01信息安全管理手册文档格式.docx
《01信息安全管理手册文档格式.docx》由会员分享,可在线阅读,更多相关《01信息安全管理手册文档格式.docx(53页珍藏版)》请在冰豆网上搜索。
职能分配表
07-10
1
范围
1.1/1.2
11
2
规范性引用文件
3
术语和定义
11-12
4
信息安全管理体系
12
4.1
总要求
4.2
建立和管理信息安全管理体系
4.2.1、4.2.2、4.2.3、4.2.4
12-17
4.3
文件管理
4.3.1、4.3.2、4.3.3
17-24
5
管理职责
24
5.1
管理承诺
5.2
资源管理
24-25
6
内部审核控制程序
25-28
7
管理评审控制程序
7.1、7.2、7.3
28-31
8
改进控制程序
8.1、8.2、8.3
31-33
附录A
主要部门职责说明
34-36
附录B
信息安全职责说明书
37-39
0.1《管理手册》发布令
****科技发展有限责任公司《信息安全管理手册》,是依据GB/T22080-2008/ISO/IEC27001:
2005《信息技术-安全技术-信息安全管理体系要求》标准要求并结合公司运作状况制定的,体现了公司对信息安全所做出的承诺及持续改进的要求。
《信息安全管理手册》阐述了信息安全管理体系的管理方针和目标,是指导公司日常信息管理活动必须遵循纲领性文件和行动准则,向公司内部或外部提供关于信息安全管理体系的基本信息,现予以发布,望全体员工必须认真学习,准确理解其内容,并严格遵照执行。
经公司管理者代表组织内部审定,《信息安全管理手册》贯穿了信息安全管理体系各条款的要求,符合国家、地方及行业的有关法律法规要求,同时符合了公司的实际运作情况,可作为向客户及第三方组织提供信息安全保证和进行信息安全管理体系审核的依据。
0.2任命书
为贯彻执行信息安全管理体系,满足GB/T22080-2008/ISO/IEC27001:
2005《信息技术-安全技术-信息安全管理体系要求》标准的要求,加强公司内部信息安全管理,加强对公司体系运作的领导,特任命副总经理***为公司的信息安全管理者代表,并授权其如下职责和权限:
a)确保按照标准的要求,进行资产识别和风险评估,全面建立、实施、运行、监视、评审、保持和改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性;
b)就信息安全管理体系有关事宜进行内外部联络,组织、指挥、监督、协调各部门体系的运作;
c)确保在整个组织内提高信息安全风险的意识;
d)审核风险评估报告、风险处理计划,并监督其执行情况,并向总经理汇报残余风险;
e)主持信息安全管理体系内部审核,任命审核组成员,批准内审计划、报告,负责对内审发现的不符合项进行纠正和预防;
信息安全内部审核由审核组长全权负责;
f)收集整理各部门的管理评审输入材料,进行汇总,并在管理评审会议上向总经理报告;
g)向总经理报告信息安全管理体系的现状和任何改进的需求,包括信息安全管理体系运行情况、内外审核情况。
总经理:
**
2015年0*月**日
0.3管理方针批准令
0.3.1管理方针
顾客至上安全第一科学预防
全员参与遵守法规持续改进
0.3.2管理方针解释:
a)顾客至上:
满足顾客的要求是企业运营的必然选择。
b)安全第一:
安全是企业管理的重中之重。
c)科学预防:
安全管理的基本原理,防患于未然,预防大于亡羊补牢;
采用适宜的、充分的、有效的控制措施来纠正和预防信息安全事态。
d)全员参与:
体现在集体的讨论、参与管理、自觉执行的理念,由管理制度化转换成管理标准化。
将管理与技术相结合,建立完整的信息安全管理体系。
e)遵守法规:
遵守法规是企业生存之前提,满足法律法规及相关行业标准/技术规范的要求也是公司必须承担的社会责任。
f)持续改进:
信息安全的前提是控制风险,受环境影响,风险自身是动态的过程。
公司在运行过程中需要审时度势、量体裁衣、因地制应,逐步的修订现有制度,不停的完善自身管理水平。
0.4管理目标批准令
0.4.1管理目标
通过建立和持续完善符合信息安全标准的管理体系,使公司全员的信息安全意识得以提高,积极做好纠正和预防工作,保障实际业务的各个环节所有信息的保密性、完整性、可用性,保证公司业务可持续开展,防止信息安全事故发生,增强企业的公共信任,提高公司竞争力。
0.4.2目标量化
0.4.2.1保密性目标
a)确保公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。
b)顾客保密性抱怨/投诉的次数不超过1起/年。
c)受控信息泄露的事态发生不超过3起/年。
d)秘密信息泄露的事态不得发生。
0.4.2.2完整性目标
a)确保公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据;
b)非授权方式更改数据导致业务系统出现故障而影响正常工作的事态不超过2起/年。
0.4.2.3可用性目标
a)确保公司业务系统能有效率地运转并使所有授权用户得到所需信息服务。
b)得到授权的用户执行数据操作,出现服务拒绝或者数据拒绝的次数不得高于10起/年;
c)得到授权的用户超越其自身权限,越权使用系统、使用数据的次数不超过10起/年。
0.5信息安全管理机制
为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据GB/T22080-2008/ISO/IEC/27001:
2005标准,建立信息安全管理体系,全面保护公司的信息安全,并承诺如下:
0.5.1信息安全管理组织
a)总经理对信息安全全面负责,组织成立公司信息安全工作小组,委任管理者代表,并批准信息安全《管理手册》及管理方针,确定安全要求,提供资源。
b)管理者代表负责建立、实施、运行、监视、评审、保持和改进管理体系,保证管理体系的持续适宜性和有效性。
c)在公司内部建立信息安全组织机构:
信息安全工作小组及信息安全工作小组,负责管理体系的运行。
d)与上级部门、地方政府、相关专业部门建立定期及经常性的联系,了解信息安全要求和发展动态,获得对信息安全管理的支持。
0.5.2人员安全
a)信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求,特殊岗位人员应规定特别的安全责任,对岗位调动或离职人员,及时调整或解除安全职责和权限。
b)对公司的相关方,如软硬件供应商、服务商、保卫、消防等人员,也要明确安全要求和安全职责。
c)定期对全体员工进行信息安全相关教育和培训,包括技能、职责等,以提高安全意识和能力。
d)全体员工及相关方人员必须履行信息安全职责,执行信息安全方针、程序和安全制度。
0.5.3识别法律、法规、合同中的安全
a)及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
b)定期收集与整理与信息安全相关的法律法规及行业标准技术规范等。
0.5.4风险评估
a)根据公司业务信息安全特点、法律法规要求,建立风险评估程序,确定风险接受准则。
b)定期进行风险评估,以识别公司风险的变化,当公司或环境发生重大变化时,即时评估。
c)根据风险评估的结果,采取相应措施,制定风险处理计划并执行,降低风险。
0.5.5报告安全事件
a)建立报告信息安全事件的渠道和相应机制。
b)全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,立即按照规定的途径进行报告。
c)接受报告的相应部门应记录所有报告,及时做相应处理,并向报告人员反馈处理结果。
0.5.6监督检查
a)对信息安全进行定期或不定期的监督检查,包括日常检查、专项检查、组织类检查、技术类检查、内部审核等。
b)对信息安全方针及其他信息安全政策进行定期管理评审(至少一年一次)或当发生重要事件及组织认为有必要时评审。
0.5.7.业务持续性
a)公司根据风险评估的结果,建立业务持续性计划,减少信息系统中断发生的几率,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
b)定期对业务持续性计划进行测试演练和更新。
0.5.8信息安全的奖惩
a)对公司信息安全做出贡献的人员,按规定进行奖励。
b)对违反安全方针、职责、程序和措施的人员,按规定进行处罚。
0.6公司概况
0.7公司架构图
0.8职能分配表
部门
标准条款
公司管理层
综合部
工程部
技术部
采购部
安全质量部
营销部
计财部
标准要求
4.1信息安全管理体系总则
★
▲
4.2.1建立ISMS
4.2.2实施和运行ISMS
4.2.3监视和评审ISMS
4.2.4保持和改进ISMS
4.3.1文件要求总则
4.3.2文件控制
4.3.3记录控制
5.1管理承诺
5.2.1资源提供
5.2.2培训、意识和能力
6内审
7.1管理评审总则
7.2评审输入
7.3评审输出
8.1持续改进
8.2纠正措施
8.3预防措施
附录A要求
A5安全方针
依据业务要求和相关法律法规提供管理指导并支持信息安全
A6信息安全组织
1在组织内管理信息安全
2保持组织的被外部各方访问、处理、管理或与外部进行通讯的信息和信息处理设施的安全
A7资产管理
1实现和保持对组织资产的适当保护
2确保信息受到适当级别的保护
A8人力资源管理
1确保雇员、承包方和第三方人员理解其职责、考虑其承担的角色是适合,以降低设施被窃、欺诈和误用风险
2确保所有的雇员、承包方人员和第三方人员了解信息安全威胁和利害关系、他们的责任和义务,并在他们的日常工作中支持组织的信息安全方针,减少人为出错的风险。
3确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。
A9物理和环境安全
1防止对组织场所和信息的未授权物理访问、损坏和干扰
2防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断
A10通讯和操作管理
1确保正确、安全的操作信息处理设施
2实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准
3将系统失效的风险降至最低
4保护软件和信息的完整性
5保持信息和信息处理设施的完整性和可用性
6确保网络中信息的安全性并保护支持性的基础设施
7防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断
8保持组织内信息和软件交换及与外部组织信息和软件交换的安全
9确保电子商务服务的安全及其安全使用
删减
10检测未授权的信息处理活动
A11访问控制
1控制对信息的访问
2确保授权用户访问信息系统、并防止未授权的访问
3防止未授权用户对信息和信息处理设施的访问、危害或窃取
4防止对网络服务的未授权访问
5防止对操作系统的未授权访问
6防止对应用系统中的信息的未授权访问
7确保使用可移动计算和远程工作设施时的信息安全
A12信息系统的获取、开发和维护
1确保安全是信息系统的一个有机组成部分
2防止应用系统中的信息的错误、遗失、未授权的修改及误用
3通过密码方法保护信息的保密性、真实性或完整性
4确保系统文件的安全
5维护应用系统软件和信息的安全
6降低利用公布的技术脆弱性导致的风险
A13信息安全事故管理
1确保与信息系统有关的信息安全事件和弱点能够以某种方式传达,以便及时采取纠正措施
2确保采用一致和有效的方法对信息安全事故进行管理
A14业务持续性管理
1防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。
A15符合性
1避免违反任何法律法令法规或合同义务,以及任何安全要求
2确保系统符合组织的安全策略及标准
3将信息系统审核过程有效性最大化,干扰最小化。
注:
★职能部门▲相关部门
1范围
1.1目的
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定《管理手册》。
《管理手册》向公司内部或外部提供关于信息安全管理体系的基本信息,用于对公司的信息安全管理体系做纲领性和概括性的描述。
《管理手册》旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性,使信息保障措施能正确实施、信息系统能按策划运行、信息服务能满足法律法规与顾客要求。
1.2范围
《管理手册》覆盖公司以下规定范围内的信息安全管理活动:
a)业务范围:
与建筑智能化和计算机系统集成的相关信息安全管理活动;
b)组织范围:
公司各部门与运营活动有直接相关的正式员工为65人;
c)物理范围:
安徽省合肥市政务新区怀宁路安德大厦6-7层;
d)资产范围:
与上述相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。
e)GB/T22080-2008条款的适用性与公司最新版本的适用性声明一致。
1.3删减说明
《信息安全管理手册》采用了信息安全管理体系标准正文的全部内容,对标准附录A的删减说明见《信息安全适用性声明(SoA)》。
由于公司不涉及电子商务业务过程及相关风险处置情况,信息安全管理体系附录A的下列条款不被选择用于公司信息安全管理体系,共删除三条不适用于公司的控制措施,如下:
a)A.10.9.1电子商务
b)A.10.9.2在线交易
c)A.12.5.5外包软件开发
2规范性引用文件
2.1GB/T22080-2008/ISO/IEC27001:
2005《信息技术-安全技术-信息安全管理体系要求》
2.2GB/T22081-2008/ISO/IEC27002:
2005《信息技术-安全技术-信息安全管理实用规则》
3术语和定义
3.1信息安全定义
信息安全(InformationSecurity)防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制,即确保信息的完整性、保密性,可用性和可控性。
避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
本质上是充分保护本组织信息资产并给予相关方信心,提升企业自身的公共信任力。
3.2术语
所有GB/T22080-2008/ISO/IEC27001:
2005《信息技术-安全技术-信息安全管理体系要求》和GB/T22081-2008/ISO/IEC27002:
2005《信息技术-安全技术-信息安全管理实施细则》规定的术语均适用于《信息安全管理手册》。
3.3缩写
3.3.1信息安全管理体系(缩写管理体系):
ISMSInformationSecurityManagementSystems;
3.3.2保密性、完整性、可用性:
CIAConfidentialityIntegrityAvailability;
3.3.3适用性声明:
SoAStatementofApplicability;
3.3.4计划、实施、检查、改进:
PDCAPlan、Do、Check、Act;
3.3.5****科技发展有限责任公司:
公司;
3.3.6《信息安全管理手册》:
《管理手册》;
3.3.7《信息安全风险评估指南》。
4信息安全管理体系
4.1总要求
公司依据GB/T22080-2008/ISO/IEC27001:
2005标准的要求,建立、实施、运行、监视、评审、保持和改进文件化的管理体系。
公司全体员工将有效地贯彻执行并持续改进以确保其有效性,管理体系所涉及的过程基于以下PDCA模式,详见下图:
4.2建立和改进管理体系
4.2.1建立管理体系
4.2.1.1根据公司的业务运营特征、组织结构、地理位置、资产和技术,确定管理体系覆盖范围,包括在范围内任何删减的细节和理由。
4.2.1.2确定管理体系方针,必须满足以下要求:
a)为管理体系目标建立一个框架并为信息安全活动建立整体的方向和原则;
b)考虑业务及法律法规的要求,以及合同规定的安全义务;
c)在与公司战略和风险管理相一致的环境下,建立和保持管理体系;
d)建立风险评价的准则;
e)由公司最高管理者批准发布管理体系方针。
4.2.1.3确定公司风险评估方法
信息安全工作小组负责建立《信息安全风险管理制度》并组织实施。
《信息安全风险管理制度》包括接受风险的准则和可接受的风险级别。
a)识别适用于管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法。
b)建立接受风险的准则并确定风险的可接受级别。
选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
c)公司的风险评估的流程:
公司制定《信息安全风险管理制度》,建立识别适用于管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并确定风险的可接受等级,所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果,详见下页。
4.2.1.4识别风险
a)识别管理体系控制范围内的资产以及这些资产的责任人;
在已确定的管理体系范围内,对所有的信息资产进行识别。
信息资产包括硬件、软件、数据、文档、人员、服务、其他无形资产等。
对每一项信息资产,根据重要信息资产判断依据确定是否为重要信息资产,形成《信息资产识别评价表》;
b)识别重要信息资产面临的威胁,一项资产可能面对若干个威胁;
c)识别可能被威胁利用的脆弱性,一项脆弱性也可能面对若干个威胁;
d)识别保密性、完整性和可用性损失可能对资产造成的影响。
4.2.1.5分析和评价风险
a)针对每一项信息资产,参考信息安全威胁列表及以往的安全事故(事件)记录、信息资
产所处的环境等因素,识别出所有信息资产所面临的威胁;
b)针对每一项威胁,考虑现有的控制措施,参考信息安全脆弱性列表识别出被该威胁可能利用的薄弱点;
c)综合考虑以上二点,按照威胁发生可能性等级表中的处理准则对每一个威胁发生的可能性进行赋值;
d)根据风险计算原理,判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害,进而对公司业务造成的影响,进行如下计算:
★信息资产的威胁发生的可能性等级;
★信息资产的脆弱性被威胁利用后的损失等级。
e)风险大小计算考虑威胁产生安全事态的可能性及其所造成影响程度两者的结合,根据风险距阵计算表来得到风险等级;
f)对于信息安全风险,在考虑控制措施与费用平衡的原则下制定风险接受准则,按照该准
则确定何种等级的风险为不可接受风险。
4.2.1.6识别并评价风险处理的选择
对于信息安全风险的处置,应考虑控制措施与成本的平衡原则,选用以下适当的措施:
a)采用适当的控制措施以降低风险。
这可能是降低安全事件发生的可能性,也可能是降低安全失败(保密性、完整性或可用性丢失)对业务造成的损害程度。
b)接受某些风险(不可能将所有风险降低为零)。
如果能证明风险满足公司的方针和风险接受准则,有意的、客观的接受风险;
一般针对那些不可避免的风险,而且技术上、资源上不可能采取对策来降低,或者降低对公司来说不经济。
“接受风险”是针对判断为不可接受的风险所采取的处理方法,而不是针对那些低于风险接受水平的本来就可接受的风险。
c)避免某些风险(如物理隔离)。
对于不是公司的核心工作内容的活动,公司可以采取避免某项活动或者避免采用某项不成熟的产品技术等来回避可能产生的风险。
d)转移某些风险(如将风险转移给保险者、供方、分包商)。
e)信息安全工作小组应组织有关部门根据风险评估的结果,形成
升级会员 