ISMS信息安全管理体系文件全面.docx
《ISMS信息安全管理体系文件全面.docx》由会员分享,可在线阅读,更多相关《ISMS信息安全管理体系文件全面.docx(88页珍藏版)》请在冰豆网上搜索。
ISMS信息安全管理体系文件全面
ISMS-01-01
ISMS信息安全管理体系文件
样式编号
ISMS-A-2019
编制
高珊珊
审核
密级
内部
版本
V0.5
编写日期
2019年1月15日
目录
一、信息安全方针------------------------------------------------------------------03
1.1总体方针----------------------------------------------------------------------03
1.2信息安全管理机制--------------------------------------------------------------03
1.2.1目标量化----------------------------------------------------------------04
1.3信息安全小组------------------------------------------------------------------03
1.4识别法律、法规、合同中的安全--------------------------------------------------04
1.5风险评估----------------------------------------------------------------------04
1.6报告安全事件------------------------------------------------------------------04
1.7监督检查----------------------------------------------------------------------04
1.8信息安全的奖惩----------------------------------------------------------------04
1.9手册的管理--------------------------------------------------------------------04
1.9.1信息安全管理手册的批准--------------------------------------------------04
1.9.2信息安全管理手册的发放、更改、作废与销毁--------------------------------04
1.9.3信息安全管理手册的换版-------------------------------------------------05
1.9.4信息安全管理手册的控制-------------------------------------------------05
二、信息安全管理手册--------------------------------------------------------------05
2.1目的和范围--------------------------------------------------------------------05
2.1.1总则--------------------------------------------------------------------05
2.1.2范围--------------------------------------------------------------------05
2.2术语和定义--------------------------------------------------------------------06
2.3引用文件----------------------------------------------------------------------06
2.3.1组织环境,理解组织及其环境----------------------------------------------06
2.3.2理解相关方的需求和期望---------------------------------------------------06
2.3.3确定信息安全管理体系的范围-----------------------------------------------06
2.4信息安全管理体系--------------------------------------------------------------07
2.4.1总要求------------------------------------------------------------------07
2.4.2建立和管理ISMS---------------------------------------------------------09
2.4.3资源管理----------------------------------------------------------------20
2.5ISMS内部审核------------------------------------------------------------------22
2.5.1总则--------------------------------------------------------------------22
2.5.2内审策划----------------------------------------------------------------22
2.5.3内审实施----------------------------------------------------------------22
2.6ISMS管理评审------------------------------------------------------------------22
2.6.1总则--------------------------------------------------------------------22
2.6.2评审输入----------------------------------------------------------------23
2.6.3评审输出----------------------------------------------------------------23
2.7ISMS改进----------------------------------------------------------------------23
2.7.1持续改进----------------------------------------------------------------23
2.7.2纠正措施----------------------------------------------------------------24
三、信息安全规范--------------------------------------------------------------24
3.1总则--------------------------------------------------------------------------24
3.2环境管理----------------------------------------------------------------------24
3.3资产管理----------------------------------------------------------------------26
3.4介质管理----------------------------------------------------------------------26
3.5设备管理----------------------------------------------------------------------27
3.5.1总则--------------------------------------------------------------------27
3.5.2系统主机维护管理办法---------------------------------------------------27
3.5.3涉密计算机安全管理办法-------------------------------------------------29
3.6系统安全管理------------------------------------------------------------------29
3.7恶意代码防范管理--------------------------------------------------------------30
3.8变更管理----------------------------------------------------------------------30
3.9安全事件处置------------------------------------------------------------------30
3.10监控管理和安全管理中心-------------------------------------------------------31
3.11数据安全管理-----------------------------------------------------------------31
3.12网络安全管理-----------------------------------------------------------------32
3.12.1网络系统运行维护管理办法-----------------------------------------------32
3.12.2网络病毒入侵防范管理办法-----------------------------------------------32
3.12.3网络信息安全策略管理办法-----------------------------------------------33
3.12.4网络信息系统安全检查管理办法-------------------------------------------33
3.13操作管理---------------------------------------------------------------------33
3.14安全审计管理办法------------------------------------------------------------33
3.15信息系统应急预案------------------------------------------------------------34
3.16附表----------------------------------------------------------------------34/55
一、信息安全方针
1.1总体方针
满足用户要求,实施风险管理,确保信息安全,实现持续改进。
1.2信息安全管理机制和目标
公司为用户提供智能登陆及加密会员信息管理的服务,信息资产的安全性对公司及用户非常重要。
为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据ISO/IEC27001:
2013标准,建立信息安全管理体系,全面保护公司及用户的信息安全。
1.2.1目标量化:
保密性目标:
确保本公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。
1)顾客保密性抱怨/投诉的次数不xeg超过1起/年。
2)受控信息泄露的事态发生不超过3起/年。
3)秘密信息泄露的事态不得发生。
完整性目标:
确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据;
1)非授权方式更改数据导致业务系统出现故障而影响正常工作的事态不超过2起/年。
可用性目标:
确保本公司业务系统能有效率地运转并使所有授权用户得到所需信息服务。
1)得到授权的用户执行数据操作,出现服务拒绝或者数据拒绝的次数不得高于10起/年;
2)得到授权的用户超越其自身权限,越权使用系统、使用数据的次数不超过10起/年。
1.3信息安全小组
负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;
负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;
对员工进行信息安全意识教育和安全技能培训;
协助人力资源部对外部组织有关的信息安全工作,负责建立各部门定期沟通机制;
负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出内部审核建议;
负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;
负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施;
负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;
负责管理体系文件的控制;
负责保存内部审核和管理评审的有关记录;
识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性。
1.4识别法律、法规、合同中的安全
及时识别用户、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
1.5风险评估
根据公司业务信息安全的特点、法律法规的要求,建立风险评估程序,确定风险接受准则。
定期进行风险评估,以识别公司风险的变化。
公司或环境发生重大变化时,随时评价。
应根据风险评估的结果,采取相应措施,降低风险。
1.6报告安全事件
公司建立报告安全事件的渠道和相应机构。
全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径进行报告。
接受报告的相应部门/机构应记录所有的报告,及时做相应处理,并向报告人员反馈处理结果。
1.7监督检查
对信息安全进行定期或不定期的监督检查,包括:
日常检查、专项检查、技术性检查、内部审核等。
对信息安全方针及其他信息安全政策进行定期管理评审(至少一年一次)或不定期管理评审。
1.8信息安全的奖惩
对公司信息安全做出贡献的人员,按规定进行奖励。
对违反安全方针、职责、程序和措施的人员,按规定进行处罚。
1.9手册的管理
1.9.1信息安全管理手册的批准
管理者代表负责组织编制《ISMS信息安全管理体系文件》,总经理负责批准。
1.9.2信息安全管理手册的发放、更改、作废与销毁
1)行政部负责按《文件控制程序》的要求,进行《ISMS信息安全管理体系文件》的登记、发放、回收、更改、归档、作废与销毁工作;
2)各相关部门按照受控文件的管理要求对收到的《ISMS信息安全管理体系文件》进行使用和保管;
3)行政部按照规定发放修改后的《ISMS信息安全管理体系文件》,并收回失效的文件作出标识统一处理,确保有效文件的唯一性;
4)管理者代表保留《ISMS信息安全管理体系文件》修改内容的记录。
1.9.3信息安全管理手册的换版
当依据的ISO/IEC27001:
2013或ISO/IEC27002:
2013标准有生大变化、组织的结构、内外部环境、生产技术、信息安全风险等发生重大改变及《ISMS信息安全管理体系文件》发生需修改部分超过1/3时,应对《ISMS信息安全管理体系文件》进行换版。
换版应在管理评审时形成决议,重新实施编、审、批工作。
1.9.4信息安全管理手册的控制
1)本《ISMS信息安全管理体系文件》标识分受控文件和非受控文件两种:
----受控文件发放范围为公司领导、各相关部门的负责人、内审员;
----非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
2)《ISMS信息安全管理体系文件》有书面文件和电子文件,电子版本文件的有效格式为PDF文档。
二、信息安全管理手册
2.1目的和范围
2.1.1总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有限管理,确保员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
2.1.2范围
本手册适用于ISO/IEC27001:
2013条款规定范围内的信息安全管理活动。
1)业务范围:
开发、运营、维护信息技术产业管理系统。
2)组织范围:
全公司上下各部门与业务有直接相关的正式员工,共12人;
3)物理范围:
上海市浦东新区博霞路50号203室
4)资产范围:
与业务范围、组织范围、物理范围内相关的硬件、软件、数据、文档、人员及支持性服务等全部信息资产和相关技术手段。
5)ISO/IEC27001:
2013条款的适用性与公司最新版本的适用性声明一致。
2.2术语和定义
下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC27001,信息技术-安全技术-信息安全管理体系-概述和词汇
2.3引用文件
ISO/IEC27001中的术语和定义适用于本手册。
本公司:
上海海湃计算机科技有限公司
信息系统:
指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:
政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境
本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2理解相关方的需求和期望
组织应确定:
1)与信息安全管理体系有关的相关方
2)这些相关方与信息安全有关的要求。
2.3.3确定信息安全管理体系的范围
本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:
1)本公司的认证范围为:
防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动
3)与所述信息系统有关的部门和所有员工;
4)所述活动、系统及支持性系统包含的全部信息资产。
确定该范围后,本公司应考虑:
1)在2.3.1中提及的外部和内部问题;
2)在2.3.2中提及的要求;
3)本公司所执行的活动之间以及与其它组织的活动之间的接口和依赖性范围应文件化并保持可用性。
组织范围:
本公司根据组织业务特征和组织结构定义了信息安全管理体系的信息安全职责《信息安全职责说明书》(见表二十二)
物理范围:
上海市浦东新区博霞路50号203室
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
2.4信息安全管理体系
2.4.1总要求
公司依据ISO/IEC27001:
2013标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系形成文件;本公司全体员工将有效地贯彻执行并持续改进有效性,对过程的应用和管理详见《信息安全管理体系过程模式图》(图1)
图1.信息安全管理体系过程模式图
2.4.1.1领导和承诺
高层管理者通过下列方式展示其关于信息安全管理体系的领导力和承诺:
1)确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;
2)确保将信息安全管理体系要求整合到组织的业务过程中;
3)确保信息安全管理体系所需资源可用;
4)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;
5)确保信息安全管理体系实现其预期结果;
6)指挥并支持人员为信息安全管理体系的有效实施作出贡献;
7)促进持续改进
8)支持其他相关管理角色在其职责范围内展示他们的领导力。
2.4.1.2方针
高层管理者应建立信息安全方针,具体见以下:
1)适用于组织的目标;
2)包含信息安全目标或设置信息安全目标提供框架;
3)包含满足适用的信息安全相关要求的承诺;
4)包含信息安全管理体系持续改进的承诺;
2.4.1.3信息安全方针
1)文件化并保持可用性;
2)在组织内部进行传达;
3)适当时,对相关方可用。
2.4.1.4组织角色、职责和权限
1)高层管理者应确保分配并传达了信息安全相关角色的职责和权限。
应分配下列职责和权限:
a)信息安全管理体系符合本手册的要求;
b)将信息安全管理体系的绩效报告给高层管理者。
2)高层管理者还要分配在组织内部报告信息安全管理体系绩效的职责和权限。
明确信息安全的管理职责,详见《信息安全管理职责明细表》(表二十三)。
2.4.1.5规划应对风险和机会的措施
当规划信息安全管理体系时,本公司考虑2.3.1中提及的问题和2.3.2中提及的要求,确定需要应对的风险和机会,以:
1)确保信息安全管理体系能实现其预期结果;
2)防止或减少意外的影响;
3)实现持续改进。
4)本公司应规划应对这些风险和机会的措施;
5)如何整合和实施这些措施并将其纳入信息安全管理体系过程;
6)如何评价这些措施的有效性。
2.4.2建立和管理ISMS
2.4.2.1建立思路
分析企业信息安全的实际情况,通过制定企业的信息安全目标、提出信息安全要求、制定信息安全措施,通过组织体系、运作体系、技术体系、策略体系的支持,按照PDCA流程,先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,最后制定出符合企业的信息安全管理体系,并进行建立、实施和维护信息安全管理体系,最终为实现的目标是:
1)对信息系统