返回
JYYH-HB-02-信息安全系统管理系统体系手册簿

JYYH-HB-02-信息安全系统管理系统体系手册簿

ID:44901701

大小:30.19 KB

页数:17页

时间:2019-11-03

JYYH-HB-02-信息安全系统管理系统体系手册簿_第1页
JYYH-HB-02-信息安全系统管理系统体系手册簿_第2页
JYYH-HB-02-信息安全系统管理系统体系手册簿_第3页
JYYH-HB-02-信息安全系统管理系统体系手册簿_第4页
JYYH-HB-02-信息安全系统管理系统体系手册簿_第5页
资源描述:

《JYYH-HB-02-信息安全系统管理系统体系手册簿》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、文档文档密级:一般文档状态:[]草案[√]正式发布[]正在修订受控状态:[√]受控[]非受控日期版本描述作者审核审批2015-01-08A0A版首次发布质量小组孙佩连春华文档目录1.目的和适用范围21.1.目的21.2.适用范围22.引用标准、文件、术语及定义22.1.引用标准22.2.引用文件22.3.定义和术语22.3.1.术语22.3.2.缩写23.信息安全管理体系23.1.总要求23.2.建立和管理ISMS23.2.1.建立ISMS23.2.2.ISMS实施及运作23.2.3.ISMS的监督检查与评审23.2.3.1.控制措施23

2、.2.3.2.管理评审23.2.3.3.残余风险的评审23.2.4.ISMS保持与改进23.3.文件要求24.信息安全管理方针2文档1.目的和适用范围1.1.目的为了建立、健全本公司信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性,参考《管理手册》,特制定本手册。1.2.适用范围结合《管理手册》,本《信息安全管理手册》规定了本公司信息安全管理体系涉及的生产、营销、服务和日常管理等方面内容。整个信息安全管理体系(ISMS)的覆盖范围

3、包括:a)本公司涉及营销、生产服务和日常管理的重要信息系统和生产系统;b)与所述信息系统有关的活动;c)与所述信息系统有关的部门和所有正式员工,d)基于军工、人力资源和社会保障、医疗卫生、公积金、民政、食药监、金融等领域的系统建设和维护服务e)所述活动、系统及支持性系统包含的全部信息资产。文档1.引用标准、文件1.1.引用标准1、ISO27001:2013《信息技术、安全技术、信息安全管理体系要求》Informationtechnology.Securitytechniques.Informationsecuritymanagements

4、ystems.Requirements2、ISO27002:2005《信息技术——信息安全管理实施细则》Informationtechnology—CodeofpracticeforinformationSecuritymanagement1.2.引用文件《管理手册》2.定义和术语2.1.术语本手册中使用术语的定义采用ISO/IEC27000的术语和定义。2.2.缩写1、ISMS:InformationSecurityManagementSystems:信息安全管理体系;2、SOA:StatementofApplicability:适用性

5、声明;文档1.本公司的背景1.1.了解本公司现状及背景本公司应明确与信息安全管理体系目的及影响其能力有关的内外部问题,以达到信息安全管理体系的预期效果。注:确定这些问题是指建立ISO31000第5.3.1考虑外部和内部环境的本公司。1.2.理解相关方的需求和期望本公司应确定:a)信息安全管理体系的相关方;b)这些相关方信息安全相关要求。注:有关各方的要求可能包括法律、监管规定和合同义务。1.3.确定ISMS的范围本公司应确定信息安全管理体系的边界和适用性,以确定其范围。在确定此范围时,本公司应考虑:a)4.1提及的外部和内部的问题;b)4

6、.2提及的要求;c)接口和执行本公司之间活动的依赖关系,以及其他本公司的相关活动。范围应可成为文档化信息。1.4.ISMS本公司应按照本国际标准的要求建立,实施,保持和持续改进信息安全管理体系。文档1.领导力1.1.领导力和承诺最高管理者应表现出对信息安全管理体系的领导力和承诺:a)确保信息安全策略和信息安全目标的制定,并与本公司的战略方向兼容;b)确保信息安全管理体系的要求整合到本公司的过程中;c)确保信息安全管理体系所需要的资源;d)传达有效的信息安全管理的重要性,并符合信息安全管理体系的要求;e)确保信息安全管理体系达到其预期的效果

7、;f)指导和支持员工对信息安全管理体系作出有效的贡献;g)促进持续改进;h)支持其他相关管理角色来展示自己的领导力,因为它适用于他们的职责范围。1.2.方针最高管理者应建立一个信息安全方针:a)与本公司的宗旨相适应;b)包括信息安全目标(见6.2),或为信息安全目标提供框架;c)包括满足与信息安全相关要求的承诺;d)包括信息安全管理体系持续改进的承诺。信息安全的方针应:e)可成为文档化信息;f)在本公司内沟通;g)视情况提供给相关方。文档5.3角色、责任和承诺最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。最高管理者应指定责任

8、和权限:a)确保信息安全管理体系符合本国际标准的要求;b)将ISMS的绩效报告给最高管理者。注:最高管理层可以授权他人负责ISMS的绩效报告。1.计划1.1.处理风险和机遇的行动1.1.1.总

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。