SWISMSA新编信息安全管理手册.docx

1、SWISMSA新编信息安全管理手册信息安全管理手册SW-ISMS-A-01Ver 发布日期2014年10月1日发布部门信息安全管理小组实施日期2014年10月1日版本变更履历变更人/变更日期审核人/审核日期批准人/批准日期初次发布蓝金桃/王楚标/颁布令为提高我公司的信息安全管理水平，保障公司业务活动的正常进行，防止由于信息安全事件（信息系统的中断、数据的丢失、敏感信息的泄密）导致的公司和客户的损失，我公司开展贯彻GB/T22080-2008idtISO27001:2005信息技术-安全技术-信息安全管理体系要求国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了佛山市三维计算机网

2、络有限公司信息安全管理手册。指导管理体系运行的公司信息安全管理体系手册经评审后，现予以批准发布。信息安全管理体系手册的发布，标志着我公司从现在起，必须按照信息安全管理体系标准的要求和公司信息安全管理体系手册所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供优质、安全的应用软件的开发和维护服务，以确立公司在社会上的良好信誉。信息安全管理体系手册是公司规范内部管理的指导性文件，也是全体员工在向顾客提供服务过程必须遵循的行动准则。信息安全管理体系手册一经发布，就是强制性文件，全体员工必须认真学习、切实执行。本手册自2014年10月15日正式实施。佛山市

3、三维计算机网络有限公司总经理：王楚标2014年 08月 19日授权书为贯彻执行ISO/IEC 27001:2005信息安全管理体系，加强对信息管理体系运行的领导，特授权 蓝金桃 女士为公司管理者代表。授权信息安全管理者代表有如下职责和权限：1） 确保按照标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；2） 负责与信息安全管理体系有关的协调和联络工作；3） 确保在整个组织内提高信息安全风险的意识；4） 审核风险评估报告、风险处理计划；5） 批准发布程序文件；6） 主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告；7） 向最高管理者报告信息安全管理体系的业绩和

4、改进要求，包括信息安全管理体系运行情况、内外部审核情况。本授权书自任命日起生效执行。佛山市三维计算机网络有限公司2014年 10 月 1日0 前言信息安全管理体系手册（以下简称本手册）依据ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求，参照ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则，结合本行业信息安全的特点编写。本手册对本公司信息安全管理体系作出了概括性描述，为建立、实施和保持信息安全管理体系提供框架。1 范围 总则为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系，确定信息安全方针和目标，对信息安全风险进行有效

5、管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。 应用 覆盖范围应用范围：本信息安全管理体系手册规定了信息安全管理体系涉及的开发和维护信息安全管理、职责管理、内部审核、管理评审和信息安全管理体系持续改进等方面内容。具体见条款规定。地址范围：深圳市福田区景田商报路奥林匹克大厦26楼B、C、D号 删减说明本信息安全管理体系手册采用了ISO/IEC27001:2005标准正文的全部内容，对附录A的删减及理由详见信息安全适用性声明SoA。2 规范性引用文件下列文件中的条款通过本信息安全管理体系手册的引用而成为本信息安全管理体系手册的条款。凡是标注日

6、期的引用文件，其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本信息安全管理体系手册，然而，信息安全管理小组应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理体系手册。ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则3 术语和定义 术语ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求、ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则规定的术语和定义以及下述定义适用于本信息安全管理体系手

7、册。本组织、本公司、我公司：指。 缩写ISMS：Information Security Management Systems 信息安全管理体系；SoA:：Statement of Applicability 适用性声明；PDCA:：Plan Do Check Action 计划、实施、检查、改进。4 信息安全管理体系 总要求 要求本公司在软件开发、经营、服务和日常管理活动中按ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求规定，参照ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则标准建立、实施、运行、监视、评审、保持和改进文件化的信息

8、安全管理体系。 PDCA模型信息安全管理体系使用的过程基于图1所示的PDCA模型。图1 信息安全管理体系PDCA模型 建立和管理信息安全管理体系 建立信息安全管理体系信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术确定了范围和边界：本公司信息安全管理体系的范围包括：a) 本公司涉及软件开发、营销、服务和日常管理的业务系统；b) 与所述信息系统有关的活动；c) 与所述信息系统有关的部门和所有员工；d) 所述活动、系统及支持性系统包含的全部信息资产。业务范围：桌面软、硬件运维服务；服务器硬件运维服务；网络设备运维服务的信息安全管理。物理范围：本公司根据组织的业务特征、

9、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为：佛山市禅城区江湾路三路28号广东（佛山）软件产业园A区10号楼首层103-105室安全边界详见附录B（规范性附录）办公场所平面图。ISMS的范围是：a) 计算机应用软件开发和维护、系统集成和后期维护；信息安全，IT资产服务外包，IT运维服务b) 本信息安全管理体系手册采用了ISO/IEC 27001:2005标准正文的全部内容，对附录A的删减及理由详见信息安全适用性声明；c) ISMS的边界 地理位置图 （详见附录7-公司外部环境、内部环境及网络图）信息安全管理体系的方针和目标 方

10、针为了满足适用法律法规及相关方要求，维持ISMS范围内的业务正常进行，实现业务可持续发展，本公司根据组织的业务特征、组织结构、地理位置、资产和技术确定了信息安全管理体系方针：信息安全，人人有责。 信息安全目标1. 客户针对信息安全事件的投诉每年不超过1次2. 重要信息设备丢失每年不超过1起3. 机密和绝密信息泄漏事件每年不超过1次4. 大规模病毒爆发每年不超过1次要求本公司信息安全管理体系方针符合以下要求：a) 为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b) 识别并满足适用法律、法规和相关方信息安全要求；c) 与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系

11、；d) 建立了风险评价的准则；e) 经总经理批准，并定期评审其适用性、充分性，必要时予以修订。 承诺为实现信息安全管理体系方针，本公司承诺：a) 在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目标和控制措施，明确信息安全的管理职责；b) 识别并满足适用法律、法规和相关方信息安全要求；c) 定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d) 采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e) 对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f) 制定并保持完善的业务连续性计划，实现

12、可持续发展。风险评估的方法信息安全管理小组制定信息安全风险管理程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。按信息安全风险评估执行信息安全风险管理程序进行，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。识别风险在已确定的信息安全管理体系范围内，本公司按信息安全风险管理程序对所有的资产和资产所有者进行了识别；对每一项资产按重置成本级别、保密性、完整性、可用性和资产价值及重要性级别进行了量化赋值，根据重要资产判断准则确定是否为重要资产，形成重要资产清单。同时根据信息安全风险管理程序识别对

13、这些资产的威胁、可能被威胁利用的脆弱性、现有的控制措施及现有控制措施的有效性，并通过对这些项目的赋值计算出在丧失保密性、完整性和可用性可能对重要资产造成的影响。分析和评价风险本公司按信息安全风险管理程序，采用人工分析法，分析和评价风险：a) 针对重要资产的自身价值、保密性、完整性和可用性、合规性和脆弱性严重程度，计算出风险发生的影响值；b) 针对每一项威胁发生频率、脆弱性被威胁利用的容易程度进行赋值，然后计算得出风险发生的可能性；c) 根据信息安全风险管理程序计算风险等级，从而得出风险等级；d) 根据信息安全风险管理程序及风险接受准则，判断风险为可接受或需要处理。识别和评价风险处理的选择信息安

14、全管理小组和相关部门根据风险评估的结果，形成信息安全风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a) 控制风险（采用适当的内部控制措施降低风险发生的可能性）；b) 接受风险（风险值不高或者处理的代价高于风险引起的损失，公司决定接受该风险/残余风险）；c) 避免风险（决定不进行引起风险的活动，从而避免风险）；d) 转移风险（通过购买保险、外包等方法把风险转移到外部机构）。 选择控制目标与控制措施信息安全管理小组根据相关法律法规要求、信息安全方针、业务发展要求及风险评估的结果，组织有关部门选择和

15、制定了信息安全目标，并将目标分解到有关部门（见信息安全适用性声明）：a) 信息安全控制目标获得总经理的批准。b) 控制目标及控制措施的选择原则来源于ISO/IEC 27001:2005附录A，具体控制措施参考ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则。c) 本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。剩余风险对风险处理后的剩余风险应形成信息安全剩余风险评估报告并得到公司管理者的批准。授权管理者对实施和运行信息安全管理体系进行授权。适用性声明信息安全管理小组编制信息安全适用性声明（SoA）。该声明包括以下方面的内容：a) 所选择控制目标与控制措

16、施的概要描述，以及选择的原因；b) 对ISO/IEC 27001:2005附录A中未选用的控制目标及控制措施理由的说明。 实施及运行信息安全管理体系 活动为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a) 形成信息安全风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b) 为实现已确定的安全目标、实施信息安全风险处理计划，明确各岗位的信息安全职责；c) 实施所选择的控制措施，以实现控制目标的要求；d) 确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；e) 进行信息安全培训，提高全员信息

17、安全意识和能力；f) 对信息安全体系的运行进行管理；g) 对信息安全所需资源进行管理；h) 实施控制程序，对信息安全事故（或征兆）进行迅速反应。信息安全组织机构本公司成立信息安全领导机构信息安全管理小组，其职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定信息安全工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为信息安全工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司的信息安全职能由信息安全管理小组承担，其主要职责是：负责制订、落实信息安全工作计划，对单位、部门信息安全工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续

18、运行。本公司采取相关部门代表组成的协调会的方式，进行信息安全协调和协作，以：a) 确保安全活动的执行符合信息安全方针；b) 确定怎样处理不符合；c) 批准信息安全的方法和过程，如风险评估、信息分类；d) 识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e) 评估信息安全控制措施实施的充分性和协调性；f) 有效的推动组织内信息安全教育、培训和意识；g) 评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。 信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定信息安全管理者代表,无论信息安全管理者代表其他方面的职责如何，对信息安全负有以下职责：

19、a) 建立并实施信息安全管理体系必要的程序并维持其有效运行；b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全管理小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务。各部门、人员有关信息安全职责分配见附录3（规范性附录）职责权限和相应的程序文件（管理标准）、规定及岗位说明书。控制措施各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括信息安全运行的各种管理标准、规章制度）的要求实施信息安全控制措施。 监督与评审信息安全管理体系 活动本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查

20、等控制措施并报告结果以实现：a) 及时发现处理结果中的错误、信息安全管理体系的事故和隐患；b) 及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c) 使管理者确认人工或自动执行的安全活动达到预期的结果；d) 使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e) 积累信息安全方面的经验。 管理评审根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全管理体系的范围、方针、目标的符合性及控制措施有效性的评审，考虑信息安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求

21、，见本手册第7章。 检查和测量在管理标准中，对安全措施的实施规定了检查和测量的要求。同时，信息安全管理小组应定期的进行信息安全检查和信息安全技术监督，通过对安全措施的实施检查和信息安全技术监督，保证安全措施得到满足。风险再评估信息安全管理小组组织有关部门按照信息安全风险管理程序的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a) 组织；b) 技术；c) 业务目标和过程；d) 已识别的威胁；e) 实施控制的有效性；f) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 内部审核按照计划的时间间隔进行信息安

22、全管理体系内部审核，内部审核的具体要求，见本手册第6章。6 更新计划考虑监视和评审活动的发现，更新信息安全计划。7 记录记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。 保持与持续改进信息安全管理体系我公司开展以下活动，以确保信息安全管理体系的持续改进：a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目；b) 按照本手册第6章和第8章的要求采取适当的纠正和预防措施；吸取其他组织及本公司安全事故的经验教训，不断改进安全措施的有效性；c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及

23、识别顾客对信息安全的要求等；d) 对信息安全目标及分解进行适当的管理，确保改进达到预期的效果。 文件要求 总则本公司信息安全管理体系文件包括：a) 文件化的信息安全方针，在信息安全管理体系手册中描述,选择的控制目标在信息安全适用性声明SoA中描述；b) 信息安全管理体系手册（本手册，包括信息安全适用范围及引用的标准）；c) ISO/IEC 27001:2005标准中规定需文件化的程序；d) 本手册涉及的相关支持性程序性文件，例如信息安全风险管理程序；e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序；f) 风险处理计划以及信息安全管理体系要求的记录类；g) 相关的法律、法规和信

24、息安全标准；h) 信息安全适用性声明SoA。 文件控制要求信息安全管理小组按文件控制程序的要求，对信息安全管理体系所要求的文件进行管理。对信息安全管理体系手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施控制，以确保在使用场所能够及时获得适用文件的有效版本。 文件控制信息安全管理小组制定并实施文件和资料管理程序，人事行政部对信息安全管理体系所要求的文件进行管理。对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、

25、标识、发放、使用、修订、作废、回收等管理工作做出规定，以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证：a) 文件发布前得到批准，以确保文件是充分的；b) 必要时对文件进行评审、更新并再次批准；c) 确保文件的更改和现行修订状态得到识别；d) 确保在使用时，可获得相关文件的最新版本；e) 确保文件保持清晰、易于识别；f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；g) 确保外来文件得到识别；h) 确保文件的分发得到控制；i) 防止作废文件的非预期使用；j) 若因任何目的需保留作废文件时，应对其进行适当的标识。外来文件管理外来文件包括信息安全

26、法律、行政法规、部门规章、地方法规，按以下规定执行：a) 信息安全适用的法律法规按照信息安全法律法规管理程序规定执行；b) 外来的文件按照文件控制程序和其他相关规定执行；c) 外来标准按本公司标准化管理的相关规定进行。 记录控制 要求信息安全管理体系所要求的记录是信息安全管理体系符合标准要求和有效运行的证据。职责信息安全管理小组按记录控制程序的要求，对记录的标识、储存、保护、检索、保管、废弃等进行管理。记录信息安全管理的记录应包括本手册第条中所列出的所有过程的结果及与信息安全管理体系相关的安全事故的记录。 分类信息安全管理体系的记录按出处可分为以下四类：a) 程序文件所要求的记录；b) 工作标

27、准和作业文件所要求的记录；c) 规章制度、规定所要求的记录；d) 其他证实信息安全管理体系符合标准要求和有效运行的记录。 形式信息安全管理记录可以是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式，可以是书面的或电子媒体的。归档需要归档的记录，按记录控制程序执行，属于电子数据的记录，按重要信息备份管理程序执行。5 管理职责 管理承诺我公司管理者通过以下活动，对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据：a) 建立信息安全方针；b) 确保信息安全目标和计划得以制定（见信息安全适用性声明SoA、风险处理计划及相关记录）；c) 建立信息安全的角色和职责(见本手

28、册附录3（规范性附录）职责权限和相应的管理程序；d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；e) 提供充分的资源，以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第章)；f) 决定接受风险的准则和风险的可接受等级(见信息安全风险管理程序及相关记录)；g) 确保内部信息安全管理体系审核（见本手册第6章）得以实施；h) 实施信息安全管理体系管理评审（见本手册第7章）。 资源管理 资源的提供本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工是有能力胜任的，以保证：a) 建立、实施、运作、监视、

29、评审、保持和改进信息安全管理体系；b) 确保信息安全程序支持业务要求；c) 识别并指出法律法规要求和合同安全责任；d) 通过正确应用所实施的所有控制来保持充分的安全；e) 必要时，进行评审，并对评审的结果采取适当措施；f) 需要时，改进信息安全管理体系的有效性。 培训、意识和能力信息安全管理小组制定并实施员工培训管理程序文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：a) 确定承担信息安全管理体系各工作岗位的职工所必要的能力；b) 提供职业技术教育和技能培训或采取其他的措施来满足这些需求；c) 评价所采取措施的有效性；d) 保留教育、培训、技能、经验

30、和资格的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。6 内部信息安全管理体系审核 总则 要求本公司信息安全管理小组按内部审核管理程序的要求策划和实施信息安全管理体系内部审核以及报告结果和保持记录。 活动本公司每年进行一次信息安全管理体系内部审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否：a) 符合本标准的要求和相关法律法规的要求；b) 符合已识别的信息安全要求；c) 得到有效地实施和维护；d) 按预期执行。 内审策划信息安全管理小组策划审核的过程、区域的状况、重要性以及以往审核的结果，对审核工作进行策划。