ISMS-信息安全与服务管理手册.docx
《ISMS-信息安全与服务管理手册.docx》由会员分享,可在线阅读,更多相关《ISMS-信息安全与服务管理手册.docx(48页珍藏版)》请在课桌文档上搜索。
1、受控状态:文件编号:ISMS-0001-2022信息安全与服务管理手册(依据ISO/IEC27001:2013ISO/IEC20000.1:2018)0.1发布令40.2任命书50.3公司简介604管理方针与目标61范围92 .引用标准103 .术语和定义114 .组织环境164.1 了解组织及其背景164. 1.1内部问题.164.1. 2组织外部问题.164. 2理解相关方的需求和期望174. 3确定管理体系范围.175. 4管理体系的建立176. 领导力195. 1领导力和承诺195. 2方针195. 3组织的角色、职责和权限206.策划216. 1应对风险和机遇的措施216.2管理目标
2、及其实现策划236.3策划服务管理体系247.支持247.1资源247.2能力257.3意识267.4沟通267.5文档化的信息277. 5.1总则.278. 5.2创建和更新.279. 5.3文档化信息的控制.288.运行298. 1运行策划与控制298. 2信息安全风险评估与服务组合309. 2.1信息安全风险评估.308. 2.2服务交付.308. 2.3服务策划.309. 2.4控制服务生命周期涉及的各相关方3010. 2.5月艮务目录管理.3111. .6资产管理.3112. .7配置管理.318. 3信息安全风险处置及关系和协议.328. 3.2关系与协议总则(SMS8.3.1)3
3、28. 3.3业务关系管理(SMS8.3.2)328. 3.5供应商管理(SMS8.3.4)338. 3.5.1管理外部供应商(SMS8.3.4.1)3310. 3.5.2管理内部供应商和充当供应商的客户(SMS8.3.4.2)348.4供应与需求.348 .4.1服务预算与核算.349 .4.3能力管理.358.5服务设计、构建与转换358.5. 1变更管理.358.5.1.1 变更管理策略358.5.1.2 变更管理启动358.5.1.3 变更管理活动368. 5.2服务设计与转换368.1.1.1 策划新的或变更的服务368.1.1.2 设计378.5.3发布与部署管理.388.6解决与
4、履行388.6.1事牛管理.388.6.2服务请求管理.388.6.3问题管壬里.398.7服务保障391.1.1 7.1服务可用性管理.391.1.2 服务连续性管理.401.1.3 信息安全管理.401.1.1 .1信息安全策略408.73.3 信息安全事件419.绩效评价419. 7监视、测量、分析和评价.4110. 内部审核4211. 3管理评审429. 4月及务报告4410. 1不符合及纠正措施.4410.1.1不符合和纠正措施.4410.12应形成文档化的信息作为以下方面的证据:4510.2持续改进.450.1发布令为提高我公司的信息安全与服务管理水平,保障我公司业务活动的正常进行
5、,防止由于信息系统的中断、数据的丢失、敏感信息的泄密、计划外的服务中断所导致的公司和客户用户的损失,我公司于2022年1月开展贯彻IS027001:2013信息技术-安全技术-信息安全管理体系要求、IS020000.1:2018信息技术-服务管理-服务管理体系要求国际标准工作,建立、实施和持续改进文档化的信息安全与服务管理体系,制定了本公司信息安全与服务管理手册(下简称本手册)。本手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。本手册符合有关信息安全和服务法律法规要
6、求及ISO27001:2013信息技术-安全技术-信息安全管理体系要求、ISO20000.1:2018信息技术-服务管理-服务管理体系要求国际标准和企业实际情况,现正式批准发布,自2022年1月6日发布之日起实施,公司全体员工必须遵照执行。公司各级干部职工必须严格按照本手册的要求,自觉遵循公司信息安全、服务管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全、服务管理目标。总经理:批准日期:O.2任命书为贯彻执行信息安全与服务管理体系,满足IS027001:2013信息技术-安全技术-信息安全管理体系要求、IS020000.1:2018信息技术-服务管理-服务管理体系要求国际标准的要求,加
7、强公司领导,特任命为我公司信息安全与服务管理体系管理者代表(体系负责人),并授权其如下职责和权限:1 .确保按照标准的要求,全面建立、实施和保持信息安全与服务管理体系;2 .负责信息安全与服务管理体系有关的协调和联络工作;3 .确保信息安全业务风险及服务质量得到有效控制;4 .确保在整个组织内提高信息安全与服务管理能力;5 .传达信息安全、服务管理目标的重要性和持续改善的必要性与重要性;6 .组织信息安全与服务管理体系的内部审核;7 .提供服务资源以满足服务交付、支持及信息安全、服务交付的作业与管理活动;8 .对信息安全与服务管理组织和服务的风险进行管理;9 .信息安全与服务流程的处理、评审、
8、决策等。10 .向最高管理者报告信息安全与服务管理体系及信息安全与服务管理体系的业绩和改进要求,包括信息技术服务管理体系和信息安全管理体系运行情况、内外部审核情况。本任命书自任命之日起生效执行。总经理:批准日期:0.3公司简介0.4管理方针与目标为防止由于信息系统的中断、数据的丢失、敏感信息的泄密及计划外的服务中断、对外提供应用软件运维服务质量的下降所导致的企业和客户用户的损失、丢失,本公司建立了信息安全与服务管理体系,制订了信息安全与服务管理方针,确定了信息安全目标。信息安全管理方针:研究企业,服务企业,精心设计,用心服务服务管理方针:以客户为中心,提供精准/专业服务;以流程为导向,超越客户
9、期望本公司信息安全、服务管理方针包括内容如下:一、信息安全管理与服务机制基于风险和机遇分析、适用法律法规的遵守情况,公司采用体系过程的方法,按照IS027001:2013.IS020000.1:2018建立信息安全与服务管理体系,全面保护本公司的信息安全、服务到位。二、信息安全与服务管理组织1 .公司总经理对信息安全与服务工作全面负责,负责批准信息安全、服务管理方针,确定信息安全要求、相关方服务需求,提供信息安全与服务资源。2 .公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。3 .公司运营管理部,保证信息安全与服务管理体系的有效运
10、行。4 .与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全、服务管理的支持。三、人员安全1 .信息安全与服务需要全体员工的参与和支持,全体员工都有保护信息安全与服务的职责,在劳动合同、岗位职责中应包含对信息安全与服务的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整其信息安全、服务职责和权限。2 .对本公司的相关方,要明确安全、服务要求和安全、服务职责。3 .定期对全体员工进行信息安全与服务体系相关教育,包括:技能、职责和意识。以提高安全意识。4 .全体员工及相关方人员必须履行安全职责,执行信息安全、服务方针、程序和安全措
11、施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全与运维服务的要求,采取措施,保证满足安全、服务要求,力争超越。五、风险评估1 .根据本公司业务信息安全与服务管理业务的特点、法律法规要求,建立信息安全风险识别与评价管理程序,确定风险接受准则。2 .采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。3 .应根据风险评估的结果,采取相应措施,降低风险。4 .为变更请求、服务请求、服务可用性、服务连续性提供输入。六、报告事件1.公司建立报告信息安全与运维服务事件的渠道和相应的主管部门。2,全体员工有报告信息安全与
12、运维服务隐患、威胁、薄弱点、事故的责任,一旦发现信息安全与服务事件,应立即按照规定的途径进行报告。3.接受信息安全与运维服务事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查定期对信息安全、运维服务质量进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。八、业务持续性和可用性1 .公司根据风险评估的结果,建立业务持续性和可用性计划,抵消信息系统、运维业务的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。2 .定期对业务持续性和可用性计划进行测试和更新。九、违反信息安全、服务要求的惩罚对违反信息安全方针
13、、服务方针、职责、程序和措施的人员,按规定进行处理。信息安全目标如下:1.信息零泄漏。3 .公司的重大信息安全事故为零。服务目标如下:1 .客户满意度290旅2 .有效投诉W2次;投诉及建议处理及时率:100%3 .客户请求反馈率:100%4 .故障解决率:100机总经理:批准日期:1范围公司从自身组织环境的角度考虑,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全与服务管理体系,确定信息安全、服务方针和目标,对信息安全和服务进行有效管理,确保全体员工理解并遵照执行信息安全与服务管理体系文件、持续改进信息安全与服务管理体系的有效性,特制定本管理手册。本手册规定了公司信息安全与服务管理
14、体系要求、管理职责、运行策划和控制、内部审核、管理评审、信息安全和服务管理体系改进等方面内容。本手册适用于公司所有范围内的信息安全与服务业务活动,包括应用软件的研发、系统集成、运维服务等。本手册依据ISO/IEC27001:2013信息技术-安全技术-信息技术管理体系要求和IS0/IEC20000.1:2018信息技术-服务管理第1部分:服务管理体系要求,结合本行业信息安全与服务业务特点编写,对本公司信息安全与服务管理体系作出了概括性描述,为公司建立、实施、运作和保持信息安全与服务管理体系提供框架。2.引用标准2. 1ISO/IEC27000:2018信息技术-安全技术-信息安全管理体系概述和
15、词汇2.2 IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系要求2.3 IS0/IEC27002:2013信息技术-安全技术-信息安全管理实用规则2.4 IS0/IEC20000.1:2018信息技术-服务管理-服务管理体系要求2.5 IS0/IEC9001:2015质量管理体系要求3.术语和定义3.1 本公司(或公司、我公司)3.2 有关信息安全的术语和定义3.2.1 可用性:保证被授权的使用者需要时能够访问信息及相关资产。3.2.2 保密性:保证信息只被授权的人访问。3.2.3 信息安全:保持信息的保密性、完整性和可用性。3.2.4 信息安全管理体系:是整个管理体系的
16、一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护信息安全。注:管理体系包括组织的结构、方针、计划、活动、责任、实践、程序、过程和资源3.2.5完整性:保护信息和处理过程的准确和完整。3. 2.6风险接受:接受一个风险的决定。3. 2.7风险分析:系统化地使用信息识别来源和估计风险。4. 2.8风险评估:风险分析和风险评价的整个过程。3.2.9 风险评价:比较估计风险与给出的风险标准,确定风险严重性的过程。3.2.10 风险管理:指导和控制组织风险的联合行动。3.2.11 11风险处理:选择和实施措施以更改风险的处理过程。3.2.12适用性声明:描述适用于组织的ISMS范围的控制目
17、标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。3.2.13风险:对目标的不确定性影响。3.2. 14风险程度:以后果和其可能性的组合来表示的风险大小。3. 3有关服务的术语和定义3.3. 1资产:对组织有潜在或实际价值的项目、事物和实体。3.4. 2配置项:为了交付一项或多项服务而需要被控制的组件。3.3.3客户:接受一项服务或多项服务的组织或组织的一部分。例:消费者,客户,受益人,赞助商或购买者。3.3.4外部供应商:组织外部的其他方通过签订合同参与服务、服务组件和过程的策划、设计、转换、交付和改进。3.3.5内部供应商:SMS范围外的大组织的一部分通过文
18、档化协议参与到服务、服务组件或过程的策划、涉及、交付或改进。3.3.6事态:一组特定情形的发生或改变。注:一个事态可能是一个或多个发生,并可能有多种原因;可能有一些未发生的事情组成;可能有时被称为“事件”或“事故”。Io3.3.7事件:计划外的服务中断,服务质量下降或还未对客户和用户服务产生影响的事态。3.3.8信息安全事件:单个或一系列的不期望或意外的信息安全事态,具有损害业务运作和威胁信息安全的极大的可能性。3.3.9信息安全事故:一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,它们具有损害业务运作和威胁信息安全的极大的可能性。3.3.10已知错误:一个已识别根本原因或已有方
19、案降低或消除对服务影响的问题。3.3.11问题:一个或多个真实或潜在事件的根本原因。3.3.12程序:为进行某项活动或过程所规定的方法。3.3.13记录:阐明所取得的结果或提供所完成活动的证据的文件。示例:审计报告、事件详情、培训签到表或会议纪要。Io3.3.14发布:作为一个或多个变更的结果,部署到实际生产环境的一个或多个新的或变更的服务或服务组件的集合。3.3.15变更请求:对一项服务、服务组件或服务管理体系所做变更的提议。3.3.16服务:通过促进客户期望的结果,为客户交付价值的一种方式。3.3.17服务可用性:服务或服务组件在约定的时间点或时间段内执行所需功能的能力。3.3.18服务目
20、录:关于组织提供给客户的服务的文档化信息。3.3.19服务组件:服务的一部分,该部分与其他要素合并时将提供一个完整的服务。示例:基础设施、应用、文件、许可证、信息、资源或支持的服务。o3.3.20服务连续性:不间断或与商定的可用性保持一致的提供服务的能力。3.3.21服务水平协议:组织和客户之间签署的协议,用以识别服务及其约定的绩效。3.3.22服务水平目标:组织承诺的一项服务的具体的、可测量的特征。3.3.23服务管理:一组的功能和过程,用以指导和控制组织策划、设计、转换、交付和改进服务的活动和资源,以交付价值。3.3.24服务管理体系:指导和控制组织服务管理活动的管理体系。3.3.25服务
21、提供方:管理一项或多项服务并将其交付给客户的组织。3.3.26服务请求:对信息、建议、服务访问或预授权变更的请求。3.3.27服务需求/要求:客户、用户以及与服务和SMS相关的组织声明的或义务的要求。3.3.28转换:将一项新的或变更的服务移入或移出生产环境的活动。3.3.29用户:与服务相互影响或从服务中获益的个人或团体。3.3.30价值:重要性、益处或有用性。3.3.31配置基线:在服务或服务组件生命周期过程中特定时间段、正式指定的配置信息。3.3.32配置管理数据库(CMDB):存储用来记录每个配置项的特性和配置项之间关系的数据。3.4其它1.1.1 1信息系统:由计算机硬件、网络和通讯
22、设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统,是一个由人、计算机及其他外围设备等组成的能进行信息的收集、传递、存贮、加工、维护和使用的系统。1.1.2 计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。1.1.3 运营级别协议(OLA):IT服务提供商与同一机构的另一部门间达成的协议。OLA支持IT服务提供商向客户提供IT服务。OLA规定了要提供的商品或服务,以及双方的责任。例如,下列情况可以签订0LA:IT服务提供商与采购部门间为了在约定的时间获得硬件。服务台与支持组之间为
23、了在约定的时间解决故障。参见服务级别协议。3.4.4 协议:描述双方或多方之间达成一致意见的正式文件。除非作为合同的一部分,协议不具有法律约束力。参见“服务级别协议”、“运营级别协议”。3.4.5 计划内中断时间:约定的不提供IT服务的时间。计划内中断时间通常用于维护、升级和测试。3.4.6 优先级:用于确定故障、问题或变更的相对重要性的类别。优先级的依据是影响度和紧急度,用它来确定采取行动所需的时间。例如SLA可以规定:优先级2的故障必须在12小时内解决。3.4.7 流程:用于实现特点目标的一系列有组织的活动。流程获得一个或多个定义的输入,然后将它们变成定义的输出、流程可以包括任何角色、责任
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS 信息 安全 服务 管理 手册
链接地址:https://www.desk33.com/p-990720.html