體系前期準(zhǔn)備工作(共10頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上四川博源科技有限責(zé)任公司ISO27000體系前期準(zhǔn)備一、 設(shè)立領(lǐng)導(dǎo)小組信息安全管理組織結(jié)構(gòu)圖信息安全管理委員會(huì)信息安全管理者代表信息安全實(shí)施小組部門(mén)經(jīng)理信息安全內(nèi)部審核員建議：信息安全實(shí)施小組成立后，設(shè)QQ群便于文件編寫(xiě)、評(píng)審和咨詢(xún)溝通交流。-信息安全管理委員會(huì)：1、建立信息安全管理體系的策略；2、負(fù)責(zé)信息安全方針和目標(biāo)的建立；3、負(fù)責(zé)分配信息安全的角色的相關(guān)職責(zé)；4、負(fù)責(zé)公司信息安全組織結(jié)構(gòu)的批準(zhǔn)；5、負(fù)責(zé)信息安全管理體系管理者代表的任命；6、確保信息安全管理體系內(nèi)部審核的實(shí)施；7、定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審；8、確保公司信息安全教育的落實(shí)；9、決定接受風(fēng)險(xiǎn)

2、準(zhǔn)則和風(fēng)險(xiǎn)的可接受的等級(jí)；-管理者代表(分管副總/安委會(huì)副主任)：1、監(jiān)督信息安全管理體系的實(shí)施，并定期向最高管理者匯報(bào)；2、向公司傳達(dá)實(shí)現(xiàn)信息安全目標(biāo)、符合信息安全策略、法律責(zé)任的重要性以及持續(xù)改進(jìn)的需要3、負(fù)責(zé)信息安全管理體系內(nèi)審員的批準(zhǔn)；4、負(fù)責(zé)程序文件的審批，包括修改的審批；5、確認(rèn)信息安全管理手冊(cè)內(nèi)容，并負(fù)責(zé)后期工作的監(jiān)督；6、審核批準(zhǔn)內(nèi)部審核計(jì)劃，主持、監(jiān)督信息安全內(nèi)部審核，批復(fù)內(nèi)審報(bào)告；7、負(fù)責(zé)審核管理評(píng)審計(jì)劃和管理評(píng)審報(bào)告，監(jiān)督管理評(píng)審措施的落實(shí)；8、負(fù)責(zé)組織和確認(rèn)公司信息安全教育；-信息安全執(zhí)行代表：1、在信息安全管理組確定的實(shí)施范圍內(nèi)，具體推廣并落實(shí)各項(xiàng)策略要求和控制措施；

3、2、負(fù)責(zé)本部門(mén)信息安全的日常工作，負(fù)責(zé)本部門(mén)人員的信息安全意識(shí)提升；3、對(duì)本部門(mén)信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)公司的實(shí)情，討論風(fēng)險(xiǎn)的可接受標(biāo)準(zhǔn)，對(duì)不能接受的風(fēng)險(xiǎn)進(jìn)行處置；4、負(fù)責(zé)本部門(mén)信息安全事件的應(yīng)急處理；-信息安全內(nèi)審小組：1、負(fù)責(zé)對(duì)各部門(mén)信息安全管理體系的實(shí)施運(yùn)行情況進(jìn)行監(jiān)督和檢查；2、負(fù)責(zé)內(nèi)部審核和外部審核的具體工作；3、負(fù)責(zé)組織對(duì)信息安全管理體系文件的評(píng)審，并提出文件評(píng)審意見(jiàn)；4、負(fù)責(zé)有效性測(cè)量工作的計(jì)劃和實(shí)施；-各部門(mén)：1、負(fù)責(zé)收集與本部門(mén)相關(guān)的信息安全方面的法規(guī)及其他要求，并及時(shí)上報(bào)信息安全委員會(huì)，同時(shí)負(fù)責(zé)在本部門(mén)內(nèi)傳達(dá)、貫徹和實(shí)施與部門(mén)相2、關(guān)的法規(guī)及其他要求；3、協(xié)助在本部門(mén)內(nèi)宣

4、傳公司的信息安全管理體系文件的要求，提高本部門(mén)員工的信息安全意識(shí)；4、按照信息安全體系文件的要求，在本部門(mén)遵照?qǐng)?zhí)行；5、發(fā)生信息安全事故后負(fù)責(zé)配合信息安全委員會(huì)工作，并協(xié)助制定、實(shí)施處置措施；6、協(xié)助信息安全審計(jì)小組進(jìn)行體系的內(nèi)部審查與外部評(píng)審；7、對(duì)信息資產(chǎn)實(shí)行有效管理，確保信息的機(jī)密性，維持信息的完整性和可用 性，防范對(duì)信息的未授權(quán)訪(fǎng)問(wèn)；8、負(fù)責(zé)本部門(mén)信息安全管理體系文件和記錄的接收、編寫(xiě)、修改與保存；9、處理本部門(mén)與信息安全相關(guān)的事宜，向信息安全委員會(huì)反饋本部門(mén)在信息安全方面的要求和建議；10、在第三方或?qū)ν饴?lián)絡(luò)中積極宣傳本公司的信息安全目標(biāo)和方針；11、在與第三方或外界進(jìn)行信息交流、接

5、觸時(shí)，保證信息的安全；二、定義各職能崗位信息安全角色和職責(zé)三、硬件防護(hù)措施完善（機(jī)房、門(mén)禁、計(jì)算機(jī)、打印/復(fù)印等設(shè)備的物理防范措施等）四、補(bǔ)充、完善現(xiàn)有管理規(guī)范性文件（附相關(guān)文件清單）信息安全適用法律法規(guī)清單員工招聘及錄用管理制度辦公軟件管理規(guī)范機(jī)房管理規(guī)范軟件管理規(guī)范OA系統(tǒng)操作規(guī)范路由器操作規(guī)范門(mén)禁系統(tǒng)操作規(guī)范一體機(jī)操作規(guī)范UPS電源操作規(guī)范IT操作手冊(cè)物理和環(huán)境安全管理制度信息安全事故管理規(guī)程存儲(chǔ)介質(zhì)管理規(guī)范員工懲戒管理制度保密管理制度交換機(jī)操作規(guī)范360殺毒規(guī)范消防應(yīng)急預(yù)案信息交換管理規(guī)范機(jī)房管理規(guī)范服務(wù)器管理規(guī)范服務(wù)器操作規(guī)范信息安全設(shè)備設(shè)施管理規(guī)范信息交換管理規(guī)范信息溝通管理規(guī)范網(wǎng)

6、絡(luò)安全管理規(guī)范保密管理制度備份管理規(guī)范打印機(jī)、復(fù)印機(jī)、傳真機(jī)、電話(huà)使用管理規(guī)范防范惡意和移動(dòng)代碼管理規(guī)范計(jì)算機(jī)及網(wǎng)絡(luò)管理規(guī)定計(jì)算機(jī)設(shè)備操作規(guī)程網(wǎng)站管理有關(guān)規(guī)定物理和環(huán)境安全管理制度系統(tǒng)規(guī)劃和驗(yàn)收管理規(guī)范信息安全監(jiān)視管理規(guī)范信息系統(tǒng)管理規(guī)范五、制定：信息安全適用性聲明1、目的與范圍2、職責(zé)3、聲明六、資產(chǎn)設(shè)備識(shí)別、清理對(duì)資產(chǎn)的定義分類(lèi)示例數(shù)據(jù)保存在信息媒介上的各種電子數(shù)據(jù)資料，包括：源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶(hù)手冊(cè)等軟件系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)言包、工具軟件、各種數(shù)據(jù)庫(kù)等應(yīng)用軟件：外部購(gòu)買(mǎi)的應(yīng)用軟件、包括開(kāi)發(fā)的應(yīng)用軟件等源程序：各種共享資源代碼、自行或合作開(kāi)發(fā)的各種

7、代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)管、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤(pán)陣列、磁帶、光盤(pán)、軟盤(pán)、移動(dòng)硬盤(pán)傳輸線(xiàn)路：光釬、雙絞線(xiàn)、光端機(jī)、光釬收發(fā)器等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）機(jī)房空調(diào)、保險(xiǎn)柜、文件柜、門(mén)禁、消防設(shè)施等 安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其它：打印機(jī)、復(fù)印機(jī)、掃描機(jī)、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開(kāi)發(fā)的管理信息系統(tǒng)（MIS），包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依賴(lài)該系統(tǒng)開(kāi)展的各類(lèi)服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)

8、告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)日目經(jīng)理等其它企業(yè)形象，客戶(hù)關(guān)系等-按部門(mén)建立資產(chǎn)清單： 部資產(chǎn)清單資產(chǎn)類(lèi)別資產(chǎn)名稱(chēng)資產(chǎn)責(zé)任人或責(zé)任崗位資產(chǎn)價(jià)值保密性完整性可用性資產(chǎn)等級(jí)(1 - 5)(1 - 5)(1 - 5)(1 - 5)數(shù)據(jù)資產(chǎn)硬件資產(chǎn)軟件資產(chǎn)服務(wù)資產(chǎn)文檔資產(chǎn)人員資產(chǎn) 擬制： 審核： 批準(zhǔn)： 時(shí)間： 時(shí)間： 時(shí)間： 部重要資產(chǎn)清單資產(chǎn)類(lèi)別資產(chǎn)名稱(chēng)資產(chǎn)責(zé)任人或責(zé)任崗位資產(chǎn)價(jià)值等級(jí)備注(3 - 5)數(shù)據(jù)資產(chǎn)硬件資產(chǎn)軟件資產(chǎn)服務(wù)資產(chǎn)文檔資產(chǎn)人員資產(chǎn) 擬制： 審核： 批準(zhǔn)： 時(shí)間： 時(shí)間： 時(shí)間：示例如:營(yíng)銷(xiāo)部門(mén):資產(chǎn)名稱(chēng)資產(chǎn)責(zé)任人或責(zé)任崗位數(shù)

9、據(jù)資產(chǎn)市場(chǎng)調(diào)研報(bào)告市場(chǎng)策劃師行業(yè)分析報(bào)告行業(yè)分析師市場(chǎng)策劃方案市場(chǎng)策劃師營(yíng)銷(xiāo)計(jì)劃、方案營(yíng)銷(xiāo)中心銷(xiāo)售部經(jīng)理、大區(qū)總監(jiān)產(chǎn)品宣傳手冊(cè)平面設(shè)計(jì)師客戶(hù)檔案資料營(yíng)銷(xiāo)中心銷(xiāo)售部經(jīng)理助理招標(biāo)文件標(biāo)書(shū)主管投標(biāo)文件標(biāo)書(shū)主管技術(shù)方案標(biāo)書(shū)主管合同、協(xié)議內(nèi)務(wù)主管數(shù)據(jù)統(tǒng)計(jì)表內(nèi)務(wù)主管工作聯(lián)系單內(nèi)務(wù)主管工作質(zhì)量報(bào)告營(yíng)銷(xiāo)中心商務(wù)部經(jīng)理助理工作周報(bào)、總結(jié)營(yíng)銷(xiāo)中心商務(wù)部經(jīng)理助理制度體系文件營(yíng)銷(xiāo)中心商務(wù)部經(jīng)理助理內(nèi)審資料內(nèi)務(wù)主管硬件資產(chǎn)筆記本電腦部門(mén)所有人員臺(tái)式機(jī)部門(mén)所有人員文件柜部門(mén)所有人員U盤(pán)部門(mén)所有員工打印機(jī)內(nèi)務(wù)主管軟件資產(chǎn)Windows操作系統(tǒng)部門(mén)所有員工office應(yīng)用軟件部門(mén)所有員工文檔資產(chǎn)市場(chǎng)調(diào)研報(bào)告市場(chǎng)策劃師行業(yè)分析

10、報(bào)告行業(yè)分析師市場(chǎng)策劃方案市場(chǎng)策劃師營(yíng)銷(xiāo)計(jì)劃、方案營(yíng)銷(xiāo)中心銷(xiāo)售部經(jīng)理助理、大區(qū)總監(jiān)產(chǎn)品宣傳手冊(cè)平面設(shè)計(jì)師招標(biāo)文件標(biāo)書(shū)主管投標(biāo)文件標(biāo)書(shū)主管技術(shù)方案標(biāo)書(shū)主管憑證資料（保函、保證金收據(jù)等）內(nèi)務(wù)主管合同、協(xié)議內(nèi)務(wù)主管數(shù)據(jù)統(tǒng)計(jì)表內(nèi)務(wù)主管工作聯(lián)系單內(nèi)務(wù)主管工作質(zhì)量報(bào)告營(yíng)銷(xiāo)中心商務(wù)部經(jīng)理助理制度體系文件營(yíng)銷(xiāo)中心商務(wù)部經(jīng)理助理內(nèi)審資料內(nèi)務(wù)主管人員資產(chǎn)總監(jiān)總經(jīng)理副總監(jiān)總經(jīng)理部門(mén)經(jīng)理總經(jīng)理部門(mén)經(jīng)理助理部門(mén)經(jīng)理大區(qū)總監(jiān)部門(mén)經(jīng)理內(nèi)務(wù)主管部門(mén)經(jīng)理標(biāo)書(shū)主管部門(mén)經(jīng)理標(biāo)書(shū)專(zhuān)員部門(mén)經(jīng)理內(nèi)務(wù)專(zhuān)員部門(mén)經(jīng)理平面設(shè)計(jì)師部門(mén)經(jīng)理行業(yè)分析師部門(mén)經(jīng)理市場(chǎng)策劃師部門(mén)經(jīng)理區(qū)域銷(xiāo)售經(jīng)理部門(mén)經(jīng)理部門(mén)秘書(shū)部門(mén)經(jīng)理財(cái)務(wù)示例資產(chǎn)名稱(chēng)資產(chǎn)責(zé)任人或責(zé)任崗位資

11、產(chǎn)價(jià)值保密性完整性可用性資產(chǎn)等級(jí)(1 - 5)(1 - 5)(1 - 5)(1 - 5)數(shù)據(jù)資產(chǎn)賬套電子數(shù)據(jù)所有財(cái)務(wù)人員4444 賬套紙質(zhì)數(shù)據(jù)所有財(cái)務(wù)人員4444 報(bào)表所有財(cái)務(wù)人員4444 涉稅數(shù)據(jù)所有財(cái)務(wù)人員4444 統(tǒng)計(jì)報(bào)表數(shù)據(jù)所有財(cái)務(wù)人員4444 合同數(shù)據(jù)所有財(cái)務(wù)人員4444 硬件資產(chǎn)操作電腦（臺(tái)式機(jī)）各使用人員4444 筆記本電腦（經(jīng)理）經(jīng)理4444 服務(wù)器所有財(cái)務(wù)人員4444 打印機(jī)（帶復(fù)?。┧胸?cái)務(wù)人員4444 點(diǎn)鈔機(jī)出納4444 支票打印機(jī)出納4444 發(fā)票打印機(jī)銷(xiāo)售會(huì)計(jì)4444 專(zhuān)用發(fā)票認(rèn)證機(jī)成本會(huì)計(jì)4444 裝訂機(jī)所有財(cái)務(wù)人員4444 移動(dòng)硬盤(pán)總賬會(huì)計(jì)4444 軟件資產(chǎn)用友財(cái)務(wù)軟件所有財(cái)務(wù)人員4444 賬套局域網(wǎng)系統(tǒng)所有財(cái)務(wù)人員4444 發(fā)票認(rèn)證系統(tǒng)成本會(huì)計(jì)4444 開(kāi)票系統(tǒng)銷(xiāo)售會(huì)計(jì)4444 納稅申報(bào)系統(tǒng)總