金德精密訊息安全管理體系第6次管理評審報告Rev1

《金德精密訊息安全管理體系第6次管理評審報告Rev1》由会员分享，可在线阅读，更多相关《金德精密訊息安全管理體系第6次管理評審報告Rev1（62页珍藏版）》请在金锄头文库上搜索。

1、Information Security Management System 訊息安全管理體系第六次管理評審報告日期：16 Apr 2005 評 審 會 內 容 Part I BS7799 方針及管理目標評審 BS7799 信息安全事件匯報 BS7799 風險評估報告 BS7799 在 2004年10月及2005年4月份內審報告 BS7799 外審報告 BS7799 體系法律及法規評審 BS7799 體系推行計劃及活動 Part II BS7799 體系投入資源及結果報告 EDMS 系統投入實施報告, 發展及改善討論 電腦日常運作成本控制討論訊息安全管理體系評審Information Secu

2、rity Management System 訊息安全管理體系BS7799 方針及管理目標評審BS7799 方針及管理目標評審訊息安全方針n基於風險管理原則，對可控制範圍內的訊息安全進行風險識別 。n根據風險評估結果，制訂明確的管理方案，並通過員工培訓，n確保員工理解和貫徹訊息安全管理的要求。n進行風險管理，保證電腦課，文控中心訊息的保密性，完整性 和可用性。n符合合同義務、法律和法規要求n建立訊息安全事件通告渠道，及時發現並處理各類訊息安全事 件。n對業務持續運作進行策劃和管理，確保業務運作的可持續性。n持續改善，並逐步與公司其他管理體系進行整合。 MIS系统信息安全整合活動 (2004年4

3、月12月) 目標 推廣BS7799信息安全體系到各部實則運作, 達至公司信息管理安全方針 日標. MIS系统運作流程各項功能操作規範化及標準化, 達至信息安全要求. 工 作 項 目 MIS系统信息安全整合活動公佈及展開會(5月完成) MIS系统信息安全整合活動分析(6月完成) 新增, 删除, 更改權限分配規範化(8月完成) 新增, 删除, 更改權限分配規範化工作分配及文件化(9月完成) MIS系统表格編號規範化 (10月完成) MIS系统主要關建流程規範化 (11月前完成) 建立MIS系统內部審核, 在12月前進行內審一次(12月前完成) 建立MIS系统培訓教材, 參考指引及考核標準 (12月

4、前完成)BS7799 方針及管理目標評審 2005年BS7799信息安活動 文件儲存司服器內各部文件管理, 運作規範 化及標準化, 達至信息安全要求.目標由新投入文件檔案管理系統完全除代現 時R: 及 S: 盤.文件儲存司服器內的共用硬盤只用作共用應用軟件.BS7799 方針及管理目標評審BS7799 管理目標 (2002版) 網絡系統運作正常率達 99.7% 網絡安全事件全年少於 6宗 文控中心運作正常率達 100%BS7799 方針及管理目標評審網絡系統運作正常率計算公式系統名稱計算公式權數MIS系統( 正常運作時間 / 工作時間總數 ) x 100%0.3檔案系統( 正常運作時間 / 工

5、作時間總數 ) x 100%0.3內部電子郵件系統( 正常運作時間 / 工作時間總數 ) x 100%0.1外部電子郵件系統( 正常運作時間 / 工作時間總數 ) x 100%0.2內聯網系統( 正常運作時間 / 工作時間總數 ) x 100%0.1此指標管理者代表可以在全年中使用5天不列入計算天數全 年正常工作天數為大約240天括免率為正常工作天數 2 %。BS7799 方針及管理目標評審網絡系統運作正常率計算明細表 (2004年7月12月)衡量指標基準值7月8月9月10月11月12月1. MIS系統98%100%100%95%100%100%100%2. 檔案系統98%100%100%95

6、%100%100%100%3.內部電子郵件系統98%99.7%100%94.8%100%100%100%4.外部電子郵件系統98%100%100%100%100%97%100%5.內聯網系統98%100%100%100%100%100%100%BS7799 方針及管理目標評審衡量指標基準 值1月2月3月4月5月6月1. 網絡系統運作正常率98100%98%99.6%100%100%100%2. 網絡安全事件 160,000 元訊息安全管理體系評審 訊息資產風險評估 為避免因投入控制風險的資金過大，訊息安全推行小組 ，建議使用實施指數來決定是否對風險採取控制，實施 指數的計算如下：風險級別 實施

7、指數風險控制的資金投入分級 結果如下： A.) 當結果為小於 8 時，不需考慮控制措施 B.) 當結果為 8 12 時(包括等如)，選擇採取控制措 施 C.)當結果為大於 12 時，必須性採取控制措施訊息安全管理體系評審 訊息資產風險評估 (新增資產)訊息安全管理體系評審序 號評 價 項 目直接經濟價 值值 (V)若損毀，重 建需要 (R)重要性 級別 權 重 (Weight)0.40.6 資 產產 名 稱評 級評 級 18EDMS System455 19外部電郵系統323 訊息資產風險評估 (外部電郵系統)序 號威脅 Threat脆弱性 Vulnerability总计总计 分数風險 級別

8、判断是否 可接受現有控制 措施有效 程度控制措 施風險 指數威脅 编编 号威脅名稱 (Threat Name)后果 可能 性威脅编编号脆弱性名稱 (Vulnerability Name)難易 程度脆 弱 性 评级评级 评级评级評級級別 等級2958 系統運行緩慢3 4 3.5 62 未配備專線上 網及固定路徑4 4 12.5 4高考量財務 需求2 16.5 訊息安全管理體系評審威脅名稱脆弱性 名稱控制措施財務投入實施 指數實施 嗎?是否 選擇資金級別系統運行緩慢未配備專線上網及 固定路徑建立專線上網及固定 路徑$5000/月311 選擇 性實 施?控制措施 訊息資產風險評估 (城域網建立) 優

9、惠計劃內容 若公司簽定2年, 每月固定最少支出$26600元, 即可消費 $30000 元 公司實則多出支出 (中國電信) $24152 + $10000 - $30000 = $4152元 再加 2500 元 = $6650元 此計劃可以節省以下費用: 一廠, 二廠取清ADSL上網線, 每月可節省 = $580 x 2 = $1160元 建立Web Server 及 Mail Server 後可節省大約$1000 元, E-mail及網頁儲存費. 每月平均可節省大約 $2000元 計算以上計劃, 每月多付出大約有 $4600元訊息安全管理體系評審 訊息資產風險評估 (城域網建立)增加城域寬帶

10、網得益 改善現有公司上網 (國內) 及收E-mail 速度. 统一內部及外部電郵系统. FTP服務器可在深圳公司建立, 方便管理. 可同香港或蘇州分公司進行VPN聯網, 如同IPLC功能 香港同深圳公司建立2條不同路徑聯網, 避免單一路 徑損壞而令聯網服務中斷. 自行建立網站儲存空間 發展EDMS 及 MIS 系統網上使用功能訊息安全管理體系評審Information Security Management System 訊息安全管理體系BS7799 在 04年10月及05月4月內審報告訊息安全管理體系評審合共7個不符合項目部門 管理者代表電腦課文控中心人力資源課動力課采購部不符合項 目數量0

11、 4 3 0 0 0 2004年10月份內審不符合項目分佈一覽表部門 網絡管理組資訊系統組文控中心人力資源課動力課采購部不符合項 目數量3 4 3 0 0 1 合共11個不符合項目2005年3月份內審不符合項目分佈一覽表訊息安全管理體系評審2004年10月份內審不符合項目序號不 符 合 項 目責任部門/人確認完成日期跟進責任人001審核文控中心員工人員信息安全行為規范 ，發現文控中心所有員工共用一個GB021 帳號訪問公司的網絡。文控張曉翠2004/11Ricky002文件櫃的5號櫃的3#、5#鎖壞，未有進行 維修。文控張曉翠2004/11Ricky003在審查中發現對資訊法律法規機構定期 溝

12、通的結果已做, 有跟進記錄大部份全是 電子文檔, 很雖顯現已處理結果。中國 / 香港地區末有同法律顧問定期溝通 記錄文控張曉翠2004/11Ricky訊息安全管理體系評審2004年10月份內審不符合項目序號不 符 合 項 目責任 部門/人確認 完成日 期跟進 責任人004在審查中發現對現時服務器系统技術末 有同HKPC進行定期審核及跟進.電腦課 張偉東2004/11Ricky005電腦房內設備UPS, Hub, Switch等設備末有 做保養記錄電腦課 張偉東2004/11Ricky006 末有進行異地儲存保管備份磁帶工作電腦課 張偉東2004/11Ricky007 末有依時制定及進行業務永續

13、經營計劃電腦課 張偉東2004/11Ricky訊息安全管理體系評審2005年3月份內審不符合項目序號不 符 合 項 目責任 部門/人確認 完成日期跟進 責任人001檢查文控中心文件櫃鑰匙的管制，發現文 控鑰匙授權持有一覽表的人員未有更新授 權人。文控組 張曉翠2005/04Ricky002查核文控中心最近第三方出入登記記錄，發 現進入文控登記表QR.CD-021登記不符 合指引要求，記錄表格欄位設計填寫不合理 。文控組 張曉翠2005/04Ricky003審查文件中心現行文件發放管制體系，發現3 月1日起啟用一套新的企業文檔系統EDMS軟 件，但又存在原來文件發放方法，最舊文件 發放體系共存，

14、造成發放記錄混亂。文控組 張曉翠2005/04Ricky004核查文控中心近期新增資產與台帳管制，發 現文控中心新增一台電腦和一套EDMS系統 ，在新增資產台帳未有體現此設備信息。文控組 張曉翠2005/04Ricky訊息安全管理體系評審2005年3月份內審不符合項目序號不 符 合 項 目責任 部門/人確認 完成日 期跟進 責任人005在審查中發現對電腦服務器出入系统 授權清單, 末有删除離職員工謝仙仁的 授權.資訊系統組 陳展集2005/04Ricky006在審查中發現 對EDMS系統末有加入 臺帳清單上, 風險評估末有完成. 未有EDMS系統新增記錄表單資訊系統組 陳展集2005/04Ri

15、cky007重大安全事件20041208001 及 20040915001 末有責任人及跟進措施處 理.網絡管理組 張偉東2005/04Ricky008MIS 系統修改及升級記錄, 部份升級末 改或决定終止項目末有記錄資訊系統組 陳展集2005/04Ricky訊息安全管理體系評審2005年3月份內審不符合項目序號不 符 合 項 目責任 部門/人確認 完成日 期跟進 責任人009系统防病毒日誌, 末能全部記錄所有工 作站病毒日誌, 對網絡安全存在風險.網絡管理組 張偉東2005/04Ricky010網絡系統末及時更新網絡管理組 張偉東2005/04Ricky011EDMS 系統用戶權限末及時更新

16、資訊系統組 陳展集2005/04Ricky012供應啇清單末能確保最新, 憒漏部份供 應啇末簽保密協議.采購部 尹衛群2005/04RickyInformation Security Management System 訊息安全管理體系BS7799 外審報告BS7799 外審報告審核結果訊息安全推行小組原定在1月份進行外審，由於BSI公司末能安排, BSI 公司會安排在5月17日20日期間進行合併外審, 進行2個人天外審.訊息安全管理體系評審Information Security Management System 訊息安全管理體系BS7799 體系法律及法規評審訊息安全管理體系評審月份法規生效日期影嚮業務04/08中華人民共和國電子簽名法2005-04-01否05/02電子認證服務管理辦法2005-04-01否05