完整版ISO27001信息安全管理手册.docx

1、完整版ISO27001信息安全管理手册信息安全管理手册版本号：V1.001颁布令02管理者代表授权书03企业概况04信息安全管理方针目标05手册的管理信息安全管理手册范围.1.1总则1.2应用规范性引用文件.术语和定义.3.13.23.33.43.5本公司信息系统计算机病毒信息安全事件相关方信息安全管理体系.4.1概述4.2建立和管理信息安全管理体系4.3文件要求管理职责.5.1管理承诺5.2资源管理内部信息安全管理体系审核.6.1总则6.2内审策划6.3内审实施管理评审.1518181819191919217.1总则217.2评审输入217.3评审输出217.4评审程序228 信息安全管理体

2、系改进238.1持续改进238.2纠正措施238.3预防措施2301颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全 事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtlS027001:2005信息技术-安全技术-信息安全管理体系要求 国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了信息安全管理 手册。信息安全管理手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效 运行、持续改进，体

3、现企业对社会的承诺。信息安全管理手册符合有关信息安全法律、 GB/T22080-2008idtIS027001:2005信自 2015息技术-安全技术-信息安全管理体系-要求标准和企业实际情况，现正式批准发布, 年12月23日起实施。企业全体员工必须遵照执行。全体员工必须严格按照信息安全管理手册的要求，自觉遵循信息安全管理方针, 彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。总经理:2015 年 12 月 2302管理者代表授权书为贯彻执行信息安全管理体系，满足 GB/T22080-2008idtlS027001:2005信息技术-安为我公司信息安全技术-信息安全管理体系-要求标

4、准的要求，加强领导，特任命 全管理者代表。授权信息安全管理者代表有如下职责和权限:1.确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系;2.负责与信息安全管理体系有关的协调和联络工作;3确保在整个组织内提高信息安全风险的意识；4审核风险评估报告、风险处理计划;5 批准发布程序文件；6主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7.向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。总经理:2013年12 月23日03公司概况04信息安全管理方针目标为防止由于信息系统的中断、

5、数据的丢失、敏感信息的泄密所导致的企业和客户的损失, 本公司建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。信息安全管理方针如下:强化意识规范行为数据保密信息完整本公司信息安全管理方针包括内容如下:、信息安全管理机制公司采用系统的方法，按照GB/T22080-2008idtlS027001:2005建立信息安全管理体系, 全面保护本公司的信息安全。、信息安全管理组织1.公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求,提供信息安全资源。2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。3.在

6、公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。4.与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。三、人员安全1.信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗 位调动或离职人员，应及时调整安全职责和权限。2.对本公司的相关方针，要明确安全要求和安全职责。3.定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识。4.全体员工及相关方人员必须履行安全职责，执行

7、安全方针、程序和安全措施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安 全要求。五、风险评估1.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。2.采用先进的风险评估技术，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。3.应根据风险评估的结果，采取相应措施，降低风险。六、报告安全事件1 .公司建立报告信息安全事件的渠道和相应的主管部门。2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。3.接受信息安全事件报

8、告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。七、监督检查定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。八、业务持续性1.公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。2.定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。信息安全目标如下:确保单个重要业务系统每月中断次数不超过 1次，每次中断时间不超过2小时。05手册的管理1信息安全管理手册的批准信息安全管理委员会

9、负责组织编制信息安全管理手册，总经理负责批准。2信息安全管理手册的发放、更改、作废与销毁a）行政中心负责按文件和资料管理程序的要求，进行信息安全管理手册的登记、发放、回收、更改、归档、作废与销毁工作;b）各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保管;C）行政中心按照规定发放修改后的信息安全管理手册，并收回失效的文件做出标识统一处理，确保有效文件的唯一性;d）行政中心保留信息安全管理手册修改内容的记录。3信息安全管理手册的换版当依据的 GB/T22080-2008idtlS027001:2005 标准有重大变化、组织的结构、内外部环境、开发技术、信息安全风险等发生重大改

10、变及信息安全管理手册发生需修改部分超过时，应对信息安全管理手册进行换版。换版应在管理评审时形成决议，重新实施编4信息安全管理手册的控制a）本信息安全管理手册标识分受控文件和非受控文件两种:受控文件发放范围为公司领导、各相关部门的负责人、内审员;非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。b）信息安全管理手册有书面文件和电子文件。信息安全管理手册范围总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS， 确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信 息安全管理体系文件、持续改进

11、信息安全管理体系的有效性，特制定本手册。应用覆盖范围：本信息安全管理手册规定了 DXC 勺信息安全管理体系要求、管理职责、内部审核、管理 评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于DXC业务活动所涉及的信息系统、资产及相关信息安全管理 活动，具体见4.221条款规定。删减说明本信息安全管理手册采用了 GB/T22080-2008idtlS027001:2005标准正文的全部内容，对附录A的删减见适用性声明。规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册 的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而, 行政

12、中心应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。术语和定义信息技术-安全技术-信息安全管理体系-要求、GB/T22080-2008idtIS027001:2005GB/T22081-2008idtIS027002:2005信息技术-安全技术-信息安全管理实用规则规定的术语和定义适用于本信息安全管理手册。本公司指DXC包括DXC所属各部门。信息系统指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏

13、数据，影响计算机使用，并 能自我复制的一组计算机指令或者程序代码。信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、 利用信息系统从事 的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。 主要为：政府、 供方、银行、用户、电信等。信息安全管理体系概述4.1.1 本公司在软件开发、经营、服务和日常管理活动中，按GB/T22080-2008idtlS027001:2005信息技术-安全技术-信息安全管理体系-要求规定，参照GB/T22081-2008idtlS027002:200

14、5信息技术-安全技术-信息安全管理实用规则标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。4.1.2信息安全管理体系使用的过程基于图 1所示的PDCA模型。图1信息安全管理体系模型建立和管理信息安全管理体系 建立信息安全管理体系4.2.1.1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信 息安全管理体系的范围包括:a)本公司涉及软件开发、营销、服务和日常管理的业务系统;组织范围:本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围， 见本手册 附录A （规范性附录）信息安全管理体系组织机构图。物理范

15、围:本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体 系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为本公司位于市惠山经济开发区前洲配套区兴洲 路2号，科创中心二楼，安全边界详见附录 B （规范性附录）办公场所平面图。4.2.1.2 信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第 0.4条款。该信息安全方针符合以下要求:为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则;

16、与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系;d)e)a）在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责b）识别并满足适用法律、法规和相关方信息安全要求；C）定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性;采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享;对全体员工进行持续的信息安全教育和培训， 不断增强员工的信息安全意识和能力;行政中心负责制定信息安全风险评估管理程序，建立识别适用于信息安全管理体系 和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的

17、准则并识别风险的可接受等级。信息安全风险评估执行信息安全风险评估管理程序，以保证所选择 的风险评估方法应确保风险评估能产生可比较的和可重复的结果。4.2.1.4 识别风险在已确定的信息安全管理体系范围内，本公司按信息安全风险评估管理程序，对所 有的资产进行了识别，并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服 务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合 性要求进行了量化赋值，形成了资产识别清单。同时，根据信息安全风险评估管理程序，识别了对这些资产的威胁、可能被威胁利 用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的

18、影响。4.2.1.5 分析和评价风险本公司按信息安全风险评估管理程序，采用人工分析法，分析和评价风险：a）针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值;C）d)根据信息安全风险评估管理程序计算风险等级；根据信息安全风险评估管理程序及风险接受准则，判断风险为可接受或需要处理。行政中心组织有关部门根据风险评估的结果，形成信息安全不可接受风险处理计划 该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以

19、下适当的措施:（通过适当的控制措施降低风险发生的可能性）；a）消减风险b）接受风险（风险值不高或者处理的代价高于风险引起的损失，公司决定接受该风险 /残余风险）；（通过购买保险、外包等方法把风险转移到外部机构）。d）转移风险4.2.1.7选择控制目标与控制措施行政中心根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定了信 息安全目标，并将目标分解到有关部门（见适用性声明）：a）信息安全控制目标获得了信息安全最高责任者的批准。b）控制目标及控制措施的选择原则来源于 GB/T22080-2008idtlS027001:2005信息技术 -安全技术-信息安全管理体系-要求附录A，具体控

20、制措施参考GB/T22081-2008idtISO27002:2005信息技术-安全技术-信息安全管理实用规则。C）本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2.1.8对风险处理后的残余风险，得到了公司最高管理者的批准。4.2.1.9最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10 适用性声明行政中心负责编制适用性声明（SoA。该声明包括以下方面的内容:a） 所选择控制目标与控制措施的概要描述，以及选择的原因；b） 对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的 说明（本公司未涉及此项业

21、务）。实施及运作信息安全管理体系4.2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动:a）形成信息安全不可接受风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b）为实现已确定的安全目标、实施信息安全不可接受风险处理计划，明确各岗位的信息安全职责；C）实施所选择的控制措施，以实现控制目标的要求;d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的 有效性以得出可比较的、可重复的结果；e） 进行信息安全培训，提高全员信息安全意识和能力;f） 对信息安全体系的运作进行管理；g）对信息安全所需资源进行管理;h）实施控制程

22、序，对信息安全事件（或征兆）进行迅速反应。4.222 信息安全组织机构本公司成立了信息安全领导机构-信息安全委员会，其职责是实现信息安全管理体系方 针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全方 针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系的有效运行提 供必要的资源。本公司体系推进由行政中心负责，其主要负责制订、落实贯标工作计划，对单位、部门贯标工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司由相关部门代表组成信息安全委员会，采用联席会议（协调会）的方式，进行信息安全协调和协作，以：确保安全活动的执

23、行符合信息安全方针;a)b)c)确定怎样处理不符合；批准信息安全的方法和过程，如风险评估、信息分类;d)e)识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露;评估信息安全控制措施实施的充分性和协调性；f)g)有效的推动组织内信息安全教育、培训和意识；评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。4.223信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责：a）建立并实施信息安全管理体系必要的程序并维持其有效运行;b）对信息安全管理体系的运行情况和必

24、要的改善措施向信息安全委员会或最高责任者 报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门、人员有关信息安全职责分配见附录 C （规范性附录）信息安全管理职责明细表和相应的程序文件。4.2.2.4 各部门应按照适用性声明中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。监督与评审信息安全管理体系4.2.3.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:a） 及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b） 及时了解识

25、别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;c）使管理者确认人工或自动执行的安全活动达到预期的结果;d）使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;e）积累信息安全方面的经验。4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控 制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第 7章。4.2.3.3 行政中心应组织有关部门按照信息安全风险评估管理程序的要求，对风险处理 后的残余风险进

26、行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估:4.2.3.6考虑监视和评审活动的发现，更新安全计划。4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。保持与持续改进信息安全管理体系我公司开展以下活动，以确保信息安全管理体系的持续改进:a）实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;b）按照内部审核管理程序、纠正措施管理程序、预防措施管理程序的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故（事件）的经验教训，不断改进安全措施的有效性；c）通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通

27、。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;d）对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。总则文件要求本公司信息安全管理体系文件包括:a）文件化的信息安全方针、控制目标，在信息安全管理手册中描述;b） 信息安全管理手册（本手册，包括信息安全适用范围及引用的标准）；c） 本手册要求的信息安全风险评估管理程序、业务持续性管理程序、纠正 措施管理程序等支持性程序；d）信息安全管理体系引用的支持性程序。如：文件和资料管理程序、记录管理程序、内部审核管理程序等；e）为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;f）信息安

28、全风险评估报告、信息安全不可接受风险处理计划以及信息安全管理 体系要求的记录类文件；g） 相关的法律、法规和信息安全标准;h） 适用性声明（SOA。文件控制行政中心制定并实施文件和资料管理程序，对信息安全管理体系所要求的文件进行 管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理 体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、 作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证:b)必要时对文件进行评审、更新并再次批准;c)确保文件的更改和现行修订状态得到识别;e)确保文件保持清晰、易于识别

29、；f)确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；确保外来文件得到识别;g)h)j)确保文件的分发得到控制；防止作废文件的非预期使用;若因任何目的需保留作废文件时，应对其进行适当的标识。记录控制4.331信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政中心负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理程序，规 定记录的标识、储存、保护、检索、保管、废弃等事项。4.3.3.2 信息安全体系的记录应包括本手册第 4.2条中所列出的所有过程的结果及与ISMS相关的安全事故（事件）的记录。4.3.3.3各部门应根据记录管理程序的要求采取适当的方式妥善保管信息安全记录。ISMS职能分配表注：主要责任次要责任主管部门手册条款总经理管理者代表行政中心项目中客服中心4信息安 全管理 体系总体要求建立ISMS实施ISMS监视和评审ISMS保持和改进ISMS文件控制记录控制5管理职责管理承诺资源提供培训意识和能力6ISMS内部审计