ISMS手册-信息安全管理体系手册

信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》，建立与本公司业务相一致的信息安全与IT服务管理体系，现予以颁布实施。本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理，开展持续改进服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001：2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针，根据ISO20000:2005《信息技术服务管理—规范》和ISO27001：2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表，作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT服务的方针和目标。管理者代表职责：a)建立服务管理计划；b)向组织传达满足服务管理目标和持续改进的重要性；e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新；1．确保按照ISO207001:2005标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT服务管理体系，不断改进IT服务管理体系，确保其有效性、适宜性和符合性。2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告IT服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。3．确保在整个组织内提高信息安全风险的意识；4．审核风险评估报告、风险处理计划；5．批准发布程序文件；6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服务管理目标所应做出的贡献。总经理：日期：信息安全方针和信息安全目标信息安全方针：信息安全人人有责本公司信息安全管理方针包括内容如下：一、信息安全管理机制1．公司采用系统的方法，按照ISO/IEC27001:2005建立信息安全管理体系，全面保护本公司的信息安全。二、信息安全管理组织2．公司总经理对信息安全工作全面负责，负责批准信息安全方针，确定信息安全要求，提供信息安全资源。3．公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系，保证信息安全管理体系的持续适宜性和有效性。4．在公司内部建立信息安全组织机构，信息安全管理委员会和信息安全协调机构，保证信息安全管理体系的有效运行。5．与上级部门、地方政府、相关专业部门建立定期经常性的联系，了解安全要求和发展动态，获得对信息安全管理的支持。三、人员安全6．信息安全需要全体员工的参与和支持，全体员工都有保护信息安全的职责，在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员，应及时调整安全职责和权限。7．对本公司的相关方，要明确安全要求和安全职责。8．定期对全体员工进行信息安全相关教育，包括：技能、职责和意识。以提高安全意识。9．全体员工及相关方人员必须履行安全职责，执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全10．及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。五、风险评估11．根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。12．采用先进的风险评估技术和软件，定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。13．应根据风险评估的结果，采取相应措施，降低风险。六、报告安全事件14．公司建立报告信息安全事件的渠道和相应的主管部门。15．全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任，一旦发现信息安全事件，应立即按照规定的途径进行报告。16．接受信息安全事件报告的主管部门应记录所有报告，及时做出相应的处理，并向报告人员反馈处理结果。七、监督检查17．定期对信息安全进行监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。八、业务持续性18．公司根据风险评估的结果，建立业务持续性计划，抵消信息系统的中断造成的影响，防止关键业务过程受严重的信息系统故障或者灾难的影响，并确保能够及时恢复。19．定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚20．对违反信息安全方针、职责、程序和措施的人员，按规定进行处理。信息安全目标：1.不可接受风险处理率：100%（所有不可接受风险应降低到可接受的程度）。2.重大顾客因信息安全事件投诉为0次（重大顾客投诉是指直接经济损失金额达1万元以上）1信息安全管理手册说明1．1公司简介XX1.1编制依据和目的本手册在遵循ISO9001：2005《信息安全管理体系要求》与ISO/IEC20000《信息技术服务管理－规范》的要求编制而成，包括了ISO27001：2005的全部要求，对附录A的删减见《适用性声明SoA》。手册描述公司的信息安全管理体系的总要求，以确保公司的信息安全管理体系能够达到ISO27001：2005信息安全管理标准的要求；满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务，适用于向客户或认证机构证实，本公司具备提供符合客户需求的IT服务能力和服务质量。本公司的体系程序是手册的支持性文件，是对体系运作的具体描述。1.2适用范围信息安全管理&IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。1．3术语和定义1．3．1本手册应用ISO/IEC20000中的术语及定义。1．3．2本手册应用ISO/IEC27001中的术语及定义。2信息安全管理&IT服务管理手册的管理2．1手册的编制、批准和发布2．1．1按照公司业务发展战略和客户需求，经公司管理者代表批准，技术服务事业部组织相关人员，结合本公司业务特点，根据ISO/IEC20000标准的要求编写。2．1．2《IT服务管理手册》由公司管理者代表批准后发布。2．2手册的分发2．2．1技术服务事业部负责手册的发放、更新、管理与存档。2．2．2公司各部门负责手册的使用和保管。2．3手册的受控状态2．3．1书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。2．3．2当手册内容变更时，“有效文件”形式的手册应及时予以更新和发放。2．3．3“有效文件”形式的文件在更新后，如需保存原来的版本，以便于追溯，则应当用“保留文件”的标识予以区分。2．3．4电子形式的手册由技术服务事业部在工作流转系统中进行管理。2．4手册的变更2．4．1因公司战略调整、客户需求或改进活动等引起的手册内容的变更，按公司总经理指示，技术服务事业部组织相关部门对涉及变更的内容进行更新，并经公司总经理批准后发布。2．4．2更新后的手册，应及时地发放给公司内部原手册持有者，并收回旧版的手册。对电子形式的手册，由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。2．5公司内部手册持有者的责任2．5．1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。2．5．2妥善保管，不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播，如需提供公司以外的第三方参考，应经技术服务事业部提交公司主管副总经理审核后，报公司总经理批准。3公司架构和安全承诺3.1公司行政组织架构总经理商务部生技部综合管理部研发实施质管部质量保证测试市场销售物流财务人力资源采购仓库培训文档3.2公司信息安全管理体系组织架构图注：每个虚线框内为一个信息安全小组，部门的负责人为安全组长，各岗位负责人为该岗位的安全员。总经理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量保证测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会3．3公司IT服务管理职能关系架构图服务部问题管理配置管理变更管理发布管理可用性与连续性管理能力管理管理服务级别管理服务报告业务关系管理信息安全管理供应商管理服务台/事件管理IT财务管理项目经理3.4信息安全承诺◆公司成立安全管理委员会来领导信息安全工作，并确定相应的职责和作用。◆制订信息安全方针和信息安全目标，建立和完善公司的信息安全管理体系。◆提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。◆对公司信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用性，防范对信息的未经授权访问。对公司信息资产进行风险评估，制定风险可接受标准，对公司不能接受的风险进行处置。◆建立业务持续性管理流程。进行业务持续性风险评估，编写、测试并实施业务持续性计划和灾难恢复计划，以保证公司关键业务的连续，不受重大故障和灾难的影响。◆确保公司所有员工都接受信息安全的教育培训，提高信息安全意识。◆保护公司、客户、相关合作方的信息安全。◆建立公司信息安全组织架构，明确信息安全责任，确定报告可疑的和发生的信息安全事故及事件的流程，对违反安全制度的人员进行惩罚。◆建立物理安全和网络安全管理制度，以确保信息的安全性。◆保护公司软件和信息的完整性，防止病毒与各种恶意软件的入侵。◆任何人在未经审批的情况下，禁止将信息资产带离公司。◆公司所有员工都要严格遵守公司的安全方针、程序和制度。◆控制对内外部网络服务的访问，保护网络服务的安全性与可用性。◆对用户账号、口令和权限进行严格管理，防止对信息系统的非授权访问。◆对重要信息进行备份保护，以保证信息的可用性。◆定期对信息安全管理体系进行内审和管理评审。3.5信息安全管理委员会为了加强对信息安全管理体系运作的管理，江苏金马扬名信息技术有限公司公司成立信息安全管理委员会，其职责见下列明细表。信息安全管理职责明细表序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构，负责本单位网络与信息安全重大事项的决策和协调，并对全公司信息安全工作负责。2总经理信息安全第一责任人，制定信息安全方针，对信息安全全面负责。3管理者代表经总经理授权负责建立、实施、检查、改进信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。1.负责管理体系的建立、实施、保持、测量和改进。2.负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改进。3.负责本公司保密工作的管理。4.安全区域的保卫管理部门，负责安全区域的管理。5.负责全公司人员安全管理，包括人员聘用管理，保密协议签署，员工的能力、意识和培训，员工离职管理。6.负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。7.对信息安全日常工作实施动态考核，将信息安全管理作为企业管理的重要工作内容。8.参与涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能；负责我公司信息系统安全日常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范，做好内部培训。备注：以上职能划分，适用所有信息安全管理体系文件。信息安全管理委员会组成人员：姓名部门职务备注3．6服务管理职能说明3．6．1为保证IT