信息安全管理手册.docx

文件名称
版本号
文件编号
等级
发布日期
生效日期
XXXX
信息安全管理手册
拟制
日期
审核
日期
批准
日期
文件修订履历
变化状态：新建，增管理，确保 全体员工理解并遵照执行信息安全管理体系文件，持续改进MS的有效性，特 制定本手册。
4 适用围
。
5 引用标准
本单位选择IS027001:2005标准，并结合各部门业务特点和信息安全管理
需要建立了信息安全管理体系。《信息安全管理手册》引用的标准有：
IS027001:2005,《信息安全管理体系要求》
ISO17799:2005,《信息安全管理实施细则》
6术语和定义
本手册采用ISO27001:2005《信息安全管理体系要求》及ISO17799:2005 《信息安全管理实施细则》中的术语和定义。
7信息安全管理体系

按照ISO27001:2005信息安全技术信息安全管理体系要求，采用^DCA模 式建立信息安全管理体系同时考虑该体系的实施、维持和持续改善，确保体系的 有效性。

・1建立ISMS
ISMS 围
信息安全管理体系（ISMS丿适用于位于XXXXX的信息安全管理活动。具体围 包括：
1、 单位的所有部门和所有人员。
2、 单位的所有业务系统及其他IT系统（xxx系统、XXX系统丿。
3、 单位的所有基础设施、硬件设备、软件及信息资产。
ISMS 目标
提高全员的信息安全意识，积极做好预防工作，保护单位的信息资产免受非授 权的访问、修改、泄密和破坏 诳安全事故的发生，最小化安全事故的影响，保障
信息系统安全、持续的运行。
ISMS 针
为制定符合实际情况的ISMS针，依据以下面的要求：
1、 作为制定ISMS目标的框架及为采取信息安全措施建立总的向与原则。
2、 考虑单位业务发展、法律法规要求及其他相关信息安全的要求。
3、 为 ISMS 的建立和维持提供一个组织化的战略和风险管理的基本环境。
4、 确定风险评估的准则和结构。
为了满足适用法律法规及相关要求，维持业务的正常进行，依据
IS027001:2005标准，建立信息安全管理体系，以保证单位业务信息的性完整 性和可用性，实现业务可持续发展的目的。单位的MS针如下：
XXXXXXXXXXXXXXXXX
为了满足以上信息安全针，维持生产和经营的正常进行，实现业务可持续发 展的目的。本单位承诺：
1、 成立信息安全管理委员会来领导信息安全工作，信息安全管理委员会定 期召开会议，对有关的信息安全重大问题做出决策。
2、 清晰识别所有的资产，实施等级标记，对资产进行分级、分类管理，并 编制和维护所有重要资产的清单。
3、 综合使用访问控制、监测、审计和身份鉴别等法来保证数据、网络、 信息资源的安全，并加强对外单位人员访问信息系统的控制和制约，降低系统被 入侵的风险。
4、 启动所有操作系统、网络设备、安全设备、应用软件的日志功能，定期 进行审计并作相应的记录。
5、明确全体员工的信息安全责任，所有员工都必须接受信息安全的教育培训，
提高信息安全意识，针对不同岗位，制定不同等级的培训计划，并定期对各个岗位 的人员进行安全技能及安全认知的考核。
6、建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息 安全事故的流程，并使所有的员工和相关都能理解和执行事故处理流程同，时妥善 保存安全事件的相关记录与证据。
7、对用户权限和口令进行格管理，防止对信息系统的非法访问。
8、控制对部、外部网络服务的访问，保护网络化服务的安全性与可用性。
9、 实施业务连续性计划保证XXXX的核心业务不受重大故障和灾难的影响，
业务连续性计划的制定应基于风险评估的结果。
10、 制定完善的数据备份策略，对重要数据进行备份，数据备份定期进行还 原测试，备份介质与原信息所在场所应保持安全距离。
11、 与外单位的外包（服务）合同应明确规定合同参与的安全要求、安全责
任和安全规定等安全相关容，并采取相应措施格保证对协议安全容的执行。
12、 在开发新业务系统时，应充分考虑相关的安全需求，并格控制对项目相 关文件和源代码等敏感数据的访问。
13、 应定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施 进行风险控制。
14、 应识别并满足适用的法律、法规和相关的信息安全要求，形成正式的文
件并定期加以审查。
7・2・1・4 ISMS 策略
为了支持ISMS针的有效执行，需在ISMS针的框架进一步细化和明确安全控 制措施的要素、要求和结果