ISO27001信息安全管理手册模板.docVIP

信息安全管理手册 版本信息 文档编号 保密级别 内部 分发范围 修订历史 生效日期 版本号 版本说明 制作 复审 批准 注：文档基本信息记录本文档提交时的当前有效的基本控制信息，当前版本文档有效期将在新版本文档生效时自动结束。文档版本小于1.0 时，表示该版本文档为草案，仅可作为参照资料之目的。 目录 1.1. 前言 1.2. XXX公司概述 1.3. 信息安全管理方针/目标 1.4. 公司组织机构 1.5. 公司信息安全组织结构图 第2章 信息安全组织职责 2.1. 信息安全决策委员会 2.2. 信息安全管控委员会 2.3. 信息安全执行工作组 第3章 职责和权限 3.1. 信息管理部 3.2. 经营管理部 3.3. 财务管理部 3.4. 人力资源及行政中心 3.5. 营销中心  前言 批准页 本信息安全管理手册是依据信息安全管理体系的要求，结合本公司的实际制定的，是公司信息安全管理的纲领性文件。信息安全管理手册包括：XXX公司的信息安全管理方针和信息安全管理目标；组织结构的描述。本手册的规定及其所引出的程序文件和管理性文件从批准之日起生效实施，要求公司全体员工在日常工作中认真执行，严格遵守和贯彻执行本手册的各项规定和要求，确保信息安全管理体系的要求和方针与目标的实现。 总 经 理： 年 月 日 管理者代表任命书 为了建立信息安全管理体系并确保体系的有效运行和持续改进，特任命 为管理者代表,行使其规定的职责和权限，直接负责与信息安全管理相关的事务及外部联络，兹自签发之日起生效。 总经理 年 月 日 手册应用范围与管理 应用范围 本手册采用信息安全部分适用于ISO27001-2005除去电子商务部分的所有内容。 本手册适用于公司从软件的计划、设计、开发、应用、管理、业务流程,以及持续改善的所有过程控制。 手册的编写与核准 本手册应由管理代表或指定人员起草编写 本手册的审查应由管理代表完成,确定其适用性及有效性； 本手册的核准发行权由总经理决定； 《信息安全管理手册》之管理 《信息安全管理手册》的发行由信息管理部负责,并进行发行、编号； 手册如有破损、遗失、增发参照《文件控制程序》作业 任何持有者离开公司必须交回手册； 信息安全管理手册的持有者不得自行对信息安全管理手册进行删改、撕页、涂改，要保持信息安全管理手册的完整、清洁， 注意保管，慎防遗失，未经总经理或管理者代表批准不得复制，向外提供。 各部门经理应负责向本部门人员做好本信息安全管理手册的宣传工作，并组织实施。XXX公司企业概况 XXX公司概述 XXX公司是 信息安全管理方针/目标 信息安全管理方针 XXX公司的信息安全管理方针是： 着眼于公司长期持续稳定的发展，合法保护公司自主知识产权，有效控制公司各类商务信息， 含义： 信息安全管理体系：由安全组织、安全管理流程和安全防护手段构成的企业信息安全内控体系，由“持续风险评估、安全体系规划建设、安全体系运行与完善”构成的持续改进体系。 企业安全文化氛围：人人关注信息安全，事事相关切身利益；保护公司知识产权就是保护自身劳动创造。 可信任企业：采取各项信息安全措施，信息安全管理变被动的事件导向为主动的风险导向，赢得客户信任。 信息安全管理目标指标 信息安全管理体系方针 信息安全管理体系目标 信息安全管理体系指标 责任部门 备注 信息安全政策宣贯 信息安全策略发布和变更时 信息安全管理委员会 通过文件、会议、PPT、知识竞赛等形式 指定或委派各信息安全相关部门管理者代表及成员 信息安全管理委员会 通过文件形式下发 定期评审信息安全策略文件 一年一次或安全策略发生变更时对策略进行评审工作的发起 信息安全管理委员会 依据变更流程 定期召开信息安全工作会议，讨论信息安全相关事项 每月一次 信息管理部 会议记录并上报信息安全管理委员会 定期对信息安全策略实施审计 每年一次或业务发生变更后 信息管理部 对审计结果上报信息安全管理委员会 净化办公环境，降低安全风险 采用集中部署杀毒软件形式统一管理 信息管理部 通过统一部署防病毒服务器监控 建立信息审计制度，保护核心信息资产 所有外发信息均纳入审计范围 信息管理部 通过审计实施监控 建立资产标识和资产分类 对资产在下发前按应用做重要性分级 信息管理部 对资产列表实施更新 普及安全意识，全员动员共建安全 每年不少于1次的信息安全相关培训 人力资源部及行政中心 以培训通知或培训登记表确认 加固创维大厦物理环境保护 关闭不必要的出