XXX信息科技有限公司

信息安全管理手冊

文檔編號：

項目編號：

項目名稱：信息安全管理體系建設項目

類別：IS027001信息安全管理體系文件

密級：內部公開

路徑：

部門：XXX科技發展部

負責人：科技發展部總經理

本文檔及所包含的信息為XXX科技發展部所有

未經授權不得以任何手段任何形式進行復制與傳播

保留所有的權利

修訂記錄

日期（年月日）版本描述作者審批人審批日期

目錄

1概述........................................................................3

1.1背景.......................................................................3

1.2頒布令....................................................................4

1.3授權書....................................................................5

2總則........................................................................6

2.1目的.......................................................................6

2.2范圍......................................................................6

2.3使命和愿景................................................................6

2.4信息安全方針..............................................................6

2.5信息安全管理體系方針.....................................................7

2.6裁剪說明..................................................................7

2.7依據文件..................................................................7

2.8定義與縮寫................................................................7

3信息安全管理體系...........................................................7

3.1體系概述..................................................................8

3.2文件要求..................................................................8

3.3體系文件架構..............................................................8

3.4文件控制..................................................................9

3.5記錄控制.................................................................10

4管理職責..................................................................10

4.1管理者承諾...............................................................10

4.2資源提供.................................................................10

4.3內部審核.................................................................11

4.4管理評審.................................................................11

5體系改進..................................................................11

5.1持續改進.................................................................11

5.2糾正和預防措施...........................................................12

1概述

本手冊是XXX科技發展部（以下簡稱“科技發展部”）根據《GB/T22080-2008/ISO/IEC

27001:2013信息技術安全技術信息安全管理體系要求》標準的要求，結合科技發展部

現狀和發展需求制定，經科技發展部信息安全工作指揮小組審核，由最高管理者批準頒布并

執行。本手冊規定了科技發展部信息安全管理體系范圍內的管理職責、內部審核、管理評審

和信息安全管理體系改進等方面的內容。

L1背景

1.2頒布令

為提高XXX科技發展部的信息安全管理水平，保障科技發展部貫徹落實“生產安全、運

行穩定、支持有力、服務高效、操作嚴謹、管理規范”的基本要求，發揮“服務、管理、內控、

效益”四大功能，樹立XXX的“技術實力精湛、精細化管理、企業文化”形象，防止由于信息

系統故障、數據的丟失、敏感信息的泄密所導致的業務中斷或安全事故，科技發展部開展貫

徹《GB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體系要求》

的工作，建立文件化的信息安全管理體系，制定了《信息安全管理手冊》。

本手冊是科技發展部信息安全管理的綱領性文件，是指導科技發展部建立并實施信息安

全管理體系的綱領和行動準則，用于貫徹科技發展部的信息安全管理方針，實現科技發展部

信息安全管理體系的有效運行和持續改進。

全體員工必須嚴格按照本手冊的要求，自覺貫徹管理方針，嚴格執行本手冊的各項規定,

努力實現科技發展部生產運行和日常辦公的安全。

本手冊自頒布之日起生效執行。

XXX科技發展部總經理

二零一一年月口

1.3授權書

為了貫徹執行信息安全管理體系，滿足《GB/T22080-2008/ISO/IEC27001:2013信息

技術安全技術信息安全管理體系要求》的要求，加強對信息安全管理體系建設和持續運

行的領導工作，特任命同志為XXX科技發展部信息安全管理者代表。

授權信息安全管理者代表有如下職責和權限：

1.領導信息安全管理體系的建立、運行和維護，開展資產識別和風險評估；

2.協調與信息安全管理體系有關的各項工作；

3.確保在科技發展部內提高員工信息安全意識；

4.督促信息安全管理體系內部審核和信息安全檢查的開展；

5.協助最高管理者進行信息安全管理體系的管理評審；

6.向最高管理者報告信息安全管理體系的業績和改進要求。

本授權書自任命日起生效執行。

XXX行長

二零一一年月日

2總則

2.1目的

本手冊為XXX科技發展部信息安全管理體系（ISMS）的建立和運行提供指導，并保證

科技發展部的信息安全管理體系符合《GB/T22080-2008/ISO/IEC27001:2013信息技術

安全技術信息安全管理體系要求》的要求，從而確保：

（一）科技發展部信息的保密性、完整性和可用性。

（二）科技發展部各項業務的連續性。

（三）科技發展部信息安全管理體系符合中華人民共和國、中國人美銀行、公安部、中國

銀行業監督管理委員會、XXX總行的各種強制性規定、規則及適用的相關慣例、

準則和協議。

2.2范圍

本手冊所描述的信息安全管理體系適用于XXX科技發展部。

科技發展部信息安全管理體系覆蓋科技發展部所有部門，涵蓋科技發展部職責范圍內

信息系統運行維護、計算機設備管理、人員信息安全、數據安全等在內的各項信息安全管

理相關活動。

科技發展部信息安全管理體系的建設遵循《GB/T22080-2008/ISO/IEC27001:2013信

息技術安全技術信息安全管理體系要求》，并接受外部權威機構認證審核，認證范圍是

XXX科技發展部。

2.3使命和愿景

利用信息科技促進我行發展戰略的實現，在金融產品和服務創新工作中，發揮n■在技

術創新方面的先導作用，加強IT在我行風險防范和合規管理方面的支持，力爭實現信息科

技三年內達到股份制銀行中等水平，五年內步入領先行列的發展目標。

2.4信息安全方針

科技發展部的信息安全管理遵循XXX的“細節決定成敗，合規創造價值，責任成就事業”

管理理念和“違規就是風險，安全就是效益”風險理念。

科技發展部的信息安全方針是：預防為主，分級保護，分層負責，持續改進。

預防為主:科技發展部信息安全工作貫徹預防為主的指導思想,采取各項主動預防措施,

建立信息安全和操作風險防控體系，增強全員安全意識，完善應急機制,加強內部安全檢查，

做到防患于未然。

分級保護：科技發展部按照信息系統的重要程度劃分相應等級，根據信息系統的等級采

取相應的保護措施，保證科技發展部各信息系統得到適當等級的保護。

分層負責：科技發展部建立層次化的信息安全組織，確保責任逐層分解并落實。

持續改進：科技發展部按照PDCA模型進行信息安全管理的持續改進，保證信息系統

在動態變化的過程中始終得到全面的保護。

2.5信息安全管理體系方針

科技發展部信息安全管理體系的方針是：在XXX的全面風險管理框架下，識別業務和

法律法規及合同中的安全要求，確定信息安全風險評價的準則，通過建設信息安全管理體系，

有效控制信息安全風險，保障科技發展部生產運行和日常辦公的安全。

2.6裁剪說明

WB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體系要

求》的條款對于科技發展部信息安全管理體系的適用關系，詳見《適用性聲明》。

2.7依據文件

本手冊制定參考并依據了下列文件資料，更詳細參見《法律法規符合性管理規定》。

（一）法律法規：是指中華人民共和國頒布的、所有相關且具有約束和指導作用的法律、

法規。

（二）監管規定：是指中國人民銀行及其分支機構和中國銀行業監督管理委員會及其分

支機構頒布的具有約束和指導作用的所有文件、規定等。

（三）XXX總行文件：XXX總行下發的對業務和管理等有約束和指導作用的所有文件。

（四）國際慣例：是指XXX開辦國際業務必須遵循的具有約束和指導作用的國際通用慣

例。

（五）標準：

（1）遵循標準：《GB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信

息安全管理體系要求》

（2）參照標準：《GB/T22081-2008/ISO/IEC27002:2013信息技術安全技術信

息安全管理實用規則》

2.8定義與縮寫

^GB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體系要

?GB/T22081-2008/ISO/IEC27002:2013信息技術安全技術信息安全管理實用規則》

文中所述定義和術語均適用于本手冊。此外，本手冊還使用《信息安全管理體系術語定義》

中的定義與縮寫。

3信息安全管理體系

3.1體系概述

科技發展部按照《GB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安

全管理體系要求》的要求，同時考慮銀行服務行業的特點，從業務需求出發，遵從風險管

理的理念，注重過程管理，建立和實施信息安全管理體系，確保與信息安全相關的資源、技

術、管理等因素處于受控狀態，形成文件并加以實施、保持和持續改進，有效防范各類安全

事故或人為有意的破壞事件，保障科技發展部信息的保密性、完整性和可用性，確保各項業

務的連續性。

為建立和實施信息安全管理體系，科技發展部信息安全管理采用過程方法，把與信息安

全相關的資源和活動作為過程來管理，即應用PDCA過程方法，持續改進信息安全管理體

系。具體包括：

（一）識別并確定科技發展部信息安全管理體系相關的策略、目標、過程和程序，改進信

息安全以達到期望的結果。

（二）依據“過程模式”確定上述過程的順序和相互關系。

（三）將過程充分展開，明確信息安全控制點，編制形成信息安全管理體系文件。

（四）配置適當的資源，提供必要的支持和信息.，以保證過程的有效運作。

（五）持續度量、監控和分析這些過程，并進行必要的改進。

3.2文件要求

科技發展部信息安全管理體系文件包括：

（一）WB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體

系要求》所要求的信息安全管理手冊。

（二）WB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體

系要求》所要求的程序文件和作業指導書。

（三）WB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體

系要求》所要求的記錄。

（四）科技發展部為確保信息安全所要求的其他相關文件。

3.3體系文件架構

科技發展部信息安全管理體系文件包括四個層次：即信息安全管理手冊、管理規定/規

程/程序類文件、實施細則/管理細則/操作指南類文件、記錄/口志。如下圖所示：

各層級文件所關注的內容依次如下：

?一階文件：關于信息安全管理體系的策略聲明文件，即體系管理手冊。

?二階文件：關于《GB/T22080-2008/ISO/IEC27001:2013信息技術安全技術信息安

全管理體系要求》各個控制域的標準指南文件，體現信息安全管理體系在各個方面的

目標規范和基本要求。

?三階文件：關于具體信息安全問題的規程文件，指導實現對特定信息安全風險點的控制

和對具體業務工作的安全管理要求。

?四階文件：關于信息安全體系運行的各類記錄和報告，體現各項工作能夠按照三階文件

的具體要求有效開展。

3.4文件控制

科技發展部對與信息安全管理體系要求有關的文件進行嚴格控制，以滿足《GB/T22080-

2008/ISO/IEC27001:2013信息技術安全技術信息安全管理體系要求》，具體要求包括：

（-）確保文件編制、評審、批準、發放、使用、修改、作廢得到有效的控制。

（二）確保文件清晰可辨，版本標示清楚，易于識別和檢索。

（三）確保在使用時可獲得最新、有效版本的適用文件。

（四）確保外來文件得到識別，對文件的分發加以控制。

（五）對不同媒體和不同種類的文件，采取相應的控制。

（六）防止作廢文件的非授權使用，保留作廢文件時，對這些文件進行明確的標識。

科技發展部對信息安全管理體系文件的控制、公文管理、電子文件及保密文件的控制做

出規定，相關控制要求參見《文件控制管理規定》。

3.5記錄控制

為提供符合要求且表明信息安全管理體系有效運行的證據，保證管理過程的可追溯性,

科技發展部通過編制并實施《記錄控制管理規定》及相關文件，規定了信息安全相關記錄的

標識、收集、歸檔、保管、借閱、銷毀和檢查等要求，確保信息安全相關記錄能夠保持清晰、

易于識別和檢索。在體系運行期間各部門應保持相應的信息安全記錄控制清單并明確責任

人，同時遵守記錄的保存期限及存檔要求。

4管理職責

4.1管理者承諾

經XXX行長授權，科技發展部管理者代表對建立、實施信息安全管理體系并持續改進

作出承諾：

（一）通過內部網絡、刊物、會議、培訓等形式，向全體員工傳達滿足客戶和法律法規、

監管要求及XXX總行要求的重要性，持續加強員工的信息安全意識，使員工積極

參與提高信息安全水平的相關活動。

（二）制定信息安全方針，以明確科技發展部信息安全管理的宗旨和方向。

（三）實施管理評審，確保信息安全管理體系的適宜性、充分性和有效性。具體參見《信

息安全管理評審規定》。

（四）確保與建立和改進信息安全管理體系所需資源的充分獲得和有效配置。

4.2資源提供

為了保證信息安全管理體系的建立、實施、運行、監控、評審和維護，最高管理者代表

需確保提供并合理配置了所需的資源，并確保承擔信息安全管理體系工作的人員具備相應能

力。具體要求包括：

（一）組織

科技發展部成立信息安全工作指揮小組及其辦公室,確定科技發展部范圍內從事信息安

全管理工作的專職、兼職人員，以保證體系的運行。

科技發展部確定從事信息安全工作的人員所必要的能力，提供所需的教育和培訓，評價

所采取措施的有效性，確保員工意識到所從事活動的重要性以及如何為實現信息安全方針做

出貢獻。

（二）職責

科技發展部確保內部的職責杈限得到有效定義和劃分，確保科技發展部信息安全管理體

系得到有效運行。

科技發展部的信息安全管理體系的機構設置詳見《信息安全組織建設管理規定》。

（三）培訓、意識和能力

制定并實施人力資源管理文件，確保被分配信息安全管理體系規定職責的所有人員，都

有能力執行所要求的任務，為此必須：