《(2020)(安全生产)信息安全管理系列课程案例练习册(XXXX0406)》由会员分享,可在线阅读,更多相关《(2020)(安全生产)信息安全管理系列课程案例练习册(XXXX0406)(34页珍藏版)》请在金锄头文库上搜索。
1、 案例练习册信息安全管理系列课程案例练习姓名: 于全河 学号: GS1221961 成绩: 评阅教师签名: 2013年4月目 录第一部分 案例31A公司介绍32A公司ISMS文件41目的52范围63适用性声明61.目的192.适用范围193.风险评估的实施频率及评审194.风险评估方法195.风险评估流程206.相关文件221目的和适用范围222职责233定义233.1信息安全事件233.2信息安全事故234工作程序234.1报告234.2处理234.3改进245相关记录24第二部分 练习281练习一:风险评估282练习二:编制检查表291练习三:判断不符合项30第一部分 案例1 A公司介绍位
2、于北京上地信息产业园区的A数据科技有限公司成立于2000年8月,总投资5000万元人民币。公司主要业务是为行业用户提供数据加工服务,包括:l 大批量纸介质数据的电子化l 加工制作数字化报刊和电子图书l 大批量电子数据的格式转换l 定制开发电子数据阅读器A公司凭借自主知识产权的OCR、数据格式化等核心技术,已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。公司现有员工1200人,设有7个职能部门,实行董事会领导的总经理负责制。各职能部门主要职责如下:1) 生产部:按照客户要求,负责数据加工生产,是公司核心业务部门。2) 质量保证部:
3、负责数据加工生产过程中的品质保证,ISO9001质量管理体系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的运行。3) IT部:负责研发生产部所需的数据加工工具,为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。4) 市场营销部:制定和实施营销策略,开发客户,实现销售。5) 财务部:财务计划的制定和实施,日常结算、税务等会计业务。6) 行政部:负责公司后勤保障和日常运行事务。7) 人力资源部:制定和实施人力资源计划,包括人员招聘、绩效考核、岗位职责定义。2 A公司ISMS文件部分A公司ISMS文件如下。2.1 ISMS方针信息安全管理体系方针1 目
4、的和适用范围信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。此外,本文件还描述了公司的信息安全管理体系的范围。本文件适用于公司信息安全管理体系涉及的所有人员和过程。2 信息安全定义公司对信息安全的定义是:保证公司业务所依赖的信息和信息系统的保密性,完整性,可用性;3 信息安全方针和目标公司信息安全方针为:积极预防、及时发现、快速响应、确保安全。公司的信息安全目标是:满足已识别的信息安全要求,包括法律法规、客户与相关方和公司业务要求,具体目标包括: 商业秘密信息泄漏事故为零。 引起公司主要产品研发与生产中断时间累计不能超过1小时/年。 引起公司
5、主要产品研发与生产中断事故发生次数小于3次/年。4 信息安全管理机构为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立信息安全领导小组,负责: 制定信息安全方针和目标; 建立公司信息安全角色和职责 提供公司ISMS所需要的资源; 领导建立和实施公司ISMS; 监督和检查公司信息安全工作; 制定和实施信息安全工作的奖惩政策。5 职责公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其合约供货商必须按照相应的程序,维护此方针,所有员工有责任报告信息安全事件,以及识别信息安全风险。6 重要原则和符合性要求公司所有员
6、工应明确,在信息安全方面满足以下原则和符合以下要求是必须的:1) 法律法规和合同要求的符合性2) 信息安全安全意识3) 遵守公司所有信息安全策略和操作规程7 评审本文件需要定期被评审,12个月内评审一次,当信息安全管理体系发生重大变化时,也应评审,以维持其适用性。信息安全领导小组负责本文件的评审。8 实施 本方针自2006年5月15日由公司总经理签署并颁布实施。 2.2 适用声明(SOA)适用性声明 1 目的为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。2 范围本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。3 适用性声明条款目标控制措施是否选择/及
7、理由A.5 安全方针A.5.1 信息安全方针A.5.1.1信息安全方针文件依据业务要求和相关法律法规提供管理指导并支持信息安全。信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。选择信息安全工作要求所确定,见信息安全管理体系方针。A.5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。选择信息安全工作要求所确定,见信息安全管理体系方针。A.6信息安全组织A.6.1内部组织A.6.1.1 信息安全的管理承诺在组织内管理信息安全。管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织
8、内的安全。选择?A.6.1.2信息安全协调信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。选择,风险评估结果所确定,见信息安全管理体系方针。A.6.1.3信息安全职责的分配所有的信息安全职责应予以清晰地定义。选择,?,见信息安全岗位职责描述。A.6.1.4信息处理设施的授权过程新信息处理设施应定义和实施一个管理授权过程。选择,(写进信息安全策略)A.6.1.5保密性协议应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。选择,满足客户合同和公司的要求,见保密制度。A.6.1.6与政府部门的联系应保持与政府相关部门的适当联系。选择,?,见对外联络表。A.6.1
9、.7与特定权益团体的联系应保持与特定权益团体、其他安全专家组和专业协会的适当联系。选择,获取行业信息,见对外联络表。A.6.1.8信息安全的独立评审组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。选择,根据业务需要适时进行安全机构的第三方独立评审,见信息安全策略。A.6.2外部各方A.6.2.1 与外部各方相关风险的识别保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控
10、制措施。选择,见信息安全策略。A.6.2.2 处理与顾客有关的安全问题应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。选择,见信息安全策略。A.6.2.3处理第三方协议中的安全问题涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。选择,见信息安全策略。A.7资产管理A.7.1资产责任实现和保持对组织资产的适当保护。A.7.1.1资产清单应清晰的识别所有资产,编制并维护所有重要资产的清单。选择,见重要信息资产清单。A.7.1.2资产责任人与信息处理设施有关的所有信息和资产应由组织的指定部门或人员
11、承担责任0F 解释:术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。选择,见重要信息资产清单。A.7.1.3资产的允许使用与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。选择,见管理手册。A.7.2信息分类A.7.2.1 分类指南确保信息受到适当级别的保护。信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。选择,见重要信息资产清单见风险评估。A.7.2.2信息的标记和处理应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。选择,见信息安全策略。A.8 人力资源安全A.8.
12、1任用之前A.8.1.1角色和职责确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。选择,见信息安全岗位职责描述。A.8.1.2审查关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。选择,见人员情况调查表。A.8.1.3任用条款和条件作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职
13、责。选择,见人员招聘简章。A.8.2 任用中A.8.2.1管理职责确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。选择,见信息安全管理体系方针与信息安全管理体系职责描述。A.8.2.2信息安全意识、教育和培训组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。选择,见信息安全管理体系方针。A.8.2.3纪律处理过程对于安全违规的雇员,
14、应有一个正式的纪律处理过程。选择,见管理手册。A.8.3 任用的终止或变化A.8.3.1终止职责确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。任用终止或任用变化的职责应清晰的定义和分配。选择,见管理手册。A.8.3.2资产的归还所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。选择,见管理手册。A.8.3.3撤销访问权所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。选择,见管理手册。A.9 物理和环境安全A.9.1安全区域A.9.1.1物理安全边界防止对组织场所和信息的未授权物理访问、损坏和干扰。应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台
