信息安全管理手册-ISO27001.doc

信息安全管理体系 管理手册 ISMS-M-yyyy 版本号：A/1 受控状态： ■ 受 控 □ 非受控 编 制 审 核 批 准 编写组 审核人A 总经理 yyyy-mm-dd yyyy-mm-dd yyyy-mm-dd 日期： 2016年1月8日 实施日期： 2016年1月8日 修改履历 版本 制订者 修改时间 更改内容 审核人 审核意见 变更申请单号 A/0 编写组 2016-1-08 定版 审核人A 同意 A/1 编写组 2017-1-15 定版 审核人B 同意 00 目录 00 目录 3 01 颁布令 5 02 管理者代表授权书 6 03 企业概况 7 04 信息安全管理方针目标 9 05 手册的管理 11 06 信息安全管理手册 12 1 范围 12 1.1 总则 12 1.2 应用 12 2 规范性引用文件 12 3 术语和定义 12 3.1 本公司 13 3.2 信息系统 13 3.3 计算机病毒 13 3.4 信息安全事件 13 3.5 相关方 13 4 组织环境 13 4.1 组织及其环境 13 4.2 相关方的需求和期望 13 4.3 确定信息安全管理体系的范围 14 4.4 信息安全管理体系 14 5 领导力 14 5.1 领导和承诺 14 5.2 方针 15 5.3 组织角色、职责和权限 15 6 规划 15 6.1 应对风险和机会的措施 15 6.2 信息安全目标和规划实现 18 7 支持 18 7.1 资源 18 7.2 能力 19 7.3 意识 19 7.4 沟通 19 7.5 文件化信息 19 8 运行 20 8.1 运行的规划和控制 20 8.2 信息安全风险评估 21 8.3 信息安全风险处置 21 9 绩效评价 21 9.1 监视、测量、分析和评价 21 9.2 内部审核 22 9.3 管理评审 23 10 改进 23 10.1 不符合和纠正措施 23 10.2 持续改进 24 附录A 信息安全管理组织结构图 25 附录B 信息安全管理职责明细表 26 附录C 信息安全管理程序文件清单 28 01 颁布令 为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了**公司** 《信息安全管理手册》。 《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。 《信息安全管理手册》符合有关信息安全法律、法规要求及ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自2016年1月8日 起实施。企业全体员工必须遵照执行。 全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。 **公司** 总 经 理：总经理 2016年1月8日 02 管理者代表授权书 为贯彻执行信息安全管理体系，满足ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求，加强领导，特任命 审核人B 为我公司信息安全管理者代表。 授权信息安全管理者代表有如下职责和权限： 确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系； 负责与信息安全管理体系有关的协调和联络工作； 确保在整个组织内提高信息安全风险的意识； 审核风险评估报告、风险处理计划； 批准发布程序文件； 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 本授权书自任命日起生效执行。 **公司** 总 经 理：总经理 2017年1月15日 03 企业概况 这里是公司情况介绍哦 这里是公司情况介绍哦 这里是公司情况介绍哦 这里是公司情况介绍哦 这里是公司情况介绍哦 单位地址：单位地址 电 话：单位电话 传 真：单位电话 邮