《ISMSA信息安全管理体系文件》由会员分享,可在线阅读,更多相关《ISMSA信息安全管理体系文件(22页珍藏版)》请在金锄头文库上搜索。
1、. . 信息安全管理体系文件样式编号ISMS-A-2015编制审核批准密级部版本V1.0发布日期2015年8月目录1信息安全方针41.1总体方针41.2信息安全管理机制41.3信息安全小组41.4识别法律、法规、合同中的安全51.5风险评估51.6报告安全事件51.7监督检查51.8信息安全的奖惩52信息安全管理手册52.1目的和围52.1.1总则52.1.2围52.2术语和定义62.3引用文件62.4信息安全管理体系62.4.1总要求62.4.2建立和管理ISMS72.4.3资源管理212.5ISMS部审核222.5.1总则222.5.2审策划222.5.3审实施222.6ISMS 管理评审
2、222.6.1总则232.6.2评审输入232.6.3评审输出232.7ISMS改进242.7.1持续改进242.7.2纠正措施243信息安全规253.1总则253.2环境管理253.3资产管理283.4介质管理283.5设备管理283.5.1总则283.5.2系统主机维护管理方法293.5.3涉密计算机安全管理方法313.6系统安全管理313.7恶意代码防管理333.8变更管理333.9安全事件处置333.10监控管理和安全管理中心343.11数据安全管理343.12网络安全管理353.13操作管理373.14安全审计管理方法383.15信息系统应急预案383.16附表391 信息安全方针1
3、.1 总体方针满足客户要求,实施风险管理,确保信息安全,实现持续改进。1.2 信息安全管理机制公司为客户提供智能用电与能源管理的服务,信息资产的安全性对公司与客户非常重要。为了保证各种信息资产的性、完整性、可用性,给客户提供更加安心的服务,公司依据ISO/IEC 27001:2005标准,建立信息安全管理体系,全面保护公司与客户的信息安全。 1.3 信息安全小组1) 负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;2) 负责定期召开信息安全管理工作会议,定期总结运行情况以与安全事件记录,并向信息安全管理委员
4、会汇报;3) 对员工和客户进行信息安全意识教育和安全技能培训;4) 协助人力资源部对员工的聘前、聘中与解聘过程中涉与的人员信息安全进行有效管理;5) 协调各部门以与与外部组织间有关的信息安全工作,负责建立各部门、客户的定期联系和沟通机制;6) 负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出部审核建议;7) 负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;8) 负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括部审核整改意见)和预防措施;9) 负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;10) 负责调
5、查安全事件,并维护安全事件的记录报告(包括调查结果和解决方法) ,定期总结安全事件记录报告;11) 负责管理体系文件的控制;12) 负责保存部审核和管理评审的有关记录;13) 识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性。1.4 识别法律、法规、合同中的安全1) 与时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。1.5 风险评估1) 根据公司业务信息安全的特点、法律法规的要求,建立风险评估程序,确定风险承受准则。2) 定期进行风险评估,以识别公司风险的变化。公司或环境发生重大变化时,随时评估。3) 应根据风险评估的结
6、果,采取相应措施,降低风险。1.6 报告安全事件1) 公司建立报告安全事件的渠道和相应机构。2) 全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径进行报告。3) 承受报告的相应部门/机构应记录所有报告,与时做相应处理,并向报告人员反馈处理结果。1.7 监督检查1) 对信息安全进行定期或不定期的监督检查,包括:日常检查、专项检查、技术性检查、部审核等。2) 对信息安全方针与其他信息安全政策进行定期管理评审(至少一年一次)或不定期管理评审。1.8 信息安全的奖惩1) 对公司信息安全做出贡献的人员,按规定进行奖励。2) 对违反安全方针、职责、程序和措施的人员,
7、按规定进行处罚。2 信息安全管理手册2.1 目的和围2.1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。2.1.2 围本手册适用于ISO/IEC 27001:20054.2.1a)条款规定围的信息安全管理活动。业务围:开发、生产、销售电力的保护、监控、计量装置和应用在现场的智能用电、能源管理系统。2.2 术语和定义ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求和ISO/IE
8、C 27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。2.3 引用文件以下文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则2.4 信息安全管理体系2.4.1 总要求公司依据ISO/IEC 27001:2005标准的要求,建立、实
9、施、运行、监视、评审、保持和改进信息安全管理体系,形成文件;本公司全体员工将有效地贯彻执行并持续改进有效性,对过程的应用和管理详见信息安全管理体系过程模式图(图1)。输入输出相关方信息安全的要求和期望相关方管理的信息安全建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMSPlanDoCheckAction图1. 信息安全管理体系过程模式图2.4.2 建立和管理ISMS2.4.2.1 建设思路分析企业信息安全的实际情况,通过制定企业的信息安全目标、提出信息安全要求、制定信息安全措施,通过组织体系、运作体系、技术体系、策略体系的支持,按照PDCA流程,先计划,再执行,而后对其运行结果
10、进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,最后制定出符合企业的信息安全管理体系,并进行建立、实施和维护信息安全管理体系,最终为客户实现的目标是:1) 对信息系统的信息进行保护,减少来自外部的各种威胁;2) 确保业务连续性,确保网络畅通、各业务应用系统高效动作,避免业务发生中断;3) 业务风险最小化,避免信息系统事故可能引起的业务风险,减少商业秘密的泄露;2.4.2.2 建设步骤 1、准备工作,通过领导决策,进行安全组织和人员的配备,并进行相关的培训和宣传,从而为后期信息安全管理体系的建设和推广提供相关支持; 2、框架建立,参考信息安全体系框架,进行
11、管理体系和技术体系框架的分析,着重对信息安全管理体系进行研究,得出研究的基础理论支持; 3、评估风险,按照信息安全评估流程的方法,通过资产的分类和风险的分类得出风险评估的结果,作为信息安全改善的依据; 4、改善安全,通过风险评估和差距的分析,结合管理和技术的手段,按照风险改善的方法,得出信息安全改善的措施; 5、实施运行,按照前面评估的风险和安全改善的措施,对已建立好的信息安全管理体系进行实施和运行,并制定相关的信息安全制度细则和技术管控措施; 6、检查改进,通过体系的实施和运行,检查存在的信息安全风险,并针对风险点进行管理和技术上的安全改善;7、持续运行,通过不断的检查和改进,保证信息安全管
12、理体系能够持续的运行,为企业的业务提供更全面更可靠的信息系统.2.4.2.3 风险评估信息安全的风险管理是把风险管理的思想纳入到整个信息安全管理的过程中来,基于风险的信息安全管理体系在分析风险后,就会利用一系列的安全技术措施来控制风险,以达到信息安全的目标,依据风险评估结果制订的信息安全解决方案,可以最大限度的避免盲目的追求而浪费相关资源,同时还造成对业务的影响,最终使企业在信息安全方面的投资收益最大化。风险评估一般的工作流程包括九个步骤,具体如下:按照以上的风险评估步骤,对企业的信息安全风险进行评估,其风险评估的对象主要是企业的信息资产,包括数据、软硬件、人员等,具体说明如下:信息资产分类分
13、类具体容数据 存在于信息介质上的各种数据资料:包括数据库、系统文档、计划、报告、用户手册等软件 系统软件:操作系统、工具软件等 应用软件:外部购买的应用软件,外包开发的应用软件等硬件 网络设备:防火墙、路由器、交换机等 计算机设备:服务器、台式机、笔记本等 移动存储设备:光盘、U盘、移动硬盘等 传输路线:光纤、双绞线等 保障设备:UPS、空调、门禁、消防设施等 其他电子设备:打印机、复印机、扫描仪、 机等服务 办公服务:为提高工作效率而开发的管理信息系统,包括各种置配置管理、文件流转管理等服务 网络服务:为各种网络设备、设施提供的网络连接服务 信息服务:对外依赖该系统开展服务而获得业务收入的服
14、务文档 纸质的各种文档、 、财务报表、发展计划等人员 掌握重要信息和核心业务的人员,如机房的管理人员、主机的维护工程师、网络维护工程师与应用系统项目经理等人员在确定了风险评估的对象之后,即开始对风险评估对象所面临的风险进行识别、分析和评价,具体的风险评估容和过程如下:按照以上所示的风险评估容和过程,对企业的信息安全风险进行评估,所评估的风险分类如下:信息安全风险分类种类 描述软、硬件故障由于设备的硬件故障、通信链路中断、系统本身或软件BUG导致对业务高效稳定运行的影响 无作为或操作失误由于应该执行而没有执行相应的操作或无意执行错误操作对系统造成的影响管理不到位安全管理无法落实、不到位、造成安全管理不规或者混乱,从而破坏信息系统正常有序的运行恶意代码和病毒具有自我复制、自我传播能力,对信息系统构成破坏的代码越权和滥用通过采用一些措施、超越自己的权限访问了本来无法访问的资源,或者滥用自己的职权,做出破坏信息系统的行为 黑客攻击技术利用黑客工具和技术,如侦查、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击对系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃 泄密泄露、信息泄露给他人篡改非法修改信息、破坏信息的完整性抵赖不承认收
