信息安全管理手册

手 册 控 制

本手册由我公司体系管理小组根据ISO27001:2013《信息安全管理体系规范》要求，结合我公司现状和发展需求制定而成，并经体系管理委员会审核，最终由最高管理者批准颁布开始执行的。

当下列情况发生时，应对本手册进行评审，必要时进行修改。手册修改时，同样应经以上权责人员审查、核准后方可生效：

1）在管理体系运行过程中发现手册存在差错或条文要求不明时；

2）当我公司组织结构发生变化时；

3）当我公司信息安全管理活动发生重大变化时；

4）当引用的ISO27001标准版本修订时；

5）管理评审对体系提出改进要求时；

6）我公司高层领导认为需要进行修改时。

经核准后的手册，依照《文件控制程序》进行分发和使用控制。当文件修改时，也按照《文件控制程序》要求回收旧版文件、发行新文件。管理手册允许进行单页版本修订，修订时，应在修订页中注明修正情形。当本手册其中一页修正次数超过10次时，则应对手册进行整本改版。

如需要对外发布本手册，可依照相关规定进行发布控制。

颁布令

为了加强技术管理并与国际标准接轨，按照ISO27001：2013信息安全管理标准要求，并结合我公司（以下简称“公司”）实际情况，编写了我公司的管理体系文件。

管理体系文件中的《信息安全管理手册》是纲领性文件，《程序文件》是《信息安全管理手册》的支持性文件，作业指导书是《信息安全管理手册》和《程序文件》的支持性文件。管理体系文件是公司管理体系运行所遵循的规则，是质量/服务管理的依据，具有指令性、政策性和制度性的效能。《信息安全管理手册》同时还是公司对外做出的承诺。为此，要求全公司人员自发布之日起认真组织学习、试行，正式生效后必须严格贯彻执行。

管理体系文件2021年1月30日发布，2021年1月30日起正式生效。

特此发布！

                        XX公司 ： 

                                二O二一年一月三十日

任命书

为了确保公司按照ISO27001：2013国际标准建立、实施、完善信息安全管理体系，并将信息安全管理体系纳入公司管理体系，实现产品及服务质量与效益相结合的持续发展目标，兹任命：我公司 XX  为信息安全管理体系负责人

管理体系负责人直接向公司负责人汇报，并在管理体系推进过程中行使以下职责：

全面负责公司按照ISO27001：2013国际标准建立、实施管理体系，并确保管理体系持续有效运行；

在职责范围内保障建立、实施管理体系所必要的资源配置（包括人力、财力、物力等），并向公司负责人汇报管理体系运行绩效，为持续改进提供依据；

全面负责处理管理体系中内部、外部的信息传递与沟通，并负责处理质量或服务事故。

本任命书自即日起生效。

特此任命！

XX公司：

                             二O二一年一月三十日

 

1. 范围

为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

本《信息安全管理体系手册》采用了ISO/IEC27001:2013标准正文的全部内容，对附录A的删减及理由详见《信息安全适用性声明》。

1. 规范性引用文件

下列文件的全部或部分内容在本文件中进行了规范引用，对于其应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。

ISO/IEC 27000，信息技术—安全技术—信息安全管理体系—概述和词汇

1. 术语和定义

ISO/IEC 27000中的术语和定义适用于本标准。

1. 组织环境
   1. 理解组织及其环境

本公司依据《信息安全风险评估管理程序》，建立组织的外部和内部环境，确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题，形成外部和内部问题清单。

1. 1. 4.2 理解相关方的需求和期望

本公司通过建立组织的外部和内部环境确定如下内容：

a) 与信息安全管理体系有关的相关方；

b) 这些相关方与信息安全有关的要求。

注：相关方的要求可能包括法律法规要求和合同义务。

1. 1. 4.3 确定信息安全管理体系的范围

本公司充分考虑如下内容：

a) 在4.1 中提及的外部和内部问题；

b) 在4.2 中提及的要求；

c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性。

确定信息安全管理体系的边界和适用性，建立信息安全管理体系的范围和边界：

a)ISMS的范围是：计算机信息系统集成、应用软件开发

b)ISMS的边界是：

1. 1. 4.4 信息安全管理体系

公司依据ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》建立、实施、保持和持续改进信息安全管理体系。

1. 领导
   1. 领导和承诺

高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：

a) 确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；

b) 确保将信息安全管理体系要求整合到组织的业务过程中；

c) 确保信息安全管理体系所需资源可用；

d) 传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；

e) 确保信息安全管理体系实现其预期结果；

f) 指挥并支持人员为信息安全管理体系的有效实施作出贡献；

g) 促进持续改进；

h) 支持其他相关管理角色在其职责范围内展示他们的领导力。

1. 1.  方针

为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，公司高层管理者建立信息安全方针：

提供满足客户要求的服务。

信息安全方针满足以下要求：

a) 适于组织的目标；

b) 包含信息安全目标（见6.2）或设置信息安全目标提供框架；

c) 包含满足适用的信息安全相关要求的承诺；

d) 包含信息安全管理体系持续改进的承诺。

公司文件化信息安全方针，保持可用性，并在组织内部进行传达，适当时，对相关方可用。

1. 1.  组织角色、职责和权限

高层管理者应确保分配并传达了信息安全相关角色的职责和权限。

高层管理者应分配下列职责和权限：

a) 确保信息安全管理体系符合本标准的要求；

b) 将信息安全管理体系的绩效报告给高层管理者。

注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。

1. 1. 1. 信息安全组织机构

本公司成立信息安全领导机构——信息安全管理小组的职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。

本公司的信息安全职能由信息安全管理小组承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。

本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，履行“5.1领导和承诺”中的相关职责。

信息安全小组由公司负责人、市场部、采购中心、研发中心、交付中心、运维中心、综合管理部、财务部总监组成。

1. 1. 1. 信息安全职责和权限

本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：

建立并实施信息安全管理体系必要的程序并维持其有效运行；

对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或最高责任者报告。

各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。

各部门、人员有关信息安全职责分配见《附录3-信息安全职能分配表》和相应的程序文件（管理标准）、规定及岗位说明书。

1. 规划
   1. 应对风险和机会的措施
      1. 总则

当规划信息安全管理体系时，公司应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：

a) 确保信息安全管理体系能实现其预期结果；

b) 防止或减少意外的影响；

c) 实现持续改进。

公司应规划：

d) 应对这些风险和机会的措施；

e) 如何

1) 整合和实施这些措施并将其纳入信息安全管理体系过程；

2) 评价这些措施的有效性。

1. 1. 1.  信息安全风险评估

公司通过建立公司外部和内部环境，制定《信息安全风险评估管理程序》，定义并应用风险评估过程。信息安全管理小组建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行《信息安全风险评估管理程序》进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。

6.1.2.1建立并保持信息安全风险准则

建立并保持信息安全风险准则，包括

1) 风险接受准则；

2) 执行信息安全风险评估的准则；

定义风险评估的方法，确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果。

6.1.2.2识别信息安全风险

由信息安全管理小组组建风险评估小组，风险评估小组应：

1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；

2) 识别风险负责人；

通过风险识别，形成信息安全风险清单。

6.1.2.3 分析信息安全风险：

1) 评估6.1.2.2中所识别风险发生后将导致的潜在影响；

2) 评估6.1.2.2中所识别风险发生的现实可能性；

3) 确定风险级别；

6.1.2.4 评价信息安全风险；

1) 将风险分析结果同6.1.2.1建立的风险准则进行比较；

2) 为实施风险处置确定已分析风险的优先级。

公司应保留信息安全风险评估过程的文件记录信息。

1. 1. 1. 信息安全风险处置

公司定义并应用信息安全风险处置过程，以：

a) 在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项；

b) 为实施所选择的信息安全风险处置选项，确定所有必需的控制措施；

注：组织可按要求设计控制措施，或从其他来源识别控制措施。

c) 将6.1.3 b）所确定的控制措施与附录A 的控制措施进行比较，以核实没有遗漏必要的控制措施；

注1：附录A包含了一份全面的控制目标和控制措施的列表。本标准用户可利用附录A以确保不会遗漏必要的控制措施。

注2：控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要另外的控制目标和控制措施。

d) 产生《信息安全适用性声明》。适用性声明要包含必要的控制措施（见6.1.3 b）和c）、对包含的合理性说明（无论是否已实施）以及对附录A 控制措施删减的合理性说明；

e) 制定信息安全风险处置计划；

f) 获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。

6.2 信息安全目标和规划实现

公司在相关职能和层次上建立信息安全目标。

信息安全目标应：

a) 与信息安全方针一致；

b) 可测量（如可行）；

c) 考虑适用的信息安全要求以及风险评估和风险处置结果；

d) 被传达；

e) 适当时进行更新。

公司信息安全目标见《信息安全目标》：

公司建立《信息安全目标B4》，明确管理和测量信息安全目标的职责，明确测量的内容和频率要求，并对测量的结果进行评价，识别改进的机会。

1. 支持
   1. 资源

公司确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源，包括资金、人力、设施和技术等资源。

1. 1.  能力

信息安全管理小组制定并实施《人力资源管理程序》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：

a) 确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；

b) 确保人员在适当教育，培训和经验的基础上能够胜任工作；

c) 适用时，采取措施来获得必要的能力，并评价所采取措施的有效性；

d) 保留适当的文件记录信息作为能力方面的证据。

注：例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作；雇用或签约有能力的人员。

1. 1.  意识

公司通过教育、培训等手段，使员工在组织的控制下从事其工作时应意识到：

a) 信息安全方针；

b) 他们对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处；

c) 不符合信息安全管理体系要求可能的影响。

1. 1. 沟通

公司确定有关信息安全管理体系在内部和外部进行沟通的需求，明确以下内容：

a) 什么需要沟通；

b) 什么时候沟通；

c) 跟谁进行沟通；

d) 由谁负责沟通；

e) 影响沟通的过程。

1. 1. 文件化信息

7.5.1 总则

公司制定《文件控制程序》和《记录控制程序》对文件化信息进行控制，公司的信息安全管理体系应包括：

a) 本标准要求的文件化信息；

b) 组织为有效实施信息安全管理体系确定的必要的文件化信息。

7.5.2 创建和更新

创建和更新文件化信息时，应确保适当的：

a) 标识和描述（例如：标题、日期、作者或参考编号）；

b) 格式（例如：语言，软件版本，图表）和介质（例如：纸质介质，电子介质）；

c) 评审和批准其适用性和充分性。

7.5.3 文件记录信息的控制

信息安全管理体系和本标准所要求的文件化信息应予以控制，以确保：

a) 无论何时何地需要，它都是可用并适合使用的；

b) 它被充分保护（例如避免丧失保密性、使用不当或丧失完整性）

对于文件化信息的控制，适用时，组织应处理下列问题：

c) 分发、访问、检索和使用；

d) 存储和保存，包括可读性的保持；

e) 变更控制（例如版本控制）；

f) 保留和处置。

组织为规划和实施信息安全管理体系确定的必要的外部原始文件记录信息，适当时应予以识别并进行控制。访问隐含一个权限决策：仅能查看文件记录信息，或有权去查看和变更文件记录信息等。

1. 运行
   1. 运行的规划和控制

公司应规划、实施和控制满足信息安全要求所需的过程，并实施6.1中确定的措施（详见《信息安全适用性声明》）。组织还应实施这些规划来实现6.2中所确定的信息安全目标。

公司应控制计划了的变更，评审非预期变更的后果，必要时采取措施减缓负面影响。

组织应确保外包的过程已确定，并处于可控状态。

1. 1.  信息安全风险评估

公司依据《信息安全风险评估管理程序》、《纠正和预防措施控制流程》及6.1.2中建立的风险评估执行准则，每年定期执行一次信息安全风险评估，当重大变更被提出或发生时，应不定期执行信息安全风险评估。

组织应保留信息安全风险评估结果的文件记录信息。

1. 1. 信息安全风险处置

公司应实施6.1.2中制定的信息安全风险处置计划，并执行变更了的处置计划。

组织应保留信息安全风险处置结果的文件记录信息。

1. 绩效评价
   1. 监视、测量、分析和评价

公司建立《信息安全目标》，定义测量和评价的方法，明确相关职责，定期评价信息安全绩效和信息安全管理体系的有效性。满足以下要求：

a) 什么需要监视和测量，包括信息安全过程和控制措施；

b) 监视、测量、分析和评价的方法，适用时，确保结果有效；

c) 什么时候应执行监视和测量；

d) 谁应实施监视和测量；

e) 什么时候应对监视和测量的结果进行分析和评价；

f) 谁应分析和评价这些结果。

组织应保留适当的文件记录信息作为监视和测量结果的证据。

1. 1. 内部审核

公司信息安全管理小组按《内部审核管理程序》的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。

公司每年进行一次内部审核，以提供信息确定信息安全管理体系是否：

a) 符合

1) 组织自身信息安全管理体系的要求；

2) 本标准的要求；

b) 得到有效的实施和保持。

公司应按《内部审核管理程序》执行如下活动：

c) 规划、建立、实施和保持审核方案，包括频次、方法、职责、计划要求和报告。审核方案应考虑所关注过程的重要性以及以往审核的结果；

d) 为每次审核定义审核准则和审核范围；

e) 审核员的选择和审核的实施应确保审核过程的客观性和公正性；

f) 确保审核结果报告给相关的管理者；

g) 保留文件记录信息作为审核方案和审核结果的证据。

1. 1. 管理评审

综合管理部应每半年组织进行一次管理评审并召开安全会议，以确保信息安全管理体系持续的适宜性、充分性和有效性，管理评审按《管理评审流程》进行。

管理评审应包括下列方面的考虑：

a) 以往管理评审的措施的状态；

b) 与信息安全管理体系相关的外部和内部问题的变更；

c) 信息安全绩效的反馈，包括下列方面的趋势：

1) 不符合和纠正措施；

2) 监视和测量结果；

3) 审核结果；

4) 信息安全目标的实现；

d) 相关方的反馈；

e) 风险评估的结果和风险处置计划的状态；

f) 持续改进的机会。

管理评审的输出应包括与持续改进机会有关的决定，以及变更信息安全管理体系的所有需求。

组织应保留文件记录信息作为管理评审结果的证据。

1. 改进

本公司依据《纠正和预防措施控制流程》的要求,通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审，持续改进信息安全管理体系的有效性。

1. 1.  不符合和纠正措施

本公司信息安全管理小组处理纠正措施，不符合项的责任部门负责采取纠正措施，以消除与信息安全管理体系要求不符合的原因，以防止再发生。

纠正措施的实施按《纠正和预防措施控制流程》进行。

针对发生的不符合，公司应：

a) 对不符合作出反应，适用时：

1) 采取措施控制并纠正不符合；

2) 处理后果；

b) 为确保不符合不再发生或不在其他地方发生，通过下列方式评价消除不符合原因的措施需求：

1) 评审不符合；

2) 确定不符合的原因；

3) 确定是否存在或可能发生相似的不符合；

c) 实施所需的措施；

d) 评审所采取纠正措施的有效性；

e) 必要时，对信息安全管理体系实施变更。

纠正措施应与所遇不符合的影响相适应。

组织应保留文件记录信息作为下列事项的证据：

f) 不符合的性质以及所采取的所有后续措施；