银行ISO27001管理体系手册
- 格式:doc
- 大小:74.50 KB
- 文档页数:14
德信诚培训网
更多免费资料下载请进:http://www.55top.com 好好学习社区
银行ISO27001管理体系手册
1 目的和适用范围
目的
为建立、健全银行信息科技部信息安全管理体系(简称ISMS),确定信息安全方针和目标,
对信息安全风险进行有效管理,确保信息科技部全体员工理解并遵照执行信息安全管理体系
文件、持续改进ISMS有效性,特制定本手册。
范围
本手册适用于银行信息安全管理活动。
2 引用标准
ISO/IEC 27001:2005 <信息技术——安全技术——信息安全管理体系——要求>
ISO/IEC 27002:2005<信息技术——安全技术——信息安全管理实施细则>
3 术语和定义
3.1本手册中使用术语的定义采用ISO/IEC 27001:2005《信息技术——安全技术——信息
安全管理体系——要求》中的定义
3.2 缩写
ISMS:Information Secutity Management Systems 信息安全管理体系。
SoA:Statement of Applicability 适用性说明
PDCA:Plan、DO、Check、Act
4 信息安全管理体系
4.1 总要求
银行信息科技部根据ISO/IEC 27001:2005标准在整体业务活动和所面临风险的环境下建
德信诚培训网
更多免费资料下载请进:http://www.55top.com 好好学习社区
立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。ISMS所涉及的
过程基于以下PDCA模式:
4.2建立和管理ISMS
4.2.1建立 ISMS
4.2.1.1 ISMS的范围和周界
1) 银行主要从事个人服务、企业服务、卡服务等,信息科技部为金融服务提供IT基础
架构的支持服务,确保整体金融业务过程的有序开展;
2) 银行总行信息科技部所有物理区域及人员;
4.2.1.2 根据业务、组织、位置、资产和技术等方面的特性,银行信息科技部在确定ISMS
方针时,应考虑以下方面的要求:
1)包括设定目标的框架和建立信息安全工作的总方向和原则。
2)考虑业务和法律法规的要求,及合同中的安全义务。
3)银行信息科技部根据战略性风险管理环境下,建立和保持ISMS。
4)建立风险评估的准则。
建立ISMS
保持和改进
ISMS
实施和运作
ISMS
监控&评审
ISMS
相关方 已被管理的信息安全 相关方
信息安全
要求&期
望、法律
法规
策划
(D)
措施
实施
检查