信息安全管理手册.docx

PAGE1

信息安全管理手册

批准人签字

审核人签字

制订人签字

日期：

日期：

日期：

信息安全管理手册

变更履历

序号

版本编号或更改记录编号

变化状态*

简要说明(变更内容、变更位置、变更原因和变更范围)

变更日期

变更人

审核人

批准人

批准日期

*变化状态：C——创建，A——增加，M——修改，D——删除

目的

为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

范围

本手册适用于ISO/IEC27001:20054.2.1a)条款规定范围内的信息安全管理活动。

业务范围：为顾客提供IT信息系统的整体解决方案和运行维护服务、信息系统集成、软件开发，并与最新版本的适用性声明一致

物理范围：北京海淀区中关村南四街4号四号楼南楼

资产范围：与1)所述业务活动及2）物理环境内相关的软件，硬件，人员及支持性服务等全部信息资产；

逻辑边界：公司连接互联网的服务器及相关数据传输的活动；

组织范围：与公司每年确定的公司最新组织机构图一致；

ISO27001：2005条款的适用性与公司最新版本的适用性声明一致。

删减说明：

本信息安全管理手册采用了ISO/IEC27001:2005标准正文的全部内容，对标准的附录A的删减见《信息安全适用性声明(SOA)》。

术语和定义

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

引用文件

下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》

ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》

《信息安全适用性声明(SOA)》

职责和权限

信息安全委员会：是信息安全管理体系的归口领导部门；

信息安全工作小组：是信息安全管理体系维护及管理的管理部门；

信息安全管理体系

总要求

公司依据ISO/IEC27001:2005标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全管理体系，形成文件；本公司全体员工将有效地贯彻执行并持续改进有效性，对过程的应用和管理详见《信息安全管理体系过程模式图》（图1）。

信息安全管理体系是在公司整体经营活动和经营风险架构下，针对信息安全风险的管理体系；

输入

输入

输出

相关方

信息安全的要求和期望

相关方

管理的信息安全

建立ISMS

实施和运行ISMS

保持和改进ISMS

监视和评审ISMS

Plan

Do

Check

Action

图1.信息安全管理体系过程模式图

建立和管理ISMS

建立ISMS，公司应：

a)根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界，包括在范围内任何删减的细节和理由（见一.2.范围部分）。

b)根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS方针，必须满足以下要求：

1)为ISMS目标建立一个框架并为信息安全活动建立整体的方向和原则；

2)考虑业务及法律或法规的要求，以及合同规定的安全义务；

3)在与公司战略和风险管理相一致的环境下，建立和保持ISMS；

4)建立风险评价的准则；

5)总经理（COO）批准发布ISMS方针。

c)定义公司风险评估方法。

信息安全工作小组负责建立《风险评估管理程序》并组织实施。《风险评估管理程序》包括可接受风险准则和可接受水平。

1)识别适用于ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。

2)建立接受风险的准则并确定风险的可接受等级。选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。

注：风险评估具有不同的方法。具体参照国家《信息安全风险评估规范》标准。

3)公司的风险评估的流程

公司制定《风险评估控制程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则