数据仓库信息安全管理体系说明样本.docx

供应商信息安全管理体系阐明
信息安全管理手册之信息安全管理方针和方略
范畴
公司根据ISO/IEC27001:信息安全管理体系原则规定编制《信息安全管理手册》，并涉及了风险评估及处置规定。规定了公司信息安全方针及管理目的，引用了信息安全管理体系内容。

下列参照文献某些或整体在本文档中属于原则化引用，对于本文献应用必不可少。凡是注日期引用文献，只有引用版本合用于本原则；凡是不注日期引用文献，其最新版本（涉及任何修改）合用于本原则。
ISO/IEC 27000，信息技术——安全技术——信息安全管理体系——概述和词汇。
术语和定义
ISO/IEC 27000中术语和定义合用于本文献。
公司环境

公司拟定与公司业务目的有关并影响实现信息安全管理体系预期成果能力外部和内部问题，需考虑：
明确外部状况：
社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地；
影响组织目的重要动力和趋势；
与外部利益有关方关系，外部利益有关方观点和价值观。
明确内部状况：
治理、组织构造、作用和责任；
方针、目的，为实现方针和目的制定战略；
基于资源和知识理解能力（如：资金、时间、人员、过程、系统和技术）；
与内部利益有关方关系，内部利益有关方观点和价值观；
组织文化；
信息系统、信息流和决策过程（正式与非正式）；
组织所采用原则、指南和模式；
合同关系形式与范畴。
明确风险管理过程状况：
拟定风险管理活动目的；
拟定风险管理过程职责；
拟定所要开展风险管理活动范畴以及深度、广度，涉及详细内涵和外延；
以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；
界定组织特定项目、过程或活动与其她项目、过程或活动之间关系；
拟定风险评价办法；
拟定评价风险管理绩效和有效性办法；
辨认和规定所必要要做出决策；
拟定所需范畴或框架性研究，它们限度和目的，以及此种研究所需资源。
拟定风险准则：
可以浮现致因和后果性质和类别，以及如何予以测量；
也许性如何拟定；
也许性和（或）后果时间范畴；
风险限度如何拟定；
利益有关方观点；
风险可接受或可容许限度；
各种风险组合与否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。

信息安全管理小组应拟定信息安全管理体系有关方及其信息安全规定，有关信息安全规定。对于利益有关方，可作为信息资产辨认，并依照风险评估成果，制定相应控制办法，实行必要管理。有关方规定可涉及法律法规规定和合同义务。

我司ISMS范畴涉及
物理范畴：
业务范畴：计算机软件开发，计算机系统集成有关信息安全管理活动。
内部管理构造：办公室、财务部、研发部、商务部、工程部、运维部。
外部接口：向公司提供各种服务第三方。

我司按照ISO/IEC27001:原则规定建立一种文献化信息安全管理体系。同步考虑该体系实行、维持、持续改进，保证其有效性。ISMS体系所涉及过程基于PDCA模式。
领导力
总经理应通过如下方式证明信息安全管理体系领导力和承诺：
保证信息安全方针和信息安全目的已建立，并与公司战略方向一致；
保证将信息安全管理体系规定融合到寻常管理过程中；
保证信息安全管理体系所需资源可用；
向公司内部传达有效信息安全管理及符合信息安全管理体系规定重要性；
保证信息安全管理体系达到预期成果；
指引并支持有关人员为信息安全管理体系有效性做出贡献；
增进持续改进；
支持信息安全管理小组及各部门负责人，在其职责范畴内呈现领导力。
规划

（一）总则
公司针对公司内部和公司外部实际状况，和有关方规定，拟定公司所需应对信息安全面风险。在已拟定ISMS范畴内，针对业务全过程所涉及所有信息资产进行列表辨认。信息资产涉及软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，依照信息资产判断根据拟定信息资产重要性级别并对其重要度赋值。
信息安全管理小组制定信息安全风险评估管理程序，经信息安全管理小组组长批准后组织实行。风险评估管理程序涉及可接受风险准则和可接受水平。该程序详细内容见《信息安全风险评估管理程序》。
1）信息安全风险评估
风险评估系统办法
信息安全管理小组制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实行。风险评估管理程序涉及可接受风险准则和可接受水平。该程序详细内容合用于《信息安全风险评估管理程序》。
资产辨认
在已拟定ISMS范畴内，