下载文档原格式
XXXXXXXXX有限责任公司信息安全管理体系程序文件编号:XXXX-B-01~XXXX-B-41(符合ISO/IEC 27001-2013标准)拟编:信息安全小组日期:2015年02月01日审核:管代日期:2015年02月01日批准:批准人名日期:2015年02月01日发放编号: 01受控状态:受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理,规范整个知识产权管理工作,保证知识产权管理工作的每个环节的合理性、有效性和流畅,为组织的知识产权保护与管理奠定基础。
ISO27001纠正预防措施控制程序纠正预防措施控制程序(ISO27001-2013)1 适用本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的控制。
2 目的为对不符合/潜在不符合进行分析、采取措施,并予以消除,以逐步改进和完善信息安全管理体系,特制定本程序。
3 职责XX部为公司信息安全管理体系纠正/预防措施的归口管理部门,负责组织相关部门进行信息安全数据的收集及分析,确定不符合/潜在不符合原因,评价纠正/预防措施的需求,组织相关部门制定纠正/预防措施,并由行政部负责跟踪验证。
4 程序4.1 纠正/预防措施信息来源有:a. 公司内外安全事件记录、事故报告、薄弱点报告;b. 日常管理检查及技术检查中指出的不符合;c. 信息安全监控记录;d. 内、外部审核报告及管理评审报告中的不符合项;e. 相关方的建议或抱怨;f. 风险评估报告;g. 其他有价值的信息等。
4.2 XX部每半年组织相关部门利用4.1条款所规定的信息来源,分析确定不符合/潜在不符合及其原因,评价防止不符合发生的措施的需求,并形成《信息安全风险评估报告》。
采取纠正/预防措施应与潜在问题的影响程度相适应,对于以下情况的不符合/潜在不符合应采取纠正/预防措施:a. 可能造成信息安全事故;b. 可能影响顾客满意程度、造成顾客抱怨与投诉;c. 可能影响本公司的企业形象与经济利益;d. 可能造成生产经营业务中断。
对于各部门日常发现报告的重大安全隐患(安全薄弱点),行政部应组织有关部门进行原因分析,采取纠正/预防措施。
4.3需制定纠正/预防措施时,由XX部组织有关部门制定纠正/预防措施对策,确定实施纠正/预防措施的部门,经管理责任人批准后予以实施。
4.4 当问题原因不确定或责任重大时,由采取纠正/预防措施的部门呈报公司信息安全最高责任者,必要时,应提交公司信息安全管理委员会进行专题研究,商讨对策。
4.5 实施纠正/预防措施的部门应认真执行,作好执行结果的记录。
文件制修订记录1、文档介绍1.1 编写目的采取有效的改进、纠正和预防措施,确保信息安全管理体系的持续改进。
1.2 适用范围适用于改进、纠正和预防措施的制定、实施和验证。
1.3 引用文件ISO/IEC 27001:20222、角色和职责·管理者代表负责监督、协调改进、纠正和预防措施的实施。
·管理运营部负责组织相关部门对体系出现的不合格采取纠正措施并验证实施的结果。
·管理运营部负责对持续改进的策划,对出现存在的或潜在不合格,采取相应的纠正和预防措施并验证实施的结果。
·各部门负责实施相应的改进、纠正和预防措施。
3、内容3.1 持续改进的策划公司通过内审、管理评审及相应的纠正和预防措施,建立自我完善的机制;纠正/预防措施信息来源有:A. 公司内外安全事件记录、事故报告、薄弱点报告;B. 日常管理检查及技术检查中指出的不符合;C. 网络运维的监控记录;D. 内、外部审核报告及管理评审报告中的不符合项;E. 相关方的建议或抱怨;F. 风险评估报告;G. 其他有价值的信息等。
3.2 纠正措施1) 对于存在的不合格应采取纠正措施,以消除不合格原因,防止不合格再发生,纠正措施应与问题的影响程度相适应;2) 不合格识别、原因分析、措施制订及实施验证:·对内审及管理评审发现的不合格,由责任部门根据《内审不符合项报告》的不合格事实分析原因,制订纠正措施并实施,管理运营部组织内审员跟踪验证实施结果。
·对管理过程出现的重大问题或不合格由管代组织责任部门填写《纠正和预防措施处理单》,分析原因、制订措施、实施改进并跟踪实施结果。
·对顾客投诉的不合格,填写《信息反馈单》转管理运营部确认,分析原因、制订纠正预防措施并将结果转给客服人员,由客服及时转告顾客,确保顾客满意。
3) 每项纠正措施完成后,监督部门进行跟踪验证,该部门负责人对实施效果的有效性进行评审,评审其能否防止类似不合格的继续发生。
编写委员会信息安全管理手册GLSC2020第A/0版编写:审核:批准:受控状态:XXX网络科技有限公司发布时间:2020年9月1日实施时间:2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全,依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际,特制定信息安全管理手册(以下简称“管理手册”)A/0版。
《管理手册》阐述了公司信息安全管理,并对公司管理体系提出了具体要求,引用了文件化程序,是公司管理体系的法规性文件,它是指导公司建立并实施管理体系的纲领和行动准则,也是公司对所有社会、客户的承诺。
《管理手册》是由公司管理者代表负责组织编写,经公司总经理审核批准实施。
《管理手册》A/0版于2020年9月1日发布,并自颁布日起实施。
本公司全体员工务必认真学习,并严格贯彻执行,确保公司信息安全管理体系运行有效,实现信息安全管理目标,促使公司信息安全管理工作得到持续改进和不断发展。
在贯彻《管理手册》中,如发现问题,请及时反馈,以利于进一步修改完善。
授权综合部为本《管理手册》A/0版的管理部门。
XXX网络科技有限公司总经理:2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》,加强对管理体系运作的领导,特任命gary为本公司的信息安全管理者代表。
除履行原有职责外,还具有以下的职责和权限如下:(1)确保信息安全管理体系的建立、实施、保持和更新;进行资产识别和风险评估。
(2)向最高管理者报告管理体系的有效性和适宜性,并作为评审依据用于体系的改进;(3)负责与信息安全管理体系有关的协调和联络工作;(4)负责确保管理手册的宣传贯彻工作;(5)负责管理体系运行及持续改进活动的日常督导;(6)负责加强对员工的思想教育和业务、技术培训,提高员工信息安全风险意识;(7)主持公司内部审核活动,任命内部审核人员;(8)代表公司就公司管理体系有关事宜与外部进行联络。
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系(ISMS)的要求。
它旨在确保组织合理评估信息安全风险,并采取适当的安全措施来保护机密性、完整性和可用性。
2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术-安全技术-信息安全管理体系-概述和词汇- ISO/IEC 27002.2013 信息技术-安全技术-信息安全管理实施指南- ISO/IEC 27003.2017 信息技术-安全技术-信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准:- 组织:指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。
- 高层管理:按照组织的要求,履行其职权和责任的最高级别管理职位。
- ISMS:信息安全管理体系。
4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望,以及相关方和利益相关者,以确保ISMS的有效性。
5.领导的承诺高层管理应明确表达对ISMS的支持和承诺,确保其适当实施和维护,并提供资源以满足ISMS的要求。
6.政策组织应制定和实施信息安全政策,为ISMS提供框架和方向,并与组织的活动和风险管理策略保持一致。
7.组织内部的风险评估组织应在ISMS实施之前进行风险评估,以确保全面了解和评估信息资产相关的威胁和风险。
8.管理资源组织应为ISMS指定适当的资源,包括人员、设备和财务资源,以确保其有效实施、操作、监控、审查和持续改进。
9.专门支持组织应为ISMS提供必要的支持,包括培训、意识和沟通,以确保员工的积极参与和遵守ISMS的要求。
10.安全风险管理组织应基于风险评估结果,采取适当的措施来管理和缓解信息安全风险,确保信息资产的安全性。
最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本:A/0受控状态:XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制:文件编写小组审批: XXX版本:A/0受控状态:受控文件编号:LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页:序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了XXXXXX技术服务有限公司《信息安全管理手册》。
修订日期:2019.12.18修订日期:2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2 目的本程序规定了本公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
3 范围本程序适用于第一次完整的风险评估和定期的再评估。
在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。
辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。
4.2 策划与实施风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1 各部门负责人负责本部门的信息资产识别。
4.3.2 办公室经理负责汇总、校对全公司的信息资产。
修订日期:2019.12.184.3.3 办公室负责风险评估的策划。
4.3.4 信息安全小组负责进行第一次评估与定期的再评估。
5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。
5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
5.2 信息资产的识别5.2.1 本公司的资产范围包括:5.2.1.1信息资产1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。
xx电子商务技术有限公司版本:A
管理评审控制程序
JSWLS/IP-04-2009
编制:xx
审核:xx
批准:xx
程序文件修改控制
管理评审控制程序
1 目的
按计划的时间间隔评审公司信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
2 范围
本程序适用于公司信息安全管理体系的评审。
3 职责
3.1总经理主持管理评审活动,批准“管理评审报告”。
3.2管理者代表
3.2.1负责向总经理报告信息安全管理体系运行情况,提出改进建议。
3.2.2审核“管理评审计划”,编写“管理评审报告”。
3.2.3负责对评审后的纠正、预防措施进行跟踪和验证。
3.3营销中心
3.3.1负责“管理评审计划”的拟定。
3.3.2收集、提供和保管管理评审所需资料。
3.4各部门
3.4.1负责提供与本部门有关的评审所需的资料;
3.4.2负责实施管理评审中提出的相关的纠正、预防措施。
4 相关文件。
