ISO27001-2013信息安全职责

Information technology — Security techniques — Information security management systems — RequirementsTechnologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information — Exigences© ISO/IEC 2013INTERNATIONAL STANDARD ISO/IEC 27001Second edition 2013-10-01Reference number ISO/IEC 27001:2013(E)ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求Information technology- Security techniques-Information security management systems-RequirementsISO/IEC 27001:2013(E)Contents Page Foreword ........................................................................................................................................................................................................................................ͳ0 Introduction ...............................................................................................................................................................................................................͵1 Scope .................................................................................................................................................................................................................................ͷ2 Normative references ......................................................................................................................................................................................ͷ3 Terms and definitions .....................................................................................................................................................................................ͷ4 Context of the organization .......................................................................................................................................................................ͷ4.1 Understanding the organization and its context . (5)4.2 Understanding the needs and expectations of interested parties (5)4.3 Determining the scope of the information security management system (5)4.4 Information security management system (7)5 Leadership (7)5.1 Leadership and commitment (7)5.2 Policy (7)5.3 Organizational roles, responsibilities and authorities (9)6 Planning (9)6.1 Actions to address risks and opportunities (9)6.2 Information security objectives and planning to achieve them (13)7 Support (13)7.1 Resources (13)7.2 Competence (13)7.3 Awareness (13)7.4 Communication (15)7.5 Documented information (15)8 Operation (17)8.1 Operational planning and control (17)8.2 Information security risk assessment (17)8.3 Information security risk treatment (17)9 Performance evaluation (17)9.1 Monitoring, measurement, analysis and evaluation (17)9.2 Internal audit (19)9.3 Management review (19)10 Improvement (21)10.1 Nonconformity and corrective action (21)10.2 Continual improvement (21)Annex A (normative) Reference control objectives and controls (23)Bibliography (49)目次前言 (2)引言 (4)1 范围 (6)2 规范性引用文件 (6)3 术语和定义 (6)4 组织环境 (6)5 领导 (8)6 规划 (10)7 支持 (14)8 运行 (18)9 绩效评价 (18)10 改进 (22)附录 A （规范性附录）参考控制目标和控制措施 (24)参考文献 (50)ISO/IEC 27001:2013(E)ForewordISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2. The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. ISO/IEC 27001 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.This second edition cancels and replaces the first edition (ISO/IEC 27001:2005), which has been technically revised.1前言ISO（国际标准化组织）和IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理，安全管理所达到的目标如下：确保业务系统中所有数据及文件的有效保护，未经许可的用户无法访问数据。

对用户权限进行合理规划，使系统在安全状态下满足工作的需求。

2、机房访问控制机房做为设备的集中地，对于进入有严格的要求。

只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。

系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。

严格遵守机房管理制度。

3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全，不允许未经许可的用户进入到公司网络中。

第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。

为防止主机系统被不安全访问，采取以下措施：操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核，１个月做一次修改，口令要向其他人员保密。

在应用系统实施阶段，考虑到应用软件提供商需要对自己的产品进行调试，可以在调试时将应用管理用户口令暂时开放给应用软件提供商；调试一结束系统管理员马上更改口令。

对口令设定必需满足以下规范：5、数据库访问控制为有效的保障业务数据的安全，采取以下措施：数据库内具有较高权限的管理用户口令由办公室数据库管理员设定，并由办公室审核，不能向其他人开放。

口令必须１个月做一次修改。

业务系统后台数据库对象创建用户的口令由数据库管理员设定，由技术研发部审核。

不能向其他人开放。

口令必须1个月做一次修改。

对口令设定必需满足以下规范：根据操作需求，在数据库中分别建立对业务数据只有“增、删、改”权限的用户；对业务数据只有“查询”权限的用户。

不同的操作需求开放不同权限的用户。

除技术研发部的人员外，其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理，必须由技术研发部人员执行。

6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制，操作用户权限控制到菜单一级，对于操作用户的安全管理有如下规范：所有应用级的操作用户及初始口令统一由技术研发部设定，以个人邮件的形式分别发给各部门的操作人员。

xx 有限公司ISO/IEC 27001:2013编制：审核：批准：受控编号：HTGK-IM-01版本号：A/1 2016年3月1日颁布2016年3月2日发行颁布令经公司全体员工的共同努力下，依据ISO/IEC27001:2013标准编写的xx 有限公司信息安全管理体系已经得到建立并实施。

指导信息安全管理体系运行的信息安全管理体系手册经评审后，现予以批准发布。

《信息安全管理体系手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理体系手册》所描述的规定，不断增强持续满足顾客要求，相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质，安全的产品开发和维护服务，以确定公司在社会上的良好信誉。

《信息安全管理体系手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。

《信息安全管理体系手册》一经发布，全体员工必须认证学习，切实执行。

本手册自2016年3月2日正式实施。

总经理：2016年3月2日授权书为贯彻执行ISO/IEC 27001:201《3 信息安全管理体系》，加强对信息管理体系运行的领导，特授权：1,授权XX为公司管理者代表，其主要职责和权限为：a,确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。

确保信息安全业务风险得到有效控制。

b,向最高管理者报告信息安全管理体系业绩（绩效）和任何改善机会,为最高管理层评审提供依据。

c,确保满足顾客和相关方要求，法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。

d,在信息安全管理体系事宜方面负责与外部的联络。

2,授权梁昆山为ISMS信息安全管理项目责任人，其主要职责和权限为:确保信息安全管理方案的控制措施得到形成、实施、运行和控制。

3,授权各部门主管为信息安全管理体系在本部门的责任人,对ISMS 要求在本部门的实施负责。

总经理：2016年3月1 日1、前言XX有限公司《信息安全管理体系手册》（以下简称本手册）依据ISO/IEC 27002：2013《信息技术-安全技术-信息安全管理实用规则》，结合本行业信息安全的特点编写。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

xx电子商务技术有限公司版本：A各部门信息安全管理职责JSWLS/IP-40-2009编制：xx审核：xx批准：xx2009-6-28发布2009-7-1实施xx电子商务技术有限公司发布xx电子商务技术编号：JSWLS/IP-40-2009有限公司程序文件版次：A/0程序文件修改控制序号版次修改章节修改人审核人批准人修改日期程序文件版次：A/0各部门信息安全管理职责1 总经理（1）负责组织建立公司信息安全管理体系。

（2）负责制定、发布公司信息安全方针。

（3）负责组织各部门定期评审、更新公司信息安全方针。

（4）负责向公司员工和外部提出信息安全管理承诺。

（5）负责实施公司信息安全资源的配置。

（6）负责公司信息安全管理体系评审工作。

（7）负责组织公司信息安全管理体系持续改进工作。

（8）负责公司信息安全管理体系内部协调工作。

（9）负责公司各部门信息安全管理职责的审批工作。

（10）负责组织公司信息安全管理体系符合安全策略和标准。

（11）负责组建公司信息安全管理委员会。

（12）负责任命公司信息安全管理者代表。

2 管理者代表（1）协助总经理建立公司信息安全管理体系。

（2）协助总经理制定、发布公司信息安全方针。

（3）协助总经理组织各部门定期评审、更新公司信息安全方针。

（4）协助总经理向公司员工和外部提出信息安全管理承诺。

（5）协助总经理实施公司信息安全资源的配置。

（6）协助总经理公司信息安全管理体系评审工作。

（7）协助总经理组织公司信息安全管理体系持续改进工作。

（8）协助总经理公司信息安全管理体系内部协调工作。

（9）协助总经理公司各部门信息安全管理职责的审批工作。

（10）协助总经理组织公司信息安全管理体系符合安全策略和标准。

程序文件版次：A/0（11）负责主持公司信息安全管理体系内部审核工作。

3 信息安全管理委员会（1）负责实施公司信息安全管理体系风险评估。

（2）负责根据风险评估制定相关措施。

（3）负责建立公司适用性声明。

目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色，职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。