1 信息安全管理手册.pdfVIP

信息安全管理手册信息安全管理手册 信息安全管理手册信息安全管理手册 0 前言0 前言 0 0 前言前言 ＸＸ公司《信息安全管理手册》（以下简称本手册），依据ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要 求》，参照ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。本手册对 本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。 信息安全管理体系涉及本公司生产、营销、服务和日常管理的信息安全管理体系。本手册描述了信息安全的范围、方针、目 标和管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。 本手册适用于ＸＸ公司信息安全管理体系涉及的生产、营销、服务和日常管理的信息系统的信息安全管理活动。 1 范围1 范围 1 1 范围范围 1.1  总则 为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险 进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。 1.2  应用 1.2.1覆盖范围 本《信息安全管理手册》规定了ＸＸ公司信息安全管理体系涉及的生产、营销、服务和日常管理的信息安全管理体系、管理 职责、内部审核、管理评审和信息安全管理体系改进等方面内容。 本《信息安全管理手册》适用于ＸＸ公司信息安全管理体系涉及的生产、营销、服务和日常管理的信息系统的信息安全管理 活动，具体见4.2.2.1条款规定。 1.2.2删减说明 本《信息安全管理手册》采用了ISO/IEC27001:2005标准正文的全部内容，对附录A的删减见《信息安全适用性声明SoA》。 2 规范性引用文件2 规范性引用文件 2 2 规范性引用文件规范性引用文件 下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件，其 随后所有的修改单（不包括勘误的内容）或修改版均不适用于本《信息安全管理手册》，然而，综合管理部应研究是否可使用 这些文件的必威体育精装版版本。凡是不注日期的引用文件、其必威体育精装版版本适用于本《信息安全管理手册》。 ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》 ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》 3 术语和定义3 术语和定义 3 3 术语和定义术语和定义 3.1 术语 ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》、ISO/IEC 2 002:2005《信息技术-安全技术-信息安全 管理实用规则》规定的术语和定义以及下述定义适用于本《信息安全管理手册》。 本组织、本公司、我公司：指ＸＸ公司。 3.2 缩写 ISMS：Information Security Management Systems 信息安全管理体系； SoA:：Statement of Applicability 适用性声明； PDCA:：Plan Do Check Action  计划、实施、检查、改进。 4 管理体系4 管理体系 4 4 管理体系管理体系 4.1  概述 4.1.1 本公司在涉及生产、经营、服务和日常管理活动的信息系统，按ISO/IEC 27001:2005《信息技术-安全技术-信息安全 管理体系要求》规定，参照ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》标准，建立、实施、运行、监 视、评审、保持和改进文件化的信息安全管理体系。 4.1.2 信息安全管理体系使用的过程基于图1所示的PDCA模型。 图1 信息安全管理体系模型 4.2 建立和管理信息安全管理体系 4.2.1 建立信息安全管理体系 4.2.1.1 信息安全管理体系的范围和边界 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括： a) 本公司涉及本行业生产、营销、服务和日常管理的重要信息系统和生产系统； b) 与所述信息系统有关的活动； c) 与所述信息系统有关的部门和所有正式员工，具体的组织范围见附录A（规范性