信息安全管理方针和策略Word格式文档下载.docx

1、/ 确泄风险管理活动的目标；/ 确泄风险管理过程的职责；/确定所要开展的风险後理活动的范围以及深度、广度，包括具体的内涵与外延;“ 以时间与地点，界左活动、过程、职能、项目、产品、服务或资产；/ 界泄组织特定项目、过程或活动与英她项目、过程或活动之间的关系；/确泄风险评价的方法；/确定评价风险管理的绩效与有效性的方法；“识别与规定所必须要做出的决策；“ 确定所需的范用或框架性研究，它们的程度与目标，以及此种研究所需资源。确定风险准则:/ 可以出现的致因与后果的性质与类别,以及如何予以测量；“可能性如何确圮;/可能性与（或）后果的时间范帀；/ 风险程度如何确泄；/利益相关方的观点；“风险可接受或

2、可容许的程度；/ 多种风险的组合就是否予以考虑，如果就是，如何考虑及哪种风险组合宜予以考虑。1、3、2理解相关方的需求与期望信息安全管理小组应确立信息安全管理体系的相关方及其信息安全要求，相关的信息安 全要求。对于利益相关方,可作为信息资产识别，并根据风险评估的结果，制立相应的控制措施. 实施必要的管理。相关方的要求可包括法律法规要求与合同义务。1、3、3确定信息安全管理体系范围本公司ISMS的范国包括a） 物理范|1；|:b） 业务范国:计算机软件开发,il算机系统集成相关信息安全管理活动。c） 内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部。d） 外部接口:向公司提供各种服务

3、的第三方1、3、4信息安全管理体系本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时 考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA模 式。1、4领导力总经理应通过以下方式证明信息安全管理体系的领导力与承诺:a） 确保信息安全方针与信息安全目标已建立，并与公司战略方向一致；b） 确保将信息安全管理体系要求融合到日常管理过程中；c） 确保信息安全管理体系所需资源可用；d） 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性；e） 确保信息安全管理体系达到预期结果；0 指导并支持相关人员为信息安全管理体

4、系有效性做岀贡献；g） 促进持续改进；h） 支持信息安全管理小组及各部门的负责人，在英职责范围内展现领导力。1、5规划1、5、1应对风险与机会的措施1、5、1、1 总则公司针对公司内部与公司外部的实际情况，与相关方的要求.确定公司所需应对的信息安 全方面的风险。在已确左的ISMS范国内，针对业务全过程所涉及的所有信息资产进行列表 识別。信息资产包括软件/系统、数拯/文档、硬件/设施、人力资源及外包服务。对每一项信 息资产，根据信息资产判断依据确左信息资产的重要性等级并对苴重要度赋值。信息安全管理小组制左信息安全风险评估管理程序,经信息安全管理小组组长批准后组 织实施。风险评估管理程序包括可接受

5、风险准则与可接受水平。该程序的详细内容见信息 安全风险评估管理程序。1、5、1、1、1信息安全风险评估1、5、1、1、1、1风险评估的系统方法信息安全管理小组制左信息安全风险评估管理程序，经管理者代表审核，总经理批准后组 织实施。该程序的详细内容适用于信 息安全风险评估管理程序。1、5、1、1、1、2资产识别在已确泄的ISMS范用内，对所有的信息资产进行列表识别。信息资产包括软件/系统、 数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产，根据信息资产判断依据确左 信息资产的重要性等级并对其重要度赋值。1、5、1、1、1、3评估风险a） 针对每一项信息资产、记录、信息资产所处的环境等因

6、素，识别出所有信息资产所 而临的威胁；b） 针对每一项威胁，识别出被该威胁可能利用的薄弱点；c） 针对每一项薄弱点，列出现有的控制措施,并对控制措施有效性赋值;同时考虑威胁 利用脆弱性的容易程度，并对容易度赋值；d） 判断一个威胁发生后可能对信息资产在保密性（C）、完整性与可用性（A）方面的损 害，进而对公司业务造成的影响,计算信息资产的安全事件的可能性与损失程度。e） 考虑安全事件的可能性与损失程度两者的结合，计算信息资产的风险值。0 根据信息安全风险评估管理程序的要求确左资产的风险等级。g） 对于信息安全风险，在考虑控制措施与费用平衡的原则下制怎风险接受准则,按照该 准则确左何种等级的风险

7、为不可接受风险，该准则在信息安全风险评估管理程序 有详细规左，并在风险评估报告中进行系统汇报并针对结果处理意见获得最髙 管理者批准。h） 获得最髙管理者对建议的残余风险的批准，残余风险应该在残余风险评价报告 上留下记录，并记录残余风险处置批示报告。i） 获得管理者对实施与运行ISMS的授权 ISMS管理者代表的任命与授权、ISMS 文档的签署可以作为实施与运作ISMS的授权证据。1、5、1、1、2信息安全风险处宜 1、5、1、1、2、1风险处理方法的识别与评价信息安全管理小组应组织有关部门根据风险评估的结果，形成风险处理讣划，该汁划 应明确风险处理责任部门、方法及时间。对于信息安全风险,应考虑

8、控制措施与费用的平衡原则，选用以下适当的措施：a） 采用适当的内部控制措施；b） 接受某些风险（不可能将所有风险降低为零）；c） 回避某些风险（如物理隔离）；d） 转移某些风险（如将风险转移给保险者、供方、分包商）。1、5、1、1、2、2选择控制目标与控制措施信息安全管理小组根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门 制泄信息安全目标。信息安全目标应获得总裁的批准。控制目标及控制措施的选择原则来源于附录A。本公司根据信息安全管理的需要，可以 选择标准之外的其她控制措施。1、5、1、1、2、3适用性声明SoA信息安全管理小组编制信息安全适用性声明（SoA）。该声明包括以下方面的

9、内容：a） 所选择控制目标与控制措施的概要描述；b） 对ISO/IEC 27001:2013附录A中未选用的控制目标及控制措施理由的说明。1、5、1、1、2、3残余风险对风险处理后的残余风险应形成残余风险评估报告并得到信息安全最高责任人的批 准。信息安全管理小组应保留信息安全风险处置过程的文件化信息。1、5、2信息安全目标与实现规划根据公司的信息安全方针,经过最髙管理者确认，公司的信息安全管理目标为：受控信息泄露的事态发生不超过3起/年信息安全管理小组根据适用性声明、信息资产风险评估表中风险处理汁划所选择 的控制措施,明确控制措施改进时间表。对于各部门信息安全目标的完成情况，按照信息安 全目标

10、及有效性测疑程序的要求，周期性在主责部门对各控制措施的目标进行测量,并记录 测量的结果。通过左期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的 完成情况。1、6支持1、6、1资源总经理负责确立并提供建立、实施、保持与持续改进信息安全管理体系所需的资源。1、6、2能力办公室应：a） 确泄公司全体员工影响公司信息安全绩效的必要能力；b） 确保上述人员在适当的教冇、培训或经验的基础上能够胜任英工作；c） 适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d） 保留适当的文件化信息作为能力的证据。注:适用的措施可包括,对新入职员工进行的信息安全意识教育;左期对公司员工进行的 业

11、务实施过程中的信息安全管理相关的培训等。1、6、3意识公司全体员工应了解：a） 公司的信息安全方针；b） 个人英对公司信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处;c）不符合信息安全管理体系要求带来的影响。1、6、4沟通信息安全管理小组负责确定与信息安全管理体系相关的内部与外部的沟通需求,包括：a） 沟通内容；b） 沟通时间；c） 沟通对象；d） 谁应负责沟通；e） 影响沟通的过程。1、6、5文件化信息1、6、5、1 总则公司的信息安全管理体系应包括：a） 本标准要求的文件化信息；b） 信息安全管理小组确保信息安全管理体系的有效运行,需编制文件控制程序用以管理公司信息安全管理体

12、系的相关文件。1、6、5、2创建与更新创建与更新文件化信息时，信息安全管理小组应确保适当的：a） 标识与描述（例如标题、日期、作者或编号）；b） 格式（例如语言、软件版本、图表）与介质（例如纸质、电子介质）；c） 对适宜性与充分性的评审与批准。1、6、5、3文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应予以控制，以确保：a）在需要的地点与时间，就是可用与适宜的；b）得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等）。C）为控制文件化信息,适用时，科技规划部应开展以下活动：d） 分发，访问，检索与使用；e） 存储与保护，包括保持可读性；f） 控制变更（例如版本控制）；g）

13、 保留与处垃。信息安全管理小组需在文件控制程序中规划与运行信息安全管理体系所必需的外来 的文件化信息，应得到适当的识别，并予以控制。1、7运行1、7、1运行规划与控制为确保ISMS有效实施，对已识別的风险进行有效处理，本公司开展以下活动：a） 形成信息安全风险处理汁划，以确左适当的管理措施、职责及安全保密控制措 施的优先级,应特别注意公司外包过程的确泄与控制;对于系统集成与IT外包运维 服务项目,项目经理应在项目策划阶段识別所面临的信息安全风险，并在项目全过程 中对信息安全风险进行监控与更新。b） 为实现已确泄的安全保密目标、实施风险处理计划，明确各岗位的信息安全职责；c） 实施所选择的控制措

14、施，以实现控制目标的要求；d） 进行信息安全培训，提高全员信息安全意识与能力；e） 对信息安全体系的运作进行管理，控制计划了的变更，评审非预期变更的后果，必要 时采取措施减缓负而影响；0 对信息安全所需资源进行管理；g）实施控制程序，对信息安全事故（或事件）进行迅速反应。总经理为本公司信息安全最髙责任者。办公室制左全公司的组织机构与各部门的职责（包括信息安全职责）,并形成文件。信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理 体系的运行情况与必要的改善措施向信息安全最髙责任者报告。各部门负责人作为本部门信息安全的主要责任人，信息安全内审员负责指导与监督本部 门信息安

15、全管理体系的运行与实施，并形成文件;全体员工都应按保密承诺的要求自觉履行信 息安全义务。各部门应按照信息安全适用性声明中规左的安全保密目标、控制描施（包括安全保 密运行的各种控制程序）的要求实施信息安全控制措施。信息安全管理小组应对满足信息安全要求及实施6、1中确左的措施所需的过程予以规 划、实施与控制嗣时应实施计划以实现6、2中确左的信息安全目标。信息安全管理小组应保持文件化信息达到必要的程度，以确信过程按讣划得到执行。信息安全管理小组应控制汁划内的变更并评审非预期变更的后果,必要时采取措施减轻 负而影响。冬部门确左本部门业务过程中的外包活动，并对外包过程进行必要的控制。1、7、2信息安全风

16、险评估公司按照组织信息安全风险评估管理程序的要求，每年左期或当重大变更提岀或发 生时，执行信息安全风险评估。每次风险评估的过程均需形成记录，并由信息安全管理小组保 留每次风险评估的记录,如:风险评估报告、风险处理计划等。1、7、3信息安全风险处置a） 形成风险处理汁划，以确定适当的管理措施、职责及安全保密控制措施的优先 级；c）实施所选择的控制措施，以实现控制目标的要求;d） 进行信息安全培训，提髙全员信息安全意识与能力；e） 对信息安全体系的运作进行管理；信息安全管理小组负责组织相关人员，定期检查风险处理计划的执行情况,并保留信息安 全风险处置结果的文件化信息。1、8绩效评价1、8、1监视、

17、测量、分析与评价本公司通过实施泄期的控制措施实施有效性检査、事故报告调查处理、电子监控、技术 检査等检査方式检査信息安全管理体系运行的情况,并报告结果以实现：a） 及时发现信息安全体系的事故与隐患；b） 及时了解信息处理系统遭受的各类攻击；c） 使管理者掌握信息安全活动就是否有效，并根据优先级别确定所要采取的措施；d） 积累信息安全方而的经验。按照汁划的时间间隔（不超过一年）进行ISMS内部审核，内部审核的具体要求。根据控制措施有效性检査与内审检查的结果以及来自相关方的建议与反馈，由最高责任 者主持，每年对ISMS的有效性进行评审，其中包括信息安全范围、方针、目标及控制措施有 效性的评审。管理

18、者代表应组织有关部门按照信息安全风险评估管理程序的要求对风险处理后的 残余风险进行左期评审,以验证残余风险就是否达到可接受的水平，对以下方而变更情况应及 时进行风险评估：a）组织机构发生重大变更；b）信息处理技术发生重大变更;C）公司业务目标及流程发生重大变更；d） 发现信息资产面临重大威胁；e） 外部环境，如法律法规或信息安全标准发生重大变更。保持上述活动与措施的记录。以上活动的详细程序规立于以下文件中：“ 控制措施有效性的测量程序/ 信息安全职责权限划分对照表/ 信息安全风险评估後理程序“ 内部审核控制程序1、8、2内部审核内部信息安全审核主要指内部信息安全管理体系审核，其目的就是验证公司

19、信息安全管 理体系运行的符合性与有效性并不断改进与完善公司的信息安全管理体系。1、8、2、1组织审核a） 公司统一组织、管理内部信息安全审核工作，信息安全管理小组负责制泄内部审 核控制程序并贯彻执行；b） 管理者代表负责领导与策划内部审核工作，批准年度内审汁划与追加审核计划，批准 审核组成员，批准审核实施计划，审批年度内审报告；c） 信息安全管理小组负责对审核组长及成员提轻，编制年度审核计划与追加审核讣划, 报管理者代表批准后执行。d） 审核组长组织与管理内部审核工作，根据实际情况与重要性安排审核顺序实施审 核。e）审核员不应审核自己的工作。1、8、2、2实施审核a） 审核组长编制的审核汁划，

20、经管理者代表批准后，负责在实施审核前5天向被审核方 发出书而审核通知；b） 审核小组按内部审核控制程序实施审核；c） 审核员收集客观证据，通过分析整理做岀公正判断，填写内审不合格报告提交审 核组长，并请被审核部门经理在报告上签字认可。1、8、2、3审核报告审核组长应在完成全部审核后，按规泄格式编写内部管理体系审核报告提交信息安 全管理小组，经英审阅后报管理者代表，内部管理体系审核报告作为管理评审的输入证据。1、8、2、4纠正措施与跟踪验证a） 被审核部门经理制定纠正措施,填写在内审不合格报告中。b） 纠正措施完成后后，应将纠正措施完成情况填写到内审不合格报告相应栏内，然 后将内审不合格报告交到

21、审核组长。c） 审核组长视具体情况通知审核组复査,跟踪验证纠正措施实施情况，并将验证结果填 写在内审不合格报告中。1、8、2、5审核记录审核组长应收集所有内部信息安全审核中发生的讣划通知、内部审核检查表、记录、审 核报告、总结等原始资料，整理后由信息安全管理小组负责保管内审相关记录。1、8、3ISMS管理评审1、8、3、1 总则信息安全最高责任者为确认信息安全管理体系的适宜性、充分性与有效性，每年对信息 安全管理体系进行一次全而评审。该管理评审应包括对信息安全管理体系就是否需改进或变 更的评价，以及对信息安全方针与信息安全管理目标的评价。管理评审的结果应形成书而记 录，并至少保存3年，按照文件

22、控制程序的要求进行受控访问。1、8、3、2管理评审的输入在管理评审时，信息安全管理小组应组织相关部门提供以下资料，供信息安全管理最髙责 任者与各部门负责人进行评审：a） ISMS体系内、外部审核的结果；b） 相关方的反馈（投诉、抱怨、建议）；c） 可以用来改进ISMS业绩与有效性的新技术、产品或程序；d） 信息安全目标达成情况，纠正与预防措施的实施情况；e） 信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威胁；0 上次管理评审时决泄事项的实施情况；g） 可能影响信息安全管理体系变更的事项（标准、法律法规、相关方要求）；h） 对信息安全管理体系改善的建议；i） 有效性测量结果。1、8、

23、3、3管理评审的输岀信息安全管理最高责任者对以下事项做出必要的指示：a） 信息安全管理体系有效性的改善事项；b） 信息安全方针适宜性的评价；c） 必要时，对影响信息安全的控制流程进行变更，以应对包括以下变化的内外部事件对 信息安全体系的影响：/ 业务发展要求；“ 信息安全要求；/ 业务流程；法律法规要求;/ 风险水平/可接受风险水平。d）对资源的需求。以上内容的详细规左见管理评审控制程序。1、9改进1、9、1不符合与纠正措施发生不符合事项的责任部门在查明原因的基础上制左并实施相应的纠正措施，以消除不 符与的原因,防止不符合事项再次发生。信息安全管理小组负责制定纠正措施控制程序并组织问题发生部门

24、针对发现的不符 合现象分析原因、制定纠正措施，以消除不符合,并防止不符合的再次发生。对纠正措施的实施与验证规宦以下步骤：a） 识别不符合；b） 确泄不符合的原因；c） 评价确保不符合不再发生的措施要求；d） 确左与实施所需的纠正描施；e） 记录所采取措施的结果；0 评审所采取的纠正措施，将重大纠正措施提交管理评审讨论。1、9、2持续改进公司的持续改进就是信息安全管理体系得以持续保持其有效性的保证，公司在其信息管 理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及管理评审方而都要 持续改进信息安全管理体系的有效性。本公司开展以下活动，以确保ISMS的持续改进:a） 实施每年管理评审

25、、内部审核、安全检査等活动以确左需改进的项目；b） 按照内部审核管理程序、纠正措施管理程序的要求采取适当的纠正与预防措 施；c） 吸取英她组织及本公司安全事故的经验教训，不断改进安全措施的有效性；d） 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果；为了确保信息安全管理体系的持续有效，各级管理者应通过适当的手段保持在公司内部 对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信 息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如: 管理评审会议、内部审核报告、公司内文件体系、内部网络与邮件系统、法律法规评估报告 等。1、10信

26、息安全管理方针方针公司的信息安全管理方针：安全第一，预防为主;全员参与，综治风险；遵纪守法，提高绩效;成本可控，持续发展。对于信息安全方针的解释：a） 满足客户要求:满足顾客的要求就是企业运营的必然选择。b） 保障信息安全:信息安全就是企业管理的重中之重。c） 遵守法律法规:遵守法律法规就是企业生存之前提，满足法律法规及相关行业标准/ 技术规范的要求也就是本公司必须承担的社会责任。d）持续改进管理:控制风险就是前提，风险自身就是动态的过程。通过各种方式提升公司员 工的信息安全意识,提高公司的信息安全管理过程。本公司承诺提供一切可能的资源与先进的技术,保证信息的保密性、可用性与完整性，有 针对性

27、地采取一切必要的安全措施。使用有效的风险评估的工具与方法，严格控制风险事故 在可接受风险范用之内。制订周密可靠的应急方案并泄期进行演练，关键信息数据异地备份, 制订业务连续性计划，以确保业务的持续进行。为了满足适用法律法规及相关方要求，维持计算机系统集成及服务、计算机应用软件的 设计开发及服务活动的正常进行，本公司依据ISO/IEC27001:2013标准,建立信息安全管理体 系，以保证与公司经营管理相关信息的保密性、完整性、可用性与可追溯性，实现业务可持续 发展的目的。本公司将：a） 在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全保密 目标与控制措施,明确信息安全的管理职责；b） 识别并满足适用法律、法规与相关方信息安全要求；c） 定期进行信息安全风险评估,ISMS评审，采取纠正预防措施，保证体系的持续有效性;d） 采用先进有效的设施与技术，处理、传递、储存与保护各类信息，实现信息共享；e）对全体员工进行持续的信息安全教育与培训，不断增强员工的信息安全意识与能力;0 制泄并保持完善的业务连续性计划，实现可持续发展。上述方针的批准、发布及修订由公司信息安全最高责任者负责;通过培训、宣贯等方式 使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户，以提髙安