《公司技术中心信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《公司技术中心信息安全管理手册.docx(33页珍藏版)》请在三一办公上搜索。
1、公司技术中心信息安全管理手册目录0.1颁布令20.2管理者代表任命书30.3关于成立管理体系工作小组的决定40.4公司简介50.5组织结构50.6信息安全方针与目标71.0范围81.1 总则81.2 适用范围81.3 删减说明92.0规范性引用文件93.0术语与定义104.0组织环境124.1 理解组织及其环境124.2 利益相关方的需求和期望124.3 管理体系覆盖范围134.4 管理体系135.0领导力145.1 领导力及承诺145.2 方针155.3 角色、职责和权力156.1 策划186.1 处理风险和机遇的行动186.2 支持217.1 资源217.2 能力217.3 意识227.4
2、 沟通227.5 文档化的信息238. 0运行268.1 运行计划及控制278.2 信息安全风险评估278.3 信息安全风险处置279. 0绩效评价279.1 总要求279.2 内部审核289.3 管理评审2810.0改进3110.1 总要求3110.2 管理改进3110.3 纠正措施32附1职能分配表33附2程序文件清单错误!未定义书签。附3网络拓扑图错误!未定义书签。0.1颁布令为提高北京XXX有限公司(技术中心)的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司于2015年10月开展贯彻IS027001:2
3、013信息技术-安全技术-信息安全管理体系要求国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了北京XXX有限公司(技术中心)信息安全管理手册。信息安全管理手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。信息安全管理手册符合有关信息安全法律、法规要求及IS027001:2013信息技术-安全技术-信息安全管理体系-要求标准和企业实际情况,现正式批准发布,手册自2015年11月1日起实施。企业全体员工必须遵照执行。全体员工必须严格按照信息安全管理手册的
4、要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。该体系覆盖范围为:与金融理财系统软件开发、维护,金融理财信息咨询的信息技术服务相关的信息安全管理活动。批准:日期:2015年11月1日0.2管理者代表任命书为贯彻执行信息安全管理体系,满足IS027001:2013信息技术-安全技术-信息安全管理体系-要求标准的要求,加强领导,特任命迎为我公司信息安全管理者代表。授权信息安全管理者代表有如下职责和权限:1 .确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;2 .负责与信息安全管理体系有关的协调和联络工作;3 .确保在整
5、个组织内提高信息安全风险的意识;4 .审核风险评估报告、风险处理计划;5 .负责组织编写和批准发布程序文件,负责年度培训计划、支持性文件的审批。6 .主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;7 .向总经理报告信息安全管理体系的运行情况和所有改进要求,包括内外部审核情况。本授权书自任命日起生效执行。批准:日期:2015年11月1日0.3关于成立管理体系工作小组的决定为确保本公司信息安全管理体系的有效运行,认真贯彻信息安全管理方针,特授权以下人员组成信息安全管理体系(ISMS)工作小组。兹任命XXX,XXX,XXX担任本公司信息安全管理工作小组组员。批准:日期:2015年11
6、月1日0.4公司简介北京XXX有限公司总部位于北京,是一家集提供财富管理及借款咨询服务与对接、信用风险评估与管理、信用数据整合服务等服务于一体的综合性现代服务类企业。XXX采用先进的信用管理模式,拥有精通金融风险评估、政策法规的专业团队,帮助千万小微企业主、工薪阶层、学生和农民建立信用体制,释放信用价值,获取信用资金,并为他们提供培训等增值服务。同时,XXX专业的财富管理团队为大众富裕人群和高净值人群提供全方位财富管理顾问服务。通过创新的模式与企业文化,XXX以客户的财富管理需求为基础,根据客户的风险偏好、财务状况、家庭结构等因素量身定制财富管理方案,优选固定收益类、股权类等财富管理模式,帮助
7、客户实现安全、稳定的财富增值。自成立至今,XXX已在全国二十余个省市自治区,一百多座城市开设了分公司,XXX公司将继续为客户提供全方位、个性化的财富增值与信用增值服务。未来,XXX将继续坚守“诚信为本、专业立足、坚持创新、协作共赢”的核心理念,通过专业的个性化、顾问式服务,为用户打造出一个诚信、透明、公平、高效的企业金融服务平台,充分发挥信用担保纽带作用,XXX愿与社会各界诚信互助、互惠互赢、共创美好前景!0.5组织结构0.6信息安全方针与目标1.0信息安全方针全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营2.0信息安全目标可用性及连续性目标确保本公司业务系统能有效地运转并使所有授
8、权用户得到所需信息服务。1)授权用户执行数据操作被拒绝的次数少于10起/年;2)信息安全事件导致的事故未能在规定时间内恢复的次数少于2起/年。完整性目标完整性目标包括两个方面:数据完整性和系统完整性。确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据;确保本公司业务系统不受非法操作干扰并以无损方式执行预定功能。1、非授权方式更改数据导致系统出现故障而影响工作的事故少于2起/年;2、非法操作干扰和无法按照无损方式执行预定功能的事态发生少于1起/年。保密性目标保密性目标是指不向非授权个人和部门暴露私有或者保密信息。确保本公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。
9、1、顾客对保密性抱怨/投诉的次数不超过1起/年。2、受控信息泄露的事态发生不超过3起/年;3、公司或客户的机密信息泄露的事故不得发生。1.0范围1.1 总则公司为证实有能力稳定地提供满足顾客和适用的法律、法规要求的服务,按IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求建立信息安全管理体系,它适用于:a)实施、保持并改进信息安全管理体系;b)使本公司确信能符合所声明的服务方针;c)向外界展示符合性;d)必要时寻求外部组织对其信息安全管理体系的认证;e)对符合本标准的情况进行自我鉴定和自我声明。1.2 适用范围本手册适用于公司内部部门和外部(包括国家主管部门和认证机构)评价
10、本公司满足IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求、顾客、法律法规要求和本公司要求的能力。本手册信息安全管理体系覆盖范围为:与金融理财系统软件开发、维护,金融理财信息咨询的信息技术服务相关的信息安全管理活动。1.3 删减说明由于本公司是按顾客要求、法律法规、标准要求,采用了ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准的条款,对附录A的删减详见适用性声明。2.0规范性引用文件ISO/IEC27000:2013信息技术安全技术信息安全管理体系概述和词汇ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求ISO/IEC27
11、002:2013信息技术-安全技术-信息安全管理实用规则中华人民共和国计算机信息系统安全保护条例互联网电子公告服务管理规定中华人民共和国计算机软件保护条例ISO/IEC27001-2005信息技术安全技术信息安全管理体系要求GB/T20271-2006信息系统通用安全技术要求GB/T20269-2006信息系统安全管理要求GB/T20984-2007信息安全风险评估规范GB/T21052-2007信息系统物理安全技术要求GB/T20270-2006网络基础安全技术要求GB/T20272-2006操作系统安全技术要求GB/T20273-2006数据库管理系统安全技术要求GB/T21028-200
12、7服务器安全技术要求3.0术语与定义IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求、IS0/IEC27002:2013信息技术安全技术信息安全管理实用规则规定的术语和定义适用于本管理手册。3.1 文件信息及其承载媒体。注L在本标准中,记录区别于文件。因为事实上,记录的作用在于作为活动的证据,而不是意图的证据。注2:文件的示例包括方针说明、计划、流程、服务级别协议和合同。3.2信息安全事件单个或一系列不需要的或非预期的、有明显的可能性危害业务运行和威胁信息安全的事情。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一
13、组计算机指令或者程序代码。3.4可用性保证被授权的使用者需要时能够访问信息及相关资产。3.5保密性保证信息只被授权的人访问。3.6完整性保护信息和处理过程的准确和完整。3.7信息安全保持信息的保密性、完整性和可用性。3.8风险接受接受一个风险的决定。3.9风险分析系统化地使用信息识别来源和估计风险。3.10风险评估风险分析和风险评价的整个过程。3.11风险评价比较估计风险与给出的风险标准,确定风险严性的过程。3.12风险管理指导和控制组织风险的联合行动。3. 13风险处理选择和实施措施以更改风险的处理过程。ISOGuide733.14 适用性声明描述适用于组织的ISMS范围的控制目标和控制措施
14、。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。3.15 相关方与服务提供方行为或行动的业绩或成就有利益关系的个人或团体。示例:客户、所有者、员工、管理方、服务提供方组织内的人员、供应商银行、工会或合作伙伴。注1:一个团体可由一个组织或其一部分组织或多个组织构成。3.16 本公司指北京XXX有限公司(技术中心),包括技术中心所属各部门。3.17 管理体系指技术中心的信息安全管理体系。4.0组织环境3.18 解组织及其环境本公司体系管理领导小组人员和各部门相关人员按照标准要求,在充分理解内部环境及外部因素两方面的前提下建立和管理体系,并形成文件,加以实施、运行、监视、评审、
15、保持和改进。公司内部环境及外部因素包括:内部环境:内控、组织架构、员工角色与职责、管理目标以及达成目标所采用的策略资源与能力;外部因素:文化、政治、法律法规、金融、经济以及竞争因素;影响目标达成的关键外部驱动力和趋势;利益相关方的认识及价值观。3.19 益相关方的需求和期望利益相关方对管理体系的需求和期望是:1、进行公司IT环境的信息安全管理,提高系统的可用性;2、对信息资产进行分类,有针对性的采取管理措施,提高安全管理能力;3、规范信息安全管理措施,防范信息安全事故的发生。3.20 理体系覆盖范围根据本公司的业务性质、地理位置、信息资产和技术的特点,本公司的信息安全管理体系的管理范围:与金融
16、理财系统软件开发、维护,金融理财信息咨询的信息技术服务相关的信息安全管理活动。覆盖范围包括:(1)属于北京XXX有限公司(技术中心)的全部受知识产权保护的信息;(2)属于北京XXX有限公司(技术中心)的所有雇员的相关个人信息;(3)北京XXX有限公司(技术中心)持有的全部相关客户资料信息;(4)北京XXX有限公司(技术中心)持有的全部关于供应商及合作伙伴的资料信息;(5)北京XXX有限公司(技术中心)持有的全部合同信息;(6)属于北京XXX有限公司(技术中心前全部相关信息系统的物理实体;(7)北京XXX有限公司(技术中心)所属的全部人员、IT系统、专有技术、设备、文档、公司规章制度及其它信息和
17、信息我体。3.21 理体系公司应根据整体业务活动和风险,开发、实施、保持并持续改进文件化的管理体系。公司依据ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求标准将信息安全管理按照如图1所示过程模式实施管理。图1:信息安全管理过程模式5.0领导力5.1 领导力及承诺公司总经理通过领导和行动,对在公司业务和客户要求的范畴内建立、实施、运行、监视、评审、保持和改进公司的信息安全管理能力的承诺提供证据:a)制定信息安全管理方针:b)确保信息安全管理目标和计划得以制定;c)建立信息安全的角色和职责;d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;e
18、)确保客户的要求得到确定和满足,并致力于提高客户满意度;f)指定管理层的一名成员担任管理者代表来协调和管理所有信息安全管理;g)提供足够资源,以建立、实施、运行、监视、评审、保持和改进信息安全管理,如招聘合适的员工,管理员工的流动等;h)对服务管理组织和服务的风险进行管理,决定接受风险的准则和风险的可接受级别;i)确保信息安全管理内部审核的执行;j)按计划的时间间隔进行管理评审,以确保持续的适宜性、充分性和有效性。5.2 方针最高管理者应确保方针:a)与企业的宗旨相适应;b)提供制定和评审信息安全目标的框架;c)传达至每个人,并统一认识;d)在持续适宜性方面得到评审。5.3 角色、职责和权力为
19、了有效地实施管理体系,公司规定了各级各岗位人员的职责、权限和相互关系,并在相关层次所管辖的范围内予以传达,对于从事与管理体系有关工作所必需的特权,均加以规定。一、总经理职责a)为确保公司信息安全管理体系的有效实施,公司按照ISO/IEC27001:2013标准要求,制订信息安全管理职责,明确各级人员的责任与权限;b)制定信息安全管理方针;c)确保信息安全管理目标和计划得以制定;d)向组织传达满足信息安全管理目标、符合信息安全方针,履行法律责任和持续改进的重要性;e)指定管理层的一名成员担任管理者代表来协调和管理信息安全管理;f)提供足够资源,以建立、实施、运行、监视、评审、保持和改进信息安全管
20、理,如招聘合适的员工,管理员工的流动等;g)对信息安全的风险进行管理,决定接受风险的准则和风险的可接受级别;h)确保管理体系内部审核的执行;i)按计划的时间间隔进行管理评审,以确保持续的适宜性、充分性和有效性。二、管理者代表职责公司已任命钟云为公司管理者代表,其职责和权限为:a)确保按照ISO/IEC207001:2013标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系。b)负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告信息安全管理体系的业绩,如:信息安全方针与目标的业绩、各项服务活动及改进的要求和结果等。c)确保在整个组织内提高信息安全风险的意识。d)审
21、核风险评估报告、风险处理计划。e)推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司管理目标所应做出的贡献。f)确保各管理体系(SMS)管理组件是整合的。g)向最高管理者报告信息安全管理体系(SMS)的业绩和任何改进的机会。三、项目及流程管理部:a)负责技术中心关键项目全生命周期的管理;b)技术中心内部的流程制定及实施;c)负责技术中心的配置及安全管理。四、运维及IT服务部:a)全面管理XXX信息系统的运行维护,包括业务系统,内部信息系统,网络,服务器,数据库,机房等IT设施的管理和维护;b)深入到项目中提供
22、相应的支持。c)提供统一的内部客户服务管理体系并进行问题的跟踪、处理。五、恒易融产品技术部a)支撑公司线上业务的开展,如定利宝、散标、基金、助农及创新业务等;b)打造公司核心线上交易平台,更好地支撑公司线上业务发展战略;c)利用互联网及移动互联网的技术优势,努力提高公司办公自动化水平。六、线下业务产品技术部a)主要分为财富业务、普惠业务和创新业务,紧密契合公司业务分类,更好地做好公司线下P2P及非P2P业务的发展。七、综合管理部a)负责技术中心日常行政工作事宜以及技术层面外包管理。6.0策划6.1 处理风险和机遇的行动本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体
23、系的物理范围和信息安全边界。为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.6章节。该信息安全方针符合以下要求:a)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b)考虑业务及法律或法规的要求,及合同的安全义务;c)与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;d)建立了风险评价的准则;e)经最高管理者批准。6.1.1 风险评估的方法项目及流程管理部负责制定信息安全风险管理程序,建立识别适用于信息安全管理体系
24、和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。6.1.2 识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险管理程序,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,确定资产等级。同时,根据信息安全风险管理程序,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、损失可能对资产造成的影
25、响。6.1.3 分析和评价风险本公司按信息安全风险管理程序,分析和评价风险:a)针对重要资产自身价值、保密性、完整性和可用性、损失导致的后果进行赋值;b)针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;c)根据信息安全风险管理程序计算风险等级;d)根据信息安全风险管理程序及风险接受准则,判断风险为可接受或需要处理。6.1.4 识别和评价风险处理的选择项目及流程管理部组织有关部门根据风险评估的结果,形成风险处理计划,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措
26、施:a)控制风险,采用适当的内部控制措施;b)接受风险(不可能将所有风险降低为零);c)避免风险(如物理隔离);d)转移风险(如将风险转移给保险者、供方、分包商)。6.1.5 为处理风险选择控制目标与控制措施公司根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门:a)信息安全控制目标获得了信息安全最高责任者的批准。b)控制目标及控制措施的选择原则来源于ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求附录A,具体控制措施参考IS0/IEC27002:2013信息技术安全技术信息安全管理实用规则。C)本公司根据信息安全管理的
27、需要,可以选择标准之外的其他控制措施。6.1.6 对风险处理后的剩余风险,得到了公司最高管理者的批准。6.1.7 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。7.0支持7.1 资源为确保管理体系的有效运行,公司管理层提供了充足必要的资源,该资源包括资金、技术、人力等方面,以保证:a.建立、贯沏、运行和保持ISMSb.确保信息安全程序支持业务要求c.识别和强调法律和法规的求和合同的安全义务d.正确地应用所有实施的控制措施以保持充分的安全e.必要时进行评审,并对评审结果做出适当的响应f.需要时,改善ISMS的有效性要7.2 能力为有效地实施信息安全管理,贯彻信息安全方针,实现信息安
28、全管理体系目标,必须提高对管理体系涉及的所有人员进行培训,以增强其信息安全意识,保证其胜任所在岗位的工作。1、人力资源部明确公司员工从事工作中影响信息安全的必要能力。2、组织实施内部及外部培训,确保员工能够胜任工作。3、评估培训和所采取行动的效果。4、保持员工的教育、培训、技能、经验和资格记录。7.3意识本公司控制措施下工作的人员应意识到:a)管理体系方针;b)他们对管理体系有效性的贡献,包括提高绩效的收益;c)不符合管理体系要求所带来的影响。7.4沟通本公司应确定有关ISMS内部和外部沟通的需求:a)沟通什么;b)何时沟通;c)和谁沟通;d)谁应该沟通;e)怎样的沟通过程是有效的。7.4.1
29、具体过程a)当影响信息安全运行的内外环境发生变化时。经营部负责公司内部信息变化的沟通。经营部负责对涉及信息安全有关外部环境变化的沟通。各部门负责与各自负责的相关方及相关法律法规的沟通。7.4.2沟通方式a)内部沟通最高管理者应确保在不同层次和职能之间,就管理体系的过程,包括体系要求,方针、目标及完成情况,以及实施的有效性,进行沟通,达到相互了解、相互信任,实现全员参与的效果。b)自上而下的沟通由总经理或其授权人主持召开公司例会,根据需要讨论信息安全各方面的情况,及时采取相应的改进、纠正措施,以确保管理体系的正常运作。C)自下而上的沟通各部门应建立报告制度,在例会上向最高管理者报告部门运作情况,
30、以作为最高管理者进行决策的依据。743部门内部的沟通各部门由部门经理召开部门例会,讨论部门目标的实现情况及存在的问题,以便及时采取相应的改进、纠正措施,加强对信息安全体系的监视和测量。7.4.4 各部门之间的沟通对于跨部门之间需要协调、沟通的事宜,应由主管领导主持进行沟通。7.4.5 沟通的形式a)针对外部沟通归口责任部门通过与相关方的信息安全以电话、会议、传真、网络等方式传递及处理信息,相关方的反馈,包括顾客抱怨。b)针对内部沟通确保各岗位之间就信息安全管理的过程、要求、信息安全方针、信息安全目标及完成情况、实施的有效性、适宜性、充分性进行沟通、达到互相了解、互相信任、互相支持,实现全员参与
31、的效果;内部贯彻执行例会、早会、广播、张贴宣传图标、公告栏公示等方法确保相关措施的有效落实。7.4.6 影响沟通的过程包括:沟通的时间、沟通人员的文化水平、沟通工具的限制等。7.5文档化的信息7.5.1 建立和维护文件为确保有效的计划、运行和控制信息安全管理,公司制定以下四个层次与类别的文件:a)管理手册:信息安全管理体系过程描述,包含信息安全管理方针与目标、管理体系覆盖范围。b)程序文件:描述各个信息安全管理过程,支持管理手册的实施与运行。C)作业文件:为确保信息安全过程的有效规划、运行的控制以及描述如何测量控制措施的有效性所需要的形成文件的规程,是开展具体业务工作的规范类、指导性文件,也是
32、程序文件的支持性文件,包括风险评估方法的描述、风险评估报告、风险处置计划等文件。d)记录:在开展具体业务工作过程中产生的记录类文件,主要是为具体工作结果提供各种可追溯性证据。7.5.2 文件控制编制文件控制程序,用以控制管理体系运行所需要的文件,以确保:a)文件发布前得到批准;b)通知相关方新的或变更的文件;c)对文件进行评审与维护;d)确保文件的更改和现行修订状态得到识别;e)确保在使用处可获得有关版本的使用文件;f)确保文件清晰、易于识别;g)确保外来文件得到识别并控制其分发;h)防止作废文件的非预期使用,若因任何原因而保留作废文件时,对这些文件进行适当的标识。7.5.3 记录的控制公司建
33、立并保持记录控制程序,通过对记录的标识、储存、保护、检索、保存期限和处置的有效控制,证实公司质量绩效,同时为相关活动、产品或服务的可追溯性和体系状况改进提供分析依据。来自供方或相关方的记录也应成为本公司体系管理记录的组成部分。7.5.3.1记录的设置a)记录的设置应易于识别和检索;要有足够的记录凭证、图表、报告,以证明管理体系运行有效和产品符合要求;b)记录的种类包括:培训记录、验收报告、内审报告、评审报告、有关法律、法规信息、管理体系运行记录等;c)记录的媒介有文字记载、移动硬盘、相片和录象等。7.53.2记录的管理a)分级管理:项目及流程管理部负责管理体系记录的管理和保存,各职能部门负责服
34、务过程中管理运行中形成的专业性记录的管理和保存,定期将本部门相关记录归档项目及流程管理部统一管理;b)标识:以记录或表格的名称、编号或代码来标识;c)储存和保护:管理体系记录保存期一般为3年;记录保存期按公司有关规定执行。所有记录要有适宜的存储条件,防潮、防火、防虫蛀、防鼠害;d)检索:所有汇总到项目及流程管理部统一管理的记录由项目及流程管理部负责进行登记,建帐或建卡归档,并建立索引目录;e)处理:保存期满记录的处理、销毁应造册登记,加以鉴定,经主管领导批准实施销毁;f)记录的收集与填写:记录的收集由各职能部门负责;记录的填写由该项活动的具体执行人按要求填写;记录应清晰、标识明确、内容完整、真
35、实、简单明了、日期准确、签名齐全;g)查阅:合同要求时,在双方商定期限内,记录可提供给顾客、相关方,或其代表查阅,并做好登记;h)提供:根据合同规定或顾客的要求,及时提供相关记录。项目及流程管理部和各相关部门应妥善保存本部门的记录,以防止由环境造成的损坏、变质和丢失。8.0运行ISMS工作小组应组织全体员工的培训,以提高全体员工的信息安全意识,具体参见本手册7.2款。ISMS工作小组负责针对公司所选择的控制目标和控制手段编写运行程序。程序中应规定控制对象、参数或控制要求及监督检查的内容,并符合相关法律法规的要求。公司管理层应为ISMS的有效运行提供必要的人力、物力和财力资源,具体参见本手册7.
36、1款。ISMS工作小组负责制定信息安全事件管理程序,确保员工可及时地将发现的安全事故、安全故障或安全薄弱点报告给相关负责人,并迅速对其做出响应。8.1 运行计划及控制本公司应策划、实施和控制用来满足信息安全要求过程,并实施在6.1中确定的行动。组织还应当实施计划,以实现在6.2中确定的信息安全目标。本公司应保存相关的文档化信息,以保证过程已按照计划完成。组织应控制计划内的变更并评审非计划变更的结果,必要时,采取措施以减轻任何不良影响。组织应确保外包过程被确定和受控。8.2信息安全风险评估本公司应按计划的时间间隔或重大变更被提出或发生时执行信息安全风险评估,考虑6.1.2a)中建立的准则。组织应
37、保留信息安全风险评估结果的相关文档化信息。8.3信息安全风险处置本公司应实施信息安全风险处置计划。组织应保留信息安全风险处置结果的文档化信息。9.0绩效评价9.1 总要求建立并实施内部审核管理程序,内部审核管理程序应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:a)符合ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求的要求和相关法律法规的要求;b)符合已识别的信息安全要求与计划;c)得到有效地实施和维护;d)按预期执行。9.2 内部审核1、对审核方案进行策划。应编制内审
38、年度计划,确定审核的准则、范围、频次和方法。2、每次审核前,应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。3、应按审核计划的要求实施审核,包括:a)进行首次会议,明确审核的目的和范围,采用的方法和程序;b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;d)审核组长编制审核报告。4、对审核中提出的不符合项报告,责任部门应编制纠正措施,由项目及流程管理部组织对受审部门的纠正措施的实施情况进行跟踪、验证;5、按照记
39、录控制程序的要求,保存审核记录。6、内部审核报告,应作为管理评审的输入之一。9.3 管理评审a)编制管理评审程序,负责每年一次组织质量、信息安全与信息技术服务管理体系管理评审,以确保其持续的适宜性、充分性和有效性。b)管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。c)管理评审的结果应清晰地形成文件,记录应加以保持。9.3.1 评审输入管理评审的输入要包括以下信息:a)客户反馈;c)现在和未来人员、技术、信息和财务资源级别;d)现在和未来人员和技术能力;e)风险;f)审核结果和跟踪措施;g)以往管理审核的结果和跟踪措施;h)预防和纠正措施的状况;i)可能影响信
40、息安全管理体系(ISMS)的任何变更;j)有效性测量的结果;k)改进机会。9.3.2 评审输出管理评审的输出应包括与下列内容相关的任何决定和措施:a)信息安全管理体系有效性的改进;b)更新风险评估和风险处理计划;c)必要时,修订影响信息安全管理的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:业务要求;安全要求;影响现有业务要求的业务过程;法律法规要求;合同责任;风险等级和(或)风险接受准则。资源需求;改进测量控制措施有效性的方式。10.0改进10.1总要求1、公司编制纠正和纠正措施管理程序并实施,包括识别、记录、评估、批评、排定优先级顺序、管理、测量和报告改进的
41、权限和职责。2、对发现的不符合采取纠正措施,消除与管理体系要求不符合的原因,以防止再发生。3、纠正和纠正措施管理程序应规定以下方面的要求:a)识别潜在的不符合及其原因;b)评价预防不符合发生的措施要求;c)确定并实施所需的纠正措施;Ci)记录所采取措施的结果;e)评审所采取的预防措施。6、应定期进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。措施的优先级应基于风险评估结果来确定。10.2 管理改进本公司开展以下活动,以确保管理体系的持续改进:a)通过信息安全管理方针的建立与实施,对持续改进做出正式的承诺;b)通过建立信息安全管理目标明确改进的方向,确保改进达到预期的
42、效果;c)实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;按照内部审核管理程序、纠正和纠正措施管理程序的要求采取适当的纠正措施;吸取其他组织及本公司信息安全事故(事件)的经验教训不断改进管理体系的有效性;对于内部审核、管理评审或其他活动中所发现的不符合项或潜在不符合项,应按照纠正和纠正措施管理程序要求进行及时纠正。d)通过适当的手段保持在内部对管理措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、政府行政主管部门的联系及识别顾客对信息安全的要求等;实施批准的改进;报告实施的改进。10.3 纠正措施1、项目及流程管理部归口管理预防措施,潜在不符合事项的相关部门采取
43、预防措施,以消除潜在与信息安全管理体系要求不符合或不期望事项发生的原因,防止其发生。2、所采取的预防措施应与潜在问题的影响程度相适应。3、预防措施的实施按纠正和预防措施管理程序进行。4、预防措施的制定与实施程序要求如下:a)识别潜在的不符合及其原因;b)评价预防不符合发生的措施要求;c)确定并实施所需的预防措施;d)记录所采取措施的结果;e)评审所采取的预防措施。5、项目及流程管理部应定期组织进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。附1信息安全管理体系职责对照表管理职责最高管*管理者代S综合管理部项目及流程管理部恒易
44、融产品技术部线下业务产品技术部运维及IT服务部4组织背景4.1了解组织和它的背景OOOOOO4.2理解相关方的需求和期望OOOOOO4.3确定ISMS的范围OOOOOO4.4ISMSOOOOOO5领导力5.1领导力和承诺OOOOOO5.2方针OOOOO5.3组织的角色、职责和权限6计划6.1处理风险和机遇的行动OOOO6.2可实现的信息安全目标和计划OOOO7支持7.1资源OOOOOO7.2能力OOOOOO管理职责最高管装管理者代表一综合管理部项目及流程管理部恒易融产品技术部线.卜业务产品技术部运维及IT服务部7.3意识OOOOOO7.4沟通7.5文档化的信息OOOOOO8运行8.1运行计划及控制8.2信息安全风险评估OOOOOO8.3信息安全风险处置OOOOOO9绩效评价9.1监视、测量、分析和评价OOOOOO9.2内部审核OOOOO9.3管理评审OOOOO10改进10.1不符合及纠正措施OOOO010.2持续改进OOOO0控中时目标与控制要求A.5.1信息安全方针OOOOOOA.6.1内部组织A.6.2移动设备和远程办公OOOOOA.7.1任用前OOOOOO
