文档介绍:信息安全管理体系
管理手册
ISMS-M-yyyy
版本号:A/1
受控状态: ■受控□非受控
编制
审核
批准
编写组
审核人A
总经理
yyyy-mm-dd
yyyy-mm-dd
yyyy-mm-dd
日期: 2016年1月8日实施日期: 2016年1月8日
修改履历
版本
制订者
修改时间
更改内容
审核人
审核意见
变更申请单号
A/0
编写组
2016-1-08
定版
审核人A
同意
A/1
编写组
2017-1-15
定版
审核人B
同意
00 目录
00 目录 3
01 颁布令 5
02 管理者代表授权书 6
03 企业概况 7
04 信息安全管理方针目标 9
05 手册的管理 11
06 信息安全管理手册 12
1 范围 12
总则 12
应用 12
2 规范性引用文件 12
3 术语和定义 12
本公司 13
信息系统 13
计算机病毒 13
信息安全事件 13
相关方 13
4 组织环境 13
组织及其环境 13
相关方的需求和期望 13
确定信息安全管理体系的范围 14
信息安全管理体系 14
5 领导力 14
领导和承诺 14
方针 15
组织角色、职责和权限 15
6 规划 15
应对风险和机会的措施 15
信息安全目标和规划实现 18
7 支持 18
资源 18
能力 19
意识 19
沟通 19
文件化信息 19
8 运行 20
运行的规划和控制 20
信息安全风险评估 21
信息安全风险处置 21
9 绩效评价 21
监视、测量、分析和评价 21
内部审核 22
管理评审 23
10 改进 23
不符合和纠正措施 23
持续改进 24
附录A 信息安全管理组织结构图 25
附录B 信息安全管理职责明细表 26
附录C 信息安全管理程序文件清单 28
01 颁布令
为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、法规要求及ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2016年1月8日起实施。企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
**公司**
总经理:总经理
2016年1月8日
02 管理者代表授权书
为贯彻执行信息安全管理体系,满足ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命审核人B 为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
负责与信息安全管理体系有关的协调和联络工作;
确保在整个组织内提高信息安全风险的意识;
审核风险评估报告、风险处理计划;
批准发布程序文件;
主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
本授权书自任命日起生效执行。
**公司**
总经理:总经理
2017年1月15日
03 企业概况
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
这里是公司情况介绍哦
单位地址:单位地址
电话:单位电话
传真:单位电话
邮编:邮编
总经理: 总经理
管代: 审核人A
04 信息安全管理方针目标
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户