ISO27001信息安全管理体系全套文件+表单最新版Word文档格式.docx
《ISO27001信息安全管理体系全套文件+表单最新版Word文档格式.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系全套文件+表单最新版Word文档格式.docx(111页珍藏版)》请在冰豆网上搜索。
资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3保密性(C)赋值
根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
保密性分类赋值方法
级别
价值
分级
描述
1
很低
可对社会公开的信息
公用的信息处理设备和系统资源等
2
低
组织/部门内公开
仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
3
中等
组织的一般性秘密
其泄露会使组织的安全和利益受到损害
4
高
包含组织的重要秘密
其泄露会使组织的安全和利益遭受严重损害
5
很高
包含组织最重要的秘密
关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
5.2.4完整性(I)赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法
完整性价值非常低
XX的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略
完整性价值较低
XX的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补
完整性价值中等
XX的修改或破坏会对组织造成影响,对业务冲击明显
完整性价值较高
XX的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补
完整性价值非常关键
XX的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
5.2.5可用性(A)赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法
可用性价值可以忽略
合法使用者对信息及信息系统的可用度在正常工作时间低于25%
可用性价值较低
合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min
可用性价值中等
合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min
可用性价值较高
合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10min
可用性价值非常高
合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断
5.2.7导出资产清单
识别出来的信息资产需要详细登记在《信息资产清单》中。
5.3判定重要资产
根据信息资产的机密性、完整性和可用性赋值的结果相加除以3得出“资产价值”,对于《信息资产清单》中“资产价值”在大于等于4的资产,作为重要信息资产记录到《重要信息资产清单》。
5.3.1审核确认
风险评估小组对各部门资产识别情况进行审核,确保没有遗漏重要资产,导出《重要信息资产清单》,报总经理确认。
5.4风险识别与分析
5.4.1威胁识别与分析
威胁种类
威胁示例
TC01软硬件故障
设备硬件故障、通讯链路中断、系统本身或软件Bug
TC02物理环境威胁
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、水灾、地等环境问题和自然灾害;
TC03无作为或操作失误
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响
TC04管理不到位
安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行
TC05恶意代码和病毒
具有自我复制、自我传播能力,对信息系统构成破坏的程序代码
TC06越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源;
或者滥用自己的职权,做出破坏信息系统的行为
TC07黑客攻击
利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵
TC08物理攻击
物理接触、物理破坏、盗窃
TC09泄密
机密泄漏,机密信息泄漏给他人
TC10篡改
非法修改信息,破坏信息的完整性
TC11抵赖
不承认收到的信息和所作的操作和交易
应根据资产组内的每一项资产,以及每一项资产所处的环境条件、以前曾发生的安全事件等情况来进行威胁识别。
一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响;
5.4.2脆弱性识别与分析
脆弱性评估将针对资产组内所有资产,找出该资产组可能被威胁利用的脆弱性,获得脆弱性所采用的方法主要为:
问卷调查、访谈、工具扫描、手动检查、文档审查、渗透测试等;
类型
脆弱性分类
脆弱性示例
技
术
脆
弱
性
物理环境
从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。
服务器
〔含操作系统)
从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。
网络结构
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
数据库
从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。
应用系统
审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。
管理脆弱性
技术管理
物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。
组织管理
安全策略、组织安全、资产分类与控制、人员安全、符合性
5.4.3现有控制措施识别与分析
在识别威胁和脆弱性的同时,评估人员应对已采取的安全措施进行识别,对现有控制措施的有效性进行确认。
在对威胁和脆弱性赋值时,需要考虑现有控制措施的有效性。
5.5风险评价
本公司信息资产风险值通过风险各要素赋值相乘法来确定:
风险值计算公式:
R=i*p
其中,R表示安全风险值;
i表示风险影响;
p表示风险发生可能性。
风险影响的赋值标准:
风险发生可能性的赋值标准:
注:
风险的影响或发生可能性根据赋值标准,可能同时适用于二个维度,这种情况下,赋值取这二个维度赋值的最大值。
5.5.2确定风险可接受标准
风险等级采用分值计算表示。
分值越大,风险越高。
信息安全小组决定以下风险等级标准:
赋值
[15-25]
如果发生将使资产遭受严重破坏,组织利益受到严重损失
[6-12]
中
发生后将使资产受到较重的破坏,组织利益受到损失
[0-5]
发生后将使资产受到的破坏程度和利益损失比较轻微
5.5.3风险接受准则
对于信息资产评估的结果,本公司原则上以风险值小于12分〔包括12分)的风险为可接受风险,大于12分为不可接受风险,要采取控制措施进行控制。
对于不可接受的风险,由于经济或技术原因,经管理者代表批准后,可以暂时接受风险,待经济或技术具有可行性时再采取适当的措施降低风险。
5.5.4风险控制措施的选择和实施
对于不可接受的风险,有四种风险处置方式可以选择:
降低风险、转移风险、消除风险、接受风险。
最常见的风险处置方式是降低风险,降低风险可以选择ISO27001:
2013标准提供的14个域114项中的一项或几项控制措施。
5.5.5控制措施有效性测量
在风险控制措施全部或部分实施完成后,信息安全小组可以对风险控制措施的有效性进行测量;
测量的范围可以测量全部的控制措施,也可以测量部分的控制措施,出于时间和经济成本的考虑,建议选取主要的控制措施进行测量,测试方法由信息安全小组视情况决定。
5.6剩余风险评估
5.6.1再评估
对采取安全措施处理后的风险,信息安全小组应进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
5.6.2再处理
某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
5.6.3审核批准
剩余风险评估完成后,导出《信息安全残余风险评估报告》,报任继中审核、最高管理者批准。
5.7信息安全风险的连续评估
5.7.1定期评估
信息安全小组每年应组织对信息安全风险重新评估一次,以适应信息资产的变化,确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施。
5.7.2非定期评估
当企业发生以下情况时需及时进行风险评估:
a)当发生重大信息安全事故时;
b)当信息网络系统发生重大更改时;
c)信息安全小组确定有必要时。
5.7.3更新资产
各部门对新增加、转移的或授权销毁的资产应及时更新资产清单。
5.7.4调整控制措施
信息安全小组应分析信息资产的风险变化情况,以便根据企业的资金和技术,确定、增加或调整适当的信息安全控制措施。
6记录
《信息安全风险评估计划》
《信息资产清单》
《重要信息资产清单》
《信息安全风险评估表(含风险处置计划)》
《信息安全残余风险评估报告》
《信息安全风险评估报告》
文件控制程序
ISMS-B-02
为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制,特制定本程序。
本程序适用于与信息安全管理体系有关文件的管理与控制。
3.1总经理
负责批准信息安全管理文件的制订、修订计划,负责批准《信息安全管理手册》(含信息安全方针)和《信息安全适用性声明》。
3.2管理者代表
负责审定信息安全管理文件,负责批准信息安全程序文件和作业文件。
3.3综合管理部
d)负责信息安全管理文件的归口管理。
e)负责组织信息安全管理文件的制订、修订和评审等管理工作。
f)负责信息安全管理文件的标识、作废、回收等日常工作。
《信息安全适用性声明》
《信息安全法律法规管理程序》
5.1管理内容与要求
5.1.1文件分类
信息安全管理文件:
a)《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明);
b)信息安全管理程序文件;
c)信息安全管理作业文件;
d)信息安全管理记录表格。
其他文件:
a)各种媒介加载的各种格式的非纸质性文件;
b)信息安全法律法规及设备说明书、国家标准等来自公司外部的文件。
5.2文件编制和修订
5.2.1要求
信息安全管理文件编制和修订前,编制人员充分了解相关方的要求和信息,广泛收集有关的文件和资料。
作为文件编写的依据,应重点考虑以下几个方面:
a)相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是强制性标准的要求,上级主管部门颁发的标准、规章、规定等。
b)对客户和其他相关方的合同和承诺,客户与其他相关方的需求和期望方面的信息。
c)国内外同行先进水平和发展方向的信息。
d)本组织现有的有关文件,领导的意图和要求。
e)内容应与组织的实际情况相适应,并保证文件在现有的资源条件下,能得到有效实施。
5.2.2文件编制部门
a)信息安全管理文件由信息安全小组组织,相关职能部门参与进行编制。
b)技术标准由产品研发部负责,各相关部门参与。
c)策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。
5.3文件审批
5.3.1审批
信息安全管理文件发布前须经审批。
5.3.2权限
信息安全管理文件的审批权限如下:
a)《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明)由总经理批准发布。
b)信息安全程序文件和作业文件由职能部门组织审核,管理者代表审核,总经理批准发布。
c)策划的管理方案由职能部门组织审核,管理者代表审核,总经理批准发布。
d)其他管理、技术作业和相关支持性文件由归口管理部门负责审核,部门负责人审核批准。
5.4文件标识
为确保在使用处获得适用文件的有效版本,文件均要有明确的标识,包括文件编号、版本号、分发号、发布和实施日期、密级等。
信息安全管理文件编号规则如下:
SANDSTONE-ISMS-A-01《信息安全管理手册》
SANDSTONE-ISMS-A-02《信息安全适用性声明》
SANDSTONE-ISMS-B-XX程序文件
SANDSTONE-ISMS-C-XX作业文件
ISMS-D-XX-XX记录表单
涉密文件应按《商业秘密管理程序》的规定分类并标识。
5.5文件发放
文件审批后,综合管理部登记并制定《信息安全文件一览表》和《文件发放/回收一览表》,按《文件发放/回收一览表》规定的范围进行发放。
文件发放时,综合管理部应在文件第一页注明发放部门和发布日期。
并标上“受控”标识。
所发放使用的信息安全管理体系文件均为受控文件,各文件使用部门严格保管,不得外借和复制,并保持文件清晰、易于识别。
5.6文件的更改及版本管理
当文件的当前内容和实施动作不一致时,综合管理部提出更改文件要求,由文件对口部门和综合管理部人员说明原因,填写《文件修改通知单》,经原审批部门批准后,由文件归口管理部门进行修改。
版本号规定:
初次发布的文件,版本号以1.0作为标识,当文件发生修改时,版本号以下列方式进行编制:
a)修改内容不超过20%时,版本号以0.1位依次递进,例:
1.1;
1.2……1.9;
1.10;
1.11以此类推;
b)修改内容超过20%时,版本号以1.0位依次递进,例:
1.0,2.0。
文件按文件修改通知单上的内容进行修改,并更新变更履历,变更后由综合管理部进行审核,总经理批准,确保所有文件更改到位。
对已经过期,不适用本组织业务程序的文档,要进行“报废”处理;
针对电子档文件需在首页打上“报废”水印,在变更履历中注明“报废”原因;
针对纸质文件,盖上“作废”章,并及时销毁处理。
5.7文件的评审
当出现以下情况,综合管理部应组织对文件进行评审、必要时予以更新并再次批准:
a)信息安全管理体系结构发生重大变化时;
b)信息安全管理体系标准发生重大变化时;
c)组织结构发生重大变化时;
d)信息安全活动、流程发生重大变化时。
5.8外来文件的控制
组织的外来文件包括与运行维护有关的国家、地方、行业的法律、法规、部门规章、标准,体现客户有关要求的文件等。
组织的外来文件由综合管理部负责登记在《外来文件清单》上,《外来文件清单》应注明分布部门,以供使用者查阅。
对外来法律法规文件,按《信息安全法律法规管理程序》控制。
综合管理部须对受控中的外来文件进行编号管理,以便于查看。
5.9文件的销毁
若受控文件已不在适合本组织时,可对文件进行“回收”处理,判定文件是否可被销毁,可以在信息安全内部审核或管理评审时提出,由综合管理部成员表决,总经理批准。
如果文件被批准销毁,综合管理部需重新修改《信息安全文件一览表》、并将最新信息登记到《文件发放/回收一览表》。
电子文件可以仍然保存在服务器中,但名称中要加入“作废”标记;
同时,文件的“受控”标识也要改为“作废”标识。
《信息安全文件一览表》
《文件发放/回收一览表》
《文件修改通知单》
《外来文件清单》
记录控制程序
ISMS-B-03
为确保对信息安全记录的标识、贮存、保护、检索、保存期限和处置实施有效管理,特制定本程序。
本程序适用于本组织证实信息安全管理体系符合要求和有效运行的记录管理。
综合管理部负责信息安全记录的管理。
《重要信息备份管理程序》
《信息安全记录分类与保存期限清单》
5.1记录的标识
5.1.1标识
信息安全记录应有追溯标识(如流水号),追溯标识由各职能部门确定。
文件编号按照《[SANDSTONE-ISMS-B-02]文件控制程序》“5.4文件标识”中定义的规则进行。
5.1.2密级
记录的密级分类按《商业秘密管理程序》规定进行,涉密信息应将密级标识在记录上。
5.2记录的保管
5.2.1保管形式
纸质记录由各保管部门按规定存放于文件夹/文件柜中,电子记录由各保管部门以电子档的形式保存在服务器上。
5.2.2备份要求
以电子媒体保管的场合,为预防意外,需做适当的备份。
备份的安全要求执行《重要信息备份管理程序》。
5.3记录的查阅
5.3.1权限
因工作需要,借阅其他部门的秘密记录,应获得记录保管部门经理授权后方可借阅,并填写《记录借阅登记表》,留下授权记录。
5.3.2控制
借阅者在借阅期内不得改动记录,借阅完毕后,保管部门经理删除其访问阅读权限。
5.4记录的销毁
5.4.1废弃
超过保管期限的记录,应填写《记录销毁记录表》,经综合管理部批准后,由保管部门作为秘密文件处理废弃。
《信息安全记录一览表》
《记录借阅登记表》
《记录销毁记录表》
纠正措施控制程序
-ISMS-B-04
为消除与信息安全管理体系要求不符合的原因,防止其再次发生,持续改进和信息安全管理体系的有效性,特制定本程序。
本程序适用于消除信息安全管理体系不符合原因所采取的纠正措施的管理。
3.1综合管理部
负责归口管理纠正措施实施,组织相关部门制定纠正措施,并负责跟踪验证。
3.2信息安全管理小组
负责信息系统方面纠正措施的制定与实施。
《文件控制程序》
5.1不符合信息来源
g)组织内、外部审核中发现的问题;
h)日常信息安全管理检查、监控及技术检查中指出的不符合项;
i)突发的信息安全事件;
j)相关方的建议或抱怨;
k)风险评估报告。
5.2不符合项分析
各部门对本部门产生的不符合,应分析产生的原因,评价纠正措施的需求。
5.3纠正措施
采取纠正措施应与问题的影响程度相适应,对于以下情况的不符合应采取纠正措施:
a)可能造成信息安全事故;
b)可能影响顾客满意程度、造成顾客抱怨与投诉;
c)可能影响本公司的企业形象与经济利益;
d)可能造成生产经营业务中断。
5.4重大事件范畴
对于信息系统的重大事件,技术部应进行原因分析,采取纠正措施,以下事件属于重大事件范畴:
a)网络遭受大规模病毒攻击;
b)组织信息资产被盗用;
c)公司应用管理系统数据中断。
5.5纠正措施批准
需制定纠正措施时,应将不符合原因填入《纠正与预防措施报告》,制定纠正措施对策,经综合管理部批准后予以实施。
5.6纠正措施结果记录
实施纠正措施的部门应按照《纠正与预防措施报告》要求认真执行,并将执行结果记入相应《纠正与预防措施报告》中。
5.7验证
综合管理部对纠正措施实施结果进行验证,并将验证结果记录在《纠正与预防措施报告》上。
5.8相关文件更改
纠正措施需要涉及文件更改的,应对文件进行评审,按《文件控制程序》更改文件。
5.9保管责任
综合管理部应做好纠正措施相关记录的保存。
5.10管理评审输入
管理评审前,将各部门所采取的纠正措施的有关情况汇总,提交管理评审。
《纠正与预防措施报告》
预防措施控制程序
ISMS-B-05
为消除潜在的与信息安全管理体系要求不符合的原因,防止其发生,持续改进和信息安全管理体系的有效性,特制定本程序。
本程序适用于消除信息安全管理体系潜在不符合原因所采取的预防措施的管理。
负责组织相关部门进行信息安全数据的收集及分析,确定潜在不符合原因,评价预防措施的需求,组织相关部门制定预防措施,并负责跟踪验证。
3.2信息安全管理小组
负责收集和分析信息系统方面的事件和异常情况,确定潜在不符合原因,采取预防措施。
5.1预防措施信息来源
a)组织内外安全事件记录、事故报告、薄弱点报告;
b)日常管理检查及技术检查中指出的不符合;
c)信息安全监控记录;
d)内、外部审核报告及管理评审报告中的不符合项;
e)相关方的建议或抱怨;
f)风险评估报告;
g)其他有价值的信息等。
5.2执行时机
综合管理部每半年组织相关部门利用5.1条款所规定的信息来源,分析确定潜在不符合及其原因,评价防止不符合发生的措施的需求,并形成《纠正与预防措施报告》。
5.
升级会员 