ISO27001信息安全管理體系-信息安全管理手冊(cè)

XXXX-ISMS-SC-2019版本制訂者XXX修改時(shí)間版本制訂者XXX修改時(shí)間審批人馮克艷馮克艷審核意見(jiàn)變更申請(qǐng)單號(hào)XXXXXX 7 7 71.2.2刪減說(shuō)明 71.2.3信息安全手冊(cè)說(shuō)明 72規(guī)范性引用文件 8 9 94組織的背景 4.1了解公司現(xiàn)狀及背景 94.2理解相關(guān)方的需求和期望 94.3確定信息安全管理體系的范圍 5.1領(lǐng)導(dǎo)力和承諾 5.2信息安全管理體系的方針 5.3角色，責(zé)任和承諾 5.3.1信息安全組織機(jī)構(gòu) 5.3.2信息安全職責(zé)和權(quán)限 6.1處理風(fēng)險(xiǎn)和機(jī)遇的行動(dòng) 6.1.2信息安全風(fēng)險(xiǎn)評(píng)估 6.1.3信息安全風(fēng)險(xiǎn)處置 6.2可實(shí)現(xiàn)的信息安全目標(biāo)和計(jì)劃 7.5.2創(chuàng)建和更新 7.5.3文檔化信息的控制 8.1運(yùn)行計(jì)劃及控制 8.2信息安全風(fēng)險(xiǎn)評(píng)估 8.3信息安全風(fēng)險(xiǎn)處置 9.1監(jiān)視，測(cè)量，分析和評(píng)價(jià) 10.1不符合及糾正措施 信息安全管理職能分配表 01頒布令經(jīng)公司全體員工的共同努力依據(jù)GB/T22080-2016XXXXXXXX有限公司02管理者代表授權(quán)書(shū)為貫徹執(zhí)行GB/T22080-2016/ISO/IEC27001：2013《信息安全管理體系》，加強(qiáng)1）確保公司信息安全管理體系所需過(guò)程得到建立、實(shí)施、運(yùn)行和保持。確保信息2）向最高管理者報(bào)告信息安全管理體系業(yè)績(jī)（績(jī)效）和任何改善需求，為最高管3）確保滿足顧客和相關(guān)方要求、法律法規(guī)要求的信息安全意識(shí)和信息安全風(fēng)險(xiǎn)意4）在信息安全管理體系事宜方面負(fù)責(zé)與外部的聯(lián)絡(luò)。2、授權(quán)XXX為ISMS信息XXXXXXXX有限公司XXXXXXXX有限公司《信息安全管理體系手冊(cè)》（以下簡(jiǎn)稱本手冊(cè)）依據(jù)GB/T本《信息安全管理體系手冊(cè)》采用了GB/T220800-2016標(biāo)準(zhǔn)正文的內(nèi)容，本公司刪A.14.1.2保護(hù)公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.14.1.3保護(hù)應(yīng)用服務(wù)交易本手冊(cè)可根據(jù)實(shí)際情況的變化進(jìn)行修改，應(yīng)由信息安全管理體系相關(guān)部門提出申信息安全管理體系運(yùn)行過(guò)程中發(fā)現(xiàn)問(wèn)題，或信息安全管理體系需進(jìn)一步改進(jìn)發(fā)現(xiàn)本手冊(cè)中的存在差錯(cuò)或不明確之處體系審核或管理評(píng)審提出改進(jìn)要求本手冊(cè)的更改控制按《文件管理程序》執(zhí)行組織機(jī)構(gòu)、經(jīng)營(yíng)環(huán)境、信息技術(shù)架構(gòu)、產(chǎn)品結(jié)構(gòu)發(fā)生重大變化修改涉及了相當(dāng)多的頁(yè)次或一個(gè)版本的修改達(dá)到十次本手冊(cè)完成修改后，經(jīng)審批重新發(fā)布實(shí)施。本手冊(cè)的原審批崗位對(duì)手冊(cè)的修改信息安全手冊(cè)經(jīng)總經(jīng)理批準(zhǔn)后，由商務(wù)部存放到公司的文件服務(wù)器指定位置，GB/T22080-2016/ISO/IEC27001：2013的術(shù)語(yǔ)和定義適用于本《信息安全管理體4.2理解相關(guān)方的需求和期望本公司的信息安全管理體系按照GB/T22080-2016/ISO/IEC27001：2013《信息技的信息安全管理體系。e)向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)）；本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理者代表,無(wú)論信息安全管理者代表其他方面的職責(zé)如何，對(duì)信息安全負(fù)有以下職責(zé)：a)建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；b)對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全小組或最高責(zé)任各部門、人員有關(guān)信息安全職責(zé)分配見(jiàn)附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》和相應(yīng)a)在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全c)定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，信息安全管理體系評(píng)審，采取糾正預(yù)防措施，保d)采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息，實(shí)現(xiàn)信息共e)對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)，不斷增強(qiáng)員工的信息安全意識(shí)和f)制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)發(fā)展。6.1處理風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)6.1.2信息安全風(fēng)險(xiǎn)評(píng)估6.1.2.1風(fēng)險(xiǎn)評(píng)估的方法過(guò)對(duì)這些項(xiàng)目的賦值計(jì)算出在喪失保密性、完整性和可用性可能對(duì)重要資產(chǎn)造成的影需對(duì)風(fēng)險(xiǎn)的所有者進(jìn)行指定。a)針對(duì)所有資產(chǎn)的自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果b)針對(duì)每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值，然后計(jì)算d)根據(jù)《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則，判斷風(fēng)險(xiǎn)為可接該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。6.1.3.1選擇控制目標(biāo)與控制措施安全適用性聲明》6.1.3.3適用性聲明b)對(duì)GB/T22080-2016/ISO/IEC27001：2013錄A中未選用的控制目標(biāo)及控制措施6.2可實(shí)現(xiàn)的信息安全目標(biāo)和計(jì)劃a)信息安全方針;益;取外部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及的要求等，溝通方式在《信息安全溝通管理程序》進(jìn)行規(guī)定。d)本手冊(cè)涉及的相關(guān)支持性程序性文件，例如《信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)管理程a)形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全控制措b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信d)確定如何測(cè)量所選擇的控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估e)對(duì)運(yùn)行過(guò)程中發(fā)生的非計(jì)劃的變更進(jìn)行規(guī)劃，以減輕不良的影響；f)本公司外包方為物業(yè)公司及電信互聯(lián)網(wǎng)運(yùn)行商、供應(yīng)商及信息安全產(chǎn)品供方。8.2信息安全風(fēng)險(xiǎn)評(píng)估8.3信息安全風(fēng)險(xiǎn)處置公司需保留信息安全風(fēng)險(xiǎn)處理計(jì)劃的執(zhí)行結(jié)果的文檔化的記錄。b）本公司管理者代表組織日常的工作檢查、發(fā)現(xiàn)存在的問(wèn)題，對(duì)發(fā)現(xiàn)的問(wèn)題做出風(fēng)險(xiǎn)應(yīng)按審核計(jì)劃的要求實(shí)施審核，包括：a)進(jìn)行首次會(huì)議，明確審核的目的和范圍，采用的方法和程序；c)對(duì)檢查內(nèi)容進(jìn)行分析，對(duì)審核發(fā)現(xiàn)的問(wèn)題在《不符合項(xiàng)報(bào)告及糾正報(bào)告單》中b)相關(guān)方的反饋；b)更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃；c)通過(guò)適當(dāng)?shù)氖侄伪３衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝識(shí)別顧客對(duì)信息安全的要求等；d)對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。企業(yè)概況XXXXXXXX有限公司，是專業(yè)的呼叫中心外包服務(wù)提供商及電話營(yíng)銷服務(wù)提供商，專業(yè)從事結(jié)合XXXX在外包及直復(fù)營(yíng)銷領(lǐng)域的豐富經(jīng)驗(yàn)，為國(guó)際企業(yè)提供專業(yè)的呼叫中心外包服務(wù)。在過(guò)去的8年,XXXXXXXX有限公司致力幫助企業(yè)建設(shè)成功的客戶關(guān)系，我們始終專注于國(guó)際及本土企業(yè)的實(shí)踐與應(yīng)用，致力于幫助更多的企業(yè)創(chuàng)造具有前瞻性和富有戰(zhàn)略意義的的客戶XXXX在合肥市建設(shè)了200個(gè)坐席的大型呼叫中心。呼叫中心采用業(yè)內(nèi)最先進(jìn)的多媒體繼資源與高強(qiáng)度信息安全保障。XXXX利用先進(jìn)的多媒體呼叫中心業(yè)務(wù)平臺(tái)，結(jié)合精準(zhǔn)的許可營(yíng)銷數(shù)據(jù)庫(kù)，為國(guó)際企業(yè)XXXX依據(jù)自身的專業(yè)優(yōu)勢(shì)，為中國(guó)的呼叫中心行業(yè)提供包括呼叫中心全面外包、呼叫通過(guò)與眾多戰(zhàn)略伙伴合作，廣泛活躍于呼叫中心業(yè)務(wù)外包，呼叫中心運(yùn)營(yíng)管理咨詢，呼叫中心專業(yè)培訓(xùn)以及市場(chǎng)活動(dòng)執(zhí)行。立志于提供最高品質(zhì)的呼叫中心綜合服務(wù)。總經(jīng)理綜合部銷售部運(yùn)營(yíng)部技術(shù)部“☆”為配合職能56789確定信息安全管理體系的范圍★★★★★★★★★★★★★☆☆★☆☆☆☆☆★★☆★☆☆★★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆☆☆★★★★★★★★☆☆★☆☆★☆☆☆☆☆☆☆☆☆★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆☆☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆☆☆★★★★A．6.2☆☆★☆A(yù)．7☆☆★☆A(yù)．7.1☆☆★☆A(yù)．7.2☆☆★☆A(yù)．7.3☆☆★☆☆☆★☆A(yù).8.1資產(chǎn)的責(zé)任★★★★信息分類☆☆★☆介質(zhì)處理☆☆★☆訪問(wèn)控制☆☆☆☆訪問(wèn)控制的業(yè)務(wù)需求☆☆☆☆用戶訪問(wèn)管理☆☆☆☆用戶責(zé)任☆☆☆☆系統(tǒng)和應(yīng)用訪問(wèn)控制☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆☆☆★☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆☆☆★☆☆☆☆☆☆☆☆☆全☆☆☆☆☆☆☆☆☆☆☆☆☆☆★☆☆☆★☆★☆☆☆附錄4-信息安全小組成員1)任命管理者代表，明確管理者代表的職責(zé)和權(quán)限；2)確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的符合性；3)為信息安全管理體系配備必要的資源；5)負(fù)責(zé)公司信息安全管理和企業(yè)管理的計(jì)劃、組織、協(xié)調(diào)、監(jiān)督、控6)遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。1)負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體2)負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)2管理者代表3)負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求；4)負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)。1)負(fù)責(zé)本部門日常的具體信息安全工作，并參加信息安全管理工作小組所要求的各項(xiàng)活動(dòng)；2)負(fù)責(zé)按照ISMS體系的要求，對(duì)本部門所擁有和管理維護(hù)，包括資產(chǎn)的識(shí)別和分類、資產(chǎn)的威脅和脆弱性識(shí)別及安全需求級(jí)部門信息安全工作33)負(fù)責(zé)根據(jù)ISMS安全政策要求，在本部門提高員工安全意小組成員任，保護(hù)信息資產(chǎn)的安全，并確保已建立的安全控制措施持續(xù)有效；4)負(fù)責(zé)向信息安全管理工作小組組長(zhǎng)報(bào)告信息安全事件和違反信息安全政策的行為，協(xié)助對(duì)違反安全政策的行為進(jìn)行調(diào)查；5)協(xié)助信息安全管理工作小組組長(zhǎng)和本部門信息安全主管領(lǐng)導(dǎo)落實(shí)針我公司信息安全管理體系的歸口實(shí)施部門。1.負(fù)責(zé)軟件市場(chǎng)需求調(diào)查，匯總，軟件測(cè)試，軟件相關(guān)記錄保管2.負(fù)責(zé)涉密信息上網(wǎng)、涉密計(jì)算機(jī)運(yùn)行、檢修、報(bào)廢的監(jiān)督管理。3.對(duì)信息安全日常工作實(shí)施動(dòng)態(tài)考核，將信息安全管理作為企業(yè)管理44.參與涉密及司法介入的信息安全事件的調(diào)查。5.負(fù)責(zé)局域網(wǎng)上所承擔(dān)的各類信息系統(tǒng)的管理職能；