《ISO27001-2022最新版信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001-2022最新版信息安全管理手册.docx(33页珍藏版)》请在优知文库上搜索。
1、编号:ISMS-MOI-2023版本号:V1.0受控状态:受控【组织名称】信息安全管理手册(依据ISO/IECFDIS27001:2022)文档信息文档编号:ISMS-MOl-2023文档分类:内部公开-受控编写:审核:批准:初次发布日期:生效日期:修订日期:版本记录版本号版本日期修改审批人修改履历V1.0/创建文档0.1信息安全管理手册发布令50.2管理者代表委任书61、范围72、规范性引用文件73、定义和术语73.1信息安全定义73.2术语83.3缩写84、组织环境91. 1理解组织及其环境92. 2理解相关方的需求和期望94. 3确定信息安全管理体系范围94.4信息安全管理体系105、领
2、导105. 1领导和承诺105. 2方针105.3组织的角色,责任和权限116、规划116. 1应对风险和机会的措施116.1 信息安全目标和实现规划136.2 变更管理147、支持147.1 资源147.2 能力147.3 意识147.4 沟通147.5 文件化信息158、运行168.1 运行规划和控制168.2 信息安全风险评估178.3 信息安全风险处置179、绩效评价179.1 监视、测量、分析和评价179.2 内部审核189.3 管理评审199.3.1 总则1910、改进2010.1 不符合和纠正措施2010.2 持续改进20附件1组织结构图22附录2职能分配表23附件3部门职责30
3、附件4信息安全职责说明书32O. 1信息安全管理手册发布令公司依据ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求(以下简称信息安全管理体系)标准的要求,结合公司的实际情况,在公司内部建立信息安全管理体系,组织编写了信息安全管理手册,经审定符合国家、地方及行业的有关法律法规和本公司的实际情况,现予以发布。信息安全管理手册是公司日常信息流转管理活动必须遵循的纲领性文件,本公司将按信息安全管理手册的规定要求组织本公司进行各项业务活动。全体员工必须认真学习,准确理解其内容,并严格遵照执行。自本手册发布令签批之日起,本公司信息安全管理体系进入实施运行阶段。【组
4、织名称】总经理:2022年12月Ol日O.2管理者代表委任书为贯彻执行SOIECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求。加强对公司体系运作的领导,特委任任公司信息安全管理体系的管理者代表。管理者代表的职责是:(1)确保按照标准的要求,进行资产识别和风险评估,全面建立、实施、运行、监视、评审、保持和改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性:(2)就信息安全管理体系有关事宜进行内外部联络,组织、指挥、监督、协调各部门体系的运作:(3)确保在整个组织内提高信息安全风险的意识;(4)审核风险评估报告、风险处理计划,并监督其执行情况,并向总经理
5、汇报残余风险:(5)收集整理各部门的管理评审输入材料,进行汇总,并在管理评审会议上向总经理报告;(6)向总经理报告信息安全管理体系的现状和任何改进的需求,包括信息安全管理体系运行情况、内外审核情况。本授权书自发布之日起生效执行。【组织名称】总经理:2022年12月Ol日1、范围公司依据信息安全管理体系标准的要求编制信息安全管理手册,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容,对标准中的第4章到第10章的内容,不做任何删减。a)注册地址:。b)运营地址:。c)体系范围:。d)组织范围:公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量
6、部、信息化中心。e)资产范围:与D所述业务活动2)组织范围内及3)物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。2、规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。信息安全、网络安全和隐私保护信息安全管理体系要求一概述和词汇。3、定义和术语本手册旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保隙能正确实施、信息系统能按策划运行
7、、信息服务能满足法律法规与顾客要求。3.1 信息安全定义信息安全保密防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。即确保信息的完整性、保密性,可用性和可控性。避免攻击者利用系统的安全保密漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是充分保护本组织信息资产并给予相关方信心。3.2 术语本手册中使用术语的定义采用ISO/IECFDIS27001:2022信息安全、网络安全和隐私保护信息安全管理体系要求中有关术语的定义。3.3 缩写1. ISMS:Informationsecurity,cybersecurityandprivacyprotectionI
8、nformationsecuritymanagementsystems一Requirements信息安全、网络安全和隐私保护信息安全管理体系要求;2. SOA:StatementofApplicability适用性声明;3. PDCA:PlanDoCheckAction计划、实施、检查、改进;4、组织环境3.1 理解组织及其环境管理层确定与公司意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。3.2 理解相关方的需求和期望管理运营部应确定信息安全管理体系要求的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制
9、措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。本公司所属相关方及其要求和期望如下表:相关方识别原因信息安全要求和期望更新频率识别方法政府职能单位严格执行国家法律法规落实国家法律法规要求依据法律法规发布周期关注政府网站第三方认证服务机构符合体系标准和服务资质要求方可通过认证法律法规及相关资质的信息安全要求认证标准发布周期与认证机构联系客户业务往来/合同关系服务和合同中要求和约定的信息安全内容合同要求更新周期合同供方合同关系合同中要求和约定的信息安全内容合同要求更新周期合同管理层决策公司的信息安全管理工作公司信息安全策略公司重要的商业信息/敏感信息的保密性不定期定期不定期汇报、管
10、理评审公司员工公司信息安全工作执行层各职能部门实际工作中的信息安全要求个人信息及隐私安全不定期公司会议3.3 确定信息安全管理体系范围本公司ISMS的范围包括a)物理范围:注册地址:。运营地址:。b)业务范围:。C)组织范围:公司管理层、管理运营部、人力资源部、采购部、财务部、安全质量部、信息化中心。d)资产范围:与所述业务活动、组织范围内及物理环境内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。3.4 信息安全管理体系本公司按照信息安全管理体系标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程
11、基于PDCA模式。5、领导5.1 领导和承诺总经理应通过以下方式证明信息安全管理体系要求的领导力和承诺:a) 确保信息安全策略和信息安全目标已建立,并与公司战略方向一致;b) 确保将信息安全管理体系要求要求融合到日常管理过程中;c) 确保信息安全管理体系要求所需资源可用;d) 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求要求的重要性;e) 确保信息安全管理体系要求达到预期结果;0指导并支持相关人员为信息安全管理体系要求有效性做出贡献;g) 促进持续改进;h) 支持管理运营部及各部门的负责人,在其职责范围内展现领导力。5.2 方针公司管理层应建立信息安全方针:a) 适合组织的宗旨;
12、b) 包括信息安全目标(见6.2),或为建立信息安全目标提供框架;c) 包括满足有关信息安全适当要求的承诺;d) 包括ISMS持续改进的承诺。公司的信息安全管理方针:预防为主,完善管理,持续改进,保证安全。对于信息安全方针的解释:将管理与技术相结合,建立完整的信息安全管理体系要求。安全管理的基本原理,防患于未然,预防大于亡羊补牢;采用适宜的、充分的、有效的控制措施来纠正和预防信息安全事态。控制风险是前提,风险自身是动态的过程。本公司在运行过程中需要审时度势、量体裁衣、因地制应,逐步的修订现有制度,不停的完善自身管理水平。上述方针的批准、发布及修订由公司总经理负责;信息安全方针是以文档化的身份可
13、用的,通过培、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保密意识及服务水平;并定期通过管理评审控制程序评审其适用性、充分性,必要时予以修订。5.3 组织的角色,责任和权限公司管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件,具体内容见附录3/4。各部门的信息安全管理职责决定本部门组织形式和业务分担,并形成文件,具体内容见附录B职能分配表。总经理为本公司信息安全的最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门应按照信息安全适用性声明中规定的安全目
14、标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。6、规划6.1应对风险和机会的措施6L1总贝!公司针对公司内部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信息安全方面的风险。在己确定的ISMS范围内,针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。管理运营部制定信息安全风险评估管理程序,经管理运营部组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见信息安全风险评估管理程序。6L2信息安全风险评估6.1.2.1 风险评估的系统方法管理运营部制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于信息安全风险评估管理程序。6.1.2.2 资产识别在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。6.1.2.3 估风险a) 针对每一项