信息安全管理手册.doc

文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期XXXX信息安全管理手册创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批准人变化状态:新建,增加,修改,删除文件修订履历目录1信息安全管理手册颁布令 42信息安全手册说明和管理 、发布 63目的 64适用范围 65引用标准 66术语和定义 67信息安全管理体系  ISMS 128管理职责 、意识和培训 139内部ISMS审核 1410ISMS管理评审 1511ISMS 改进 1612附则 16XXXX信息安全管理手册1信息安全管理手册颁布令为防范一切来自内部或外部、蓄意或意外的信息安全风险,保护XXXX的信息资产,依据 ISO27001:2005《信息安全管理体系要求》,XXXX编制了《信息安全管理手册》,经评审定稿,现予以发布实施。XXXX依据 ISO27001:2005《信息安全管理体系要求》建立了信息安全管理体系,以保证XXXX的信息安全目标和方针的实现。本手册是XXXX信息安全管理体系的核心文件,是实施信息安全管理的纲领和行动准则,XXXX的各个部门要组织全体员工认真学习,全面贯彻执行,确保信息安全管理体系的有效运行。本手册可用于对外提供信息安全保证。《信息安全管理手册》自 年 月 日起生效,XXXX原有与《信息安全管理手册》相违背的文件同时废止。XXXX年 月 《信息安全管理手册》依据 ISO27001:2005《信息安全管理体系要求》并结合XXXX具体情况编写而成。在《信息安全管理手册》中阐明了XXXX的信息安全方针和目标,对信息安全管理体系做了概括性叙述,是XXXX对外实施信息安全保证、对内进行信息安全管理的纲领性文件。《信息安全管理手册》所采用的条款与 ISO27001:2005《信息安全管理体系要求》中的条款编写一致,并结合XXXX特点编写了程序文件、制度规定和相关记录文件,形成XXXX的信息安全管理标准,使信息安全管理体系有章可循、有法可依。《信息安全管理手册》适用于XXXX所有的信息资产。《信息安全管理手册》的编制、审核、发放、更改、保管和回收等,确保各部门、各岗位使用信息安全管理手册的现行有效版本。。、发布由XXXX信息安全管理委员会批准、签署发布和规定实施日期。。《信息安全管理手册》的持有者若调离单位或不再从事相关工作时,行政部应及时收回手册,办理回收登记和注销手续。受控的信息安全管理体系文件发放须列发放清单,由信息安全工作主管领导批准。经批准的文件持有者或部门,不得擅自对外交流、发放和外送。非受控文件,可发给对外交流单位和个人,但须由使用部门申请,行政部批准和登记在册,方可发放。《信息安全管理手册》应在以下情况发生时进行更改,程序和方法需按照《文件控制程序》执行。1、单位组织结构有较大变动时;2、单位业务系统有较大变动时;3、外部环境发生重大变化时;4、国家法律、法规有重大变化时;5、单位信息安全方针和目标有重大变化时。,保证其完整、清晰,不得遗失、损坏。3目的为了建立、健全本单位信息安全管理体系(简称 ISMS),逐步提升单位的信息安全保障能力,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件,持续改进 ISMS 的有效性,特制定本手册。。5引用标准本单位选择 ISO27001:2005 标准,并结合各部门业务特点和信息安全管理需要建立了信息安全管理体系。《信息安全管理手册》引用的标准有:Ø ISO27001:2005,《信息安全管理体系要求》Ø ISO17799:2005,《信息安全管理实施细则》6术语和定义本手册采用 ISO27001:2005《信息安