文档介绍:Hygrand Electronic
信息安全管理手册
版本
文件内容描述
日期
首次发行
2010-09-30
目录
信息安全管理手册 2
1 信息安全管理手册发布令 2
2 信息安全方针批准令 2
总体方针 2
信息安全管理机制 3
信息安全管理组织 3
人员安全 3
识别法律、法规、合同中的安全 3
风险评估 4
报告安全事件 4
监督检查 4
业务持续性 4
信息安全的奖惩 4
3 任命书 5
4 公司介绍 6
5 信息安全管理手册 6
目的和范围 6
总则 6
范围 6
删减说明 7
术语和定义 7
引用文件 7
信息安全管理体系 7
总要求 7
建立和管理ISMS 8
Plan 8
Do 8
Check 8
Action 8
文件要求 14
管理职责 16
管理承诺 16
资源管理 17
ISMS内部审核 18
总则 18
内审策划 18
内审实施 18
ISMS 管理评审 19
总则 19
评审输入 19
评审输出 20
ISMS改进 20
持续改进 20
纠正措施 20
信息安全管理手册
信息安全管理手册发布令
本《信息安全管理手册》(以下简称手册)是我们公司按照 ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》,并结合我们公司管理工作的实践和公司组织机构的设置而编写的,体现了我们公司对信息安全的承诺及持续改进的要求。本手册贯穿了我们公司信息安全管理体系各条款的要求,符合我公司的实际运作情况,可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据,全体员工必须严格遵照执行。
现予以批准,同意发布实施。
上海华冠电子设备有限公司
总经理:
批准日期:
信息安全方针批准令
总体方针
满足客户要求,实施风险管理,确保信息安全,实现持续改进。
信息安全管理机制
公司通过计算机及网络设备提供开发、生产、销售电力符合监控装置、遥控遥测系统和通信电子设备及应用组网、通讯电子设备并提供技术服务,计算机软件、硬件和网络系统,电子产品的加工等服务,信息资产的安全性对公司非常重要。为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据ISO/IEC 27001:2005标准,建立信息安全管理体系,全面保护公司的信息安全,并承诺如下:
信息安全管理组织
1) 总经理对信息安全全面负责,批准信息安全方针,确定安全要求,提供资源。
2) 信息安全管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
3) 在公司内部建立信息安全组织机构:信息安全委员会及信息安全工作小组,负责信息安全管理体系的运行。
4) 与上级部门、地方政府、相关专业部门建立定期及经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
人员安全
1) 信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整或解除安全职责和权限。
2) 对公司的相关方,如:软硬件供应商、服务商、保卫、消防、清洁等人员,也要明确安全要求和安全职责。
3) 定期对全体员工进行信息安全相关教育和培训,包括:技能、职责等,以提高安全意识和能力。
4) 全体员工及相关方人员必须履行信息安全职责,执行信息安全方针、程序和安全制度。
识别法律、法规、合同中的安全
1) 及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
风险评估
1) 根据公司业务信息安全的特点、法律法规的要求,建立风险评估程序,确定风险接受准则。
2) 定期进行风险评估,以识别公司风险的变化。公司或环境发生重大变化时,随时评估。
3) 应根据风险评估的结果,采取相应措施,降低风险。
报告安全事件
1) 公司建立报告安全事件的渠道和相应机构。
2) 全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径进行报告。
3) 接受报告的相应部门/机构应记录所有报告,及时做相应处理,并向报告人员