信息安全管理手册.docx
《信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《信息安全管理手册.docx(13页珍藏版)》请在优知文库上搜索。
1、XXX信息科技有限公司信息安全管理手册文档编号:项目编号:项目名称:信息安全管理体系建设项目类别:IS027001信息安全管理体系文件密级:内部公开路径:部门:XXX科技发展部负责人:科技发展部总经理本文档及所包含的信息为XXX科技发展部所有未经授权不得以任何手段任何形式进行复制与传播保留所有的权利修订记录日期(年月日)版本描述作者审批人审批日期目录1 概述31.1 背景31.2 颁布令41.3 授权书52 总则62.1 目的62.2 范围62.3 使命和愿景62.4 信息安全方针62.5 信息安全管理体系方针72.6 裁剪说明72.7 依据文件72.8 定义与缩写73信息安全管理体系71.1
2、 体系概述81.2 文件要求81.3 体系文件架构81.4 文件控制91.5 记录控制104 管理职责104.1 管理者承诺104.2 资源提供104.3 内部审核114.4 管理评审115 体系改进115.1 持续改进115.2 纠正和预防措施121概述本手册是XXX科技发展部(以下简称“科技发展部”)根据GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准的要求,结合科技发展部现状和发展需求制定,经科技发展部信息安全工作指挥小组审核,由最高管理者批准颁布并执行。本手册规定了科技发展部信息安全管理体系范围内的管理职责、内部审核、管理评审和信
3、息安全管理体系改进等方面的内容。1.1 背景1.2 颁布令为提高XXX科技发展部的信息安全管理水平,保障科技发展部贯彻落实“生产安全、运行稳定、支持有力、服务高效、操作严谨、管理规范”的基本要求,发挥“服务、管理、内控、效益”四大功能,树立XXX的“技术实力精湛、精细化管理、企业文化”形象,防止由于信息系统故障、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,科技发展部开展贯彻GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的工作,建立文件化的信息安全管理体系,制定了信息安全管理手册。本手册是科技发展部信息安全管理的纲领性文件,是指导科
4、技发展部建立并实施信息安全管理体系的纲领和行动准则,用于贯彻科技发展部的信息安全管理方针,实现科技发展部信息安全管理体系的有效运行和持续改进。全体员工必须严格按照本手册的要求,自觉贯彻管理方针,严格执行本手册的各项规定,努力实现科技发展部生产运行和日常办公的安全。本手册自颁布之日起生效执行。1.3 授权书为了贯彻执行信息安全管理体系,满足GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求,加强对信息安全管理体系建设和持续运行的领导工作,特任命同志为XXX科技发展部信息安全管理者代表。授权信息安全管理者代表有如下职责和权限:1 .领导信息安
5、全管理体系的建立、运行和维护,开展资产识别和风险评估;2 .协调与信息安全管理体系有关的各项工作;3 .确保在科技发展部内提高员工信息安全意识;4 .督促信息安全管理体系内部审核和信息安全检查的开展;5 .协助最高管理者进行信息安全管理体系的管理评审;6 .向最高管理者报告信息安全管理体系的业绩和改进要求。本授权书自任命日起生效执行。2总则2.1 目的本手册为XXX科技发展部信息安全管理体系(ISMS)的建立和运行提供指导,并保证科技发展部的信息安全管理体系符合GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求,从而确保:(一)科技发展部
6、信息的保密性、完整性和可用性。(二)科技发展部各项业务的连续性。(三)科技发展部信息安全管理体系符合中华人民共和国、中国人民银行、公安部、中国银行业监督管理委员会、XXX总行的各种强制性规定、规则及适用的相关惯例、准则和协议。2.2 范围本手册所描述的信息安全管理体系适用于XXX科技发展部。科技发展部信息安全管理体系覆盖科技发展部所有部门,涵盖科技发展部职责范围内信息系统运行维护、计算机设备管理、人员信息安全、数据安全等在内的各项信息安全管理相关活动。科技发展部信息安全管理体系的建设遵循GB/T22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求,并接受
7、外部权威机构认证审核,认证范围是XXX科技发展部。2.3 使命和愿景利用信息科技促进我行发展战略的实现,在金融产品和服务创新工作中,发挥IT在技术创新方面的先导作用,加强IT在我行风险防范和合规管理方面的支持,力争实现信息科技三年内达到股份制银行中等水平,五年内步入领先行列的发展目标。2.4 信息安全方针科技发展部的信息安全管理遵循XXX的“细节决定成败,合规创造价值,责任成就事业”管理理念和“违规就是风险,安全就是效益”风险理念。科技发展部的信息安全方针是:预防为主,分级保护,分层负责,持续改进。预防为主:科技发展部信息安全工作贯彻预防为主的指导思想,采取各项主动预防措施,建立信息安全和操作
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 手册