ismsa 信息安全管理体系文件.docx
《ismsa 信息安全管理体系文件.docx》由会员分享,可在线阅读,更多相关《ismsa 信息安全管理体系文件.docx(23页珍藏版)》请在冰豆网上搜索。
ismsa信息安全管理体系文件
信息安全管理体系文件
样式编号
ISMS-A-2015
编制
审核
批准
密级
内部
版本
V1.0
发布日期
2015年8月
1信息安全方针
1.1总体方针
满足客户要求,实施风险管理,确保信息安全,实现持续改进。
1.2信息安全管理机制
公司为客户提供智能用电及能源管理的服务,信息资产的安全性对公司及客户非常重要。
为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据ISO/IEC27001:
2005标准,建立信息安全管理体系,全面保护公司及客户的信息安全。
1.3信息安全小组
1)负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;
2)负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;
3)对员工和客户进行信息安全意识教育和安全技能培训;
4)协助人力资源部对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理;
5)协调各部门以及与外部组织间有关的信息安全工作,负责建立各部门、客户的定期联系和沟通机制;
6)负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出内部审核建议;
7)负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;
8)负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施;
9)负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;
10)负责调查安全事件,并维护安全事件的记录报告(包括调查结果和解决方法),定期总结安全事件记录报告;
11)负责管理体系文件的控制;
12)负责保存内部审核和管理评审的有关记录;
13)识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性。
1.4识别法律、法规、合同中的安全
1)及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
1.5风险评估
1)根据公司业务信息安全的特点、法律法规的要求,建立风险评估程序,确定风险接受准则。
2)定期进行风险评估,以识别公司风险的变化。
公司或环境发生重大变化时,随时评估。
3)应根据风险评估的结果,采取相应措施,降低风险。
1.6报告安全事件
1)公司建立报告安全事件的渠道和相应机构。
2)全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径进行报告。
3)接受报告的相应部门/机构应记录所有报告,及时做相应处理,并向报告人员反馈处理结果。
1.7监督检查
1)对信息安全进行定期或不定期的监督检查,包括:
日常检查、专项检查、技术性检查、内部审核等。
2)对信息安全方针及其他信息安全政策进行定期管理评审(至少一年一次)或不定期管理评审。
1.8信息安全的奖惩
1)对公司信息安全做出贡献的人员,按规定进行奖励。
2)对违反安全方针、职责、程序和措施的人员,按规定进行处罚。
2信息安全管理手册
2.1目的和范围
2.1.1总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
2.1.2范围
本手册适用于ISO/IEC27001:
2005 4.2.1 a)条款规定范围内的信息安全管理活动。
业务范围:
开发、生产、销售电力的保护、监控、计量装置和应用在现场的智能用电、能源管理系统。
2.2术语和定义
ISO/IEC27001:
2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC27002:
2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。
2.3引用文件
下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
ISO/IEC27001:
2005信息技术-安全技术-信息安全管理体系要求
ISO/IEC27002:
2005信息技术-安全技术-信息安全管理实施细则
2.4信息安全管理体系
2.4.1总要求
公司依据ISO/IEC27001:
2005标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,形成文件;本公司全体员工将有效地贯彻执行并持续改进有效性,对过程的应用和管理详见《信息安全管理体系过程模式图》(图1)。
图1.信息安全管理体系过程模式图
2.4.2建立和管理ISMS
2.4.2.1建设思路
分析企业信息安全的实际情况,通过制定企业的信息安全目标、提出信息安全要求、制定信息安全措施,通过组织体系、运作体系、技术体系、策略体系的支持,按照PDCA流程,先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,最后制定出符合企业的信息安全管理体系,并进行建立、实施和维护信息安全管理体系,最终为客户实现的目标是:
1)对信息系统的信息进行保护,减少来自内外部的各种威胁;
2)确保业务连续性,确保网络畅通、各业务应用系统高效动作,避免业务发生中断;
3)业务风险最小化,避免信息系统事故可能引起的业务风险,减少商业秘密的泄露;
2.4.2.2建设步骤
1、准备工作,通过领导决策,进行安全组织和人员的配备,并进行相关的培训和宣传,从而为后期信息安全管理体系的建设和推广提供相关支持;
2、框架建立,参考信息安全体系框架,进行管理体系和技术体系框架的分析,着重对信息安全管理体系进行研究,得出研究的基础理论支持;
3、评估风险,按照信息安全评估流程的方法,通过资产的分类和风险的分类得出风险评估的结果,作为信息安全改善的依据;
4、改善安全,通过风险评估和差距的分析,结合管理和技术的手段,按照风险改善的方法,得出信息安全改善的措施;
5、实施运行,按照前面评估的风险和安全改善的措施,对已建立好的信息安全管理体系进行实施和运行,并制定相关的信息安全制度细则和技术管控措施;
6、检查改进,通过体系的实施和运行,检查存在的信息安全风险,并针对风险点进行管理和技术上的安全改善;
7、持续运行,通过不断的检查和改进,保证信息安全管理体系能够持续的运行,为企业的业务提供更全面更可靠的信息系统.
2.4.2.3风险评估
信息安全的风险管理是把风险管理的思想纳入到整个信息安全管理的过程中来,基于风险的信息安全管理体系在分析风险后,就会利用一系列的安全技术措施来控制风险,以达到信息安全的目标,依据风险评估结果制订的信息安全解决方案,可以最大限度的避免盲目的追求而浪费相关资源,同时还造成对业务的影响,最终使企业在信息安全方面的投资收益最大化。
风险评估一般的工作流程包括九个步骤,具体如下:
按照以上的风险评估步骤,对企业的信息安全风险进行评估,其风险评估的对象主要是企业的信息资产,包括数据、软硬件、人员等,具体说明如下:
信息资产分类
分类
具体内容
数据
存在于信息介质上的各种数据资料:
包括数据库、系统文档、计划、报告、用户手册等
软件
系统软件:
操作系统、工具软件等
应用软件:
外部购买的应用软件,外包开发的应用软件等
硬件
网络设备:
防火墙、路由器、交换机等
计算机设备:
服务器、台式机、笔记本等
移动存储设备:
光盘、U盘、移动硬盘等
传输路线:
光纤、双绞线等
保障设备:
UPS、空调、门禁、消防设施等
其他电子设备:
打印机、复印机、扫描仪、传真机等
服务
办公服务:
为提高工作效率而开发的管理信息系统,包括各种内置配置管理、文件流转管理等服务
网络服务:
为各种网络设备、设施提供的网络连接服务
信息服务:
对外依赖该系统开展服务而获得业务收入的服务
文档
纸质的各种文档、传真、财务报表、发展计划等
人员
掌握重要信息和核心业务的人员,如机房的管理人员、主机的维护工程师、网络维护工程师及应用系统项目经理等人员
在确定了风险评估的对象之后,即开始对风险评估对象所面临的风险进行识别、分析和评价,具体的风险评估内容和过程如下:
按照以上所示的风险评估内容和过程,对企业的信息安全风险进行评估,所评估的风险分类如下:
信息安全风险分类
种类
描述
软、硬件故障
由于设备的硬件故障、通信链路中断、系统本身或软件BUG导致对业务高效稳定运行的影响
无作为或操作失误
由于应该执行而没有执行相应的操作或无意执行错误操作对系统造成的影响
管理不到位
安全管理无法落实、不到位、造成安全管理不规范或者混乱,从而破坏信息系统正常有序的运行
恶意代码和病毒
具有自我复制、自我传播能力,对信息系统构成破坏的代码
越权和滥用
通过采用一些措施、超越自己的权限访问了本来无法访问的资源,或者滥用自己的职权,做出破坏信息系统的行为
黑客攻击技术
利用黑客工具和技术,如侦查、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击对系统进行攻击和入侵
物理攻击
物理接触、物理破坏、盗窃
泄密
机密泄露、机密信息泄露给他人
篡改
非法修改信息、破坏信息的完整性
抵赖
不承认收到的信息和所做的操作和交易
针对以上所列的信息安全风险,为了更好的进行管理和控制,从风险对业务的影响来进行定义等级,以下主要是按照风险出现的频率来进行定义(风险等级评估的方法有定量和定性两种方法,在此我们按照定量的方法分析),具体如下:
信息安全风险等级
等级
标识
描述
5
很高
出现的频率很高(如>1次/周),或在大多数情况下几乎不可避免,或可以证实经常发生过
4
高
出现的频率较高(如>1次/月),或在大多数情况下很有可能会发生,或可以证实多次发生过
3
中
出现的频率中等(如>1次/半年),或在某种情况下可能会发生,发生,或可以证实多次发生过
2
低
出现的频率较小,或一般不太可能发生,或没有被证实发生过
1
很低
威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生
结合企业目前的信息安全现状,参照IS027001的标准,整理出企业的风险评估结果,具体如下:
信息安全风险评估结果
控制领域
说明
等级
描述
物理环境安全
物理环境威胁
4
断电、静电等问题一直存在
信息资产管理
软、硬件故障
3
经常性出现各种软件、硬件的故障或是链路的中断等问题
运行和维护安全
物理攻击
2
物理接触和物理破坏的可能性较低
无作为或操作失误
5
时常会出现人为操作对系统造成的影响
越权和滥用
3
系统和终端的权限管理不规范,存在越权和滥用的风险,有破坏信息系统的行为风险
篡改
2
非法修改信息和破坏信息的完整性较少
信息安全方针
管理不到位
5
信息安全的管理还不健全,同时管理不规范,从而破坏信息系统正常有序的运行
人员安全管理
泄密
4
出现过机密泄露和机密信息泄露给他人
抵赖
4
有出现过不承认收到的信息和所做的操作
安全事件管理
恶意代码和病毒
4
内部病毒的控制和管理还是有待提高
黑客攻击技术
4
出