《ITSS信息安全管理程序.docx》由会员分享,可在线阅读,更多相关《ITSS信息安全管理程序.docx(13页珍藏版)》请在三一办公上搜索。
1、1范围从组织环境的角度考虑,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。本信息安全管理程序从组织环境的角度规定了我公司信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理程序适用于:与企业运维服务项目信息安全管理活动。本信息安全管理程序采用了IS027001:2013标准正文的全部内容,其中对标准规范附录A的删减见适用性声明SOAL2规范性引用文件下列文件中的条款
2、通过本信息安全管理程序的引用而成为本信息安全管理程序的条款。凡是标注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,相关部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理程序。ISO/IEC27000信息技术-安全技术-信息安全管理体系-概述和词汇IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则3术语和定义ISO/IEC27000信息技术-安全技术-信息安全管理体系-概述和词汇中规定的术语和定义适用于本信息安全管理程序。31本公司指
3、XX有限公司。3.2信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。3.4信息安全事件加导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3. 5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、上级部门、供方、用户等。4组织环境4.
4、1理解组织及其环境组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题注:确定这些问题涉及到建立组织的外部和内部环境。4. 2理解相关方的需求和期望组织应确定:与信息安全管理体系有关的相关方;这些相关方与信息安全有关的要求。注:相关方的要求可能包括法律法规要求和合同义务。4.3 确定信息安全管理体系的范围本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:a)与环境监控软件(开发)相关的信息安全管理活动b)与所述活动相关的信息系统;
5、c)与所述活动相关的各部门(包括综合部、项目部、技术部)的所有员工;d)所述活动、系统及支持性系统包含的全部信息资产(不在体系覆盖范围内的相关部门,以公司内部相关方形式出现)。组织范围:本公司信息安全管理体系适用的组织范围,见附录A(规范性附录)组织机构图。物理范围:本公司信息安全管理体系的物理范围安全边界详见附录B(规范性附录)办公区域平面图。4.4 信息安全管理体系本公司在日常经营管理活动中,按ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求规定,建立、实施、保持和持续改进信息安全管理体系。信息安全管理体系使用的过程基于图1所示的PDCA模型。4. 4.1总则本
6、公司信息安全管理体系文件包括:a)文件化的信息安全方针、控制目标,在信息安全管理程序中描述;b)信息安全管理程序(本手册,包括信息安全适用范围及引用的标准);c)本手册要求的信息安全风险识别与评价管理程序、业务持续性管理程序、纠正预防措施管理程序等支持性程序;d)信息安全管理体系引用的支持性程序。如:文件管理程序、记录管理程序、内部审核管理程序等;e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;f)风险评估报告、风险处理计划以及信息安全管理体系要求的记录类文件;g)相关的法律、法规和信息安全标准;h)适用性声明(SOA)。4. 4.2文件控制行政部组织制定并实施文件管理程序,
7、对信息安全管理体系所要求的文件进行管理。对信息安全管理程序、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证:a)文件发布前得到批准,以确保文件是充分的;b)当文件实施更改时,对文件进行评审、更新并再次批准;c)确保文件的更改和现行修订状态得到识别;d)确保在使用时,可获得相关文件的最新版本;e)确保文件保持清晰、易于识别;f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;g)确保外来
8、文件(指与公司经营有关的一切外部文件)得到识别;h)确保文件的分发得到控制;i)防止作废文件的非预期使用;j)若因任何目的需保留作废文件时,应对其进行适当的标识。4.4. 3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政部负责组织制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理程序,规定记录的标识、储存、保护、检索、保管、废弃等事项。信息安全管理体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事件(事故)的记录。各部门应根据记录管理程序的要求采取适当的方式妥善保管信息安全记录。5领导5.1 领导和承诺高层管理者应通过以
9、下方式展示其关于信息安全管理体系的领导力和承诺:a)建立信息安全方针和信息安全目标(见本手册第04章);b)确保将信息安全管理体系要求整合到组织的业务过程中;c)确保信息安全管理体系所需资源可用(见本手册第7.1章);d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;e)确保信息安全管理体系实现其预期结果;f)指挥并支持人员为信息安全管理体系的有效实施做出贡献;g)促进持续改进;h)支持其他相关角色在其职责范围内展示他们的领导力。5.2 方针为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安
10、全目标。信息安全管理方针:顾客至上,安全第一;科学预防,全员参与;遵守法规,持续改进本公司信息安全管理策略包括内容如下:一、信息安全管理机制公司采用系统的方法,按照ISO/IEC27001:2013建立信息安全管理体系,全面保护本公司的信息安全。二、信息安全管理组织1 .公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。2 .公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。3 .在公司内部建立信息安全组织机构,信息安全管理委员会,保证信息安全管理体系的有效运行。4 .与上级部门、地方政府、相
11、关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。三、人员安全1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。5 .对本公司的相关方,要明确安全要求和安全职责。6 .定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,以提高安全意识。7 .全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保
12、证满足安全要求。五、风险评估1 .根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。2 .采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。3 .应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件1 .公司建立报告信息安全事件的渠道和相应的主管部门。2 .全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。3 .接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查定期对信息安全进行监督检查,包括
13、:日常检查、专项检查、技术性检查、内部审核、管理评审等。每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订。八、业务持续性1 .公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。2 .定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。信息安全目标如下:公司总体重大信息安全事件(事故)为零,各部门信息安全目标如下:部门目标需要的资源负责人达到时间评价方法技术部软件数据,技术资料泄露或遗失
14、类安全事件为零无部门经理一个季度每个季度收集相关的安全事件并汇总,与目标比较看是否达到目标行政部人力资源泄密安全事件为零无部门经理一个季度每个季度收集相关的安全事件并汇总,与目标比较看是否达到目标各类信息设施的可用性达到90%以上无部门经理一个季度每个季度计算可用性,与目标比较看是否达到目标项目部客户数据泄露、遗失类安全事件为零。无部门经理一个季度每个季度收集相关的安全事件并汇总每年客户投诉不得多于3次无部门经理年末每年收集客户投诉数据并汇总,与目标比较看是否达到目标5.3组织角色、职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职
15、责如何,对信息安全负有以下职责:a)建立并实施信息安全管理体系必要的程序并维持其有效运行;b)对信息安全管理体系的运行情况向总经理报告。c)对各部门的信息安全管理体系的运行情况在公司内部进行通告。各部门负责人为本部门信息安全管理责任者,全体员工都应按信息安全管理体系的要求自觉履行信息安全义务;各部门、人员有关信息安全职责分配见附录C(规范性附录)信息安全管理职责明细表和相应的程序文件。6规划6.1 应对风险和机会的措施6.1.1 总则当规划信息安全管理体系时,要考虑公司面临的内外部问题、相关方的耍求和期望,确定需要应对的风险和机会。a)确保信息安全管理体系能实现其预期效果;b)防止或减少意外的
16、影响;c)实现持续改进。组织应规划:d)应对这些风险和机会的措施;e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程;2)评价这些措施的有效性。6.1.2 信息安全风险评估相关部门负责组织制定信息安全风险识别与评价管理程序,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估依据信息安全风险识别与评价管理程序进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。1)识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险识别与评价管理程序识别与信息保密性、完整性和可
17、用性损失有关的风险,并确定每个风险的负责人。2)分析和评价风险本公司按信息安全风险识别与评价管理程序规定,分析风险发生的可能性和可能导致的潜在后果,并计算风险等级。根据风险接受准则,判断风险为可接受或需要处理。6.L3信息安全风险处置组织相关部门根据风险评估的结果,对风险进行处置,确定风险控制措施。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a)控制风险,采用适当的内部控制措施;b)接受风险(不可能将所有风险降低为零,但可控制到可接受范围内);c)避免风险(如物理隔离);d)转移风险(如将风险转移给保险者、供方、分包商)。控制措施的选择原则来源于IS027001:20
18、13信息技术-安全技术-信息安全管理体系-要求附录A。本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。对风险处置计划要得到风险负责人的批准,风险处置后的剩余风险,也要得到风险责任人的批准。相关部门负责组织编制信息安全适用性声明(SoA)。该声明包括以下方面的内容:a)所选择控制目标与控制措施的概要描述,以及选择的原因;b)对IS02700L2013附录A中未选用的控制目标及控制措施理由的说明。1.1 2信息安全目标和实现规划公司在相关职能和层次上建立了与信息安全方针保持一致的信息安全目标,并在全公司发布,参见信息安全方针目标文件。7支持1.2 1资源本公司确定并提供建立、实施、保
19、持和持续改进信息安全管理体系所需资源。72能力公司相关部门组织制定并实施人力资源管理程序文件,达到以下要求:a)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d)保留适当的文件化信息作为能力的证据。注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员。1.3 意识公司通过培训、教训等措施,保证工作人员了解:a)信息安全方针;b)其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c)不符合信息安全管理体
20、系要求带来的影响。1.4 沟通公司制定了信息安全沟通管理程序,明确了信息安全管理体系相关的内部和外部的沟通需求,包括:a)沟通内容;b)沟通时间;c)沟通对象;d)谁应负责沟通;e)影响沟通的过程。1.5 文件化信息7. 5.1总则本公司信息安全管理体系文件包括:a)文件化的信息安全方针目标;b)信息安全管理程序(本手册,包括信息安全适用范围及引用的标准);c)本手册要求的信息安全风险识别与评价管理程序、业务持续性管理程序、纠正预防措施管理程序等支持性程序;d)信息安全管理体系引用的支持性程序。如:文件管理程序、记录管理程序、内部审核管理程序等;e)为确保有效策划、运作和控制信息安全过程所制定
21、的文件化操作程序;f)风险评估报告、风险处理计划以及信息安全管理体系要求的记录类文件;g)相关的法律、法规和信息安全标准;h)适用性声明(SOA)O8. 5.2仓4建和更新公司相关部门制定并实施文件管理程序,创建和更新文件化信息时,应确保适当的:a)标识和描述(例如标题、日期、作者或编号);b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);c)对适宜性和充分性的评审和批准。9. 5.3文件化信息的控制公司相关部门制定并实施文件管理程序,对信息安全管理体系所要求的文件进行控制。对信息安全管理程序、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控
22、文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。文件化信息控制应确保:a)在需要的地点和时间,是可用和适宜的;b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。为控制文件化信息,适用时,组织应开展以下活动:c)分发,访问,检索和使用;d)存储和保护,包括保持可读性;e)控制变更(例如版本控制);D保留和处置。组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。注:访问隐含着允许仅浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。8运行8.1运行规划和控制
23、公司应针对满足信息安全要求及实施确定的控制措施制定相关的程序和规章制度,所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。公司应详细记录信息安全管理体系运行过程中的各种信息数据,以确保信息安全管理体系是否正在按照计划有效运行。当公司信息安全方针、目标、工作计划和程序、控制措施等发生变更时,应进行管理。计划的变更要按照计划进行控制;非预期的变更要评审变更的影响,确保变更没有负面的影响,必要时采取措施减轻负面影响。公司目前没有外包过程。8. 2信息安全风险评估相关部门按照6.1.2章的风险接受准则和风险评估方法,每年至少进行一次风险评估,并产出风险评估报告。当重大变
24、更提出或发生时,也需要执行信息安全风险评估。10. 3信息安全风险处置相关部门按照6.1.3章的信息安全风险处置计划进行实施,并按照风险接受准则评价实施效果,对风险处理后的残余风险,得到风险负责人的批准。11. 评价本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;C)使管理者确认人工或自动执行的安全活动达到预期的结果;d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;e)积累信
25、息安全方面的经验;根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第9.3章。组织应记录可能对信息安全管理体系有效性或业绩有影响的活动和事情,并进行分析,分析结果上报管理者代表。组织应建立并实施内部审核管理程序,内部审核管理程序应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:a
26、)符合本标准的要求;b)组织自身对信息安全管理体系的要求;C)得到有效地实施和保持应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。每次审核前,内审组长应策划编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。应按审核计划的要求实施审核,包括:a)进行首次会议,明确审核的目的和范围,采用的方法和程序;b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见
27、和不符合报告;d)审核组长编制审核报告。对审核中提出的不符合项报告,责任部门应编制纠正措施,由行政部组织对受审部门的纠正措施的实施情况进行跟踪、验证;按照记录管理程序的要求,保存审核记录。内部审核报告,应作为管理评审的输入之一。总经理为确认信息安全管理体系的适宜性、充分性和有效性,每年对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价,以及对安全方针、安全目标的评价。管理评审的结果应形成书面记录。在管理评审时,管理者代表应组织相关部门提供以下资料,供最高责任者和信息安全委员会进行评审:a)以往管理评审要求采取措施的状态;b)与信息安全管理体系相关的外部和内
28、部情况的变化;c)信息安全绩效有关的反馈,包括以下方面的趋势:1)不符合和纠正措施;2)监视和测量结果;3)审核结果;4)信息安全目标完成情况;d)相关方反馈;e)风险评估结果及风险处置计划的状态;D持续改进的机会。管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。10改进10.1.1不符合和纠正措施组织应建立并实施纠正预防措施管理程序,当发生不符合时,组织应:a)对不符合做出反应,适用时:1)采取措施控制并纠正不符合;2)处理后果;b)通过以下方法,评价采取消除不符合原因的措施的需求,防止不符合再发生,或在其他地方发生:1)评审不符合;2)确定不符合的原因;3)确定类似的不符合是否存在,或可能发生;c)实施需要的措施;d)评审所采取的纠正措施的有效性;e)必要时,对信息安全管理体系进行变更。纠正措施应与所遇到的不符合的影响程度相适应。10.1.2持续改进组织应持续改进信息安全管理体系的适宜性、充分性和有效。
