信息安全管理过程.doc
《信息安全管理过程.doc》由会员分享,可在线阅读,更多相关《信息安全管理过程.doc(18页珍藏版)》请在咨信网上搜索。
1、信息安全管理过程信息安全管理手册文件编号版本编制编制日期审核审核日期批准批准日期变更记录日期版本编制/修改者修订类型描述注:修订类型:A增加,M修改,D删除一、 范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。hCkk5xB。1.2 应用本信息安全管理手册规定了公司的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。bZH4RXv。本信息安全管理手册适用于公司业
2、务活动所涉及的信息系统、资产及相关信息安全管理活动,具体见4.2.2.1条款规定。Tr8KggK。二、 规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,行政部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。OJS5muC。三、 术语和定义GB/T22080-2008idtISO27001:2005信息技术-安全技术-信息安全管理体系-要求、GB/T22081-2008idtISO27002:2005信息技术-安全技术-信息安全管理实
3、用规则规定的术语和定义适用于本信息安全管理手册。FKpSHUy。3.1本公司指公司所属各部门。3.2信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。tERLusb。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。yu3yunK。3.4信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。Z4chtQh。3
4、.5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、供方、银行、用户、电信等。S4XExZA。四、 信息安全管理体系4.1概述本公司在软件开发、经营、服务和日常管理活动中,按GB/T22080-2008 idtISO27001:2005信息技术-安全技术-信息安全管理体系-要求规定,参照GB/T22081-2008idtISO27002:2005信息技术-安全技术-信息安全管理实用规则标准,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。gsisIY8。信息安全管理体系使用的过程基于图1所示的PDCA模型。图1 信息安全管理体系模型4.2建
5、立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.1.1 信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:MeLatSV。a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;b) 与所述信息系统有关的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的全部信息资产。组织范围:本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册附录A(规范性附录)信息安全管理体系组织机构图。ZpRZP1i。物理范围:本公司根据组织的业务特征、组织结构、地理
6、位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。kefH48s。本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所,包含客户方以及公司内部。4.2.1.2 信息安全管理体系的方针为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4条款。UQ3pNLx。该信息安全方针符合以下要求:a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b) 考虑业务及法律或法规的要求,及合同的安全义务;c) 与组织战略
7、和风险管理相一致的环境下,建立和保持信息安全管理体系;d) 建立了风险评价的准则;e) 经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责b) 识别并满足适用法律、法规和相关方信息安全要求;c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;f) 制定并保持完善的业务连续性计划,实现可持续发展。4
8、.2.1.3 风险评估的方法行政部门负责制定信息安全风险评估管理程序,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估执行信息安全风险评估管理程序,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。ortUtJq。4.2.1.4 识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险评估管理程序,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量
9、化赋值,形成了资产识别清单。uj4A1HG。同时,根据信息安全风险评估管理程序,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。3LCBjg1。4.2.1.5 分析和评价风险本公司按信息安全风险评估管理程序,采用人工分析法,分析和评价风险:a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;fUWa35R。c) 根据信息安全风险评估管理程序计算风险等级;d) 根据信息安全风险评估管理程序及风
10、险接受准则,判断风险为可接受或需要处理。4.2.1.6 识别和评价风险处理的选择行政部门组织有关部门根据风险评估的结果,形成信息安全不可接受风险处理计划,该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。ejOhx8V。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a) 消减风险(通过适当的控制措施降低风险发生的可能性);b) 接受风险(风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险/残余风险);c) 规避风险(决定不进行引起风险的活动,从而避免风险);d) 转移风险(通过购买保险、外包等方法把风险转移到外部机构)。4.2.1.7选择控制目标
11、与控制措施行政部门根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见适用性声明):XpaLpxf。a)信息安全控制目标获得了信息安全最高责任者的批准。b)控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005信息技术-安全技术-信息安全管理体系-要求附录A,具体控制措施参考GB/T22081-2008idtISO27002:2005信息技术-安全技术-信息安全管理实用规则。1L39bu2。c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。4.2.1.8 对风险处理后的残余风险,得到了
12、公司最高管理者的批准。4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10 适用性声明行政部门负责编制适用性声明(SOA)。该声明包括以下方面的内容:a)所选择控制目标与控制措施的概要描述,以及选择的原因;b)对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的说明(本公司未涉及此项业务)。MOCPHxo。4.2.2实施及运作信息安全管理体系4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a)形成信息安全不可接受风险处理计划,以确定适当的管理措施、职责及安全控
13、制措施的优先级;b)为实现已确定的安全目标、实施信息安全不可接受风险处理计划,明确各岗位的信息安全职责;c)实施所选择的控制措施,以实现控制目标的要求;d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;2osz9JI。e)进行信息安全培训,提高全员信息安全意识和能力;f)对信息安全体系的运作进行管理;g)对信息安全所需资源进行管理;h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。4.2.2.2 信息安全组织机构本公司成立了信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯
14、标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。vbEt7Yf。本公司体系推进由行政部门负责,其主要负责制订、落实贯标工作计划,对单位、部门贯标工作进行检查、指导和协调,建立健全企业的信息安全管理体系,保持其有效、持续运行。jylffDo。本公司由相关部门代表组成信息安全委员会,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:a) 确保安全活动的执行符合信息安全方针;b) 确定怎样处理不符合;c) 批准信息安全的方法和过程,如风险评估、信息分类;d) 识别重大的威胁变化,以及信息和相关的信息处理设
15、施对威胁的暴露;e) 评估信息安全控制措施实施的充分性和协调性;f) 有效的推动组织内信息安全教育、培训和意识;g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。 4.2.2.3信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:m43eNmr。a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全委员会或最高责任者报告。各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉
16、履行信息安全保密义务;各部门、人员有关信息安全职责分配见附录C(规范性附录)信息安全管理职责明细表和相应的程序文件。4.2.2.4 各部门应按照适用性声明中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。gjVZJDi。4.2.3监督与评审信息安全管理体系4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:ugodnKN。a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;c)使管理者确认人工或自动
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 过程
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。