ITITM信息安全管理体系手册

  • 格式:docx
  • 大小:90.10 KB
  • 文档页数:68

xxxx有限公司

信息安全管理手册

文件历史控制记录

文件名称 信息安全管理手册

文件编号 IT-IT-M-0003

对应OA文号

版次 编制与修订概要 完成日期 状态

角色 人员

编写

初审

会签 密级 □机密 □保密 ■ 内部使用 □公开信息 受控状态 ■受控 □非受控

2011-12-01颁布 封面 2011-01-01 实施

深圳市xxxx有限公司 信息中心 发布 审核

批准 第一章前言

随着xxxx有限公司业务发展日益增长,信息交换互连面也随之增大,信息业务系统依赖性扩大,所带来的信息安全风险和信息脆弱点也逐渐呈现,原有信息安全技术和管理手段很难满足目前和未来信息化安全的需求,为确保xxxx有限公司信息及信息系统的安全,使之免受各种威胁和损害,保证各项信息系统业务的连续性,使信息安全风险最小化,xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评,定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改,分析了信息安全管理上的不足与缺陷,编制了差距测评报告。通过开展信息安全风险评估和等级保护测评,了解xxxx有限公司信息安全现状和未来需求,为建立xxxx有限公司信息安全管理体系奠定了基础。

2011年7月开展信息安全管理体系持续改进建设,依据信息安全现状和未来信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求,建立了符合xxxx有限公司信息安全管理现状和管理需求的信息安全管理体系,该体系覆盖了GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求12个控制领域、39个控制目标和133个控制措施。

本手册是xxxx有限公司信息安全管理体系的纲领性文件,由信息中心归口负责解释。第二章信息安全管理手册颁布令

xxxx有限公司(以下简称公司)依据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求,结合限公司实际情况,在原有的各项管理制度的基础上编制完成了《xxxx有限公司信息安全管理体系手册》第一版,现予以批准实施。

《xxxx有限公司信息安全管理体系手册》是公司在信息及信息系统安全方面的规范性文件,手册阐述了限公司信息安全服务方针,信息安全目标及信息安全管理体系的过程方法和策略,是公司信息安全管理体系建设实施的纲领和行动准则,是公司开展各项服务活动的基本依据;是对社会各界证实我公司有能力稳定地提供满足国际标准信息安全要求以及客户和法律法规相关要求的有效证据。适合公司信息化目前发展趋势需求,且内容充分、表达准确,现予颁布。

本手册定于2011年8月1日起实施,属强制性文件,要求各部门所有人员必须正确理解并严格贯彻全面执行。

xxxx有限公司

总经理签名:

日期: 2011年01月01日第三章公司介绍

1. 企业简介

xxxx有限公司(以下简称xxxx)始创于2002年4月,大致经过三个发展阶段:第一阶段,2002年—2004年,为创业期,全力开拓市场,实现在竞争激烈的行业中立足;第二阶段,2004—2006年,为整合期,整合一切有效资源,重力推出新产品,奠定以优质产品占据市场的方向,梳理并确立了经营理念、发展愿景、经营方针,完成了股份制改革;第三阶段,2006—至今,为蜕变期,立足电气传动、工业控制领域,为全球用户提供专业化产品和服务,于2010年在深交所A股上市,股票代码:002334,步入不断提升企业核心竞争力,并实现飞跃的阶段。

目前xxxx设有国内办事处30多个,海外办事处2个,拥有海内外经销合作伙伴上百家,用户遍布全球50多个国家和地区。

xxxx是国家级高新技术企业,拥有深圳市唯一的“变频器工程技术研究开发中心”。

在吸收国外先进技术的基础上,结合近十年变频推广应用经验和当今电力电子最新控制技术,研制出高、中、低压通用及各行业专用变频器、交流伺服系统、制动单元、能量回馈单元等产品。并在市政、建材、塑胶、油田、机械、化工、冶金、纺织、印刷、机床、矿山等行业广泛应用。

xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压660V/1140V系列、高压CHH(3KV/6KV/10KV)系列等,功率范围涵盖0.4~8000kW,满足不同行业不同场合的各种变频控制应用需求。

成熟矢量控制技术、各行业专用变频控制技术的掌握以及国际领先四象限控制技术的突破使xxxx的发展持续领先,成为中国变频器行业的领导者。高性能交流伺服系统的开发与成功应用标志着xxxx向运动控制领域的拓展与延伸。

xxxx在“众诚德厚、业精志远”的经营理念指导下,坚持在不断创新、精益求精中与包括员工、股东、供应商、客户等广大合作伙伴共同发展,公司的自主创新及品牌美誉度在行业中已经占有重要地位,并得到社会的广泛认同。

2. 企业文化 经营理念:众诚德厚 业精志远

愿 景:成为全球领先、受人尊敬的电气传动、工业控制领域的产品和服务供应商。

使 命:竭尽全力提供物超所值的产品和服务,让客户更有竞争力。

经营方针:创新 品质 标准化 共同发展

核心价值观:众诚德厚 拼搏创新

人才理念:人才是企业第一资本 尊重人才,经营人才

质量方针:提供不断优化的产品和服务,提高客户满意度。

3. 企业标识:

标识释义:

xxxx企业标徽有两种色彩:xxxx红(M100 Y80)、xxxx蓝(C100 M80

K40),红色体现进取和活力,蓝色象征包容和专注的钻研精神。字体设计简洁、凝聚、浑厚、扩张,传达xxxx通过与合作伙伴和员工的合力凝聚坚固产品品质,厚重企业诚信、拼搏创新、走向国际、再创新高的思想。

➢ “INVT”是变频器(inverter),也是创新()和美德(virtue)的结合,是xxxx核心价值观“众诚德厚,拼搏创新”的标识承载;

➢ 首字母“i”色彩红蓝结合,强调xxxx企业——个人与团队、个人与公司、xxxx与客户、供应商的相互信赖,共同发展;

➢ 红色圆点是旭日也是星球,蓝色体现企业所在地域——滨海城市深圳,体现xxxx电气立足本土,致力于成为全球领先、受人尊敬的电气传动、工业控制领域产品/服务供应商的远景目标。第四章信息安全管理目标

根据国家信息安全等级保护要求、公司下达的目标与指标、公司信息化发展战略目标、信息安全风险评估结果、信息用户的满意度,结合公司实现目标所需的资源,识别公司的信息安全目标与指标。

公司每年年底制定下一年度的信息安全目标与指标,公司制定完成信息安全目标与指标的工作计划,将目标、指标的层层分解,并落实完成。下列是详细的信息安全目标:

目标类别 目标项 目标值 目标换算方法 统计

周期

信息安全目标 不可接受风险处理率 100% (不可接受风险数处理数/不可受风险总数)×100% 年

机密信息泄密事件 0次 按实际发生次数统计 年

秘密信息泄密事件 0次 按实际发生次数统计 年

特别重大突发事件(Ⅰ级) 0次 按实际发生次数统计 年

重大突发事件(Ⅱ级) 0次 按实际发生次数统计 年

较大突发事件(Ⅲ级) 0次 按实际发生次数统计 年

一般突发事件(Ⅳ级) 0次 按实际发生次数统计 年

内部审核及管理评审实施及时率 100% 按计划实施 年

员工入职培训完成率 100% (入职员工参训人数/入职员工总数)×100% 年

信息安全培训计划完成率 100% (实际培训次数/计划培训次数)×100% 年

信息安全运行指标 大面积感染计算机病毒次数 0次 按实际发生次数统计 年

由于网络故障导致关键业务中断次数 0次 按实际发生次数统计 年

员工保密协议签订率 100% (实际签订人数/入职总人数)×100% 年

重要信息备份及时率 100% (实际备份数/计划备份数)×100% 年

内部审核不符合项整改率 ≥90% (不符合项整改完成数/不符合项总数)×100% 年

计算机故障处理完成率 100% (实际处理数/故障总数)×100% 年 目标类别 目标项 目标值 目标换算方法 统计

周期

容量不足导致业务故障次数 ≤3 按实际发生次数统计 年

计算机口令强度符合率 100% (帐号符合数/帐号总数)×100% 年

注:公司的信息安全目标不限此,可根据各部门的实际业务进行调整或分解。 第五章 信息安全会议

1. 信息安全会议要求

1.1. 公司应在每年一次的信息化工作会议上,总结汇报本年度的信息安全工作情况。

1.2. 公司应在每季度召开的计算机管理会议中,总结本季度的信息安全工作情况。

1.3. 公司信息中心应在每月召开的信息管理工作例会中,总结本月的信息安全工作情况。

1.4. 公司应根据风险变化的需要或在重大活动期间,不定期召开信息安全专题会。

2. 信息安全会议记录管理

2.1. 公司应及时制定相关的信息安全管理文件、信息安全数据与记录。

2.2. 信息安全管理数据与记录包括:

1) 信息安全会议纪要

2) 信息安全事故调查报告

3) 信息安全事件整改报告

4) 信息安全检查整改方案

5) 信息安全审计记录

6) 技术档案资料

7) 培训记录

8) 信息安全作业活动数据与记录

9) 信息安全事件通报、整改活动

10) 信息安全检查活动 11) 应急演练活动

12) 信息系统定级备案活动

13) 信息安全审计活动

14) 信息安全风险评估活动

15) 数据与记录要求:真实、完整、齐全、准确、及时。

3. 信息文件的管理

3.1. 根据精简、高效的原则,制定公司信息安全工作和管理流程,包括:

1) 信息安全管理流程

2) 信息安全事件处理流程

3) 信息安全应急流程

4) 其它相关流程

3.2. 每年回顾流程的效率,必要时修订、增加或废除不必要的流程或环节。

3.3. 信息安全管理流程和信息安全事件处理流程纳入信息安全管理体系中管理

3.4. 信息安全应急流程纳入《xxxx有限公司网络与信息安全专项应急预案》中管理。

3.5. 根据管理变化、技术变化,公司定期修订如下:

1) 更新管理手册、程序文件、作业指导书或管理制度、办法;

2) 更新培训要求;

3) 更新应急处置程序;

3.6. 对涉及到的所有信息安全风险进行回顾分析;