ISMS手册-信息安全管理体系手册.pdfVIP

信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001：2005 《信息安全管理体系要求》以及本公司业务特点编制 《信息安全管理IT服务 管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系，现 予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻 IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展 持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文 件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺， 通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001：2005 《信息安全管理体系要求》和公司实际情况。为 能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001：2005 《信息安全管 理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施 “信 息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照 《信息安全管理IT服务管理体系手册》要求，自觉 遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责： a) 建立服务管理计划； b) 向组织传达满足服务管理目标和持续改进的重要性； e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源， 如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005标准的要求，进行资产识别和风险评估，全面建立、实施 和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求， 组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确 保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告IT 服务管理体 系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进 的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情 况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方 式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标 所应做出的贡献。 总经理： 日期： 信息安全方针和信息安全目标 信息安全方针：信息安全 人人有责 本公司信息安全管理方针包括内容如下： 一、信息安全管理机制 1．公司采用系统的方法，按照ISO/IEC27001:2005建立信息安全管理体系，全面保护 本公司的信息安全。 二、信息安全管理组织 2．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求， 提供信息安全资源。 3．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证 信息安全管理体系的持续适宜性和有效性。 4．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保 证信息安全管理体系的有效运行。 5．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发 展动态，获得对信息安全管理的支持。 三、人员安全 6．信息安全需要全体员工的参与和支持，全体员工都