信息安全管理方针手册.docx

1、信息安全管理方针手册卷号卷内编号密级内部公开XXXX集团2008信息安全管理方针手册version：1.0编制人： 日期: 审核人: 日期： 批准人： 日期： 受控状态： 修订文档历史记录日期版本说明作者2008-4-181.0创建XXX一、编制说明1前言XXXX（集团）有限公司（以下简称XXXX）是以软件技术和服务为核心，从事XX业务服务、系统集成、数据处理等多个信息技术业务领域的股份公司。随着公司XX业务服务业务的不断发展，客户对信息安全的要求也日趋严格与系统化，而随着信息技术革命和经济全球化的发展，企业间的竞争已经转为技术和信息的竞争。随着公司业务的快速增长、IT规模的不断扩大以及客户要

2、求的不断提升，公司业务是否能高效的运作、核心客户群的维持已经越来越依赖于我们是否有稳定、安全的信息系统，以保护公司和客户的知识资产。鉴于信息安全在公司运营管理中越来越重要的地位，公司高层领导不断要求要高度重视信息安全管理和控制工作，加大信息安全投资和人力资源配置。为此，公司成立了信息安全管理委员会以及信息安全管理工作小组，负责在公司全范围建立有效的信息安全管理体系，以确保信息安全机制有效运行。信息安全管理方针手册作为公司信息安全方面的最高层文件，是公司各项信息安全工作开展的依据，各部门应该严格遵照执行，并可根据本文件规定制定或修订本部门的相关管理规定。2目的本方针手册明确公司在信息安全工作方面

3、的总体要求，指导各项信息安全工作的开展，包括：为建立信息及信息处理设施管理程序、作业规程提供指南；为处理各类信息安全事件提供指南，以预防及降低安全事件所造成的损失；教育公司员工，让其了解公司信息资产的保密性、完整性和可用性及其相关的保护方法。3适用范围本适用性声明书适用于XX集团及其所有公司。4引用文件4.1 ISO27001：2005 信息技术 安全技术 - 信息安全管理体系 规范4.2 ISO17799：2005 信息技术 安全技术 信息安全管理体系实施细则5手册控制5.1手册编制与批准5.1.1 信息安全方针手册由集团信息中心负责信息安全管理人员编制。5.1.2 信息安全管理委员会成员负

4、责对信息安全方针手册的内容进行审查，最终由信息安全管理委员会主任批准。5.2发行版本5.2.1信息安全方针手册的版本状态分别在封面和每一页中给出，按阿拉伯数字1.0、1.2、2.0顺序依次递增。5.2.2 信息安全方针手册每章节的修订状况通过“本节修订”标识，在手册内容的每一页上标识其所在章节的“本节修订”。当修改某章节时，更新一次该章节的“本节修订”，“本节修订”按阿拉伯数字顺序递增。5.2.3 信息安全方针手册发布满三年或全部章节均已发生修改时，将重新发布手册，并更改手册的版本编号。5.3发放控制5.3.1 发出的信息安全方针手册分为“受控”和“非受控”两种。5.3.2 受控信息安全方针手

5、册由信息中心按公司信息安全体系文件控制程序的规定进行发放控制。5.3.3 非受控信息安全方针手册经信息安全管理者代表批准后，由行政部门统一发放，手册修改时，将不再对其进行跟踪控制。5.3.4 信息安全方针手册的有效正本由信息安全办公室委托行政办公室负责保管。5.4手册修改5.4.1当信息安全方针手册需要修改时，必须经信息安全管理委员会审查，并由信息管理委员会主任批准。5.4.2 每次手册的修改都必须在“信息安全手册修改记录”列明该次修改原因或内容摘要、日期及标志。5.5 定期审核5.5.1 公司通过定期的管理评审和内部信息安全审核，对信息安全方针进行审核，确保信息安全方针的充分性和完整性。二、

6、信息安全术语1前言本章节对与信息安全管理体系相关的术语进行定义，以避免在使用过程中由于定义混淆造成对管理要求的误解。2信息安全术语2.1 信息(Information):信息是一种具有价值、需要进行恰当保护的资产，信息以多种方式呈现，如以印刷品、手写稿或电子方式等保存，以邮件、电子邮件、投影方式等进行传递。2.2 敏感信息(Sensitive Information): 需要某种等级保护的信息，由于有意或无意的泄密、修改或破坏，可能对公司业务运作造成很大损失或危害2.3 计算机信息系统 (Computer Information System):是指由计算机及其相关和配套的设备、设施（含网络）

7、构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统2.4 信息安全(Information Security):为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制。信息安全包括所以下三个基本要素：1） 保密性 使信息不泄露给非授权的个人、实体或过程,不为其所用。2） 完整性 确保信息及其信息系统免遭破坏及篡改，即系统中的信息与原文档相同，信息处理设施能正常运作。3） 可用性 - 被授权实体所需的资源可被访问与使用，即攻击者不能占用相关资源而阻碍授权者的工作。2.5 拒绝服务（Denial of Service）: 妨碍信息访问或延迟操作时间。2.6

8、 威胁（Threat）:导致发生某一非期望事件的可能性，此类事件的发生可能对某一信息、信息系统及组织造成损害。威胁来源有三类：来自自然的威胁、人为的威胁以及意外事件产生的威胁。2.7 脆弱性（vulnerability）:某一项或一组资产的弱点、薄弱性，并容易被威胁利用。脆弱性本身不会引起损害，只是一种条件或一组条件，在条件下，被威胁利用后对组织资产造成损害。2.8 风险（risk）: 威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能波及整个组织。2.9 风险评估（risk assessment）：识别信息及信息系统威胁与脆弱性发生的可能性，分析对资产造成的影响

9、，以决定风险程度的过程，是风险管理的一部分。2.10 风险管理（risk management）: 根据风险评估结果，对组织不可接受的风险，以合理的成本、采取合理的安全控制措施将风险控制在可以接受的水平内，达成控制措施与风险的平衡。三、信息安全方针声明XXXX（集团）有限公司，作为以软件技术与服务为核心的信息技术企业，已充分意识到到信息安全对公司发展及顾客信心的影响，公司管理层决定针对与公司业务运作、顾客和法规要求相关的重要资产建立信息安全管理体系，以向公司顾客、股东、合作伙伴及社会提供充分的信息安全信心。 为此，我们对公司的信息安全管理作出以下声明：1）系统策划，全面控制 - 系统地识别并评

10、估公司信息资产所面临的风险，并确定风险可接受的程序，针对风险选择并实施相应的控制措施，通过风险管理，降低发生安全事件的可能性。2）信息安全，人人有责 - 确保公司信息安全，是每个员工的义务和职责，只有每个员工自觉遵守并执行信息安全管理方针、程序、规程以及各类法规要求，才能保证公司信息安全总体目标的实现。3）灾难预防，永续经营 为保证公司业务持续经营，在各个层面建立业务连续性计划，确保在面临各类可能发生的灾难时，公司业务能够迅速恢复。4）检查测量，持续改进 持续监视和测量信息安全管理体系，从安全事件中吸取教训，并不断吸收业界优秀标准，不断改善公司信息安全管理体系绩效。四、管理组织与职责1.总则1

11、.1 公司建立网络化的信息安全架构，该架构包括：1） 建立由各业务部门管理者组成的信息安全管理委员会，确保对信息安全有明确的措施并得到管理层的支持。2） 由信息中心专职负责信息安全的IT管理，确保公司日常信息安全事务由专门的部门负责管理。3） 建立由各业务部门人员组成的信息安全工作组，确保各部门内部的日常信息安全事务由相关的信息安全管理组长或信息安全管理员负责处理。4） 对各个业务管理部门在日常工作中需要负责的信息安全管理活动进行明确规定，确保公司各级人员了解各自岗位的信息安全职责。2.信息安全职责2.1信息安全管理委员会2.1.1 公司信息安全管理委员会由公司总经理、各业务部门分管副总组成。

12、信息安全管理委员会主要职责包括：a)建立并批准信息安全方针b)提出信息安全要求和批准信息安全战略规划c)明确并批准信息安全管理相关职责d)就整个XXXX集团的信息安全活动达成一致并提供支持e)在整个组织中增加对信息安全工作的支持力度f)对紧急重大安全事故进行响应决策2.1.2 信息安全管理委员会主任由公司总经理兼任，其主要职责参见 2.5。2.2信息安全协调组2.2.1 公司信息安全协调组由各部门第一负责人兼任，主要职责包括：a)参与信息安全风险评估，研讨并审查风险处置计划b)参加定期的信息安全管理协调会，并提出改进建议c)参与信息安全体系文件编写，并审查信息安全管理体系文件d)参与拟订公司信

13、息安全管理目标与指标e)参与重大安全事件处理f)参与公司信息安全管理评审2.3信息安全工作小组2.3.1 信息安全工作小组主要由各部门兼职的信息安全员组成，主要职责包括：a)负责本部门信息资产清点及资产清单维护b)负责对本部门信息安全风险进行评估，并提出初步的处置计划c)负责参加信息安全管理体系文件编写与修订d)负责本部门信息安全管理目标与指标的执行与评价e)在信息安全经理的组织下，对各部门日常的信息安全管理状况进行抽查f)负责对部门信息安全管理过程中的问题提出并执行纠正与预防措施g)负责配合行政部完成本部门资产的管理工作：申购、领用、发放、报修、借用、报废、账目登记等h)部门资产使用情况发生

14、变化及时报集团资产管理员，确保部门资产现状与行政部账目相符2.4信息安全审计小组2.4.1 信息安全审计小组主要由公司项目推进部核心员工组成，主要职责包括：a)负责制定信息安全审计计划b)负责向全公司宣传信息安全管理的重要性，以提高全体员工信息安全意识c)负责定期执行公司信息安全检查活动d)负责编写纠正与预防措施报告，跟踪不符合性问题的整改e)负责向信息安全管理委员会成员报告公司信息安全现状f)负责组织对信息安全目标与指标相关数据的收集g)负责收集并对信息安全体系文件提出改进意见，促进过程改进2.5信息安全管理委员会主任2.5.1 公司信息安全管理委员会主任由公司总经理兼任，主要职责包括：a)

15、批准XXXX集团信息安全管理相关职责。b)在整个XXXX集团增加对信息安全工作的支持力度。c)审查批准XXXX集团风险评估方法、风险评估结果及风险处置计划。d)审查XXXX集团应急预案。e)进行定期的信息安全管理体系评审，审查信息安全管理体系管理评审输出报告。f)负责XXXX集团重大安全事件处理。g)批准信息安全管理体系内部审核报告。h)批准残余风险的确认。i)批准就信息安全问题采取的纠正和预防措施报告。j)批准XXXX集团网络维护人员、应用系统特权访问权限。2.6信息安全经理2.6.1公司信息安全经理主要由信息中心主任兼职，主要职责包括：a)负责组织制订并审核信息安全方针手册b)负责组织制订

16、并审核信息安全管理程序、规范文件c)负责向全公司宣传信息安全管理的重要性，以提高全体员工信息安全意识d)负责组织拟订并审查公司信息安全管理目标及指标e)负责组织定期的信息安全管理协调会议，并报告信息安全管理现状f)负责组织信息安全风险评估，审核风险评估报告及风险处置计划，并提交信息安全管理委员会审批。g)负责组织信息安全管理体系审核，并批准信息安全审核计划及报告h)负责组织对信息安全目标与指标的测量评价i)负责批准纠正与预防措施报告，并组织对信息安全管理有效性分析与评价j)负责组织日常的信息安全监督检查活动k)负责批准启用各类信息处理设备及软件。l)负责批准IT特权访问权限。m)负责对重大安全

17、事件提出处理建议。n)负责组织定期管理评审，向信息安全管理委员会报告信息管理体系状况。o)负责组织制定公司业务连续性计划，并提交信息安全管理委员会审批。p)就信息安全事务与外部机构联络2.7信息中心2.7.1 公司IT管理中心设在信息中心，信息中心在信息安全管理方面的主要职责包括：a)负责公司总体的IT系统规划b)负责公司内部网络系统管理c)负责公司互联网服务提供及管理d)负责公司统一的用户访问管理e)负责公司信息处理设施管理f)负责公司电话通信系统管理g)负责对开发部门人员的门禁系统权限进行授权操作h)负责对全公司计算机进行病毒防护i)负责根据用户访问权限审批结果，对员工进行网络访问授权处理

18、j)负责组织公司各部门进行全面的信息安全评估k)负责组织公司各部门建立信息安全管理程序及相关作业规程l)负责组织公司各部门收集与信息安全管理相关法律和法规，并汇总与公司业务相关的信息安全法律与法规要求m)负责信息安全管理体系相关记录的保管n)负责在全公司范围推进信息安全管理体系o)负责组织全公司对信息安全管理体系进行定期审核p)负责对电信运营商、软件提供商、网络服务提供商进行选择、沟通及必要的管理控制q)负责处理公司重大的信息安全事件2.8行政部2.8.1 行政部在信息安全方面的主要职责包括：a) 负责本部门信息资产清点b) 负责在信息中心组织下，参与风险评估c) 负责在信息安全委员会主任领导

19、下，对公司总体的物理安全进行统一规划d) 负责公司内部日常保安服务提供e) 负责公司供电系统、消防系统、空调系统、照明系统日常及定期维护管理f) 负责公司清洁服务提供g) 负责对公司电梯及其他设备维护的供应商进行选择及控制管理。h) 负责公司软件资产管理i) 负责公司重要档案的归类整理2.9人事部门2.9.1 人事部门在信息安全管理方面的职责包括：a) 负责本部门信息资产清点b) 负责在信息中心组织下，参与风险评估c) 负责确定公司在信息安全方面的关键岗位d) 负责在员工招聘过程中，对信息安全关键岗位的员工进行必要的筛选e) 负责向全体员工提供信息安全管理意识培训f) 负责建立并实施公司绩效管

20、理系统，在绩效管理系统中融合信息安全管理绩效评估。2.10 项目推进部2.10.1 项目推进部在信息安全管理方面的主要职责包括：a) 负责本部门信息资产清点b) 负责在信息中心组织下，参与风险评估c) 负责参与信息安全管理体系建立d) 负责与信息中心共同将信息安全管理体系要求融合进入公司目前的综合管理体系e) 对综合管理体系文件进行控制f) 对公司重要开发和项目档案进行归档管理。2.11 财务部2.11.1 财务部在信息安全管理方面的职责包括：a) 负责本部门信息资产清点b) 负责在信息中心组织下，参与风险评估c) 负责按照信息资产分类及处理要求，对财务部相关的信息进行分类，并按照保密级别要求

21、，对财务部敏感信息进行保管及处理。2.12 核心业务部门2.12.1 核心业务部在信息安全管理方面的职责包括：a) 对本部门产生、保管及使用的各类信息资产负最终责任。b) 负责本部门资产清点及资产清单定期更新。c) 负责参与与核心业务相关的风险评估e) 负责参与信息安全管理策略、流程程序及规范的制订f) 负责定期对本部门信息安全状况进行定期检查h) 负责对本部门的员工进行信息安全技能培训i) 负责处理本部门一般安全事件j) 负责向业务范围内信息安全办公室报告重大安全事件k) 负责对本部门信息处理设施管理l) 负责登记并管理本部门使用的各类媒介五、信息安全管理体系1信息安全管理体系范围1.1 X

22、XXX信息安全管理体系适用范围包括：业务范围 ：XX业务项目及业务流程服务外包项目的信息安全管理体系相关部门： 集团管理层、信息安全委员会、人事行政部、财务部、信息中心、项目推进部、华日子公司、恒领子公司等。2信息安全管理体系模型2.1 XXXX信息安全管理体系的建立、应用和维护遵循ISO27001:2005推荐的PDCA的过程模型，即通过策划(Plan)、执行(Do)、控制(Control)和改进(Act)来建立和不断改进公司的信息安全管理体系。策划的目的是建立公司的信息管理体系；执行的目的是将信息安全管理体系加以落实；控制的目的是保证执行的有效性；改进的目的是不断地完善信息安全管理体系。下

23、图为公司信息安全管理体系过程模型示意图：信息安全管理体系过程 2.2 XXXX信息安全管理体系的建立基于业务信息安全的需求和目标，并通过风险评估与管理，保证公司信息安全处于可控的状态。公司信息安全管理体系PDCA过程模型各个阶段的核心任务如下：1） 策划 - 公司将信息安全体系建设工作作为每年年度规划项目之一，由信息安全管理委员会、信息安全工作小组具体负责对企业信息安全风险状况进行评估，并依据评估的结果确定公司信息安全体系建设与改善的范围、信息安全目标和策略，其中包括风险控制的目标。2） 执行 信息安全工作小组根据公司信息安全策划阶段的风险评估结果和其它相关输出，制定风险管理计划并控制风险管理

24、计划的有效执行。3） 控制 信息安全工作小组对公司信息管理体系的绩效、安全事件发生状况和残余风险状态进行周期性地、系统化评估并向信息安全管理委员会和其它相关部门报告评估结果；信息安全工作小组定期在企业范围内对信息安全管理体系的符合性进行审核并向信息安全委员会和其它相关部门报告审核结果；信息安全管理委员会定期和对公司信息安全管理体系建立和执行状况进行评审。4） 改进 信息安全工作小组负责解决对所有评估、审核或管理评审识别的问题，并从预防这些问题再次发生的角度，改善信息安全管理体系。3信息安全管理体系文件要求3.1信息安全管理体系文件结构3.1.1公司信息安全管理体系文件将与公司现有的ISO900

25、0质量管理体系文件、CMM管理体系文件进行整合，整合后的信息安全管理体系文件结构如下：3.1.2公司信息安全体系文件从结构上分为以下三层：1） 第一层是信息安全方针文件，包括信息安全策略大纲以及信息安全管理目标。信息安全管理方针与目标是信息安全管理的纲要以及信息安全管理体系效能的最终表现结果，所有下层文件都以此为基础进行展开和细化。2） 第二层是信息安全管理体系的核心文件，即风险管理计划。风险管理计划是风险评估的输出文件，通过风险管理计划的执行，最终实现信息安全管理方针与目标。风险管理计划为公司建立信息安全管理体系所需要的程序、指引及规范提供了明确的指引。3） 第三层是是信息安全管理程序及规范

26、，它们是信息安全方针实施的具体化，也是风险管理计划中控制措施的一部分。信息安全管理程序是管理性要求，通常适用于全公司各部门的信息安全管理，为保证信息安全管理体系的特点，并考虑与其他管理体系要求已有管理程序（例如ISO9000质量管理程序、CMM管理程序）进行整合，信息安全管理程序包括信息安全管理体系独有的管理程序以及与其他管理体系整合的管理程序。信息安全管理规范是技术性要求，主要包括信息安全控制措施所涉及到的信息安全技术规范。4） 第四层是是信息安全工作程序、作业指引及表单模版。信息安全工作程序是信息安全管理程序的支持性文件，可以是针对各部门内部特殊的信息安全管理活动而建立，也可以是支持信息安

27、全管理程序的详细工作程序。作业指引主要针对各类信息及信息处理设施的操作和运行所建立的正确规范的作业方法。表单模版则是信息安全管理程序及工作程序的支持性文件，用以记录各类信息安全管理活动的过程和结果。3.2 信息安全管理体系文件控制3.2.1信息安全管理体系文件控制按照公司信息安全管理体系文件控制程序进行管理。3.3 信息安全管理体系记录管理3.3.1 信息安全管理体系记录控制按照公司公司记录与档案管理程序进行管理。六、管理职责1总则XXXX高层领导充分意识到高层管理重视并身先事卒是信息安全管理体系有效运行的基础，因此，XXXX将通过高层领导发动体系范围内全体员工重视信息安全，通过建立信息安全方

28、针声明、系统地进行风险识别、评估及处置管理、全面的意识和技能培训来实现信息安全管理方针与目标。XXXX高层管理者将首先向员工展示正确的行为，使所有员工意识到信息安全的有效控制来自于遵守良好的信息安全行为规范、符合程序和规范要求并自觉遵守各自的义务和责任。2管理承诺2.1 XXXX高层领导明确规定公司信息安全管理的总体方向，向客户及相关方就公司主营业务信息安全管理目标做出正式承诺。2.2 XXXX信息安全管理委员会将对风险评估方法与准则、风险评估结果、风险处置计划及残余风险进行审查与批准，全面了解公司主营业务信息安全风险评估与处置要求以及所面临的各类信息安全业务风险，并在满足公司主营业务需求的基

29、础上，对风险处置做出最终决策。2.3 XXXX信息安全管理委员会在风险评估基础上，将定义公司主营业务详细的信息安全方针、阶段性目标及量化的信息安全指标，并通过管理评审，了解目标和指标的实现状况，评价信息安全管理体系有效性、适宜性和充分性。2.4 为保证信息安全管理体系有效运行，XXXX信息安全管理委员会将为公司主营业务提供全面的支持，包括：人力资源和物力资源的支持。3资源管理3.1 XXXX信息安全管理委员会将为建立、实施与维护信息安全管理体系识别并提供充分的资源，包括：1）为信息安全管理提供充分的人力资源和组织，包括：明确公司主营业务以及与其相关业务部门的信息安全管理职能，建立信息安全工作组

30、，以协调和组织信息安全管理的具体工作；2）将信息安全预算作为年度预算计划的一部分，有计划地为信息安全管理提供成本投入的支持；3）全面了解在信息安全管理方面的最新技术与信息，并有计划地应用到信息安全管理业务中。4. 培训、意识与能力4.1 XXXX信息安全管理委员会将通过人力资源部实施以下行动，以确保信息安全管理体系范围内所有员工具备相应的能力完成其岗位工作： 1）根据岗位需求，定义各个岗位员工在信息安全方面需要的基本意识与技能 2）根据所定义的意识和技能要求，提供相应的培训 3）通过定期的绩效考核，评价员工工作能力以及培训效果 4）记录并维护员工教育、培训、技能、经验和资格记录。七、信息安全管理体系评价与改进1总则公司对整个信息安全管理体系和过程进行系统的监视、检查和测量，以确保信息安全管理体系有效执行及持续改进。2信息安全活动及过程监视与检查2.1 公司将制订正式的程序，明确规定对信息安全过程及过程的监视要求，需要考虑的监视内容包括：1） 应用必要的监控手段对于攻击类行为进行实时监控和报警，其它违规行为视情况实时、每周或每月定期检查；2） 对网络上关键的信息流进行检查与监控，对异常情况及时输出