HXZN-ISMS-A-01信息安全管理手册【参考】.docVIP

宏祥智能科技有限公司 信息安全管理手册 Ver 1.0 发布日期 2013年03月27日 发布部门 信息安全小组 修改记录 修改标识 修改记录 审批记录 文件修改记录 修改处数 修改人 修改日期 批准人 批准日期 A 0 林阿兰 2013年3月27日 吴桂祥 2013年4月15日 修订类型说明说明：A (Add)新增，C（Change）修改 D（Del）删除 目 录 颁布令 ivv 授权书 v 0 前言 1 1 范围 1 1.1 总则 1 1.2 应用 1 2 规范性引用文件 2 3 术语和定义 2 3.1 术语 2 3.2 缩写 2 4 信息安全管理体系 2 4.1 总要求 3 4.2 建立和管理信息安全管理体系 4 4.3 文件要求 12 5 管理职责 15 5.1 管理承诺 15 5.2 资源管理 16 6 内部信息安全管理体系审核 17 6.1 总则 17 6.2 内审策划 18 6.3 内审员 18 6.4 内审实施 19 7 管理评审 19 7.1 总则 19 7.2 评审输入 20 7.3 评审输出 20 8 信息安全管理体系改进 21 8.1 持续改进 21 8.2 纠正措施 21 8.3 预防措施 22 附录1-组织概况 23 附录2-组织机构图 24 附录3-职能分配表 25 附录4-信息安全小组成员 28 附录5-方针文件清单 29 附录6-程序文件清单 30 附录7-公司外部环境、内部环境及网络图 31 颁 布 令 历时三个月，经公司全体员工的共同努力依据ISO/IEC 27001：2013标准建立的福建省宏祥智能科技有限公司信息安全管理体系已得到建立。 指导管理体系运行的公司《信息安全管理手册》经评审后，现予以批准发布。 《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的企业信息管理软件开发 ，以确立公司在社会上的良好信誉。 《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在企业信息管理软件开发 过程必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。 本手册自2013年4月15日正式实施。 总经理：吴桂祥 2013 年 03 月 30 日  授权书 为贯彻执行ISO/IEC 27001：2013《信息安全管理体系》，加强对信息管理体系运行的领导，特授权： 1. 授权林长江为公司管理者代表，其主要职责（角色）和权限为： 1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息安全业务风险得到有效控制。 2）向最高管理者报告信息安全管理体系业绩（绩效）和任何改善需求，为最高管理层评审提供依据。 3）确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。 4）在信息安全管理体系事宜方面负责与外部的联络。 2. 授权吴进论为ISMS信息安全管理项目责任人，其主要职责（角色）和权限为：确保信息安全管理方的控制措施得到形成、实施、运行和控制。 3. 授权各部门主管为信息安全管理体系在本部门的责任人，对ISMS要求在本部门的实施负责。 　　　　　　　　　　　　　　　　 总经理：吴桂祥 2013年 3 月 30 日 0 前言 福建省宏祥智能科技有限公司《信息安全管理手册》（以下简称本手册）依据ISO/IEC 27001：2013《信息技术-安全技术-信息安全管理体系-要求》，参照ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。 1 范围 1.1 总则 为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。 1.2 应用 1.2.1 覆盖范围 本信息安全体系认证的业务范围为：信息安全管理 物理范围：晋江市青阳曾井小区八八商业城2G 本信息安全策略适用于整个信息安全管理体系（ISMS），范围包括： 属于公司的一切受知识产权保护的信息； 属于公司所有雇员的相关个人信息 公司持有一切相