1信息-安全管理手册.doc

江苏XXXX科技有限公司 编 号 XX-ISMS-01 版 本 A/0 密 级 内部限制 受 控 是 信 息 安 全 管 理 手 册 生效日期 核 准 审 查 制 订 2016.3.1 修改记录 序号 修改原因 修改内容 修改人/时间 批准人/时间 备注  目 录 0.1、信息安全管理手册发布令 0.2、管理者代表任命书 0.3、公司简介 0.4、信息安全方针 0.5、信息安全目标 1、范围 2、引用标准 3、术语和定义 4、信息安全管理体系 4.1 组织环境 4.2 理解相关方的需求和期望 4.3 明确信息安全管理体系的范围 4.4 信息安全管理体系 5、领导 5.1 领导和承诺 5.2 方针 5.3 组织角色、职责和权力 6、计划 6.1 处置风险和机遇 6.2 信息安全目标的计划和实现 7、支持 7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 文档要求 8、实施 8.1 运行计划和控制 8.2 信息安全风险评估 8.3 信息安全风险处置 9、绩效评价 9.1 监视、测量、分析和评价 9.2 内部审核 9.3 管理评审 10、改进 10.1 不符合项和纠正措施 10.2 持续改进 附件： 附件一：信息安全职能分配表 附件二：信息安全职责 附件三：信息安全管理体系程序文件清单 附件四：信息安全管理体系作业指导书文件清单 0.1 信息安全管理手册发布令 为提高江苏XXXX科技有限公司的信息安全管理水平，保障企业经营、服务和日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》标准的工作，建立文件化的信息安全管理体系，制定了江苏XXXX科技有限公司《信息安全管理手册》（以下简称手册）。 本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运行、持续改进，是江苏XXXX科技有限公司信息安全管理工作长期遵循的准则。 全体职工必须严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规定，努力实现江苏XXXX科技有限公司的管理目标和管理承诺。 本手册自颁布之日起生效执行。 江苏XXXX科技有限公司总经理： 二〇一六年三月一日 0.2管理者代表任命书 兹委任 担任江苏XXXX科技有限公司ISO27001信息安全管理体系管理者代表。 他将履行以下职责及权限： 负责公司ISO27001的推行认证工作，负责组织信息安全管理体系建立、实施和维持，确保公司的信息安全管理体系运作符合信息安全管理体系标准； 信息安全管理体系内部审核的策划、组织及实施； 批准信息安全管理体系程序文件； 代表公司就信息安全的有关事项和外部进行联络。 总经理： 日 期：二〇一六年三月一日  0.3、公司简介 公司组织架构如下图所示： 总 经 理 总 经 理 管理者代表信息安全委员会 管理者代表 信息安全委员会 技 术 部 财 务 部 技 术 部 财 务 部 综 合 部 研 发 部 销 售 部  0.4 信息安全方针 实施风险管理，确保信息安全，保障业务可持续发展。 信息安全方针含义: a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。 b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。 c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进，保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管理和服务的持续和安全，实现企业发展目标。 0.5、信息安全目标： 本公司信息安全目标： 1)安全事件发生次数： 重大安全事件目标值：0次/年 ；较大安全事件目标值：不大于 4次/年；一般安全事件目标值：不大于8次/年。 2)信息泄密次数： 保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、机