信息安全管理综合手册.doc

信息安全管理体系 管理手册 ISMS-M-yyyy 版本号：A/1 受控状态： ■ 受 控 □ 非受控 编 制 审 核 批 准 编写组 审核人A 总经理 yyyy-mm-dd yyyy-mm-dd yyyy-mm-dd 日期： 1月8日 实施日期： 1月8日 修改履历 版本 制订者 修改时间 更改内容 审核人 审核意见 变更申请单号 A/0 编写组 -1-08 定版 审核人A 同意 A/1 编写组 -1-15 定版 审核人B 同意 00 目录 TOC \o 1-3 \h \z \u 00 目录 3 01 颁布令 5 02 管理者代表授权书 6 03 企业概况 7 04 信息安全管理方针目标 9 05 手册管理 11 06 信息安全管理手册 12 1 范围 12 1.1 总则 12 1.2 应用 12 2 规范性引用文件 12 3 术语和定义 12 3.1 本企业 13 3.2 信息系统 13 3.3 计算机病毒 13 3.4 信息安全事件 13 3.5 相关方 13 4 组织环境 13 4.1 组织及其环境 13 4.2 相关方需求和期望 13 4.3 确定信息安全管理体系范围 14 4.4 信息安全管理体系 14 5 领导力 14 5.1 领导和承诺 14 5.2 方针 15 5.3 组织角色、职责和权限 15 6 计划 15 6.1 应对风险和机会方法 15 6.2 信息安全目标和计划实现 18 7 支持 18 7.1 资源 18 7.2 能力 19 7.3 意识 19 7.4 沟通 19 7.5 文件化信息 19 8 运行 20 8.1 运行计划和控制 20 8.2 信息安全风险评定 21 8.3 信息安全风险处理 21 9 绩效评价 21 9.1 监视、测量、分析和评价 21 9.2 内部审核 22 9.3 管理评审 23 10 改善 23 10.1 不符合和纠正方法 23 10.2 连续改善 24 附录A 信息安全管理组织结构图 25 附录B 信息安全管理职责明细表 26 附录C 信息安全管理程序文件清单 28 01 颁布令 为提升**企业**信息安全管理水平，保障我企业业务活动正常进行，预防因为信息系统中止、数据丢失、敏感信息泄密所造成企业和用户损失，我企业开展落实ISO/IEC27001:《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和连续改善文件化信息安全管理体系，制订了**企业** 《信息安全管理手册》。 《信息安全管理手册》是企业法规性文件，是指导企业建立并实施信息安全管理体系纲领和行动准则，用于落实企业信息安全管理方针、目标，实现信息安全管理体系有效运行、连续改善，表现企业对社会承诺。 《信息安全管理手册》符合相关信息安全法律、法规要求及ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式同意公布，自1月8日 起实施。企业全体职员必需遵照实施。 全体职员必需严格根据《信息安全管理手册》要求，自觉遵照信息安全管理方针，落实实施本手册各项要求，努力实现企业信息安全管理方针和目标。 **企业** 总 经 理：总经理 1月8日 02 管理者代表授权书 为落实实施信息安全管理体系，满足ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-要求》标准要求，加强领导，特任命 审核人B 为我企业信息安全管理者代表。 授权信息安全管理者代表有以下职责和权限： 确保根据标准要求，进行资产识别和风险评定，全方面建立、实施和保持信息安全管理体系； 负责和信息安全管理体系相关协调和联络工作； 确保在整个组织内提升信息安全风险意识； 审核风险评定汇报、风险处理计划； 同意公布程序文件； 主持信息安全管理体系内部审核，任命审核组长，同意内审工作汇报； 向最高管理者汇报信息安全管理体系业绩和改善要求，包含信息安全管理体系运行情况、内外部审核情况。 本授权书自任命日起生效实施。 **企业** 总 经 理：总经理 1月15日