xxxx

信息安全管理體系文件

ISMSM-01-A

信息安全管理體系手冊

20XX-XX-XX發布20XX-XX-XX實施

XXXX

18027001:2005信息安全管理體系文件頒布令

為保證公司信息安全，保護客戶信息，提高公司整體形象，增強

公司的競爭力，創造新的市場機會，公司決定貫徹TS027001:2005信

息安全管理體系國際標準。經過各部門的共同努力，信息安全管理體

系的綱領性文件一一信息安全管理體系手冊，及指導各部門日常運營

的信息安全管理體系程序文件經過公司領導及各部門的審核，認為符

合公司實際情況，可以作為公司運營過程中對信息安全管控的依據，

現批準發布，全體員工必須嚴格遵照執行。

XXXX

總經理：

20XX年XX月XX日

目錄

1目的和適用范圍

1.1目的

1.2適用范圍

2引用標準

3術語和定義

4信息安全管理體系（ISMS）

4.1總要求

4.2建立和管理ISMS

4.2.1建立ISMS

4.2.2實施和運作ISMS

4.2.3監視和評審ISMS

4.2.4保持和持續改進ISMS

4.3文件要求

4.3.1總則

4.3.2文件控制

4.3.3記錄控制

5管理職責

5.1管理承諾

5.2資源管理

5.2.1提供資源

5.2.2培訓、意識和能力

6內部部MS審核

7ISMS管理評審

7.1總則

7.2評審輸入

7.3評審輸出

8ISMS持續改進

8.1持續改進

8.2糾正措施

8.3預防措施

附錄-1按部門分與信息安全管理體系的關系

附錄-2各部門對信息安全管理體系的職責和權限

附錄?3ISMS信息安全目標及指標分解

1目的和適用范圍

1.1目的

為了建立、健全本公司信息安全管理體系（簡稱ISMS）,確定信息安全方針

和FI標，對信息安全風險進行有效管理，確保全體員工理解并遵照執行信息安全

管理體系文件、持續改進1SMS的有效性，特制定本手冊。

1.2范圍

本手冊適用于421.1條款確定范圍內的信息安全管理活動。

2引用標準

ISO/IEC27001:2005《信息技術——安全技術——信息安全管理體系——要求》

ISG/IEC27OO2:2OO5《信息技術——安全技術——信息安全管理實施細則》

3術語和定義

3.1術語

本手冊中使用術語的定義采用ISO/IEC27001:2005《信息技術一一安全技術

——信息安全管理體系一一要求》中的定義。

3.2縮寫

ISMS：InformationSecurityManagementSystems信息安全管理體系;

SOA：StatementofApplicability適用性聲明；

PDCA：PlanDoCheckAct；

4信息安全管理體系（ISMS）

4.1總要求

公司根據ISO/IEC270。1:2005標準在整體業務活動和所面臨風險的環境下建

立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系。ISMS

所涉及的過程基于以下PDCA模式：

策劃

檢杳

4.2建立和管理ISMS

4.2.1建立1SMS

4.2.1.1本公司ISMS的范圍和周界包括：

a）本公司位于XXXXXXXX的所有部門和所有正式員工；

b）基于XXXXXX服務活動；

c）與b）所述活動相關的應用系統及支持性信息管理系統包含的全部信息資

產。

4.2.1.2本公司ISMS方針的制定考慮了以下方面的要求：

a）作為制定ISMS目標的框架及為采取信息安全措施建立總的方向與原則;

b）考慮公司業務發展、法律法規要求及其他相關方合同涉及的信息安全要

求；

c）為ISMS的建立和維持，提供一個組織化的戰略和風險管理的基本環境;

d）確定風險評估的準則和結構。

421.3信息安全管理體系方針

實施風險管理，滿足相關方信息安全要求，保證業務連續性。

為了滿足適用法律法規及相關方要求，維持生產和經營的正常進行，本公司

依據ISO/IEC27001:2005標準，建立信息安全管理體系，以保證本公司生產經營

信息的保密性、完整性、可用性，實現業務可持續發展的目的。本公司承諾：

a）在公司內各層次建立完整的信息安全管理組織機構，確定信息安全方針、

安全目標和控制措施，明確信息安全的管理職責；

b）識別并滿足適用法律、法規和相關方信息安全要求；

c）對ISMS進行測量活動，定期（一年至少一次）進行信息安全風險評估,

ISMS評審，采取糾正預防措施，保證體系的持續有效性；

d）采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現

信息共享；

e）對全體員工講行持續的信息安全教育和培訓，不斷增弼員工的信息安全

意識和能力：

0制定并保持完善的業務連續性計劃，實現可持續發展。

上述方針由公司信息安全最高責任者批準發布，并定期評審其適用性、充分

性，必要時予以修訂。

4.2.1.4風險評估的系統方法

總經辦負責建立XX信息安全風險評估控制程序并組織實施。風險評估控制

程序包括可接受風險準則和可接受水平，所選擇的評估方法應確保風險評估能產

生可比較的和可重復的結果。具體的風險評估過程控制執行《XX信息安全風險

評估控制程序》

風險評估流程

4.2.1.5風險識別

在已確定的ISMS范圍內，對所有的信息資產進行列表識別。信息資產包括

軟件/系統、數據/文檔、硬件/設施、人力資源及服務。對每一項信息資產，根據

重要信息資產判斷依據確定是否為重要信息資產，形成《重要信息資產清單》。

4.2.1.6評估風險

a）針對每一項重要信息資產，參考《信息安全威脅列表》及以往的安全事

故（事件）記錄、信息資產所處的環境等因素，識別出所有重要信息資產所面臨

的威脅；

b）針對每一項威脅，考慮現有的控制措施，參考《信息安全薄弱點列表》

識別出被該威脅可能利用的薄弱點；

c）綜合考慮以上2點，按照《威脅發生可能性等級表》中的判定準則對每

一個威脅發生的可能性進行賦值；

d）根據《威脅影響程度判斷準則》，判斷一個威脅發生后可能對信息資產在

保密性（C）、完整性⑴和可用性（A）方面的損害，進而對公司業務造成的影響，來

給威脅影響賦值，取C、I、A的最大值為威脅影響程度的值；

e）風險大小計算：考慮威脅產生安全故障的可能性及其所造成影響程度兩

者的結合，根據《風險矩陣計算表》來得到風險等級；

0對于信息安全風險，在考慮控制措施與費用平衡的原則下制定《風險接

受準則》，按照該準則確定何種等級的風險為不可接受風險。

4.2.1.7風險處理方法的識別與評價

總經辦應組織有關部門根據風險評估的結果，形成《風險處理計劃》，該計

劃應明確風險處理責任部門、方法及時間。

對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措

施：

a）采用適當的內部控制措施；

b）接受某些風險（不可能將所有風險降低為零）；

c）回避某些風險（如物理隔離）；

d）轉移某些風險（如將風險轉移給保險者、供方、分包方）。

4.2.1.8選擇控制目標與控制措施

a）信息安全管理委員會根據信息安全方針、業務發展要求及風險評估的結

果，組織有關部門制定信息安全目標，并將目標分解到有關部門。信息安全目標

應獲得信息安全最高責任者的批準。

b）控制目標及控制措施的選擇原則來源于ISO/IEC27001:2005標準附錄A,

具體控制措施可以參考ISO17799:2005《信息技術一一安全技術一一信息安全管

理實施細則》。本公司根據信息安全管理的需要，可以選擇標準之外的其他控制

措施。

4.2.1.9適用性聲明SOA

總經辦負責編制《信息安全適用性聲明》（SOA）。，亥聲明包括以下方面的內

容：

a）所選擇控制目標與控制措施的概要描述；

b）當前已經實施的控制；

c）對ISO/IEC27001:2005附錄A中未選用的控制目標及控制措施理由的說

明。

該聲明的詳細內容見ISMS-02-A《信息安全適用性聲明》

4.2.2ISMS實施及運作

422.1為確保ISMS有效實施，對己識別的風險進行有效處理，木公司開展以F

活動：

a）形成《風險處理計劃》，以確定適當的管理措施、職責及安全控制措施的

優先級；

b）為實現已確定的安全目標、實施《風險處理計劃》，明確各崗位的信息安

全職責；

c）實施所選擇的控制措施，以實現控制目標；

d）進行信息安全培訓，提高全員信息安全意識和能力；

e）對信息安全體系的運作進行管理；

f）對信息安全所需資源進行管理；

g）實施控制程序，對信息安全事故（或征兆）進行迅速反應。

4.222信息安全組織機構

公司管理層決定全公司的組織機構和各部門的職責（包括信息安全職責），

并形成文件。

a）由管理層和各部門經理組成的信息安全管理委員會為公司信息安全管理

最高機構：

b）各部門經理根據公司組織機構和職責決定本部門組織形式和業務分擔，

并形成文件。

422.3信息安全職責和權限

a）總經理為公司信息安全最高責任者。最高責任者指定為信息安全管理者

代表。無論該成員在其他方面的職責如何，對公司信息安全負有以下職責：

建立并實施信息安全管理體系必要的程序并維持其有效運行；

對信息安全管理體系的運行情況和必要的改善措施向信息安全管理委員會

或最高責任者報告。

b）各部門負責人為本部門信息安全管理責任者，全體員工都應按保密承諾

的要求自覺履行信息安全保密義務；

c）有關信息安全管理體系各部門職責分擔參照附表1,詳細責任和權限見附

表2o

4.224各部門應按照《信息安全適用性聲明》中規定的安全目標、控制措施（包

括安全運行的各種控制程序）的要求實施信息安全控制措施。

4.2.3ISMS的監督檢查與評審

4.2.3.1本公司通過實施不定期安全檢查、內部審核、事故報告調查處理、定期技

術檢查（如口志審核）等控制措施并報告結果以實現：

a）及時發現信息安全體系的事故和隱患；

b）及時了解信息處理系統遭受的各類攻擊；

c）使管理者掌握信息安全活動是否有效，并根據優先級別確定所要采取的

措施；

d）積累信息安全方面的經驗。

423.2根據以上活動的結果以及來自相關方的建議和反饋，由最高責任者主持，

定期（每年至少一次）對1SMS的有效性進行評審，其中包括信息安全范圍、方

針、目標及控制措施有效性的評審。管理評審的具體要求，見本手冊第7章。

423.3總經辦應組織有關部門按照《XX信息安全風險評估控制程序》的要求對

風險處理后的殘余風險進行定期評審，以驗證殘余風險是否達到可接受的水平，

對以下方面變更情況應及時進行風險評估：

a）組織機構發生重大變更；

b）信息處理技術發生重大變更；

0公司業務目標及流程發生重大變更：

d）發現信息資產面臨重大威脅；

e）外部環境，如法律法規或信息安全標準發生重大變更。

423.4保持上述活動和措施的記錄。

以上活動的詳細程序規定于以下文件中：

《XX記錄控制程序》；

《組織機構及職責》；

《XX信息安全風險評估控制程序》；

?XX內部審核控制程序》；

4.2.4ISMS保持與改進

本公司開展以下活動，以確保ISMS的持續改進：

a）實施每年管理評審、內部審核、安全檢查等活動以確定需改進的項目；

b）按照《XX內部審咳控制程序》、《XX糾正措施控制程序》、《XX預防措

施控制程序》的要求采取適當的糾正和預防措施；吸取其他組織及本公司安全事

故的經驗教訓，不斷改進安全措施的有效性；

c）對信息安全目標及分解進行適當的管理，確保改進達到預期的效果；（信

息安全目標及指標的分解見附表3）

d）為了確保信息安全管理體系的持續有效，各級管理者應通過適當的手段

保持在公司內部對信息安全措施的執行情況與結果進行有效的溝通。包括獲取外

部信息安全專家的建議、信息安全政府行政主管部門、電信運營商等組織的聯系

及識別顧客對信息安全的要求等。如：管理評審會議、內部審核報告、公司內文

件體系、內部網絡和郵件系統、法律法規評估報告等。

e）以上詳細程序規定于以下文書中：

《XX法律法規、相關方要求識別與符合性評估管理程序》；

上述活動的會議記耍和報告。

4.3文件要求

431總則

本公司信息安全管理體系文件包括：

a）文件化的信息安全方針、目標和適應性聲明；

b）信息安全管理手冊（本手冊，包括信息安全適月范圍及引用的標準）；

c）本手冊要求的《XX信息安全風險評估控制程序》、《XX商業秘密控制程

序》等支持性程序；

d）ISMS引用質量體系的程序；

e）為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；

f）ISMS要求的記錄類；

g）相關的法律、法規和信息安全標準。

注：相關的文書和記錄的媒體可能有：紙、磁盤等。所有文件應該容易為需

要使用的員工獲得。

4.3.2文件控制

總經辦制定信息安全管理體系所要求文件的管理程序，保證信息安全管理體

系文件得到以下所需的控制：

a）文件的作成、發行、修訂、廢棄等事項得到相應授權的查閱、批準，確

保文件是合適的、可行的；

b）文件的標識和修訂狀態清晰、易于識別，確保使用的文書是當前的有效

版本；

0為「文書的有效性，要定期確認記載內容是否過時，根據需要決定保持

或修改并再次得到相應的批準；

d）確保信息安全的外部標準、相應法律、法規得到明確的標識和管理；

e）以上規定的詳細內容見：

《XX文件控制程序》

《XX法律法規、相關方要求識別與符合性評估管理程序》

4.3.3記錄控制

4.331信息安全管理體系所要求的記錄是體系符合標準要求和有效運行的證據。

總經辦負責制定并維持易讀、易識別、可方便檢索又考慮法律、法規要求的記錄

管理規定。該規定應指定記錄的標識、儲存、保護、檢索、保管、廢棄等事項。

4.332信息安全體系的記錄包括4.2中所列出的所有過程的結果及與ISMS相關

的安全事故。各部門應根據記錄管理規定的要求采取適當的方式妥善保管信息安

全記錄。

433.3該程序詳細的規定見《XX記錄控制程序》。

5管理職責

5.1管理承諾

信息安全最高責任者為確保建立、維持并持續改善信息安全管理體系特做出

以下承諾：

a）建立信息安全方針；

b）建立信息安全目標和實施計劃；

c）建立信息安全組織并明確職責；

d）通過適當的溝通方式，向全體員工傳達滿足信息安全目標、符合信息安

全方針以及法律、法規要求和持續改進的重要性；

e）提供適當的資源以滿足信息安全管理體系的需要；

0對可接受風險的水平進行決策；

g）實施ISMS管理評審。

5.2資源管理

5.2.1提供資源

本公司確定并提供適當的資源，以滿足以下需求：

a）建立、實施和維持ISMS：

b）確保信息安全管理程序支持業務流程的要求；

C）識別并致力于滿足法律法規要求及合同規定的安全義務：

d）切實實施已有的控制措施，保持信息安全的充分性；

e）必要時進行評審并對評審結果做出適當的反應；

f）需要時，改進信息安全體系的有效性。

資源管理的具體內容見每年度的《公司財務預算》c

5.2.2能力、意識和培訓

為提高全員信息安全的意識、確保相關人員履行信息安全職責所需的能力，

應制定并實施以下的管理活動：

a）明確各崗位信息安全的職責和對能力的要求；

b）實施信息安全意識和能力的教育、培訓并評價其培訓的有效性；

c）通過宣傳和其他活動使員T.普遍認識到信息安全職責的重要性及如何為

實現信息安全目標做出各自的貢獻；

d）保持以上活動的記錄。

以上活動的詳細規程見：

a）各部門的崗位描述

b）《XX人力資源安全管理程序》

6ISMS內部審核

總經辦負貢制定內審計劃并組織實施，以判定ISMS規定的安全目標、控制

措施、和程序是否：

a）符合ISO/IEC27001:2005標準和有關法律法規要求；

b）符合已識別的信息安全要求；

c）有效實施和保持；

d）完成預期的目標。

6.1內部審核程序

6.1.1總經辦制定信息安全管理體系年度審核計劃，該計劃應覆蓋整個ISMS體系

并得到信息安全管理體系最高責任者的批準。

6.1.2內部審核以本手冊、相應的規則、作業指導書為基準。選定的內審員應是

了解公司業務流程、熟悉安全體系標準并經過培訓取得信息安全內審員資格的本

公司員工。內審員資格需取得信息安全管理者代表的批準。

6.1.3進行內審時，總經辦要有計劃的進行以下的事項：

1）審核員的選定和教育及培訓；

2）制定審核計劃，指定審核員（審核員應與被審核對象無直接責任關系）；

3）準備必要的相關文件。

6.1.4審核中發現的不符合事項，要向責任部門報告，由責任部門明確糾正措施

的實施計劃。

6.1.5要對該糾正措施的實施計劃，進行適宜的跟蹤，確認是否有效實施。

6.1.6以上的工作完成后，須經管理者代表確認后，審核才算結束。

6.1.7如果發現信息安全重大不符合或征兆時，或者管理者代表判斷必要時，可

調整年度審核計劃。

6.1.8對審核的結果進行適當的匯總整理，作為管理評審的輸入資料。

6.2內部審核需保留以下記錄

1）被審核對象范圍；

2）審核口期；

3）審核員；

4）被審核方；

5）依據的文件；

6）具體審核事項及其審查結果；

7）不符合內容和程度（嚴重或輕微及觀察事項）；

8）不符合事項的糾正措施和實施期限；

9）糾正措施的實施狀況及其效果，其他必要事項、審核結束的確鑿證據。

6.3以上程序詳細內容見：

《XX內部審核控制程序》。

7ISMS管理評審

7?1總則

信息安全最高責任者為確認信息安全管理體系的適宜性、充分性和有效性，

每半年對信息安全管理體系進行一次評審。該管理評審應包括對信息安全管理體

系是否需改進或變更的評價，以及對安全方針、安全目標的評價。管理評審的結

果應形成書面記錄，該記錄按4.3.3的要求進行保存。

7.2管理評審的輸入

在管理評審時，管理者代表應組織相關部門提供以下資料?，供最高責任者和

信息安全委員會進行評審：

a）ISMS體系內、外部審核的結果；

b）相關方的反饋（投訴、抱怨、建議）；

c）可以用來改進ISMS業績和有效性的新技術、產品或程序；

d）信息安全目標達成情況，糾正和預防措施的實施情況；

e）信息安全事故或征兆，以往風險評估時未充分考慮到的薄弱點或威脅；

0上次管理評審時決定事項的實施情況；

g）可能影響信息安全管理體系變更的事項（標準、法律法規、相關方要求）;

h）對信息安全管理體系改善的建議。

7.3管理評審的輸出