管理手册信息安全管理手册27001.pdf

信息安全管理手册

变更履历

版本编号变化简要说明(变更内容、

序

或更改记状态变更位置、变更原因和变更日期变更人审核人批准人批准日期

号

录编号*变更范围)

11.0C创建，全页。

*变化状态：C——创建，A——增加，M——修改，D——删除

目录

01信息安全管理手册发布令4

02信息安全方针批准令5

03任命书7

04公司介绍8

1.目的和范围11

1.1总则11

1.2范围11

1.3删减说明11

2.引用标准11

3.术语和定义11

3.1术语11

3.2缩写11

4.信息安全管理体系11

4.1总要求11

4.2建立和管理ISMS12

4.3文件要求16

5.管理职责17

5.1管理承诺17

5.2资源管理18

5.2.3相关文件18

6.ISMS内部审核18

6.1总则18

6.2内审策划18

6.3内审实施19

7.ISMS管理评审19

7.1总则19

7.2评审输入19

7.3评审输出19

8ISMS改进20

8.1持续改进20

8.2纠正措施20

9.记录21

表A.1受控文件清单22

表A.3信息安全组织机构图27

表A.4信息安全职责说明28

表A.5江苏苏州金商科技发展有限公司新点2008年12月组织机构图31

01信息安全管理手册发布令

本《信息安全管理手册》(以下简称手册)第1.0版是我们公司按照/IEC27001:2005《信息安

全管理体系要求》，并结合我们公司管理工作的实践和公司组织机构的设置而编写的，体现了我们

公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款的要

求，符合我公司的实际运作情况，可作为向客户及第三方组织提供信息安全保证和进行信息安全管

理体系审核的依据，全体员工必须严格遵照执行。

现予以批准，同意发布实施。

总经理：

批准日期：2009-1-5

02信息安全方针批准令

信息安全管理体系方针

1.总体方针：

满足客户要求，实施风险管理，确保信息安全，实现持续改进。

2.诠释：

一、信息安全管理机制

1．我们通过计算机及网络设备提供软件开发业务、IT系统集成业务等服务，因此，信息资产的安全性对我们

来说是非常重要的事情。为了保证各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，我们依

据/IEC27001:2005标准，建立信息安全管理体系，全面保护公司的信息安全，并承诺如下：

一、信息安全管理组织

1.总经理对信息安全全面负责，批准信息安全方针，确定安全要求，提供资源。

2.信息安全管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜

性和有效性。

3.在公司内部建立息安全组织机构：信息安全委员会及信息安全工作小组，负责信息安全管理体系的运行。

4.与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安

全管理的支持。

二、人员安全

1.信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包

含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全

职责和权限。

2.对公司的相关方，如：软硬件供应商、服务商、保卫、消防、清洁等人员，也要明确安全要求和安全职责。

3.定期对全体员工进行信息安全相关教育和培训，包括：技能、职责等，以提高安全意识。

4.全体员工及相关方人员必须履行安全职责，执行安全方针、程序