信息安全管理方案计划过程.docxVIP

*- 信息安全管理手册 文件编号 版本 编制 编制日期 审核 审核日期 批准 批准日期 *- 变更记录 日期 版本 编制 /修改者 修订类型 描述 注：修订类型： A——增加， M——修改， D——删除 *- 一、 范围 1.1 总则 为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简 称 ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理 解并遵照执行信息安全管理体系文件、 持续改进信息安全管理体系的有效性， 特制定本手册。 1.2 应用 本信息安全管理手册规定了公司的信息安全管理体系要求、管理职责、内部审核、 管理评审和信息安全管理体系改进等方面内容。 本信息安全管理手册适用于公司业务活动所涉及的信息系统、 资产及相关信息安全 管理活动，具体见 4.2.2.1 条款规定。 二、 规范性引用文件 下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手 册》的条款。凡是注日期的引用文件， 其随后所有的修改单或修订版均不适用于本标准， 然而，行政部门应研究是否可使用这些文件的最新版本。 凡是不注日期的引用文件、 其 最新版本适用于本信息安全管理手册。 三、 术语和定义 GB/T22080-2008idtISO27001:2005《信息技术 - 安全技术 - 信息安全管理体系 - 要求》、 GB/T22081-2008idtISO27002:2005《信息技术 - 安全技术 - 信息安全管理实用规则》 规定 的术语和定义适用于本《信息安全管理手册》 。 3.1 本公司 指公司所属各部门。 *- 3.2 信息系统 指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应 用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.3 计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用， 并能自我复制的一组计算机指令或者程序代码。 3.4 信息安全事件 指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、 利用信息系统 从事的反动有害信息和涉密信息的传播事件、 利用网络所从事的对信息系统的破坏窃密 事件。 3.5 相关方 关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为： 政府、供方、银行、用户、电信等。 四、 信息安全管理体系 4.1 概述 本公司在软件开发、经营、服务和日常管理活动中，按 GB/T22080-2008 idtISO27001:2005 《信息技术 - 安全技术 - 信息安全管理体系 - 要求》规定，参照 GB/T22081-2008idtISO27002:2005《信息技术 - 安全技术 - 信息安全管理实用规则》标准， 建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。 信息安全管理体系使用的过程基于图 1 所示的 PDCA模型。 *- 图 1 信息安全管理体系模型 4.2 建立和管理信息安全管理体系 4.2.1 建立信息安全管理体系 4.2.1.1 信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公 司信息安全管理体系的范围包括： 本公司涉及软件开发、营销、服务和日常管理的业务系统； 与所述信息系统有关的活动； 与所述信息系统有关的部门和所有员工； 所述活动、系统及支持性系统包含的全部信息资产。组织范围： 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本 手册附录 A（规范性附录）《信息安全管理体系组织机构图》。 物理范围： *- 本公司根据组织的业务特征、 组织结构、地理位置、资产和技术定义了信息安全管 理体系的物理范围和信息安全边界。 本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所， 包含 客户方以及公司内部。 4.2.1.2 信息安全管理体系的方针 为了满足适用法律法规及相关方要求， 维持软件开发和经营的正常进行， 实现业务 可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定 义了信息安全管理体系方针，见本信息安全管理手册第 0.4 条款。 该信息安全方针符合以下要求： 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则； 考虑业务及法律或法规的要求，及合同的安全义务； 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系； 建立了风险评价的准则； 经最高管理者批准。 为实现信息安全管理体系方针，本公司承诺： 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责 识别并满足适用法律、法规和相关方信息安全要求； 定期进行信息安全风险评估，信息安全