返回
1 信息安全管理手册

1 信息安全管理手册

ID:33590839

大小:184.53 KB

页数:11页

时间:2019-02-27

1 信息安全管理手册_第1页
1 信息安全管理手册_第2页
1 信息安全管理手册_第3页
1 信息安全管理手册_第4页
1 信息安全管理手册_第5页
1 信息安全管理手册_第6页
1 信息安全管理手册_第7页
1 信息安全管理手册_第8页
1 信息安全管理手册_第9页
1 信息安全管理手册_第10页
资源描述:

《1 信息安全管理手册》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理手册000前言0前言XX公司《信息安全管理手册》(以下简称本手册),依据ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》,参照ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》,结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述,为建立、实施和保持信息安全管理体系提供框架。信息安全管理体系涉及本公司生产、营销、服务和日常管理的信息安全管理体系。本手册描述了信息安全的范围、方针、目标和管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本

2、手册适用于XX公司信息安全管理体系涉及的生产、营销、服务和日常管理的信息系统的信息安全管理活动。111范围1范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。1.2 应用1.2.1覆盖范围本《信息安全管理手册》规定了XX公司信息安全管理体系涉及的生产、营销、服务和日常管理的信息安全管理体系、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本《信息

3、安全管理手册》适用于XX公司信息安全管理体系涉及的生产、营销、服务和日常管理的信息系统的信息安全管理活动,具体见4.2.2.1条款规定。1.2.2删减说明本《信息安全管理手册》采用了ISO/IEC27001:2005标准正文的全部内容,对附录A的删减见《信息安全适用性声明SoA》。222规范性引用文件2规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本《信息安全管理手册》,然而,综合管理部应研究是否可使用这些文件的

4、最新版本。凡是不注日期的引用文件、其最新版本适用于本《信息安全管理手册》。ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》333术语和定义3术语和定义3.1术语ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》、ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义以及下述定义适用于本《信息安全管理手册》。本组织、本公司、我公司:指XX公司。3.2缩写ISMS:Inf

5、ormationSecurityManagementSystems信息安全管理体系;SoA::StatementofApplicability适用性声明;PDCA::PlanDoCheckAction 计划、实施、检查、改进。444管理体系4管理体系4.1 概述4.1.1本公司在涉及生产、经营、服务和日常管理活动的信息系统,按ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》规定,参照ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运行、监视、评审、保持和改进文件化

6、的信息安全管理体系。4.1.2信息安全管理体系使用的过程基于图1所示的PDCA模型。图1信息安全管理体系模型4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.1.1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:a)本公司涉及本行业生产、营销、服务和日常管理的重要信息系统和生产系统;b)与所述信息系统有关的活动;c)与所述信息系统有关的部门和所有正式员工,具体的组织范围见附录A(规范性附录)《XX公司组织机构图》;d)所述活动、系统及支持性

7、系统包含的全部信息资产。4.2.1.2信息安全管理体系的方针4.2.1.2.1为了满足适用法律法规及相关方要求,维持生产和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,信息安全管理体系方针如下:  实施风险管理,确保信息安全,满足相关方要求,实现可持续发展。为了满足适用法律法规及相关方要求,维持生产、经营、服务和日常管理活动的的正常进行,本公司依据ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》标准,建立信息安全管理体系,以保证本公

8、司生产经营信息的保密性、完整性、可用性,实现业务可持续发展的目的。本公司承诺:4.2.1.2.2本公司信息安全管理体系方针符合以下要求:a)为信息安全目标建立了框架,并为信息安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。