编写委员会信息安全管理手册GLSC2020第A/0版编写：审核：批准：受控状态：XXX网络科技有限公司发布时间：2020年9月1日实施时间：2020年9月1日01目录02修订页03颁布令为提高我公司的信息安全管理水平,保障公司和客户信息安全，依据GB/T 2 2080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》结合本公司实际，特制定信息安全管理手册（以下简称“管理手册”）A/0版。

《管理手册》阐述了公司信息安全管理，并对公司管理体系提出了具体要求，引用了文件化程序，是公司管理体系的法规性文件，它是指导公司建立并实施管理体系的纲领和行动准则，也是公司对所有社会、客户的承诺。

《管理手册》是由公司管理者代表负责组织编写，经公司总经理审核批准实施。

《管理手册》A/0版于2020年9月1日发布，并自颁布日起实施。

本公司全体员工务必认真学习,并严格贯彻执行，确保公司信息安全管理体系运行有效，实现信息安全管理目标，促使公司信息安全管理工作得到持续改进和不断发展。

在贯彻《管理手册》中，如发现问题，请及时反馈，以利于进一步修改完善。

授权综合部为本《管理手册》A/0版的管理部门。

XXX网络科技有限公司总经理：2020年9月1日04任命书为了贯彻执行GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》，加强对管理体系运作的领导，特任命gary为本公司的信息安全管理者代表。

除履行原有职责外，还具有以下的职责和权限如下：（1）确保信息安全管理体系的建立、实施、保持和更新；进行资产识别和风险评估。

（2）向最高管理者报告管理体系的有效性和适宜性，并作为评审依据用于体系的改进；（3）负责与信息安全管理体系有关的协调和联络工作；（4）负责确保管理手册的宣传贯彻工作；（5）负责管理体系运行及持续改进活动的日常督导；（6）负责加强对员工的思想教育和业务、技术培训，提高员工信息安全风险意识；（7）主持公司内部审核活动，任命内部审核人员；（8）代表公司就公司管理体系有关事宜与外部进行联络。

本授权书自任命日起生效执行。

总经理：2020年9月1日05方针、目标为提高本公司的信息安全管理水平,保障公司和客户信息安全，本公司建立了信息安全管理制度，制定了信息安全方针和信息安全目标。

1 公司信息安全方针满足客户需求、强化风险管理、保障信息安全、遵守法律法规、实现持续改进。

满足客户需求：始终坚持以客户为关注焦点，遵循着公司“竭尽全力提供物超所值的产品和服务，让客户满意”的发展使命，满足客户的需求。

强化风险管理：秉承“预防为主，防治结合”的理念，优化信息安全策略和信息安全管理流程，对运行的信息系统和重要信息资产进行全方位风险预防管控，保护信息系统和重要信息免受各种威胁的损害，使信息安全风险最小化，以确保信息系统业务的连续性。

保证信息安全：坚持“安全第一、预防为主”的安全管理方针，定期开展信息安全风险评估，完善信息安全管理制度和管理信息系统灾害的应急预案，及时处理不可接受风险，杜绝可能出现的信息安全事故。

遵守法律法规：严格遵守法律法规，自觉增强社会责任感，保障客户和公司的信息安全。

实现持续改进：发挥全体员工的潜能，把质量预防机制构筑在每一个业务环节中，进行全面的质量管理，并持续改进。

2 公司信息安全目标a）不可接受风险处理率=100%b）机密信息泄密事件=0次c）重大突发事件=0次d）客户满意度≥90%3部门信息安全目标3.1信息安全管理委员会：a）不可接受风险处理率=100%3.2综合部：a）审核实施及时率≥90%b）员工入职培训完成率=100%c）员工保密协议签订率=100%d）计划培训实施率≥95%e）文件有效率=100%f）文件按时发放率=100%3.3技术部a）机密信息泄密事件=0次b）大面积感染病毒次数=0次c）成功防范黑客攻击率=100%d）重要信息备份技术率=100%e）计算机故障处理完成率=100%f）产品及时完成率=100%3.4业务部a）客户满意度≥90%b）产品退回=0c）投诉=0总经理：fran 2020年9月1日06公司简介XXX有限公司位于XX省XX市XXX街道XX号，成立于2019年1月，是一家专注于软件开发、企业信息化建设、网站建设、广告设计的专业型新型电子商务公司。

公司主营业务有：网站建设（包含手机端网站、PC端官网订制、公共平台搭建等），订制软件（包含手机软件和电脑软件）、搭建企业信息化平台、广告设计。

作为一家专业服务于企业信息化建设的公司，公司拥有一只经验丰富的行业精英组成的的团队，公司自成立一年以来，已经为多家企业完成了网站建设和推广，设计完成了XXXXX，赢得了众多客户的一致好评。

通信信息公司名称：公司地址：联系人：电话：传真：电子信箱：07管理手册1 概述本《管理手册》依据GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》以及公司实际情况编制的，是本公司从事信息安全管理有关的活动的纲领性文件，为保持其持续适应性和有效性，明确管理者和持有者的责任，对管理手册的编写、修订、发放等实行统一管理。

2 依据2.1 GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》3 手册的编写和管理职责3.1管理者代表负责组织管理手册编写、会审、修订并组织宣贯。

3.2由总经理批准颁布实施。

3.3资料管理员负责管理手册发放、回收、登记、保管和控制。

3.4管理手册按“受控”和“非受控”两种版本管理。

“受控”版本正本由资料管理员保管，非正本限于本公司内部使用；“非受控”版本对外发放，在对外发放时必须经经理批准并加盖“非受控”标识后方可对外发放。

4 手册持有者的责任4.1管理手册是本公司信息安全管理体系运行的纲领性文件，本公司人员必须认真学习、了解信息安全管理管理工作等，熟悉各项规定并严格遵照执行。

4.2管理手册是公司的受控文件，限公司内部使用，应妥善保管，不得遗失、擅自更改、翻印和外借，如有丢失应向资料管理员作书面报告，经管理者代表批准后方可补发。

4.3更改页下发后，按更改内容要求贯彻执行。

4.4持有者调离本公司，必须交回手册，办理回收手续后方可离开。

5 管理手册的宣传与贯彻5.1管理手册是本公司活动管理的指导性文件，是开展管理活动的依据和规范，全体人员必须认真学习和掌握管理手册的规定和要求。

5.2管理者代表制定宣传与贯彻计划并组织全体人员学习，使全体人员了解信息安全管理工作，对管理手册中条款作必要的说明和解释，以便在信息安全管理活动中得以正确贯彻和执行。

5.3新调入本公司工作人员，岗前培训内容包含管理手册的学习。

6 手册的修订6.1在管理体系活动中，员工有权以口头或书面方式向管理者代表提出修改意见或补充建议。

6.2管理者代表负责收集修改意见和建议，一般在每年的内部评审或管理评审会议上提出修改意见并进行评审。

6.3修订稿由管理者代表组织起草，报总经理审批。

修订稿经总经理审核批准后印制，手册持有者更换修订后的管理手册，并对旧版手册进行回收。

7 手册的改版7.1当法律法规、标准发生变化时或本公司职能、体制、组织结构等发生重大变化，现行管理体系与之不相适应，或上级主管部门要求改版时，管理手册予以改版。

7.2 改版工作由管理者代表负责，组织人员编写，新版本由总经理负责审核。

新版本自总经理批准颁布实施之日起，旧版本同时废止并予以回收。

第一章范围1.1本手册适用于本公司软件开发、网站建设、企业信息化管理等活动涉及的信息安全管理活动。

1.2本手册适用于相关方审核本公司信息安全管理能力的依据之一。

1.3本手册是信息安全管理体系文件，满足公司内部管理体系需要。

1.4本公司不进行外包，本手册不适用于外包。

第二章规范性引用文件下列文件对于本手册的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本手册。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本手册。

1）GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》2）GB/T 29246/ISO/IEC 27000《信息技术安全技术信息安全管理体系概述和词汇》第三章术语和定义GB/T 29246-2017/ISO/IEC 27000：2016《信息技术安全技术息安全管理体系概述和词汇》界定的术语和定义适用于本手册。

3.1审核获取审核证据并客观地对其评价以确定满足审核准则程度的，系统的、独立的和文档化的过程。

注1：审核可以是内部审核（第一方）或外部审核（第二方或第三方），可以是结合审核（结合两个或两个以上学科）。

注2：“审核证据”和“审核准则”在ISO 19011中被定义。

3.2审核范围审核的程度和边界。

3.3能力应用知识和技能实现预期结果的才能。

3.4保密性信息对为授权的个人、实体或过程不可用或不泄露的特性。

3.5符合性对要求的满足。

3.6后果事态影响目标的结果。

3.7持续改进为提高性能的反复活动。

3.8控制改变风险的措施。

3.9控制目标描述控制的实施结果所达到目标的声明。

3.10纠正消除已查明的不符合的措施。

3.11整改措施消除不符合的措施。

3.12文档化信息组织需要控制和维护的信息及其载体。

注1：文档化信息可以采用任何格式，在任何载体中，出自任何来源。

注2：文档化信息可能涉及——管理体系，包括相关过程；——为组织运作所创建的信息（文档）；——结果实现的证据（记录）。

3.13有效性实现所计划活动和达成所计划结果的程度。

3.14信息安全对信息的保密性、完整性和可用性的保持。

3.15信息安全持续性确保信息安全持续作用的过程和规程。

3.16信息安全事态识别到一种系统、服务或网络状态的发生，表明可能违法信息安全策略或控制失效，或者一种可能与信息安全相关但还不为人知的情况。

3.17信息安全事件单一或一系列不希望或意外的，极有可能损害业务运行和威胁信息安全的信息安全事态。

3.18信息安全事件管理发现、报告、评估、响应、处理和总结信息安全事件的过程。

3.19信息系统应用、服务、信息技术资产或其他信息处理组件。

3.20管理体系组织中相互管理或相互作用的要素集，用来建立策略和目标以及达到这些目标的过程。

3.21测量确定一个值的过程。

3.22监视确定系统、过程或活动状态的行为。

3.23不符合对要求的不满足。

3.24过程将输入转换成输出的相互关联或相关作用的活动集。

3.25评审针对实现所设立目标为主题，为确定其适宜性、充分性和有效性而采取的活动。

3.26风险对目标不确定性影响。

3.27利益相关方对于一项决策或活动，可能对其产生影响，或被其影响，或认为自己受到影响的人或组织。