信息安全管理手册.doc

宁波友通瑞驰信息技术有限公司—运维管理手册 文件编号 2018101503 版本 V1.0 编制 屠韧 编制日期 2018.10.15 审核 审核日期 批准 批准日期 信息安全管理手册 信息安全管理手册 变更记录 日期 版本 编制/修改者 修订类型 描述 注：修订类型：A——增加，M——修改，D——删除 范围 总则 为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。 应用 本信息安全管理手册规定了公司的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。 本信息安全管理手册适用于公司业务活动所涉及的信息系统、资产及相关信息安全管理活动，具体见4.2.2.1条款规定。 规范性引用文件 下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，行政部门应研究是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件、其必威体育精装版版本适用于本信息安全管理手册。 术语和定义 GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。 3.1本公司 指公司所属各部门。 3.2信息系统 指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 3.3计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 3.4信息安全事件 指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。 3.5相关方 关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为：政府、供方、银行、用户、电信等。 信息安全管理体系 4.1概述 本公司在软件开发、经营、服务和日常管理活动中，按GB/T22080-2008 idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定，参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。 信息安全管理体系使用的过程基于图1所示的PDCA模型。 图1 信息安全管理体系模型 4.2建立和管理信息安全管理体系 4.2.1建立信息安全管理体系 4.2.1.1 信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括： a) 本公司涉及软件开发、营销、服务和日常管理的业务系统； b) 与所述信息系统有关的活动； c) 与所述信息系统有关的部门和所有员工； d) 所述活动、系统及支持性系统包含的全部信息资产。 组织范围： 本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本手册附录A（规范性附录）《信息安全管理体系组织机构图》。 物理范围： 本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。 本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所，包含客户方以及公司内部。 4.2.1.2 信息安全管理体系的方针 为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.4条款。 该信息安全方针符合以下要求： a) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则； b) 考虑业务及法律或法规的要求，及合同的安全义务； c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系； d) 建立了风险评价的准则； e) 经最高管理者批准。 为实现信息安全管理体系方针，本公司承诺： a) 在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责 b) 识别并满足适用法律、法规和相关方信息安全要求； c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有