《企业信息安全管理制度1》由会员分享,可在线阅读,更多相关《企业信息安全管理制度1(28页珍藏版)》请在金锄头文库上搜索。
1、交运集团青岛温馨巴士有限公司信息安全管理体系(ISMS)及管理规定第一部分 信息安全管理体系(ISMS)1 ISMS产生的背景、特点和发展趋势1.1 ISMS标准产生的背景目前,我们虽处于和平年代,但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁,信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。只有在人员、服务、硬件、软件、数据与文件以及知识产权与专利这五大方面采取切实可行的控制措施,才能有效避免、控制、预防信息安全事件发声,切实把信息安全风险控制在可以接受的水平。1.2 ISMS标准
2、的由来1993年BS7799标准由英国贸易工业部立项BS7799-1:1999信息安全管理实施细则BS7799-2:2002信息安全管理实施规范ISO/IEC 27001:2005信息安全 安全技术 信息安全管理GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求1.3 ISMS标准的主要特点与质量、环境、能源、职业健康安全等管理体系高度兼容,即管理理念、管理模式、管理的预期结果基本一致。“向管理要效益”是该标准的精华。即并不需要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影”的效果。可借助质量管理的八项原则,PDCA,持续
3、改进。有133种控制目标和控制措施(ISMS标准的附录A)供组织选用。组织可因地制宜,在现有管理体系基础上,有机嵌入ISMS,以达到事半功倍的效果。1.4 ISMS标准的发展趋势ISMS标准既适用于新兴产业,又适用于传统产业;既适用于服务业,又适用于制造业。总之,只要有信息资产的组织,均可按GB/T22080-2008/ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求建立与保持ISMS。2 信息安全管理体系建立的意义和作用2.1 强化员工的信息安全意识,规范组织信息安全行为。2.2 确保组织的关键信息资产始终处于全面系统的受控保护状态,以保持组织的竞争优势。2.3 在信
4、息系统受到侵袭时,确保业务持续开展,并将损失降到最低程度。2.4 有效规避法律风险,确保组织切实履行社会责任。2.5 如果通过ISMS认证,表明该管理体系运行有效,证明组织有能力保证信息安全,提高组织的知名度与信任度。3 GB/T 22080-2008/ISO/IEC 27001:2005标准3.1 术语与定义3.1.1 资产对组织有价值的任何东西。信息对一个组织而言具有重要的价值,信息时可以通过多种媒体传递和存在。3.1.2 保密性信息不能被未被授权的个人、实体或者过程利用或知悉的特性。3.1.3 可用性根据授权实体的要求可访问和利用的特性。3.1.4 完整性保护资产的正确和完整的特性。保密
5、性、可用性和完整性是信息保护的核心,这三者缺一不可。3.1.5 信息安全保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查行、不可否认性和可靠性等。3.1.6 信息安全事态系统、服务或网络的一种可识别的状态的发生。它可能对信息安全策略的违反或保护措施的失效,或是和安全关联的一个先前未知的状态。3.1.7 信息安全事件一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成。它们具有损害业务运作和威胁信息安全的极大可能性。3.1.8 信息安全管理体系(ISMS)基本业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。管理体系也包
6、括组织结构、方针策略、规划活动、职责、实践、规程和资源。3.1.9 残余风险经过风险处置后遗留的风险。3.1.10 风险接受接受风险的决定。3.1.11 风险分析系统地使用信息来识别风险来源和估计风险。3.1.12 风险评估风险分析和风险评价的整个过程。3.1.13 风险评价将估计的风险与给定的风险准则加以比较,以确定风险严重性的过程。3.1.14 风险管理指导和控制一个组织相关风险的协调活动。3.1.15 风险处置选择并且执行措施来更改风险的过程。在ISMS标准中,术语“控制措施”被用作“措施”的同义词。3.1.16 适用性声明(SOA)描述与组织的信息安全管理体系相关的和适用的控制目标和控
7、制措施的文件。控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。3.2 适用性声明(SOA)简介信息安全涉及的主要方面提供组织拟考虑控制目标和措施1.安全方针2个2.信息安全组织11个3.资产管理5个4.人力资源安全9个5.物理和环境安全13个6.通信和操作管理32个7.访问控制25个8.信息系统获取、开发和维护6个9.信息安全事件管理5个10.业务连续性管理5个11.符合性10个共计133个 3.3 组织需加强管理的信息资产3.3.1 硬件服务器、周边设备、PC计算机、访问控制终端、Hub、程控交换机、调制解调器、电话交换系统
8、、UPS、传真机、复印机、电话机/移动电话、移动介质(包括U盘、硬盘、磁盘、光盘、录音机、录像设备)。3.3.2 软件通用软件(正版/盗版(备份)应用软件(源代码保管)3.3.3 数据与文件(纸质/电子)组织中长期发展战略董事会会议纪要员工(骨干人员)数据库薪资(骨干人员)数据库公共关系数据库订单数据库投标书产品(工程)技术图纸供货商数据产品内控标准工艺技术文件客户数据库产品营销策略书产品生产计划书产品质量/成本文件销售发票/汇票/现金3.3.4 人员3.3.4.1 组织的高管3.3.4.2 有机会解除关键信息资产人员董事会秘书以及在领导身边的工作人员,如小车班司机,重要部门中层干部与技术、业
9、务人员、IT网管。3.3.4.3 外包服务人员保安、保洁、绿化、维修等人员以及方可(特别是竞争对手)3.3.4.4 外来实习人员3.3.5 知识产权与专利包括著作权(版权)和工业产权具体指组织的实用、新型产品发明与计算机软件开发和(或)应用以及组织自身商标实用这两大部分。3.4 标准要求简介3.4.1 ISMS标准发布与实施GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求于2008年6月19日由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会发布,并于2008年11月1日实施。3.4.2 ISMS标准的适用范围ISM
10、S标准适用于所有类型的组织,包括商业企业、政府机构、非营利组织。3.4.3 ISMS标准的目次前言引言1范围2规范性引用文件3术语和定义4信息安全管理体系(ISMS)5管理职责6ISMS内部审核7ISMS的管理评审8ISMS改进附录A(规范性附录)控制目标和控制措施附录B(资料性附录)OECD原则和本标准附录C(资料性附录)GB/T1901-2000,GB/T2401-2004和本标准之间的对照参考文献3.4.4 应用于ISMS过程的PDCA模型输出输入质量管理体系持续改进管理职责产品实现资源管理测量、分析和改进产品顾客(和其他相关方)满意顾客(和其他相关方)要求3.4.5 PDCA方法论规划
11、(P)建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程,以提供与组织总方针和总目标相一致的结果。实施(D)实施和运行ISMS方针、控制措施、过程和规程。检查(C)对照ISMS方针、目标和实践经验,评估并在适当时测量过程的执行情况,并将结果报告管理者以供评审。处置(A)基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。3.4.6 ISMS标准要求简介a) 识别资产b) 识别威胁、脆弱性c) 风险评估d) 风险管理(控制与检查)e) 持续改进3.4.7 何谓威胁?何谓脆弱点(薄弱点)?威胁可能对资产或组织造成损害的事件的潜在原因。脆弱点(
12、薄弱点)资产或资产组中能被威胁利用的弱点。3.4.8 风险评估应关注的问题资产威胁脆弱点(薄弱点)人员硬件软件数据与文件知识产权与专利等未经授权的访问和应用恶意软件(有意或无意)软件故障信息发送路径重定向(第三方恶意进行)信息未经授权修改火灾盗窃非预期结果(误操作或故意所为)等物理保护措施的缺乏或不适当密码的错误选择和应用与外部网络的连接未被保护文件储存未被保护缺乏安全培训等3.4.9 制定控制目标,采取控制措施,防止信息安全事件的发生物理环境的安全性(物理层安全)如:门禁系统遭到破坏,非授权人员盗取组织核心机密信息。操作系统的安全性(系统层安全)如:病毒、黑客入侵,未安装正版防病毒软件或采取
13、其他有效措施,造成计算机、系统效率降低、死机、瘫痪等。3.4.10 风险评估程序按照组织业务运作流程进行资产识别,并根据评估原则对资产进行评价,建立风险测量的方法及风险等级评价原则,确定风险的大小和等级。3.4.11 主要的风险控制目标和控制措施3.4.11.1 物理环境的安全措施3.4.11.1.1 设置安全区域物理安全边界(门禁系统、人工接待台);物理进入控制、确保只有授权人员才可进入;办公室、房间和设施的安全;具有针对火灾、水灾、地震、爆炸、暴乱和其他形式的自燃或认为灾难的物理保护措施;设有安全工作指南;设置公共访问和装卸区域。3.4.11.1.2 设备安全对设备进行选址安置或保护;设有
14、UPS保护免受电力中断影响;保护电缆免受破坏;存储介质销毁或数据重写设备。3.4.11.1.3 操作系统、网络、应用的安全措施编制并保护文件化的操作程序;控制信息处理设施及系统的变更;设置职责分离;应分离开发、测试和运营设施,以降低不授权访问或对操作系统变更的风险。3.4.11.1.4 第三方服务交付管理目标:实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。措施:策划管理要求,并监督、评审在第三方服务中的履约状况,定期评价与及时变更管理。3.4.11.1.5 网络安全管理目标:确保网络中信息的安全性并保护支持性的基础设施。措施:网络控制应充分管理和控制网络,以防止威胁的发生,维护使用网络的系统和应用程序的安全,包括传输中的信息。网络服务安全应把信息安全性、服务级别以及所有网络服务的管理要求予以确定并包括在所有网络服务协议中,无论这些服务是有内部提供的还是外包的。3.4.11.1.6 介质处置控制目标
