jyyh-hb-02-信息安全管理体系手册..docx

文档密级：一般文档状态：[ ] 草案 [√]正式发布 [ ]正在修订受控状态：[√] 受控 [ ]非受控日期版本描述作者审核审批2015-01-08A0A版首次发布质量小组孙佩连春华目录1.目的和适用范围21.1.目的21.2.适用范围22.引用标准、文件、术语及定义22.1.引用标准22.2.引用文件22.3.定义和术语22.3.1.术语22.3.2.缩写23.信息安全管理体系23.1.总要求23.2.建立和管理ISMS23.2.1.建立ISMS23.2.2.ISMS实施及运作23.2.3.ISMS的监督检查与评审23.2.3.1.控制措施23.2.3.2.管理评审23.2.3.3.残余风险的评审23.2.4.ISMS保持与改进23.3.文件要求24.信息安全管理方针2目的和适用范围目的为了建立、健全本公司信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性，参考《管理手册》，特制定本手册。适用范围结合《管理手册》，本《信息安全管理手册》规定了本公司信息安全管理体系涉及的生产、营销、服务和日常管理等方面内容。整个信息安全管理体系（ISMS）的覆盖范围包括：a) 本公司涉及营销、生产服务和日常管理的重要信息系统和生产系统；b) 与所述信息系统有关的活动；c) 与所述信息系统有关的部门和所有正式员工，d) 基于军工、人力资源和社会保障、医疗卫生、公积金、民政、食药监、金融等领域的系统建设和维护服务e) 所述活动、系统及支持性系统包含的全部信息资产。引用标准、文件引用标准ISO27001:2013《信息技术、安全技术、信息安全管理体系要求》Information technology . Security techniques . Information security management systems . RequirementsISO27002:2005 《信息技术——信息安全管理实施细则》Information technology—Code of practice for information Security management引用文件《管理手册》定义和术语术语本手册中使用术语的定义采用ISO / IEC 27000 的术语和定义。缩写ISMS：Information Security Management Systems:信息安全管理体系；SOA: Statement of Applicability :适用性声明；本公司的背景了解本公司现状及背景本公司应明确与信息安全管理体系目的及影响其能力有关的内外部问题，以达到信息安全管理体系的预期效果。注：确定这些问题是指建立ISO 31000 第5.3.1 考虑外部和内部环境的本公司。理解相关方的需求和期望本公司应确定：a) 信息安全管理体系的相关方;b) 这些相关方信息安全相关要求。注：有关各方的要求可能包括法律、监管规定和合同义务。确定 ISMS 的范围本公司应确定信息安全管理体系的边界和适用性，以确定其范围。在确定此范围时，本公司应考虑：a) 4.1 提及的外部和内部的问题;b) 4.2 提及的要求;c）接口和执行本公司之间活动的依赖关系，以及其他本公司的相关活动。范围应可成为文档化信息。ISMS本公司应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。领导力领导力和承诺最高管理者应表现出对信息安全管理体系的领导力和承诺：a) 确保信息安全策略和信息安全目标的制定，并与本公司的战略方向兼容;b) 确保信息安全管理体系的要求整合到本公司的过程中;c）确保信息安全管理体系所需要的资源;d）传达有效的信息安全管理的重要性，并符合信息安全管理体系的要求;e）确保信息安全管理体系达到其预期的效果;f）指导和支持员工对信息安全管理体系作出有效的贡献;g）促进持续改进;h）支持其他相关管理角色来展示自己的领导力，因为它适用于他们的职责范围。方针最高管理者应建立一个信息安全方针：a) 与本公司的宗旨相适应;b) 包括信息安全目标（见6.2），或为信息安全目标提供框架;c）包括满足与信息安全相关要求的承诺;d）包括信息安全管理体系持续改进的承诺。信息安全的方针应：e）可成为文档化信息;f）在本公司内沟通;g）视情况提供给相关方。5.3 角色、责任和承诺最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。最高管理者应指定责任和权限：a) 确保信息安全管理体系符合本国际标准的要求;b) 将ISMS 的绩效报告给最高管理者。注：最高管理层可以授权他人负责ISMS 的绩效报告。计划处理风险和机遇的行动总则当规划本公司的信息安全管理体系时，应当考