返回
信息安全系统管理系统过程

信息安全系统管理系统过程

ID:39411639

大小:62.18 KB

页数:24页

时间:2019-07-02

信息安全系统管理系统过程_第1页
信息安全系统管理系统过程_第2页
信息安全系统管理系统过程_第3页
信息安全系统管理系统过程_第4页
信息安全系统管理系统过程_第5页
资源描述:

《信息安全系统管理系统过程》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用标准信息安全管理手册文件编号版本编制编制日期审核审核日期文档大全实用标准批准批准日期文档大全实用标准变更记录日期版本编制/修改者修订类型描述注:修订类型:A——增加,M——修改,D——删除文档大全实用标准一、范围1.1总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。1.2应用本信息安全管理手册规定了公司的信息安全管理体系要求、管理职责、内部审核、管理

2、评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于公司业务活动所涉及的信息系统、资产及相关信息安全管理活动,具体见4.2.2.1条款规定。二、规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,行政部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。三、术语和定义GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求

3、》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。文档大全实用标准3.1本公司指公司所属各部门。3.2信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。3.4信息安全事件指导致信息系统不能提供正常服务或服务质量下降

4、的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3.5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、供方、银行、用户、电信等。一、信息安全管理体系4.1概述本公司在软件开发、经营、服务和日常管理活动中,按GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定,参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运行

5、、监视、评审、保持和改进文件化的信息安全管理体系。信息安全管理体系使用的过程基于图1所示的PDCA模型。文档大全实用标准图1信息安全管理体系模型4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.1.1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:a)本公司涉及软件开发、营销、服务和日常管理的业务系统;b)与所述信息系统有关的活动;c)与所述信息系统有关的部门和所有员工;d)所述活动、系统及支持性系统包含的全部信息资产。组织范围:文档大全实

6、用标准本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册附录A(规范性附录)《信息安全管理体系组织机构图》。物理范围:本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所,包含客户方以及公司内部。4.2.1.2信息安全管理体系的方针为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方

7、针,见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求:a)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b)考虑业务及法律或法规的要求,及合同的安全义务;c)与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;d)建立了风险评价的准则;e)经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a)在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责b)识别并满足适用法律、法规和相关方信息安全要求;文档大全实用标准c)定期进行信息安全风险评估,信息安全管理体系

8、评审,采取纠正预防措施,保证体系的持续有效性;d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e)对全体员工进行持续的信息安全教育和培训,不断增强员工

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。