信息安全管理基础手册.docVIP

信息安全管理体系

管理手册

ISMS-M-yyyy

版本号：A/1

受控状态：■受控□非受控

编制

审核

批准

编写组

审核人A

总经理

yyyy-mm-dd

yyyy-mm-dd

yyyy-mm-dd

日期：1月8日实行日期：1月8日

修改履历

版本

制定者

修改时间

更改内容

审核人

审核意见

变更申请单号

A/0

编写组

-1-08

定版

审核人A

批准

A/1

编写组

-1-15

定版

审核人B

批准

00目录

TOC\o1-3\h\z\u00目录 3

01颁布令 5

02管理者代表授权书 6

03公司概况 7

04信息安全管理方针目的 9

05手册管理 11

06信息安全管理手册 12

1范畴 12

1.1总则 12

1.2应用 12

2规范性引用文献 12

3术语和定义 12

3.1我司 13

3.2信息系统 13

3.3计算机病毒 13

3.4信息安全事件 13

3.5有关方 13

4组织环境 13

4.1组织及其环境 13

4.2有关方需求和盼望 13

4.3拟定信息安全管理体系范畴 14

4.4信息安全管理体系 14

5领导力 14

5.1领导和承诺 14

5.2方针 15

5.3组织角色、职责和权限 15

6规划 15

6.1应对风险和机会办法 15

6.2信息安全目的和规划实现 18

7支持 18

7.1资源 18

7.2能力 19

7.3意识 19

7.4沟通 19

7.5文献化信息 19

8运营 20

8.1运营规划和控制 20

8.2信息安全风险评估 21

8.3信息安全风险处置 21

9绩效评价 21

9.1监视、测量、分析和评价 21

9.2内部审核 22

9.3管理评审 23

10改进 23

10.1不符合和纠正办法 23

10.2持续改进 24

附录A信息安全管理组织构造图 25

附录B信息安全管理职责明细表 26

附录C信息安全管理程序文献清单 28

01颁布令

为提高**公司**信息安全管理水平，保障我公司业务活动正常进行，防止由于信息系统中断、数据丢失、敏感信息泄密所导致公司和客户损失，我公司开展贯彻ISO/IEC27001:《信息技术-安全技术-信息安全管理体系规定》国际原则工作，建立、实行和持续改进文献化信息安全管理体系，制定了**公司**《信息安全管理手册》。

《信息安全管理手册》是公司法规性文献，是指引公司建立并实行信息安全管理体系大纲和行动准则，用于贯彻公司信息安全管理方针、目的，实现信息安全管理体系有效运营、持续改进，体现公司对社会承诺。

《信息安全管理手册》符合关于信息安全法律、法规规定及ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-规定》原则和公司实际状况，现正式批准发布，自1月8日起实行。公司全体员工必要遵循执行。

全体员工必要严格按照《信息安全管理手册》规定，自觉遵循信息安全管理方针，贯彻实行本手册各项规定，努力实现公司信息安全管理方针和目的。

**公司**

总经理：总经理

1月8日

02管理者代表授权书

为贯彻执行信息安全管理体系，满足ISO/IEC27001:《信息技术-安全技术-信息安全管理体系-规定》原则规定，加强领导，特任命审核人B为我公司信息安全管理者代表。

授权信息安全管理者代表有如下职责和权限：

保证按照原则规定，进行资产辨认和风险评估，全面建立、实行和保持信息安全管理体系；

负责与信息安全管理体系关于协调和联系工作；

保证在整个组织内提高信息安全风险意识；

审核风险评估报告、风险解决筹划；

批准发布程序文献；

主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；

向最高管理者报告信息安全管理体系业绩和改进规定，涉及信息安全管理体系运营状况、内外部审核状况。

本授权书自任命日起生效执行。

**公司**

总经理：总经理

1月15日

03