信息安全管理手册.docx

文件名称
版本号
文件编号
机密等级
发布日期
生效日期
XXXX
信息安全管理手册
拟制
日期
审核
日期
批准
日期
文件修订履历
创建/艾更人
存
持有者应爱护并妥善保管好本手册，保证其完整、清晰，不得遗失、损坏。
目的
为了建立、健全本单位信息安全管理体系（简称ISMS），逐步提升单位的信
息安全保障能力，确定信息安全方针和目标，对信息安全风险进行有效管理，确
保全体员工理解并遵照执行信息安全管理体系文件，持续改进ISMS的有效性，
特制定本手册。
适用范围
。
5引用标准
本单位选择ISO27001:2005标准，并结合各部门业务特点和信息安全管理需
要建立了信息安全管理体系。《信息安全管理手册》引用的标准有：
?ISO27001:2005，《信息安全管理体系要求》
?ISO17799:2005，《信息安全管理实施细则》
术语和定义
本手册采用ISO27001:2005《信息安全管理体系要求》及ISO17799:2005
《信息安全管理实施细则》中的术语和定义。
信息安全管理体系
总要求
按照ISO27001:2005信息安全技术-信息安全管理体系要求，采用PDCA模
式建立信息安全管理体系，同时考虑该体系的实施、维持和持续改善，确保体系的
有效性。
建立和管理ISMS
建立ISMS
ISMS范围
信息安全管理体系（ISMS）适用于位于XXXXX的信息安全管理活动。具体
范围包括：
、单位的所有部门和所有人员。
2、单位的所有业务系统及其他IT系统（xxx系统、XXX系统）。
3、单位的所有基础设施、硬件设备、软件及信息资产。
ISMS目标
提高全员的信息安全意识，积极做好预防工作，保护单位的信息资产免受非授
权的访问、修改、泄密和破坏，防止安全事故的发生，最小化安全事故的影响，保障
信息系统安全、持续的运行。
ISMS方针
为制定符合实际情况的ISMS方针，依据以下方面的要求：
、作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则。
2、考虑单位业务发展、法律法规要求及其他相关方信息安全的要求。
3、为ISMS的建立和维持提供一个组织化的战略和风险管理的基本环境。
4、确定风险评估的准则和结构。
为了满足适用法律法规及相关方要求，维持业务的正常进行，依据
ISO27001:2005标准，建立信息安全管理体系，以保证单位业务信息的保密性、
完整性和可用性，实现业务可持续发展的目的。单位的ISMS方针如下：
XXXXXXXXXXXXXXXXX
为了满足以上信息安全方针，维持生产和经营的正常进行，实现业务可持续
发展的目的。本单位承诺：
、成立信息安全管理委员会来领导信息安全工作，信息安全管理委员会定
期召开会议，对有关的信息安全重大问题做出决策。
、清晰识别所有的资产，实施等级标记，对资产进行分级、分类管理，并
编制和维护所有重要资产的清单。
、综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、
信息资源的安全，并加强对外单位人员访问信息系统的控制和制约，降低系统被
入侵的风险。
、启动所有操作系统、网络设备、安全设备、应用软件的日志功能，定期
进行审计并作相应的记录。
、明确全体员工的信息安全责任，所有员工都必须接受信息安全的教育培训，
提高信息安全意识，针对不同岗位，制定不同等级的培训计划，并定期对各个岗位
的人员进行安全技能及安全认知的考核。
6、建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息
安全事故的流程，并使所有的员工和相关方都能理解和执行事故处理流程，同时妥
善保存安全事件的相关记录与证据。
7、对用户权限和口令进行严格管理，防止对信息系统的非法访问。
、控制对内部、外部网络服务的访问，保护网络化服务的安全性与可用性。
、实施业务连续性计划，保证XXXX的核心业务不受重大故障和灾难的影响，
业务连续性计划的制定应基于风险评估的结果。
、制定完善的数据备份策略，对重要数据进行备份，数据备份定期进行还
原测试，备份介质与原信息所在场所应保持安全距离。
、与外单位的外包（服务）合同应明确规定合同参与方的安全要求、安全
责任和安全规定等安全相关内容，并采取相应措施严格保证对协议安全内容的执行。
、在开发新业务系统时，应充分考虑相关的安全需求，并严格控制对项目
相关文件和源代码等敏感数据的访问。
、应定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施
进行风险控制。
、应识