信息安全管理手冊

1、文件名稱版本號文件編號機密等級發(fā)布日期生效日期擬制日期審核日期批準日期XXXX信息安全管理手冊創(chuàng)建/變更人變化狀態(tài)變更摘要(章節(jié)/內(nèi)容)版本創(chuàng)建/變更時間批準人變化狀態(tài)：新建，增加，修改,刪除文件修訂履歷目錄1信息安全管理手冊頒布令42信息安全手冊說明和管理52.1說明52.2管理52.2.1編寫52.2.2批準、發(fā)布52.2.3發(fā)放和回收52.2.4修改52.2.5保存63目的64適用范圍65引用標準66術(shù)語和定義67信息安全管理體系67.1總要求67.2建立和管理ISMS77.2.1建立ISMS77.2.2實施和運行ISMS97.2.3監(jiān)視和評審ISMS107.2.4保持和改進 

2、ISMS117.3文件要求117.3.1總則117.3.2文件控制117.3.3記錄控制128管理職責(zé)128.1管理承諾128.2資源管理128.2.1提供資源128.2.2能力、意識和培訓(xùn)139內(nèi)部ISMS審核139.1內(nèi)部審核的要求139.2內(nèi)部審核記錄1410ISMS管理評審1410.1總則1410.2評審輸入1410.3評審輸出1511ISMS 改進1511.1持續(xù)改進1511.2糾正措施1511.3預(yù)防措施1612附則16XXXX信息安全管理手冊1信息安全管理手冊頒布令為防范一切來自內(nèi)部或外部、蓄意或意外的信息安全風(fēng)險，保護XXXX的信息資產(chǎn)，依據(jù) ISO2700

3、1:2005信息安全管理體系要求，XXXX編制了信息安全管理手冊，經(jīng)評審定稿，現(xiàn)予以發(fā)布實施。XXXX依據(jù) ISO27001:2005信息安全管理體系要求建立了信息安全管理體系，以保證XXXX的信息安全目標和方針的實現(xiàn)。本手冊是XXXX信息安全管理體系的核心文件，是實施信息安全管理的綱領(lǐng)和行動準則，XXXX的各個部門要組織全體員工認真學(xué)習(xí)，全面貫徹執(zhí)行，確保信息安全管理體系的有效運行。本手冊可用于對外提供信息安全保證。信息安全管理手冊自年月日起生效，XXXX原有與信息安全管理手冊相違背的文件同時廢止。XXXX年月日2信息安全手冊說明和管理2.1說明信息安全管理手冊依據(jù) IS

4、O27001:2005信息安全管理體系要求并結(jié)合XXXX具體情況編寫而成。在信息安全管理手冊中闡明了XXXX的信息安全方針和目標，對信息安全管理體系做了概括性敘述，是XXXX對外實施信息安全保證、對內(nèi)進行信息安全管理的綱領(lǐng)性文件。信息安全管理手冊所采用的條款與 ISO27001:2005信息安全管理體系要求中的條款編寫一致，并結(jié)合XXXX特點編寫了程序文件、制度規(guī)定和相關(guān)記錄文件，形成XXXX的信息安全管理標準，使信息安全管理體系有章可循、有法可依。信息安全管理手冊適用于XXXX所有的信息資產(chǎn)。2.2管理通過控制信息安全管理手冊的編制、審核、發(fā)放、更改、保管和回收等，確保各部門、各崗

5、位使用信息安全管理手冊的現(xiàn)行有效版本。2.2.1編寫由XXXX信息安全工作小組進行手冊的編寫工作。2.2.2批準、發(fā)布由XXXX信息安全管理委員會批準、簽署發(fā)布和規(guī)定實施日期。2.2.3發(fā)放和回收由行政部負責(zé)手冊的發(fā)放和回收。信息安全管理手冊的持有者若調(diào)離單位或不再從事相關(guān)工作時，行政部應(yīng)及時收回手冊，辦理回收登記和注銷手續(xù)。受控的信息安全管理體系文件發(fā)放須列發(fā)放清單，由信息安全工作主管領(lǐng)導(dǎo)批準。經(jīng)批準的文件持有者或部門，不得擅自對外交流、發(fā)放和外送。非受控文件，可發(fā)給對外交流單位和個人，但須由使用部門申請，行政部批準和登記在冊，方可發(fā)放。2.2.4修改信息安全管理手冊應(yīng)在以下情況發(fā)生時進行更

6、改，程序和方法需按照文件控制程序執(zhí)行。1、單位組織結(jié)構(gòu)有較大變動時；2、單位業(yè)務(wù)系統(tǒng)有較大變動時；3、外部環(huán)境發(fā)生重大變化時；4、國家法律、法規(guī)有重大變化時；5、單位信息安全方針和目標有重大變化時。2.2.5保存持有者應(yīng)愛護并妥善保管好本手冊，保證其完整、清晰，不得遺失、損壞。3目的為了建立、健全本單位信息安全管理體系（簡稱 ISMS），逐步提升單位的信息安全保障能力，確定信息安全方針和目標，對信息安全風(fēng)險進行有效管理，確保全體員工理解并遵照執(zhí)行信息安全管理體系文件，持續(xù)改進 ISMS 的有效性，特制定本手冊。4適用范圍本手冊適用于7.2.1.1條款確定范圍內(nèi)的信

7、息安全管理活動。5引用標準本單位選擇 ISO27001:2005 標準，并結(jié)合各部門業(yè)務(wù)特點和信息安全管理需要建立了信息安全管理體系。信息安全管理手冊引用的標準有：ØISO27001:2005，信息安全管理體系要求ØISO17799:2005，信息安全管理實施細則6術(shù)語和定義本手冊采用 ISO27001:2005信息安全管理體系要求及 ISO17799:2005信息安全管理實施細則中的術(shù)語和定義。7信息安全管理體系7.1總要求按照ISO27001:2005信息安全技術(shù)-信息安全管理體系要求，采用PDCA模式建立信息安全管理體系，同時考

8、慮該體系的實施、維持和持續(xù)改善，確保體系的有效性。7.2建立和管理ISMS7.2.1建立ISMS7.2.1.1ISMS范圍信息安全管理體系（ISMS）適用于位于XXXXX的信息安全管理活動。具體范圍包括：1、單位的所有部門和所有人員。2、單位的所有業(yè)務(wù)系統(tǒng)及其他 IT 系統(tǒng)（xxx系統(tǒng)、XXX系統(tǒng)）。3、單位的所有基礎(chǔ)設(shè)施、硬件設(shè)備、軟件及信息資產(chǎn)。7.2.1.2ISMS 目標提高全員的信息安全意識，積極做好預(yù)防工作，保護單位的信息資產(chǎn)免受非授權(quán)的訪問、修改、泄密和破壞，防止安全事故的發(fā)生，最小化安全事故的影響，保障信息系統(tǒng)安全、持續(xù)的運行。7.2.1.3ISMS

9、 方針為制定符合實際情況的 ISMS 方針，依據(jù)以下方面的要求：1、作為制定 ISMS 目標的框架及為采取信息安全措施建立總的方向與原則。2、考慮單位業(yè)務(wù)發(fā)展、法律法規(guī)要求及其他相關(guān)方信息安全的要求。3、為 ISMS 的建立和維持提供一個組織化的戰(zhàn)略和風(fēng)險管理的基本環(huán)境。4、確定風(fēng)險評估的準則和結(jié)構(gòu)。為了滿足適用法律法規(guī)及相關(guān)方要求，維持業(yè)務(wù)的正常進行，依據(jù)ISO27001:2005標準，建立信息安全管理體系，以保證單位業(yè)務(wù)信息的保密性、完整性和可用性，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。單位的ISMS方針如下：XXXXXXXXXXX

10、XXXXXX為了滿足以上信息安全方針，維持生產(chǎn)和經(jīng)營的正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本單位承諾：1、成立信息安全管理委員會來領(lǐng)導(dǎo)信息安全工作，信息安全管理委員會定期召開會議，對有關(guān)的信息安全重大問題做出決策。2、 清晰識別所有的資產(chǎn)，實施等級標記，對資產(chǎn)進行分級、分類管理，并編制和維護所有重要資產(chǎn)的清單。3、 綜合使用訪問控制、監(jiān)測、審計和身份鑒別等方法來保證數(shù)據(jù)、網(wǎng)絡(luò)、信息資源的安全，并加強對外單位人員訪問信息系統(tǒng)的控制和制約，降低系統(tǒng)被入侵的風(fēng)險。4、 啟動所有操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件的日志功能，定期進行審計并作相應(yīng)的記錄。5、明確全體員工

11、的信息安全責(zé)任，所有員工都必須接受信息安全的教育培訓(xùn)，提高信息安全意識，針對不同崗位，制定不同等級的培訓(xùn)計劃，并定期對各個崗位的人員進行安全技能及安全認知的考核。6、建立安全事件報告、事故應(yīng)答和分類機制，確定報告可疑的和發(fā)生的信息安全事故的流程，并使所有的員工和相關(guān)方都能理解和執(zhí)行事故處理流程，同時妥善保存安全事件的相關(guān)記錄與證據(jù)。7、對用戶權(quán)限和口令進行嚴格管理，防止對信息系統(tǒng)的非法訪問。8、控制對內(nèi)部、外部網(wǎng)絡(luò)服務(wù)的訪問，保護網(wǎng)絡(luò)化服務(wù)的安全性與可用性。9、實施業(yè)務(wù)連續(xù)性計劃，保證XXXX的核心業(yè)務(wù)不受重大故障和災(zāi)難的影響，業(yè)務(wù)連續(xù)性計劃的制定應(yīng)基于風(fēng)險評估的結(jié)果。10、制定完善的數(shù)據(jù)備份

12、策略，對重要數(shù)據(jù)進行備份，數(shù)據(jù)備份定期進行還原測試，備份介質(zhì)與原信息所在場所應(yīng)保持安全距離。11、與外單位的外包（服務(wù)）合同應(yīng)明確規(guī)定合同參與方的安全要求、安全責(zé)任和安全規(guī)定等安全相關(guān)內(nèi)容，并采取相應(yīng)措施嚴格保證對協(xié)議安全內(nèi)容的執(zhí)行。12、在開發(fā)新業(yè)務(wù)系統(tǒng)時，應(yīng)充分考慮相關(guān)的安全需求，并嚴格控制對項目相關(guān)文件和源代碼等敏感數(shù)據(jù)的訪問。13、應(yīng)定期對信息系統(tǒng)進行風(fēng)險評估，并根據(jù)風(fēng)險評估的結(jié)果采取相應(yīng)措施進行風(fēng)險控制。14、應(yīng)識別并滿足適用的法律、法規(guī)和相關(guān)方的信息安全要求，形成正式的文件并定期加以審查。7.2.1.4ISMS策略為了支持ISMS方針的有效執(zhí)行，需在ISMS方針的框架內(nèi)進一步細化和

13、明確安全控制措施的要素、要求和結(jié)果，依據(jù)ISO17799:2005標準，單位制定了信息安全策略，用以指導(dǎo)安全控制措施的執(zhí)行，以及評價安全控制措施的有效性、充分性和適用性。詳細內(nèi)容參見信息安全策略。7.2.1.5風(fēng)險評估方法信息安全工作小組負責(zé)建立信息安全風(fēng)險評估管理程序并組織實施。風(fēng)險評估管理程序包括可接受風(fēng)險準則和可接受水平。該程序的詳細內(nèi)容見風(fēng)險評估程序。7.2.1.6風(fēng)險處理方法對于信息安全風(fēng)險，需考慮控制措施與費用的平衡原則，選用以下適當?shù)娘L(fēng)險處理措施：1、降低風(fēng)險（采用適當?shù)膬?nèi)部控制措施）。2、接受風(fēng)險（不可能將所有風(fēng)險降低為零）。3、避免風(fēng)險（如物理隔離）。4、轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)

14、移給產(chǎn)品或服務(wù)供應(yīng)商、保險單位等）。7.2.1.7選擇控制目標和措施1、 由信息安全管理委員會根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織各部門制定信息安全目標，并將目標分解到各部門。信息安全目標已獲得XXXX信息安全管理委員會的批準。2、控制目標及控制措施的選擇來源于 ISO27001:2005附錄A，具體控制措施可以參考ISO17799:2005信息安全管理實施細則。單位根據(jù)實際信息安全管理的需要，可以選擇標準之外的其它控制措施。7.2.2實施和運行ISMS7.2.2.1信息安全組織機構(gòu)單位管理層決定信息安全組織機構(gòu)和各部門的信息安全職責(zé)，并形成文件：1、由單位

15、管理層和各部門負責(zé)人組成信息安全管理委員會，作為單位的信息安全管理最高機構(gòu)。信息安全管理委員會主席由總經(jīng)理擔任，為信息安全最高責(zé)任者；常務(wù)副主席由單位總經(jīng)理任命，為信息安全管理者代表，無論該成員在其它方面的職責(zé)如何，對本單位的信息安全負有以下職責(zé)：Ø建立并實施信息安全管理體系的必要程序并維持其有效運行；Ø對信息安全管理體系的運行情況和必要的改善措施向信息安全管理委員會或最高責(zé)任者報告。2、單位各部門負責(zé)人為本部門信息安全管理責(zé)任者，全體員工都須按保密承諾的要求自覺履行信息安全保密義務(wù)。信息安全組織機構(gòu)和各部門信息安全職責(zé)的詳細內(nèi)容見信息安全組織建設(shè)規(guī)定。7.2.2.2體系實

16、施和運行為確保信息安全有效實施，對已識別的信息安全風(fēng)險進行有效處理，單位開展以下活動：1、按照信息安全管理體系文件，確定適當?shù)墓芾泶胧?、職?zé)及安全控制措施的優(yōu)先級。2、為實現(xiàn)已確定的安全目標，按照信息安全管理體系中的制度、流程和記錄文件內(nèi)容進行實施。3、實施所選擇的控制措施，以實現(xiàn)控制目標和方針的要求。4、進行信息安全培訓(xùn)，提高全體員工的信息安全意識和能力。5、對體系的運作進行管理。6、對信息安全所需資源進行管理。7、實施控制程序，對信息安全事故進行迅速反應(yīng)。7.2.3監(jiān)視和評審ISMS1、單位通過實施不定期技術(shù)檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控等控制措施并報告結(jié)果；Ø及時發(fā)

17、現(xiàn)信息安全事故和隱患；Ø及時了解信息系統(tǒng)遭受的各類攻擊；Ø使單位各級管理者掌握信息安全活動是否有效，并根據(jù)優(yōu)先級別確定所要采取的措施；Ø積累信息安全方面的經(jīng)驗。2、根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由信息安全管理者代表主持，定期（每半年一次）對信息安全管理體系的有效性進行評審，其中包括信息安全管理范圍、方針、目標及控制措施有效性的評審。3、信息安全工作小組需組織各部門對風(fēng)險處理后的殘余風(fēng)險進行定期評審，以驗證殘余風(fēng)險是否達到可接受的水平，對以下方面變更情況需及時進行風(fēng)險評估：Ø組織機構(gòu)發(fā)生重大變更；Ø信息處理技術(shù)發(fā)生重大變更；

18、16;業(yè)務(wù)目標及流程發(fā)生重大變更；Ø發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅；Ø外部環(huán)境，如法律法規(guī)或信息安全標準發(fā)生重大變更。4、保持上述活動和措施的記錄。7.2.4保持和改進 ISMS單位開展以下活動，以確保 ISMS 的持續(xù)改進：1、實施管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；2、吸取其他組織及本單位安全事故的經(jīng)驗教訓(xùn)，不斷改進安全措施的有效性；3、與信息安全目標及方針進行對比，確保改進達到預(yù)期的效果；4、包括外部信息安全專家、上級主管部門等。如：管理評審會議、內(nèi)部審核報告、內(nèi)部網(wǎng)絡(luò)和郵件系統(tǒng)、法律法規(guī)清單等。7.3文件要求7.3.1總則本

19、單位信息安全管理體系文件包括：1、信息安全管理手冊。2、本手冊要求的業(yè)務(wù)連續(xù)性管理程序、安全事故管理程序等支持性程序。3、為確保有效策劃、運作和控制信息安全過程所制定的流程文檔。4、ISMS 要求的記錄文件。5、相關(guān)的法律法規(guī)和信息安全標準列表。7.3.2文件控制制定信息安全管理體系文件的管理程序，保證信息安全管理體系文件得到以下所需的控制：1、文件的編寫、發(fā)放、更改、作廢等事項得到相應(yīng)授權(quán)的查閱、批準，確保文件是合適的、可行的；2、文件的標識和修訂狀態(tài)清晰、易于識別，確保使用的文件是當前有效版本；3、為了文件的有效性，要定期確認其內(nèi)容是否過時，根據(jù)需要決定保持或修改并再次得到相應(yīng)的

20、批準；4、確保信息安全的外部標準和相應(yīng)法律法規(guī)得到明確的標識和管理。7.3.3記錄控制信息安全管理體系所要求的記錄文件是體系符合標準要求和有效運行的證據(jù)，記錄要易讀、易識別和方便檢索，記錄文件的管理規(guī)定包括以下內(nèi)容：1、明確規(guī)定記錄文件的標識、儲存、保護、檢索、保管、廢棄等事項；2、信息安全管理體系的記錄文件包括 8.2 中所列出的所有過程的結(jié)果及與ISMS相關(guān)的安全事故；3、各部門需采取適當?shù)姆绞酵咨票９苄畔踩涗浳募?管理職責(zé)8.1管理承諾為確保建立、維持并持續(xù)改進信息安全管理體系，信息安全管理委員會特做出以下承諾：1、建立信息安全目標、方針和策略。2、建立信息安全

21、組織并明確職責(zé)。3、通過適當?shù)臏贤ǚ绞?，向全體員工傳達滿足信息安全目標、符合信息安全方針以及法律法規(guī)要求和持續(xù)改進的重要性。4、提供適當?shù)馁Y源以滿足信息安全管理體系的需要。5、對可接受風(fēng)險的級別進行決策。6、實施 ISMS 管理評審。8.2資源管理8.2.1提供資源單位確保提供適當?shù)馁Y源，以滿足以下需求：1、建立、實施和維持 ISMS。2、確保信息安全管理程序支持業(yè)務(wù)流程的要求。3、識別并致力于滿足法律法規(guī)要求及合同規(guī)定的安全義務(wù)。4、切實實施已有的控制措施，保持信息安全的充分性。5、必要時進行評審，并對評審結(jié)果做出適當?shù)姆磻?yīng)。6、需要時，改進信息安全管理體系的有

22、效性。8.2.2能力、意識和培訓(xùn)為提高全員的信息安全意識、確保相關(guān)人員履行信息安全職責(zé)所需的能力，制定并實施以下的管理活動：1、明確各崗位的信息安全職責(zé)和對能力的要求。2、實施信息安全意識和能力的教育、培訓(xùn)，并評價培訓(xùn)的有效性。3、通過宣傳和其它活動使全體員工認識到信息安全職責(zé)的重要性及如何為實現(xiàn)信息安全目標做出各自的貢獻。4、保持以上活動的記錄。各部門的職責(zé)見信息安全組織建設(shè)規(guī)定。9內(nèi)部ISMS審核單位每半年組織一次內(nèi)部審核，以處理 ISMS 規(guī)定的安全目標、控制措施和程序是否：1、符合信息安全標準和有關(guān)法律法規(guī)要求。2、符合已識別的信息安全要求。；3、得到有效實施和保持

23、。4、完成預(yù)期的目標。9.1內(nèi)部審核的要求1、審核計劃需覆蓋整個 ISMS 體系，并得到信息安全管理委員會的批準。2、內(nèi)部審核以本手冊、相應(yīng)的規(guī)章、制度、流程為基準，選定的信息安全員須是了解單位業(yè)務(wù)流程、熟悉安全體系標準并經(jīng)過培訓(xùn)的員工。3、信息安全審計員資格需獲得信息安全管理委員會的批準。4、進行內(nèi)審時，需有計劃的進行以下的事項：Ø審核員的選定、教育與培訓(xùn)；Ø編寫審核計劃，指定審核員（審核員應(yīng)與被審核對象無直接責(zé)任關(guān)系）；Ø準備必要的相關(guān)文件。5、審核中發(fā)現(xiàn)的不符合事項，要向責(zé)任部門報告，由責(zé)任部門明確糾正預(yù)防措施的實施計劃。6、要對該糾正預(yù)

24、防措施的實施計劃的執(zhí)行情況進行跟蹤，確認是否有效實施。7、以上的工作完成后，須經(jīng)信息安全管理委員會確認后，審核才算結(jié)束。8、如果發(fā)現(xiàn)信息安全重大不符合時，或者信息安全管理委員會判斷必要時，可調(diào)整審核計劃。9、對審核的結(jié)果進行適當?shù)膮R總整理，作為管理評審的輸入資料。9.2內(nèi)部審核記錄內(nèi)部審核記錄應(yīng)包括以下內(nèi)容：1、被審核對象范圍、審核日期、審核員、被審核方。2、依據(jù)的文件、具體審核事項及其審查結(jié)果、不符合內(nèi)容和程度(嚴重或輕微及觀察事項)、不符合事項的糾正預(yù)防措施和實施期限。3、糾正預(yù)防措施的實施狀況及其效果、其它必要事項和審核結(jié)束的確鑿證據(jù)。10ISMS管理評審10.1總則信息安全管理委員會為

25、確認信息安全管理體系的適宜性、充分性和有效性，每半年對信息安全管理體系進行一次管理評審。該管理評審應(yīng)包括對信息安全管理體系是否需改進或變更的評價，以及對安全方針、安全目標的評價。管理評審的結(jié)果需形成書面記錄，該記錄按7.3.3條款的要求進行保存。10.2評審輸入在管理評審時，信息安全管理委員會需組織各部門提供以下資料：1、ISMS 體系內(nèi)、外部審核的結(jié)果；2、相關(guān)方的反饋（投訴、抱怨、建議等）；3、可以用來改進 ISMS 有效性的新技術(shù)、產(chǎn)品或程序；4、信息安全目標達成情況，糾正預(yù)防措施的實施情況；5、信息安全事故或事件，以往風(fēng)險評估時未充分考慮到的薄弱點或威脅；6、上次管理評審時決定事項的實施情況；7、可能影響信息安全管理體系變更的事項（標準、法律法規(guī)、相關(guān)方要求等）；8、對信息安全管理體系改善的建議。10.3評審輸出信息安全管理委員會對以下事項做出必要的指示：1、信息安全