JYYH-HB-02-信息安全管理体系手册.doc

文档密级：一般 文档状态：[ ] 草案 [√]正式发布 [ ]正在修订 受控状态：[√] 受控 [ ]非受控 日期 版本 描述 作者 审核 审批 2015-01-08 A0 A版首次发布 质量小组 孙佩 连春华 目录 TOC \o "1-4" \h \z \u 1. 目的和适用范围 2 1.1. 目的 2 1.2. 适用范围 2 2. 引用标准、文件、术语及定义 2 2.1. 引用标准 2 2.2. 引用文件 2 2.3. 定义和术语 2 2.3.1. 术语 2 2.3.2. 缩写 2 3. 信息安全管理体系 2 3.1. 总要求 2 3.2. 建立和管理ISMS 2 3.2.1. 建立ISMS 2 3.2.2. ISMS实施及运作 2 3.2.3. ISMS的监督检查与评审 2 3.2.3.1. 控制措施 2 3.2.3.2. 管理评审 2 3.2.3.3. 残余风险的评审 2 3.2.4. ISMS保持与改进 2 3.3. 文件要求 2 4. 信息安全管理方针 2 目的和适用范围 目的 为了建立、健全本公司信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性，参考《管理手册》，特制定本手册。 适用范围 结合《管理手册》，本《信息安全管理手册》规定了本公司信息安全管理体系涉及的生产、营销、服务和日常管理等方面内容。 整个信息安全管理体系（ISMS）的覆盖范围包括： a) 本公司涉及营销、生产服务和日常管理的重要信息系统和生产系统； b) 与所述信息系统有关的活动； c) 与所述信息系统有关的部门和所有正式员工， d) 基于军工、人力资源和社会保障、医疗卫生、公积金、民政、食药监、金融等领域的系统建设和维护服务 e) 所述活动、系统及支持性系统包含的全部信息资产。 引用标准、文件 引用标准 ISO27001:2013《信息技术、安全技术、信息安全管理体系要求》 Information technology . Security techniques . Information security management systems . Requirements ISO27002:2005 《信息技术——信息安全管理实施细则》 Information technology—Code of practice for information Security management 引用文件 《管理手册》 定义和术语 术语 本手册中使用术语的定义采用ISO / IEC 27000 的术语和定义。 缩写 ISMS：Information Security Management Systems:信息安全管理体系； SOA: Statement of Applicability :适用性声明； 本公司的背景 了解本公司现状及背景 本公司应明确与信息安全管理体系目的及影响其能力有关的内外部问题，以达到信息安全管理体系的预期效果。 注：确定这些问题是指建立ISO 31000 第5.3.1 考虑外部和内部环境的本公司。 理解相关方的需求和期望 本公司应确定： a) 信息安全管理体系的相关方; b) 这些相关方信息安全相关要求。 注：有关各方的要求可能包括法律、监管规定和合同义务。 确定 ISMS 的范围 本公司应确定信息安全管理体系的边界和适用性，以确定其范围。 在确定此范围时，本公司应考虑： a) 4.1 提及的外部和内部的问题; b) 4.2 提及的要求; c）接口和执行本公司之间活动的依赖关系，以及其他本公司的相关活动。 范围应可成为文档化信息。 ISMS 本公司应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。 领导力 领导力和承诺 最高管理者应表现出对信息安全管理体系的领导力和承诺： a) 确保信息安全策略和信息安全目标的制定，并与本公司的战略方向兼容; b) 确保信息安全管理体系的要求整合到本公司的过程中; c）确保信息安全管理体系所需要的资源; d）传达有效的信息安全管理的重要性，并符合信息安全管理体系的要求; e）确保信息安全管理体系达到其预期的效果; f）指导和支持员工对信息安全管理体系作出有效的贡献; g）促进持续改进; h）支持其他相关管理角色来展示自己的领导力，因为它适用于他们的职责范围。 方针 最高管理者应建立一个信息安全方针： a) 与本公司的宗旨相适应; b) 包括信息安全目标（见6.2），或为信息安全目标提供框架; c）