（等保三級）資訊安全管理手冊-V1.0

資訊安全管理手冊

檔案編号：xxx-資訊安全管理手冊-V1.0	起 草：資訊技術部
适用範圍：全公司	會 簽：有
釋出日期：20xx年x月	核 準：網絡安全工作小組
版 次：第1版	批 準：網絡安全上司小組

1. 目标

制定本檔案目的在于確定xxxxx有限公司（本文中簡稱“公司”）資訊安全管理體系建設和運維目标的實作。為了建立、實施、運作、監視、評審、保持和改進檔案化的資訊安全管理體系（簡稱ISMS），确定資訊安全方針和目标，對資訊安全風險進行有效管理，確定公司員工了解并遵照執行資訊安全管理體系檔案、持續改進資訊安全管理體系的有效性，根據公司及上級機關下發的相關管理規定特制定本檔案。

2. 适用範圍

本檔案适用于提供關于資訊安全管理體系的基本資訊，用于對公司資訊管理中心的資訊安全管理體系做綱領性和概括性的描述，适用于ISO/IEC27001:2005、GB/T22080-2008《資訊技術-安全技術-資訊安全管理體系要求》标準規定。

3. 引用檔案

GB/T22080-2008/ISO/IEC27001:2005資訊技術-安全技術-資訊安全管理體系要求。

GB/T22081-2008/ISO/IEC27002:2005資訊技術-安全技術-資訊安全管理實施細則。

資訊安全适用性聲明(SOA)

4. 術語和定義

資訊：本制度所稱的資訊是指一切與本公司經營有關情況的反映（或者雖然與本公司經營無關，但其産生或存儲是發生在本公司控制的媒體中），它們所反映的情況包括本公司的經營狀況、财務狀況、組織狀況等一切内容，其存儲的媒體包括紙質檔案、電子檔案甚至是存在員工大腦中。具體來說，包括但不限于下列類型：

l 與本公司業務相關的各個業務系統中的資訊，如設計文檔、源代碼、可執行代碼、配置、接口以及相應的資料庫和資料庫相關備份等；

l 與本公司業務相關的各種業務資料，如使用者資料、經銷商資料、合作夥伴資訊、合同、各業務系統運作時資料、各類統計資料和報表、收入資料等；

l 與本公司内部管理相關的各類行政資料，如人事資料、人事組織結構等；

l 與本公司财務管理相關的财務類資料，如采購資訊、資産資訊、财務資訊；

l 其他如本公司各分子本公司和外地辦事機構的資料；本公司員工對内、對外進行各種書面的、口頭的資訊傳播行為等。

5. 資訊安全管理體系

5.1. 總要求

資訊安全管理體系（ISMS）是在公司整體經營活動和經營風險架構下，針對資訊安全風險的管理體系。

公司依據ISO/IEC27001:2005、GB/T22080-2008标準的要求，建立、實施、運作、監視、評審、保持和改進資訊安全管理體系（ISMS），并形成相關管理檔案與記錄；公司全體員工應貫徹執行資訊安全管理規定并持續改進體系有效性，參見《資訊安全管理體系過程模式圖》（圖1）。

圖1.資訊安全管理體系過程模式圖

5.2. 管理體系組織與職責

5.2.1. 資訊安全管理組織架構

l 本公司最高管理層是公司資訊安全管理工作的最高上司者，負責全面把握公司資訊安全管理工作的方向。

l 本公司資訊技術部主管上司以及其上司的技術專家小組作為網絡安全上司小組，負責指導管理本公司資訊安全管理工作。

l 成立專門的網絡安全工作小組，負責落實、檢查資訊管理風險、制定安全管理規範、監督本公司資訊安全管理工作。

l 本公司總裁辦、資訊技術部、人力資源部、總務部、業務行政部及技術專家小組作為資訊安全管理輔助執行機構配合網絡安全工作小組工作執行。

5.2.2. 資訊安全職責說明

l 網絡安全上司小組負責建立、維護和改進資訊安全管理體系，并配備或教育訓練相關人員滿足資訊安全管理體系運作的需要。

l 公司資訊技術部負責提供相關資源，來保證資訊安全管理體系的建立、實施、運作、監控、評審、維護和改進。

l 網絡安全工作小組負責資訊安全政策的準許、釋出和宣傳教育訓練；負責監控并分析安全事件，通告相關人員；建立、記錄并釋出安全事件響應與更新流程，以確定各種事件得到有效的處理；對使用者的帳号進行管理；監視并控制所有對資料的通路。

5.3. 建立和管理ISMS（Plan）

5.3.1. ISMS範圍與邊界

公司資訊管理中心通過建立資訊安全管理體系（ISMS）對公司所提供的所有業務服務及支撐業務活動的實體環境、資訊資産及相關第三方服務進行安全管理。

業務範圍：公司資訊管理中心是公司的資訊技術營運管理中心。主要負責公司有限公司業務系統、資訊資産的運作和維護工作。

實體範圍：

l 辦公區：中國(上海)自由貿易試驗區錦康路308号9層02單元

l 機房：阿裡雲機房華東2區

資産範圍：支撐業務活動的文檔、資料、軟硬體系統、人員及支援性第三方服務等全部資訊資産。

組織範圍：資訊管理中心。

5.3.2. 方針及目标

5.3.2.1. 資訊安全方針

把安全放在首位，以服務赢得客戶，用文化熔煉團隊，為客戶創造價值。

5.3.2.2. ISMS方針

公司依據建立、實施、運作、監視、評審、保持和改進的方法論，基于風險管理建立并運作公司資訊安全管理體系（ISMS），同時履行國家法律、行業法規及合同所規定的安全要求及義務，實作公司資訊安全目标。

5.3.2.3. 資訊安全目标

l 業務系統可用性：確定本公司業務安全營運，生産系統安全穩定。

l 保證各種需要保密的資料（包括電子文檔、錄音帶等）不被洩密，涉密資訊不洩漏給非授權人員。

l 安全事故：不發生主要生産業務系統癱瘓，重要資料丢失和損壞，而嚴重影響正常業務開展的情況。

5.3.2.4. 資料收集、統計和分析

l 網絡安全工作小組負責按月總結公司安全生産情況， 報告重要安全生産事件和故障，彙報主要生産系統的運作資料。

l 對于未達成資訊安全目标的，網絡安全工作小組分析原因，找出解決辦法，形成處理意見，并上報網絡安全上司小組。

5.3.3. 風險管理

公司通過制定《風險評估管理規定》檔案，建立了滿足公司資訊安全管理體系與業務資訊安全需求、并符合法律和法規要求的風險管理程式。通過定義風險評估方法，明确風險接受準則與等級，確定能産生可比較且可重複的風險評估結果。（如圖3）

圖3.風險管理流程圖

5.3.3.1. 風險識别

公司通過進行風險識别活動，識别了以下内容：

l 識别了資訊安全管理體系範圍内的資産及其責任人；

l 識别了資産所面臨的威脅；

l 識别了可能被威脅利用的脆弱點；

l 識别了喪失保密性、完整性和可用性可能對資産造成的影響。

5.3.3.2. 風險估計與評價

l 公司通過對資産的保密性（C）、完整性（I）、可用性（A）指派對資産喪失CIA所造成的後果進行了判斷。

l 識别了主要威脅和脆弱點導緻安全失誤的現實可能性、對資産的影響以及目前所實施的控制措施。

l 通過計算資産的CIA、主要威脅和脆弱等相關指派得出風險的等級。

5.3.3.3. 選擇風險處置方式

公司依據風險評估結果，對風險采取了以下管控措施：風險降低、風險轉移、風險接受和風險規避。

5.3.3.4. 風險控制目标及措施

對風險控制目标及安全管控措施的實施政策進行了描述與說明，確定了公司資訊安全管理體系有效實施。公司通過對風險進行有效管控，将風險維持在可接受的等級範圍内。

5.3.3.5. 殘餘風險接受

最高管理層準許接受殘餘風險。

5.3.4. 适用性聲明

公司通過制定《資訊安全适用性聲明（SOA）》檔案，對資訊安全管理體系選擇安全控制目标和措施的範圍進行了說明與解釋。（詳見《資訊安全适用性聲明（SOA）》檔案）。

5.4. 實施與運作ISMS（Do）

公司根據《風險評估管理規定》中的要求進行風險處置，明确風險處置所需的管理措施、技術手段、資金、責任人。

公司通過制定《資訊安全目标及有效性測量規定》檔案，對控制措施進行有效性測量，并将測量結果記錄在《資訊安全目标及風險管理度有效性測量表》中。

公司通過制定《人力資源管理規定》檔案，對從事與資訊安全有影響的從業人員進行管理，確定業務素質和工作能力滿足相應工作的規定要求。對承擔資訊安全管理體系職責的人員規定相應崗位的能力要求，并通過教育訓練以滿足規定要求，同時保持教育、教育訓練、技能、經曆和資格的記錄。

5.5. 監視與評審ISMS（Check）

公司通過實施安全檢查、内部稽核、事故報告調查處理、資訊安全有效性測量等管理措施及電子與系統監控等技術手段以實作：

l 快速檢測處理結果中的錯誤。

l 快速檢測與識别将要或已造成影響的安全違規操作和事件。

l 通過報告使管理者确認公司的安全管理是否達到預期效果。

l 确定安全改進措施是否有效。

公司制定《管理評審控制規定》檔案，舉行資訊安全管理評審會議（每年至少一次），對管理體系的資訊安全方針及目标的符合性，安全控制措施的有效性進行評審，并考慮内部稽核、安全事件處理、有效性測量的結果，以及所有相關方的建議和回報。

公司按照《風險評估管理規定》要求每年進行風險評估評審，評審殘餘風險以及可接受風險的等級，并考慮到以下變化：

l 本公司組織機構和職責。

l 技術。

l 業務目标和過程。

l 已識别的威脅。

l 實施控制的有效性。

l 國家法律、行業法規、合同責任以及社會環境的變化。

公司根據風險評估、内部稽核、管理評審及外部稽核的結果，制定持續改進計劃。

5.6. 保持與改進ISMS（Act）

持續改進将確定公司資訊安全管理體系持續有效，公司制定并實施《糾正和預防措施管理規定》對體系内的安全發現進行糾正與預防。

5.6.1. 糾正措施

針對發現的不符合現象，采取措施，消除不符合的原因，并防止不符合項的再次發生。對糾正措施的實施和驗證規定以下步驟：

l 識别不符合。

l 确定不符合的原因。

l 評價確定不符合不再發生的措施要求。

l 确定和實施所需的糾正措施。

l 記錄所采取措施的結果。

l 評審所采取的糾正措施，将重大糾正措施送出管理評審讨論。

5.6.2. 預防措施

針對潛在的不符合，采取措施，消除不符合的原因，并防止不符合的發生。對預防措施的實施和驗證規定以下步驟：

l 識别潛在的不符合及其原因。

l 評價預防不符合發生的措施要求。

l 确定并實施所需的預防措施，預防措施的優先級應基于風險評估結果來确定。

l 記錄所采取措施的結果。

l 評審所采取的預防措施将重大預防措施送出管理評審讨論。

6. 檔案與記錄

6.1. 總則

公司資訊安全管理體系檔案包括：

l 檔案化的資訊安全方針、控制目标。

l 資訊安全管理手冊（本手冊，包括資訊安全适用範圍及引用的标準）。

l 本手冊要求的《風險評估管理規定》、《資訊安全目标及有效性測量規定》、《人力資源管理規定》、《管理評審控制規定》、《内部稽核控制規定》、《文檔管理規範》等支援性程式。

l 確定有效策劃、運作和控制資訊安全過程所制定的檔案化操作程式。

l 《資訊安全風險評估報告》、風險處理計劃以及ISMS要求的記錄類。

l 相關的法律、法規和資訊安全标準。

l 資訊安全适用性聲明（SOA）。

6.2. 檔案控制

公司制定并實施《文檔管理規範》，對資訊安全管理體系所要求的檔案進行管理。《文檔管理規範》對資訊安全管理體系内一、二、三、四級檔案及為保證資訊安全管理體系有效運作的受控檔案的編制、評審、準許、辨別、發放、使用、修訂、廢棄、回收等管理工作做出規定，以確定：

l 檔案在發放前應按規定的稽核和準許權限進行準許後才能釋出。

l 必要時對檔案進行評審與更新，并按規定的權限重新準許。

l 對檔案的修訂進行辨別，確定檔案的更改狀态清晰明了。

l 網絡安全工作小組應確定所有使用檔案的場所能夠獲得有關檔案的有效的最新版本。

l 檔案保持清晰、易于識别。

l 檔案可以為需要者所獲得，并根據适用于他們類别的程式進行轉移、存儲和最終的銷毀。

l 各部門獲得外來檔案應進行辨別并控制發放，確定外來檔案得到識别。

l 檔案的分發得到控制。

l 網絡安全工作小組應控制廢棄檔案的使用，若各部門有必要儲存廢棄檔案時，應向網絡安全工作小組報告，防止廢棄檔案的非預期使用。

l 若因任何目的需保留廢棄檔案時，應對其進行适當的辨別。

6.3. 記錄控制

l 公司通過各控制程式所要求的記錄證明資訊安全管理體系建立、實施、運作、監視、評審、保持和改進運作的有效性和符合性，并記錄與資訊安全有關的事件。

l 公司通過《文檔管理規範》，對資訊安全管理體系内記錄的辨別、儲存、保護、檢索、儲存期限和處置進行管控，確定記錄的清晰、易于識别和檢索。

l 資訊安全管理體系内的記錄應考慮相關法律法規要求和合同義務。

7. 内部稽核

公司建立并實施《内部稽核控制規定》，程式對策劃和實施稽核以及報告結果和保持記錄的職責和要求進行規定。并按年度進行内部資訊安全管理體系稽核，以确定資訊安全管理體系的控制目标、控制措施、過程和程式是否：

l 符合标準的要求和相關法律法規的要求。

l 符合已識别的資訊安全要求。

l 得到有效地實施和維護。

l 按預期執行。

7.1. 内審策劃

l 網絡安全工作小組應考慮拟稽核的過程和區域的狀況和重要性以及以往稽核的結果，對稽核方案進行策劃。應編制内審年度計劃，确定稽核的準則、範圍、頻次和方法。

l 每次稽核前，網絡安全工作小組應編制内審計劃，确定稽核的準則、範圍、日程和稽核組。稽核員的選擇和稽核的實施應確定稽核過程的客觀性和公正性。稽核員不應稽核自己的工作。

7.2. 内審實施

l 應按稽核計劃的要求實施稽核，包括：

進行首次會議，明确稽核的目的和範圍，采用的方法和程式；

實施現場稽核，檢查相關檔案、記錄和憑證，與相關人員進行交流，按照檢查的情況填寫檢查表；

對檢查内容進行分析，召開内審首次會議、末次會議，宣布稽核意見和不符合報告；

稽核組長編制稽核報告。

l 對稽核中提出的不符合項報告，責任部門應編制糾正措施，由網絡安全工作小組對受審部門的糾正措施的實施情況進行跟蹤、驗證。

l 按照《文檔管理規範》的要求，儲存稽核記錄。

l 内部稽核報告，應作為管理評審的輸入之一。

8. 管理評審

公司建立并實施《管理評審控制規定》，進行資訊安全管理體系評審（每年至少一次），以確定其持續的适宜性、充分性和有效性。管理評審對評價資訊安全管理體系改進的機會和變更的需要及安全方針和安全目标進行評審。管理評審的結果應清晰地形成檔案，記錄應加以儲存。

8.1. 評審輸入

管理評審的輸入應包括以下資訊：

l 資訊安全管理體系稽核和評審的結果。

l 相關方的回報。

l 用于改進資訊安全管理體系業績和有效性的技術、産品或程式。

l 預防和糾正措施的狀況。

l 以往風險評估沒有充分強調的脆弱性或威脅。

l 有效性測量的結果。

l 以往管理評審的跟蹤措施。

l 任何可能影響資訊安全管理體系的變更。

l 改進的建議。

8.2. 評審輸出

管理評審的輸出應包括與下列内容相關的任何決定和措施：

l 資訊安全管理體系有效性的改進。

l 更新風險評估和風險處理計劃。

l 必要時，修訂影響資訊安全的程式和控制措施，以反映可能影響資訊安全管理體系的内外事件，包括以下方面的變化：

業務要求。

安全要求。

影響現有業務要求的業務過程。

法律法規要求。

合同責任。

風險等級和（或）風險接受準則。

l 資源需求。

l 改進測量控制措施有效性的方式。

l 管理評審報告由管理者代表編制，經最高管理層準許後發往各部門，管理者代表負責存檔。

9. 附則

本規定由公司網絡安全上司小組負責解釋。

本規定自頒布之日起實施。

10. 附錄

無