信息安全管理方针和策略Word格式.docx

信息安全管理方针和策略Word格式.docx

《信息安全管理方针和策略Word格式.docx》由会员分享，可在线阅读，更多相关《信息安全管理方针和策略Word格式.docx（34页珍藏版）》请在冰豆网上搜索。

✓影响组织目标的主要动力和趋势；

✓与外部利益相关方的关系，外部利益相关方的观点和价值观。

明确内部状况：

✓治理、组织结构、作用和责任；

✓方针、目标，为实现方针和目标制定的战略；

✓基于资源和知识理解的能力（如：

资金、时间、人员、过程、系统和技术）；

✓与内部利益相关方的关系，内部利益相关方的观点和价值观；

✓组织的文化；

✓信息系统、信息流和决策过程（正式与非正式）；

✓组织所采用的标准、指南和模式；

✓合同关系的形式与范围。

明确风险管理过程状况：

✓确定风险管理活动的目标；

✓确定风险管理过程的职责；

✓确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延；

✓以时间和地点，界定活动、过程、职能、项目、产品、服务或资产；

✓界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系；

✓确定风险评价的方法；

✓确定评价风险管理的绩效和有效性的方法；

✓识别和规定所必须要做出的决策；

✓确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。

确定风险准则：

✓可以出现的致因和后果的性质和类别，以及如何予以测量；

✓可能性如何确定；

✓可能性和（或）后果的时间范围；

✓风险程度如何确定；

✓利益相关方的观点；

✓风险可接受或可容许的程度；

✓多种风险的组合是否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。

1.3.2理解相关方的需求和期望

信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求，相关的信息安全要求。

对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要的管理。

相关方的要求可包括法律法规要求和合同义务。

1.3.3确定信息安全管理体系范围

本公司ISMS的范围包括

a）物理范围：

b）业务范围：

计算机软件开发，计算机系统集成相关信息安全管理活动。

c）内部管理结构：

办公室、财务部、研发部、商务部、工程部、运维部。

d）外部接口：

向公司提供各种服务的第三方

1.3.4信息安全管理体系

本公司按照ISO/IEC27001:

2013标准的要求建立一个文件化的信息安全管理体系。

同时考虑该体系的实施、维持、持续改善，确保其有效性。

ISMS体系所涉及的过程基于PDCA模式。

1.4领导力

总经理应通过以下方式证明信息安全管理体系的领导力和承诺：

a）确保信息安全方针和信息安全目标已建立，并与公司战略方向一致；

b）确保将信息安全管理体系要求融合到日常管理过程中；

c）确保信息安全管理体系所需资源可用；

d）向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性；

e）确保信息安全管理体系达到预期结果；

f）指导并支持相关人员为信息安全管理体系有效性做出贡献；

g）促进持续改进；

h）支持信息安全管理小组及各部门的负责人，在其职责范围内展现领导力。

1.5规划

1.5.1应对风险和机会的措施

1.5.1.1总则

公司针对公司内部和公司外部的实际情况，和相关方的要求，确定公司所需应对的信息安全方面的风险。

在已确定的ISMS范围内，针对业务全过程所涉及的所有信息资产进行列表识别。

信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。

对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。

信息安全管理小组制定信息安全风险评估管理程序，经信息安全管理小组组长批准后组织实施。

风险评估管理程序包括可接受风险准则和可接受水平。

该程序的详细内容见《信息安全风险评估管理程序》。

1.5.1.1.1信息安全风险评估

1.5.1.1.1.1风险评估的系统方法

信息安全管理小组制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实施。

该程序的详细内容适用于《信息安全风险评估管理程序》。

1.5.1.1.1.2资产识别

在已确定的ISMS范围内，对所有的信息资产进行列表识别。

信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。

1.5.1.1.1.3评估风险

a）针对每一项信息资产、记录、信息资产所处的环境等因素，识别出所有信息资产所面临的威胁；

b）针对每一项威胁，识别出被该威胁可能利用的薄弱点；

c）针对每一项薄弱点，列出现有的控制措施，并对控制措施有效性赋值；

同时考虑威胁利用脆弱性的容易程度，并对容易度赋值；

d）判断一个威胁发生后可能对信息资产在保密性（C）、完整性（I）和可用性（A）方面的损害，进而对公司业务造成的影响，计算信息资产的安全事件的可能性和损失程度。

e）考虑安全事件的可能性和损失程度两者的结合，计算信息资产的风险值。

f）根据《信息安全风险评估管理程序》的要求确定资产的风险等级。

g）对于信息安全风险，在考虑控制措施与费用平衡的原则下制定风险接受准则，按照该准则确定何种等级的风险为不可接受风险，该准则在《信息安全风险评估管理程序》有详细规定，并在《风险评估报告》中进行系统汇报并针对结果处理意见获得最高管理者批准。

h）获得最高管理者对建议的残余风险的批准，残余风险应该在《残余风险评价报告》上留下记录，并记录残余风险处置批示报告。

i）获得管理者对实施和运行ISMS的授权。

ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。

1.5.1.1.2信息安全风险处置

1.5.1.1.2.1风险处理方法的识别与评价

信息安全管理小组应组织有关部门根据风险评估的结果，形成《风险处理计划》，该计划应明确风险处理责任部门、方法及时间。

对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：

a）采用适当的内部控制措施；

b）接受某些风险（不可能将所有风险降低为零）；

c）回避某些风险（如物理隔离）；

d）转移某些风险（如将风险转移给保险者、供方、分包商）。

1.5.1.1.2.2选择控制目标与控制措施

信息安全管理小组根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标。

信息安全目标应获得总裁的批准。

控制目标及控制措施的选择原则来源于附录A。

本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。

1.5.1.1.2.3适用性声明SoA

信息安全管理小组编制《信息安全适用性声明》（SoA）。

该声明包括以下方面的内容：

a）所选择控制目标与控制措施的概要描述；

b）对ISO/IEC27001:

2013附录A中未选用的控制目标及控制措施理由的说明。

1.5.1.1.2.3残余风险

对风险处理后的残余风险应形成《残余风险评估报告》并得到信息安全最高责任人的批准。

信息安全管理小组应保留信息安全风险处置过程的文件化信息。

1.5.2信息安全目标和实现规划

根据公司的信息安全方针，经过最高管理者确认，公司的信息安全管理目标为：

顾客保密性抱怨/投诉的次数不超过1起/年。

受控信息泄露的事态发生不超过3起/年

秘密信息泄露的事态不得发生。

信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施，明确控制措施改进时间表。

对于各部门信息安全目标的完成情况，按照《信息安全目标及有效性测量程序》的要求，周期性在主责部门对各控制措施的目标进行测量，并记录测量的结果。

通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。

1.6支持

1.6.1资源

总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。

1.6.2能力

办公室应：

a）确定公司全体员工影响公司信息安全绩效的必要能力；

b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作；

c）适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；

d）保留适当的文件化信息作为能力的证据。

注：

适用的措施可包括，对新入职员工进行的信息安全意识教育；

定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。

1.6.3意识

公司全体员工应了解：

a）公司的信息安全方针；

b）个人其对公司信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处；

c）不符合信息安全管理体系要求带来的影响。

1.6.4沟通

信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求，包括：

a）沟通内容；

b）沟通时间；

c）沟通对象；

d）谁应负责沟通；

e）影响沟通的过程。

1.6.5文件化信息

1.6.5.1总则

公司的信息安全管理体系应包括：

a）本标准要求的文件化信息；

b）信息安全管理小组确保信息安全管理体系的有效运行，需编制《文件控制程序》用以管理公司信息安全管理体系的相关文件。

1.6.5.2创建和更新

创建和更新文件化信息时，信息安全管理小组应确保适当的：

a）标识和描述（例如标题、日期、作者或编号）；

b）格式（例如语言、软件版本、图表）和介质（例如纸质、电子介质）；

c）对适宜性和充分性的评审和批准。

1.6.5.3文件化信息的控制

信息安全管理体系及本标准所要求的文件化信息应予以控制，以确保：

a）在需要的地点和时间，是可用和适宜的；

b）得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。

c）为控制文件化信息，适用时，科技规划部应开展以下活动：

d）分发，访问，检索和使用；

e）存储和保护，包括保持可读性；

f）控制变更（例如版本控制）；

g）保留和处置。

信息安全管理小组需在《文件控制程序》中规划和运行信息安全管理体系所必需的外来的文件化信息，应得到适当的识别，并予以控制。

1.7运行

1.7.1运行规划和控制

为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：

a）形成《信息安全风险处理计划》，以确定适当的管理措施、职责及安全保密控制措施的优先级，应特别注意公司外包过程的确定和控制；

对于系统集成和IT外包运维服务项目，项目经理应在项目策划阶段识别所面临的信息安全风险，并在项目全过程中对信息安全风险进行监控和更新。

b）为实现已确定的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；

c）实施所选择的控制措施，以实现控制目标的要求；

d）进行信息安全培训，提高全员信息安全意识和能力；

e）对信息安全体系的运作进行管理，控制计划了的变更，评审非预期变更