版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
信息安全管理IT服務(wù)管理體系手冊(cè)本公司按照ISO20000:2005ISO270012005《信息安全管理體系要求》以及本公司業(yè)務(wù)特點(diǎn)編制《信息安全管理&IT服務(wù)IT服務(wù)管理體系,現(xiàn)予以頒布實(shí)施。本手冊(cè)是公司法規(guī)性文件,用于貫徹公司信息安全管理方針和目標(biāo),貫徹IT服務(wù)管理理念方針和服務(wù)目標(biāo)。為實(shí)現(xiàn)信息安全管理與IT服務(wù)管理,開(kāi)展持續(xù)改進(jìn)服務(wù)質(zhì)量,不斷提高客戶滿意度活動(dòng),加強(qiáng)信息安全建設(shè)的綱領(lǐng)性文件和行動(dòng)準(zhǔn)則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對(duì)社會(huì)的承諾,通過(guò)有效的PDCA活動(dòng)向顧客提供滿足要求的信息安全管理和IT服務(wù)。本手冊(cè)符合有關(guān)信息安全法律法規(guī)要求以及《信息技術(shù)服務(wù)ISO270012005《信息安全管理體系要求》和公司實(shí)際情況。為能更好的貫徹公司管理層在信息安全與IT服務(wù)管理方面的策略和方針,根據(jù)ISO20000:2005《信息技術(shù)服務(wù)管理—規(guī)范》和ISO27001:2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表,作為本公司組織和實(shí)施“信息安全管理與IT服務(wù)管理體系”的負(fù)責(zé)人。直接向公司管理層報(bào)告。&IT遵守本手冊(cè)各項(xiàng)要求,努力實(shí)現(xiàn)公司的信息安全與IT服務(wù)的方針和目標(biāo)。管理者代表職責(zé):更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)a)建立服務(wù)管理計(jì)劃;b)向組織傳達(dá)滿足服務(wù)管理目標(biāo)和持續(xù)改進(jìn)的重要性;e)如招聘合適的人員,管理人員的更新;1.確保按照ISO207001:2005標(biāo)準(zhǔn)的要求,進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估,全面建立、實(shí)施ISO/IEC20000組織相關(guān)資源,建立、實(shí)施和保持IT服務(wù)管理體系,不斷改進(jìn)IT服務(wù)管理體系,確保其有效性、適宜性和符合性。2.負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作;向公司管理層報(bào)告IT服務(wù)管理體系的業(yè)績(jī),如:服務(wù)方針和服務(wù)目標(biāo)的業(yè)績(jī)、客戶滿意度狀況、各項(xiàng)服務(wù)活動(dòng)及改進(jìn)的要求和結(jié)果等。3.確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí);4.審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃;5.批準(zhǔn)發(fā)布程序文件;6.主持信息安全管理體系內(nèi)部審核,任命審核組長(zhǎng),批準(zhǔn)內(nèi)審工作報(bào)告;向最高管理者報(bào)告信息安全管理體系的業(yè)績(jī)和改進(jìn)要求,包括信息安全管理體系運(yùn)行情況、內(nèi)外部審核情況。7.推動(dòng)公司各部門領(lǐng)導(dǎo),積極組織全體員工,通過(guò)工作實(shí)踐、教育培訓(xùn)、業(yè)務(wù)指導(dǎo)等方式不斷提高員工對(duì)滿足客戶需求的重要性的認(rèn)知程度,以及為達(dá)到公司服務(wù)管理目標(biāo)所應(yīng)做出的貢獻(xiàn)。總經(jīng)理:日期:更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)信息安全方針:信息安全人人有責(zé)本公司信息安全管理方針包括內(nèi)容如下:一、信息安全管理機(jī)制1.公司采用系統(tǒng)的方法,按照ISO/IEC27001:2005建立信息安全管理體系,全面保護(hù)本公司的信息安全。二、信息安全管理組織2.公司總經(jīng)理對(duì)信息安全工作全面負(fù)責(zé),負(fù)責(zé)批準(zhǔn)信息安全方針,確定信息安全要求,提供信息安全資源。3.公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系,保證信息安全管理體系的持續(xù)適宜性和有效性。4.在公司內(nèi)部建立信息安全組織機(jī)構(gòu),信息安全管理委員會(huì)和信息安全協(xié)調(diào)機(jī)構(gòu),保證信息安全管理體系的有效運(yùn)行。5.與上級(jí)部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系,了解安全要求和發(fā)展動(dòng)態(tài),獲得對(duì)信息安全管理的支持。三、人員安全6.信息安全需要全體員工的參與和支持,全體員工都有保護(hù)信息安全的職責(zé),在勞動(dòng)合同、崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對(duì)崗位調(diào)動(dòng)或離職人員,應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。7.對(duì)本公司的相關(guān)方,要明確安全要求和安全職責(zé)。8.定期對(duì)全體員工進(jìn)行信息安全相關(guān)教育,包括:技能、職責(zé)和意識(shí)。以提高安全意識(shí)。9.全體員工及相關(guān)方人員必須履行安全職責(zé),執(zhí)行安全方針、程序和安全措施。四、識(shí)別法律、法規(guī)、合同中的安全10.及時(shí)識(shí)別顧客、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求,采取措施,保證滿足安全要求。五、風(fēng)險(xiǎn)評(píng)估11.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求,建立風(fēng)險(xiǎn)評(píng)估程序,確定風(fēng)險(xiǎn)接受準(zhǔn)則。12.采用先進(jìn)的風(fēng)險(xiǎn)評(píng)估技術(shù)和軟件,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估,以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí),隨時(shí)評(píng)估。13.應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,采取相應(yīng)措施,降低風(fēng)險(xiǎn)。六、報(bào)告安全事件14.公司建立報(bào)告信息安全事件的渠道和相應(yīng)的主管部門。15.全體員工有報(bào)告信息安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任,一旦發(fā)現(xiàn)信息安全事件,應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。16.接受信息安全事件報(bào)告的主管部門應(yīng)記錄所有報(bào)告,及時(shí)做出相應(yīng)的處理,并向報(bào)告人員反饋處理結(jié)果。七、監(jiān)督檢查更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)17.定期對(duì)信息安全進(jìn)行監(jiān)督檢查,包括:日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性18防止關(guān)鍵業(yè)務(wù)過(guò)程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響,并確保能夠及時(shí)恢復(fù)。19.定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試和更新。九、違反信息安全要求的懲罰20.對(duì)違反信息安全方針、職責(zé)、程序和措施的人員,按規(guī)定進(jìn)行處理。信息安全目標(biāo):1.不可接受風(fēng)險(xiǎn)處理率:100%2.重大顧客因信息安全事件投訴為0次(重大顧客投訴是指直接經(jīng)濟(jì)損失金額達(dá)1萬(wàn)元以上)更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)1信息安全管理手冊(cè)說(shuō)明1.1XX1.1編制依據(jù)和目的本手冊(cè)在遵循ISO90012005《信息安全管理體系要求》與ISO270012005A用性聲明SoA手冊(cè)描述公司的信息安全管理體系的總要求,以確保公司的信息安全管理體系能夠達(dá)到ISO27001:2005信息安全管理標(biāo)準(zhǔn)的要求;滿足和本公司的體系程序是手冊(cè)的支持性文件,是對(duì)體系運(yùn)作的具體描述。1.2適用范圍信息安全管理&IT服務(wù)管理體系手冊(cè)適用于本公司提供安全管理體系認(rèn)證服務(wù)與IT服務(wù)有關(guān)的所有部門和活動(dòng)。1.31.3.122信息安全管理&IT服務(wù)管理手冊(cè)的管理11212312更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)4412512更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)3公司架構(gòu)和安全承諾3.1公司行政組織架構(gòu)總經(jīng)理研發(fā)實(shí)施質(zhì)量保證測(cè)試市場(chǎng)采購(gòu)倉(cāng)庫(kù)培訓(xùn)文檔更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)3.2公司信息安全管理體系組織架構(gòu)圖總經(jīng)理管理者代表研發(fā)實(shí)施質(zhì)量保證測(cè)試客戶服務(wù)部注:每個(gè)虛線框內(nèi)為一個(gè)信息安全小組,部門的負(fù)責(zé)人為安全組長(zhǎng),各崗位負(fù)責(zé)人為該崗位的安全員。更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)3.33.4信息安全承諾◆公司成立安全管理委員會(huì)來(lái)領(lǐng)導(dǎo)信息安全工作,并確定相應(yīng)的職責(zé)和作用?!糁朴喰畔踩结樅托畔踩繕?biāo),建立和完善公司的信息安全管理體系。◆提供充分的資源以保證信息安全管理體系的制定、實(shí)施、運(yùn)作、監(jiān)控、維護(hù)和改善。◆對(duì)公司信息資產(chǎn)實(shí)行有效管理,確保信息的機(jī)密性,維持信息的完整性和可用性,防范對(duì)信息的未經(jīng)授權(quán)訪問(wèn)。對(duì)公司信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,制定風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn),對(duì)公司不能接受的風(fēng)險(xiǎn)進(jìn)行處置?!艚I(yè)務(wù)持續(xù)性管理流程。進(jìn)行業(yè)務(wù)持續(xù)性風(fēng)險(xiǎn)評(píng)估,編寫、測(cè)試并實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃,以保證公司關(guān)鍵業(yè)務(wù)的連續(xù),不受重大故障和災(zāi)難的影響?!舸_保公司所有員工都接受信息安全的教育培訓(xùn),提高信息安全意識(shí)?!舯Wo(hù)公司、客戶、相關(guān)合作方的信息安全?!艚⒐拘畔踩M織架構(gòu),明確信息安全責(zé)任,確定報(bào)告可疑的和發(fā)生的信息安全事故及事件的流程,對(duì)違反安全制度的人員進(jìn)行懲罰?!艚⑽锢戆踩途W(wǎng)絡(luò)安全管理制度,以確保信息的安全性?!舯Wo(hù)公司軟件和信息的完整性,防止病毒與各種惡意軟件的入侵?!羧魏稳嗽谖唇?jīng)審批的情況下,禁止將信息資產(chǎn)帶離公司?!艄舅袉T工都要嚴(yán)格遵守公司的安全方針、程序和制度?!艨刂茖?duì)內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問(wèn),保護(hù)網(wǎng)絡(luò)服務(wù)的安全性與可用性?!魧?duì)用戶賬號(hào)、口令和權(quán)限進(jìn)行嚴(yán)格管理,防止對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)?!魧?duì)重要信息進(jìn)行備份保護(hù),以保證信息的可用性?!舳ㄆ趯?duì)信息安全管理體系進(jìn)行內(nèi)審和管理評(píng)審。更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)3.5信息安全管理委員會(huì)為了加強(qiáng)對(duì)信息安全管理體系運(yùn)作的管理,江蘇金馬揚(yáng)名信息技術(shù)有限公司公司成立信息安全管理委員會(huì),其職責(zé)見(jiàn)下列明細(xì)表。信息安全管理職責(zé)明細(xì)表123456信息安全管理委員會(huì)組成人員:更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)6121個(gè)12更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)3.41DABCD2—3—4—5—678C更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)4信息安全管4.1總要求4.1.1公司根據(jù)整體業(yè)務(wù)活動(dòng)(軟件開(kāi)發(fā)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng))和所面臨的風(fēng)險(xiǎn),按ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-維護(hù)并改進(jìn)文件化的信息安全管理體系。4.1.2本手冊(cè)使用的過(guò)程基于PDCA模式。相關(guān)文件:《信息安全方針及目標(biāo)》更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)4.2建立和管理信息安全管理體系(ISMS)4.2.1建立ISMS信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界,本公司信息安全管理體系的范圍包括:a)本公司涉及軟件開(kāi)發(fā)、營(yíng)銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng);b)與所述信息系統(tǒng)有關(guān)的活動(dòng);c)與所述信息系統(tǒng)有關(guān)的部門和所有員工;d)所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍:JIN/QM—3.2《公司信息安全管理體系組織架構(gòu)》。物理范圍:本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和信息安全邊界。本公司ISMS的物理范圍為本公司位于常州市常州市鸝欣麗都2幢乙單元503室的辦公場(chǎng)所,安全邊界詳見(jiàn)附錄信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求,維持軟件開(kāi)發(fā)和經(jīng)營(yíng)的正常進(jìn)行,實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管理體系方針,見(jiàn)本信息安全管理手冊(cè)第0.3條款。該信息安全方針?lè)弦韵乱螅篴)為信息安全目標(biāo)建立了框架,并為信息安全活動(dòng)建立整體的方向和原則;b)考慮業(yè)務(wù)及法律或法規(guī)的要求,及合同的安全義務(wù);c)與組織戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下,建立和保持信息安全管理體系;d)建立了風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則;e)經(jīng)最高管理者批準(zhǔn)。為實(shí)現(xiàn)信息安全管理體系方針,本公司承諾:a)在各層次建立完整的信息安全管理組織機(jī)構(gòu),確定信息安全目標(biāo)和控制措施;明確信息安全的管理職責(zé),見(jiàn)本信息安全管理手冊(cè)第3.4條款。;b)識(shí)別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求;c)定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,信息安全管理體系評(píng)審,采取糾正預(yù)防措施,保證體系的持續(xù)有效性;d)采用先進(jìn)有效的設(shè)施和技術(shù),處理、傳遞、儲(chǔ)存和保護(hù)各類信息,實(shí)現(xiàn)信息共享;e)f)制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃,實(shí)現(xiàn)可持續(xù)發(fā)展。風(fēng)險(xiǎn)評(píng)估的方法生技部負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)管理程序》,建立識(shí)別適用于信息安全管理體系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法,建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估采用信息安全風(fēng)險(xiǎn)管理軟件(Info-riskmanager)進(jìn)行,以保證所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。識(shí)別風(fēng)險(xiǎn)更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)在已確定的信息安全管理體系范圍內(nèi),本公司按《信息安全風(fēng)險(xiǎn)管理程序》,采用Info-riskmanager風(fēng)險(xiǎn)管理軟件,對(duì)所有的資產(chǎn)進(jìn)行了識(shí)別,并識(shí)別了這些資產(chǎn)的所有者。資產(chǎn)包括硬件、設(shè)施、軟件與系統(tǒng)、數(shù)據(jù)、文檔、服務(wù)及人力資源。對(duì)每一項(xiàng)資產(chǎn)按自身價(jià)值、信息分類、保密性、完整性、法律法規(guī)符合性要求進(jìn)行了量化賦值,根據(jù)重要資產(chǎn)判斷依據(jù)確定是否為重要資產(chǎn),形成了《重要資產(chǎn)清單》。同時(shí),根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》,識(shí)別了對(duì)這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、識(shí)別資產(chǎn)價(jià)值、保密性、完整性和可用性、合規(guī)性損失可能對(duì)資產(chǎn)造成的影響。分析和評(píng)價(jià)風(fēng)險(xiǎn)本公司按《信息安全風(fēng)險(xiǎn)管理程序》,采用信息安全風(fēng)險(xiǎn)管理軟件,分析和評(píng)價(jià)風(fēng)險(xiǎn):a)針對(duì)重要資產(chǎn)自身價(jià)值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進(jìn)行賦值;b)針對(duì)每一項(xiàng)威脅、薄弱點(diǎn),對(duì)資產(chǎn)造成的影響,考慮現(xiàn)有的控制措施,判定安全失效發(fā)生的可能性,并進(jìn)行賦值;c)根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級(jí);d)根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)接受準(zhǔn)則,判斷風(fēng)險(xiǎn)為可接受或需要處理。識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇網(wǎng)絡(luò)管理部組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成《風(fēng)險(xiǎn)處理計(jì)劃》,該計(jì)劃明確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧篴)控制風(fēng)險(xiǎn),采用適當(dāng)?shù)膬?nèi)部控制措施;b)接受風(fēng)險(xiǎn)(不可能將所有風(fēng)險(xiǎn)降低為零);c)避免風(fēng)險(xiǎn)(如物理隔離);d)轉(zhuǎn)移風(fēng)險(xiǎn)(如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商)。選擇控制目標(biāo)與控制措施網(wǎng)絡(luò)管理部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果,組織有關(guān)部門制定了信息安全目標(biāo),并將目標(biāo)分解到有關(guān)部門(見(jiàn)《信息安全適用性聲明》):a)信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b)控制目標(biāo)及控制措施的選擇原則來(lái)源于ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》附錄A,具體控制措施參考ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則》。c)本公司根據(jù)信息安全管理的需要,可以選擇標(biāo)準(zhǔn)之外的其他控制措施。對(duì)風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn),得到了公司最高管理者的批準(zhǔn)。最高管理者通過(guò)本手冊(cè)對(duì)實(shí)施和運(yùn)行信息安全管理體系進(jìn)行了授權(quán)。0適用性聲明生技部負(fù)責(zé)編制《信息安全適用性聲明》(SoA)。該聲明包括以下方面的內(nèi)容:a)所選擇控制目標(biāo)與控制措施的概要描述,以及選擇的原因;對(duì)A4.2.2實(shí)施和運(yùn)行ISMS為確保信息安全管理體系有效實(shí)施,對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理,本公司開(kāi)展以下活動(dòng):a)形成《風(fēng)險(xiǎn)處理計(jì)劃》,以確定適當(dāng)?shù)墓芾泶胧⒙氊?zé)及安全控制措施的優(yōu)先級(jí);b)為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《風(fēng)險(xiǎn)處理計(jì)劃》,明確各崗位的信息安全職責(zé);c)實(shí)施所選擇的控制措施,以實(shí)現(xiàn)控制目標(biāo)的要求;更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)d)有效性以得出可比較的、可重復(fù)的結(jié)果;e)進(jìn)行信息安全培訓(xùn),提高全員信息安全意識(shí)和能力;f)對(duì)信息安全體系的運(yùn)作進(jìn)行管理;g)對(duì)信息安全所需資源進(jìn)行管理;h)實(shí)施控制程序,對(duì)信息安全事件(或征兆)進(jìn)行迅速反應(yīng)。信息安全組織機(jī)構(gòu)本公司成立了的信息安全領(lǐng)導(dǎo)機(jī)構(gòu)-信息安全委員會(huì),其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針和本公司承諾。具體職責(zé)是:研究決定貫標(biāo)工作涉及到的重大事項(xiàng);審定公司信息安全方針、目標(biāo)、工作計(jì)劃和重要文件;為貫標(biāo)工作的有序推進(jìn)和信息安全管理體系的有效運(yùn)行提供必要的資源。本公司由相關(guān)部門代表組成信息安全管理網(wǎng)絡(luò),采用聯(lián)席會(huì)議(協(xié)調(diào)會(huì))的方式,進(jìn)行信息安全協(xié)調(diào)和協(xié)作,以:a)確保安全活動(dòng)的執(zhí)行符合信息安全方針;b)確定怎樣處理不符合;c)批準(zhǔn)信息安全的方法和過(guò)程,如風(fēng)險(xiǎn)評(píng)估、信息分類;d)識(shí)別重大的威脅變化,以及信息和相關(guān)的信息處理設(shè)施對(duì)威脅的暴露;e)評(píng)估信息安全控制措施實(shí)施的充分性和協(xié)調(diào)性;f)有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)和意識(shí);g)評(píng)價(jià)根據(jù)信息安全事件監(jiān)控和評(píng)審得出的信息,并根據(jù)識(shí)別的信息安全事件推薦適當(dāng)?shù)拇胧?。信息安全職?zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者??偨?jīng)理指定了信息安全管理者代表。無(wú)論信息安全管理者代表在其他方面的職責(zé)如何,對(duì)信息安全負(fù)有以下職責(zé):a)建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行;b)對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向信息安全領(lǐng)導(dǎo)小組或最高責(zé)任者報(bào)告。信息安全保密義務(wù);各部門、人員有關(guān)信息安全職責(zé)分配見(jiàn)本信息安全管理手冊(cè)第3.4條款《信息安全管理職責(zé)明細(xì)表》和相應(yīng)的程序文件。4.2.3監(jiān)控和評(píng)審ISMS本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故(事件)報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn):a)及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全體系的事故(事件)和隱患;b)及時(shí)了解識(shí)別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊;c)使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果;d)使管理者掌握信息安全活動(dòng)和解決安全破壞所采取的措施是否有效;e)積累信息安全方面的經(jīng)驗(yàn);根據(jù)以上活動(dòng)的結(jié)果以及來(lái)自相關(guān)方的建議和反饋,由總經(jīng)理主持,每年至少一次對(duì)信息安全管理體系的有效性進(jìn)行評(píng)審,其中包括信息安全范圍、方針、目標(biāo)的符合性及控更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)制措施有效性的評(píng)審,考慮安全審核、事件、有效性測(cè)量的結(jié)果,以及所有相關(guān)方的建議和反饋。管理評(píng)審的具體要求,見(jiàn)本手冊(cè)第7章。網(wǎng)絡(luò)管理部應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求,采用信息安全風(fēng)險(xiǎn)管理軟件,對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審,以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平,對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估:a)組織;b)技術(shù);c)業(yè)務(wù)目標(biāo)和過(guò)程;d)已識(shí)別的威脅;e)實(shí)施控制的有效性;f)外部事件,例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。按照計(jì)劃的時(shí)間間隔進(jìn)行信息安全管理體系內(nèi)部審核,內(nèi)部審核的具體要求,見(jiàn)本手冊(cè)第6章。定期對(duì)信息安全管理體系進(jìn)行管理評(píng)審,以確保范圍的充分性,并識(shí)別信息安全管理體系過(guò)程的改進(jìn),管理評(píng)審的具體要求,見(jiàn)本手冊(cè)第7章??紤]監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn),更新安全計(jì)劃。記錄可能對(duì)信息安全管理體系有效性或業(yè)績(jī)有影響的活動(dòng)和事情。4.2.4保持與持續(xù)改進(jìn)ISMS我公司開(kāi)展以下活動(dòng),以確保信息安全管理體系的持續(xù)改進(jìn):a)實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目;b)按照《內(nèi)部審核管理程序》、《糾正措施管理程序》、《預(yù)防措施管理程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施;吸取其他組織及本公司安全事故(事件)的經(jīng)驗(yàn)教訓(xùn),不斷改進(jìn)安全措施的有效性;c)通過(guò)適當(dāng)?shù)氖侄伪3衷趦?nèi)部對(duì)信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包的要求等;d)對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?,確保改進(jìn)達(dá)到預(yù)期的效果。《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》《適用性聲明》《管理評(píng)審程序》《內(nèi)部審核控制程序》《糾正措施控制程序》《預(yù)防措施控制程序》4.3文件要求4.3.1總則ISMS文件應(yīng)包括:a)形成文件的ISMS方針和控制目標(biāo);b)ISMS范圍c)ISMS的支持性程序和控制措施;更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)d)風(fēng)險(xiǎn)評(píng)估方法的描述;e)風(fēng)險(xiǎn)評(píng)估報(bào)告;f)風(fēng)險(xiǎn)處置計(jì)劃;h)標(biāo)準(zhǔn)所要求的記錄;i)適用性聲明。所有文件應(yīng)按ISMS方針要求在需要時(shí)可獲得。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護(hù)和控制,應(yīng)編制形成文件的程序以規(guī)定以下方面所需的管理措施:a)文件發(fā)布前得到批準(zhǔn)以確保文件是充分的;b)必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新并再次批準(zhǔn);c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別;d)確保在使用處可獲得適用文件的適用版本;e)確保文件保持合法并易于識(shí)別;f)確保外來(lái)文件得到識(shí)別;g)確保文件的分發(fā)是受控的;h)防止作廢文件的非預(yù)期使用;i)若因任何原因而保留作廢文件時(shí)對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí);4.3.3記錄控制應(yīng)建立并保持記錄,以提供符合要求和ISMS有效運(yùn)行的證據(jù)。記錄應(yīng)得到保護(hù)并且受控。ISMS應(yīng)考慮相關(guān)法律要求,記錄應(yīng)易于識(shí)別和檢索。應(yīng)編制形成文件的程序,以規(guī)定記錄的識(shí)別、貯存、保護(hù)、檢索、保存期限和處置所需的控制,確定記錄需要和程度的管理過(guò)程。保持過(guò)程業(yè)績(jī)的記錄以及與ISMS有關(guān)的安全事件的記錄。例如,記錄包括訪問(wèn)者登記審核記錄和訪問(wèn)授權(quán)?!段募刂瞥绦颉贰队涗浛刂瞥绦颉?管理職責(zé)5.1管理承諾管理層應(yīng)通過(guò)以下措施對(duì)其建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)ISMS的承諾提供證據(jù)。a)建立信息安全方針;b)確保信息安全目標(biāo)和計(jì)劃的建立;c)為信息安全分配角色和職責(zé);更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)d)向公司傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、法律責(zé)任和持續(xù)改進(jìn)的重要性;e)提供足夠的資源以建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)ISMS;f)決定可接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和可接受風(fēng)險(xiǎn)的等級(jí);g)確保ISMS內(nèi)部審核的執(zhí)行;h)進(jìn)行ISMS管理評(píng)審?!缎畔踩结樅湍繕?biāo)》《部門職責(zé)》《管理評(píng)審程序》《系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法》5.2資源管理5.2.1資源提供公司應(yīng)確定和提供以下方面所需的資源a)建立建立、實(shí)施、運(yùn)行、監(jiān)控、維護(hù)和改進(jìn)ISMSb)確保信息安全程序支持業(yè)務(wù)需求;c)識(shí)別并確定法律法規(guī)要求和合同安全責(zé)任;d)通過(guò)正確應(yīng)用所有實(shí)施的控制措施的來(lái)維持足夠的安全;e)必要時(shí)進(jìn)行評(píng)估,并對(duì)評(píng)估結(jié)果采取適當(dāng)?shù)膶?duì)應(yīng)措施;f)必要時(shí)改進(jìn)ISMS的有效性。5.2.2培訓(xùn)、意識(shí)和能力公司應(yīng)確保在ISMS中任命職責(zé)的人員應(yīng)能夠勝任要求的任務(wù)a)確定從事影響信息安全工作的人員所必需的能力;b)提供足夠的能力培訓(xùn)或其它措施,必要時(shí)聘用有能力的人員滿足這些要求;c)評(píng)估所提供的培訓(xùn)和采取措施的有效性;d)保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資質(zhì)的適當(dāng)記錄。更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)公司應(yīng)確保員工認(rèn)識(shí)到所從事信息安全活動(dòng)的相關(guān)性和重要性,以及如何為實(shí)現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)?!度肆Y源管理控制程序》6ISMS內(nèi)部審核公司應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核,以確定控制目標(biāo)、控制措施、過(guò)程和程序是否:a)符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求;b)符合確定的信息安全要求;c)得到有效地實(shí)施和維護(hù);d)按期望運(yùn)行。內(nèi)部審核程序應(yīng)進(jìn)行計(jì)劃,并考慮受審核過(guò)程的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果,應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式,審核員的選擇和審核活動(dòng)應(yīng)保證審核過(guò)程的客觀和公正,審核員不能審核自己的工作。受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施,以消除發(fā)現(xiàn)的不符合及其原因。改進(jìn)措施包括所采取措施的驗(yàn)證并匯報(bào)驗(yàn)證結(jié)果?!秲?nèi)部審核控制程序》更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)7ISMS管理評(píng)審7.1總則管理者應(yīng)按策劃的時(shí)間間隔評(píng)審公司的ISMS充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)ISMS改進(jìn)的機(jī)會(huì)和變更的需要,包括安全方針和安全目標(biāo)的適宜性。評(píng)審結(jié)果應(yīng)清楚地寫入文件應(yīng)保持記錄。7.2管理評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息:a)ISMS審核(包括內(nèi)審和外審)和管理評(píng)審的結(jié)果;b)相關(guān)方(客戶、供應(yīng)商、內(nèi)部員工等)的反饋;c)公司用于改進(jìn)ISMS業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序的發(fā)展及變化;d)預(yù)防和糾正措施的實(shí)施情況;e)上次風(fēng)險(xiǎn)評(píng)估未充分指出的弱點(diǎn)或威脅;f)體系有效性測(cè)量的結(jié)果;g)上次管理評(píng)審所采取措施的跟蹤驗(yàn)證;h)影響ISMS的變更,如信息安全組織架構(gòu)變化等;i)改進(jìn)的建議。更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)7.3管理評(píng)審輸出管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施a)ISMS有效性的改進(jìn)b)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新c)必要時(shí)修訂影響信息安全的程序和控制措施,以反映可能影響ISMS的內(nèi)外事件,包括以下變化1業(yè)務(wù)需求;2安全需求;3影響已有業(yè)務(wù)需求的業(yè)務(wù)過(guò)程;4法律法規(guī)環(huán)境;5合同義務(wù);6風(fēng)險(xiǎn)和/或風(fēng)險(xiǎn)接受準(zhǔn)則。d)資源需求e)針對(duì)被測(cè)量的控制措施有效性的改進(jìn)《管理評(píng)審程序》更多免費(fèi)資料下載請(qǐng)進(jìn):好好學(xué)習(xí)社區(qū)8ISMS的改進(jìn)8.1持續(xù)改進(jìn)公司應(yīng)通過(guò)應(yīng)用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審,持續(xù)改進(jìn)ISMS的有效性。8.2糾正措施公司應(yīng)采取措施消除ISMS實(shí)施和運(yùn)行的不符合原因,以防止其再發(fā)生。糾正措施文件程序應(yīng)規(guī)定以下方面的要求。a)識(shí)別ISMS實(shí)施和運(yùn)行的不符合項(xiàng);b)確定不符合的原因;c)評(píng)價(jià)確保不符合不再發(fā)生所需的措施;d)決定和實(shí)施所需的糾正措施;e)記錄所采取措施的結(jié)果;f)評(píng)審所采取的糾正措施。8.3預(yù)防措施匹配,預(yù)防措施文件程序應(yīng)規(guī)定以下方面的
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 物流團(tuán)隊(duì)協(xié)作技巧培訓(xùn)
- 班級(jí)傳承紅色文化的工作計(jì)劃
- 2024-2025學(xué)年五年級(jí)上冊(cè)數(shù)學(xué)期末全真模擬培優(yōu)卷(蘇教版)【A3版】-A4
- 《中國(guó)成人白內(nèi)障摘除手術(shù)指南(2023年)》解讀
- 《論文的寫作技巧》課件
- 【9物(人)期末】淮北市2023-2024學(xué)年九年級(jí)上學(xué)期1月期末物理試題
- 《俄歇電子能譜儀》課件
- 《保險(xiǎn)概念說(shuō)明會(huì)》課件
- 勞動(dòng)保護(hù)培訓(xùn)課件
- 《教育儲(chǔ)蓄有修改》課件
- 生產(chǎn)現(xiàn)場(chǎng)定置管理規(guī)定區(qū)域劃分、標(biāo)識(shí)牌、工具擺放標(biāo)準(zhǔn)
- 接口類驗(yàn)收?qǐng)?bào)告
- 關(guān)于公寓物業(yè)管理實(shí)施方案
- 母嬰保健技術(shù)資格證考試試題及答案
- 《好天氣和壞天氣》課件
- (交通運(yùn)輸)鐵路軍事運(yùn)輸教案
- 四年級(jí)勞動(dòng)教育-種植方案(課件)
- 課件我的文化班
- 隧道支護(hù)安全技術(shù)交底書
- GB∕T 22063-2018 顯微鏡 C型接口
- 英語(yǔ)川教版五年級(jí)上冊(cè)-unit2 Lesson 3 Where Is the Eiffel Tower教案
評(píng)論
0/150
提交評(píng)論