收藏
下载资源

信息安全管理方针和策略

上传人:新** 文档编号:550924242 上传时间:2023-10-08 格式:DOC 页数:43 大小:466KB
返回 下载 相关 举报
信息安全管理方针和策略_第1页
第1页 / 共43页
信息安全管理方针和策略_第2页
第2页 / 共43页
信息安全管理方针和策略_第3页
第3页 / 共43页
信息安全管理方针和策略_第4页
第4页 / 共43页
信息安全管理方针和策略_第5页
第5页 / 共43页
点击查看更多>>
资源描述

《信息安全管理方针和策略》由会员分享,可在线阅读,更多相关《信息安全管理方针和策略(43页珍藏版)》请在金锄头文库上搜索。

1、1、信息平安管理方针和策略围公司依据ISO/IEC27001:2013 信息平安管理体系标准的要求编制?信息平安管理手册?,并包括了风险评估及处置的要求。规定了公司的信息平安方针及管理目标,引用了信息平安管理体系的容。1.1规性引用文件以下参考文件的局部或整体在本文档中属于标准化引用,对于本文件的应用必不可少。但凡注日期的引用文件,只有引用的版本适用于本标准;但凡不注日期的引用文件,其最新版本包括任何修改适用于本标准。ISO/IEC 27000 ,信息技术一一平安技术一一信息平安管理体系一一概述和词汇。1.2术语和定义ISO/IEC 27000 中的术语和定义适用于本文件。1.3公司环境理解公

2、司及其环境公司确定与公司业务目标相关并影响实现信息平安管理体系预期结果的能力的外部和部问题,需考虑:明确外部状况:?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国、区域,还是本地的;影响组织目标的主要动力和趋势;与外部利益相关方的关系,外部利益相关方的观点和价值观。明确部状况:治理、组织构造、作用和责任;方针、目标,为实现方针和目标制定的战略;基于资源和知识理解的能力如:资金、时间、人员、过程、系统和技术 与部利益相关方的关系,部利益相关方的观点和价值观;组织的文化;信息系统、信息流和决策过程正式与非正式; 组织所采用的标准、指南和模式;合同关系的形式与围。明确风险

3、管理过程状况:确定风险管理活动的目标;确定风险管理过程的职责;确定所要开展的风险管理活动的围以及深度、广度,包括具体的涵和外延;以时间和地点,界定活动、过程、职能、工程、产品、效劳或资产;界定组织特定工程、过程或活动与其他工程、过程或活动之间的关系;确定风险评价的方法;确定评价风险管理的绩效和有效性的方法;识别和规定所必须要做出的决策;确定所需的围或框架性研究,它们的程度和目标,以及此种研究所需资源。确定风险准那么:可以出现的致因和后果的性质和类别,以及如何予以测量;可能性如何确定;可能性和或后果的时间围;风险程度如何确定;利益相关方的观点;风险可承受或可容许的程度;多种风险的组合是否予以考虑

4、,如果是,如何考虑及哪种风险组合宜予以考虑。理解相关方的需求和期望信息平安管理小组应确定信息平安管理体系的相关方及其信息平安要求,相关的信息平安要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果, 制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。确定信息平安管理体系围本公司ISMS的围包括a) 物理围:b) 业务围:计算机软件开发,计算机系统集成相关信息平安管理活动。c) 部管理构造:办公室、财务部、研发部、商务部、工程部、运维部。d) 外部接口:向公司提供各种效劳的第三方信息平安管理体系本公司按照ISO/IEC27001:2013 标准的要求建立一个

5、文件化的信息平安管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于 PDCA 模式。1.4领导力总经理应通过以下方式证明信息平安管理体系的领导力和承诺:a)确保信息平安方针和信息平安目标已建立,并与公司战略方向一致;b)确保将信息平安管理体系要求融合到日常管理过程中;c)确保信息平安管理体系所需资源可用;d)向公司部传达有效的信息平安管理及符合信息平安管理体系要求的重要性;e)确保信息平安管理体系到达预期结果;f)指导并支持相关人员为信息平安管理体系有效性做出奉献;g)促进持续改良;h)支持信息平安管理小组及各部门的负责人,在其职责围展现领导力。1.5规

6、划应对风险和时机的措施总那么公司针对公司部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信息平安方面的风险。在已确定的ISMS围,针对业务全过程所涉及的所有信息资产进展列表识别。 信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包效劳。对每一项信息资 产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。信息平安管理小组制定信息平安风险评估管理程序,经信息平安管理小组组长批准后组织实施。风险评估管理程序包括可承受风险准那么和可承受水平。该程序的详细容见? 信息平安风险评估管理程序 ?。信息平安风险评估风险评估的系统方法信息平安管理小组制定信息平安风险评估管理程

7、序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可承受风险准那么和可承受水平。该程序的详细容适用于?信息平安风险评估管理程序?。1.5.1.1.1.2 资产识另在已确定的ISMS围,对所有的信息资产进展列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、效劳等。对每一项信息资产,根据信息资产判断依据确定 信息资产的重要性等级并对其重要度赋值。评估风险a)针对每一项信息资产、记录、信息资产所处的环境等因素,识别出所有信息资产所 面临的威胁;b)针对每一项威胁,识别出被该威胁可能利用的薄弱点;c)针对每一项薄弱点,列出现有的控制措施,并对控制措施有效性赋值;同时考虑

8、威 胁利用脆弱性的容易程度,并对容易度赋值;d)判断一个威胁发生后可能对信息资产在性(C)、完整性(I)和可用性(A)方面的损害,进而对公司业务造成的影响,计算信息资产的平安事件的可能性和损失程度。e)考虑平安事件的可能性和损失程度两者的结合,计算信息资产的风险值。f)根据?信息平安风险评估管理程序 ?的要求确定资产的风险等级。g)对于信息平安风险,在考虑控制措施与费用平衡的原那么下制定风险承受准那么,按照该准那么确定何种等级的风险为不可承受风险,该准那么在?信息平安风险评估管理程序?有详细规定,并在?风险评估报告?中进展系统汇报并针对结果处理意 见获得最高管理者批准。h)获得最高管理者对建议

9、的剩余风险的批准,剩余风险应该在?剩余风险评价报告?上留下记录,并记录剩余风险处置批示报告。i)获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。信息平安风险处置风险处理方法的识别与评价信息平安管理小组应组织有关部门根据风险评估的结果,形成?风险处理方案?,该方案应明确风险处理责任部门、方法及时间。对于信息平安风险,应考虑控制措施与费用的平衡原那么,选用以下适当的措施:a)采用适当的部控制措施;b)承受某些风险不可能将所有风险降低为零;c)回避某些风险如物理隔离;d)转移某些风险如将风险转移给保险者、供方、分包商。选择

10、控制目标与控制措施信息平安管理小组根据信息平安方针、业务开展要求及风险评估的结果,组织有关部门制定信息平安目标。信息平安目标应获得总裁的批准。控制目标及控制措施的选择原那么来源于附录A。本公司根据信息平安管理的需要,可 以选择标准之外的其他控制措施。适用性声明SoA信息平安管理小组编制 ?信息平安适用性声明?SoA该声明包括以下方面的容:a) 所选择控制目标与控制措施的概要描述;b) 对ISO/IEC 27001:2013 附录A中未选用的控制目标及控制措施理由的说明。剩余风险对风险处理后的剩余风险应形成?剩余风险评估报告?并得到信息平安最高责任人的批准。信息平安管理小组应保存信息平安风险处置

11、过程的文件化信息。信息平安目标和实现规划根据公司的信息平安方针,经过最高管理者确认,公司的信息平安管理目标为:顾客性抱怨/投诉的次数不超过1起/年。受控信息泄露的事态发生不超过3起/年秘密信息泄露的事态不得发生。信息平安管理小组根据?适用性声明?、?信息资产风险评估表?中风险处理方案所选择的 控制措施,明确控制措施改良时间表。对于各部门信息平安目标的完成情况,按照?信息平安目标及有效性测量程序 ?的要求,周期性在主责部门对各控制措施的目标进展测量,并记 录测量的结果。通过定期的审、控制措施目标测量及管理评审活动评价公司信息平安目标的 完成情况。1.6支持资源总经理负责确定并提供建立、实施、保持

12、和持续改良信息平安管理体系所需的资源。162能力办公室应:a)确定公司全体员工影响公司信息平安绩效的必要能力;b)确保上述人员在适当的教育、培训或经历的根底上能够胜任其工作;c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d)保存适当的文件化信息作为能力的证据。注:适用的措施可包括, 对新入职员工进展的信息平安意识教育;定期对公司员工进展的业务实施过程中的信息平安管理相关的培训等。163意识公司全体员工应了解:a)公司的信息平安方针;b)个人其对公司信息平安管理体系有效性的奉献,包括改良信息平安绩效带来的益 处;c)不符合信息平安管理体系要求带来的影响。164沟通信息平安管理小

13、组负责确定与信息平安管理体系相关的部和外部的沟通需求,包括:a)沟通容;b)沟通时间;c)沟通对象;d)谁应负责沟通;e)影响沟通的过程。文件化信息165.1总那么公司的信息平安管理体系应包括:a)本标准要求的文件化信息;b)信息平安管理小组确保信息平安管理体系的有效运行,需编制?文件控制程序?用以管理公司信息平安管理体系的相关文件。创立和更新创立和更新文件化信息时,信息平安管理小组应确保适当的:a)标识和描述例如标题、日期、作者或编号;b)格式例如语言、软件版本、图表和介质例如纸质、电子介质;c)对适宜性和充分性的评审和批准。文件化信息的控制信息平安管理体系及本标准所要求的文件化信息应予以控

14、制,以确保:a)在需要的地点和时间,是可用和适宜的;b)得到充分的保护如防止性损失、不恰当使用、完整性损失等。c)为控制文件化信息,适用时,科技规划部应开展以下活动:d)分发,访问,检索和使用;e)存储和保护,包括保持可读性;f)控制变更例如版本控制;g)保存和处置。信息平安管理小组需在 ?文件控制程序?中规划和运行信息平安管理体系所必需的外来 的文件化信息,应得到适当的识别,并予以控制。1.7运行运行规划和控制为确保ISMS有效实施,对已识别的风险进展有效处理,本公司开展以下活动:a)形成?信息平安风险处理方案?,以确定适当的管理措施、职责及平安控制措施的优先级,应特别注意公司外包过程确实定和控制;对于系统集成和IT外包运维效劳工程,工程经理应在工程筹划阶段识别所面临的信息平安风险,并在工程全过程中对信息平安风险进展监控和更新。b)为实现已确定的平安目标、实施风险处理方案,明确各岗位的信息平安职责;c)实施所选择的控制措施,以实现控制目标的要求;d)进展信息平安培训,提高全员信息平安意识和能力;e)对信息平安体系的运作进展管理,控制方案了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响;f)对信息平安所需资源进展管理;g)实施控制程序,对信息平安事故或事件进展迅速反响。总经理为本公司信息平安最高责任者。办公室制定全公司的组织机构和各部门的职责包括信息平安职责,并形成文

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 活动策划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号