计算机网络有限公司信息安全管理手册.docxVIP

0前言

三维计算机网络有限公司《信息安全管理体系手册》（以下简称本手册）依据ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》，参照ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。

1范围

1.1总则

为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

1.2应用

1.2.1覆盖范围

应用范围：

本《信息安全管理体系手册》规定了三维计算机网络有限公司信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。具体见4.2.2.1条款规定。

地址范围：

深圳市福田区景田商报路奥林匹克大厦26楼B、C、D号

1.2.2删减说明

本《信息安全管理体系手册》采用了ISO/IEC27001:2005标准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明SoA》。

2规范性引用文件

下列文件中的条款通过本《信息安全管理体系手册》的引用而成为本《信息安全管理体系手册》的条款。凡是标注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本《信息安全管理体系手册》，然而，信息安全管理小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本《信息安全管理体系手册》。

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》

ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》

3术语和定义

3.1术语

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》、ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义以及下述定义适用于本《信息安全管理体系手册》。

本组织、本公司、我公司：指三维计算机网络有限公司。

3.2缩写

ISMS：InformationSecurityManagementSystems信息安全管理体系；

SoA:：StatementofApplicability适用性声明；

PDCA:：PlanDoCheckAction计划、实施、检查、改进。

4信息安全管理体系

4.1总要求

4.1.1要求

本公司在软件开发、经营、服务和日常管理活动中按ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定，参照ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。

4.1.2PDCA模型

信息安全管理体系使用的过程基于图1所示的PDCA模型。

图1信息安全管理体系PDCA模型

4.2建立和管理信息安全管理体系

4.2.1建立信息安全管理体系

4.2.1.1信息安全管理体系的范围和边界

本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界：

本公司信息安全管理体系的范围包括：

a)本公司涉及软件开发、营销、服务和日常管理的业务系统；

b)与所述信息系统有关的活动；

c)与所述信息系统有关的部门和所有员工；

d)所述活动、系统及支持性系统包含的全部信息资产。

业务范围：

桌面软、硬件运维服务；服务器硬件运维服务；网络设备运维服务的信息安全管理。

物理范围：

本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。

本公司信息安全管理体系的物理范围为：

禅城区江湾路三路28号广东（佛山）软件产业园A区10号楼首层103-105室

安全边界详见附录B（规范性附录）《办公场所平面图》。

ISMS的范围是：

计算机应用软件开发和维护、系统集成和后期维护；信息安全，IT资产服务外包，IT运维服务

本《信息安全管理体系手册》采用了ISO/IEC27001:2005标准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明》；

ISMS的边界地理位置图（详见《附录7-公司外部环境、内部环境及网络图》）

4.2.1.2信息安全管理体系的方针和目标

4.2.1.2.1方针

为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信