ISO27001信息安全管理手册（10章高阶版）.doc

深圳市×××××科技有限公司 文件编号 ISMS-A-01 信息安全管理手册 文件版本 V1.0 密级 秘密 第 PAGE 6页 共 NUMPAGES 33页 信息安全管理手册 （依据GB/T 22080-2016 idt ISO/IEC27001:2013标准编制） 编 号：ISMS-A-01 版 本 号：V1.0 编制： 日期：2021-8-3 审核： 日期：2021-8-3 批准： 日期：2021-8-3 受控状态 修订记录 版本 编写人 审核人 批准人 修订日期 修订说明 V1.0 2021-8-3 创建 目 录 TOC \o "1-3" \h \z \u 1 概述 5 1.1 颁布令 5 1.2 任命书 6 1.3 手册说明 7 1.3.1总则 7 1.3.2信息安全管理手册的批准 7 1.3.3信息安全管理手册的发放、作废与销毁 7 1.3.4信息安全管理手册的修改 7 1.3.5信息安全管理手册的换版 8 1.3.6信息安全管理手册的控制 8 2 规范性引用文件 9 3 术语和定义 9 4 组织环境 9 4.1理解组织及其环境 9 4.2理解相关方的需求和期望 9 4.3确定ISMS的范围 9 4.4信息安全管理体系 10 4.4.1总则 10 4.4.2 ISMS体系过程方法 10 5 领导作用 11 5.1领导作用和承诺 11 5.2 ISMS管理方针 11 5.3组织架构、职责和权限 11 5.3.1 ISMS管理体系组织架构图 11 5.3.2 ISMS管理职能分配 11 5.3.3 职责和权限 12 6 规划 12 6.1风险和机遇的应对措施 12 7 支持 13 7.1资源 13 7.1.1总则 13 7.1.2基础设施 13 7.1.3过程环境 13 7.1.4监视和测量设备 13 7.1.5知识 14 7.2能力 14 7.3意识 15 7.4沟通 15 7.5文件记录信息 15 7.5.1文件体系结构 15 7.5.2文件控制 17 7.5.3记录控制 17 8 运行 18 8.1运行的策划和控制 18 8.1.1 ISMS运行总要求 18 8.2信息安全风险评估 18 8.2.1风险评估的方法 18 8.2.2识别风险 19 8.2.3分析和评价风险 19 8.2.4识别和评价风险处理的选择 19 8.3信息安全风险处置 19 8.3.1相关文件 20 9 绩效评价 20 9.1监视、测量、分析和评价 20 9.2内部审核 20 9.3管理评审 20 9.3.1总则 21 9.3.2评审输入 21 9.3.3评审输出 21 10 改进 22 10.1不符合和纠正措施 22 10.2持续改进 23 10.3纠正措施 24 10.4预防措施 24 附录1-组织简介 25 附录2-组织架构图 26 附录4-信息安全小组成员 30 附录5-服务器拓扑图 30 附录6-信息安全职责说明 31 概述 颁布令 为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T 22080-2016 idt ISO/IEC 27001:2013《信息安全管理体系 要求》标准工作，建立、实施和持续改进文件化的信息安全管理体系，制订了深圳市×××科技有限公司《信息安全管理手册》。 《信息安全管理手册》经评审后，现予以批准发布。 《信息安全管理手册》的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的自助服务终端软硬件的研发及运行维护服务，以确立公司在社会上的良好信誉。 《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。 深圳市×××科技有限公司 总经理： 2021-8-3 任命书 任命书 为贯彻执行GB/T 22080-2016 i