iso27001手册信息安全管理手册.doc

信息安全管理手册
变更履历
序号
版本编号或更改记录编号
变化状态 *
简要说明(变更内容、变更位置、变更原因和变更范围)
变更日期
变更人
审核人
批准人
批准日期
1

C
创建，全页。
2009-1-5
金浩海
金浩海
曹立斌
2009-1-5
*变化状态：C——创建，A——增加，M——修改，D——删除
目 录
01信息安全管理手册发布令4
02信息安全方针批准令5
03任命书7
04公司介绍8

总则9




术语9
缩写9

总要求9
建立和管理ISMS10
文件要求14

管理承诺16
资源管理16
相关文件17
6. ISMS内部审核17
总则17
内审策划17
内审实施17
7. ISMS 管理评审17
总则17
评审输入17
评审输出18
8 ISMS改进18

纠正措施18
9. 记录19

信息安全组织机构图25
信息安全职责说明26
江苏苏州金商科技发展有限公司新点2008年12月组织机构图30
01信息安全管理手册发布令
本《信息安全管理手册》(以下简称手册) ISO/IEC 27001:2005《信息安全管理体系要求》，并结合我们公司管理工作的实践和公司组织机构的设置而编写的，体现了我们公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款的要求，符合我公司的实际运作情况，可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据，全体员工必须严格遵照执行。
现予以批准，同意发布实施。
总经理：
批准日期：2009-1-5
02信息安全方针批准令
信息安全管理体系方针
：
满足客户要求，实施风险管理，确保信息安全，实现持续改进。
：
一、信息安全管理机制
1．我们通过计算机及网络设备提供软件开发业务、IT系统集成业务等服务，因此，信息资产的安全性对我们来说是非常重要的事情。为了保证各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，我们依据ISO/IEC 27001:2005标准，建立信息安全管理体系，全面保护公司的信息安全，并承诺如下：
一、信息安全管理组织
总经理对信息安全全面负责，批准信息安全方针，确定安全要求，提供资源。
信息安全管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。
在公司内部建立息安全组织机构：信息安全委员会及信息安全工作小组，负责信息安全管理体系的运行。
与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。
二、人员安全
信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。
对公司的相关方，如：软硬件供应商、服务商、保卫、消防、清洁等人员，也要明确安全要求和安全职责。
定期对全体员工进行信息安全相关教育和培训，包括：技能、职责等，以提高安全意识。
全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。
三、识别法律、法规、合同中的安全
及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。
四、风险评估
根据公司业务信