监会及其分支机构颁布的具有约束和指导作用的所有文件、规定3)文件:公司下发的对信息业务系统、信息安全管理等有约束力和指导作用的所有文件:4)国际惯例:是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和指导作用的国际通用惯例;5)标准:GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求:2.2术语定义1)信息安全:对信息的机密性、完整性和可用性的保护;2)机密性:确保信息仅供给那些获得授权的人使用;3)完整性:保护信息及信息处理方法的准确
8、性和完全性;4)可用性:确保获得授权使用该信息及信息系统的人能及时、可靠地使用;5)风险评估:评估信息及信息处理系统所存在的或可能产生的威胁、影响和薄弱环节,是风险分析和风险评价的全过程;6)风险管理:指导和控制组织通过区分、控制、减少或去除等方法将风险控制在可承受范围内的活动:3 .裁剪说明GBT22080-2016/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的条款与公司信息安全管理体系的适用关系,详见信息安全管理体系适用性声明(SOA)o4 .组织环境4. 1组织环境描述1、外部组织关系北京讯鸟软件有限公司成立于2001年,是中国领先的呼叫中心与云计算应用服务提
9、供商。公司倡导“人性化科技帮助客户提升业绩”,致力于帮助企业利用云计算技术,以客户为中心,协同各种经营资源,改善营销流和服务流,从而提高人均产值,重塑客户体验。讯鸟软件是中国云计算应用/SaaS、PaaS应用的先驱,从2005年即开始研发云计算SaaS产品,拥有上百人的云计算专业研发队伍、国内一流的云计算业务咨询顾问和运营服务团队,拥有50余项自主知识产权。2、法律法规环境公司应遵循信息安全法律法规要求和义务,避免员工违反法律、法规的要求,控制相关法律风险。具体要求见符合性实施制度。3、组织架构及部门职责公司组织架构图如下,部门包括总裁办、行政部、人力资源部、商务采购部、财务部、产品部、销售部
10、、服务部、研发部、测试部。如下图所示:研发服务体系研发部测试部1)总裁办负责协助总裁执行日常工作计划和其他工作安排:执行相关信息安全管理规章制度。2)行政部负责公司各项行政事务管理工作;完善公司内部控制制度建设;负责日常行政事务工作和办公设施、办公场所等管理工作;上级领导交办的其他工作;负责制定并执行相关信息安全管理的规章制度。3)人力资源部负责人力资源规划的制定、实施及完善;负责组织机构方案、人员编制、岗位评价方案的研拟与执行;负责培训体系、绩效考评体系的制定、实施及追踪;负责公司人力成本的预算及调控;部门费用预算的控制;负责企业文化的建立、宣传及推动;员工职业生涯的规划设计;负责员工的招聘
11、、高级人才的引进;执行相关信息安全管理的规章制度。4)商务采购部负责公司第三方服务业务谈判及组织实施;负责各项第三方服务业务合同的保管、查询、建立合同档案,定期检查合同执行情况,不断完善合同的各项条款;负责各项第三方服务业务合同的签订、变更、执行、终止;负责各种促销活动方案中商户的协调和落实;执行相关信息安全管理的规章制度:5)财务部围绕公司的经营发展规划和工作计划,负责编制公司财务计划和费用预算,有效地筹划和运用公司资金;财务制度的建设和规范的制定;做好财务统计和会计账目、报表及年终结算工作,并妥善保管会计凭证,账簿、报表和其他档案资料;财务部日常管理工作,部门人员的管理、培训、考核;建立健
12、全公司内部核算的组织、指导和数据管理体系,以及核算和财务管理的规章制度;做好公司各项资金的收取与支出管理工作;执行相关信息安全管理的规章制度。6)产品部为公司提供准确的行业定位,及时提供市场信息反馈;制定和实施年度产品推广计划和新产品开发计划(依据市场需求的变化,要提出合理化建议);依据市场变化要随时调整产品战略与营销战术(包括产品价格的调整等),并组织相关人员接受最新产品知识的培训I;制定公司品牌管理与发展策略,维护公司品牌;管理、监督和控制市场政策执行情况;执行相关信息安全管理的规章制度。7)销售部负责产品或服务的销售工作;负责代理人市场的推广,特别是战略客户的市场推广策略并实施;负责制定
13、并管理销售业务流程;负责对销售业务流程执行的监督;执行相关信息安全管理规章制度。8)服务部负责对本部门新员工的工作技能进行培训,并进行考核;负责云端产品部署、管理、维护、运营和服务运营质量的管理和提升工作;负责客户关系的维护、客户的技术培训、合同的执行,项目验收等相关工作;负责大数据的运营、自建呼叫中心平台及云端产品的客户业务和售后服务工作,保证客户的满意度:负责制定和执行服务运营及环境维护管理规章制度和相关信息安全管理的规章制度。9)研发部负责提供符合客户要求和认可的技术支持和解决方案;承担产品设计和开发工作;负责技术方案的评审工作,保证技术方案的可行性;负责组织和协调开发项目的资源,保证项
14、目按计划进行;负责制定项目计划,并根据各种变化修改项目计划;制定有效的项目决策过程;负责实施项目的管理、开发、质量保证过程,确保客户的成本、进度、绩效和质量目标;负责确保在项目生命周期中遵循实施公司的管理和质量政策;负责招聘和培训必须的项目成员;负责确定项目的人员组织结构;进行风险管理;负责定期举行项目评估(review)会议;负责为项目所有成员提供足够的设备、有效的工具和项目开发过程;负责有效管理项目资源;负责制定并执行相关信息安全管理的规章制度。10)测试部负责协调业务管理体系下各部门工作;负责源代码及软件的完整性、可用性、功能、性能进行系统性测试;负责对各业务系统及运行环境进行系统性测试
15、和安全性检测;负责对源代码资源系统管理及备份:负责制定并执行相关信息安全管理的规章制度。4.2信息安全相关方的需求和期望公司信息安全相关方包括认证单位、客户、供应商、内部部门及员工等。各相关方的信息安全要求和期望均应及时识别,并在实际业务开展时应遵照执行。相关方识别原因信息安全要求和期望更新频率识别方法认证单位IS027001符合体系标准要求方可通过认证相关资质的信息安全要求认证标准发布周期与认证单位联系客户合同关系合同中要求的信息安全内容合同要求更新周期合同供应商合同关系合同中要求的信息安全内容合同要求更新周期合同内部部门及员工信息安全工作执行各部门实际工作中的信息安全要求个人隐私安全不定期安全会4. 3信息安全管理体系范围的确定体系范围的确定主要考虑到公司的实际业务特点和资源的合理利用,在公司范围内建立信息安全管理体系,有利于全面的提高公司信息安全管理水平,保障