IT-IT-M-0003信息安全管理体系手册

一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日xxxx有限公司信息安全管理手册密级□机密□保密■内部使用□公开信息受控状态■受控□非受控2011-12-01颁布封面2011-01-01实施深圳市xxxx有限公司信息中心发布一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日文件历史控制记录文件名称信息安全管理手册文件编号IT-IT-M-0003对应OA文号版次编制与修订概要完成日期状态角色人员编写初审会签审核批准一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日第一章前言随着xxxx有限公司业务发展日益增长，信息交换互连面也随之增大，信息业务系统依赖性扩大，所带来的信息安全风险和信息脆弱点也逐渐呈现，原有信息安全技术和管理手段很难满足目前和未来信息化安全的需求，为确保xxxx有限公司信息及信息系统的安全，使之免受各种威胁和损害，保证各项信息系统业务的连续性，使信息安全风险最小化，xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评，定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改，分析了信息安全管理上的不足与缺陷，编制了差距测评报告。通过开展信息安全风险评估和等级保护测评，了解xxxx有限公司信息安全现状和未来需求，为建立xxxx有限公司信息安全管理体系奠定了基础。2011年7月开展信息安全管理体系持续改进建设，依据信息安全现状和未来信息安全需求及GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求，建立了符合xxxx有限公司信息安全管理现状和管理需求的信息安全管理体系，该体系覆盖了GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的标准要求12个控制领域、39个控制目标和133个控制措施。本手册是xxxx有限公司信息安全管理体系的纲领性文件，由信息中心归口负责解释。一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日第二章信息安全管理手册颁布令xxxx有限公司（以下简称公司）依据GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系标准要求，结合限公司实际情况，在原有的各项管理制度的基础上编制完成了《xxxx有限公司信息安全管理体系手册》第一版，现予以批准实施。《xxxx有限公司信息安全管理体系手册》是公司在信息及信息系统安全方面的规范性文件，手册阐述了限公司信息安全服务方针，信息安全目标及信息安全管理体系的过程方法和策略，是公司信息安全管理体系建设实施的纲领和行动准则，是公司开展各项服务活动的基本依据；是对社会各界证实我公司有能力稳定地提供满足国际标准信息安全要求以及客户和法律法规相关要求的有效证据。适合公司信息化目前发展趋势需求，且内容充分、表达准确，现予颁布。本手册定于2011年8月1日起实施，属强制性文件，要求各部门所有人员必须正确理解并严格贯彻全面执行。xxxx有限公司总经理签名：日期：2011年01月01日一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日第三章公司介绍1.企业简介xxxx有限公司（以下简称xxxx）始创于2002年4月，大致经过三个发展阶段：第一阶段，2002年—2004年，为创业期，全力开拓市场，实现在竞争激烈的行业中立足；第二阶段，2004—2006年，为整合期，整合一切有效资源，重力推出新产品，奠定以优质产品占据市场的方向，梳理并确立了经营理念、发展愿景、经营方针，完成了股份制改革；第三阶段，2006—至今，为蜕变期，立足电气传动、工业控制领域，为全球用户提供专业化产品和服务，于2010年在深交所A股上市，股票代码：002334，步入不断提升企业核心竞争力，并实现飞跃的阶段。目前xxxx设有国内办事处30多个，海外办事处2个，拥有海内外经销合作伙伴上百家，用户遍布全球50多个国家和地区。xxxx是国家级高新技术企业，拥有深圳市唯一的“变频器工程技术研究开发中心”。在吸收国外先进技术的基础上，结合近十年变频推广应用经验和当今电力电子最新控制技术，研制出高、中、低压通用及各行业专用变频器、交流伺服系统、制动单元、能量回馈单元等产品。并在市政、建材、塑胶、油田、机械、化工、冶金、纺织、印刷、机床、矿山等行业广泛应用。xxxx变频器产品包括低压CHA/CHV/CHE/CHF/各行业专用系列、中压660V/1140V系列、高压CHH（3KV/6KV/10KV）系列等，功率范围涵盖0.4～8000kW，满足不同行业不同场合的各种变频控制应用需求。成熟矢量控制技术、各行业专用变频控制技术的掌握以及国际领先四象限控制技术的突破使xxxx的发展持续领先，成为中国变频器行业的领导者。高性能交流伺服系统的开发与成功应用标志着xxxx向运动控制领域的拓展与延伸。xxxx在“众诚德厚、业精志远”的经营理念指导下，坚持在不断创新、精益求精中与包括员工、股东、供应商、客户等广大合作伙伴共同发展，公司的自主创新及品牌美誉度在行业中已经占有重要地位，并得到社会的广泛认同。一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日2.企业文化经营理念：众诚德厚业精志远愿景：成为全球领先、受人尊敬的电气传动、工业控制领域的产品和服务供应商。使命：竭尽全力提供物超所值的产品和服务，让客户更有竞争力。经营方针：创新品质标准化共同发展核心价值观：众诚德厚拼搏创新人才理念：人才是企业第一资本尊重人才，经营人才质量方针：提供不断优化的产品和服务，提高客户满意度。3.企业标识：标识释义：xxxx企业标徽有两种色彩：xxxx红（M100Y80）、xxxx蓝（C100M80K40），红色体现进取和活力，蓝色象征包容和专注的钻研精神。字体设计简洁、凝聚、浑厚、扩张，传达xxxx通过与合作伙伴和员工的合力凝聚坚固产品品质，厚重企业诚信、拼搏创新、走向国际、再创新高的思想。“INVT”是变频器（inverter），也是创新（innovation）和美德（virtue）的结合，是xxxx核心价值观“众诚德厚，拼搏创新”的标识承载；首字母“i”色彩红蓝结合，强调xxxx企业——个人与团队、个人与公司、xxxx与客户、供应商的相互信赖，共同发展；红色圆点是旭日也是星球，蓝色体现企业所在地域——滨海城市深圳，体现xxxx电气立足本土，致力于成为全球领先、受人尊敬的电气传动、工业控制领域产品/服务供应商的远景目标。一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日第四章信息安全管理目标根据国家信息安全等级保护要求、公司下达的目标与指标、公司信息化发展战略目标、信息安全风险评估结果、信息用户的满意度，结合公司实现目标所需的资源，识别公司的信息安全目标与指标。公司每年年底制定下一年度的信息安全目标与指标，公司制定完成信息安全目标与指标的工作计划，将目标、指标的层层分解，并落实完成。下列是详细的信息安全目标：目标类别目标项目标值目标换算方法统计周期信息安全目标不可接受风险处理率100%（不可接受风险数处理数/不可受风险总数）×100%年机密信息泄密事件0次按实际发生次数统计年秘密信息泄密事件0次按实际发生次数统计年特别重大突发事件（Ⅰ级）0次按实际发生次数统计年重大突发事件（Ⅱ级）0次按实际发生次数统计年较大突发事件（Ⅲ级）0次按实际发生次数统计年一般突发事件（Ⅳ级）0次按实际发生次数统计年内部审核及管理评审实施及时率100%按计划实施年员工入职培训完成率100%（入职员工参训人数/入职员工总数）×100%年信息安全培训计划完成率100%（实际培训次数/计划培训次数）×100%年信息安全运行指标大面积感染计算机病毒次数0次按实际发生次数统计年由于网络故障导致关键业务中断次数0次按实际发生次数统计年员工保密协议签订率100%（实际签订人数/入职总人数）×100%年一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日目标类别目标项目标值目标换算方法统计周期重要信息备份及时率100%（实际备份数/计划备份数）×100%年内部审核不符合项整改率≥90%（不符合项整改完成数/不符合项总数）×100%年计算机故障处理完成率100%（实际处理数/故障总数）×100%年容量不足导致业务故障次数≤3按实际发生次数统计年计算机口令强度符合率100%（帐号符合数/帐号总数）×100%年注：公司的信息安全目标不限此，可根据各部门的实际业务进行调整或分解。一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日第五章信息安全会议1.信息安全会议要求1.1.公司应在每年一次的信息化工作会议上，总结汇报本年度的信息安全工作情况。1.2.公司应在每季度召开的计算机管理会议中，总结本季度的信息安全工作情况。1.3.公司信息中心应在每月召开的信息管理工作例会中，总结本月的信息安全工作情况。1.4.公司应根据风险变化的需要或在重大活动期间，不定期召开信息安全专题会。2.信息安全会议记录管理2.1.公司应及时制定相关的信息安全管理文件、信息安全数据与记录。2.2.信息安全管理数据与记录包括：1)信息安全会议纪要2)信息安全事故调查报告3)信息安全事件整改报告4)信息安全检查整改方案5)信息安全审计记录6)技术档案资料7)培训记录8)信息安全作业活动数据与记录一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日9)信息安全事件通报、整改活动10)信息安全检查活动11)应急演练活动12)信息系统定级备案活动13)信息安全审计活动14)信息安全风险评估活动15)数据与记录要求：真实、完整、齐全、准确、及时。3.信息文件的管理3.1.根据精简、高效的原则，制定公司信息安全工作和管理流程，包括：1)信息安全管理流程2)信息安全事件处理流程3)信息安全应急流程4)其它相关流程3.2.每年回顾流程的效率，必要时修订、增加或废除不必要的流程或环节。3.3.信息安全管理流程和信息安全事件处理流程纳入信息安全管理体系中管理3.4.信息安全应急流程纳入《xxxx有限公司网络与信息安全专项应急预案》中管理。3.5.根据管理变化、技术变化，公司定期修订如下：一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日1)更新管理手册、程序文件、作业指导书或管理制度、办法；2)更新培训要求；3)更新应急处置程序；3.6.对涉及到的所有信息安全风险进行回顾分析；3.7.变化管理需文件化，并保存变化过程的相关记录。一级文件文件编号IT-IT-M-0003版本V1.0保密等级内部使用标题信息安全管理手册生效日期2011年01月01日第六章信息安全管理体系1.总则1.1.为了加强xxxx有限公司（以下简称“xxxx有限公司或公司”）信息安全管理工作，保护信息系统的安全，促进信息系统的应用和发展，根据国家有关法律法规，以及变频器行业的管理规范、行业标准，并遵照公司信息系统安全的有关规定，特制定本手册。1.2.信息系统的安全保护范围包括各信息系统相关的和配套的软件、硬件、信息、网络和运行环境的安全。1.3.xxxx有限公司信息系统安全管理应遵循“统一规划、预防为主、集中管理、分层保护、明确责任”的原则。1.4.xxxx有限公司运行中的信息系统是支撑生产的运行设备，各级安全生产责任人对其职责范围内的