《ISMS手册-信息安全管理体系手册.docx》由会员分享,可在线阅读,更多相关《ISMS手册-信息安全管理体系手册.docx(38页珍藏版)》请在三一办公上搜索。
1、 信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005信息技术服务管理规范和ISO27001:2005信息安全管理体系要求以及本公司业务特点编制信息安全管理&IT服务管理体系手册,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT
2、服务。本手册符合有关信息安全法律法规要求以及ISO20000:2005信息技术服务管理规范、ISO27001:2005信息安全管理体系要求和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005信息技术服务管理规范和ISO27001:2005信息安全管理体系要求的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照信息安全管理&IT服务管理体系手册要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。管理者代表职责:a) 建立服务管
3、理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1 确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 信息技术服务管理规范的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。2 负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进
4、的要求和结果等。3 确保在整个组织内提高信息安全风险的意识;4 审核风险评估报告、风险处理计划;5 批准发布程序文件;6 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。7推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。总经理:日期:信息安全方针和信息安全目标信息安全方针:信息安全 人人有责本公司信息安全管理方针包括内容如下:一、信息安全管理机制1公司采用系统的方法,按照
5、ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。二、信息安全管理组织2公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。3公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。4在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。5与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。三、人员安全6信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责
6、,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。7对本公司的相关方,要明确安全要求和安全职责。 8定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。9全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全10及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。五、风险评估11根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。12采用先进的风险评估技术和软件,定期进行风险评估,以识
7、别本公司风险的变化。本公司或环境发生重大变化时,随时评估。13应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件14公司建立报告信息安全事件的渠道和相应的主管部门。15全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。16接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查17定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。八、业务持续性18公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统
8、故障或者灾难的影响,并确保能够及时恢复。19定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚20对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。信息安全目标:1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)1 信息安全管理手册说明11公司简介XX1.1编制依据和目的本手册在遵循ISO9001:2005 信息安全管理体系要求与ISO/IEC 20000 信息技术服务管理规范的要求编制而成,包括了ISO27001:2005的全部要求,对附录A的删减见适用性声明S
9、oA。手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001:2005信息安全管理标准的要求;满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的IT服务能力和服务质量。本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。1.2适用范围信息安全管理&IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。13术语和定义131本手册应用ISO/IEC 20000中的术语及定义。132本手册应用ISO/IEC27001中的术语及定义。2 信息安全管理&
10、IT服务管理手册的管理21手册的编制、批准和发布211按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC 20000标准的要求编写。212IT服务管理手册由公司管理者代表批准后发布。22手册的分发221技术服务事业部负责手册的发放、更新、管理与存档。222公司各部门负责手册的使用和保管。23手册的受控状态231书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。232当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。233“有效文件”形式的文件
11、在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。234电子形式的手册由技术服务事业部在工作流转系统中进行管理。24手册的变更241因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。242更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。25公司内部手册持有者的责任251与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。252妥善保管,不得私自更改、曲解手册的
12、内容。不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。3 公司架构和安全承诺3.1公司行政组织架构总 经 理文档培训仓库采购人力资源财务物流销售市场测试质量保证质管部实施研发综合管理部生技部商务部3.2公司信息安全管理体系组织架构图总 经 理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量保证测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。33公司IT服务管理职能关系架构图3.4信息安全承诺公
13、司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。制订信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。对公司信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。建立业务持续性管理流程。进行业务持续性风险评估,编写、测试并实施业务持续性计划和灾难恢复计划,以保证公司关键业务的连续,不受重大故障和灾难的影响。确保公司所有员工都接受信息安全的教育培训,提高信息安全意识。保护公司、客户
14、、相关合作方的信息安全。建立公司信息安全组织架构,明确信息安全责任,确定报告可疑的和发生的信息安全事故及事件的流程,对违反安全制度的人员进行惩罚。建立物理安全和网络安全管理制度,以确保信息的安全性。保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。任何人在未经审批的情况下,禁止将信息资产带离公司。公司所有员工都要严格遵守公司的安全方针、程序和制度。控制对内外部网络服务的访问,保护网络服务的安全性与可用性。对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。对重要信息进行备份保护,以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。3.5信息安全管理委员会为了加强对
15、信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。信息安全管理职责明细表序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构,负责本单位网络与信息安全重大事项的决策和协调,并对全公司信息安全工作负责。2总经理信息安全第一责任人,制定信息安全方针,对信息安全全面负责。3管理者代表经总经理授权负责建立、实施、检查、改进信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。1. 负责管理体系的建立、实施、保持、测量和改进。2. 负责文件控制、记录控制、内部审核的组织、管理评审的组织和体系的改进
16、。3. 负责本公司保密工作的管理。4. 安全区域的保卫管理部门,负责安全区域的管理。5. 负责全公司人员安全管理,包括人员聘用管理,保密协议签署,员工的能力、意识和培训,员工离职管理。6. 负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。7. 对信息安全日常工作实施动态考核,将信息安全管理作为企业管理的重要工作内容。8. 参与涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能;负责我公司信息系统安全日常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范,做好内部培训。备注:以上职能划分,适用所有信息安全
17、管理体系文件。信息安全管理委员会组成人员:姓名部门职务备注36服务管理职能说明361为保证IT服务管理体系的顺利实施,以及实施后得到持续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序要求对所有服务合同按照项目进行管理与运行,由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变
18、更管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。362 角色分配说明3621针对服务部当前组织架构及人员状况,将不再为每一具体流程分配流程经理。为此将13个流程,按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管理和控制。对项目组成员主要是组织、协调、安排相应工作任务的完成,可能并不是由自己去完成。36211 项目经理职责说明:1)、负责IT服务项目的立项工作,按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排项目组成员完成相应工作任务。2)、负责从服务台接受事件报告开始,分配相应的职能
19、小组进行事件处理,直至找到问题的根本原因的整个过程的管理和协调。3)、负责各系统的配置管理、变更和发布控制。4)、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练,并负责系统容量的规划和监控。5)、主要负责与用户的沟通,对供应商的管理,以及项目的预/决算的管理。36212能力要求:熟悉服务部的各种服务管理流程,具有较强的内部协调能力。 由管理者代表授权技术服务事业部总监,按ISO/IEC 20000的要求,负责协调和组织所有与IT服务有关的活动,通过管理和实施各项活动,使IT服务业务的质量得到有效的保持和维护。 技术服务事业部组织制订、批准和发布公司IT服务策略、服务目标,并使其成为
20、公司关注的焦点,成为公司协调、统一、凝聚公司的所有活动和资源的准则,成为建立、实施、保持并改进IT服务管理体系的宗旨。363公司 IT服务策略:客户至上、全员参与、创新高效、系统管理、追求卓越公司 IT服务目标:公司通过服务质量改进程序确定年度服务质量目标 公司的IT服务目标按ISO/IEC 20000的要求,与公司的业务相结合,并通过流程绩效不断提高和改进。 技术服务事业部负责组织相关部门,通过会议、评审、书面报告、培训等方式,及时有效沟通工作,达到IT服务管理目标和持续改进的需求,并在公司中积极贯彻实施IT服务管理的重要性。技术服务事业部负责组织相关部门按照PDCA的要求,通过对所属业务的
21、规划,适时优化和提供资源以计划、实施、监控、评审和改进IT服务的交付和管理。 管理者代表按照服务质量改进管理程序中的计划间隔,由技术服务事业部负责组织相关部门实施IT服务管理体系的内部审核,确保IT服务管体系的有效性与符合性。管理者代表按照服务质量改进管理程序中的计划间隔,组织相关部门执行IT服务管理体系的管理评审,确保IT服务管理体系持续的稳定、充分和有效。364文件要求3641公司的文件管理体系分为A、B、C、D四层,即A层为管理手册、B层为程序文件、C层为工作流程或规定、D层为记录。3642管理手册 描述IT服务管理体系的文件,是全体员工必须长期遵循的法规性文件。3643程序文件 覆盖公
22、司主要业务过程的流程文件,是管理手册的支撑性文件。3644工作流程或规定 是开展具体业务工作的规范类、指导性文件,是程序文件的支持性文件。3645记录 在开展具体业务工作过程中产生的记录类文件,主要是为具体工作结果提供各种可追溯性证据。3646技术服务事业部负责组织制订文件和记录管理程序,明确文件的拟制、批准、发放、变更、存档等管理要求,并监控实施。3647技术服务事业部负责组织相关部门,根据公司的业务特点及标准的要求,制订相关的程序文件,经公司管理者代表批准后实施。3648技术服务事业部负责组织拟制与本部门业务相关的各类C层文件,并按文件和记录管理程序的要求对文件和记录的有效性进行管理。4信
23、息安全管4.1总要求4.1.1 公司根据整体业务活动(软件开发、经营、服务和日常管理活动)和所面临的风险,按ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求规定,参照ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则标准,建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。4.1.2本手册使用的过程基于PDCA模式。相关文件:信息安全方针及目标4.2建立和管理信息安全管理体系(ISMS)4.2.1建立ISMS4.2.1.1 信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安
24、全管理体系的范围包括:a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;b) 与所述信息系统有关的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的全部信息资产。组织范围:本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册JIN/QM3.2公司信息安全管理体系组织架构。物理范围:本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司ISMS的物理范围为本公司位于xxxxxxxxxxxxxxx的办公场所,安全边界详见附录A(规范性附录)办公场所平面图。4.2.1.2 信息
25、安全管理体系的方针为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.3条款。该信息安全方针符合以下要求:a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b) 考虑业务及法律或法规的要求,及合同的安全义务;c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;d) 建立了风险评价的准则;e) 经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标
26、和控制措施;明确信息安全的管理职责,见本信息安全管理手册第3.4条款。;b) 识别并满足适用法律、法规和相关方信息安全要求; c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;f) 制定并保持完善的业务连续性计划,实现可持续发展。4.2.1.3 风险评估的方法生技部负责制定信息安全风险管理程序,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则
27、并识别风险的可接受等级。信息安全风险评估采用信息安全风险管理软件(Info-riskmanager)进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。4.2.1.4 识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险管理程序,采用Info-riskmanager风险管理软件,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了重要资产清单。同时,根据信息安全风险管理程序,
28、识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。4.2.1.5 分析和评价风险本公司按信息安全风险管理程序,采用信息安全风险管理软件,分析和评价风险:a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;c) 根据信息安全风险管理程序计算风险等级;d) 根据信息安全风险管理程序及风险接受准则,判断风险为可接受或需要处理。4.2.1.6 识别和评价风险处理的选择网络管理部组织有关部门根据风险评估
29、的结果,形成风险处理计划,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a) 控制风险,采用适当的内部控制措施;b) 接受风险(不可能将所有风险降低为零);c) 避免风险(如物理隔离);d) 转移风险(如将风险转移给保险者、供方、分包商)。4.2.1.7选择控制目标与控制措施网络管理部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见信息安全适用性声明):a)信息安全控制目标获得了信息安全最高责任者的批准。b)控制目标及控制措施的选择原则来源于ISO/
30、IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求附录A,具体控制措施参考ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则。c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。4.2.1.8 对风险处理后的剩余风险,得到了公司最高管理者的批准。4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10 适用性声明生技部负责编制信息安全适用性声明(SoA)。该声明包括以下方面的内容:a)所选择控制目标与控制措施的概要描述,以及选择的原因;b)对ISO/IEC 27001:2005附录A中未选用的控制目
31、标及控制措施理由的说明。4.2.2实施和运行ISMS 4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a)形成风险处理计划,以确定适当的管理措施、职责及安全控制措施的优先级;b)为实现已确定的安全目标、实施风险处理计划,明确各岗位的信息安全职责;c)实施所选择的控制措施,以实现控制目标的要求;d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;e)进行信息安全培训,提高全员信息安全意识和能力;f)对信息安全体系的运作进行管理;g)对信息安全所需资源进行管理;h)实施控制程序,对信息安全事
32、件(或征兆)进行迅速反应。4.2.2.2 信息安全组织机构本公司成立了的信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司由相关部门代表组成信息安全管理网络,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:a) 确保安全活动的执行符合信息安全方针;b) 确定怎样处理不符合;c) 批准信息安全的方法和过程,如风险评估、信息分类;d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;
33、e) 评估信息安全控制措施实施的充分性和协调性;f) 有效的推动组织内信息安全教育、培训和意识;g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。 4.2.2.3信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;各部门、
34、人员有关信息安全职责分配见本信息安全管理手册第3.4条款信息安全管理职责明细表和相应的程序文件。4.2.2.4 各部门应按照信息安全适用性声明中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。4.2.3监控和评审ISMS 4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;c)使管理者确认人工或自动执行的安全活动达到预期的结果;d)使管理者掌握信息
35、安全活动和解决安全破坏所采取的措施是否有效;e)积累信息安全方面的经验;4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。4.2.3.3 网络管理部应组织有关部门按照信息安全风险管理程序的要求,采用信息安全风险管理软件,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:a) 组织; b) 技术;c)
36、业务目标和过程;d) 已识别的威胁;e) 实施控制的有效性; f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。4.2.3.6考虑监视和评审活动的发现,更新安全计划。4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。4.2.4保持与持续改进ISMS我公司开展以下活动,以确保信息安全管理体系的持续改进:a) 实施每
37、年管理评审、内部审核、安全检查等活动以确定需改进的项目;b) 按照内部审核管理程序、纠正措施管理程序、预防措施管理程序的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。相关文件:系统风险评估方法适用性声明管理评审程序内部审核控制程序纠正措施控制程序预防措施控制程序4.3文件要求 4.3.1总则 ISMS文件应
38、包括: a) 形成文件的ISMS方针和控制目标; b) ISMS范围c) ISMS的支持性程序和控制措施; d) 风险评估方法的描述; e) 风险评估报告; f) 风险处置计划; g) 公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程序文件; h) 标准所要求的记录; i) 适用性声明。 所有文件应按ISMS方针要求在需要时可获得。 4.3.2文件控制 ISMS所要求的文件应予以保护和控制,应编制形成文件的程序以规定以下方面所需的管理措施:a) 文件发布前得到批准以确保文件是充分的; b) 必要时对文件进行评审与更新并再次批准; c) 确保文件的更改和现行修
39、订状态得到识别; d) 确保在使用处可获得适用文件的适用版本; e) 确保文件保持合法并易于识别; f) 确保外来文件得到识别; g) 确保文件的分发是受控的; h) 防止作废文件的非预期使用; i) 若因任何原因而保留作废文件时对这些文件进行适当的标识; 4.3.3记录控制 应建立并保持记录,以提供符合要求和ISMS有效运行的证据。记录应得到保护并且受控。ISMS应考虑相关法律要求,记录应易于识别和检索。应编制形成文件的程序,以规定记录的识别、贮存、保护、检索、保存期限和处置所需的控制,确定记录需要和程度的管理过程。 保持过程业绩的记录以及与ISMS有关的安全事件的记录。例如,记录包括访问者
40、登记审核记录和访问授权。 相关文件:文件控制程序记录控制程序5 管理职责5.1管理承诺 管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进ISMS的承诺提供证据。 a) 建立信息安全方针; b) 确保信息安全目标和计划的建立; c) 为信息安全分配角色和职责; d) 向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性; e) 提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS; f) 决定可接受风险的标准和可接受风险的等级; g) 确保ISMS内部审核的执行; h) 进行ISMS管理评审。 相关文件:信息安全方针和目标部门职责管理评审程序系统风
41、险评估方法5.2 资源管理 5.2.1资源提供 公司应确定和提供以下方面所需的资源 a) 建立建立、实施、运行、监控、维护和改进ISMS b) 确保信息安全程序支持业务需求; c) 识别并确定法律法规要求和合同安全责任; d) 通过正确应用所有实施的控制措施的来维持足够的安全; e) 必要时进行评估,并对评估结果采取适当的对应措施; f) 必要时改进ISMS的有效性。 5.2.2培训、意识和能力 公司应确保在ISMS中任命职责的人员应能够胜任要求的任务 a) 确定从事影响信息安全工作的人员所必需的能力; b) 提供足够的能力培训或其它措施,必要时聘用有能力的人员满足这些要求; c) 评估所提供
42、的培训和采取措施的有效性; d) 保持教育、培训、技能、经验和资质的适当记录。 公司应确保员工认识到所从事信息安全活动的相关性和重要性,以及如何为实现ISMS目标作出贡献。相关文件:人力资源管理控制程序6 ISMS内部审核公司应按计划的时间间隔进行ISMS内部审核,以确定控制目标、控制措施、过程和程序是否: a) 符合标准及相关法律法规的要求; b) 符合确定的信息安全要求; c) 得到有效地实施和维护; d) 按期望运行。 内部审核程序应进行计划,并考虑受审核过程的状况、重要性和受审核的区域以及上次审核结果,应规定审核准则、范围、频次和方式,审核员的选择和审核活动应保证审核过程的客观和公正,
43、审核员不能审核自己的工作。应建立形成文件的程序,以规定策划和实施审核的职责和要求以及报告结果和保持记录。 受审核区域的负责人应确保立即采取措施,以消除发现的不符合及其原因。改进措施包括所采取措施的验证并汇报验证结果。相关文件:内部审核控制程序7 ISMS管理评审7.1总则 管理者应按策划的时间间隔评审公司的ISMS(至少一年一次),以确保其持续的适宜性、充分性和有效性。评审应包括评价ISMS改进的机会和变更的需要,包括安全方针和安全目标的适宜性。评审结果应清楚地写入文件应保持记录。 7.2管理评审输入 管理评审的输入应包括以下方面的信息: a) ISMS审核(包括内审和外审)和管理评审的结果;
44、 b) 相关方(客户、供应商、内部员工等)的反馈; c) 公司用于改进ISMS业绩和有效性的技术、产品或程序的发展及变化; d) 预防和纠正措施的实施情况; e) 上次风险评估未充分指出的弱点或威胁; f) 体系有效性测量的结果; g) 上次管理评审所采取措施的跟踪验证; h) 影响ISMS的变更,如信息安全组织架构变化等; i) 改进的建议。7.3管理评审输出 管理评审的输出应包括与以下方面有关的任何决定和措施 a) ISMS有效性的改进 b) 风险评估和风险处理计划的更新 c) 必要时修订影响信息安全的程序和控制措施,以反映可能影响ISMS的内外事件,包括以下变化 1 业务需求; 2 安全需求; 3 影响已有业务需求的业务过程; 4 法律法规环境; 5 合同义务; 6 风险和/或风险接受准则。 d) 资源需求e)针对被测量的控制措施
