《信息安全管理系列课程案例练习册(XXXX0406)》由会员分享,可在线阅读,更多相关《信息安全管理系列课程案例练习册(XXXX0406)(61页珍藏版)》请在金锄头文库上搜索。
1、 案例练习册信息安全全管理系系列课程程案例练习习姓名:于于全河学学号:GGS122219961成成绩:评阅教师师签名:20133年4月目 录第一部分分案例31A公司司介绍332A公司司ISMMS文件件41目的552范围663适用性性声明661.目的的192.适用用范围1193.风险险评估的的实施频频率及评评审1994.风险险评估方方法1995.风险险评估流流程2006.相关关文件2221目的和和适用范范围2222职责2233定义2233.1信信息安全全事件2233.2信信息安全全事故2234工作程程序2334.1报报告2334.2处处理2334.3改改进2445相关记记录244第二部分分练习2
2、881练习一一:风险险评估2282练习二二:编制制检查表表291练习三三:判断断不符合合项300第一部分分 案例例1 A公司介介绍位于北京京上地信信息产业业园区的的A数据科技技有限公公司成立立于20000年8月月,总投投资5000万元元人民币币。公司主主要业务务是为行业用户户提供数数据加工工服务,包包括:l 大批量纸纸介质数数据的电电子化l 加工制作作数字化化报刊和和电子图图书l 大批量电电子数据据的格式式转换l 定制开发发电子数数据阅读读器A公司凭凭借自主主知识产产权的OOCR、数数据格式式化等核核心技术术,已经经成为国国内外领领先的的的专业数数据加工工企业。目前主要客户来自国际、国内的银行
3、、保险公司、医院、法院、档案馆、图书馆等。公司现有有员工112000人,设有有7个职能能部门,实行董事会领导的总经理负责制。各职能部门主要职责如下:1) 生产部:按照客客户要求求,负责责数据加加工生产产,是公公司核心心业务部部门。2) 质量保证证部:负负责数据据加工生生产过程程中的品品质保证证,ISOO90001质量量管理体体系和GB/T2220800-20008/ISOO/IEEC2770011:20005信信息安全全管理体体系的运运行。3) IT部:负责研研发生产产部所需需的数据据加工工工具,为为客户定定制开发发电子数数据阅读读器。公司IIT系统统的建设设和运行行维护。4) 市场营销销部:
4、制制定和实实施营销销策略,开发客户,实现销售。5) 财务部:财务计计划的制制定和实实施,日日常结算算、税务务等会计计业务。6) 行政部:负责公公司后勤勤保障和和日常运运行事务务。7) 人力资源源部:制制定和实实施人力力资源计计划,包包括人员员招聘、绩绩效考核核、岗位位职责定定义。2 A公司IISMSS文件部分A公公司ISSMS文文件如下下。2.1 ISMSS方针信息安全全管理体体系方针针1 目的和适适用范围围信息安全全管理体体系方针针指明了了公司的的信息安安全目标标和方向向,并可可以确保保信息安安全管理理体系被被充分理理解和贯贯彻实施施。此外,本本文件还还描述了了公司的的信息安安全管理理体系的
5、的范围。本文件适适用于公公司信息息安全管管理体系系涉及的的所有人人员和过过程。2 信息安全全定义公司对信信息安全全的定义义是:保保证公司司业务所所依赖的的信息和和信息系系统的保保密性,完完整性,可可用性;3 信息安全全方针和和目标公司信息息安全方方针为:积极预预防、及及时发现现、快速速响应、确确保安全全。公司的信信息安全全目标是是:满足足已识别别的信息息安全要要求,包包括法律律法规、客客户与相相关方和和公司业业务要求求,具体体目标包包括: 商业秘密密信息泄泄漏事故故为零。 引起公司司主要产产品研发发与生产产中断时时间累计计不能超超过1小小时/年年。 引起公司司主要产产品研发发与生产产中断事事故
6、发生生次数小小于3次次/年。4 信息安全全管理机机构为了确保保公司信信息安全全工作有有一个明明确的方方向和获获得可见见的管理理者支持持,公司司设立信信息安全全领导小小组,负负责: 制定信息息安全方方针和目目标; 建立公司司信息安安全角色色和职责责 提供公司司ISMMS所需需要的资资源; 领导建立立和实施施公司IISMSS; 监督和检检查公司司信息安安全工作作; 制定和实实施信息息安全工工作的奖奖惩政策策。5 职责公司的最最高管理理者负责责建立和和评审此此文件。公公司的信信息安全全管理人人员要通通过适当当的标准准和程序序实施信信息安全全方针。公公司所有有员工及及其合约约供货商商必须按按照相应应的
7、程序序,维护护此方针针,所有有员工有有责任报报告信息息安全事事件,以以及识别别信息安安全风险险。6 重要原则则和符合合性要求求公司所有有员工应应明确,在在信息安安全方面面满足以以下原则则和符合合以下要要求是必必须的:1) 法律法规规和合同同要求的的符合性性2) 信息安全全安全意意识3) 遵守公司司所有信信息安全全策略和和操作规规程7 评审本文件需需要定期期被评审审,122个月内内评审一一次,当当信息安安全管理理体系发发生重大大变化时时,也应应评审,以以维持其其适用性性。信息安全全领导小小组负责责本文件件的评审审。8 实施 本方针针自20006年5月月15日日由公司司总经理理签署并并颁布实实施。
8、 2.2 适用声明明(SOOA)适用性声声明 1 目的为描述与与组织的的信息安安全管理理体系相相关的和和适用的的控制目目标和控控制措施施的文档档,制定定此文件件。2 范围本文件适适用于公公司ISSMS覆覆盖范围围内的所所有员工工和所有有活动。3 适用性声声明条款目标控制措施施是否选择择/及理理由A.5 安全方方针A.5.1 信信息安全全方针A.5.1.11信息安全全方针文文件依据业务务要求和和相关法法律法规规提供管管理指导导并支持持信息安安全。信息安全全方针文文件应由由管理者者批准、发发布并传传达给所所有员工工和外部部相关方方。选择信息安全全工作要要求所确确定,见见信息息安全管管理体系系方针。
9、A.5.1.22信息安全全方针的的评审应按计划划的时间间间隔或或当重大大变化发发生时进进行信息息安全方方针评审审,以确确保它持持续的适适宜性、充充分性和和有效性性。选择信息安全全工作要要求所确确定,见见信息息安全管管理体系系方针。A.6信信息安全全组织A.6.1内部部组织A.6.1.11信息安全全的管理理承诺在组织内内管理信信息安全全。管理者应应通过清清晰的说说明、可可证实的的承诺、明明确的信信息安全全职责分分配及确确认,来来积极支支持组织织内的安安全。选择?A.6.1.22信息安全全协调信息安全全活动应应由来自自组织不不同部门门并具备备相关角角色和工工作职责责的代表表进行协协调。选择,风风险
10、评估估结果所所确定,见见信息息安全管管理体系系方针。A.6.1.33信息安全全职责的的分配所有的信信息安全全职责应应予以清清晰地定定义。选择,?,见见信息息安全岗岗位职责责描述。A.6.1.44信息处理理设施的的授权过过程新信息处处理设施施应定义义和实施施一个管管理授权权过程。选择,(写写进信息息安全策策略)A.6.1.55保密性协协议应识别并并定期评评审反映映组织信信息保护护需要的的保密性性或不泄泄露协议议的要求求。选择,满满足客户户合同和和公司的的要求,见见保密密制度。A.6.1.66与政府部部门的联联系应保持与与政府相相关部门门的适当当联系。选择,?,见见对外外联络表表。A.6.1.77
11、与特定权权益团体体的联系系应保持与与特定权权益团体体、其他他安全专专家组和和专业协协会的适适当联系系。选择,获获取行业业信息,见见对外外联络表表。A.6.1.88信息安全全的独立立评审组织管理理信息安安全的方方法及其其实施(例例如信息息安全的的控制目目标、控控制措施施、策略略、过程程和程序序)应按按计划的的时间间间隔进行行独立评评审,当当安全实实施发生生重大变变化时,也也要进行行独立评评审。选择,根根据业务务需要适适时进行行安全机机构的第第三方独独立评审审,见信信息安全全策略。A.6.2外部部各方A.6.2.11与外部各各方相关关风险的的识别保持组织织的被外外部各方方访问、处处理、管管理或与与
12、外部进进行通信信的信息息和信息息处理设设施的安安全。应识别涉涉及外部部各方业业务过程程中组织织的信息息和信息息处理设设施的风风险,并并在允许许访问前前实施适适当的控控制措施施。选择,见见信息息安全策策略。A.6.2.22处理与顾顾客有关关的安全全问题应在允许许顾客访访问组织织信息或或资产之之前处理理所有确确定的安安全要求求。选择,见见信息息安全策策略。A.6.2.33处理第三三方协议议中的安安全问题题涉及访问问、处理理或管理理组织的的信息或或信息处处理设施施以及与与之通信信的第三三方协议议,或在在信息处处理设施施中增加加产品或或服务的的第三方方协议,应应涵盖所所有相关关的安全全要求。选择,见见
13、信息息安全策策略。A.7资资产管理理A.7.1资产产责任实现和保保持对组组织资产产的适当当保护。A.7.1.11资产清单单应清晰的的识别所所有资产产,编制制并维护护所有重重要资产产的清单单。选择,见见重要要信息资资产清单单。A.7.1.22资产责任任人与信息处处理设施施有关的的所有信信息和资资产应由由组织的的指定部部门或人人员承担担责任 解释:术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。选择,见见重要要信息资资产清单单。A.7.1.33资产的允允许使用用与信息处处理设施施有关的的信息和和资产使使用允许许规则应应被确
14、定定、形成成文件并并加以实实施。选择,见见管理理手册。A.7.2信息息分类A.7.2.11分类指南南确保信息息受到适适当级别别的保护护。信息应按按照它对对组织的的价值、法法律要求求、敏感感性和关关键性予予以分类类。选择,见见重要要信息资资产清单单见风风险评估估。A.7.2.22信息的标标记和处处理应按照组组织所采采纳的分分类机制制建立和和实施一一组合适适的信息息标记和和处理程程序。选择,见见信息息安全策策略。A.8 人力资资源安全全A.8.1任用用之前A.8.1.11角色和职职责确保雇员员、承包包方人员员和第三三方人员员理解其其职责、考考虑对其其承担的的角色是是适合的的,以降降低设施施被窃、欺欺诈和误误用的风风险。雇员、承承包方人人员和第第三方人人员的安安全角色色和职责责应按照照组织的的信息安安全方针针定义并并形成文文件。选择,见见信息息安全岗岗位职责责描述。A.8.1.22审查关于所有有任用的的候选者者、承包包方人员员和第三三方人员员的背景景验证检检查应按按照相关关法律法法规、道道德规范范和对应应的业务务要求、被被访问信信息的类类别和察
