XXXX公司信息安全管理体系手册.docVIP

发行版本：A XXXX信息安全管理体系手册 第 PAGE 16页 共 NUMPAGES 17页 PAGE XXXX 信息安全管理体系文件 ISMSM-01-A 信息安全管理体系手册 20XX-XX–XX 发布 20XX-XX–XX实施 XXXX ISO27001:2005信息安全管理体系文件颁布令 为保证公司信息安全，保护客户信息，提高公司整体形象，增强公司的竞争力，创造新的市场机会，公司决定贯彻ISO27001:2005信息安全管理体系国际标准。经过各部门的共同努力，信息安全管理体系的纲领性文件——信息安全管理体系手册，及指导各部门日常运营的信息安全管理体系程序文件经过公司领导及各部门的审核，认为符合公司实际情况，可以作为公司运营过程中对信息安全管控的依据，现批准发布，全体员工必须严格遵照执行。 XXXX 总经理： 20XX年XX月XX日 目 录 1　目的和适用范围 1.1 目的 1.2 适用范围 2　引用标准 3　术语和定义 4　信息安全管理体系（ISMS） 4.1 总要求 4.2 建立和管理ISMS 4.2.1 建立ISMS 4.2.2 实施和运作ISMS 4.2.3监视和评审ISMS 4.2.4保持和持续改进ISMS 4.3 文件要求 4.3.1总则 4.3.2文件控制 4.3.3记录控制 5 管理职责 5.1 管理承诺 5.2 资源管理 5.2.1 提供资源 5.2.2 培训、意识和能力 6 内部ISMS审核 7 ISMS管理评审 7.1 总则 7.2 评审输入 7.3 评审输出 8 ISMS持续改进 8.1 持续改进 8.2 纠正措施 8.3 预防措施 附录-1 按部门分与信息安全管理体系的关系 附录-2 各部门对信息安全管理体系的职责和权限 附录-3 ISMS信息安全目标及指标分解  1 目的和适用范围 1.1 目的 为了建立、健全本公司信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性，特制定本手册。 1.2 范围 本手册适用于4.2.1.1条款确定范围内的信息安全管理活动。 2 引用标准 ISO/IEC27001:2005 《信息技术——安全技术——信息安全管理体系——要求》 ISO/IEC27002:2005 《信息技术——安全技术——信息安全管理实施细则》 3 术语和定义 3.1 术语 本手册中使用术语的定义采用ISO/IEC27001:2005《信息技术——安全技术——信息安全管理体系——要求》中的定义。 3.2 缩写 ISMS：Information Security Management Systems 信息安全管理体系； SOA： Statement of Applicability 适用性声明； PDCA：Plan Do Check Act； 4 信息安全管理体系（ISMS） 4.1 总要求 公司根据ISO/IEC27001:2005标准在整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。ISMS所涉及的过程基于以下PDCA模式： 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.1.1本公司ISMS的范围和周界包括： a) 本公司位于XXXXXXXX的所有部门和所有正式员工； b) 基于XXXXXX服务活动； c) 与b)所述活动相关的应用系统及支持性信息管理系统包含的全部信息资产。 4.2.1.2本公司ISMS方针的制定考虑了以下方面的要求： a) 作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则； b) 考虑公司业务发展、法律法规要求及其他相关方合同涉及的信息安全要求； c) 为ISMS的建立和维持，提供一个组织化的战略和风险管理的基本环境； d) 确定风险评估的准则和结构。 4.2.1.3信息安全管理体系方针 实施风险管理，满足相关方信息安全要求，保证业务连续性。 为了满足适用法律法规及相关方要求，维持生产和经营的正常进行，本公司依据ISO/IEC27001:2005标准，建立信息安全管理体系，以保证本公司生产经营信息的保密性、完整性、可用性，实现业务可持续发展的目的。本公司承诺： a) 在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制