ISMS手册信息安全管理IT服务管理体系手册.doc
《ISMS手册信息安全管理IT服务管理体系手册.doc》由会员分享,可在线阅读,更多相关《ISMS手册信息安全管理IT服务管理体系手册.doc(55页珍藏版)》请在咨信网上搜索。
1、信息安全管理IT服务管理体系手册发布令本公司按照ISO20230:2023信息技术服务管理规范和ISO27001:2023信息安全管理体系规定以及本公司业务特点编制信息安全管理&IT服务管理体系手册,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实行。本手册是公司法规性文献,用于贯彻公司信息安全管理方针和目的,贯彻IT服务管理理念方针和服务目的。为实现信息安全管理与IT服务管理,开展连续改善服务质量,不断提高客户满意度活动,加强信息安全建设的大纲性文献和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足规定的信息安全管理和IT服
2、务。本手册符合有关信息安全法律法规规定以及ISO20230:2023信息技术服务管理规范、ISO27001:2023信息安全管理体系规定和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20230:2023信息技术服务管理规范和ISO27001:2023信息安全管理体系规定的规定任命XXXXX为管理者代表,作为本公司组织和实行“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照信息安全管理&IT服务管理体系手册规定,自觉遵守本手册各项规定,努力实现公司的信息安全与IT服务的方针和目的。管理者代表职责:a) 建立服务管理
3、计划; b) 向组织传达满足服务管理目的和连续改善的重要性; e) 拟定并提供策划、实行、监视、评审和改善服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1 保证按照ISO207001:2023标准的规定,进行资产辨认和风险评估,全面建立、实行和保持信息安全管理体系;按照ISO/IEC 20230 信息技术服务管理规范的规定,组织相关资源,建立、实行和保持IT服务管理体系,不断改善IT服务管理体系,保证其有效性、适宜性和符合性。2 负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目的的业绩、客户满意度状况、各项服务活动及改善的
4、规定和结果等。3 保证在整个组织内提高信息安全风险的意识;4 审核风险评估报告、风险解决计划;5 批准发布程序文献;6 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改善规定,涉及信息安全管理体系运营情况、内外部审核情况。7推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知限度,以及为达成公司服务管理目的所应做出的奉献。总经理:日期:信息安全方针和信息安全目的信息安全方针:信息安全 人人有责本公司信息安全管理方针涉及内容如下:一、信息安全管理机制1公司采用系统的方法,按照I
5、SO/IEC 27001:2023建立信息安全管理体系,全面保护本公司的信息安全。二、信息安全管理组织2公司总经理对信息安全工作全面负责,负责批准信息安全方针,拟定信息安全规定,提供信息安全资源。3公司总经理任命管理者代表负责建立、实行、检查、改善信息安全管理体系,保证信息安全管理体系的连续适宜性和有效性。4在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运营。5与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全规定和发展动态,获得对信息安全管理的支持。三、人员安全6信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,
6、在劳动协议、岗位职责中应包含对信息安全的规定。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。7对本公司的相关方,要明确安全规定和安全职责。 8定期对全体员工进行信息安全相关教育,涉及:技能、职责和意识。以提高安全意识。9全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、辨认法律、法规、协议中的安全10及时辨认顾客、合作方、相关方、法律法规对信息安全的规定,采用措施,保证满足安全规定。五、风险评估11根据本公司业务信息安全的特点、法律法规规定,建立风险评估程序,拟定风险接受准则。12采用先进的风险评估技术和软件,定期进行风险评估,以辨认
7、本公司风险的变化。本公司或环境发生重大变化时,随时评估。13应根据风险评估的结果,采用相应措施,减少风险。六、报告安全事件14公司建立报告信息安全事件的渠道和相应的主管部门。15全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。16接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的解决,并向报告人员反馈解决结果。七、监督检查17定期对信息安全进行监督检查,涉及:平常检查、专项检查、技术性检查、内部审核等。八、业务连续性18公司根据风险评估的结果,建立业务连续性计划,抵消信息系统的中断导致的影响,防止关键业务过程受严重的信息系统故
8、障或者劫难的影响,并保证可以及时恢复。19定期对业务连续性计划进行测试和更新。九、违反信息安全规定的处罚20对违反信息安全方针、职责、程序和措施的人员,按规定进行解决。信息安全目的:1.不可接受风险解决率:100% (所有不可接受风险应减少到可接受的限度)。2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)1 信息安全管理手册说明11公司简介XX1.1编制依据和目的本手册在遵循ISO9001:2023 信息安全管理体系规定与ISO/IEC 20230 信息技术服务管理规范的规定编制而成,涉及了ISO27001:2023的所有规定,对附录A的删减见合用性声明So
9、A。手册描述公司的信息安全管理体系的总规定,以保证公司的信息安全管理体系可以达成ISO27001:2023信息安全管理标准的规定;满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务,合用于向客户或认证机构证实,本公司具有提供符合客户需求的IT服务能力和服务质量。本公司的体系程序是手册的支持性文献,是对体系运作的具体描述。1.2合用范围信息安全管理&IT服务管理体系手册合用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。13术语和定义131本手册应用ISO/IEC 20230中的术语及定义。132本手册应用ISO/IEC27001中的术语及定义。2 信息安全管理&I
10、T服务管理手册的管理21手册的编制、批准和发布211按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC 20230标准的规定编写。212IT服务管理手册由公司管理者代表批准后发布。22手册的分发221技术服务事业部负责手册的发放、更新、管理与存档。222公司各部门负责手册的使用和保管。23手册的受控状态231书面形式的手册分“有效文献”和“保存文献”两种形式。作为公司平常运营的依据及提供应外部认证机构的手册均为“有效文献”形式。232当手册内容变更时,“有效文献”形式的手册应及时予以更新和发放。233“有效文献”形式的文献在
11、更新后,如需保存本来的版本,以便于追溯,则应当用“保存文献”的标记予以区分。234电子形式的手册由技术服务事业部在工作流转系统中进行管理。24手册的变更241因公司战略调整、客户需求或改善活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。242更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。25公司内部手册持有者的责任251与公司或部门内部的相关人员沟通、学习手册的规定并遵照执行。252妥善保管,不得私自更改、曲解手册的内
12、容。不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。3 公司架构和安全承诺3.1公司行政组织架构总 经 理文档培训仓库采购人力资源财务物流销售市场测试质量保证质管部实施研发综合管理部生技部商务部3.2公司信息安全管理体系组织架构图总 经 理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量保证测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。33公司IT服务管理职能关系架构图3.4信息安全承诺公司
13、成立安全管理委员会来领导信息安全工作,并拟定相应的职责和作用。制订信息安全方针和信息安全目的,建立和完善公司的信息安全管理体系。提供充足的资源以保证信息安全管理体系的制定、实行、运作、监控、维护和改善。对公司信息资产实行有效管理,保证信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。建立业务连续性管理流程。进行业务连续性风险评估,编写、测试并实行业务连续性计划和劫难恢复计划,以保证公司关键业务的连续,不受重大故障和劫难的影响。保证公司所有员工都接受信息安全的教育培训,提高信息安全意识。保护公司、客户、
14、相关合作方的信息安全。建立公司信息安全组织架构,明确信息安全责任,拟定报告可疑的和发生的信息安全事故及事件的流程,对违反安全制度的人员进行处罚。建立物理安全和网络安全管理制度,以保证信息的安全性。保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。任何人在未经审批的情况下,严禁将信息资产带离公司。公司所有员工都要严格遵守公司的安全方针、程序和制度。控制对内外部网络服务的访问,保护网络服务的安全性与可用性。对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。对重要信息进行备份保护,以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。3.5信息安全管理委员会为了加强对信
15、息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。信息安全管理职责明细表序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构,负责本单位网络与信息安全重大事项的决策和协调,并对全公司信息安全工作负责。2总经理信息安全第一负责人,制定信息安全方针,对信息安全全面负责。3管理者代表经总经理授权负责建立、实行、检查、改善信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。1. 负责管理体系的建立、实行、保持、测量和改善。2. 负责文献控制、记录控制、内部审核的组织、管理评审的组织和体系的改善。
16、3. 负责本公司保密工作的管理。4. 安全区域的保卫管理部门,负责安全区域的管理。5. 负责全公司人员安全管理,涉及人员聘用管理,保密协议签署,员工的能力、意识和培训,员工离职管理。6. 负责涉密信息上网、涉密计算机运营、检修、报废的监督管理。7. 对信息安全平常工作实行动态考核,将信息安全管理作为公司管理的重要工作内容。8. 参与涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能;负责我公司信息系统安全平常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范,做好内部培训。备注:以上职能划分,合用所有信息安全管
17、理体系文献。信息安全管理委员会组成人员:姓名部门职务备注36服务管理职能说明361为保证IT服务管理体系的顺利实行,以及实行后得到连续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序规定对所有服务协议按照项目进行管理与运营,由项目经理按照服务管理职能关系架构中的规定对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更
18、管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务协议进行选择裁剪。362 角色分派说明3621针对服务部当前组织架构及人员状况,将不再为每一具体流程分派流程经理。为此将13个流程,按其必要限度提成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实行、管理和控制。对项目组成员重要是组织、协调、安排相应工作任务的完毕,也许并不是由自己去完毕。36211 项目经理职责说明:1)、负责IT服务项目的立项工作,按照服务协议规定负责相应流程的实行、管理和控制。组织、协调、安排项目组成员完毕相应工作任务。2)、负责从服务台接受事件报告开始,分派相应的职能小
19、组进行事件解决,直至找到问题的主线因素的整个过程的管理和协调。3)、负责各系统的配置管理、变更和发布控制。4)、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练,并负责系统容量的规划和监控。5)、重要负责与用户的沟通,对供应商的管理,以及项目的预/决算的管理。36212能力规定:熟悉服务部的各种服务管理流程,具有较强的内部协调能力。 由管理者代表授权技术服务事业部总监,按ISO/IEC 20230的规定,负责协调和组织所有与IT服务有关的活动,通过管理和实行各项活动,使IT服务业务的质量得到有效的保持和维护。 技术服务事业部组织制订、批准和发布公司IT服务策略、服务目的,并使其成为公
20、司关注的焦点,成为公司协调、统一、凝聚公司的所有活动和资源的准则,成为建立、实行、保持并改善IT服务管理体系的宗旨。363公司 IT服务策略:客户至上、全员参与、创新高效、系统管理、追求卓越公司 IT服务目的:公司通过服务质量改善程序拟定年度服务质量目的 公司的IT服务目的按ISO/IEC 20230的规定,与公司的业务相结合,并通过流程绩效不断提高和改善。 技术服务事业部负责组织相关部门,通过会议、评审、书面报告、培训等方式,及时有效沟通工作,达成IT服务管理目的和连续改善的需求,并在公司中积极贯彻实行IT服务管理的重要性。技术服务事业部负责组织相关部门按照PDCA的规定,通过对所属业务的规
21、划,适时优化和提供资源以计划、实行、监控、评审和改善IT服务的交付和管理。 管理者代表按照服务质量改善管理程序中的计划间隔,由技术服务事业部负责组织相关部门实行IT服务管理体系的内部审核,保证IT服务管体系的有效性与符合性。管理者代表按照服务质量改善管理程序中的计划间隔,组织相关部门执行IT服务管理体系的管理评审,保证IT服务管理体系连续的稳定、充足和有效。364文献规定3641公司的文献管理体系分为A、B、C、D四层,即A层为管理手册、B层为程序文献、C层为工作流程或规定、D层为记录。3642管理手册 描述IT服务管理体系的文献,是全体员工必须长期遵循的法规性文献。3643程序文献 覆盖公司
22、重要业务过程的流程文献,是管理手册的支撑性文献。3644工作流程或规定 是开展具体业务工作的规范类、指导性文献,是程序文献的支持性文献。3645记录 在开展具体业务工作过程中产生的记录类文献,重要是为具体工作结果提供各种可追溯性证据。3646技术服务事业部负责组织制订文献和记录管理程序,明确文献的拟制、批准、发放、变更、存档等管理规定,并监控实行。3647技术服务事业部负责组织相关部门,根据公司的业务特点及标准的规定,制订相关的程序文献,经公司管理者代表批准后实行。3648技术服务事业部负责组织拟制与本部门业务相关的各类C层文献,并按文献和记录管理程序的规定对文献和记录的有效性进行管理。4信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS 手册 信息 安全管理 IT 服务 管理体系
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。