XXX-ISMS-手册.docVIP

| Confidential PAGE 29 信息安全管理体系 手册 依据ISO/IEC 27001:2005标准要求 XX公司 2011年10月25日  文档信息 文档说明 本文档是ISO/IEC 27001:2005信息安全管理体系的信息安全管理体系手册。本文档说明了 DOCPROPERTY Company XX公司信息安全管理体系的结构与内容。 版权说明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属 DOCPROPERTY Company XX公司所有，受到有关产权及版权法保护。任何个人、机构未经 DOCPROPERTY Company XX公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 文件修改记录 编号 版本 修改内容 修改日期 批准人 1 1.0 新建文档 2011-10-26 查正朋 目 录 TOC \o 1-2 \h \z \u 文档信息 2 文档说明 2 版权说明 2 文件修改记录 2 目 录 3 0.1 批准发布令 4 0.2 信息安全管理者代表任命书 5 0.3 公司简介 6 0.4 信息安全方针 8 0.5 信息安全目标 9 0.6 信息安全管理体系手册的管理 10 1 总则 11 1.1 目的 11 1.2 适用范围 11 2 引用标准 11 3 定义 11 4 信息安全管理体系 12 4.1 总要求 12 4.2 建立并管理ISMS 14 4.3 文件要求 16 5 管理职责 19 5.1 管理层的承诺 19 5.2 资源管理 20 6 ISMS内部审计 22 6.1 总则 22 7 ISMS管理评审 23 7.1 总则 23 7.2 评审输入 23 7.3 评审输出 24 8 ISMS改进 24 8.1 持续改进 24 8.2 纠正措施 25 8.3 预防措施 26 批准发布令 本公司依据ISO/IEC 27001:2005标准编制的《信息安全管理体系手册》规定了信息安全管理体系的范围和本公司对信息安全管理体系的要求。本手册作为信息安全管理的指导性文件，主要作用是： 强化员工的信息安全意识，规范公司的信息安全行为； 对公司的关键信息资产进行全面系统的保护，维持竞争优势； 当信息系统受到侵害时，确保业务持续开展并将损失降到最低程度； 使合作伙伴和客户对公司充满信心。 在广泛征求意见的基础上经过多次修订，现予以发布，并于 DOCPROPERTY 生效日期 2007年2月1日正式实施。望公司各部门及各级人员认真学习本手册内容，严格遵守并执行本手册的各项规定和要求。 《信息安全管理体系手册》以《质量手册》为基准，在编制过程中坚持符合性、适宜性和有效性的统一。同时，本手册将根据内、外部环境的变化进行评审、修改和完善。 总经理： DOCPROPERTY 发布日期 2011年10月25日 信息安全管理者代表任命书 为了贯彻实施ISO/IEC 27001:2005《信息安全管理体系-要求》国际标准，确保公司信息安全管理体系的建立、实施、运作、监视、评审、保护和改进，现经公司总经理批准任命 为信息安全管理者代表，行使以下的职责并拥有以下权限： 代表总经理负责按标准要求建立、实施、运作、监视、评审、保护并持续改进公司的信息安全管理体系，实现公司的信息安全方针和目标； 负责组织公司《信息安全管理体系手册》的编写、修计和审核工作； 协助总经理开展管理评审，并向总经理报告信息安全管理体系业绩和改进需求； 确保公司提高信息安全保密意识； 负责公司信息安全管理体系有关事宜与外界联络的工作。 总经理： DOCPROPERTY 发布日期 2011年10月25日 公司简介 信息安全方针 保障业务正常和安全运行，保证业务的连续性； 保护客户隐私及客户资料的机密性，维护客户的利益； 保护公司的商业秘密和技术机密，维护公司的利益； 建立公司的安全品牌，确保客户的信心。 信息安全方针经公司最高领导层制定颁布，公司全体员工应能理解并执行信息安全方针，并就信息安全方针进行交流。 信息安全目标 建立国际一流、国内领先的信息安全保障体系。建立和完善信息安全组织体系、管理体系和技术体系，达到国际一流、国内领先的信息安全保障水平，同步或领先公司的信息化水平，保障和促进公司业务发展和业务目标的实现。 信息安全管理体系手册的管理 公司的《信息安全管理体系手册》分为受控原本、受控副本及非受控副本。受控原本由XX公司存档，作