《27000体系前期准备工作全解.doc》由会员分享,可在线阅读,更多相关《27000体系前期准备工作全解.doc(10页珍藏版)》请在三一办公上搜索。
1、四川博源科技有限责任公司ISO27000体系前期准备一、 设立领导小组信息安全管理组织结构图信息安全管理委员会信息安全管理者代表信息安全实施小组部门经理信息安全内部审核员建议:信息安全实施小组成立后,设QQ群便于文件编写、评审和咨询沟通交流。-信息安全管理委员会:1、建立信息安全管理体系的策略;2、负责信息安全方针和目标的建立;3、负责分配信息安全的角色的相关职责;4、负责公司信息安全组织结构的批准;5、负责信息安全管理体系管理者代表的任命;6、确保信息安全管理体系内部审核的实施;7、定期对信息安全管理体系进行管理评审;8、确保公司信息安全教育的落实;9、决定接受风险准则和风险的可接受的等级;
2、-管理者代表(分管副总/安委会副主任):1、监督信息安全管理体系的实施,并定期向最高管理者汇报;2、向公司传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要3、负责信息安全管理体系内审员的批准;4、负责程序文件的审批,包括修改的审批;5、确认信息安全管理手册内容,并负责后期工作的监督;6、审核批准内部审核计划,主持、监督信息安全内部审核,批复内审报告;7、负责审核管理评审计划和管理评审报告,监督管理评审措施的落实;8、负责组织和确认公司信息安全教育;-信息安全执行代表:1、在信息安全管理组确定的实施范围内,具体推广并落实各项策略要求和控制措施;2、负责本部门信息安全的日
3、常工作,负责本部门人员的信息安全意识提升;3、对本部门信息资产进行风险评估,根据公司的实情,讨论风险的可接受标准,对不能接受的风险进行处置;4、负责本部门信息安全事件的应急处理;-信息安全内审小组:1、负责对各部门信息安全管理体系的实施运行情况进行监督和检查;2、负责内部审核和外部审核的具体工作;3、负责组织对信息安全管理体系文件的评审,并提出文件评审意见;4、负责有效性测量工作的计划和实施;-各部门:1、负责收集与本部门相关的信息安全方面的法规及其他要求,并及时上报信息安全委员会,同时负责在本部门内传达、贯彻和实施与部门相2、关的法规及其他要求;3、协助在本部门内宣传公司的信息安全管理体系文
4、件的要求,提高本部门员工的信息安全意识;4、按照信息安全体系文件的要求,在本部门遵照执行;5、发生信息安全事故后负责配合信息安全委员会工作,并协助制定、实施处置措施;6、协助信息安全审计小组进行体系的内部审查与外部评审;7、对信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用 性,防范对信息的未授权访问;8、负责本部门信息安全管理体系文件和记录的接收、编写、修改与保存;9、处理本部门与信息安全相关的事宜,向信息安全委员会反馈本部门在信息安全方面的要求和建议;10、在第三方或对外联络中积极宣传本公司的信息安全目标和方针;11、在与第三方或外界进行信息交流、接触时,保证信息的安全;二、
5、定义各职能岗位信息安全角色和职责三、硬件防护措施完善(机房、门禁、计算机、打印/复印等设备的物理防范措施等)四、补充、完善现有管理规范性文件(附相关文件清单)信息安全适用法律法规清单员工招聘及录用管理制度办公软件管理规范机房管理规范软件管理规范OA系统操作规范路由器操作规范门禁系统操作规范一体机操作规范UPS电源操作规范IT操作手册物理和环境安全管理制度信息安全事故管理规程存储介质管理规范员工惩戒管理制度保密管理制度交换机操作规范360杀毒规范消防应急预案信息交换管理规范机房管理规范服务器管理规范服务器操作规范信息安全设备设施管理规范信息交换管理规范信息沟通管理规范网络安全管理规范保密管理制度
6、备份管理规范打印机、复印机、传真机、电话使用管理规范防范恶意和移动代码管理规范计算机及网络管理规定计算机设备操作规程网站管理有关规定物理和环境安全管理制度系统规划和验收管理规范信息安全监视管理规范信息系统管理规范五、制定:信息安全适用性声明1、目的与范围2、职责3、声明六、资产设备识别、清理对资产的定义分类示例数据保存在信息媒介上的各种电子数据资料,包括:源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语言包、工具软件、各种数据库等应用软件:外部购买的应用软件、包括开发的应用软件等源程序:各种共享资源代码、自行或合作开发的各种代码等硬件网络设备:路由器
7、、网管、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘传输线路:光钎、双绞线、光端机、光钎收发器等保障设备:动力保障设备(UPS、变电设备等)机房空调、保险柜、文件柜、门禁、消防设施等 安全保障设备:防火墙、入侵检测系统、身份验证等其它:打印机、复印机、扫描机、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展的各类服务文档纸质的各种文件,如传真、电报、财务报告、发展计划等人员掌握重要
8、信息和核心业务的人员,如主机维护主管、网络维护主管及应用项日目经理等其它企业形象,客户关系等-按部门建立资产清单: 部资产清单资产类别资产名称资产责任人或责任岗位资产价值保密性完整性可用性资产等级(1 - 5)(1 - 5)(1 - 5)(1 - 5)数据资产硬件资产软件资产服务资产文档资产人员资产 拟制: 审核: 批准: 时间: 时间: 时间: 部重要资产清单资产类别资产名称资产责任人或责任岗位资产价值等级备注(3 - 5)数据资产硬件资产软件资产服务资产文档资产人员资产 拟制: 审核: 批准: 时间: 时间: 时间:示例如:营销部门:资产名称资产责任人或责任岗位数据资产市场调研报告市场策划
9、师行业分析报告行业分析师市场策划方案市场策划师营销计划、方案营销中心销售部经理、大区总监产品宣传手册平面设计师客户档案资料营销中心销售部经理助理招标文件标书主管投标文件标书主管技术方案标书主管合同、协议内务主管数据统计表内务主管工作联系单内务主管工作质量报告营销中心商务部经理助理工作周报、总结营销中心商务部经理助理制度体系文件营销中心商务部经理助理内审资料内务主管硬件资产笔记本电脑部门所有人员台式机部门所有人员文件柜部门所有人员U盘部门所有员工打印机内务主管软件资产Windows操作系统部门所有员工office应用软件部门所有员工文档资产市场调研报告市场策划师行业分析报告行业分析师市场策划方案
10、市场策划师营销计划、方案营销中心销售部经理助理、大区总监产品宣传手册平面设计师招标文件标书主管投标文件标书主管技术方案标书主管凭证资料(保函、保证金收据等)内务主管合同、协议内务主管数据统计表内务主管工作联系单内务主管工作质量报告营销中心商务部经理助理制度体系文件营销中心商务部经理助理内审资料内务主管人员资产总监总经理副总监总经理部门经理总经理部门经理助理部门经理大区总监部门经理内务主管部门经理标书主管部门经理标书专员部门经理内务专员部门经理平面设计师部门经理行业分析师部门经理市场策划师部门经理区域销售经理部门经理部门秘书部门经理财务示例资产名称资产责任人或责任岗位资产价值保密性完整性可用性资
11、产等级(1 - 5)(1 - 5)(1 - 5)(1 - 5)数据资产账套电子数据所有财务人员4444 账套纸质数据所有财务人员4444 报表所有财务人员4444 涉税数据所有财务人员4444 统计报表数据所有财务人员4444 合同数据所有财务人员4444 硬件资产操作电脑(台式机)各使用人员4444 笔记本电脑(经理)经理4444 服务器所有财务人员4444 打印机(带复印)所有财务人员4444 点钞机出纳4444 支票打印机出纳4444 发票打印机销售会计4444 专用发票认证机成本会计4444 装订机所有财务人员4444 移动硬盘总账会计4444 软件资产用友财务软件所有财务人员4444 账套局域网系统所有财务人员4444 发票认证系统成本会计4444 开票系统销售会计4444 纳税申报系统总账会计4444 川投集团预算系统总账会计4444 国资委快报系统总账会计4444 EAS账套传送系统总账会计4444 政府统计报表系统总账会计4444 网银系统经理、出纳4444 文档资产财务报表所有财务人员4444 合同所有财务人员4444 税务申报表经理、总账会计4444 人员资产财务部所有人员4444 七、风险评估(现场指导实施)
