信息安全管理手册.docVIP

：

xxx有限公司

（技术中心）

信息安全管理手册

(依据ISO/IEC27001：2013)

编号：

状态：受控

编写：体系管理小组

批准：

版本：2.0

生效日期：

分发：各部门

接受部门：各部门

变更履历：

No.

变更原因

变更内容

版本

日期

编写者

审批者

1

目录

TOC\o1-3\h\z\u0.1颁布令 -3-

0.2管理者代表任命书 -4-

0.3关于成立管理体系工作小组的决定 -5-

0.4公司简介 -6-

0.5组织结构 -8-

0.6信息安全方针与目标 -9-

1.0范围 -10-

1.1总则 -10-

1.2适用范围 -10-

1.3删减说明 -10-

2.0规范性引用文件 -11-

3.0术语与定义 -12-

4.0组织环境 -14-

4.1理解组织及其环境 -14-

4.2利益相关方的需求和期望 -14-

4.3管理体系覆盖范围 -14-

4.4管理体系 -15-

5.0领导力 -16-

5.1领导力及承诺 -16-

5.2方针 -16-

5.3角色、职责和权力 -16-

6.0策划 -24-

6.1处理风险和机遇的行动 -24-

7.0支持 -27-

7.1资源 -27-

7.2能力 -27-

7.3意识 -27-

7.4沟通 -28-

7.5文档化的信息 -28-

8.0运行 -30-

8.1 运行计划及控制 -30-

8.2 信息安全风险评估 -31-

8.3信息安全风险处置 -31-

9.0绩效评价 -31-

9.1总要求 -31-

9.2内部审核 -31-

9.3管理评审 -32-

10.0改进 -34-

10.1总要求 -34-

10.2管理改进 -35-

10.3纠正措施 -35-

附1职能分配表 -36-

附2程序文件清单 -39-

附3网络拓扑图 -40-

0.1颁布令

为提高北京xxx有限公司（技术中心）的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2015年10月开展贯彻ISO27001：2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了北京xxx有限公司（技术中心）《信息安全管理手册》。

《信息安全管理手册》是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行动准则，用于贯彻企业的信息安全管理方针、目标，实现信息安全管理体系有效运行、持续改进，体现企业对社会的承诺。

《信息安全管理手册》符合有关信息安全法律、法规要求及ISO27001：2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式批准发布，手册自2015年11月1日起实施。企业全体员工必须遵照执行。

全体员工必须严格按照《信息安全管理手册》的要求，自觉遵循信息安全管理方针，贯彻实施本手册的各项要求，努力实现公司信息安全管理方针和目标。

该体系覆盖范围为:与金融理财系统软件开发、维护，金融理财信息咨询的信息技术服务相关的信息安全管理活动。

批准：

日期：2015年11月1日

0.2管理者代表任命书

为贯彻执行信息安全管理体系，满足ISO27001：2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求，加强领导，特任命xx为我公司信息安全管理者代表。

授权信息安全管理者代表有如下职责和权限：

确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；

负责与信息安全管理体系有关的协调和联络工作；

确保在整个组织内提高信息安全风险的意识；

审核风险评估报告、风险处理计划；

负责组织编写和批准发布程序文件，负责年度培训计划、支持性文件的审批。

主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；

向总经理报告信息安全管理体系的运行情况和所有改进要求，包括内外部审核情况。

本授权书自任命日起生效执行。

批准：