信息安全管理手册.docx

《信息安全管理手册.docx》由会员分享，可在线阅读，更多相关《信息安全管理手册.docx（13页珍藏版）》请在第壹文秘上搜索。

1、XXX信息科技有限公司信息安全管理手册文档编号：项目编号：项目名称：信息安全管理体系建设项目类别：IS027001信息安全管理体系文件密级：内部公开路径：部门：XXX科技发展部负责人：科技发展部总经理本文档及所包含的信息为XXX科技发展部所有未经授权不得以任何手段任何形式进行复制与传播保留所有的权利修订记录日期（年月日）版本描述作者审批人审批日期目录1 概述31.1 背景31.2 颁布令41.3 授权书52 总则62.1 目的62.2 范围62.3 使命和愿景62.4 信息安全方针62.5 信息安全管理体系方针72.6 裁剪说明72.7 依据文件72.8 定义与缩写73信息安全管理体系71.1

2、 体系概述81.2 文件要求81.3 体系文件架构81.4 文件控制91.5 记录控制104 管理职责104.1 管理者承诺104.2 资源提供104.3 内部审核114.4 管理评审115 体系改进115.1 持续改进115.2 纠正和预防措施121概述本手册是XXX科技发展部（以下简称“科技发展部”）根据GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准的要求，结合科技发展部现状和发展需求制定，经科技发展部信息安全工作指挥小组审核，由最高管理者批准颁布并执行。本手册规定了科技发展部信息安全管理体系范围内的管理职责、内部审核、管理评审和信

3、息安全管理体系改进等方面的内容。1.1 背景1.2 颁布令为提高XXX科技发展部的信息安全管理水平，保障科技发展部贯彻落实“生产安全、运行稳定、支持有力、服务高效、操作严谨、管理规范”的基本要求，发挥“服务、管理、内控、效益”四大功能，树立XXX的“技术实力精湛、精细化管理、企业文化”形象，防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，科技发展部开展贯彻GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的工作，建立文件化的信息安全管理体系，制定了信息安全管理手册。本手册是科技发展部信息安全管理的纲领性文件，是指导科

4、技发展部建立并实施信息安全管理体系的纲领和行动准则，用于贯彻科技发展部的信息安全管理方针，实现科技发展部信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本手册的要求，自觉贯彻管理方针,严格执行本手册的各项规定，努力实现科技发展部生产运行和日常办公的安全。本手册自颁布之日起生效执行。1.3 授权书为了贯彻执行信息安全管理体系，满足GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，加强对信息安全管理体系建设和持续运行的领导工作，特任命同志为XXX科技发展部信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1 .领导信息安

5、全管理体系的建立、运行和维护，开展资产识别和风险评估；2 .协调与信息安全管理体系有关的各项工作；3 .确保在科技发展部内提高员工信息安全意识；4 .督促信息安全管理体系内部审核和信息安全检查的开展；5 .协助最高管理者进行信息安全管理体系的管理评审；6 .向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。2总则2.1 目的本手册为XXX科技发展部信息安全管理体系（ISMS）的建立和运行提供指导，并保证科技发展部的信息安全管理体系符合GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，从而确保：（一）科技发展部

6、信息的保密性、完整性和可用性。（二）科技发展部各项业务的连续性。（三）科技发展部信息安全管理体系符合中华人民共和国、中国人民银行、公安部、中国银行业监督管理委员会、XXX总行的各种强制性规定、规则及适用的相关惯例、准则和协议。2.2 范围本手册所描述的信息安全管理体系适用于XXX科技发展部。科技发展部信息安全管理体系覆盖科技发展部所有部门，涵盖科技发展部职责范围内信息系统运行维护、计算机设备管理、人员信息安全、数据安全等在内的各项信息安全管理相关活动。科技发展部信息安全管理体系的建设遵循GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求，并接受

7、外部权威机构认证审核，认证范围是XXX科技发展部。2.3 使命和愿景利用信息科技促进我行发展战略的实现，在金融产品和服务创新工作中，发挥IT在技术创新方面的先导作用，加强IT在我行风险防范和合规管理方面的支持，力争实现信息科技三年内达到股份制银行中等水平，五年内步入领先行列的发展目标。2.4 信息安全方针科技发展部的信息安全管理遵循XXX的“细节决定成败，合规创造价值，责任成就事业”管理理念和“违规就是风险，安全就是效益”风险理念。科技发展部的信息安全方针是：预防为主，分级保护，分层负责，持续改进。预防为主:科技发展部信息安全工作贯彻预防为主的指导思想,采取各项主动预防措施,建立信息安全和操作

8、风险防控体系,增强全员安全意识,完善应急机制,加强内部安全检查，做到防患于未然。分级保护：科技发展部按照信息系统的重要程度划分相应等级，根据信息系统的等级采取相应的保护措施，保证科技发展部各信息系统得到适当等级的保护。分层负责3科技发展部建立层次化的信息安全组织，确保责任逐层分解并落实。持续改进：科技发展部按照PDCA模型进行信息安全管理的持续改进，保证信息系统在动态变化的过程中始终得到全面的保护。2.5 信息安全管理体系方针科技发展部信息安全管理体系的方针是：在XXX的全面风险管理框架下，识别业务和法律法规及合同中的安全要求,确定信息安全风险评价的准则,通过建设信息安全管理体系，有效控制信息

9、安全风险，保障科技发展部生产运行和日常办公的安全。2.6 裁剪说明GBT22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求的条款对于科技发展部信息安全管理体系的适用关系，详见适用性声明。2.7 依据文件本手册制定参考并依据了下列文件资料，更详细参见法律法规符合性管理规定。（一）法律法规：是指中华人民共和国颁布的、所有相关且具有约束和指导作用的法律、法规。（二）监管规定：是指中国人民银行及其分支机构和中国银行业监督管理委员会及其分支机构颁布的具有约束和指导作用的所有文件、规定等。（）XXX总行文件：XXX总行下发的对业务和管理等有约束和指导作用的所有文件。（四

10、）国际惯例：是指XXX开办国际业务必须遵循的具有约束和指导作用的国际通用惯例。（五）标准：（1） 遵循标准：GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求（2） 参照标准：GB/T22081-2008/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规则2.8定义与缩写GBT22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要AkGBT22081-2008/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规则文中所述定义和术语均适用于本手册。此外，本手册还使用信息安全

11、管理体系术语定义中的定义与缩写。3信息安全管理体系3.1 体系概述科技发展部按照GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，同时考虑银行服务行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，保障科技发展部信息的保密性、完整性和可用性，确保各项业务的连续性。为建立和实施信息安全管理体系，科技发展部信息安全管理采用过程方法，把与信息安全相关的资源和活动作为过程来管

12、理，即应用PDCA过程方法，持续改进信息安全管理体系。具体包括：（一）识别并确定科技发展部信息安全管理体系相关的策略、目标、过程和程序，改进信息安全以达到期望的结果。（二）依据“过程模式”确定上述过程的顺序和相互关系。（）将过程充分展开，明确信息安全控制点，编制形成信息安全管理体系文件。（四）配置适当的资源，提供必要的支持和信息，以保证过程的有效运作。（五）持续度量、监控和分析这些过程，并进行必要的改进。3.2 文件要求科技发展部信息安全管理体系文件包括：（一） GBT22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求所要求的信息安全管理手册。（二） GBT

13、22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求所要求的程序文件和作业指导书。（）GBT22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求所要求的记录。（四）科技发展部为确保信息安全所要求的其他相关文件。3.3体系文件架构科技发展部信息安全管理体系文件包括四个层次：即信息安全管理手册、管理规定/规程/程序类文件、实施细则/管理细则/操作指南类文件、记录/日志。如下图所示：各层级文件所关注的内容依次如下： 一阶文件：关于信息安全管理体系的策略声明文件，即体系管理手册。 二阶文件：关于GB/T22080-2008/ISO/I

14、EC27001:2013信息技术安全技术信息安全管理体系要求各个控制域的标准指南文件，体现信息安全管理体系在各个方面的目标规范和基本要求。 三阶文件：关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制和对具体业务工作的安全管理要求。 四阶文件：关于信息安全体系运行的各类记录和报告，体现各项工作能够按照三阶文件的具体要求有效开展。3.4 文件控制科技发展部对与信息安全管理体系要求有关的文件进行严格控制，以满足68”22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求，具体要求包括：（一）确保文件编制、评审、批准、发放、使用、修改、作废得到有

15、效的控制。（二） 确保文件清晰可辨，版木标示清楚，易于识别和检索。（三） 确保在使用时可获得最新、有效版本的适用文件。（四） 确保外来文件得到识别，对文件的分发加以控制。（五）对不同媒体和不同种类的文件，采取相应的控制。（六）防止作废文件的非授权使用，保留作废文件时，对这些文件进行明确的标识。科技发展部对信息安全管理体系文件的控制、公文管理、电子文件及保密文件的控制做出规定，相关控制要求参见文件控制管理规定。3.5 记录控制为提供符合要求且表明信息安全管理体系有效运行的证据，保证管理过程的可追溯性,科技发展部通过编制并实施记录控制管理规定及相关文件，规定了信息安全相关记录的标识、收集、归档、保管、借阅、销毁和检查等要求，确保信息安全相关记录能够保持清晰、易于识别和检索。在体系运行期间各部门应保持相应的信息安全记录控制清单并明确责任人，同时遵守记录的