文档介绍：该【用户隐私保护及网络信息安全管理手册 】是由【夜紫儿】上传分享，文档一共【41】页，该文档可以免费在线阅读，需要了解更多关于【用户隐私保护及网络信息安全管理手册 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。深圳市深华世纪科技有限公司文件编号:SH/ISMS-01生效日期:2015/12/8总页数:34页A0版次:编制:罗世国审核:翟雪飞批准:孙建良文件修订履历信息及网络安全管理手册修订日期版本/版次修订描述编制人A0新发布罗世国2015/12/8信息及网络安全管理手册目录01颁布令................................................................402管理者代表授权书......................................................5..............................................................603企业概况04信息及网络安全管理方针目标............................................805手册的管理............................................................9信息及网络安全管理手册..................................................111范围.........................................................................................................................................................................................112规范性引用文件.......................................................123术语和定义.................................................................................................................................................................................................................................................................................................................................................124信息及网络安全管理体系...................................................................................................................................................................................................195管理职责.............................................................................................................................................................................216内部信息及网络安全管理体系审核...................................................................................错误~未定义书签。................................................................................................................22信息及网络安全管理手册7管理评审.................................................................................................................................................................................................................................................................................................258信息及网络安全管理体系改进...................................................................................................................................................................................................................26附录A(规范性附录)信息及网络安全管理组织结构图.........................28附录B(规范性附录)办公大楼平面图.......................错误~未定义书签。附录C(规范性附录)信息及网络安全管理职责明细表.........................27附录D(资料性附录)信息及网络安全管理程序文件清单.......................32附录E(规范性附录)信息安全角色和职责...................................30附录F(规范性附录)组织机构图...........................................35附录G(规范性附录)ISMS职能分配表.......................................36信息及网络安全管理手册01颁布令为提高我公司的信息及网络安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息及网络安全管理体系,制定了深圳市深华世纪科技有限公司《信息及网络安全管理手册》。《信息及网络安全管理手册》是企业的法规性文件,是指导企业建立并实施信息及网络安全管理体系的纲领和行动准则,用于贯彻企业的信息及网络安全管理方针、目标,实现信息及网络安全管理体系有效运行、持续改进,体现企业对社会的承诺。《信息及网络安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年12月8日起实施。企业全体员工必须遵照执行。全体员工必须严格按照《信息及网络安全管理手册》的要求,自觉遵循信息及网络安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息及网络安全管理方针和目标。深圳市深华世纪科技有限公司总经理:2015年12月8日信息及网络安全管理手册02管理者代表授权书为贯彻执行信息及网络安全管理体系,满足GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命翟雪飞为我公司信息及网络安全管理者代表。授权信息及网络安全管理者代表有如下职责和权限:1(确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息及网络安全管理体系;2(负责与信息及网络安全管理体系有关的协调和联络工作;3(确保在整个组织内提高信息安全风险的意识;4(审核风险评估报告、风险处理计划;5(批准发布程序文件;6(主持信息及网络安全管理体系内部审核,任命审核组长,批准内审工作报告;7(向最高管理者报告信息及网络安全管理体系的业绩和改进要求,包括信息及网络安全管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。深圳市深华世纪科技有限公司总经理:2015年12月8日信息及网络安全管理手册03企业概况一、公司概况公司中文名称:深圳市深华世纪科技有限公司深圳市深华世纪科技有限公司成立于2010年12月,总公司在深圳,是一家专业从事手机主机维修,主板芯片维修的高科技公司。主要客户:华为、中兴、联想、朵唯及部分手机方案公司。公司始终严格执行ISO9001质量管理体系,以此为基础,结合具体业务特点和实际管理经验,总结构建了一整套行之有效的管理机制,并培养了一支专业的服务管理团队,尤其在成本、时效、质量等管理方面积累了丰富的实践经验。公司始终坚持为客户提升价值的经营理念,以诚信、优质的服务在行业内赢得了较高的口碑和声誊。二、技术能力1、维修经验丰富对市场主流手机方案公司和设计平台(高通/MTK/展讯等)产品特性了解较多,对应每一家方案公司都培养3-5名专业技术工程师,积累丰富的维修经验。2、人才储备丰富公司与河南电子技术职业学校建立长期合作,设有手机维修培训班,每年从该校招聘两批学员进行手机维修方面的培训,并从中挑选优秀的学员补充到公司的维修队伍中。该培训班每年都能输出100余人专业的主板维修工程师,满足公司规模的快速扩张,以及员工素质提升。3、设施规范齐全公司内部组织结构健全,工序流程科学、合理,检测、维修仪器、设备齐全,有防静电地板、防漏电保护装置、防静电测试仪和专业维修桌、有独立的办公室、维修区域、质检区域、升级区域、库房区、包装区等。三、内部管理简介成本控制方面,主要是通过严格的配件领用登记、核销制度来进行控制,同时将所有维修数据录入系统,以便分机型、分时段对维修数据进行分析,计算每款机型的平均成本,并以此为比较基准,对日常维修过程进行实时监控,及时分析、解决异常问题。为保证客户对时效性的要求,公司设立专人对每天的生产任务进行排产、跟踪,及时对生产物料进行补充、调配,以保证生产计划的顺利完成,最大限度的提升客户的备件周转速度,平均维修时效小于7天。信息及网络安全管理手册质量是维修能力的重要体现,质量是我们的尊严。公司严格按ISO9001体系建立完整的组织和流程制度,建立专门的维修和翻新工艺人员,对工程师进行定期的培训考核,培养员工良好的质量意识和客户意识;建立了完整的IQC、PQC巡检、100,OQC检验,对产品质量进行把关,通过优异的质量保证客户的综合成本最优。综上所述,公司通过多种渠道、多个环节对成本、时效、质量等指标进行控制,并将这些指标纳入维修工程师及管理人员的考核体系中,最大限度的调动员工的主观能动性,确保各项指标的达成。四、合作愿景展望深华世纪与各大手机厂商有较为深厚的合作关系,公司全体员工均期盼与新老客户的进一步业务合作,对于每一次合作我们都深感荣幸,我们希望通过合作共赢的企业理念,踏实进取的发展态度,期盼与广大客户一同做强做大,实现双赢~地址:广东省深圳市光明新区公明办事处玉律社区玉泉路新益工业园第K栋4楼B区电话:0755-66831103传真:0755-26010878邮编:518132信息及网络安全管理手册04信息及网络安全管理方针目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息及网络安全管理体系,制订了信息安全方针,确定了信息安全目标。信息及网络安全管理方针如下:强化意识规范行为数据保密信息完整本公司信息及网络安全管理方针包括内容如下:一、信息及网络安全管理机制公司采用系统的方法,按照GB/T22080-2008idtISO27001:2005建立信息安全管理体系,全面保护本公司的信息安全。二、信息及网络安全管理组织1(公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。2(公司总经理任命管理者代表负责建立、实施、检查、改进信息及网络安全管理体系,保证信息及网络安全管理体系的持续适宜性和有效性。3(在公司内部建立信息安全组织机构,信息及网络安全管理委员会和信息安全协调机构,保证信息及网络安全管理体系的有效运行。4(与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息及网络安全管理的支持。三、人员安全1(信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。2(对本公司的相关方针,要明确安全要求和安全职责。3(定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。4(全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。信息及网络安全管理手册五、风险评估1(根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。2(采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。3(应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件1(公司建立报告信息安全事件的渠道和相应的主管部门。2(全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。3(接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。八、业务持续性1(公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。2(定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。信息安全目标如下:1)确保每年重大信息安全事件(事故)发生次数为零。