收藏
下载资源 加入VIP免费专享

信息安全管理手册.docx

上传人:peixunshi0 文档编号:552617 上传时间:2025-07-30 格式:DOCX 页数:15 大小:88.47KB
下载 相关 举报
信息安全管理手册.docx_第1页
第1页 / 共15页
信息安全管理手册.docx_第2页
第2页 / 共15页
信息安全管理手册.docx_第3页
第3页 / 共15页
信息安全管理手册.docx_第4页
第4页 / 共15页
信息安全管理手册.docx_第5页
第5页 / 共15页
点击查看更多>>
资源描述

1、信息安全管理手册批准人签字审核人签字制订人签字日期:日期:日期:变更履历序号版本编号或更改记录编号变化状态*简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期*变化状态:C创建,A增加,M修改,D删除1目的为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。2范围本手册适用于ISO/IEC27001:20054.2.1a)条款规定范围内的信息安全管理活动。D业务范围:为顾客提供IT

2、信息系统的整体解决方案和运行维护服务、信息系统集成、软件开发,并与最新版本的适用性声明一致2)物理范围:北京海淀区中关村南四街4号四号楼南楼3)资产范围:与1)所述业务活动及2)物理环境内相关的软件,硬件,人员及支持性服务等全部信息资产;4)逻辑边界:公司连接互联网的服务器及相关数据传输的活动;5)组织范围:与公司每年确定的公司最新组织机构图一致;6)IS027001:2005条款的适用性与公司最新版本的适用性声明一致。删减说明:本信息安全管理手册采用了IS0/IEC27001:2005标准正文的全部内容,对标准的附录A的删减见信息安全适用性声明(SOA)。3术语和定义ISO/IEC27001

3、2005信息技术-安全技术-信息安全管理体系要求和ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。1) ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求2) ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则3)信息安全适用性声明(SOA)5职责和权限

4、1)信息安全委员会:是信息安全管理体系的归口领导部门;2)信息安全工作小组:是信息安全管理体系维护及管理的管理部门;6信息安全管理体系6.1总要求公司依据ISO/IEC27001:2005标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,形成文件;本公司全体员工将有效地贯彻执行并持续改进有效性,对过程的应用和管理详见信息安全管理体系过程模式图(图1)。信息安全管理体系是在公司整体经营活动和经营风险架构下,针对信息安全风险的管理体系;6.2建立和管理ISMS6.2.1建立ISMS,公司应:a)根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界,包括在范围

5、内任何删减的细节和理由(见一.2.范围部分)。b)根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS方针,必须满足以下要求:D为ISMS目标建立一个框架并为信息安全活动建立整体的方向和原则;2)考虑业务及法律或法规的要求,以及合同规定的安全义务;3)在与公司战略和风险管理相一致的环境下,建立和保持ISMS;4)建立风险评价的准则;5)总经理(COO)批准发布ISMS方针。c)定义公司风险评估方法。信息安全工作小组负责建立风险评估管理程序并组织实施。风险评估管理程序包括可接受风险准则和可接受水平。D识别适用于ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。2)建立接受

6、风险的准则并确定风险的可接受等级。选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。注:风险评估具有不同的方法。具体参照国家信息安全风险评估规范标准。3)公司的风险评估的流程公司制定风险评估控制程序,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并确定风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。信息安全风险评估的流程见图2.风险评估流程图。图2.风险评估流程图d)识别风险:1)识别ISMS控制范围内的资产以及这些资产的所有者;在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资

7、产包括业务过程、文档/数据、软件/系统、硬件/设施、人力资源、服务、无形资产等。对每一项信息资产,根据重要信息资产判断依据确定是否为重要信息资产,形成信息资产识别表。2)识别重要信息资产面临的威胁,一项资产可能面对若干个威胁;3)识别可能被威胁利用的脆弱性,一项脆弱性也可能面对若干个威胁;4)识别保密性、完整性和可用性损失可能对资产造成的影响。e)分析并评价风险:1)在资产识别的基础上,针对每一项重要信息资产,依据风险评估原则中的信息资产CIAB分级标准,进行CIAB的资产赋值计算;2)针对每一项重要信息资产,参考风险评估原则中的威胁参考表及以往的安全事故(事件)记录、信息资产所处的环境等因素

8、识别出重要信息资产所面临的所有威胁;3)按照风险评估原则中的威胁分级标准对每一个威胁发生的可能进行赋值;4)针对每一项威胁,考虑现有的控制措施,参考风险评估原则中的脆弱性参考表识别出被该威胁可能利用的所有薄弱点,并根据风险评估原则中的脆弱性分级标准对每一个脆弱性被威胁利用的难易程度进行赋值;5)按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价。6)按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价。7)按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估赋值,并按照风险评估原则中的风险等级标准评价出信息安全风险等级。8)对于信息安全风险,在考虑控制措施与

9、费用平衡的原则下制定的信息安全风险接受准则,按照该准则确定何种等级的风险为不可接受风险。f)识别并评价风险处理的选择:对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施;D应用适当的控制以降低风险:这可能是降低事件发生的可能性,也可能是降低安全失败(保密性、完整性或可用性丢失)的业务损害。2)如果能证明风险满足公司的方针和风险接受准则,有意的、客观的接受风险;一般针对那些不可避免的风险,而且技术上、资源上不可能采取对策来降低,或者降低对公司来说不经济。“接受风险”是针对判断为不可接受的风险所采取的处理方法,而不是针对那些低于风险接受水平的本来就可接受的风险。3)避免风险;对于

10、不是公司的核心工作内容的活动,公司可以采取避免某项活动或者避免采用某项不成熟的产品技术等来回避可能产生的风险。4)将有关的业务风险转移到其他方,例如保险公司、供方。信息安全工作小组应组织有关部门根据风险评估的结果,形成风险处理计划,该计划应明确风险处理责任部门、方法及时间。g)为风险的处理选择控制目标与控制措施。1)应选择并实施控制目标和控制措施,以满足风险评估和风险处理过程所识别的要求。选择时,应考虑接受风险的准则以及法律法规和合同要求。2)信息安全工作小组根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标,并将目标分解到有关部门。信息安全目标应获得信息安全最高责任

11、者的批准。3)从标准的附录A中选择的控制目标和控制措施应作为这一过程的一部分,并满足上述要求。公司也可根据需要选择另外的控制目标和控制措施。注:标准的附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将标准的附录A作为选择控制措施的出发点,以确保不会遗漏重要的控制可选措施。h)获得最高管理者对建议的残余风险的批准,残余风险应该在风险评估表上留下记录,并记录残余风险处置批示报告。D获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。j)准备适用性声明,内容应包括:D所选择的控制目标和控制措施,以及选

12、择的原因;2)当前实施的控制目标和控制措施;3)标准的附录A中控制目标和控制措施的删减,以及删减的理由。4)信息安全工作小组负责组织编制信息安全适用性声明(SoA)。注:适用性声明提供了一个风险处理决策的总结。通过判断删减的理由,再次确认控制目标没有被无意识的遗漏。6. 2.2实施并运作ISMS为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a)制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。b)为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配,明确各岗位的信息安全职责;c)实施所选的控制措施,以满足控制目标。d)

13、确定如何测量所选择的一个/组控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。注:测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控制目标的程度。e)实施培训和意识计划。f)对ISMS的运作进行管理。g)对ISMS的资源进行管理。h)实施能够快速检测安全事件、响应安全事件的程序和其它控制。7. 2.3监控并评审ISMSa)本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:1)快速检测处理结果中的错误;2)快速识别失败的和成功的安全破坏和事件;3)能使管理者确认人工或自动执行的安

14、全活动达到预期的结果;4)帮助检测安全事件,并利用指标预防安全事件;5)确定解决安全破坏所采取的措施是否有效。b)定期评审ISMS的有效性(包括安全方针和目标的符合性,对安全控制措施的评审),考虑安全审核、安全事件、有效性测量的结果,以及所有相关方的建议和反馈。c)测量控制措施的有效性,以证实安全要求已得到满足。d)按照计划的时间间隔,评审风险评估,评审残余风险以及可接受风险的等级,考虑到下列变化:1)组织机构和职责;2)技术;3)业务目标和过程;4)已识别的威胁;5)实施控制的有效性;6)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。e)按照计划的时间间隔(不超过一年

15、进行ISMS内部审核。注:内部审核,也称为第一方审核,是为了内部的目的,由公司或以公司的名义进行的审核。f)定期对ISMS进行管理评审,以确保范围的充分性,并识别ISMS过程的改进。g)考虑监视和评审活动的发现,更新安全计划。h)记录可能对ISMS有效性或业绩有影响的活动和事情。6.2.4保持并持续改进ISMS本公司开展以下活动,以确保ISMS的持续改进:a)实施已识别的ISMS改进措施。b)采取适当的纠正和预防措施。吸取从其他公司的安全经验以及组织自身安全实践中得到的教训。C)与所有相关方沟通措施和改进。沟通的详细程度应与环境相适宜,必要时,应约定如何进行。d)确保改进达到其预期的目标。6

16、3文件要求6.3.1总则本公司信息安全管理体系文件包括:a)文件化的信息安全方针、控制目标;b)信息安全管理体系手册(本手册,包括信息安全适用范围及引用的标准);C)本手册要求的风险评估控制程序、业务持续性管理程序、纠正和预防措施控制程序、管理评审程序等支持性程序;d)ISMS可以引用质量管理体系的支持性程序。如:文件控制程序、记录控制程序、内部审核控制程序等;e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;f)信息安全风险评估报告、风险处理计划以及ISMS要求的记录类;g)相关的法律、法规和信息安全标准;h)适应性声明。6. 3.2信息安全管理手册a)编写目的:向公司内部

17、或外部提供关于信息安全管理体系的基本信息,用于对公司的信息安全管理体系做纲领性和概括性的描述。b)信息安全管理手册的编写:由管理者代表负责组织编写,总经理批准后发布实施。C)信息安全管理手册的管理:信息安全工作小组负责保管及发放管理。7. 3.3文件控制公司制定并实施文件控制程序,对信息安全管理体系所要求的文件进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定,以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证:a)文件在发放前应按规定的审核和

18、批准权限进行批准后才能发布;b)必要时对文件进行评审与更新,并按规定的权限重新批准;c)由信息安全工作小组对文件的现行修订状态进行标识,文件更改由相应更改部门进行标识,确保文件的更改状态清晰明了;d)信息安全工作小组应确保所有使用文件的场所能够获得有关文件的有效的最新版本;e)确保文件保持清晰、易于识别;f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;g)各部门获得外来文件应统一交相关部门保存,进行标识并控制发放,确保外来文件得到识别;h)确保文件的分发得到控制;i)信息安全工作小组应控制作废文件的使用,若各部门有必要保存作废文件时,应向信息安全工作小组报

19、告,防止作废文件的非预期使用;j)若因任何目的需保留作废文件时,应对其进行适当的标识。8. 3.4记录控制a)信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。信息安全小组负责整理制定ISMS文件日常应用格式汇总,负责制定并维护易读、易识别、可方便检索又考虑法律、法规要求的记录控制程序,规定记录的标识、储存、保护、检索、保管、废弃等事项。b)信息安全体系的记录包括4.2中所列出的所有过程的结果及与ISMS相关的安全事故。各部门应根据记录控制程序的要求采取适当的方式妥善保管信息安全记录9. 3.5相关文件文件控制程序记录控制程序7管理职责10. 1管理承诺公司管理者通过以下活动,对

20、建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:a)建立信息安全方针;b)确保信息安全目标和计划得以制定(见信息安全适用性声明(SOA)、信息安全目标及有效性测量及相关记录);c)建立信息安全的角色和职责(见附录E:信息安全体系要求与部门职能分配表);d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;e)提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系;f)决定接受风险的准则和风险的可接受等级(见风险评估控制程序及相关记录);g)确保内部信息安全管理体系审核得以实施;h)实施信息安全管理体系管理评审。7. 2资源

21、管理7.1.1 资源的提供公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:a)建立、实施、运作、监视、评审、保持和改进信息安全管理体系;b)确保信息安全程序支持业务要求;c)识别并指出法律法规要求和合同安全责任;d)通过正确应用所实施的所有控制来保持充分的安全;e)必要时进行评审,并对评审的结果采取适当措施;f)需要时,改进信息安全管理体系的有效性。7.1.2 培训、意识和能力公司制定并实施人力资源管理程序文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:a)确定承担信息安全管理体

22、系各工作岗位的职工所必要的能力。通过岗位说明书的任职要求来确定,并在招聘活动中确认相关信息安全的任职要求;b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;c)评价所采取措施及培训的有效性;d)保留教育、培训、技能、经验和资历的记录。公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。7.1.3 2.3相关文件人力资源管理程序8ISMS内部审核8. 1总则公司建立并实施内部审核控制程序,内部审核控制程序应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部信息安全管理体系审核,以确定其信息安全

23、管理体系的控制目标、控制措施、过程和程序是否:a)符合本标准的要求和相关法律法规的要求;b)符合已识别的信息安全要求;c)得到有效地实施和维护;d)按预期执行。8.1 内审策划8.1.1 信息安全工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。公司每年组织最少应组织一次内部审核。8.1.2 每次审核前,信息安全工作小组应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。8.2 内审实施8.2.1 1应按审核计划的要求实施审

24、核,包括:a)进行首次会议,明确审核的目的和范围,采用的方法和程序;b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流,按照检查的情况填写检查表;C)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;d)审核组长编制审核报告。8.2.2 对审核中提出的不符合项报告,责任部门应编制纠正措施,由信息安全工作小组对受审部门的纠正措施的实施情况进行跟踪、验证;8.2.3 按照记录控制程序的要求,保存审核记录。8.2.4 内部审核报告,应作为管理评审的输入之一。8. 3.5相关文件内部审核控制程序9ISMS管理评审9. 1总则D公司建立并实施管理评审程序,管理

25、者应按管理评审程序规定的时间间隔评审信息安全管理体系,每年最少进行一次,以确保其持续的适宜性、充分性和有效性。2)管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。3)管理评审的结果应清晰地形成文件,记录应加以保持。10. 2评审输入管理评审的输入要包括以下信息:a)信息安全管理体系审核和评审的结果;b)相关方的反馈;c)用于改进信息安全管理体系业绩和有效性的技术、产品或程序;d)预防和纠正措施的状况;e)以往风险评估没有充分强调的脆弱性或威胁;f)有效性测量的结果;g)以往管理评审的跟踪措施;h)任何可能影响信息安全管理体系的变更;D改进的建议。11. 3评审

26、输出11.3. 1管理评审的输出应包括与下列内容相关的任何决定和措施:a)信息安全管理体系有效性的改进;b)更新风险评估和风险处理计划;c)必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:D业务要求;2)安全要求;3)影响现有业务要求的业务过程;4)法律法规要求;5)合同责任;6)风险等级和(或)风险接受准则。d)资源需求;e)改进测量控制措施有效性的方式。f)管理评审报告由管理者代表编制,经总经理批准后发往各部门,管理者代表负责存档。9. 3.2相关文件:管理评审控制程序10ISMS改进10. 1持续改进公司的持续改进是信息安全管理体系

27、得以持续保持其有效性的保证,公司在其信息管理体系安全方针、安全目标、安全审核、监控时间的分析、纠正和预防措施以及管理评审方面都要持续改进信息安全管理体系的有效性。10. 1.1纠正措施公司制定并实施纠正和预防措施管理程序,针对发现的不符合现象,采取措施,消除不符合的原因,并防止不符合项的再次发生。对纠正措施的实施和验证规定以下步骤:a)识别不符合;b)确定不符合的原因;c)评价确保不符合不再发生的措施要求;d)确定和实施所需的纠正措施;e)记录所采取措施的结果;f)评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。10. 1.2预防措施公司制定并实施纠正和预防措施控制程序,针对潜在的不符合,采取措施,消除不符合的原因,并防止不合格的发生。对预防措施的实施和验证规定以下步骤:a)识别潜在的不符合及其原因;b)评价预防不符合发生的措施要求;c)确定并实施所需的预防措施,预防措施的优先级应基于风险评估结果来确定;d)记录所采取措施的结果;e)评审所采取的预防措施将重大预防措施提交管理评审讨论。10. 1.3相关文件纠正和预防措施控制程序11相关记录无

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 管理/人力资源 > 信息管理

宁ICP备18001539号-1