1、文档密级:普通文档状态: 草案 正式发布 正在修订受控状态: 受控 非受控 日期版本描述作者审核 审批-01-08A0A版初次发布 质量小组孙佩连春华目录1.目和合用范畴21.1.目21.2.合用范畴22.引用原则、文献、术语及定义22.1.引用原则22.2.引用文献22.3.定义和术语22.3.1.术语22.3.2.缩写23.信息安全管理体系23.1.总规定23.2.建立和管理ISMS23.2.1.建立ISMS23.2.2.ISMS实行及运作23.2.3.ISMS监督检查与评审23.2.3.1.控制办法23.2.3.2.管理评审23.2.3.3.残存风险评审23.2.4.ISMS保持与改进2
2、3.3.文献规定24.信息安全管理方针21. 目和合用范畴1.1. 目为了建立、健全我司信息安全管理体系(简称ISMS),拟定信息安全方针和目的,对信息安全风险进行有效管理,保证全体员工理解并遵循执行信息安全管理体系文献、持续改进ISMS有效性,参照管理手册,特制定本手册。1.2. 合用范畴结合管理手册,本信息安全管理手册规定了我司信息安全管理体系涉及生产、营销、服务和寻常管理等方面内容。整个信息安全管理体系(ISMS)覆盖范畴涉及:a) 我司涉及营销、生产服务和寻常管理重要信息系统和生产系统;b) 与所述信息系统关于活动;c) 与所述信息系统关于部门和所有正式员工,d) 基于军工、人力资源和
3、社会保障、医疗卫生、公积金、民政、食药监、金融等领域系统建设和维护服务e) 所述活动、系统及支持性系统包括所有信息资产。2. 引用原则、文献2.1. 引用原则1、 ISO27001:信息技术、安全技术、信息安全管理体系规定Information technology . Security techniques . Information security management systems . Requirements2、 ISO27002:信息技术信息安全管理实行细则Information technologyCode of practice for information Securit
4、y management2.2. 引用文献管理手册3. 定义和术语3.1. 术语本手册中使用术语定义采用ISO / IEC 27000 术语和定义。3.2. 缩写1、 ISMS:Information Security Management Systems:信息安全管理体系;2、 SOA:Statement of Applicability :合用性声明;4. 我司背景4.1. 理解我司现状及背景我司应明确与信息安全管理体系目及影响其能力关于内外部问题,以达到信息安全管理体系预期效果。注:拟定这些问题是指建立ISO 31000 第5.3.1 考虑外部和内部环境我司。4.2. 理解有关方需求和盼
5、望我司应拟定:a) 信息安全管理体系有关方;b) 这些有关方信息安全有关规定。注:关于各方规定也许涉及法律、监管规定和合同义务。4.3. 拟定 ISMS 范畴我司应拟定信息安全管理体系边界和合用性,以拟定其范畴。在拟定此范畴时,我司应考虑:a) 4.1 提及外部和内部问题;b) 4.2 提及规定;c)接口和执行我司之间活动依赖关系,以及其她我司有关活动。范畴应可成为文档化信息。4.4. ISMS我司应按照本国际原则规定建立,实行,保持和持续改进信息安全管理体系。5. 领导力5.1. 领导力和承诺最高管理者应体现出对信息安全管理体系领导力和承诺:a) 保证信息安全方略和信息安全目的制定,并与我司
6、战略方向兼容;b) 保证信息安全管理体系规定整合到我司过程中;c) 保证信息安全管理体系所需要资源;d) 传达有效信息安全管理重要性,并符合信息安全管理体系规定;e) 保证信息安全管理体系达到其预期效果;f) 指引和支持员工对信息安全管理体系作出有效贡献;g) 增进持续改进;h) 支持其她有关管理角色来展示自己领导力,由于它合用于她们职责范畴。5.2. 方针最高管理者应建立一种信息安全方针:a) 与我司宗旨相适应;b) 涉及信息安全目的(见6.2),或为信息安全目的提供框架;c) 涉及满足与信息安全有关规定承诺;d) 涉及信息安全管理体系持续改进承诺。信息安全方针应:e) 可成为文档化信息;f
7、) 在我司内沟通;g) 视状况提供应有关方。5.3 角色、责任和承诺最高管理者应保证与信息安全有关角色职责和权限分派和沟通。最高管理者应指定责任和权限:a) 保证信息安全管理体系符合本国际原则规定;b) 将ISMS 绩效报告给最高管理者。注:最高管理层可以授权她人负责ISMS 绩效报告。6. 筹划6.1. 解决风险和机遇行动6.1.1. 总则当规划我司信息安全管理体系时,应当考虑4.1 提到问题和4.2 中所提到规定,并拟定需要解决风险和机遇:a) 保证信息安全管理体系可实现预期成果;b) 防止或减少不良影响;c) 实现持续改进。我司应策划:d) 解决这些风险和机遇办法;e) 如何1) 整合和
8、实行这些办法,并纳入其信息安全管理体系过程中;2) 评估这些办法有效性。6.1.2. 信息安全风险评估我司应拟定信息安全风险评估过程:a) 建立和维护信息安全风险原则,涉及风险接受准则;b) 决定执行信息安全风险评估原则;c)保证重复使用信息安全风险评估过程能产生一致,有效和可比较成果。我司应:d)辨认信息安全风险。1)应用信息安全风险评估过程,以辨认ISMS 范畴内信息保密性,完整性和可用性损失风险。2)辨认风险所有者。e)分析信息安全风险。1)评估6.1.1e)1)实现后潜在后果。2)评估6.1.1e)1)实现也许性。3)拟定风险级别。f)评估信息安全风险。1)用6.1.2a)建立风险原则
9、比较风险分析成果,并建立优先级。我司应保存信息安全风险评估过程中文档化信息。6.1.3. 信息安全风险处置我司应采用信息安全风险处置过程:a) 选取恰当信息安全风险解决办法,考虑风险评估成果;b) 拟定所有实行信息安全风险处置办法是必要;注:我司可以设计所需控制项,或从任何来源中辨认它们。c) 比较6.1.3 b)中与附件A 中控制项,并确认已省略没有必要控制项;注1:附件A 中包括控制目的和控制项完整列表。本国际原则顾客应注意附件A,以保证没有重要控制项被忽视注2:控制目的是隐含在所选取控制项中。附件A 所列控制目的和控制项并不详尽,也许还需要额外控制目的和控制项。d) 制作一种包括必要控制
10、项(见6.1.3),B)和C)和包括理由合用性声明,无论实行与否,并应包括删减附件A 中控制项理由;e) 制定信息安全风险处置筹划;f) 风险处置方案和残存风险应得到风险负责人批准。我司应保存信息安全风险解决过程中文档化信息。注意:信息安全风险评估和处置过程与国际原则ISO 31000 规定原则和通用准则相一致。6.2. 可实现信息安全目的和筹划我司应建立有关职能和层次信息安全目的。信息安全目的应:a) 与信息安全方针一致;b) 是可衡量(如果可行);c)考虑到合用信息安全规定,以及风险评估和处置成果;d)是可沟通;e)能适时更新。我司应保存信息安全目的有关文档化信息。当筹划如何实现信息安全目
11、的时,我司应拟定:f)做什么;g)需要哪些资源;h)谁负责;i)何时完毕;j)如何评估成果。7. 支持7.1. 资源我司应拟定并提供信息安全管理体系建立,实行,维护和持续改进所需资源。7.2. 能力我司应:a) 拟定员工在ISMS 管控下工作必备能力,这会影响到我司信息安全绩效;b) 保证这些人在恰当教诲,培训或获得经验后是能胜任;c)在恰当状况下,采用行动以获得必要能力,并评估所采用行动有效性;d)保存恰当文档化信息作为证据。注:合用行动也许涉及,例如:提供培训,指引,或重新分派既有雇员、主管人员聘任或承包。7.3. 意识为我司工作人员应理解:a) 信息安全方针;b) 她们对信息安全管理体系
12、有效性贡献,涉及提高信息安全绩效收益;c)不符合信息安全管理体系规定所带来影响,。7.4. 沟通我司应拟定信息安全管理体系中内部和外部有关沟通需求:a) 沟通什么;b) 何时沟通;c)和谁沟通;d)谁应当沟通;e)如何沟通过程是有效。7.5. 文档化信息7.5.1. 总则我司信息安全管理体系应涉及:a) 本国际原则所需要文档化信息;b) 记录信息安全管理体系有效性必要文档化信息。注意:不同我司信息安全管理体系文档化信息多少与详略限度取决于:1)我司规模、活动类型,过程,产品和服务;2)过程及其互相作用复杂性;3)人员能力。7.5.2. 创立和更新当创立和更新文档化信息时,我司应保证恰当:a)
13、辨认和描述(如标题,日期,作者,或参照号码);b) 格式(如语言,软件版本,图形)和媒体(如纸张,电子);c)恰当和足够审查和批准。7.5.3. 文档化信息控制信息安全管理体系与本国际原则规定文档化信息应被管理,以保证:a) 当文档化信息被需要时是可用且合用;b) 得到充分保护(例如保密性丧失,使用不当,完整性丧失)。对于文档化信息控制,我司应制定如下活动(如合用):c)分派,访问,检索和使用;d)存储和保存,涉及易读性保存;e)变更管理(例如版本控制);f)保存和处置。我司信息安全管理体系规划和运作必要外来文档化信息,应被恰当辨认和管理。注:访问表达有权查看文档化信息,或获得授权以查看和更改
14、文档化信息等。8. 运营8.1. 运营筹划及控制我司应策划,实行和控制过程需求以满足信息安全规定,并实行在6.1 中拟定办法。我司还应当实行筹划,以实现信息安全在6.2 中拟定目的。我司应保存有关文档化信息,以保证过程已按照筹划实行。我司应控制筹划变更,同步审计非筹划变更,并采用恰当办法以减轻任何不良影响。我司应保证外包过程是被拟定和受控。8.2. 信息安全风险评估我司应在技术时间间隔或发生重大变化时执行信息安全风险评估,将6.1.2 中建立原则纳入考虑范畴。我司应保存信息安全风险评估成果有关文档化信息。8.3. 信息安全风险处置我司应实行信息安全风险处置筹划。我司应保存信息安全风险处置成果文
15、档化信息。9. 绩效评价9.1. 监控,度量,分析和评价我司应评估信息安全绩效和信息安全管理体系有效性。我司应拟定:a) 需要进行监视和测量,涉及信息安全过程和控制规定;b) 监测,测量,分析和评估(如合用)办法,以保证成果有效;注:选取被以为是有效办法应当可以产生可比性和可再现成果。c) 监视和测量时间;d) 谁应监视和测量;e) 何时对监视和测量成果进行分析和评估;f) 谁应分析和评估这些成果。我司应保存恰当监视和测量成果文档化信息作为证据。9.2. 内部审核我司应在筹划时间间隔进行内部审核,依照提供信息判断与否安全管理体系:a) 符合1) 我司自身信息安全管理体系规定;2) 本国际原则规
16、定;b) 有效实行和保持。我司应:c) 筹划,建立,实行并保持审核方案,其中涉及频率,办法,职责,筹划规定和报告。 审核程序应考虑有关过程和以往审核成果重要性;d) 定义每次审核章程和范畴;e) 选取审核员和审核组长以保证审核过程客观性和公正;f) 保证审核成果报告提交有关管理层;g) 保存审核程序和审核成果有关文档化信息作为证据。9.3. 管理评审最高管理者应在筹划时间间隔评审我司信息安全管理体系,以保证其持续适当性,充分性和有效性。管理评审应考虑:a) 以往管理评审行动办法状态;b) 与信息安全管理体系有关内外部问题变化;c) 反馈信息安全绩效和趋势,涉及:1) 不符合与纠正办法;2) 监
17、控和测量成果;3) 审核成果;4) 信息安全目的实现;d) 有关方反馈;e) 风险评估成果和风险处置状态;f) 持续改改进机会。管理评审输出应涉及持续改进机会和任何信息安全管理体系需要变更有关决定。我司应保存管理评审成果文档化信息作为证据。10. 改进10.1. 符合及纠正办法浮现不符合时,我司应:a) 对不符合伙出反映,如合用:1) 采用行动控制和纠正;2) 解决成果;b) 评估采用办法必要性,消除不符合因素,使不复发或不再其她地方发生,通过:1) 审查不符合;2) 拟定不符合因素;3) 拟定与否存在类似不符合和发生也许;c) 实行所需任何办法;d) 审查已采用纠正办法有效性;e) 如果有必
18、要话,改进信息安全管理体系。纠正办法应对不符合产生恰当影响。我司应保存如下文档化信息作为证据:f) 不符合性质和后续办法;g) 任何纠正办法成果。10.2. 持续改进我司应不断提高信息安全管理体系适当性,充分性和有效性。11. 信息安全管理方针实行安全管理,积极防止风险,完善控制办法,实现持续发展。为了满足合用法律法规及有关方规定,维持生产和经营正常进行,我司根据ISO27001:原则,建立信息安全管理体系,以保证我司生产经营信息保密性、完整性、可用性,实现业务可持续发展目。我司承诺:1、 在公司内各层次建立完整管理我司机构,拟定信息安全方针、安全目的和控制办法,明确信息安全管理职责;2、 辨认并满足合用法律、法规和有关方信息安全规定;3、 定期进行信息安全风险评估,ISMS评审,采用纠正防止办法,保证体系持续有效性;4、 采用先进有效设施和技术,解决、传递、储存和保护各类信息,实现信息共享;5、 对全体员工进行持续信息安全教诲和培训,不断增强员工信息安全意识和能力;6、 制定并保持完善业务持续性筹划,实现可持续发展。上述方针由公司信息安全最高责任者批准发布,并定期评审其合用性、充分性,必要时予以修订。批 准 人: 陈柯 1 月 8 日
浙ICP备2021020529号-1 | 浙B2-20240490 
