信息安全管理手册.docx

XXX信息科技有限公司信息安全管理手册文档编号：项目编号：项目名称：信息安全管理体系建设项目类别：IS027001信息安全管理体系文件密级：内部公开路径：部门：XXX科技发展部负责人：科技发展部总经理本文档及所包含的信息为XXX科技发展部所有未经授权不得以任何手段任何形式进行复制与传播保留所有的权利修订记录日期（年月日）版本描述作者审批人审批日期目录1 概述31.1 背景31.2 颁布令41.3 授权书52 总则62.1 目的62.2 范围62.3 使命和愿景62.4 信息安全方针62.5 信息安全管理体系方针72.6 裁剪说明72.7 依据文件72.8 定义与缩写73信息安全管理体系71.1 体系概述81.2 文件要求81.3 体系文件架构81.4 文件控制91.5 记录控制104 管理职责104.1 管理者承诺104.2 资源提供104.3 内部审核114.4 管理评审115 体系改进115.1 持续改进115.2 纠正和预防措施121概述本手册是XXX科技发展部（以下简称“科技发展部”）根据GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准的要求，结合科技发展部现状和发展需求制定，经科技发展部信息安全工作指挥小组审核，由最高管理者批准颁布并执行。本手册规定了科技发展部信息安全管理体系范围内的管理职责、内部审核、管理评审和信息安全管理体系改进等方面的内容。1.1 背景1.2 颁布令为提高XXX科技发展部的信息安全管理水平，保障科技发展部贯彻落实“生产安全、运行稳定、支持有力、服务高效、操作严谨、管理规范”的基本要求，发挥“服务、管理、内控、效益”四大功能，树立XXX的“技术实力精湛、精细化管理、企业文化”形象，防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故，科技发展部开展贯彻GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的工作，建立文件化的信息安全管理体系，制定了信息安全管理手册。本手册是科技发展部信息安全管理的纲领性文件，是指导科技发展部建立并实施信息安全管理体系的纲领和行动准则，用于贯彻科技发展部的信息安全管理方针，实现科技发展部信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本手册的要求，自觉贯彻管理方针,严格执行本手册的各项规定，努力实现科技发展部生产运行和日常办公的安全。本手册自颁布之日起生效执行。1.3 授权书为了贯彻执行信息安全管理体系，满足GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，加强对信息安全管理体系建设和持续运行的领导工作，特任命同志为XXX科技发展部信息安全管理者代表。授权信息安全管理者代表有如下职责和权限：1 .领导信息安全管理体系的建立、运行和维护，开展资产识别和风险评估；2 .协调与信息安全管理体系有关的各项工作；3 .确保在科技发展部内提高员工信息安全意识；4 .督促信息安全管理体系内部审核和信息安全检查的开展；5 .协助最高管理者进行信息安全管理体系的管理评审；6 .向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。2总则2.1 目的本手册为XXX科技发展部信息安全管理体系（ISMS）的建立和运行提供指导，并保证科技发展部的信息安全管理体系符合GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，从而确保：（一）科技发展部信息的保密性、完整性和可用性。（二）科技发展部各项业务的连续性。（三）科技发展部信息安全管理体系符合中华人民共和国、中国人民银行、公安部、中国银行业监督管理委员会、XXX总行的各种强制性规定、规则及适用的相关惯例、准则和协议。2.2 范围本手册所描述的信息安全管理体系适用于XXX科技发展部。科技发展部信息安全管理体系覆盖科技发展部所有部门，涵盖科技发展部职责范围内信息系统运行维护、计算机设备管理、人员信息安全、数据安全等在内的各项信息安全管理相关活动。科技发展部信息安全管理体系的建设遵循GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求，并接受外部权威机构认证审核，认证范围是XXX科技发展部。2.3 使命和愿景利用信息科技促进我行发展战略的实现，在金融产品和服务创新工作中，发挥IT在技术创新方面的先导作用，加强IT在我行风险防范和合规管理方面的支持，力争实现信息科技三年内达到股份制银行中等水平，五年内步入领先行列的发展目标。2.4 信息安全方针科技发展部的信息安全管理遵循XXX的“细节决定成败，合规创造价值，责任成就事业”管理理念和“违规就是风险，安全就是效益”风险理念。科技发展部的信息安全方针是：预防为主，分级保护，分层负责，持续改进。预防为主:科技发展部信息安全工作贯彻预防为主的指导思想,采取各项主动预防措施,建立信息安全和操作风险防控体系,增强全员安全意识,完善应急机制,加强内部安全检查，做到防患于未然。分级保护：科技发展部按照信息系统的重要程度划分相应等级，根据信息系统的等级采取相应的保护措施，保证科技发展部各信息系统得到适当等级的保护。分层负责3科技发展部建立层次化的信息安全组织，确保责任逐层分解并落实。持续改进：科技发展部按照PDCA模型进行信息安全管理的持续改进，保证信息系统在动态变化的过程中始终得到全面的保护。2.5 信息安全管理体系方针科技发展部信息安全管理体系的方针是：在XXX的全面风险管理框架下，识别业务和法律法规及合同中的安全要求,确定信息安全风险评价的准则,通过建设信息安全管理体系，有效控制信息安全风险，保障科技发展部生产运行和日常办公的安全。2.6 裁剪说明GB<T22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求的条款对于科技发展部信息安全管理体系的适用关系，详见适用性声明。2.7 依据文件本手册制定参考并依据了下列文件资料，更详细参见法律法规符合性管理规定。（一）法律法规：是指中华人民共和国颁布的、所有相关且具有约束和指导作用的法律、法规。（二）监管规定：是指中国人民银行及其分支机构和中国银行业监督管理委员会及其分支机构颁布的具有约束和指导作用的所有文件、规定等。（）XXX总行文件：XXX总行下发的对业务和管理等有约束和指导作用的所有文件。（四）国际惯例：是指XXX开办国际业务必须遵循的具有约束和指导作用的国际通用惯例。（五）标准：（1） 遵循标准：GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求（2） 参照标准：GB/T22081-2008/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规则2.8定义与缩写GBT22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要A<kGBT22081-2008/ISO/IEC27002:2013信息技术安全技术信息安全管理实用规则文中所述定义和术语均适用于本手册。此外，本手册还使用信息安全管理体系术语定义中的定义与缩写。3信息安全管理体系3.1 体系概述科技发展部按照GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求，同时考虑银行服务行业的特点，从业务需求出发，遵从风险管理的理念，注重过程管理，建立和实施信息安全管理体系，确保与信息安全相关的资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件，保障科技发展部信息的保密性、完整性和可用性，确保各项业务的连续性。为建立和实施信息安全管理体系，科技发展部信息安全管理采用过程方法，把与信息安全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体系。具体包括：（一）识别并确定科技发展部信息安全管理体系相关的策略、目标、过程和程序，改进信息安全以达到期望的结果。（二）依据“过程模式”确定上述过程的顺序和相互关系。（）将过程充分展开，明确信息安全控制点，编制形成信息安全管理体系文件。（四）配置适当的资源，提供必要的支持和信息，以保证过程的有效运作。（五）持续度量、监控和分析这些过程，并进行必要的改进。3.2 文件要求科技发展部信息安全管理体系文件包括：（1） GBT22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求所要求的信息安全管理手册。（2） GBT22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求所要求的程序文件和作业指导书。（）GBT22080-2008ISIEC27001:2013信息技术安全技术信息安全管理体系要求所要求的记录。（四）科技发展部为确保信息安全所要求的其他相关文件。3.3体系文件架构科技发展部信息安全管理体系文件包括四个层次：即信息安全管理手册、管理规定/规程/程序类文件、实施细则/管理细则/操作指南类文件、记录/日志。如下图所示：各层级文件所关注的内容依次如下： 一阶文件：关于信息安全管理体系的策略声明文件，即体系管理手册。 二阶文件：关于GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求各个控制域的标准指南文件，体现信息安全管理体系在各个方面的目标规范和基本要求。 三阶文件：关于具体信息安全问题的规程文件，指导实现对特定信息安全风险点的控制和对具体业务工作的安全管理要求。 四阶文件：关于信息安全体系运行的各类记录和报告，体现各项工作能够按照三阶文件的具体要求有效开展。3.4 文件控制科技发展部对与信息安全管理体系要求有关的文件进行严格控制，以满足68”22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求，具体要求包括：（一）确保文件编制、评审、批准、发放、使用、修改、作废得到有效的控制。（2） 确保文件清晰可辨，版木标示清楚，易于识别和检索。（3） 确保在使用时可获得最新、有效版本的适用文件。（4） 确保外来文件得到识别，对文件的分发加以控制。（五）对不同媒体和不同种类的文件，采取相应的控制。（六）防止作废文件的非授权使用，保留作废文件时，对这些文件进行明确的标识。科技发展部对信息安全管理体系文件的控制、公文管理、电子文件及保密文件的控制做出规定，相关控制要求参见文件控制管理规定。3.5 记录控制为提供符合要求且表明信息安全管理体系有效运行的证据，保证管理过程的可追溯性,科技发展部通过编制并实施记录控制管理规定及相关文件，规定了信息安全相关记录的标识、收集、归档、保管、借阅、销毁和检查等要求，确保信息安全相关记录能够保持清晰、易于识别和检索。在体系运行期间各部门应保持相应的信息安全记录控制清单并明确责任人，同时遵守记录的保存期限及存档要求。4管理职责4.1 管理者承诺经XXX行长授权，科技发展部管理者代表对建立、实施信息安全管理体系并持续改进作出承诺：（1） 通过内部网络、刊物、会议、培训等形式，向全体员工传达满足客户和法律法规、监管要求及XXX总行要求的重要性，持续加强员工的信息安全意识，使员工积极参与提高信息安全水平的相关活动。（二）制定信息安全方针，以明确科技发展部信息安全管理的宗旨和方向。（3） 实施管理评审，确保信息安全管理体系的适宜性、充分性和有效性。具体参见信息安全管理评审规定。（4） 确保与建立和改进信息安全管理体系所需资源的充分获得和有效配置。4.2 资源提供为了保证信息安全管理体系的建立、实施、运行、监控、评审和维护，最高管理者代表需确保提供并合理配置了所需的资源，并确保承担信息安全管理体系工作的人员具备相应能力。具体要求包括：（一）组织科技发展部成立信息安全工作指挥小组及其办公室，确定科技发展部范围内从事信息安全管理工作的专职、兼职人员，以保证体系的运行。科技发展部确定从事信息安全工作的人员所必要的能力，提供所需的教育和培训，评价所采取措施的有效性,确保员工意识到所从事活动的重要性以及如何为实现信息安全方针做出贡献。（二）职责科技发展部确保内部的职责权限得到有效定义和划分,确保科技发展部信息安全管理体系得到有效运行。科技发展部的信息安全管理体系的机构设置详见信息安全组织建设管理规定。（三）培训、意识和能力制定并实施人力资源管理文件，确保被分配信息安全管理体系规定职责的所有人员，都有能力执行所要求的任务，为此必须：(1)确定承担信息安全管理体系工作的岗位人员所必要的能力要求。(2)提供必要的职业技术教育和技能培训或采取其他的措施来满足这些要求。(3)评价所采取措施的有效性。(4)保留教育、培训、技能、经验和资历的记录。4.3 内部审核科技发展部规定了开展体系内部审核的原则、频次、实施步骤等内容，旨在通过内部审核，及时发现科技发展部信息安全管理体系在符合性、有效性等方面存在的问题，及时采取纠正措施，保持科技发展部信息安全管理体系的适宜性、充分性和有效性。内部审核适用于科技发展部各部门与信息安全管理有关的所有活动的审核。具体参见信息安全内部审核管理规定。4.4 管理评审每年(间隔不超过12个月)定期由科技发展部管理者代表主持召开科技发展部信息安全管理体系管理评审会议，评价信息安全管理体系的适宜性、充分性、有效性。具体工作依照信息安全管理评审规定。管理评审需要输入文件，输入文件由各部门编制，应包括但不限于：内部审核报告、纠正预防措施需求及实施情况报告、上次管理评审决议的落实情况、信息安全方针的修订需求等。管理评审会议的参加人员包括科技发展部及各中心负责人和相关人员。管理评审的结果以决议形式下发，科技发展部及时组织学习并落实，以确保有关决议的要求得到满足。管理评审活动相关记录由信息安全工作指挥小组办公室负责保存。5体系改进5.1 持续改进通过对内部审核等各项监测活动结果的分析，采集内外部与信息安全管理有关的信息，为信息安全管理体系改进提供信息，识别改进的区域。通过管理评审，识别科技发展部信息安全管理体系改进的需要，寻找改进的机会，明确改进的领域和具体的改进计划。以科技发展部使命和远景，以及信息安全方针为准则，识别偏离信息安全方针的原因或现行体系与适应其环境方面的差距，制定改进的具体措施。实施改进措施并验证其结果，保持改进计划及其实施过程和结果的相关记录。5.2 纠正和预防措施纠正和预防适用于科技发展部对信息安全管理活动中发现的不符合项和潜在的不符合项，制定、实施纠正措施和预防措施的过程，旨在防止潜在不符合项的发生和不符合项的再次发生，促进信息安全管理体系有效性的持续改进。详细参见纠正预防控制管理规定。