ISO27001信息安全管理体系-信息安全管理手册.docxVIP

2019 2019年4月10日发布 2019 年4月10日实施 XXXXXXX有限公司 信息安全管理体系文件 信息安全管理手册 XXXX - ISMS-SC-2019 版本：V 1.0 （内部受控） XXXXXXX有限公司 修改履历 版本 制订者 修改时间 更改内容 审批人 审核意见 变更申请单号 1.0 XXX 2019年4月10日 发布 冯克艳 同意 1.0 XXX 2019年4月10日 实施 冯克艳 同意 00目录 0001 02、，-、.前言...1范围 00 01 02 、，-、. 前言... 1范围 1.2.1 覆盖范围 1.2.2 删减说明 1.2.3 信息安全手册说明 目录 颁布令 管理者代表授权书 1.1总则 1.2应用 2规范性引用文件 3术语和定义 3.1术语 3.2缩写 4组织的背景 4.1 了解公司现状及背景 4.2理解相关方的需求和期望 104.3确定信息安全管理体系的范围 10 105领导力 10 5.1领导力和承诺105.2信息安全管理体系的方针115.3角色，责任和承诺115.3.1信息安全组织机构115.3.2信息安全职责和权限115.3.3承诺12 5.1 领导力和承诺 10 5.2 信息安全管理体系的方针 11 5.3 角色，责任和承诺 11 5.3.1 信息安全组织机构 11 5.3.2 信息安全职责和权限 11 5.3.3 承诺 12 12126.1.1总则126.1.2信息安全风险评估126.1.3信息安全风险处置13 12 12 6.1.1 总则 12 6.1.2 信息安全风险评估 12 6.1.3 信息安全风险处置 13 6计划 6.1处理风险和机遇的行动 6.2 6.2可实现的信息安全目标和计划 14 15 15 7支持 7.1 资源 15 7.2 能力 15 7.3 意识 15 7.4 沟通 15 7.5 文档化信息 16 7.5.1总贝y 16 7.5.2 创建和更新 16 7.5.3文档化信息的控制 16 8运行 8.1运行计划及控制 17 8.2信息安全风险评估 17 8.3信息安全风险处置 17 9绩效评价 18 9.1监视，测量，分析和评价 18 9.2内部审核 18 9.2.1 内审员 18 9.2.2内审实施 18 9.3管理评审 19 10改进 20 10.1不符合及纠正措施 20 10.2持续改进 20 附录1-组织简介 附录3-职能分配表 信息安全管理职能分配表 附录4-信息安全小组成员 21 23 23 26 2019 2019年4月10日 01颁布令 经公司全体员工的共同努力依据 GB/T 22080-2016/ISO/IEC 27001 : 2013标准建立 XXXXXXX有限公司信息安全管理体系已得到建立。 指导管理体系运行的公司《信息安全管理体系手册》经评审后，现予以批准发布。 《信息安全管理体系手册》的发布，标志着我公司从现在起，必须按照信息安全管 理体系标准的要求和公司《信息安全管理体系手册》所描述的规定，不断增强持续满足 顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供服务，以 确立公司在社会上的良好信誉。 《信息安全管理体系手册》是公司规范内部管理的指导性文件，也是全体员工在产 品设计和销售及对客户的服务过程中必须遵循的行动准则。《信息安全管理体系手册》 一经发布，就是强制性文件，全体员工必须认真学习、切实执行。 本手册2019年4月10日正式实施。 XXXXXXXX 有限公司 总经理：冯克艳 2019 2019年4月10日 02管理者代表授权书 为贯彻执行 GB/T 22080-2016/ISO/IEC 27001 : 2013《信息安全管理体系》，加强 对信息管理体系运行的领导，特授权: 1、授权XXX为公司管理者代表，其主要职责（角色）权限为: 1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息 安全业务风险得到有效控制。 2）向最高管理者报告信息安全管理体系业绩（绩效）和任何改善需求，为最高管 理层评审提供依据。 3）确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意 识在公司内得到形成和提高。 4）在信息安全管理体系事宜方面负责与外部的联络。 2、授权 XXX 为ISMS信息安全管理项目责任人，其职责（角色）和权限为：确 保信息安全管理方的控制措施得到形成、实施、运行和控制。 3、授权各部门主管为信息安全管理体系在本部门的责任人，对 ISMS要求在本部门 的实施负责。 XXXXXXXX 有限公司 总经理：冯克艳 前言 XXXXXXX有限公司《信息安全管理体系手册》（以下简称本手册）依据 GB/T 22080-2016/ISO/IEC 27001 ：201