信息安全管理手册-iso27001.docx

信息安全管理体系 管理手册 ISMS-M-yyyy 版本号：A/1 受控状态： ■受控 □非受控 2016年1月8日 修改履历 版本 制订者 修改时间 更改内容 审核人 审核意见 变更申请单号 A/0 编写组 2016-1-08 定版 A/1 编写组 2017-1-15 定版 审核人 同意 审核人 同意 文档来源为 :从网络收集整理 .word 版本可编辑 .欢迎下载支持 00目录 00 目录 错误!未定义书签。 01颁布令 错误!未定义书签。 02管理者代表授权书 错误!未定义书签。 03企业概况 错误!未定义书签。 04信息安全管理方针目标 错误!未定义书签。 05手册的管理 错误！未定义书签。 06信息安全管理手册 错误！未定义书签。 1范围 错误！未定义书签。 1.1总则 错误！未定义书签。 1.2应用 错误！未定义书签。 2规范性引用文件 错误！未定义书签。 3术语和定义 错误！未定义书签。 3.1本公司 错误！未定义书签。 3.2信息系统 错误！未定义书签。 3.3计算机病毒 错误！未定义书签。 3.4信息安全事件 错误！未定义书签。 3.5相关方 错误！未定义书签。 4组织环境 错误！未定义书签。 4.1组织及其环境 错误！未定义书签。 4.2相关方的需求和期望 错误！未定义书签。 4.3确定信息安全管理体系的范围 错误！未定义书签。 4.4信息安全管理体系 错误！未定义书签。 5领导力 错误！未定义书签。 5.1领导和承诺 错误！未定义书签。 5.2方针 错误！未定义书签。 5.3组织角色、职责和权限 错误！未定义书签。 6规划 错误！未定义书签。 6.1应对风险和机会的措施 错误！未定义书签。 6.2信息安全目标和规划实现 错误！未定义书签。 7支持 错误！未定义书签。 7.1资源 错误！未定义书签。 7.2能力 错误！未定义书签。 7.3意识 错误！未定义书签。 7.4沟通 错误！未定义书签。 7.5文件化信息 错误！未定义书签。 8运行 错误！未定义书签。 8.1运行的规划和控制 错误！未定义书签。 8.2信息安全风险评估 错误！未定义书签。 8.3信息安全风险处置 错误！未定义书签。 9 绩效评价 错误！未定义书签。 9.1监视、测量、分析和评价 错误！未定义书签。 9.2内部审核 错误！未定义书签。 9.3管理评审 错误！未定义书签。 10改进 错误!未定义书签。 10.1不符合和纠正措施 错误!未定义书签。 10.2持续改进 错误!未定义书签。 附录A信息安全管理组织结构图 错误！未定义书签。 附录B信息安全管理职责明细表 错误！未定义书签。 附录C信息安全管理程序文件清单 错误！未定义书签。 01颁布令 为提高**公司**的信息安全管理水平，保障我公司业务活动的正常进行， 防止由于信息 系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司开展贯彻 ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、 实施和持续改进文件化的信息安全管理体系，制定了 **公司**《信息安全管理手册》。 《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系 的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效 运行、持续改进，体现企业对社会的承诺。 《信息安全管理手册》符合有关信息安全法律、法规要求及 ISO/IEC27001:2013《信息 技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，自 2016 年1月8日 起实施。企业全体员工必须遵照执行。 全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯 彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。 **公司** 总经理：总经理 2016年1月8日 2016 02管理者代表授权书 为贯彻执行信息安全管理体系，满足ISO/IEC27001:2013《信息技术-安全技术-信息安 全管理体系-要求》标准的要求，加强领导，特任命审核人B为我公司信息安全管理者代表。 授权信息安全管理者代表有如下职责和权限： ?确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管 理体系； 2?负责与信息安全管理体系有关的协调和联络工作； 3?确保在整个组织内提高信息安全风险的意识； 4?审核风险评估报告、风险处理计划； 批准发布程序文件； 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运 行情况、内外部审核情况。 本授权书自任命日