ISMS-A-01 信息安全管理手册.doc

xxx信息服务有限公司 信息安全管理手册 文件编号 ISMS-A-01 文件名称 信息安全管理手册 文件版本 1.0 文件密级 内部文件 发布部门 信息安全工作小组 批准人 生效日期 2018年3月1日 分发范围 xxx信息服务有限公司 本公司对本文件资料享受著作权及其它专属权利，未经书面许可，不得将该等文件资料（其全部或任何部分）披露予任何第三方，或进行修改后使用。 修订历史 版本 日期 修订情况 修订人 1.0 2018年3月1日 建立1.0版本 目录 1 目的 3 2 适用范围 3 3 公司信息安全方针 3 3 信息安全目标 4 4 公司组织架构 4 5 信息安全体系组织架构 4 6 信息安全管理职责 5 7 信息安全管理体系 6 7.1 总要求 6 7.2 建立和管理信息安全管理体系 7 7.3 文件要求 13 8 管理职责 14 8.1 管理承诺 14 8.2 资源管理 14 9 内部信息安全管理体系审核 15 9.1 总则 15 9.2 内审策划 16 9.3 内审员 16 9.4 内审实施 16 10 管理评审 17 10.1 总则 17 10.2 评审输入 17 10.3 评审输出 17 11 信息安全管理体系改进 18 11.1 持续改进 18 11.2 纠正措施 18 11.3 预防措施 19 1 目的 本手册描述xxxx（以下简称公司）的信息安全管理体系的总要求，以确保公司的信息安全管理体系能够达到网络安全法、国家标准信息安全等级保护基本要求、国际标准ISO27001的要求。 通过信息安全管理体系的实施，提高公司全体员工的信息安全意识，保证公司在商业运作过程中的安全性、可持续性，确保公司进行所有商务活动中获得的顾客、隐私、企业专有技术等的信息的安全且可用，提升客户的满意度，提高公司的核心竞争力和抵御安全风险的能力。 2 适用范围 本文件适xxxxx信息服务有限公司所有部门、所有员工。 整个安全管理体系（ISMS）的覆盖范围包括： 信息安全管理体系（ISMS）适用于所有与xxxx服务有限公司业务有关的运维管理、技术支持 服务以及其他支持系统相关的业务活动。 信息安全管理体系的建立，旨在保护本公司所有的信息资产，包括但不限于知识产权、技术资料、操文件、研发成果、产品信息、投资信息、客户数据、市场信息、人事信息、财务信息、商业合同、各类软件硬件设施以及通信和供电等基础设施等。 3 公司信息安全方针 为加强公司全部职员的信息安全意识，贯彻落实信息安全方针及各项控制措施，保护客户及自有的信息资产，积极预防安全事件的发生，安全事件的影响最小化，以此确保业务的持续性，并且赢得客户的信任，提高的竞争力。 重要信息（IT）设备丢失：每年不超过1起； 客户针对信息安全事件的投诉：每年不超过2次； 机密和绝密信息泄漏事件：每年不超过1次； 大面积内网中断时间：每年累计不超过240分钟； 大规模内网病毒爆发：每年不超过2次； 各应急预案演练：每年至少演练1次（在条件具备和许可的前提下）。 4 公司组织架构 5 信息安全体系组织架构 6 信息安全管理职责 为了加强对信息安全管理体系运作的管理，公司成立信息安全委员会，并明确最高管理者、管理者代表及各部门的职责，具体如下： 6.1 信息安全最高领导：总经理，负责以下工作： 负责信息安全规划的审议和决策； 审议信息安全总体方针策略； 负责重大信息安全事件的审议和决策； 总体指导信息安全工作； 为信息安全管理提供资源保障。 保障信息安全所需资源； 审批信息安全重要工作计划和预算； 审批信息安全管理制度； 6.2 信息安全委员会成员：各部门总监，成员均为兼职，负责以下工作： 参与评议信息安全相关的管理制度和各项控制措施； 提出信息安全需求； 落实本部门信息安全控制措施的执行工作； 落实本部门信息安全宣导工作； 协同处理信息安全事件。 审议信息安全工作报告； 审议信息安全风险报告和处理计划； 6.3 信息安全工作小组组长：由“信息安全主管”专人担任，负责以下工作： 协调信息安全部门与各部门之间的工作； 起草和修订信息安全管理制度、明确公司各部门信息安全职责； 起草信息安全规划、预算和重要工作计划； 起草信息安全风险报告； 报告信息安全工作进展； 各部门信息安全工作的落实； 组织解决重大信息安全事件； 提出信息安全需求； 推广信息安全技术控制措施、管理控制措施的落地。 组织信息安全意识培训； 6.4 信息安全工作小组成员：各部门经理、系统管理员、网络管理员、DBA等兼任，负责以下工作： 在整个组织内提高信息安全意识； 落实信息安全责任； 落实信息安全控制措施的执行工作。 落实本部门信息安全宣导工作； 参与评议信息安全