信息安全管理手册
编制: 日期:2015-04—01 审核: 日期:2015-04—01 批准: 日期:2015—04—01
2015—04—01发布 2015-04-01实施
XXXXXXXXX有限公司发布
第 1 页 共 24 页
密级:秘密 QXX-Q1-MA-01
[版本变更记录] 生效日期 2015—04—01
版本 V1。0 修改说明 创建文件 修改人 复审人 批准人 第 2 页 共 24 页
密级:秘密 QXX-Q1-MA-01
目 录
0.1手册颁布令 ....................................................................... 4 0.2管理者代表任命书 ................................................................. 5 0。3 管理手册说明 .................................................................. 6
0.3。1用途 ...................................................................... 6 0.3。2依据 ...................................................................... 6 0.3。3手册管理 .................................................................. 6 0.3。4评审与更改 ................................................................ 6 0。3.5其他 ...................................................................... 6 0.4 公司概况 ...................................................................... 7 0.5 公司组织结构图 .................................................................. 8 0。6 职责说明 ....................................................................... 9 1目的 .............................................................................. 13 2适用范围 .......................................................................... 13 3术语和定义 ........................................................................ 13 4信息安全管理体系 .................................................................. 13
4。1总体要求 ................................................................... 13 4。2建立和管理ISMS ............................................................ 13 4.3文件体系 .................................................................... 18 5 管理职责 ......................................................................... 19
5.1管理者的承诺 ................................................................ 19 5。2资源管理 ................................................................... 20 6 ISMS内部审核 ..................................................................... 22 7 ISMS管理评审 ..................................................................... 22 8 ISMS的改进 ....................................................................... 22
8。1持续改进 ................................................................... 22 8。2纠正措施 ................................................................... 22 8。3预防措施 ................................................................... 23
第 3 页 共 24 页
密级:秘密 QXX-Q1-MA-01
0。1手册颁布令
颁 布 令
本公司依据GB/T 22080-2008《信息安全管理体系 要求》(idt ISO/IEC27001:2005)编制了《ISMS
管理手册》。
本《ISMS管理手册》是公司信息安全管理体系的总则,是公司实施信息安全管理、增强全员信息安
全意识、开展信息安全活动等必须遵循的文件.本公司将采取有力措施,确保信息安全方针为各级人员所理解和掌握,公司的信息安全目标,以及相关的各种控制措施能在全公司内贯彻执行.
xxxxx有限公司的《ISMS管理手册》发布之日起实施,全体员工及相关人员必须认真遵照执行.
总经理: XX
2014年12月01日
第 4 页 共 24 页
密级:秘密 QXX-Q1-MA-01
0.2管理者代表任命书
任 命 书
为了贯彻执行GB/T 22080-2008《信息安全管理体系 要求》(idt ISO/IEC27001:2005),加强对信息安全管理体系建立、实施保持和改进的领导,特任命XXXX为公司的管理者代表,并赋予《ISMS管理手册》中规定的管理者代表与管理体系有关的相应职责和权限。
总经理:XX
2014 年12月01日
第 5 页 共 24 页
密级:秘密 QXX-Q1-MA-01
0.3 管理手册说明 0。3。1用途
管理手册(或简称为‘手册')是向公司内部和外部提供本公司信息安全管理体系的一致信息的正式文件. 0。3。2依据
本手册依据GB/T 22080—2008《信息安全管理体系 要求》(idt ISO/IEC27001:2005),并结合公司的实际情况编制而成. 0。3.3手册管理
1. 手册为公司的受控文件,由综合部按公司的《文件控制程序》的要求负责统一管理。 2. 手册持有者应对其妥善保管,不得损坏、丢失。
3. 手册持有者调离工作岗位时,应将手册交还管理部,办理核收登记。 4. 未经管理者代表批准,任何人不得将手册提供给公司以外人员. 0.3.4评审与更改
应定期对管理手册的适用性、持续性、有效性进行评审,包括对手册更改需求的评审。
对手册如有修改建议,各部门负责人应及时汇总,并反馈到综合部(部或管理者代表),以便得到适宜的评审和采纳。
手册的更改由管理者代表主持,综合部按《文件控制程序》的规定具体实施。 手册的更改需得到总经理的批准。 手册的更改记录见附录1。 0.3。5其他
本手册的条款由综合部负责解释,如有争议,由管理者代表予以仲裁。
第 6 页 共 24 页
密级:秘密 QXX-Q1-MA-01
0.4
公司概况
xxxxx有限公司于XX年成立,注册资金XX万元.已获得安XXXXXXXX认证。并获得协同办公管理系统等。
公司秉承竭诚奉献社会,以最优、最快的服务回报客户的理念,主要服务于政府、教育、中小型企业等,提供系统集成、IT运维等专业的IT服务。希望通过我们的专业水平和不懈努力,提高客户的信息化程度、信息安全等级.公司不仅仅提供专业的网站策划服务,同时还建立了完善的售后服务体系,为企业发展中遇到的问题和困难提供服务.
公司地址: XXXXX 电话:XXXXXX 传真:XXXXXX 网址:XXXX
第 7 页 共 24 页
密级:秘密 QXX-Q1-MA-01
0。5 公司组织结构图 集成部
总经理 销售部 工程部 售后部 综合部 第 8 页 共 24 页
密级:秘密 QXX-Q1-MA-01
0.6 职责说明 一、销售部岗位职责
1、负责产品的市场渠道开拓与销售工作,执行并完成公司产品年度销售计划。
2、根据公司市场营销战略,提升销售价值,控制成本,扩大产品在所负责区域的销售,积极完成销售量指标,扩大产品市场占有率;
3、与客户保持良好沟通,实时把握客户需求.为客户提供主动、热情、满意、周到的服务
4、根据公司产品、价格及市场策略,独立处置询盘、报价、合同条款的协商及合同签订等事宜。在执行合同过程中,协调并监督公司各职能部门操作。
5、动态把握市场价格,定期向公司提供市场分析及预测报告和个人工作周报。 6、维护和开拓新的销售渠道和新客户,自主开发及拓展上下游用户,尤其是终端用户。 7、收集一线营销信息和用户意见,对公司营销策略、售后服务、等提出参考意见. 8。以你司的特点定发挥销售员的积极性,以你司的定位来定。 二、工程部岗位职责
1、全面负责本部门的各项日常工作;
2、负责制定工程部各种工作流程,使本部门的工作及人员安排更加合理,并对即将发生的问题进行预见并采取必要的措施进行处理;
3、负责审查监理公司的监理规划和监理细则,审批施工单位的施工组织设计和施工方案,并对以上两个单位定期检查其执行情况;
4、负责组织勘测地质报告,施工图的内部审核,参加各项目设计方案会议;
5、负责工程招投标、施工合同、工程成本、面积计算管理,并对部门内的工作质量及其合法性承担直接的管理职责;
6、负责本部门年度、季度、月度工作计划的制订及组织实施; 7、负责组织工程各阶段的分部工程的验收及隐蔽工程的验收;
8、负责组织讨论项目实施进度情况的会议,其中包括对质量事故等问题进行分析并监督相关人员进行查改,对于质量问题引起的投诉及时安排人员进行处理;
9、负责制订项目分阶段的进度计划和进度控制方案及明确工程管理人员的进度管理职责; 10、负责审核施工单位的施工进度总计划和具体单位工程进度计划,审批施工单位分步工程计划和月度进度计划及月度、季度、年度资金使用计划,并督促监理单位和工程具体分管人员的工作;
11、负责定期召开部门例会,对工程部近期的工作进行总结;对照原工作计划检查员工工作执行情况,点评工作绩效;
第 9 页 共 24 页
密级:秘密 QXX-Q1-MA-01
12、负责督促工程管理人员做好工程复核工作以及审核施工单位变更联系单; 13、负责工程成本预算及审核工程款;
14、负责项目总体进度、质量、成本的控制,管理和协调并做好与公司各部门工作的沟通与协调; 15、负责审核工程结算及尾款的计算工作; 16、完成公司领导交办的各项临时工作;
17、负责签发工程部上报公司的各种文件、报表、通知和内部管理规定; 18、负责每月定期向上级领导汇报当月完成和进行的主要工作及下月的主要工作安排;每月25日前完成本月部门工作总结及下月工作计划。
三、集成部岗位职责
1、严格遵守公司管理制度;
2、负责公司新产品,新技术的调研、论证、开发、设计工作. 3、组织实施研发规划;
4、制定研发规范、推行并优化研发管理体系; 5、组建公司的技术平台、评估研发平台投资;
6、研发部门的团队建设、岗位定义、岗位职责要求、员工考核、资源调度; 7、评估产品研发的技术可行性;
8、制定新产品开发预算和研发计划,并组织实施 9、监控每个研发项目的执行过程; 10、组织研发成果的鉴定和评审;
11、汇总每个项目的可重用成果,形成内部技术和知识方面的的资源库; 12、分析总结研发过程的经验和教训,提高研发质量;
13、做好公司标准和专利(知识产权)规划,实施相关标准及申请专利,代表公司参与标准协会或者标准组织;
14、公司未来的业务发展的预研,如产品预研和技术预研; 15、规划组织现有产品的改进; 16、制定并实施研发人员的培训计划;
17、按工作程序做好与销售部等相关部门的横向沟通,及时解决部门之间的争议. 18、完成上级交办的其他工作。 四、综合部岗位职责
综合管理部是公司行政和人力资源、财务主管部门,其工作职责是:
1、组织研究拟订公司经营理念和战略、公司近、中、远期经营计划,提出公司组织机构、岗位编配方案;
第 10 页 共 24 页
密级:秘密 QXX-Q1-MA-01
2、负责建立和督促执行公司各项管理制度,并根据执行情况定期予以修订完善;
3、维持公司正常的办公和生产经营秩序,发现不利于办公和生产经营活动的现象立即予以纠正; 4、负责公司综合文电的起草、审核、印发和流转、公司主要领导的日程和外出交通安排等秘书工作; 5、负责公司文件和档案的收集、归类、整理、登记、保管、借阅和销毁; 6、组织召开公司层级的各类会议,并做好会议记录,督促会议决定的落实; 7、负责公司印章管理
8、负责或牵头组织承办公司各种资质的报批、认证、复审和年检;
9、与政府有关部门及有业务往来的其他单位保持联系,建立良好的工作关系。负责重要来宾的接待工作;
10、根据公司领导指示,协调公司内部有关部门共同完成工作; 11、根据需要,组织参加国内外展览会和交易会;
12、负责构建与维护公司办公和生产经营用计算机网络,保证计算机和网络的安全正常使用,及时纠正违规使用.负责建立、维护和更新公司网站;
13、负责企业文化建设;
14、负责公司固定资产管理,逐项登记造册。负责物业管理费、水电费报批支付。及时安排修复损坏的办公设施、设备,保持办公区域内的环境卫生;
15、统一调配使用公司公务用车,控制油料和车辆维修等车辆使用经费支出,加强司机安全行车教育; 16、全面负责员工招聘、培训、考核、奖惩、调整晋升、离职等人力资源管理工作。
17、贯彻执行《会计法》及国家有关各项法规和规章制度.严格执行国家的《企业会计准则》、和上级的《会计核算办法》、《投融资资管理办法》.
18、制定企业财务管理的各项规章制度并监督执行。
19、配合协助企业年度目标任务的制订与分解,编制并下达企业的财务计划,编制并上报企业年度财务预算,指导企业司的财务活动。
20、负责企业的财务管理、资金筹集、调拨和融通,制定资金使用管理办法,合理控制使用资金. 21、负责成本核算管理工作,建立成本核算管理体制系,制定成本管理和考核办法,探索降低目标成本的途径和方法.
22、负责企业网上银行的安全与正常运营,负责下属各企业应上缴费用、下达与收缴工作. 23、负责企业的资产管理、债权债务的管理工作,参与企业的各项投资管理。
24、负责企业年度财务决算工作,审核、编制上级有关财务报表,并进行综合分析。 25、负责企业的会计电算化管理工作,制定相关规章制度,保证会计信息真实、准确和完整。 26、负责企业的纳税管理,运用税收政策,依法纳税,合理避税。
第 11 页 共 24 页
密级:秘密 QXX-Q1-MA-01
27、负责财务会计凭证、账簿、报表等财务档案的分类、整理和移交档案。
28、根据企业《财务总监管理办法》有关条款规定,对派往各股份公司的财务总监的工作进行管理和考核。
第 12 页 共 24 页
密级:秘密 QXX-Q1-MA-01
1目的
为了建立、健全公司的信息安全管理体系,实现xxxxx有限公司的信息安全方针和目标,对信息安全风险进行更有效地管理,确保全体员工理解并执行信息安全管理体系文件、持续改进管理体系的有效性,特制定本手册. 2适用范围
本手册适用于xxxxx有限公司信息安全管理体系涉及的所有人员和公司的全部重要信息资产及过程。 3术语和定义
GB/T22080-2008 《信息技术-安全技术-信息安全管理体系要求》规定的术语和定义适用于本手册. ISMS: Information Security Management Systems 信息安全管理体系 SOA: Statement of Applicability 适用性声明
PDCA:Plan Do Check Action 计划、实施、检查、改进. 4信息安全管理体系
4。1总体要求
本手册是公司在整体业务活动和所面临风险的环境下规定如何建立、实施、运行、监视、评审、保持和持续改进ISMS的文档。公司运用GB/T22080 图1所示的PDCA模型建立和管理ISMS。
4.2建立和管理ISMS
4。2。1建立ISMS
4。2.1.1确定ISMS范围
根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界,包括在范围内任何
第 13 页 共 24 页
密级:秘密 QXX-Q1-MA-01
删减的细节和理由(见《适用性声明》)。
公司ISMS的范围和边界包括: 1) 业务范围: 2) 物理范围: 4.2.1.2确定ISMS方针
信息安全方针必须反映企业的意愿,通过总经理的批准,并且能够传达给所有员工和外部各方。 信息安全方针是:
“充分发挥每一位员工的个性和创造力,创造让 每位员工都能感受到自身价值的企业文化。在此基础上,我们以先进 的信息通信技术回报客户的信赖和期待.为实现便捷舒适,繁荣丰富 的社会贡献自己的力量.”
着眼于公司长期持续稳定的发展,合法保护公司自助知识产权,有效控制公司各类信息。 杜绝机密信息泄露;
控制在任何情况下不发生导致业务中断的信息安全事故。
在发生重大不可抵抗力的灾难事件时可迅速有效恢复与顾客有关的运营 信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标。 4.2.1.3确定风险评估方法
为了能够顺利进行风险评估,应根据以下方面进行; 1) 识别适合ISMS要求的风险评估方法;
2) 《信息安全风险评估程序》中定义风险接受的准则和可接受的风险级别; 3) 《信息安全风险评估程序》中要包含比较的和可再现的风险评估方法。 4。2。1.4识别风险
应对公司的信息资产进行梳理,并且根据以下几个方面进行风险识别. 1) 识别ISMS范围内的信息资产及其责任人;
2) 根据《信息安全风险评估程序》及《信息标识与处理程序》对信息资产进行分类分级; 3) 识别信息资产所面临的威胁; 4) 识别可能被威胁利用的脆弱性;
5) 识别丧失保密性、完整性和可用性可能对信息资产造成的影响。 4。2。1。5分析和评价风险
公司根据以下流程来进行风险评估。 1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全侵害肯能造成的对公
司的影响;
2) 针对主要的威胁和脆弱性,结合当前所实施的控制措施,对信息资产产生影响的可能性; 3) 估计风险的级别;
4) 根据所建立的风险接受的准则,确定是否接受风险/降低风险/避免风险/转移风险。
第 14 页 共 24 页
密级:秘密 QXX-Q1-MA-01
4。2。1。6识别和评价风险处理的可选措施
对识别的风险,根据风险评估的结果,从下面4个选项来进行风险评价; 1) 对识别的风险采取适当的控制措施,降低风险到可接受级别;
2) 在明显满足公司的信息安全方针和条款中定义的风险接受的准则条件下,有意识的客观的接受风
险。 3) 避免风险;
4) 将相关业务风险转移到其他地方,如:供应商、其他相关者。 4。2。1.7为处理风险选择控制目标和控制措施
选择的控制目标和控制措施应满足风险评估和风险处理过程中所识别的要求,并考虑条款中接受风险的准则及法律和合同要求。
4.2。1。8获得管理者对建议的残余风险的批准
总经理确认信息安全总负责人上报的残余风险和风险处理计划后,批准并下达整改指示。 4.2。1.9获得管理者对实施和运行ISMS的授权
信息安全总负责人在得到管理者的批准后,开始实施和运行ISMS。 4。2。1.10准备适用性声明
根据选择的控制措施和控制目标,形成适用性声明文档。 4。2。2实施和运行ISMS
4。2。2。1制定风险处理计划
为了能够得到管理者的支持,要根据风险评估的结果、业务要求和法律法规的要求,来确定风险处理的优先顺序,制定风险处理计划。制定《信息安全风险处理计划》。 4。2.2。2实施风险处理计划
实施风险处理计划要注意以下事项:
1) 合理安排资金的分配;
2) 实施角色和职责分配要明确; 3) 基于风险处理计划进行进度管理;
4) 实施结束的时候,要确认实施效果并汇报结果。
第 15 页 共 24 页
密级:秘密 QXX-Q1-MA-01
4。2.2。3实施所选择的控制措施
要把风险处理的控制措施的内容在全体员工中进行宣贯,以确保控制措施的顺利实施。为达到控制目标,要在全体员工中贯彻执行控制措施;实施控制措施的程序不完备的时候,要进行评审修订,根据制定的程序,实施控制程序。
4。2.2.4制定控制措施有效性的测量方法和评价
制定控制措施有效性的测量方法,对已实施的控制措施进行评价,并把结果汇报给信息安全总负责人。制定《信息安全控制措施测量程序》,并在各部门中开展实施,把有效性的测量结果作为管理评审的输入。 4.2。2。5实施培训和意识教育
制定ISMS相关的培训计划,并得到信息安全总负责人的批准,除了全员的教育培训,各部门根据需要,要在部门内开展教育并记录。 4.2.2。6管理ISMS的运行
为保证ISMS的准确运行,应制定ISMS年度计划,根据ISMS年度计划进行推进和进度管理.
ISMS的日常运行中,信息安全总负责人要指示相关人员定期召开项目进度报告会,确认ISMS的运行状况,并解决相关问题。 4。2。2。7管理ISMS的资源
明确ISMS运行,保持、改进所需的资源,资源管理参照本手册内容执行,ISMS运行所需的资源要定期进行评审修订。
4。2。2。8实施能够迅速响应信息安全事件的控制措施
检测到安全事件以及遭遇到安全事件时,要根据《信息安全事件管理程序》中规定的汇报程序,迅速进行汇报并采取相应的处理措施。 4.2.3监视和评审ISMS
4。2。3。1监视和评审程序及其他控制措施的执行
根据以下几个方面来执行监视和评审程序及其他控制措施.
1) 为使每位员工能迅速检测到过程运行结果中的错误,要制定日常检测项目并督促执行。
2) 对于试图和得逞的安全违规安全事件,部门安全主管要让当事人迅速做出汇报,风险识别后汇报
信息安全总负责人。
3) 信息安全总负责人要指示信息安全推进工作组确定ISMS的建立、运行、保持、改进所导入的安
全活动是否被如期执行,在ISMS管理评审的时候由其负责向总经理汇报。
ISMS审核组长从预期效果、有效性、守法性等角度进行ISMS的内部审核,并且把结果汇报给信
第 16 页 共 24 页
密级:秘密 QXX-Q1-MA-01
息安全总负责人。
4) 为了能容易检测出安全事态,部门安全主管和信息安全推进工作组要制定检测指标,帮助检测安
全事态并预防安全事件。
5) 各部门安全主管和信息安全推进工作组要确定解决安全违规的措施是否有效,是否有必要追加控
制措施,有必要时,切实实施追加的控制措施。 4。2。3。2 ISMS有效性的定期评审
在ISMS管理评审之前,信息安全推进工作组要进行ISMS有效性的定期评审,并做出汇报。 4.2。3。3控制措施有效性的测量
信息安全推进工作组为了验证安全要求是否被满足,要委托各部门进行控制措施有效性的测量,然后汇总整理所有的测量结果,信息安全总负责人批准后,负责在ISMS管理评审的时候进行汇报。 4。2.3。4残余风险和可接受的风险级别的评审
信息安全推进工作组要每年进行评审,在风险评估之前,通过考虑各方面的变化,对残余风险和已确定的可接受的风险级别进行评审。评估结果向信息安全总负责人汇报,然后由信息安全总负责人提交总经理批准。
4。2.3。5 ISMS内部审核的实施
ISMS内审员按照本手册规定的时间及内容对ISMS进行内部审核,并形成报告,在ISMS管理评审中进行汇报。
4。2.3。6 ISMS管理评审的实施
按照本手册规定的内容进行ISMS的管理评审. 4。2.3。7安全计划的更新
信息安全推进工作组要对各部门监视和评审中检测出的结果进行讨论,如果ISMS年度计划中的内容有必要变更的话,要经信息安全总负责人的批准后实施更新,然后在各部门开展执行。 4.2.3.8措施和事件的记录
信息安全总负责人要指示部门安全主管和信息安全推进工作组根据以下内容进行记录: 记录可能影响ISMS有效性的措施和事态; 记录可能影响ISMS执行情况的措施和事态。
第 17 页 共 24 页
密级:秘密 QXX-Q1-MA-01
4.2。4保持和改进ISMS
在信息安全总负责人批准的基础上,部门安全主管为确保ISMS的充分性和有效性,要保持ISMS的运行并不断地进行改进。 4.2.4。1 措施和事件的记录
公司员工,根据以下的具体程序实施已识别的ISMS改进措施。 1) 识别应该被ISMS采纳的改进措施;
2) 与相关者讨论被识别的改进措施以达成一致的意见; 3) 实施已识别的ISMS改进措施。 4。2。4。2 采取纠正和预防措施
公司员工根据以下的具体程序采取适宜的ISMS保持、改进所必须的纠正和预防措施。 1) 纠正措施根据本手册8。2内容进行; 2) 预防措施根据本手册8。3内容进行;
3) 信息安全总负责人、部门安全主管从其他组织吸取安全经验教训,收集纠正和预防措施的相关情报
并付诸于实践;
4) 公司员工要致力于保持和改进ISMS所必须的安全技术的学习。 4.2.4。3 与利益相关方沟通和改进措施
公司员工在跟所有的利益相关方传达和沟通已实施的或即将实施的措施和改进内容时,要注意以下方面的内容.
1) 要向所有的利益相关方传达与现状相适应的改进措施; 2) 必要时,要与所有的利益相关方一起商讨今后的改进措施. 4.2。4。4 确保改进达到了预期目标
在ISMS管理评审和部门的项目实施例会上,信息安全总负责人要听取关于改进目标和改进内容的汇报,确保改进达到了预期效果. 4。3文件体系
4。3.1 ISMS文件
文件应包括管理决策记录,以确保所采取的措施符合总经理的决定和方针,还应确保记录的结果是可重复产生的。
并且,文件应该能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果,并进而回溯到ISMS方针和目标之间的关系.
文件层次如下:
1) 一级文件:是公司在ISMS方面的行动纲领和方针性文件.包括:本手册、《信息安全管理体系职
第 18 页 共 24 页
密级:秘密 QXX-Q1-MA-01
责》、《适用性声明》
2) 二级文件:是建立ISMS和过程管理方法的基础,其中规定了公司在信息安全活动中所要遵守的
重要原则和实施程序等。包括:《信息安全风险评估程序》、《内部审核程序》、《文件控制程序》、《记录控制程序》等。 3) 三级文件:是二级文件在各部门的的本地化和ISMS运行过程中产生的一些事务性管理文件.包括
具体的使用手册、指南等。
4) 四级文件:是ISMS运行过程中产生的各种记录性文件,如会议记录、培训记录、内部审核记录
等。 4.3。2文件管理
ISMS所要求的文件应予以保护和控制,符合ISMS的要求,并持续改进。应规定以下方面所需的管理措施:
1) 文件发布前得到批准,以确保文件是适当的; 2) 必要时对文件进行评审、更新并再次批准; 3) 确保文件的更改和现行修订状态得到标识; 4) 确保在使用处可获得使用文件的相关版本; 5) 确保文件保持清晰、易于识别;
6) 确保文件对需要的人员可用,并依据文件适用的类别程序进行传输、储存和最终销毁; 7) 确保外来文件得到识别; 8) 确保文件的分发得到控制; 9) 防止作废文件的非预期适用.
文件管理的具体内容参考《文件控制程序》进行。 4.3。3记录管理
记录应建立并加以保持,以提供符合ISMS要求和有效运行的证据。记录应加以保护和控制.ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录管理的内容详见《记录控制程序》。 5 管理职责
5.1管理者的承诺
总经理对ISMS的规划(P),实施(D)、检查(C)、处置(A)需提供必要的承诺和资源,并且为公司员工提供执行ISMS职责所必须的教育培训。
对建立、实施、运行、监视、评审、保持和改进ISMS的充分性和有效性的以下活动,总经理要提供必要的承诺。
5.1.1 评审ISMS的基本方针
每年一次,对本手册的制定和评审进行指示和批准.
第 19 页 共 24 页
密级:秘密 QXX-Q1-MA-01
5。1.2 制定ISMS的基本目标
为了加强ISMS活动和信息安全,总经理要下达以下指示: 1) 每年一次,让部门安全主管制定部门的安全目标;
2) 信息安全部门主管要把制定的安全目标作为本部门的课题,在本部门员工内宣贯;
3) 信息安全推进工作组制定年度计划,向信息安全总负责人汇报,信息安全总负责人根据年度计划
管理ISMS的运行。 5.1.3 建立信息安全的角色和职责
为确保信息安全,明确必要的角色和相应的职责,并组建相应的体制结构。 1) 任命管理ISMS运行的信息安全总负责人;
2) 任命确保ISMS充分性和有效性的ISMS审核组长;
3) 制定ISMS的建立、保持、改进所需的体制结构的文档和定期评审; 5。1.4向公司传达适宜的要求和持续改进的重要性
对全体员工,以下的事项要进行传达贯彻: 1) 达成信息安全目标的重要性; 2) 适宜的信息安全方针的重要性; 3) 履行法律责任的重要性; 4) ISMS持续运行的重要性。
5。1.5为建立、实施、运行、监视、评审、保持和改进ISMS提供足够的资源
公司应确保并提供本手册5.2.1项规定的各种资源。 5.1.6决定接受风险的准则和风险的可接受级别
参考《信息安全风险评估程序》程序实施; 5。1.7确保ISMS内部审核的执行
每年,ISMS内审组长要根据《内部审核程序》制定内部审核计划,督促内部审核的执行,并且要确认内审的结果。 5。2资源管理
5.2.1资源提供
为了实施,保持公司的ISMS,并持续改进其充分性和有效性,公司应确保并提供所需的资源。
第 20 页 共 24 页
密级:秘密 QXX-Q1-MA-01
5。2。1。1建立、实施、运行、监视、评审、保持和改进ISMS
组建建立、实施、运行、监视、评审、保持和改进ISMS的所需人员,确保ISMS运行,保持和改进所需的费用。
5。2。1。2确保信息安全程序支持业务要求
确认业务要求,制定相应的信息安全操作程序,确保实施这些程序所需的人员和费用。 5.2.1.3识别和满足法律法规要求以及合同中的安全义务
确保制定《合规性控制程序》所需的人员以及实施相应的控制措施。 5.2.1.4通过正确实施所有的控制措施保持适当的安全
基于适用性声明,确保为实施所采用的控制措施所需的人员和费用,风险处理计划、纠正计划中所需要的资源投入和实施。
5.2。1.5必要时进行评审,并适当响应评审的结果
评审基于安全事态,安全事件以及误操作等的信息安全经验中采取过的控制措施程序,确保评审控制程序所需的人员和费用。
5。2。1.6在需要时,改进ISMS的有效性
在发现ISMS缺陷、缺点时,为实施改进措施所需的人员和费用的确保. 5.2.2培训、意识和能力
为了达到ISMS目标,信息安全总负责人应通过以下方式,让公司的所有员工和相关人员意识到信息安全活动的适当性和重要性,并确保所有负担ISMS职责的人员具有执行任务的能力。 5.2。2.1评价所提供的培训和所采取的措施的有效性
信息安全部门主要要向信息安全总负责人汇报本部门员工的能力培训结果,信息安全推进工作组汇总部门的培训结果,向信息安全总负责人汇报,信息安全总负责人评价是否达到培训目标。 5。2。2.2培训结果的记录
部门安全主管要管理本部门的教育、培训、技能、经理和资格的培训记录。
第 21 页 共 24 页
密级:秘密 QXX-Q1-MA-01
6 ISMS内部审核
为确定ISMS的控制目标、控制程序、过程和程序是否满足要求,公司应该按照下述内容进行内部审核;
1) 公司建立并实施《内部审核程序》,明确审核的目的、体制、程序等内容,确保公司的ISMS的符
合性和有效性,符合已识别的信息安全要求;
2) 审核组长负责监督内部审核的进行,并将审核情况报告信息安全总负责人;
3) 公司按计划的时间间隔组织内部审核,审核计划的安排应考虑部门的重要性及以往的执行情况; 4) 应安排具备审核员资格的人员进行审核,审核员不应审核自己部门的工作,以确保审核的公正性
和客观性;
5) 受审核部门应采取适当的措施,以消除发现的不符合项;
6) 审核员应对所有采取措施的情况进行跟踪验证,确保不符合项的结案; 7) 有关审核的所有记录应由信息安全战略推进工作组进行保存。 详细请参考《内部审核程序》执行。 7 ISMS管理评审
公司应按照下述内容进行管理评审: 1) 公司建立并实施《管理评审程序》,规定每年至少一次组织公司各部门进行评审组织的ISMS,以确
保其持续的适宜性、充分性和有效性;评估ISMS改进的机会和变更需要,包括信息安全方针和信息安全目标;
2) 管理评审时总经理对ISMS运作情况的检查和评价,具体评审内容和评审输入参见《管理评审程
序》.
3) 公司可以采取会议或者其他形式进行管理评审,评审的结果应形成管理评审报告,报告内容即评审
输出参见《管理评审程序》;
4) 管理评审报告由信息安全战略推进工作组编制和存档,经信息安全总负责人批准后发生往各部门。 详细内容请参考《管理评审程序》执行。 8 ISMS的改进
8.1持续改进
持续改进是ISMS得以持续保持其有效性的保证,公司在以下方面都要体现持续改进: 1) 信息安全方针; 2) 信息安全目标; 3) 审核结果;
4) 监控事件的分析; 5) 纠正措施; 6) 预防措施; 7) 管理评审。 8.2纠正措施
公司制定并实施《纠正和预防控措施控制程序》,针对发现的不符合项,采取措施,消除不符合项的原因,并防止不符合项的再次发生.
第 22 页 共 24 页
密级:秘密 QXX-Q1-MA-01
对纠正措施的实施和验证按照《纠正和预防措施控制程序》规定的步骤进行。 将重大纠正措施提交管理评审讨论。
详细内容请参考《纠正和预防措施控制程序》执行. 8.3预防措施
公司制定并实施《纠正和预防措施控制程序》,针对潜在的不符合项,采取措施,消除不符合项的原因,并防止不符合项的发生。
对预防措施的实施和验证按照《纠正和预防措施控制程序》规定的步骤进行。 将重大预防措施提交管理评审讨论。
公司应识别变化的风险,并通过关注变化显著的风险来识别预防措施的要求。预防措施的优先级应基于风险评估结果来确定。
详细内容请参考《纠正和预防措施控制程序》执行。
第 23 页 共 24 页
密级:秘密 QXX-Q1-MA-01
附录一 程序文件清单 序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
文件编号 信息安全管理体系职责 适用性声明 信息安全风险评估程序 信息安全控制措施测量程序 文件控制程序 记录控制程序 内部审核程序 管理评审程序 纠正和预防措施控制程序 信息标识与处理程序 信息安全事件管理程序 合规性控制程序 文件名称
第 24 页 共 24 页
因篇幅问题不能全部显示,请点此查看更多更全内容