信息安全管理手册.doc

信息安全管理手册 目 录 1、目的和适用范围.................................................5 1.1. 目的..................................................5 1.2.适用范围.............................................5 2、引用标准.......................................................5 2.1. BS7799-2：2002 《信息安全管理体系--规范及使用指南》.......5 2.2. ISO/IEC 17799：2000 《信息技术——信息安全管理实施细则》....5 3、定义和术语......................................................5 3.1. 术语....................................................5 3.2.缩写.....................................................5 4、信息安全管理体系.............................................5 4.1.总要求.................................................5 4.2. 建立和管理ISMS.......................................6 4.2.1. 建立ISMS...............................................6 4.2.1.1.本公司ISMS的范围包括................................6 4.2.1.2. 本公司ISMS方针的制定考虑了以下方面的要求..............6 4.2.1.3. 信息安全管理体系方针..................................6 4.2.1.4.风险评估的系统方法.......................................7 4.2.1.5.风险识别................................................7 4.2.1.6.评估风险.............................................7 4.2.1.7.风险处理方法的识别与评价..............................8 4.2.1.8. 选择控制目标与控制措施................................8 4.2.1.9.适用性声明SoA.........................................8 4.2.2. ISMS实施及运作........................................8 4.2.3. ISMS的监督检查与评审..................................9 4.3. 文件要求................................................10 4.3.1.总则....................................................10 4.3.2.文件控制............................................10 4.3.3.记录控制............................................10 5、管理职责...................................................11 5.1. 管理承诺.................................................11 5.2.资源管理..................................................11 5.2.1. 提供资源..............................................11 5.2.2. 能力、意识和培训......................................11 6、ISMS管理评审................................................11 6.1. 总则...................