《信息安全管理过程》由会员分享,可在线阅读,更多相关《信息安全管理过程(21页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理手册文件编号版本编制编制日期审核审核日期批准批准日期.变更记录日期版本编制 / 修改者修订类型描述注:修订类型:A增加, M修改, D删除.一、范围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称 ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、 持续改进信息安全管理体系的有效性, 特制定本手册。1.2 应用本信息安全管理手册规定了公司的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于公司业务活动所涉及的信息系统、资产及相
2、关信息安全管理活动,具体见条款规定。二、规范性引用文件下列文件中的条款通过本信息安全管理手册的引用而成为本信息安全管理手册的条款。凡是注日期的引用文件, 其随后所有的修改单或修订版均不适用于本标准,然而,行政部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、 其最新版本适用于本信息安全管理手册。三、术语和定义GB/T22080-2008idtISO27001:2005信息技术 - 安全技术 - 信息安全管理体系 - 要求、GB/T22081-2008idtISO27002:2005信息技术 - 安全技术 - 信息安全管理实用规则 规定的术语和定义适用于本信息安全管理手册。3.1
3、本公司指公司所属各部门。.3.2 信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.3 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。3.4 信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3.5 相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、供方、银行、用户、电
4、信等。四、信息安全管理体系4.1 概述本公司在软件开发、经营、服务和日常管理活动中,按GB/T22080-2008idtISO27001:2005 信息技术- 安全技术- 信息安全管理体系- 要求规定,参照GB/T22081-2008idtISO27002:2005信息技术 - 安全技术 - 信息安全管理实用规则标准,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。信息安全管理体系使用的过程基于图1 所示的 PDCA模型。.图 1 信息安全管理体系模型4.2 建立和管理信息安全管理体系建立信息安全管理体系信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产
5、和技术定义了范围和边界,本公司信息安全管理体系的范围包括:a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;b) 与所述信息系统有关的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的全部信息资产。组织范围:本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册附录 A(规范性附录)信息安全管理体系组织机构图。物理范围:.本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所,包含客户方以及公司内部。信息安全管理体
6、系的方针为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4 条款。该信息安全方针符合以下要求:a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b) 考虑业务及法律或法规的要求,及合同的安全义务;c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;d) 建立了风险评价的准则;e) 经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措
7、施;明确信息安全的管理职责b) 识别并满足适用法律、法规和相关方信息安全要求;c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;f) 制定并保持完善的业务连续性计划,实现可持续发展。风险评估的方法.行政部门负责制定 信息安全风险评估管理程序,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估执行信息安全风
8、险评估管理程序,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险评估管理程序,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值,形成了资产识别清单。同时,根据信息安全风险评估管理程序,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。分析和评价风险本公司按信息安全风险评估管理程序,采用人工分析法,分析和评价风险
9、:a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;c) 根据信息安全风险评估管理程序计算风险等级;d) 根据信息安全风险评估管理程序及风险接受准则,判断风险为可接受或需要处理。识别和评价风险处理的选择行政部门组织有关部门根据风险评估的结果,形成信息安全不可接受风险处理计划,该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a) 消减风险(通过适当的控制措施降低风险发生的可能性
10、);.b) 接受风险(风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险 / 残余风险);c) 规避风险(决定不进行引起风险的活动,从而避免风险);d) 转移风险(通过购买保险、外包等方法把风险转移到外部机构)。选择控制目标与控制措施行政部门根据信息安全方针、 业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见适用性声明):a) 信息安全控制目标获得了信息安全最高责任者的批准。b) 控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005 信息技术- 安全技术- 信息安全管理体系- 要求附录A,具体控制措施
11、参考GB/T22081-2008idtISO27002:2005 信息技术 - 安全技术 - 信息安全管理实用规则。c) 本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。对风险处理后的残余风险,得到了公司最高管理者的批准。最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。适用性声明行政部门负责编制适用性声明(SOA)。该声明包括以下方面的内容:a) 所选择控制目标与控制措施的概要描述,以及选择的原因;b) 对 GB/T22080-2008idtISO27001:2005 附录 A 中未选用的控制目标及控制措施理由的说明(本公司未涉及此项业务)。实施及运作信息安全管理体系为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a) 形成信息安全不可接受风险处理计划,以确定适当的管理措施、职责及安全控制措施的优先级;b) 为实现已确定的安全目标、实施信息安全不可接受风险处理计划,明确各岗位的信息安全职责;c) 实施所选择的控制措施,以实现控制目标的要求;.d) 确定如何测量所选择的控制措施的有效性, 并规定这些测量措施如何用于评估控
