ISMS-A-01-信息安全管理手册.doc

xxx信息服务有限公司
信息安全管理手册
文件编号
ISMS-A-01
文件名称
信息安全管理手册
文件版本

文件密级
内部文件
发布部门
信息安全工作小组
批准人
生效日期
2018年3月1日
分发范围
xxx信息服务有限公司
本公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。
修订历史
版本
日期
修订情况
修订人

2018年3月1日

目录
1 目的 3
2 适用范围 3
3 公司信息安全方针 3
3 信息安全目标 4
4 公司组织架构 4
5 信息安全体系组织架构 4
6 信息安全管理职责 5
7 信息安全管理体系 6
总要求 6
建立和管理信息安全管理体系 7
文件要求 13
8 管理职责 14
管理承诺 14
资源管理 14
9 内部信息安全管理体系审核 15
总则 15
内审策划 16
内审员 16
内审实施 16
10 管理评审 17
总则 17
评审输入 17
评审输出 17
11 信息安全管理体系改进 18
持续改进 18
纠正措施 18
预防措施 19
1 目的
本手册描述xxxx(以下简称公司)的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到网络安全法、国家标准信息安全等级保护基本要求、国际标准ISO27001的要求。
通过信息安全管理体系的实施,提高公司全体员工的信息安全意识,保证公司在商业运作过程中的安全性、可持续性,确保公司进行所有商务活动中获得的顾客、隐私、企业专有技术等的信息的安全且可用,提升客户的满意度,提高公司的核心竞争力和抵御安全风险的能力。
2 适用范围
本文件适xxxxx信息服务有限公司所有部门、所有员工。
整个安全管理体系(ISMS)的覆盖范围包括:
信息安全管理体系(ISMS)适用于所有与xxxx服务有限公司业务有关的运维管理、技术支持
服务以及其他支持系统相关的业务活动。
信息安全管理体系的建立,旨在保护本公司所有的信息资产,包括但不限于知识产权、技术资料、操文件、研发成果、产品信息、投资信息、客户数据、市场信息、人事信息、财务信息、商业合同、各类软件硬件设施以及通信和供电等基础设施等。
3 公司信息安全方针
为加强公司全部职员的信息安全意识,贯彻落实信息安全方针及各项控制措施,保护客户及公司自有的信息资产,积极预防安全事件的发生,使安全事件的影响最小化,以此确保全公司业务的持续性,并且赢得客户的信任,提高公司的竞争力。
本公司制定了以下信息安全方针:
确保信息和信息系统的保密性、完整性和可用性;
做好信息系统的开发安全工作;
做好信息系统的安全运维工作;
做好信息安全事件预防和应急响应工作;
做好核心业务系统服务中断的应急预案;
做好人员招聘、筛选、管理和安全意识培训工作;
做好第三方对公司信息系统的访问,识别相关风险;
做好信息安全的监督与审计工作;
遵守法律法规,保障公司利益;
3 信息安全目标
信息安全事件处理率:100%;
信息安全培训计划达成率:100%;
重大信息安全事故为:0;
信息安全体系制度修订有效性:100%;
核心业务系统可用性:%以上;
软件正版化覆盖率:95%以上;
终端防病毒覆盖率:95%以上;
重要信息(IT)设备丢失:每年不超过1起;
客户针对信息安全事件的投诉:每年不超过2次;
机密和绝密信息泄漏事件:每年不超过1次;
大面积内网中断时间:每年累计不超过240分钟;
大规模内网病毒爆发:每年不超过2次;
各应急预案演练:每年至少演练1次(在条件具备和许可的前提下)。
4 公司组织架构
5 信息安全体系组织架构
信息安全委员会
组长:总经理
成员:公司管理层及各中心负责人
信息安全部
信息安全主管(专职)
信息安全工作小组
组长: 信息安全主管(专职)
核心成员:IT各部门经理及骨干成员
其它成员:各业务部门经理或关键用户
公司各业务部门
6 信息安全管理职责
为了加强对信息安全管理体系运作的管理,公司成立信息安全委员会,并明确最高管理者、管理者代表及各部门的职责,具体如下:
信息安全最高领导:总经理,负责以下工作:
负责信息安全规划的审议和决策;
审议信息安全总体方针策略;
负责重大信息安全事件的审议和决策;
总体指导信息安全工作;
为信息安全管理提供资源保