资源描述
信息安全管理手册版本信息文档编号保密级别内部分发范围修订历史生效日期版本号版本说明制作复审批准注:文档基本信息记录本文档提交时的当前有效的基本控制信息,当前版本文档有效期将在新版本文档生效时自动结束。文档版本小于1.0 时,表示该版本文档为草案,仅可作为参照资料之目的。目录1.1. 前言1.2. XXX公司概述1.3. 信息安全管理方针/目标1.4. 公司组织机构1.5. 公司信息安全组织结构图第2章 信息安全组织职责2.1. 信息安全决策委员会2.2. 信息安全管控委员会2.3. 信息安全执行工作组第3章 职责和权限3.1. 信息管理部3.2. 经营管理部3.3. 财务管理部3.4. 人力资源及行政中心3.5. 营销中心1.1. 前言1.1.1. 批准页本信息安全管理手册是依据信息安全管理体系的要求,结合本公司的实际制定的,是公司信息安全管理的纲领性文件。信息安全管理手册包括:XXX公司的信息安全管理方针和信息安全管理目标;组织结构的描述。本手册的规定及其所引出的程序文件和管理性文件从批准之日起生效实施,要求公司全体员工在日常工作中认真执行,严格遵守和贯彻执行本手册的各项规定和要求,确保信息安全管理体系的要求和方针与目标的实现。 总 经 理: 年 月 日1.1.2. 管理者代表任命书为了建立信息安全管理体系并确保体系的有效运行和持续改进,特任命 为管理者代表,行使其规定的职责和权限,直接负责与信息安全管理相关的事务及外部联络,兹自签发之日起生效。总经理 年 月 日1.1.3. 手册应用范围与管理1.1.3.1. 应用范围1.1.3.1.1. 本手册采用信息安全部分适用于ISO27001-2005除去电子商务部分的所有内容。1.1.3.1.2. 本手册适用于公司从软件的计划、设计、开发、应用、管理、业务流程,以及持续改善的所有过程控制。1.1.3.2. 手册的编写与核准1.1.3.2.1. 本手册应由管理代表或指定人员起草编写1.1.3.2.2. 本手册的审查应由管理代表完成,确定其适用性及有效性;1.1.3.2.3. 本手册的核准发行权由总经理决定;1.1.3.3. 信息安全管理手册之管理1.1.3.3.1. 信息安全管理手册的发行由信息管理部负责,并进行发行、编号;1.1.3.3.2. 手册如有破损、遗失、增发参照文件控制程序作业1.1.3.3.3. 任何持有者离开公司必须交回手册;1.1.3.3.4. 信息安全管理手册的持有者不得自行对信息安全管理手册进行删改、撕页、涂改,要保持信息安全管理手册的完整、清洁, 注意保管,慎防遗失,未经总经理或管理者代表批准不得复制,向外提供。1.1.3.3.5. 各部门经理应负责向本部门人员做好本信息安全管理手册的宣传工作,并组织实施。XXX公司企业概况1.2. XXX公司概述XXX公司是1.3. 信息安全管理方针/目标1.3.1. 信息安全管理方针XXX公司的信息安全管理方针是:着眼于公司长期持续稳定的发展,合法保护公司自主知识产权,有效控制公司各类商务信息,含义:信息安全管理体系:由安全组织、安全管理流程和安全防护手段构成的企业信息安全内控体系,由“持续风险评估、安全体系规划建设、安全体系运行与完善”构成的持续改进体系。企业安全文化氛围:人人关注信息安全,事事相关切身利益;保护公司知识产权就是保护自身劳动创造。可信任企业:采取各项信息安全措施,信息安全管理变被动的事件导向为主动的风险导向,赢得客户信任。1.3.2. 信息安全管理目标指标信息安全管理体系方针信息安全管理体系目标信息安全管理体系指标责任部门备注信息安全政策宣贯信息安全策略发布和变更时信息安全管理委员会通过文件、会议、PPT、知识竞赛等形式指定或委派各信息安全相关部门管理者代表及成员信息安全管理委员会通过文件形式下发定期评审信息安全策略文件一年一次或安全策略发生变更时对策略进行评审工作的发起信息安全管理委员会依据变更流程定期召开信息安全工作会议,讨论信息安全相关事项每月一次信息管理部会议记录并上报信息安全管理委员会定期对信息安全策略实施审计每年一次或业务发生变更后信息管理部对审计结果上报信息安全管理委员会净化办公环境,降低安全风险采用集中部署杀毒软件形式统一管理信息管理部通过统一部署防病毒服务器监控建立信息审计制度,保护核心信息资产所有外发信息均纳入审计范围信息管理部通过审计实施监控建立资产标识和资产分类对资产在下发前按应用做重要性分级信息管理部对资产列表实施更新普及安全意识,全员动员共建安全每年不少于1次的信息安全相关培训人力资源部及行政中心以培训通知或培训登记表确认加固创维大厦物理环境保护关闭不必要的出口人力资源部及行政中心根据重要程度划分工作区域对重要部门采取封闭式环境人力资源部及行政中心物理区间隔离制定违反信息安全策略的惩戒措施明确违反信息安全策略的惩戒性处罚制度人力资源部及行政中心在员工手册中明确相应责任对公司有关业务用软件产生的法律问题作出规范要求建立相应的符合性制度知识产权部形成公司级制度文件1.4. 公司组织机构1.5. 公司信息安全组织结构图(一) 信息安全管理委员会成员:由公司领导和各部门、各中心负责人组成。(成员名单参见XXX信息安全管理委员会任命书)主任: 副主任:成员:(各部门部门经理) (二) 信息安全管控委员会成员:由信息管理部负责人、部门管理代表和信息安全管理委员会指定人选组成。(成员名单参见由信息安全管理委员会批准XXX信息安全管控委员会任命书)主任: 副主任:成员: 执行机构(信息安全常设机构): (三) 信息安全执行工作组成员:由信息管理部相关人员和各部门保密管理员组成。成员:信息管理部相关人员、各部门保密管理员(名单)(成员名单参见由信息安全管理委员会批准XXX信息安全执行工作组任命书)备注:各部门内审员建议由现ISO9000审核员担任,具备体系审核的基础人员变更:由公司信息安全管理委员会审核批准;第2章 信息安全组织职责2.1. 信息安全决策委员会1. 负责公司信息安全决策2. 负责公司信息安全相关任命或指示2.2. 信息安全管控委员会1. 信息管理部为统一协调各部门的信息安全常设机构,对企业日常信息安全监控及管理,并通过全局性的指导,监察和审计等手段保障信息安全改进工作。2. 信息安全技术(1) 负责建立并完善信息安全技术体系;(2) 负责信息安全内控技术支持;(3) 负责信息安全技术系统的建设和推广;(4) 负责追踪最新漏洞/补丁、病毒信息、攻防技术;(5) 负责信息安全系统数据的监控、收集和分析;(6) 负责追踪并应用计算机取证技术;(7) 负责提供数据销毁、加密等技术支持。3. 信息安全审计(1) 负责建立和完善信息安全审计体系;(2) 负责规划和实施全公司每年的信息安全审计工作;(3) 负责公司三方面的信息安全审核工作:信息安全内部审核、对供应商的信息安全审核、应对客户信息安全审核;(4) 负责公司信息安全风险评估并出具评估报告;(5) 负责信息安全事件调查处理。4. 信息安全管理策略(1) 负责建立完善信息安全管理体系;(2) 负责建立和推广信息安全相关策略和管理规定;(3) 负责制定信息安全管理制度和流程;(4) 负责制定和实施公司每年的信息安全宣传培训方案和计划。5. 信息安全项目(1) 负责在各部门和职能部门开展信息安全项目,导入信息安全体系;(2) 根据公司信息安全策略,协助各部门和职能部门制定信息安全管理流程和操作手册;(3) 负责定期对各部门进行风险检查,并根据检查报告督促各部门制定改善计划;(4) 负责对各部门进行每月的信息安全巡查,并根据巡查报告督促各部门改善风险点。2.3. 信息安全执行工作组1. 负责接收信息安全管控委员会的策略,并在本机构具体落实信息安全体系;2. 作为职能部门与公司层面信息安全的接口,定期向信息安全管控委员会反馈信息安全管理情况等工作;3. 负责根据信息安全管控委员会的各项信息安全风险评估报告,制定后期改善计划,以求不断改进本机构信息安全状况;4. 各部门信息安全负责人(1) 由各部门经理指派信息安全负责人;(2) 信息安全负责人在获得最新公司信息安全要求及信息,并在各部门内部推行;(3) 负责落实本部门信息安全培训,宣传等工作。(4) 对本部门信息安全状况负责;(5) 协助信息安全管控委员会的安全审计工作;(6) 负责本部门信息安全巡查工作;(7) 根据信息安全管控委员会的要求,提供信息安全相关数据,报表等。第3章 职责和权限3.1. 信息管理部3.2. 经营管理部3.3. 财务管理部3.4. 人力资源及行政中心3.5. 营销中心
展开阅读全文