资源描述
文档密级:普通
文档状态:[ ] 草案 [√]正式发布 [ ]正在修订
受控状态:[√] 受控 [ ]非受控
日期
版本
描述
作者
审核
审批
-01-08
A0
A版初次发布
质量小组
孙佩
连春华
目录
1. 目和合用范畴 2
1.1. 目 2
1.2. 合用范畴 2
2. 引用原则、文献、术语及定义 2
2.1. 引用原则 2
2.2. 引用文献 2
2.3. 定义和术语 2
2.3.1. 术语 2
2.3.2. 缩写 2
3. 信息安全管理体系 2
3.1. 总规定 2
3.2. 建立和管理ISMS 2
3.2.1. 建立ISMS 2
3.2.2. ISMS实行及运作 2
3.2.3. ISMS监督检查与评审 2
3.2.3.1. 控制办法 2
3.2.3.2. 管理评审 2
3.2.3.3. 残存风险评审 2
3.2.4. ISMS保持与改进 2
3.3. 文献规定 2
4. 信息安全管理方针 2
1. 目和合用范畴
1.1. 目
为了建立、健全我司信息安全管理体系(简称ISMS),拟定信息安全方针和目的,对信息安全风险进行有效管理,保证全体员工理解并遵循执行信息安全管理体系文献、持续改进ISMS有效性,参照《管理手册》,特制定本手册。
1.2. 合用范畴
结合《管理手册》,本《信息安全管理手册》规定了我司信息安全管理体系涉及生产、营销、服务和寻常管理等方面内容。
整个信息安全管理体系(ISMS)覆盖范畴涉及:
a) 我司涉及营销、生产服务和寻常管理重要信息系统和生产系统;
b) 与所述信息系统关于活动;
c) 与所述信息系统关于部门和所有正式员工,
d) 基于军工、人力资源和社会保障、医疗卫生、公积金、民政、食药监、金融等领域系统建设和维护服务
e) 所述活动、系统及支持性系统包括所有信息资产。
2. 引用原则、文献
2.1. 引用原则
1、 ISO27001:《信息技术、安全技术、信息安全管理体系规定》
Information technology . Security techniques . Information security management systems . Requirements
2、 ISO27002:《信息技术——信息安全管理实行细则》
Information technology—Code of practice for information Security management
2.2. 引用文献
《管理手册》
3. 定义和术语
3.1. 术语
本手册中使用术语定义采用ISO / IEC 27000 术语和定义。
3.2. 缩写
1、 ISMS:Information Security Management Systems:信息安全管理体系;
2、 SOA:Statement of Applicability :合用性声明;
4. 我司背景
4.1. 理解我司现状及背景
我司应明确与信息安全管理体系目及影响其能力关于内外部问题,以达到信息安全管理体系预期效果。
注:拟定这些问题是指建立ISO 31000 第5.3.1 考虑外部和内部环境我司。
4.2. 理解有关方需求和盼望
我司应拟定:
a) 信息安全管理体系有关方;
b) 这些有关方信息安全有关规定。
注:关于各方规定也许涉及法律、监管规定和合同义务。
4.3. 拟定 ISMS 范畴
我司应拟定信息安全管理体系边界和合用性,以拟定其范畴。
在拟定此范畴时,我司应考虑:
a) 4.1 提及外部和内部问题;
b) 4.2 提及规定;
c)接口和执行我司之间活动依赖关系,以及其她我司有关活动。
范畴应可成为文档化信息。
4.4. ISMS
我司应按照本国际原则规定建立,实行,保持和持续改进信息安全管理体系。
5. 领导力
5.1. 领导力和承诺
最高管理者应体现出对信息安全管理体系领导力和承诺:
a) 保证信息安全方略和信息安全目的制定,并与我司战略方向兼容;
b) 保证信息安全管理体系规定整合到我司过程中;
c) 保证信息安全管理体系所需要资源;
d) 传达有效信息安全管理重要性,并符合信息安全管理体系规定;
e) 保证信息安全管理体系达到其预期效果;
f) 指引和支持员工对信息安全管理体系作出有效贡献;
g) 增进持续改进;
h) 支持其她有关管理角色来展示自己领导力,由于它合用于她们职责范畴。
5.2. 方针
最高管理者应建立一种信息安全方针:
a) 与我司宗旨相适应;
b) 涉及信息安全目的(见6.2),或为信息安全目的提供框架;
c) 涉及满足与信息安全有关规定承诺;
d) 涉及信息安全管理体系持续改进承诺。
信息安全方针应:
e) 可成为文档化信息;
f) 在我司内沟通;
g) 视状况提供应有关方。
5.3 角色、责任和承诺
最高管理者应保证与信息安全有关角色职责和权限分派和沟通。
最高管理者应指定责任和权限:
a) 保证信息安全管理体系符合本国际原则规定;
b) 将ISMS 绩效报告给最高管理者。
注:最高管理层可以授权她人负责ISMS 绩效报告。
6. 筹划
6.1. 解决风险和机遇行动
6.1.1. 总则
当规划我司信息安全管理体系时,应当考虑4.1 提到问题和4.2 中所提到规定,并拟定需要解决风险和机遇:
a) 保证信息安全管理体系可实现预期成果;
b) 防止或减少不良影响;
c) 实现持续改进。
我司应策划:
d) 解决这些风险和机遇办法;
e) 如何
1) 整合和实行这些办法,并纳入其信息安全管理体系过程中;
2) 评估这些办法有效性。
6.1.2. 信息安全风险评估
我司应拟定信息安全风险评估过程:
a) 建立和维护信息安全风险原则,涉及风险接受准则;
b) 决定执行信息安全风险评估原则;
c)保证重复使用信息安全风险评估过程能产生一致,有效和可比较成果。
我司应:
d)辨认信息安全风险。
1)应用信息安全风险评估过程,以辨认ISMS 范畴内信息保密性,完整性和
可用性损失风险。
2)辨认风险所有者。
e)分析信息安全风险。
1)评估6.1.1e)1)实现后潜在后果。
2)评估6.1.1e)1)实现也许性。
3)拟定风险级别。
f)评估信息安全风险。
1)用6.1.2a)建立风险原则比较风险分析成果,并建立优先级。
我司应保存信息安全风险评估过程中文档化信息。
6.1.3. 信息安全风险处置
我司应采用信息安全风险处置过程:
a) 选取恰当信息安全风险解决办法,考虑风险评估成果;
b) 拟定所有实行信息安全风险处置办法是必要;
注:我司可以设计所需控制项,或从任何来源中辨认它们。
c) 比较6.1.3 b)中与附件A 中控制项,并确认已省略没有必要控制项;
注1:附件A 中包括控制目的和控制项完整列表。本国际原则顾客应注意附件A,以保证没有重要控制项被忽视
注2:控制目的是隐含在所选取控制项中。附件A 所列控制目的和控制项并不详尽,也许还需要额外控制目的和控制项。
d) 制作一种包括必要控制项(见6.1.3),B)和C))和包括理由合用性声明,无论实行与否,并应包括删减附件A 中控制项理由;
e) 制定信息安全风险处置筹划;
f) 风险处置方案和残存风险应得到风险负责人批准。
我司应保存信息安全风险解决过程中文档化信息。
注意:信息安全风险评估和处置过程与国际原则ISO 31000 规定原则和通用准则相一致。
6.2. 可实现信息安全目的和筹划
我司应建立有关职能和层次信息安全目的。
信息安全目的应:
a) 与信息安全方针一致;
b) 是可衡量(如果可行);
c)考虑到合用信息安全规定,以及风险评估和处置成果;
d)是可沟通;
e)能适时更新。
我司应保存信息安全目的有关文档化信息。
当筹划如何实现信息安全目的时,我司应拟定:
f)做什么;
g)需要哪些资源;
h)谁负责;
i)何时完毕;
j)如何评估成果。
7. 支持
7.1. 资源
我司应拟定并提供信息安全管理体系建立,实行,维护和持续改进所需资源。
7.2. 能力
我司应:
a) 拟定员工在ISMS 管控下工作必备能力,这会影响到我司信息安全绩效;
b) 保证这些人在恰当教诲,培训或获得经验后是能胜任;
c)在恰当状况下,采用行动以获得必要能力,并评估所采用行动有效性;
d)保存恰当文档化信息作为证据。
注:合用行动也许涉及,例如:提供培训,指引,或重新分派既有雇员、主管人员聘任或承包。
7.3. 意识
为我司工作人员应理解:
a) 信息安全方针;
b) 她们对信息安全管理体系有效性贡献,涉及提高信息安全绩效收益;
c)不符合信息安全管理体系规定所带来影响,。
7.4. 沟通
我司应拟定信息安全管理体系中内部和外部有关沟通需求:
a) 沟通什么;
b) 何时沟通;
c)和谁沟通;
d)谁应当沟通;
e)如何沟通过程是有效。
7.5. 文档化信息
7.5.1. 总则
我司信息安全管理体系应涉及:
a) 本国际原则所需要文档化信息;
b) 记录信息安全管理体系有效性必要文档化信息。
注意:不同我司信息安全管理体系文档化信息多少与详略限度取决于:
1)我司规模、活动类型,过程,产品和服务;
2)过程及其互相作用复杂性;
3)人员能力。
7.5.2. 创立和更新
当创立和更新文档化信息时,我司应保证恰当:
a) 辨认和描述(如标题,日期,作者,或参照号码);
b) 格式(如语言,软件版本,图形)和媒体(如纸张,电子);
c)恰当和足够审查和批准。
7.5.3. 文档化信息控制
信息安全管理体系与本国际原则规定文档化信息应被管理,以保证:
a) 当文档化信息被需要时是可用且合用;
b) 得到充分保护(例如保密性丧失,使用不当,完整性丧失)。
对于文档化信息控制,我司应制定如下活动(如合用):
c)分派,访问,检索和使用;
d)存储和保存,涉及易读性保存;
e)变更管理(例如版本控制);
f)保存和处置。
我司信息安全管理体系规划和运作必要外来文档化信息,应被恰当辨认和管理。
注:访问表达有权查看文档化信息,或获得授权以查看和更改文档化信息等。
8. 运营
8.1. 运营筹划及控制
我司应策划,实行和控制过程需求以满足信息安全规定,并实行在6.1 中拟定办法。我司还应当实行筹划,以实现信息安全在6.2 中拟定目的。
我司应保存有关文档化信息,以保证过程已按照筹划实行。
我司应控制筹划变更,同步审计非筹划变更,并采用恰当办法以减轻任何不良影响。
我司应保证外包过程是被拟定和受控。
8.2. 信息安全风险评估
我司应在技术时间间隔或发生重大变化时执行信息安全风险评估,将6.1.2 中建立原则纳入考虑范畴。
我司应保存信息安全风险评估成果有关文档化信息。
8.3. 信息安全风险处置
我司应实行信息安全风险处置筹划。
我司应保存信息安全风险处置成果文档化信息。
9. 绩效评价
9.1. 监控,度量,分析和评价
我司应评估信息安全绩效和信息安全管理体系有效性。
我司应拟定:
a) 需要进行监视和测量,涉及信息安全过程和控制规定;
b) 监测,测量,分析和评估(如合用)办法,以保证成果有效;
注:选取被以为是有效办法应当可以产生可比性和可再现成果。
c) 监视和测量时间;
d) 谁应监视和测量;
e) 何时对监视和测量成果进行分析和评估;
f) 谁应分析和评估这些成果。
我司应保存恰当监视和测量成果文档化信息作为证据。
9.2. 内部审核
我司应在筹划时间间隔进行内部审核,依照提供信息判断与否安全管理体系:
a) 符合
1) 我司自身信息安全管理体系规定;
2) 本国际原则规定;
b) 有效实行和保持。
我司应:
c) 筹划,建立,实行并保持审核方案,其中涉及频率,办法,职责,筹划规定和报告。 审核程序应考虑有关过程和以往审核成果重要性;
d) 定义每次审核章程和范畴;
e) 选取审核员和审核组长以保证审核过程客观性和公正;
f) 保证审核成果报告提交有关管理层;
g) 保存审核程序和审核成果有关文档化信息作为证据。
9.3. 管理评审
最高管理者应在筹划时间间隔评审我司信息安全管理体系,以保证其持续适当性,充分性和有效性。
管理评审应考虑:
a) 以往管理评审行动办法状态;
b) 与信息安全管理体系有关内外部问题变化;
c) 反馈信息安全绩效和趋势,涉及:
1) 不符合与纠正办法;
2) 监控和测量成果;
3) 审核成果;
4) 信息安全目的实现;
d) 有关方反馈;
e) 风险评估成果和风险处置状态;
f) 持续改改进机会。
管理评审输出应涉及持续改进机会和任何信息安全管理体系需要变更有关决定。
我司应保存管理评审成果文档化信息作为证据。
10. 改进
10.1. 符合及纠正办法
浮现不符合时,我司应:
a) 对不符合伙出反映,如合用:
1) 采用行动控制和纠正;
2) 解决成果;
b) 评估采用办法必要性,消除不符合因素,使不复发或不再其她地方发生,通过:
1) 审查不符合;
2) 拟定不符合因素;
3) 拟定与否存在类似不符合和发生也许;
c) 实行所需任何办法;
d) 审查已采用纠正办法有效性;
e) 如果有必要话,改进信息安全管理体系。
纠正办法应对不符合产生恰当影响。
我司应保存如下文档化信息作为证据:
f) 不符合性质和后续办法;
g) 任何纠正办法成果。
10.2. 持续改进
我司应不断提高信息安全管理体系适当性,充分性和有效性。
11. 信息安全管理方针
实行安全管理,积极防止风险,完善控制办法,实现持续发展。
为了满足合用法律法规及有关方规定,维持生产和经营正常进行,我司根据ISO27001:原则,建立信息安全管理体系,以保证我司生产经营信息保密性、完整性、可用性,实现业务可持续发展目。
我司承诺:
1、 在公司内各层次建立完整管理我司机构,拟定信息安全方针、安全目的和控制办法,明确信息安全管理职责;
2、 辨认并满足合用法律、法规和有关方信息安全规定;
3、 定期进行信息安全风险评估,ISMS评审,采用纠正防止办法,保证体系持续有效性;
4、 采用先进有效设施和技术,解决、传递、储存和保护各类信息,实现信息共享;
5、 对全体员工进行持续信息安全教诲和培训,不断增强员工信息安全意识和能力;
6、 制定并保持完善业务持续性筹划,实现可持续发展。
上述方针由公司信息安全最高责任者批准发布,并定期评审其合用性、充分性,必要时予以修订。
批 准 人: 陈柯
1 月 8 日
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
