ISO27001:2022信息安全管理手册+全套程序文件+表单.docx

上传人:暗伤 文档编号:96667530 上传时间:2024-02-25 格式:DOCX 页数:369 大小:1.42MB
返回 下载 相关 举报
ISO27001:2022信息安全管理手册+全套程序文件+表单.docx_第1页
第1页 / 共369页
ISO27001:2022信息安全管理手册+全套程序文件+表单.docx_第2页
第2页 / 共369页
点击查看更多>>
资源描述

《ISO27001:2022信息安全管理手册+全套程序文件+表单.docx》由会员分享,可在线阅读,更多相关《ISO27001:2022信息安全管理手册+全套程序文件+表单.docx(369页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全管理手册+程序文 件表单全套(依据 ISO/IEC27001:2022 标准编制)目 录ISMS-B-01 信息安全风险管理程序ISMS-B -02文件控制程序ISMS-B-03 记录控制程序ISMS-B-04 纠正措施控制程序ISMS-B-05 预防措施控制程序ISMS-B-06 内部审核管理程序ISMS-B -07管理评审程序ISMS-B-08 信息分类管理程序ISMS-B-09 商业秘密管理程序ISMS-B-10 信息安全法律法规管理程序ISMS-B-11 知识产权管理程序ISMS-B-12 重要信息备份管理程序ISMS-B-13 业务持续性管理程序ISMS-B-14 信息安全沟

2、通协调管理程序ISMS-B-15 信息安全事件管理程序ISMS-B-16 信息安全奖惩管理程序ISMS-B-17 员工聘用管理程序ISMS-B-18 员工培训管理程序ISMS-B-19 员工离职管理程序ISMS-B-20 相关方信息安全管理程序ISMS-B-21 ISMS-B-22 ISMS-B-23 ISMS-B-24ISMS-B-25第三方服务管理程序安全区域管理程序门禁系统管理程序网络设备安全配置管理程序计算机管理程序ISMS-B-26 电子邮件管理程序ISMS-B-27 恶意软件管理程序ISMS-B-28 可移动介质管理程序ISMS-B-29 用户访问管理程序ISMS-B-30 信息处

3、理设施安装使用管理程序ISMS-B-31 信息系统验收管理程序ISMS-B-32 信息处理设施维护管理程序ISMS-B-33 变更管理程序ISMS-B-34 信息系统访问与使用监控管理程序ISMS-B-35 软件开发管理程序信息安全管理手册(依据ISO/IEC27001:2022 标准编制)编 号 :ISMS- A-01版 本 号: V1.0编制: 日 期 : 2 0 2X- 11-01审核: 日 期 : 2 0 2X- 11-01批准: 日 期 : 2 0 2X- 11-01受控状态受控文件修订记录版本编写人审核人批准人修订日期修订说明目 录1 概 述 11.1 颁布令 11.2 任命书 2

4、1.3 手册说明 32 规范性引用文件 53 术语和定义 54 组 织 环 境 54.1 理解组织及其环境 54.2 理解相关方的需求和期望54.3 确定ISMS的范围 54.4 信息安全管理体系65 领导作用 65.1 领导作用和承诺65.2 ISMS 管理方针 75.3 组织架构、职责和权限76 规划 76.1 风险和机遇的应对措施76.2 信息安全目标及其实现规划87 支 持 87.1 资源87.2 能力97.3 意识 107.4 沟通107.5 文件记录信息 118 运 行 138.1 运行的策划和控制 138.2 信息安全风险评估 148.3 信息安全风险处置 149 绩效评价 15

5、9.1 监视、测量、分析和评价 159.2 内部审核 159.3 管理评审 1510 改 进 1710.1 不符合和纠正措施1710.2 持续改进 1710.3 纠正措施1810.4 预防措施 19附录1-组织简介 20附录2-组织架构图 21附录 4-信息安全小组成员 25附录 5-服务器拓扑图 26附录 6-信息安全职责说明 271 概述1.1颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息 安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失, 我公司开展贯彻 ISO/IEC 27001:2022信息安全管理体系要求标准工作,建立、实

6、施和持续改进文件化的信息安全管理体系,制订了XXX 有限公司信息安全管理手册。信息安全管理手册经评审后,现予以批准发布。信息安全管理手册的发布,标志着我公司从现在起,必须按照信息安全管理体 系标准的要求和公司信息安全管理手册所描述的规定,不断增强持续满足顾客要求、 相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务,以确立公司在社会上的良好信誉。信息安全管理手册是公司规范内部管理的指导性文件,也是全体员工在向顾客 提供服务过程必须遵循的行动准则。信息安全管理手册 一经发布,就是强制性文件,全体员工必须认真学习、切实执行。XXX 有限公司

7、总经理: XXX202X 年 1 1 月 0 1 日1.2任命书任命书为贯彻执行 ISO/IEC 27001:2022信息安全管理体系要求,加强对信息管理体系运行的领导,特任命 曹飞澎 为公司管理者代表。授权信息安全管理者代表有如下职责和权限:1)确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;2)负责与信息安全管理体系有关的协调和联络工作;3)确保在整个组织内提高信息安全风险的意识;4)审核风险评估报告、风险处理计划;5)批准发布程序文件;6)主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;7)向最高管理者报告信息安全管理体系的业绩和改进要求,

8、包括信息安全管理体系运行情况、内外部审核情况。本任命书自任命日起生效执行。XXX 有限公司总经理: XXX202X 年 1 1 月 0 1 日1.3手册说明1.3.1总则信息安全管理手册的编制,是用以证明已建立并实施了一个完整的文件 化的信息安全管理体系。通过对各项业务进行风险评估,识别出公司的关键资产,并根据资产的不同级别风险采取与之相对应的处理措施。信息安全管理手册为审核信息安全管理体系提供了文件依据。信息安全管理手册证明公司已经按照 ISO/IEC27001:2022 标准的要求建 立并实际运行一套信息安全管理体系。 信息安全管理手册的编制及颁布可以 对公司信息安全管理各项活动进行控制,

9、指导公司开展各项业务活动,并通过不断的持续改进来完善信息安全管理体系。1.3.2信息安全管理手册的批准管理者代表负责组织信息安全小组编制信息安全管理手册及其相关规章制度,总经理负责批准。1.3.3信息安全管理手册的发放、作废与销毁(1)综合管理部负责按文件控制程序的要求,进行信息安全管理手册的登记、发放、回收、归档、作废与销毁工作。(2)各相关部门按照受控文件的管理要求对收到的信息安全管理手册进行使用和保管。(3)综合管理部按照规定发放修改后的信息安全管理手册,并收回失效的文件做出标识统一处理,确保有效文件的唯一性。(4)综合管理部保留信息安全管理手册修改内容的记录。1.3.4信息安全管理手册

10、的修改信息安全管理手册如根据实际情况发生变化时,应用信息安全体系相关 部门提出申请,经综合管理部讨论、商议,信息安全代表审核、总经理批准后方 可进行修改。为保证修改后的手册能够及时发放给相关人员,综合管理部对手册实施修改后,应及时发布修改信息,通知相关人员。信息安全管理手册的修改分为两种:一是少量的文字性修改。此种修改不改变手册的版本号,只需在本手册的“文档修改记录”如实记录即可,不需保存手册修改前的文档原件。二是大范围的信息安全管理体系版本升级,即改版。在本手册经过多次修改、 信息安全管理体系建立依据的标准发生变化、公司的业务范围有较大调整的情况 下,需要对本手册进行改版。本手册的改版应该对

11、改版前的信息安全管理手册原件进行保存。在出现下列情况时, 信息安全管理手册可以进行修改:信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进 内部信息安全提出新的需求组织机构和职能发生变化经营环境和产品结构有调整发现本手册中存在差错或不明确之处 引用的法规或体系标准有修改 体系审核或管理评审提出改进要求本手册的更改控制按文件管理程序执行1.3.5信息安全管理手册的换版信息安全管理手册进行换版,换版应在管理评审时形成决议,重新编制、审批工作。 当依据的 ISO/IEC 27001:2022信息安全管理体系有重大变化时,如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的。相

12、应的法律法规发生重大变化时,如国家法律法规、政策、标准等发生改变的。 信息安全管理手册发生需修改部分超过1/3时。 信息安全管理手册执行已满三年时。1.3.6信息安全管理手册的控制(1) 信息安全管理手册标识分受控文件和非受控文件:受控文件发放范围为公司领导、各相关部分的负责人、审计部或者内审员。非受控文件印制成单行本,作为投标书的资料、销售目的等发给受控范围以外的其他相关人员。(2) 信息安全管理手册分为书面文件和电子文件两种。2 规范性引用文件GB/T 22080-2016 信息技术 安全技术信息安全管理体系要求;GB/T 22081-2016 信息安全管理实用规则;与公司运营相关的法律法

13、规和技术标准。3 术语和定义本手册采用ISO/IEC 27001:2022 标准的术语和定义,并根据需要在相应章节所描 述的要求中,增补了所涉及的术语和定义;本手册出现的术语“产品”指的是公司提供的产品和服务;ISMS-Integrated Management System的缩写,代表“信息安全管理体系”;4组织环境4.1理解组织及其环境公司定期识别和信息安全管理目标相关,并影响实现信息安全管理预期结果的内外部问题。4.2理解相关方的需求和期望本公司确定:a) 与 ISMS 有关的相关方;b) 这些相关方与信息安全有关的要求。4.3确定 ISMS的范围应用范围:本信息安全管理手册规定了信息安

14、全管理体系涉及的开发和维 护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。产品和服务范围:与计算机应用软件的设计、开发及售后服务相关的信息安全管理活动区域范围:广东省深圳市八卦岭八卦路31 号众鑫科技大厦1310 室组织机构范围:管理层、技术部、销售部、综合管理部4.4信息安全管理体系4.4.1总则为了建立、实施、运行、监视、评审、持续改进信息管理管理体系,提高全 员的信息安全意识,对信息安全风险进行有效管理,使全公司贯彻落实安全方针 和各项安全措施,保护用户信息和资料,保证的信息资产免遭破坏,降低可能影 响到信息安全的各种风险,防止安全事故的发生。同时确保全

15、体员工理解并遵守 执行信息安全管理体系文件,持续改进信息安全管理体系的有效性,树立公司良 好的服务形象,增强用户对公司的技术和管理水平的信心,保证公司业务可持续开展,特制定本信息安全管理手册。4.4.2 ISMS 体系过程方法计划并建立计划修正执行检查监控并评审信息安全管理需求和期望相关方/ 第三方相关方/ 第三方持续并改进实施并运行信息安全管理5领导作用5.1领导作用和承诺总经理领导信息安全工作,并确定相应的职责和作用。制定信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。向公司传达满足信息安全目标以及信息安全方针,以及法律责任和持续改进的重 要性。提供足够的资源建立、实施、运行

16、、监控、评审、为何和改进 ISMS;决定可接受风险的标准和可接受风险的等级;确保按照标准严格执行 ISMS 内部审核并进行管理评审。5.2 ISMS 管理方针一 、 信息安全管理方针为了满足适用法律法规及相关方要求,维持 ISMS 范围内的业务正常进行, 实现业务可持续发展,本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针:满足客户要求,保障信息安全,遵守法律法规,持续改进管理。二、 信息安全管理目标1. 针对客户信息安全事件的投诉每年不超过1次2. 重要信息设备丢失每年不超过1起3.机密和绝密信息泄漏事件每年不超过1次三、 信息安全管理适用范围本信息安全管理

17、方针适用于公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。5.3组织架构、职责和权限5.3.1 ISMS 管理体系组织架构图附录2-组织架构图5.3.2 ISMS 管理职能分配见附录3-职能分配表5.3.3 职责和权限见附录8-信息安全职责说明6 规 划6.1风险和机遇的应对措施信息安全小组组织有关部门根据风险评估结果,形成风险处理计划,该计划明确了风险处理责任部门、负责人、处理方法及完成时间。对于信息安全风险和给予,应考虑控制措施与费用的平衡原则,选用以下适当的措施:控制风险,采用适当的内部控制措施。 接受风险(不可能将所有风险降低为零); 避免风险(

18、如物理隔离); 转移风险(如将风险转移给保险者、供方、分包商)。6.2信息安全目标及其实现规划6.2.1公司在相关职能、层次和信息安全管理体系所需的过程建立信息安全目标。信息安全目标应:a)与信息安全方针保持一致b) 可测量;c) 考虑适用的要求,以及风险评估和风险处置的结果;d) 得到沟通;e) 适时更新。组织应保持有关信息安全目标的文件化信息。6.2.2在策划信息安全目标的实现时,公司确定:a) 采取的措施;b) 所需的资源(见7 . 1);c) 责任人;d) 完成的时间表;e) 如何评价结果。7支持7. 1资源7.1.1总则总经理以及部门经理应确定、提供为建立、实施、保持和改进ISMS管

19、理体系所需的资源,应考虑现有的资源、能力、局限;7.1.2基础设施组织应识别、提供并保持实现产品/服务符合性所需的基础设施,这些设施包括: 工作场所相应的设施(办公电脑、服务器、软硬件、机房等); 服务过程设备,如各种通讯设备、监控设备和客户服务管理系统、业务系统(软件)等; 维修保养和保障设施(各种辅助设施、安全防护设施等);支持性服务,如运输、通讯信息系统等。7.1.3过程环境公司各部门应识别提供产品/服务所需环境中人和物的因素,并对其加以有效的控制,保证提供产品/服务过程中的人员、财产安全。过程环境可包括物理的、社会的、心理的和环境的因素。7.1.4监视和测量设备对照国际或国家的测量标准

20、,在规定的时间间隔或在使用前进行校准和检定,如果没有上述标准的,应记录校准或检定(验证)的依据,以确保下列设备处于正常状态:开发用途的电脑设备; 测试用途的电脑设备; 开发用途的软件; 测试用途的软件; 集成项目使用的设备。处于正常状态的设备应具备下列特征: 设备的型号能够符合预期的使用目的; 无论设备处于待用状态还是处于使用状态,设备均是正常的; 设备得到周期性的养护和校正,并标识其校准状态; 必要时,各部门使用设备进行测量前,应再次校准设备;测试软件应确认其具有满足预期用途的能力,初次使用前应进行确认,必要时可以进行重新确认。当发现软件或设备不符合要求时,应对以往的测量结果进行有效性评价和

21、记录,并对受影响的产品采取适当的措施。校准和检定结果的记录应予保存。7.1.5知识公司应确保 ISMS 管理体系运行过程中,提供产品/服务的符合性和顾客满意所需的知识。这些知识应得到保持、保护、需要时便于获取。在应对变化的需求和趋势时,组织应考虑现有的知识基础,确定如何获取必需的更多知识。7 .2能力公司应根据岗位所需的教育、培训、技能和经验要求,安排人员,以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要,能胜任其工作。对于人员的配置,公司人事行政部应定岗定编并制定完善的岗位说明文件。公司在员工培训管理程序中对在职培训、人员的意识的灌输和工作能力的增长作了要求,以便: 确定从事影响产

22、品/服务质量和信息安全的人员(包含营销、服务提供、质量检查 、IT 开发、顾客沟通、顾客信息反馈等)所必须的工作能力及培训需求; 提供培训或采取其他措施,以满足所确定的需求并确保达成必须的能力;对培训的有效性进行评价; 确保员工能意识到他们工作的相关性和重要性,以及他们如何为达到ISMS 目标做出努力; 保存有关教育、经验、培训、资格的适当的记录。7.3意识公司应确保工作的人员意识到: ISMS 管理方针; 相关的信息安全目标;他们对信息安全管理体系有效性的贡献,包括改进绩效的益处; 偏离信息安全管理体系要求的后果。7 .4沟通管理者代表为信息安全沟通交流主管部门,负责内、外部信息的交流与管理

23、,及时 将信息进行处理传递给有关部门。各部门负责涉及自身职责范围内的信息安全信息的沟通交流工作,收集与外部相关方的信息资料,并保存回复的证据。7.4.1内部信息信息安全方针、目标及实施方案资产识别与风险评估职责与权限的传达与落实培训教育的实施与效果监控与测量结果的反馈及法律、法规的符合情况不符合的纠正和预防措施的执行情况紧急状态下的信息等7.4.2外部信息信息安全方针通报相关方,对外宣传;法律、法规的获取与监测及执法部门的联络;监控、检测结果的外部联络和接受、答复;认证与监督审核;7.4.3管理者代表应与相关方就影响他们的信息安全的变更进行协商。公司制定信息安全沟通协调管理程序规范信息安全沟通

24、过程,必要时,保留信息交流相关证据。7.5文件记录信息7.5.1文件体系结构信息安全管理体系的文件由上而下分为四个层次,如下图所示:管理手册程序文件作业指导、规范规章制度、计划表单记录信息安全管理体系文件包括:(1)管理手册(信息安全手册、信息安全策略):规定信息安全管理体系的文件, 是公司内部的信息安全法规,阐述了信息安全管理体系的方针、目标、范围、组织结构 和职责权限,同时描述了信息安全管理体系的主体文件(程序文件),是信息安全管理体系的纲领性文件。(2)程序文件:是信息安全手册的支持性文件,规定了实施与信息安全管理体系 有关的各项活动的途径和方法,是各项活动得以有效实施的保障。与信息安全

25、管理体系有关的各项活动必须按照程序文件规定实施,并定期对其进行评审,保持其有效性。(3)作业指导、规范规章制度、计划等:是现场或岗位使用的详细工作文件,是程序文件的支撑和补充性文件,是信息安全管理体系过程得以有效策划、运行、控制所需要的文件,也是信息安全活动的基础文件。(4)表单记录:通过表单模板,对信息安全管理体系实施的一系列活动进行规范,形成记录文件,用于作为管理评审、内部审核、外部审核、持续改进的客观证据。信息安全手册、程序文件和作业指导、规范规章制度、表单记录等四层文件由信息安全小组组织协调各相关部门共同完成编写。支持文件:文件控制程序7.5.2文件控制综合管理部组织编制文件控制程序,

26、确保信息安全管理体系的文件在以下几个方面得到控制:(1)文件发布前得到批准,以确保文件是充分与适宜的。(2)管理体系文件应定期进行评审、修订完善,并再次批准以保持文件要求与实际运作的一致性,充分保障文件的有效性、充分性和适宜性。(3)确保文件的更改和现行修订状态得到识别。(4)确保在使用处可获得适用文件的有关版本。(5)确保文件保持清晰、易于识别。(6)确保综合管理部确定的体系所需的外来文件得到识别,并控制其分发。(7)防止作废文件的非预期使用,若因任何原因而保留作废文件时,对这些文件进行适当的标识。(8)具体执行按文件控制程序的规定,对文件的审核、批准、发布、变更、修改、废止等环节进行控制。

27、支持文件:文件控制程序7.5.3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据,对记录的 标识、储存、保护、检索、保管、废弃等事项进行了规定,各部门应根据记录控制程序的要求采取适当的方式妥善保管信息安全记录,具体记录如下:(1)建立并保持记录,以提供符合要求和信息安全管理体系有效运行的证据。(2)保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记录应保持合法,易于识别和检索。(3)编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。(4)记录的要求和管理:真实、完整、字迹清晰,可识别是何种产品或项目的何种活动。 填写及时、禁

28、止未经许可的更改。 各部门应对本部门的记录自行归档保存,保存环境应适宜,以防止记录损坏、变质和丢失,保管方式便于存取和检索。记录的保存期限应根据产品的特点、法规要求及合同要求来决定,见“记录清单”。 超过保存期的质量记录处理应按审批规定进行处置。支持文件:记录控制程序8 运 行8.1运行的策划和控制公司规定了实现与计算机应用软件的设计、开发及售后服务所需的过程,这些过程 与公司 ISMS 管理体系中的其他要求相一致并对其顺序和相互作用予以确定。公司识别 每一过程对满足客户服务要求的能力的影响,并确保营运活动中每个质量特性都受到有效控制。8.1.1 ISMS运行总要求实现过程的策划中应明确:质量

29、目标和要求;明确各岗位的信息安全职责;服务标准明确过程控制的准则和方法,制定必要的作业指导文件,为产品和服务实现提供资源和设施,保证其所需的工作环境;保留服务过程提供及过程测量和检查结果的记录。经识别公司没有外包过程。对于公司的服务商,综合管理部按照第三方服务管理程序进行管理。8.2信息安全风险评估8.2.1风险评估的方法信息安全小组负责组织编制信息安全风险管理程序,建立识别适用于信息安全 管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法,在决定风险的可接受范围内,采取适当的风险控制措施。8.2.2识别风险在信息安全管理体系范围内,对所有信息资产进行识别评价,识别资产面临的威胁 以

30、及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险,并通过这些项目的风险标识推算出对重要资产造成的影响。8.2.3分析和评价风险针对每一项信息资产,识别出其面临的所有威胁,并考虑现有的控制措施,识别出被该威胁可能利用的薄弱点。针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判断安全失效发生的可能性。根据信息安全风险管理程序计算风险等级以及风险接受准则,判断风险为可接受或需要处理。8.2.4识别和评价风险处理的选择项目风险的识别贯穿整个业务活动过程,明确哪些风险可能影响项目造成影响、记 录这些风险的各方面特征。在记录风险的基础上对项目进行初步分析,依据影响对

31、项目风险进行优先级排序。综合管理部根据风险评估的结果,形成信息安全风险评估表(含),该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略,具体措施如下:(1)适时适当的控制措施。(2)规避风险,采取有效的控制措施避免风险的发生。(3)接受风险,在一定程度上有意识、有目的地接受风险。(4)风险转移,转移相关业务风险到其他方面。(5)消减风险,通过适当的控制措施降低风险发生的可能性。8.3信息安全风险处置组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。详见信息安全风险管理程序8.3.1相关文件信息安全风险管理程序9 绩效评价9.1监视、测量、分析和评价为了保证服务的

32、符合性及实施必要的改进,应规定、策划和实施所需的测量和监视 活动。在策划时,应确定统计技术及其他适用的方法的需要和使用。需要监视和测量的过程和措施包括:客户满意度测量、过程的监视和测量、产品的监视和测量。综合管理部应组织相关部门,对质量服务信息安全措施的绩效和体系的有效性进行评价。综合管理部应与各部门协调,根据公司管理的实际需要,建立恰当的度量体系,以度量员工、项目组的工作业绩。由综合管理部组织实施监视和测量,每年至少一次对对监视和测量的结果进行分析和评价,由总经理以及各部门经理分析和评价这些结果,保留相关的监视和测量证据。9.2内部审核公司应按计划的时间要求进行 ISMS 内部审核,以确定控

33、制目标、控制措施、过程和程序是否:符合标准及相关法律法规的要求;符合确定的信息安全要求;得到有效地实施和维护;按期望运行。内部审核程序应进行计划,并考虑受审核的状况、重要性和受审核的区域以及上次 审核结果,应规定审核准则、范围、频次和方式,审核员的选择和审核活动应保证审核过程的客观和公正,审核员不能审核自己的工作。9.3管理评审9.3.1总则为确保信息安全管理体系持续运行,具体如下:(1)管理者代表组织并编制管理评审程序,指导管理评审工作的执行。(2)管理评审由最高管理者或其授权人员组织,每年至少一次。 一般情况下,采取会议的形式,安排在内部审核之后。当出现下列情况之一时,应及时进行管理评审:

34、公司管理体系发生重大变化。 国家法律法规、相关标准发生重大变化。 外审之前。 其他认为需要评审时。(3)各部门负责均需参加管理评审活动,需要时,由总经理或其授权人员决定具体的参加人员。(4)管理评审会议的决议事项以会议纪要形式体现,由各相关部门负责配合执行,并对执行状况予以跟踪评估。9.3.2评审输入在管理评审时,管理者代表应组织各相关部门提供以下资料,以供评审:a) 以往管理评审的措施的状态;b) 与信息安全管理体系相关的外部和内部问题的变更;c) 信息安全绩效的反馈,包括下列方面的趋势:1)不符合和纠正措施;2)监视和测量结果;3)审核结果;4)信息安全目标的实现;d) 相关方的反馈;e)

35、 风险评估的结果和风险处置计划的状态;f) 持续改进的机会。9.3.3评审输出按照信息安全管理与安全方针和目标对上述信息进行全面的讨论、评价、分析,管理评审输出包括以下方面有关的任何决定和措施:(1)信息安全管理体系有效性的改进,应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。(2)信息安全管理方针和目标的修订。(3)与相关方/第三方有关的改进措施等。(4)风险的等级或可接受风险的水平,更新风险评估和风险评估表等。(5)业务需求的变更。(6)安全需求的变更。(7)资源需求以及影响现有业务需求的业务过程;(8)法律法规的环境。(9)改进测

36、量控制措施有效性的方式。(10)对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。以上内容的详细规定见管理评审程序。公司应保留文件记录作为管理评审结果的证据。10 改进10.1不符合和纠正措施当发生不符合时,应:对不符合作出反应, 采取措施控制并纠正不符合; 处理不符合造成的后果;评价消除不符合原因的措施的需求,通过采取以下措施防止不符合再次发生或在其他区域发生: 评审不符合; 确定不符合的原因; 确定类似不符合是否存在,或可能潜在发生实施所需的措施;评审所采取纠正措施的有效性;必要时,对体系实施变更。 应将以下信息形成文件:不符合的性质及随后采取的措施纠正措施的结果上述要求参

37、见纠正措施控制程序。10.2持续改进通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实 纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全 管理体系的改进工作,必要时征求所有相关方对管理体系的意见,从而保证管理体系的持续有效性和运行效率。关注客户的投诉、抱怨、记录、评估服务改进建议,制定服务改进计划,评估服务 改进情况,确保各项服务改进措施均已落实执行,并实现预期的目标,从而改进完善服务过程,提升服务质量,提高客户的满意度。规定各部门在持续改进活动中的角色和职责,并从服务过程的所有方面考虑服务改进要求。计划通过以下途径持续改进信息安全管理的有效性

38、:(1)通过信息安全管理体系方针的建立与实施,对持续改进做出正式的承诺。(2)通过信息安全管理体系目标的建立与实施,对持续改进进行评价。(3)通过内部审核不断发现问题,寻找体系改进的机会并予以实施。(4)通过数据分析不断寻求改进的机会,并做出适当的改进活动安排。(5)通过实施纠正和预防措施实现改进的活动。(6)监控安全事件并对事件进行分析。(7)确定纠正措施和预防措施的有效性。(8)根据管理评审的结果寻求改进体系的机会。(9)根据客户满意度调查寻求改进体系的机会。支持文件:纠正措施控制程序预防措施控制程序内部审核管理程序10.3纠正措施对于发现的不合格项,不仅要求责任人要纠正不合格行为,而且为

39、了消除不合格项、 与实施和运行信息安全管理体系有关的原因,人事行政部要求责任人应该制定纠正措施,以便防止不合格的再次发生。纠正措施的控制应该满足如下要求:(1)识别实施和运行信息安全管理体系的不合格事件。(2)分析并确定不合格的原因。(3)评价确保不合格不再发生的相关因素。(4)确定和实施所需的纠正措施。(5)检查、验证纠正措施的结果。(6)评审所采取的纠正措施的有效性。支持文件: 纠正措施控制程序预防措施控制程序内部审核管理程序10.4预防措施在信息安全管理体系运行的过程中,通过日常的过程控制、结果验证、体系审核等 方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件,应该

40、及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求:(1)识别潜在的信息安全事件及其原因,并确定。(2)评价预防不合格发生的措施的需求。(3)确定和实施所需的预防措施。(4)评价预防措施的有效性,并对所采取措施的结果进行记录。(5)识别并控制重大的已变更的防线。支持文件:纠正措施控制程序预防措施控制程序附录1-组织简介XXX 有限公司是一家总部位于中国深圳的全方位 IT 及解决方案服务提供商。主要 致力于航空领域,提供航空 IT 产品、IT 服务及解决方案、航空教育的一体化专业公司。 依靠与多家航空领域的企事业单位建立的良好合作关系,不断吸取各方先进技术与管理 经验,打造了

41、一支经验丰富的管理团队。在坚持高品质的产品质量、雄厚的技术力量的支持下,研发了多项拥有自主知识产权的产品,同时具备了向市场提供综合化服务的实力。我们的服务:公司一直坚持“满足客户的需求就是我们的追求的服务“宗旨”,我 们将以最优质的服务为客户提供全方位的 IT 服务,提升客户的企业价值,提高客户的 市场竞争力。技术实力:公司拥有蓬勃向上,充满朝气的创业型领导核心,海外留学背 景,多年 IT 研发、管理经济的高层管理团队;经验丰富的研发团队一为客户提供专业的 IT 只是支持。发展战略:提供自主研发的一流软件和服务,持续为客户创造最大价值核心价值观公司理念:帮助客户创造价值,帮助员工实现梦想诚信:最重要的无形资产,是我们赢得客户信任的基础专注:建立核心竞争力的关键创新:企业持续性发展的必备基因是我们赢得客户信任的基础技 术 部综 合 管 理 部销 售 部附录2-组织架构图总经理信息安全小组管理者代表附录3-职能分配表管理单位体系要求信息安全小组总经理管理者代表综合管理部技术部销售部4.组织环境4 . 1理解组织及其环境4 . 2理解相关方的需求和期望4 . 3明确信息安全管理体系的范围4 . 4信息安全管理体系5 领 导5 . 1 领 导 和 承 诺5 . 2 方 针5 . 3组织角色、职责和权力

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 技术方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁