1信息安全管理手册.doc

江苏 XXXX 科技有限公司编号 XX-ISMS-01 版本 A/0 密级内部限制受控是信息安全管理手册生效日期核准审查制订 修改记录序号修改原因修改内容修改人/时间批准人/时间备注目录 、信息安全管理手册发布令 、管理者代表任命书 、公司简介 、信息安全方针 、信息安全目标 1 、范围 2 、引用标准 3 、术语和定义 4 、信息安全管理体系 组织环境 理解相关方的需求和期望 明确信息安全管理体系的范围 信息安全管理体系 5 、领导 领导和承诺 方针 组织角色、职责和权力 6 、计划 处置风险和机遇 信息安全目标的计划和实现 7 、支持 资源 能力 意识 沟通 文档要求 8 、实施 运行计划和控制 信息安全风险评估 信息安全风险处置 9 、绩效评价 监视、测量、分析和评价 内部审核 管理评审 10 、改进 不符合项和纠正措施 持续改进附件: 附件一:信息安全职能分配表附件二:信息安全职责附件三:信息安全管理体系程序文件清单附件四:信息安全管理体系作业指导书文件清单 信息安全管理手册发布令为提高江苏 XXXX 科技有限公司的信息安全管理水平, 保障企业经营、服务和日常管理活动,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,公司开展贯彻 ISO/IEC 27001:2013 《信息技术- 安全技术- 信息安全管理体系要求》标准的工作, 建立文件化的信息安全管理体系, 制定了江苏 XXXX 科技有限公司《信息安全管理手册》(以下简称手册)。本手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、管理目标,实现信息安全管理体系有效运行、持续改进, 是江苏 XXXX 科技有限公司信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求,自觉执行管理方针,贯彻实施本手册的各项规定,努力实现江苏 XXXX 科技有限公司的管理目标和管理承诺。本手册自颁布之日起生效执行。江苏 XXXX 科技有限公司总经理: 二〇一六年三月一日 管理者代表任命书兹委任担任江苏 XXXX 科技有限公司 ISO27001 信息安全管理体系管理者代表。他将履行以下职责及权限: 1、负责公司 ISO27001 的推行认证工作,负责组织信息安全管理体系建立、实施和维持,确保公司的信息安全管理体系运作符合信息安全管理体系标准; 2、信息安全管理体系内部审核的策划、组织及实施; 3、批准信息安全管理体系程序文件; 4、代表公司就信息安全的有关事项和外部进行联络。总经理: 日期:二〇一六年三月一日 、公司简介公司组织架构如下图所示: 总经理信息安全委员管理者代表销售部技术部研发部综合部财务部 信息安全方针实施风险管理,确保信息安全,保障业务可持续发展。信息安全方针含义: a. 根据本公司业务信息安全的特点、法律法规要求, 建立风险评估程序, 确定风险接受准则。定期进行风险评估, 以识别本公司风险的变化。本公司或环境发生重大变化时, 随时评估。应根据风险评估的结果, 采取相应措施, 降低风险。 b. 在日常企业生产和管理中, 对信息安全予以重视, 全面识别和分析全部信息资产, 系统考虑企业信息系统薄弱点、可能存在的威胁, 考虑成本、利益、风险的综合平衡,对资产进行分类保护,以适宜的成本达到系统保护的要求。 c. 建立健全信息安全监督和保证体系, 明确各级、各岗位的信息安全责任, 以人为本, 坚持全员、全方位、全过程信息安全管理。通过测量和监控, 持续改进, 保证信息安全管理体系的有效运行,做到制度执行有记录、记录记载可追溯, 最终保障企业生产、经营、管理和服务的持续和安全,实现企业发展目标。 、信息安全目标: 本公司信息安全目标: 1) 安全事件发生次数: 重大安全事件目标值: 0次/年;较大安全事件目标值:不大于 4次/年;一般安全事件目标值:不大于 8次/ 年。 2) 信息泄密次数: 保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值: 0次/年各部门信息安全目标: 部门部门信息安全目标统计方式监测频率综合部 1 、人员招聘手续办理完成率 100% ; 2 、人员教育或培训实施率100% ; 3 、人员离职手续办理完成率 100% ; 4 、办公环境消防设施配置率 100% ; 5 、办公环境消防设施点检率 100% ; 6 、每年至少组织实施完成