ISMS信息安全建立說明綱要(基礎知識)

1、2022-3-6楊興楊興文文 2012年8月15日ISO/IEC 27001重要項提示與案例說明地地 址：址：深圳市福田區(qū)深南大道6006號人民大廈華豐樓五樓 郵郵 編：編：518063電電 話：話傳傳 真：真83088619E-Mail：yang_手手 機：機：139257007732信息安全的建立介紹與說明信息安全的建立介紹與說明4 4信息安全事件事故處理信息安全事件事故處理5 5信息安全的信息安全的PDCAPDCA確定須進行機密管理的信息，實施機密管理所必要的規(guī)則。建立可有組織地推進信息安全的組織。實施保密的誓約等的防止信息泄露

2、的人的對策。明確發(fā)生事故時的處理方法，并加以實施。實施可推進持續(xù)改善活動的信息安全管理。信息安全建立工作的整體情況如下：信息安全建立工作的整體情況如下：31 1確立信息安全組織組織確立信息安全組織組織1-1.1-1.建立信息安全管理相關組織組織建立信息安全管理相關組織組織。組織的例子組織的例子：設置信息安全的最高責任人（CSO）?；诮?jīng)營方針，設置決定和推進全公司的安全方針的營運委員會、推進責任人 和專家（責任人）等。設置進行信息安全相關事項的審議和認可的職能部門（人事、總務、技術管理 部門等）的代表委員會。在各工作部門設置工作部門的推進責任人（組織責任人等）。工作部門推進主管（由工作部門的組

3、織責任人委任）作為經(jīng)營責任的一個環(huán)節(jié)進行推進信息安全委員會信息安全推進責任人信息安全推進專家工作現(xiàn)場作為業(yè)務管理的一個環(huán)節(jié)進行推進員工41 1確立信息安全組織組織確立信息安全組織組織1-21-2制定信息安全相關規(guī)則的書面文件制定信息安全相關規(guī)則的書面文件。1-31-3對于組織內(nèi)的信息安全實施項目，要明確責任人及其相關任務和責任對于組織內(nèi)的信息安全實施項目，要明確責任人及其相關任務和責任。1-3 參考資料：推進組織組織表將信息安全的確保作為經(jīng)營課題，由領導人宣布實施將信息安全的確保作為經(jīng)營課題，由領導人宣布實施。要建立可有組織地決要建立可有組織地決定和推進的組織定和推進的組織。作為組織整體，為了

4、有效地推進信息安全對策的要點：作為組織整體，為了有效地推進信息安全對策的要點：1 1可在公司內(nèi)部統(tǒng)一意識并實行的組織組織可在公司內(nèi)部統(tǒng)一意識并實行的組織組織2 2明確實施責任人及其任務和責任明確實施責任人及其任務和責任3 3制定明文化的信息安全方針和規(guī)則并貫徹周知制定明文化的信息安全方針和規(guī)則并貫徹周知（培訓）（培訓）1-2 參考資料：XX電器的信息安全方針52 2信息資產(chǎn)的機密管理信息資產(chǎn)的機密管理2-12-1機密信息的明確化機密信息的明確化2-1-12-1-1制作由本公司指定的機密信息以及利用該信息創(chuàng)造出的機密信息的管理制作由本公司指定的機密信息以及利用該信息創(chuàng)造出的機密信息的管理列表，并

5、加以明確列表，并加以明確。在推進信息安全的過程中，在推進信息安全的過程中， 要明確須要明確須保護的是什么，這一點很重要保護的是什么，這一點很重要。通過明確應保護的信息，可確定處理信通過明確應保護的信息，可確定處理信息的人員和場所、工作程序息的人員和場所、工作程序。由此，可設置對信息的威脅，選擇必要由此，可設置對信息的威脅，選擇必要的管理對策并能夠確認脆弱性和有無風的管理對策并能夠確認脆弱性和有無風險險。2-1-1參考資料：盤點表適用于供應商信息安全基準的信息由本公司指定的 “機密信息”和由指定“機密信息”所創(chuàng)造出的信息。（參見“基準附則2.” ）盤點表中，將1本公司指定的機密信息（文件、電子數(shù)

6、據(jù)、化體品（技術載體）等）2創(chuàng)造出的機密信息（文件、電子數(shù)據(jù)、化體品（技術載體）等）按照各管理單位制作列表。創(chuàng)造出的機密信息的例子：模具、試制品、軟件、CAD圖紙、電路圖、失敗產(chǎn)品、測試數(shù)據(jù)等對于列表中的機密信息，適用供應商信息安全基準的管理對策，確保安全。盤點表的編制我把組織里的盤點表都匯總好了。我們的組織里居然有這么多的機密信息，真應該好好地加以管理。實行實行組織責任人應編制盤點表。組織責任人應按秘密信息和絕密信息分別編制包括其記錄在內(nèi)的盤點表。62 2信息資產(chǎn)的機密管理信息資產(chǎn)的機密管理2-1-2對管理列表中的機密信息進行適當?shù)陌踩芾韺芾砹斜碇械臋C密信息進行適當?shù)陌踩芾怼?制定標示

7、、保管和訪問等相關信息保護的管理規(guī)則。 關于業(yè)務區(qū)域，參見 “項目2-3”參照機密標示廢棄 訪問加密保管復制/復印責任人認可分發(fā)/通信方法向他人公開帶出加密責任人認可打印復印郵寄發(fā)傳真利用網(wǎng)絡上鎖秘Confidential訪問權限權限者一覽表訪問記錄碎紙機內(nèi)容加密保存至硬盤 必要時業(yè)務區(qū)域以上保密合同要要要要i4rjjg/hw?o3/h7t要要帶條件可以必要范例：直接當面交付責任人管理要要責任人認可確認收件人MEIConfidential機密信息業(yè)務區(qū)域以上定期檢查即使在集團，對于不執(zhí)行該信息相關業(yè)務的部門以及成員，也要作為其他人員看待。確認收件人責任人管理72 2信息資產(chǎn)的機密管理信息資產(chǎn)的

8、機密管理2-1-3由責任人定期地對管理列表以及管理的實際狀況進行重審。由責任人定期地對管理列表以及管理的實際狀況進行重審。根據(jù)交接記錄和業(yè)務結果，評價符根據(jù)交接記錄和業(yè)務結果，評價符合基準的機密信息是否被列入列表合基準的機密信息是否被列入列表中。中。信息的機密性會發(fā)生變化信息的機密性會發(fā)生變化。例如，例如，新商品新商品的設計相關信息，在的設計相關信息，在發(fā)售前為機密信息，在發(fā)售后，機發(fā)售前為機密信息，在發(fā)售后，機密性將不存在密性將不存在。還要通過定期的重新確認，重審適還要通過定期的重新確認，重審適用基準的機密信息是否被適當?shù)刈酚没鶞实臋C密信息是否被適當?shù)刈芳雍蛣h除加和刪除。該信息已返還給松下，

9、故從列表中刪除盤點表的重審對盤點表定期地進行盤點表核查。對于秘密信息，至少要每年進行一次重審；對于絕密信息，至少要每季度進行一次重審。實行實行盤點表82 2信息資產(chǎn)的機密管理信息資產(chǎn)的機密管理2-2物理管理與物理管理與IT技術的應用技術的應用為了能夠限制無關人員進入公司區(qū)域、建筑物以及房間內(nèi)而進行了區(qū)域區(qū)分。為了能夠限制無關人員進入公司區(qū)域、建筑物以及房間內(nèi)而進行了區(qū)域區(qū)分。業(yè)務區(qū)域業(yè)務區(qū)域重要區(qū)域重要區(qū)域共用區(qū)域共用區(qū)域CRCR監(jiān)視攝像機監(jiān)視攝像機電鎖等電鎖等監(jiān)視攝像機CRCR為了限制對物理信息的訪問，須對區(qū)域進行劃分為了限制對物理信息的訪問，須對區(qū)域進行劃分。 共用區(qū)域：共用區(qū)域：該區(qū)域用

10、于與外來人員進行商洽和接收貨物等，不保管一般的公開信息以外該區(qū)域用于與外來人員進行商洽和接收貨物等，不保管一般的公開信息以外的信息的信息。 業(yè)務區(qū)域：業(yè)務區(qū)域：是員工進行日常業(yè)務的區(qū)域是員工進行日常業(yè)務的區(qū)域。公司內(nèi)部的信息公司內(nèi)部的信息（包括由本公司交付的機密信包括由本公司交付的機密信息要保管于該區(qū)域以上級別區(qū)域，限制無關人員進入，即使是公司員工，與本息要保管于該區(qū)域以上級別區(qū)域，限制無關人員進入，即使是公司員工，與本業(yè)務無關的人員也不得進入業(yè)務無關的人員也不得進入。 重要區(qū)域：重要區(qū)域：該區(qū)域用于進行特別重要的業(yè)務，保管重要信息以及服務器等該區(qū)域用于進行特別重要的業(yè)務，保管重要信息以及服務

11、器等。從共用區(qū)域從共用區(qū)域進入時須通過業(yè)務區(qū)域才能進入進入時須通過業(yè)務區(qū)域才能進入。要實施嚴格的出入管理要實施嚴格的出入管理。92 2信息資產(chǎn)的機密管理信息資產(chǎn)的機密管理2-3必要必要措施：措施：須設置圍墻、須設置圍墻、ID卡認證、監(jiān)視攝像機、傳感器等?？ㄕJ證、監(jiān)視攝像機、傳感器等。制作圍墻、ID卡認證、監(jiān)視攝像機、傳感器等的設置圖等，并加以管理。例如：重要區(qū)域：以監(jiān)視攝像機監(jiān)視入口處，出入室管理則通過例如：重要區(qū)域：以監(jiān)視攝像機監(jiān)視入口處，出入室管理則通過ID卡認證取得日志卡認證取得日志 業(yè)務區(qū)域：入室的管理應通過業(yè)務區(qū)域：入室的管理應通過ID卡認證取得日志卡認證取得日志公司區(qū)域/停車場/外

12、圍部分員工通行門辦公室/放映室重要區(qū)域保安室/物理安全責任人室外監(jiān)視攝像機紅外線傳感器監(jiān)視攝像機非接觸式IC讀卡器門非接觸式IC讀卡器監(jiān)視攝像機非接觸式IC讀卡器服務器室監(jiān)視攝像機非接觸式IC讀卡器人體認證（虹彩）公司區(qū)域/外圍部分室外監(jiān)視攝像機紅外線傳感器監(jiān)視攝像機人體感知傳感器樓梯監(jiān)視控制裝置正門門廳監(jiān)視攝像機非接觸式IC讀卡器監(jiān)視攝像機人體感知傳感器大廳非接觸式IC讀卡器監(jiān)視攝像機工廠/實驗樓模具/重要資料管理室非接觸式IC讀卡器監(jiān)視攝像機102 2信息資產(chǎn)的機密管理信息資產(chǎn)的機密管理 訪問電子化信息時，每個人要使用自己的訪問電子化信息時，每個人要使用自己的ID和密碼，并記錄誰訪問了與本

13、和密碼，并記錄誰訪問了與本 公司共享的機密信息。公司共享的機密信息。每個人應使用自己的每個人應使用自己的ID和密碼，并和密碼，并保留訪問日志，這樣，在出現(xiàn)對電保留訪問日志，這樣，在出現(xiàn)對電子化信息的異常訪問時，可以確定子化信息的異常訪問時，可以確定原因和訪問者原因和訪問者。也有可自動取得文件訪問日志的應也有可自動取得文件訪問日志的應用程序用程序。好，那就用責任人的ID訪問這份機密信息吧禁止非法訪問禁止非法訪問禁止訪問沒有訪問權限的信息和使用他人的ID。112 2信息資產(chǎn)的機密管理信息資產(chǎn)的機密管理 由系統(tǒng)管理單位（或提供單位）指定防病毒軟件（殺毒軟件）的種類和版本等，進行 導入使用。在公司內(nèi)部

14、使用的防病毒對策在公司內(nèi)部使用的防病毒對策軟件，應決定它的種類和版本，軟件，應決定它的種類和版本，使所有的電腦能夠適時地實施使所有的電腦能夠適時地實施相同的必要對策，并加以管理。相同的必要對策，并加以管理。病毒對策軟件的常年使用病毒對策軟件的常年使用電腦和服務器上，應常年安裝有著防病毒軟件。因為安裝了防病毒對策軟件，所以放心了。實行實行應根據(jù)信息管理者指定的必要事項，在所有的信息系統(tǒng)設備上，安裝防病毒對策軟件的最新版本。123 3人的人的對策對策即使是由于洽談即使是由于洽談、休息休息、其它的其它的事情而需暫時離開座位，也應注事情而需暫時離開座位，也應注意不要讓信息泄露給不應知道的意不要讓信息泄

15、露給不應知道的人員人員。例如，即使是例如，即使是2、3分鐘，也可用分鐘，也可用記錄媒體等復制大量的數(shù)據(jù)記錄媒體等復制大量的數(shù)據(jù)。離開座位時的應對離開座位時的應對我去取一下追加的文件。我原來還打算偷看一眼呢。注銷在離開座位時，要進行注銷或對畫面進行鎖定。實行實行在A、B、C所有的區(qū)域里，在離開座位時，要進行注銷或對畫面進行鎖定。畫面的鎖定設置畫面的鎖定設置啊，我原來想偷看一眼，卻被鎖定了。畫面鎖定嗯。所以說，關于這件事情，它現(xiàn)在是這樣的應進行相應設置，使得無輸入狀態(tài)最多持續(xù)5分鐘，畫面就會被鎖定。實行實行禁止隨意放置機密信息禁止隨意放置機密信息好極了，好極了，趁著這個時機好，那就去吃午飯吧。不得

16、將機密信息、絕密信息放置在桌面上。除了使用時之外，平時應放在桌子的抽屜里或帶鎖柜子里上鎖保管。不得將它放置在桌面上而離開座位。3-1信息安全的啟蒙、培訓以及訓練信息安全的啟蒙、培訓以及訓練 新老員工，基本知識和常識性培訓必不可少。新老員工，基本知識和常識性培訓必不可少。133 3人的人的對策對策3-2與員工等簽訂保密合同與員工等簽訂保密合同3-2-1就業(yè)規(guī)則就業(yè)規(guī)則中含有中含有保密項目，取得員工簽署的保密合同。保密項目，取得員工簽署的保密合同。3-2-2派遣員派遣員工上崗前，應取得其簽工上崗前，應取得其簽署的保密合同。署的保密合同。a）進行與公司員工同等的保密管理，并管理保密合同。3-2-3委

17、托業(yè)務時，委托對象要取得員工簽署的保密合同。委托業(yè)務時，委托對象要取得員工簽署的保密合同。a）進行與公司員工同等的保密管理，并管理保密合同。應確認接觸信應確認接觸信息資產(chǎn)的所有息資產(chǎn)的所有人員是否履行人員是否履行了保密的任務了保密的任務和責任。和責任。3-2參考資料：保密相關保密合同（例子）保密義務保密義務你以前在本公司集團干過，對吧？能告訴我一些你在本公司時知道的信息嗎？對于業(yè)務上知道的信息，必須予以保密。實行實行員工等在職時，當然不用說要保密；即使在離職之后，對于業(yè)務上知道的信息，也有保密的義務。離職后的保密責任離職后的保密責任關于那些信息，我負有保密義務，所以什么都不能說。請在保密合同上

18、簽字，保證在離職后也將保守機密。在員工等離職后，應對離職后的保密責任，再次予以確認。而且，要讓即將離職的員工歸還或刪除其所持有的信息。錄用時對保密義務的確認錄用時對保密義務的確認明白了。正如在關于錄用的事項中明確記載的那樣，你今后將對信息安全負有責任。對員工等采取的措施對員工等采取的措施實行實行實行實行在錄用時，應對保密義務進行確認。在錄用時，作為雇用條件，應明確員工負有信息安全方面的責任。對于中途錄用者，應確認該員工對以前的任職公司的保密義務。項目會議如果大家不提交這份保密合同的話，就不能參加這個項目，因此，請大家合作。對于參加需要高度保密的項目成員，應讓他們提交保密合同。組織責任人應讓參加

19、的成員提交保密合同，保證徹底地貫徹嚴格的機密管理。離職后的保密相關保密合同144 4信息安全事件事故處理信息安全事件事故處理4-1設置了事故發(fā)生時的聯(lián)絡設置了事故發(fā)生時的聯(lián)絡/應對的責任人，建立事故報告組織。應對的責任人，建立事故報告組織。 a)要建立相關組織，使當發(fā)現(xiàn)信息安全上的問題或感覺到發(fā)生的危險時，或目擊了事件 事故、發(fā)現(xiàn)了事件事故的痕跡時，能夠迅速向貴公司的信息管理責任人報告。信息安全事故的例子：信息的泄露、非法訪問、非法獲取、病毒事故、可用性的喪失（系統(tǒng)停止、數(shù)據(jù)被 破壞等）完整性的喪失（數(shù)據(jù)的篡改、刪除）當存在事故的征兆時，應防患事故當存在事故的征兆時，應防患事故于未然；當發(fā)生事

20、故時，為了抑制于未然；當發(fā)生事故時，為了抑制受害程度的擴大，須迅速與相關人受害程度的擴大，須迅速與相關人員聯(lián)絡員聯(lián)絡。通過所在組織的責任人或信息安全通過所在組織的責任人或信息安全責任人等，與信息安全部門聯(lián)系，責任人等，與信息安全部門聯(lián)系，根據(jù)需要，還應與其他相關人員聯(lián)根據(jù)需要，還應與其他相關人員聯(lián)系系。重要輸出：事故緊急聯(lián)絡組織表我把保存有本公司信息的電腦忘在電車上了。問題或事件事故的發(fā)生問題或事件事故的發(fā)生實行實行在發(fā)生有關信息安全的問題或事件事故時，應立即進行報告。員工等，應按照規(guī)定的程序進行報告154 4信息安全事件事故處理信息安全事件事故處理4-2對于與本公司共享的機密信息，在發(fā)現(xiàn)了上

21、述問題以及事件事故或感覺到發(fā)生對于與本公司共享的機密信息，在發(fā)現(xiàn)了上述問題以及事件事故或感覺到發(fā)生的危險時，要迅速向的危險時，要迅速向公司主管負責人公司主管負責人通報。通報。 a)規(guī)定了報告渠道、從事故發(fā)生到通報為止的時間等，并加以貫徹周知。4-3完備發(fā)生了信息安全事故時的應對手冊，完備發(fā)生了信息安全事故時的應對手冊，明確處理步驟明確處理步驟。 a)把握受害狀況和使受害影響最小化的緊急處理 b)查明原因和暫定措施 c)采取措施，規(guī)定信息泄露時向該第三方報告等，可使相關人員能夠進行自衛(wèi)以及相關處理 d)必要時，應進行宣傳處理，向相關政府機關報告處理得越晚，受害程度越會被處理得越晚，受害程度越會被

22、擴大擴大。為了在事故發(fā)生時能夠迅速應為了在事故發(fā)生時能夠迅速應對，而且，為了防止處理遺漏，對，而且，為了防止處理遺漏，應完善手冊應完善手冊。應決定供應商、本公司雙方的事故聯(lián)絡窗口，將從事故發(fā)生到通報為止應決定供應商、本公司雙方的事故聯(lián)絡窗口，將從事故發(fā)生到通報為止的時間規(guī)定在的時間規(guī)定在48小時小時以內(nèi)（例以內(nèi)（例子子），并貫徹周知，并貫徹周知。對事故的緊急應對處理對事故的緊急應對處理實行實行 ，你馬上和相關部門聯(lián)系。 先生/小姐，你去確認一下事故的詳細情況。應進行緊急應對處理，將事故所造成的受害程度限制在最小限度。對信息安全事故進行處理的責任，由事業(yè)領域公司及下屬的事業(yè)部門的事業(yè)責任人承擔。

23、164 4信息安全事件事故處理信息安全事件事故處理4-4記錄事故的經(jīng)過和處理的經(jīng)過。記錄事故的經(jīng)過和處理的經(jīng)過。4-5要迅速實施防止要迅速實施防止事故再次發(fā)生事故再次發(fā)生的對策，并貫徹周知。的對策，并貫徹周知。若不查明事故的原因，不及時對策，若不查明事故的原因，不及時對策，則有可能再次發(fā)生同樣的事故。則有可能再次發(fā)生同樣的事故。特別是要提高員工對事故原因和結果、特別是要提高員工對事故原因和結果、采取對策的意識，這是非常重要的采取對策的意識，這是非常重要的。4-4參考資料：事故報告書查明事故的原因查明事故的原因我們認為，原因在于將 ，當成了 。因此，為了防止再次發(fā)生實行實行應查明事故的原因，采取旨在防止再次發(fā)生的對策。175 5信息安全的信息安全的PDCAPDCA5-1規(guī)定了有組織的信息安全活動的自主檢查內(nèi)容。規(guī)定了有組織的信息安全活動的自主檢查內(nèi)容。建立可定期地檢查信息安全的實際情況的組織建立可定期地檢查信息安全的實際情況的組織。實施檢查，掌握異常點實施檢查，掌握異常點。將檢查結果報告給處于