ISO信息安全管理基础手册.docVIP

信息安全管理手册

版本号：V1.0

目录TOC\o1-3\h\z\u

01颁布令 1

02管理者代表授权书 2

03企业概况 3

04信息安全管理方针目标 3

05手册管理 6

信息安全管理手册 7

1 范围 7

1.1 总则 7

1.2 应用 7

2 规范性引用文件 8

3 术语和定义 8

3.1 本企业 8

3.2 信息系统 8

3.3 计算机病毒 8

3.4 信息安全事件 8

3.5 相关方 8

4 信息安全管理体系 9

4.1 概述 9

4.2 建立和管理信息安全管理体系 9

4.3 文件要求 15

5 管理职责 18

5.1 管理承诺 18

5.2 资源管理 18

6 内部信息安全管理体系审核 19

6.1 总则 19

6.2 内审策划 19

6.3 内审实施 19

7 管理评审 21

7.1 总则 21

7.2 评审输入 21

7.3 评审输出 21

7.4 评审程序 22

8 信息安全管理体系改善 23

8.1 连续改善 23

8.2 纠正方法 23

8.3 预防方法 23

01颁布令

为提升我企业信息安全管理水平，保障企业业务活动正常进行，预防因为信息安全事件（信息系统中止、数据丢失、敏感信息泄密）造成企业和用户损失，我企业开展落实GB/T22080-idtISO27001:《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和连续改善文件化信息安全管理体系，制订了《信息安全管理手册》。

《信息安全管理手册》是企业法规性文件，是指导企业建立并实施信息安全管理体系纲领和行动准则，用于落实企业信息安全管理方针、目标，实现信息安全管理体系有效运行、连续改善，表现企业对社会承诺。

《信息安全管理手册》符合相关信息安全法律、GB/T22080-idtISO27001:《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况，现正式同意公布，自12月23日起实施。企业全体职员必需遵照实施。

全体职员必需严格根据《信息安全管理手册》要求，自觉遵照信息安全管理方针，落实实施本手册各项要求，努力实现企业信息安全管理方针和目标。

总经理：

12月23日

02管理者代表授权书

为落实实施信息安全管理体系，满足GB/T22080-idtISO27001:《信息技术-安全技术-信息安全管理体系-要求》标准要求，加强领导，特任命为我企业信息安全管理者代表。

授权信息安全管理者代表有以下职责和权限：

确保根据标准要求，进行资产识别和风险评定，全方面建立、实施和保持信息安全管理体系；

负责和信息安全管理体系相关协调和联络工作；

确保在整个组织内提升信息安全风险意识；

审核风险评定汇报、风险处理计划；

同意公布程序文件；

主持信息安全管理体系内部审核，任命审核组长，同意内审工作汇报；

向最高管理者汇报信息安全管理体系业绩和改善要求，包含信息安全管理体系运行情况、内外部审核情况。

本授权书自任命日起生效实施。

总经理：

12月23日

03企业概况

04信息安全管理方针目标

为预防因为信息系统中止、数据丢失、敏感信息泄密所造成企业和用户损失，本企业建立了信息安全管理体系，制订了信息安全方针，确定了信息安全目标。

信息安全管理方针以下：

强化意识规范行为

数据保密信息完整

本企业信息安全管理方针包含内容以下：

一、信息安全管理机制

企业采取系统方法，根据GB/T22080-idtISO27001:建立信息安全管理体系，全方面保护本企业信息安全。

二、信息安全管理组织

1．企业总经理对信息安全工作全方面负责，负责同意信息安全方针，确定信息安全要求，提供信息安全资源。

2．企业总经理任命管理者代表负责建立、实施、检验、改善信息安全管理体系，确保信息安全管理体系连续适宜性和有效性。

3．在企业内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，确保信息安全管理体系有效运行。

4．和上级部门、地方政府、相关专业部门建立定时常常性联络，了解安全要求和发展动态，取得对信息安全管理支持。

三、人员安全

1．信息安全需要全体职员参与和支持，全体职员全部有保护信息安全职责，在劳动协议、岗位职责中应包含对信息安全要求。特殊岗位人员应要求尤其安全责任。对岗位调动或离职人员，应立即调整安全职责和权限。

2．对本企业相关方针，要明确安全要求和安全