设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ISO27001信息安全管理手册

信息安全管理体系
管理手册
ISMS-M-yyyy
版本号:A/1


受控状态:           ■ 受  控                   □ 非受控           

 


编  制  审  核  批  准
编写组  审核人A  总经理
yyyy-mm-dd  yyyy-mm-dd  yyyy-mm-dd

 

 


日期: 2016年1月8日         实施日期: 2016年1月8日 
00 目录
00 目录 3
01 颁布令 5
02 管理者代表授权书 6
03 企业概况 7
04 信息安全管理方针目标 9
05 手册的管理 11
06 信息安全管理手册 12
1 范围 12
1.1 总则 12
1.2 应用 12
2 规范性引用文件 12
3 术语和定义 12
3.1 本公司 13
3.2 信息系统 13
3.3 计算机病毒 13
3.4 信息安全事件 13
3.5 相关方 13
4 组织环境 13
4.1 组织及其环境 13
4.2 相关方的需求和期望 13
4.3 确定信息安全管理体系的范围 14
4.4 信息安全管理体系 14
5 领导力 14
5.1 领导和承诺 14
5.2 方针 15
5.3 组织角色、职责和权限 15
6 规划 15
6.1 应对风险和机会的措施 15
6.2 信息安全目标和规划实现 18
7 支持 18
7.1 资源 18
7.2 能力 19
7.3 意识 19
7.4 沟通 19
7.5 文件化信息 19
8 运行 20
8.1 运行的规划和控制 20
8.2 信息安全风险评估 21
8.3 信息安全风险处置 21
9 绩效评价 21
9.1 监视、测量、分析和评价 21
9.2 内部审核 22
9.3 管理评审 23
10 改进 23
10.1 不符合和纠正措施 23
10.2 持续改进 24
附录A 信息安全管理组织结构图 25
附录B 信息安全管理职责明细表 26
附录C 信息安全管理程序文件清单 28

01 颁布令
为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、法规要求及ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2016年1月8日  起实施。企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。

 


**公司**
                                                 
          总 经 理:总经理

                                                    2016年1月8日 

02 管理者代表授权书
为贯彻执行信息安全管理体系,满足ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命 审核人B 为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1. 确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2. 负责与信息安全管理体系有关的协调和联络工作;
3. 确保在整个组织内提高信息安全风险的意识;
4. 审核风险评估报告、风险处理计划;
5. 批准发布程序文件;
6. 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7. 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。

本授权书自任命日起生效执行。

 

**公司**
总 经 理:总经理
2017年1月15日 

03 企业概况

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★这里是公司情况介绍哦

 

单位地址:单位地址
电    话:单位电话
传    真:单位电话
邮    编:邮编
总经理 : 总经理    
管   代: 审核人A   
04 信息安全管理方针目标
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针:
数据保密、信息完整、控制风险、持续改进、遵守法律。
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
1.公司采用系统的方法,按照ISO/IEC27001:2013建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★五、风险评估
11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标如下:
1. 重大信息安全事件(损失达1万以上的)为零。
2. 公司发生网络中断时间小于2小时每年。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★
05 手册的管理
1 信息安全管理手册的批准
办公室负责组织编制《信息安全管理手册》,总经理负责批准。
2 信息安全管理手册的发放、更改、作废与销毁 
a)办公室负责按《文件管理程序》的要求,进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管;
c)办公室按照规定发放修改后的《信息安全管理手册》,并收回失效的文件作出标识统一处理,确保有效文件的唯一性;
d)办公室保留《信息安全管理手册》修改内容的记录。
3 信息安全管理手册的换版
当依据的ISO/IEC27001:2013或ISO/IEC27002:2013标准有重大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时,应对《信息安全管理手册》进行换版。换版应在管理评审时形成决议,重新实施编、审、批工作。
4 信息安全管理手册的控制
a)本《信息安全管理手册》标识分受控文件和非受控文件两种:
——受控文件发放范围为公司领导、各相关部门的负责人、内审员;
——非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《信息安全管理手册》有书面文件和电子文件,电子版本文件的有效格式为.doc文档。
06 信息安全管理手册
1  范围
1.1  总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
1.2  应用
1.2.1  覆盖范围
本信息安全管理手册规定了**公司**信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。
本信息安全管理手册适用于**公司**电磁屏蔽机房的设计业务活动所涉及的信息系统、资产及相关信息安全管理活动。
1.2.2  删减说明
本信息安全管理手册采用了ISO/IEC27001:2013标准正文的全部内容,对《适用性声明SOA》的删减如下:
A.14.2.7外包开发                                 删减理由:公司无此业务
2  规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,办公室应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》
ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》
3  术语和定义
ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。
3.1  本公司
指**公司**包括**公司**所属各部门。
3.2  信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.3  计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
3.4  信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
3.5  相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、上级部门、供方、银行、用户等。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★4  组织环境
4.1  组织及其环境
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a) 本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范围:与信息管理软件设计开发相关的信息安全管理活动);
b) 与所述信息系统有关的活动;
c) 与所述信息系统有关的部门和所有员工;
d) 所述活动、系统及支持性系统包含的全部信息资产。
e) 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见附录A(规范性附录)《组织机构图》。
f) 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
g)本公司信息安全管理体系的物理范围为本公司位于单位地址。
4.2  相关方的需求和期望
重大信息安全事件(损失达1万以上的)为零。
公司发生网络中断时间小于2小时每年。

4.3  确定信息安全管理体系的范围
体系范围:与信息管理软件设计开发、计算机系统集成相关的信息安全管理活动
本公司涉及软件产品的技术开发,设计的管理的业务系统(本次认证范围:与电磁屏蔽机房的设计相关的信息安全管理活动)
组织范围:
本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见附录A(规范性附录)《组织机构图》。
物理范围:
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司信息安全管理体系的物理范围为本公司位于单位地址。
4.4  信息安全管理体系
本公司在软件产品的技术开发,设计的管理活动中,按ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定,参照ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
信息安全管理体系使用的过程基于图1所示的PDCA模型。
图1 信息安全管理体系模型

 

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

5  领导力
5.1  领导和承诺
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
a) 建立信息安全方针(见本手册第0.4章);
b) 确保信息安全目标得以制定(见本手册第0.4章、《适用性声明SoA》、《风险处理计划》及相关记录);
c) 建立信息安全的角色和职责;
d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e) 提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2章);
f) 决定接受风险的准则和风险的可接受等级(见《信息安全风险管理标准》及相关记录);
g) 确保内部信息安全管理体系审核(见本手册第9.2章)得以实施;
h) 实施信息安全管理体系管理评审(见本手册第9.3章)。

5.2  方针
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针:
满足客户要求,遵守法律法规,实施风险管理,确保信息安全,实现持续改进。
信息安全目标下:
1. 重大信息安全事件(损失达1万以上的)为零。
2. 公司发生网络中断时间小于2小时每年。

5.3  组织角色、职责和权限
详见附录B

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★6  规划
6.1  应对风险和机会的措施
6.1.1  总则
为了满足适用法律法规及相关方要求,维持电力整流器开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4条款。
该信息安全方针符合以下要求:
a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
b) 考虑业务及法律或法规的要求,及合同的安全义务;
c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;
d) 建立了风险评价的准则;
e) 经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责,详见附录B(规范性附录)《信息安全管理职责明细表》;
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f) 制定并保持完善的业务连续性计划,实现可持续发展。
6.1.2  信息安全风险评估
6.1.2.1 风险评估的方法
办公室负责制定《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。
6.1.2.2识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。
同时,根据《信息安全风险管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
6.1.2.3分析和评价风险
本公司按《信息安全风险管理程序》,采用FMEA分析方法,分析和评价风险:
a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 根据《信息安全风险管理程序》计算风险等级;
d) 根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
6.1.2.4识别和评价风险处理的选择
办公室组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a) 控制风险,采用适当的内部控制措施;
b) 接受风险(不可能将所有风险降低为零);
c) 避免风险(如物理隔离);
d) 转移风险(如将风险转移给保险者、供方、分包商)。
6.1.3  信息安全风险处置
办公室根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《信息安全适用性声明》):
a) 信息安全控制目标获得了信息安全最高责任者的批准。
b) 本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施
c) 控制目标及控制措施的选择原则来源于ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考ISO/IEC27002:2013《信息技术-安全技术-信息安全管理实用规则》。
d) 适用性声明:办公室负责编制《信息安全适用性声明》(SoA),所选择控制目标与控制措施的概要描述,以及选择的原因;对ISO/IEC27001:2013附录A中未选用的控制目标及控制措施理由的说明。
e) 制定风险处置计划。
f) 对风险处理后的剩余风险,得到了公司最高管理者的批准
6.2  信息安全目标和规划实现
6.2.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验;
6.2.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
6.2.3 办公室应组织有关部门按照《信息安全风险管理程序》的要求,采用FMEA分析方法,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织; 
b) 技术;
c) 业务目标和过程;
d) 已识别的威胁;
e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
6.2.4按照计划的时间间隔进行信息安全管理体系内部审核。
6.2.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。
6.2.6考虑监视和评审活动的发现,更新安全计划。
6.2.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★7  支持
7.1  资源
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:
a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系;
b) 确保信息安全程序支持业务要求;
c) 识别并指出法律法规要求和合同安全责任; 
d) 通过正确应用所实施的所有控制来保持充分的安全;
e) 必要时进行评审,并对评审的结果采取适当措施;
f) 需要时,改进信息安全管理体系的有效性。
7.2  能力
组织应: 
a) 确定员工为完成其本职工作所所需的安全技能; 
b) 确保员工具备完成工作所需的教育、培训和经验;
c) 采取合适的措施确保员工具备相应的技能并对技能进行考核; 
d) 保留适当的文档信息作为证据。   
注:适当的措施可能包括,例如:提供培训、指导或重新分派现有员工,或雇用具备相关技能的人士。
7.3  意识
组织的员工应了解: 
a) 信息安全方针;  
b) 个人对于实现信息安全管理的重要性,提高组织信息安全绩效的收益; 
c) 不符合信息安全管理体系要求所造成的影响。
7.4  沟通
办公室制定并实施《人力资源管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
7.5  文件化信息
7.5.1  总则
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;
b) 《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);
c) 本手册要求的《信息安全风险管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序;
d) 信息安全管理体系引用的支持性程序。如:《文件管理程序》、《记录管理程序》、《内部审核管理程序》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《风险评估报告》、《风险处理计划》以及信息安全管理体系要求的记录类文件;
g) 相关的法律、法规和信息安全标准;
h) 适用性声明(SoA)。
7.5.2  创建和更新
7.5.3  文件化信息的控制
办公室制定并实施《文件管理程序》,对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应保证:
a) 文件发布前得到批准,以确保文件是充分的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用时,可获得相关文件的最新版本;
e) 确保文件保持清晰、易于识别;
f)  确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g) 确保外来文件得到识别;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的需保留作废文件时,应对其进行适当的标识。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★8  运行
8.1  运行的规划和控制
按照PDCA对体系进行运行。在公司实际推动信息安全体系运行。
8.2  信息安全风险评估
8.2.1  识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。
同时,根据《信息安全风险管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
8.2.2  分析和评价风险
本公司按《信息安全风险管理程序》,采用FMEA分析方法,分析和评价风险:
a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 根据《信息安全风险管理程序》计算风险等级;
d) 根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
8.3  信息安全风险处置
办公室组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a) 控制风险,采用适当的内部控制措施;
b) 接受风险(不可能将所有风险降低为零);
c) 避免风险(如物理隔离);
d) 转移风险(如将风险转移给保险者、供方、分包商)。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★9  绩效评价
9.1  监视、测量、分析和评价
9.1.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验;
9.1.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
9.1.3 办公室应组织有关部门按照《信息安全风险管理程序》的要求,采用FMEA分析方法,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织; 
b) 技术;
c) 业务目标和过程;
d) 已识别的威胁;
e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
9.1.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
9.1.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。
9.1.6考虑监视和评审活动的发现,更新安全计划。
9.1.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
9.2  内部审核
9.2.1办公室应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。
9.2.2每次审核前,办公室应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
9.2.3 应按审核计划的要求实施审核,包括:
a)进行首次会议,明确审核的目的和范围,采用的方法和程序;
b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;
c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;
d)审核组长编制审核报告。
9.2.4对审核中提出的不符合项报告,责任部门应编制纠正措施,由办公室组织对受审部门的纠正措施的实施情况进行跟踪、验证;
9.2.5按照《记录管理程序》的要求,保存审核记录。
9.2.6内部审核报告,应作为管理评审的输入之一。
9.3  管理评审
管理评审的输入要包括以下信息:
a) 信息安全管理体系审核和评审的结果;
b) 相关方的反馈;
c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序;
d) 预防和纠正措施的状况;
e) 风险评估没有充分强调的脆弱性或威胁;
f) 有效性测量的结果;
g) 管理评审的跟踪措施;
h) 任何可能影响信息安全管理体系的变更;
i) 改进的建议。

管理评审的输出应包括与下列内容相关的任何决定和措施:
a) 信息安全管理体系有效性的改进;
b) 更新风险评估和风险处理计划;
c) 必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:
1) 业务要求;
2) 安全要求;
3) 影响现有业务要求的业务过程;
4) 法律法规要求;
5) 合同责任;
6) 风险等级和(或)风险接受准则。
d) 资源需求;
e) 改进测量控制措施有效性的方式。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★10  改进
10.1  不符合和纠正措施
10.1.1 办公室负责建立并实施《纠正和预防控制程序》,采取以下措施,消除与信息安全管理体系要求不符合的原因,以防止再发生。
10.1.2 《纠正和预防控制程序》应规定以下方面的要求:
a) 识别存在的不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施要求;
d) 确定并实施所需的纠正和预防措施;
e) 记录所采取措施的结果;
f) 评审所采取的纠正和预防措施。
10.1.3公司网络管理部应定期进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。
10.2  持续改进
本公司制定和实施《纠正和措施管理程序》《内部审核管理程序》等文件,通过下列途径持续改进信息安全管理体系的有效性:
a) 通过信息安安全管理体系方针的建立与实施,对持续改进做出正式的承诺;
b) 通过建立信息安全管理体系目标明确改进的方向;
c) 通过内部审核不断发现问题,寻找体系改进的机会并予实施,详见《内部审核管理程序》;
e) 通过实施纠正和预防措施实现改进,详见《纠正和措施管理程序》;
f) 通过管理评审输出的有关改进措施的实施实现改进。

附录A 信息安全管理组织结构图
(规范性附录)

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

附录B 信息安全管理职责明细表
(规范性附录)

序号 单位/部门 信息安全职责
1 信息安全
管理委员会 信息安全管理委员会是我公司信息安全最高组织机构,负责本单位网络与信息安全重大事项的决策和协调,并对全公司信息安全工作负责。
2 总经理 信息安全第一责任人,制定信息安全方针,对信息安全全面负责。
1.  组织制定并批准信息安全管理方针、信息安全目标和计划。
2.  为发展、贯彻、运行和保持ISMS提供充足的资源为员工提供所需的资源、   
    培训,并赋予其职责范围内的自主权。
3.  负责任命管理者代表,并定期进行管理评审。
4.  决定风险的可接受水平。
5.  负责批准公司信息安全管理手册和管理评审计划。
3 管理者代表 负责建立、实施、检查、改进信息安全管理体系(具体见《管理者代表授权书》)。
4 商务部 我公司信息安全管理体系的归口管理部门。
1. 负责管理体系的建立、实施、保持、测量和改进。
2. 负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改进。
3. 负责本公司保密工作的管理。
4. 负责安全区域的管理。
5. 负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。
6. 对信息安全日常工作实施动态考核,将信息安全管理作为企业管理的重要工作内容。
7. 参与涉密及司法介入的信息安全事件的调查。
8. 负责公司人员安全管理,包括人员聘用管理,保密协议签署,员工的能力、意识和培训,员工离职管理。
9. 负责公司财务相关的信息安全管理,包括出纳、人员工资发放,以及代理 
    记帐公司的管理。
10. 负责公司客户反馈信息的搜集,定期对客户回访跟踪。认真执行信息安全方针、标准、安全策略和规范,做好本部门职责范围内的信息安全管理体
系运行工作。
5 技术部 1. 负责收集与本部门相关的信息安全方面的法规及其他要求,并及时上报信息安全委员会,同时负责在本部门内传达,贯彻和实施与部门相关的法规及其他要求。
2. 协助在本部门内宣传公司的信息安全管理体系文件的要求,提高本部门员工的信息安全意识。
3. 按照信息安全体系文件的要求,在本部门遵照执行。
4. 发生信息安全事故后负责配合信息安全委员会工作,并协助制定、实施处置措施。
5. 协助信息安全审计小组进行体系的内部审查与外部评审。
7 销售部 1. 负责收集与本部门相关的信息安全方面的法规及其他要求,并及时上报信息安全委员会,同时负责在本部门内传达,贯彻和实施与部门相关的法规及其他要求。
2. 协助在本部门内宣传公司的信息安全管理体系文件的要求,提高本部门员工的信息安全意识。
3. 按照信息安全体系文件的要求,在本部门遵照执行。
4. 发生信息安全事故后负责配合信息安全委员会工作,并协助制定、实施处置措施。
5. 协助信息安全审计小组进行体系的内部审查与外部评审。
6. 对信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。
7. 处理本部门与信息安全相关的事宜,向信息安全委员会反馈本部门在信息安全方面的要求和建议。
8. 在第三方或对外联络中积极宣传本公司的信息安全目标和方针。
9. 在与第三方或外界进行信息交流、接触时,保证信息的安全。
    备注:以上职能划分,适用所有信息安全管理体系文件。

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

附录C 信息安全管理程序文件清单
(资料性附录)


序号 文件名称 文件编号
1 0001-文件管理程序 ISMS-0001-yyyy
2 0002-记录管理程序 ISMS-0002-yyyy
3 0003-内部审核管理程序 ISMS-0003-yyyy
4 0004-纠正预防措施管理程序 ISMS-0004-yyyy
5 0005-管理评审管理程序 ISMS-0005-yyyy
6 0006-监视和测量管理程序 ISMS-0006-yyyy
7 0101-信息安全风险识别与评价管理程序 ISMS-0101-yyyy
8 0102-商业秘密管理程序 ISMS-0102-yyyy
9 0103-人力资源管理程序 ISMS-0103-yyyy
10 0104-信息安全惩戒管理程序 ISMS-0104-yyyy
11 0105-相关方信息安全管理程序 ISMS-0105-yyyy
12 0106-信息安全合规性管理程序 ISMS-0106-yyyy
13 0107-信息安全沟通管理程序 ISMS-0107-yyyy
14 0108-信息安全事件管理程序 ISMS-0108-yyyy
15 0201-安全区域管理程序 ISMS-0201-yyyy
16 0301-网络安全管理程序 ISMS-0301-yyyy
17 0302-数据安全管理程序 ISMS-0302-yyyy
18 0303-信息处理设施管理程序 ISMS-0303-yyyy
19 0304-个人计算机管理程序 ISMS-0304-yyyy
20 0305-用户访问管理程序 ISMS-0305-yyyy
21 0306-信息系统开发建设管理程序 ISMS-0306-yyyy
22 0307-信息系统应用管理程序 ISMS-0307-yyyy
23 0308-信息系统监控管理程序 ISMS-0308-yyyy
24 0309-信息交换管理程序 ISMS-0309-yyyy
25 0310-软件管理程序 ISMS-0310-yyyy
26 0311-介质管理程序 ISMS-0311-yyyy
27 0312-病毒防范管理程序 ISMS-0312-yyyy
28 0313-技术薄弱点管理程序 ISMS-0313-yyyy
29 0314-信息业务连续性管理程序 ISMS-0314-yyyy
30 0315-信息系统应急预案 ISMS-0315-yyyy
31 适用性声明SOA ISMS-SOA-yyyy
32 信息安全管理手册 ISMS-M-yyyy


★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★

 

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8