参考模版,仅供参考
1. 概述
1.1颁布令
为保障AAAA有限公司技术部(以下简称“AAA”)信息资源的安全性,确保AAA在不断变化的信息安全风险环境中,能够通过科学的方法和持续的改进,使AAA所面临的信息安全风险达到管理者可接受的水平。决定引入信息安全管理体系,建立可控的信息安全风险管理架构及保障机制。
AAA严格按照ISO/IEC 27001:2013《信息安全管理体系要求》以及技术部业务特点编制《信息安全管理手册V1.0》,建立与技术部业务一致的信息安全与IT服务管理体系,贯彻IT服务管理理念方针和服务目标。为实现信息安全管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则,是全体员工必须遵守的原则性规范,体现AAA对社会承诺,通过有效的PDCA活动向客户提供满足要求的信息安全管理。
本手册贯穿了AAA信息安全管理体系各条款的要求,体现了AAA对信息安全的承诺及持续改进的要求,符合本公司的实际运作情况,AAA将依据本手册内容,向客户或者第三方组织提供信息安全保证和进行信息安全管理体系审核的依据。
为确保信息安全管理体系的有效运作,AAA在技术部之下成立信息安全部。信息安全部负责组织建立并维护信息安全管理体系,全体员工必须严格按照本手册的内容要求,遵守本手册的各项规定,实现AAA信息安全管理的方针和目标。
CTO(公司管技术老大):XXX
二〇一X年X月X日
1.2手册说明
1.2.1总则
《信息安全管理手册》的编制,是用以证明已建立并实施了一个完整的文件化的信息安全管理体系。通过对各项业务进行风险评估,识别出技术部的关键资产,并根据资产的不同风险级别采取与之相对应的处理措施。
《信息安全管理手册》为审核信息安全管理体系提供了文件依据。
《信息安全管理手册》证明技术部已经按照ISO/IEC 27001:2013版标准的要求建立并实际运行一套信息安全管理体系。《信息安全管理手册》的编制及颁布可以对技术部信息安全管理各项活动进行控制,指导技术部在开展各项业务活动时需要遵循的信息安全规范,并通过不断的持续改进来优化信息安全管理体系。
1.2.2信息安全管理手册的批准
信息安全部负责组织编制《信息安全管理手册》及其相关规章制度,CTO(公司管技术老大)负责批准。
1.2.3信息安全管理手册的发放、作废与销毁
信息安全部负责按《文件控制制度》的要求,进行《信息安全管理手册》的发放、回收、归档、作废与销毁工作。
各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管。
信息安全部按照规定发放修改后的《信息安全管理手册》,并收回失效的文件做出标识统一处理,确保有效文件的唯一性。
信息安全部保留《信息安全管理手册》修改内容的记录。
1.2.4信息安全管理手册的修改
《信息安全管理手册》如根据实际情况发生变化时,应由信息安全部负责人提出申请,经技术部总监召集各部门讨论、商议,信息安全代表审核、CTO(公司管技术老大)批准后方可进行修改。为保证修改后的手册能够及时发放给相关人员,信息安全部对手册实施修改后,应及时发布修改信息,通知相关人员。
《信息安全管理手册》的修改分为两种:
一是少量的文字性修改。此种修改不改变手册的版本号,只需在本手册的“文档修改记录”如实记录即可,不需保存手册修改前的文档原件。
二是大范围的信息安全管理体系版本升级,即改版。在本手册经过多次修改、信息安全管理体系建立依据的标准发生变化、技术部的业务范围有较大调整的情况下,需要对本手册进行改版。本手册的改版应该对改版前的《信息安全管理手册》原件进行保存。
在出现下列情况时,《信息安全管理手册》可以进行修改:
信息安全管理体系运行过程中发现问题或信息安全管理体系需进一步改进
出现新的信息安全需求
组织机构和职能发生变化
发现本手册中的存在差错或不明确之处
体系审核或管理评审提出改进要求
当依据的ISO/IEC27001:2013信息安全管理体系有重大变化时,如组织结构、内外部环境、开发技术、信息安全风险等发生重大改变的
相应的法律法规发生重大变化时,如国家法律法规、政策、标准等发生改变的
《信息安全管理手册》发生需修改部分超过1/3时
《信息安全管理手册》执行已满三年时
本手册的更改控制按《文件控制制度》执行。
1.2.5信息安全管理手册的控制
(1)信息安全管理文档体系文件分为受控文件和非受控文件:
受控文件发放范围为技术部领导、各相关部分的负责人、审计部或者内审员。
非受控文件可发给受控范围以外的其他相关人员。
(2)信息安全管理文档体系文件分为书面文件和电子文件两种。
2. 规范性引用文件
ISO9001:2008《质量管理体系要求》;
ISO27001:2013《信息技术安全技术 信息安全管理体系要求》;
ISO19011:2011《审核管理体系的指南》;
与技术部运营相关的法律法规和技术标准。
3. 术语和定义
本手册采用ISO27001:2013标准的术语和定义,并根据需要在相应章节所描述的要求中,增补了所涉及的术语和定义;
本手册出现的术语“客户”指的是除技术部以外的其他部门或技术部客户;
ISMS-Information Security Management System的缩写,代表“信息安全管理体系”;
4. 组织环境
4.1理解组织及其环境
技术部定期识别与信息安全及IT服务管理目标相关,并影响实现信息安全及IT服务管理预期结果的内外部问题。
4.2理解第三方的需求和期望
定期开展风险评估;
定期开展内审管理评审;
定期开展服务评审。
4.3确定ISMS的范围
4.3.1适用覆盖范围
本手册适用于本公司所有业务范围的管理支持过程及相关服务活动及场所。
4.3.2适用产品范围
本手册描述的ISMS管理体系要求适用于:与应用软件开发、软硬件运维服务相关的信息安全管理。(每个公司定的范围不一样,主要看公司的服务对象、面对的群体,选择适合自己公司的范围,咨询公司有列表,在规定范围内选择。)
外包过程也按ISMS标准的要求进行控制。
4.4ISMS体系
4.4.1总则
为了建立、实施、运行、监视、评审、持续改进信息管理管理体系,提高全员的信息安全意识,对信息安全风险进行有效管理,使技术部全体贯彻落实安全方针和各项安全措施,保护用户信息和资料,保证信息资产免遭破坏,防止安全事故的发生,树立技术部良好的服务形象,增强用户对xxxIT技术和管理水平的信心,保证技术部业务可持续开展,特制定本《信息安全管理手册》。
4.4.2ISMS体系过程方法
![]/images/blog/is27001/1/1.png)
4.5相关文件
《信息安全体系运行评审制度》
《文件控制制度》
5. 领导作用
5.1领导作用和承诺
公司成立信息安全管理小组来领导信息安全工作,并确定相应的职责和作用。
制定信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。
向公司传达满足信息安全目标以及信息安全方针,以及法律责任和持续改进的重要性。
提供足够的资源建立、实施、运行、监控、评审、为何和改进ISMS;
决定可接受风险的标准和可接受风险的等级;
确保按照标准严格执行ISMS内部审核并进行管理评审。
5.1.1信息安全管理小组
信息安全小组组长由信息安全主管领导担任
信息安全小组成员由各个部门领导组成
信息安全部全体成员均为该小组成员,且为整个信息安全体系建设的执行者和实施者
5.2ISMS管理方针
信息安全方针和信息安全目标
为了保障AAA各种信息资产的安全,给客户提供更加安心的服务,提升客户服务满意度,我们严格根据ISO/IEC 27001:2013标准,建立信息安全管理体系,全面保护技术部的信息安全。
一、信息安全管理方针
确保xxx信息安全管理体系满足法律法规、行业规范、客户以及业务可持续性的不断发展的需求。
二、信息安全管理目标
为提高xxx全体员工的信息安全意识,积极做好预防工作以及风险管理,贯彻落实各项安全方针政策,保护客户信息和提交的各种材料免受外部威胁,防止安全事故的发生,提高客户满意度,体现xxx核心竞争力,保证公司系统开发、实施、集成以及运维等业务持续开展。
三、信息安全管理适用范围
本信息安全管理方针适用于xxx公司全体员工、业务合作伙伴、外聘人员及第三方的工作人员等所有与信息资产相关的部门与人员。
四、信息安全管理的目的
(1)不可接受风险的处理率:100%;
(2)重大信息安全事件为0次;
(3)信息安全体系执行过程中发现的不符合项处理率:100%;
五、信息安全管理服务原则以及措施
响应及时性原则:设立技术支持小组提供7*13.5小时(8:30~22:00)时响应服务。
服务规范性原则:实施工程师和技术支持、维护工程师具有专业技术技能,严格按照ISO/IEC27001:2013标准,保证信息安全,提供客户服务,提升客户满意度。
解决问题高效性原则:遵循解决问题高效性原则,一是通过现场支持工程师的专业技能快速定位和解决问题;二是提供问题迅速解决能力。
5.3组织架构、职责和权限
5.3.1ISMS管理体系组织架构图
**放入你公司的组织架构图**
注:人事专员为总部人力资源指派技术部专员
5.3.2ISMS管理职能分配
5.3.2.1职责和权限
(1)CTO(公司管技术老大)
全面负责信息安全工作,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
任命技术部总监负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适应性和有效性。
开展内部协调活动,确保合适的方针到位。
主持信息安全体系运行评审程序,包括体系的范围、方针、目标的符合性及控制措施有效性的评审,以确保信息安全管理体系持续的适宜性、充分性和有效性,管理评审严格按照《信息安全体系运行评审制度》执行。
向技术部传达满足信息安全管理的目标和持续改进的重要性,向公司管理层报告信息安全管体系的业绩以及信息安全管理体系的运行情况和必要的改进措施,同时组织相关部门、资源,建立、实施和保持信息安全管理体系,不断改进信息安全管理体系,确保该体系具有有效性、适应性和符合性。
(2)技术部总监
在整体上对技术部信息安全风险的管理和控制承担最终的责任,全面负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适应性和有效性。
负责与信息安全体系有关的协调和联络工作。
确保按照标准要求,进行资产评估识别和风险评估,全面建立、实施和保持信息安全管理体系。
支持信息安全管理体系内部审核,任命审核组长,批准内审工作报告,对内审发现的不符合项进行纠正和预报。
向技术部CTO(公司管技术老大)报告信息安全管理体系的现状和改进要求,包括信息安全管理体系运行情况、内外审核情况。
定义技术和非技术的信息安全标准、程序和作业指导;收集、分析和评价信息安全数据和事态、事件。
必要时与有关的内部职能联络,如IT运作、风险管理、符合性和内部审核,以及与诸如警方的外部职能联络。
协调各个部门上报的信息资产责任人的分配,支持信息资产责任人调查和补救信息安全事故或其他方针违反造成的影响。
组织人员的安全意识宣传活动,以加强安全文化和开发对ISO/IEC27001:2013广泛的理解。
在定义和实施控制、处理和工具方面支持信息资产责任人及各部门信息安全负责人,以服从方针手册,以管理信息安全风险。
(3)信息安全部
负责制定信息安全管理各项规章制度,同时建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。
执行信息安全管理体系的内部审核。
监督各部门对信息安全各项规章制度的执行,并对关键信息文件进行备份,及时查处信息安全隐患,并负责对有效避免信息安全事故的人员和行为进行奖励,对违反信息安全方针和制度的人员和行为进行处罚。
负责做好有关内审资料的原始调查的收集、整理、建档工作。
监督各部门信息安全执行情况,监督不符合事项的责任部门负责采取纠正措施。
在信息安全内部审计过程中,详细记载发生异常时的现象、时间和处理方式,并及时上报。
负责保存内审记录,并对所有涉及的审计事项,编写内部审计报告,及时上报审核,并提出处理意见和建议。
负责信息安全技术活动,适当分类和保护信息资产。
定期组织风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。识别技术部信息安全风险的重大趋势和变化,并酌情提出修改控制框架和/或方针,例如,为加强信息安全发起重大战略举措。
(4)人力资源部
负责部门人力资源方面的相关信息、事务;
组织开展技术部人员招聘、离职等人员异动工作;
信息安全小组成员的任命;
组织开展信息安全方面的培训工作。
(5)研发部
在开发生命周期的每个环节都需要考虑信息安全;
按照开发管理流程和规范来来管理个要求进行开发;
负责对发现风险的系统进行整改(开发系统).
(6)运维部
对于开发阶段的新应用系统,承担或运作信息安全风险评估,以确保信息安全要求在早期合适定义和记载成文;
负责信息处理设施的技术选型,设备调试、设备维护等。
根据分类和业务需求,授权新资产的访问,并确保及时完成访问的定期评审。
负责应用系统、服务器的管理,对应用系统、服务器等信息进行数据备份,对机房进行管理。
负责对发现风险的系统进行整改(服务器、网络)
(7)行政部
负责按照信息安全体系要求,执行人员来访、文档管理;
负责收集技术部在生产活动中涉及的法律法规和相关要求,并形成文档保存。
(8)其他各部门
提供解决本部门信息安全问题所必要的支持和资源,确保技术部的信息资产得到保护。
与其它部门共同协调和共享信息,确保信息安全方针在整个技术部内执行一致。
依据要求,识别本部门信息资产,并对信息资产进行评估,确定重要信息资产。
对确定的重要信息资产进行分类,并提名和调整合适的信息资产责任人,经本部门批准后,上报信息安全部。
收集在其职权范围内,信息安全控制的整体效能数据和其他信息,并汇报信息安全部。
5.3.4管理者代表
授权书
为贯彻执行ISO/IEC27001:2013《信息安全管理体系》,加强对信息管理体系运行的领导,特授权:
(1)授权 BBB 为管理者代表,其主要职责和权限为:
代表CTO(公司管技术老大)负责按标准要求建立、实施、运行以及持续改进心浙江怡科技供应链管理有限技术部的信息安全管理体系,实现AAA的服务管理、质量管理、信息安全管理体系的方针和目标,确保信息安全业务风险得到有效控制。
协助CTO(公司管技术老大)开展管理评审,并向CTO(公司管技术老大)报告信息安全管理体系业绩,为CTO(公司管技术老大)评审信息安全工作提供依据。
负责组织AAA《信息安全管理手册》的编写、修订和审核工作。
提高技术部全体人员的信息安全意识,并负责技术部管理体系有关事宜的外部联络工作。
确保满足顾客和相关方要求的信息安全意识和信息安全风险意识在技术部内得到形成和提高。
(2)授权各部门CTO(公司管技术老大)/经理为信息安全管理体系在本部门的负责人,对信息安全管理体系要求在本部门开展得到基础保障。
CTO(公司管技术老大):XXX
二〇一X年X月X日
6. 规划
6.1风险和机遇的应对措施
信息安全部组织有关部门根据风险评估结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及完成时间。
对于信息安全风险和给予,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
控制风险,采用适当的内部控制措施
接受风险(不可能将所有风险降低为零);
避免风险(如物理隔离);
转移风险(如将风险转移给保险者、供方、分包商)。
6.2ISMS目标及策划
6.2.1ISMS目标以及分解
CTO(公司管技术老大)每年组织、策划和制定下一年度的经营和管理的目标,形成公司年度的信息安全管理目标并分解至各个部门。ISMS目标与ISMS方需要针含有的持续改进的承诺保持协调一致,ISMS目标应包括为满足要求所需的内容,并逐层分解加以落实。同时,公司管理者代表对ISMS目标的实施和实现情况进行监督,及时采取必要的改进措施,ISMS信息安全目标分解如下:
不可接受风险的处理率:100%
重大信息安全事件:0次
信息安全体系执行过程中发现的不符合项处理率:100%
ISMS信息安全目标分解如下:
- 信息安全部
信息安全事件处理率:100%
完成信息安全本职工作
信息安全预警响应及时率:95%
- 人事专员
年度信息安全培训人员覆盖率100%
- 研发部
内部和秘密信息泄漏事件每年不超过1次
- 运维部
秘密信息设备丢失每年不超过1起
内部和秘密信息泄漏事件每年不超过1次
- 其他各部门
配合以及协助信息安全部执行安全工作
6.2.2ISMS策划
CTO(公司管技术老大)及管理者代表应确保识别和策划实现ISMS方针、ISMS目标,在策划目标的实现时,应确定:
组织信息安全结构与职责
选择控制目标与控制方式
编写控制概要
制定业务持续性计划
策划的输出应形成文件。
技术部ISMS体系的建立采用PDCA方法。PDCA描述如下:
P(计划):根据客户要求和技术部策略建立目标和流程;
D(实施):实施过程;
C(检查):根据策略、目标和要求对过程和服务进行监控、测量,并报告结果;
A(改进):采取措施以持续改进流程的性能。
6.3相关文件
- 《信息安全风险管理程序》
7. 支持
7.1资源
7.1.1总则
CTO(公司管技术老大)以及部门经理应确定、提供为建立、实施、保持和改进ISMS管理体系所需的资源,应考虑现有的资源、能力、局限;
7.1.2基础设施
组织应识别、提供并保持实现产品/服务符合性所需的基础设施,这些设施包括:
工作场所相应的设施(办公室、机房、工作站点、清分场地、储存室等);
服务过程设备,如各种通讯设备、监控设备和客户服务管理系统、业务系统(软件)等;
维修保养和保障设施(各种辅助设施、安全防护设施等);
支持性服务,如运输、通讯和信息系统等。
7.1.3过程环境
技术部各部门应识别提供产品/服务所需环境中人和物的因素,并对其加以有效的控制,保证提供产品/服务过程中的人员、财产安全。
过程环境可包括物理的、社会的、心理的和环境的因素。
7.1.4监视和测量设备
对照国际或国家的测量标准,在规定的时间间隔或在使用前进行校准和检定,如果没有上述标准的,应记录校准或检定(验证)的依据,以确保下列设备处于正常状态:
开发用途的电脑设备;
测试用途的电脑设备;
开发用途的软件;
测试用途的软件;
集成项目使用的设备。
处于正常状态的设备应具备下列特征:
设备的型号能够符合预期的使用目的;
无论设备处于待用状态还是处于使用状态,设备均是正常的;
设备得到周期性的养护和校正,并标识其校准状态;
必要时,各部门使用设备进行测量前,应再次校准设备;
测试软件应确认其具有满足预期用途的能力,初次使用前应进行确认,必要时可以进行重新确认。
当发现软件或设备不符合要求时,应对以往的测量结果进行有效性评价和记录,并对受影响的产品采取适当的措施。
校准和检定结果的记录应予保存。
7.1.5知识
技术部应确保ISMS管理体系运行过程中,提供产品/服务的符合性和顾客满意所需的知识。这些知识应得到保持、保护、需要时便于获取。
在应对变化的需求和趋势时,组织应考虑现有的知识基础,确定如何获取必需的更多知识。
7.2能力
技术部应根据岗位所需的教育、培训、技能和经验要求,安排人员,以确保影响产品/服务质量和信息安全的人员素质满足岗位的需要,能胜任其工作。
对于人员的配置,技术部应定岗定编并制定完善的岗位说明文件。
技术部在《人力资源管理程序》中对在职培训、人员的意识的灌输和工作能力的增长作了要求,以便:
确定从事影响产品/服务质量和信息安全的人员(包含营销、服务提供、质量检查、IT开发、顾客沟通、顾客信息反馈等)所必须的工作能力及培训需求;
提供培训或采取其他措施,以满足所确定的需求并确保达成必须的能力;
对培训的有效性进行评价;
确保员工能意识到他们工作的相关性和重要性,以及他们如何为达到ISMS目标做出努力;
保存有关教育、经验、培训、资格的适当的记录。
7.3意识
技术部应确保工作的人员意识到:
ISMS管理方针;
相关的质量目标;
他们对质量管理体系有效性的贡献,包括改进质量绩效的益处;
偏离质量管理体系要求的后果。
7.4沟通
技术部应明确内部沟通的管理要求,沟通的内容包括:
沟通的内容
沟通的时机
沟通的对象
7.5文件记录信息
7.5.1文件体系结构
AAA公司信息安全管理体系的文件由上而下分为四个层次,如下图所示:
信息安全管理体系文件包括:
(1)管理手册(信息安全手册、信息安全策略):规定AAA信息安全管理体系的文件,是AAA内部的信息安全法规,阐述了信息安全管理体系的方针、目标、范围、组织结构和职责权限,同时描述了信息安全管理体系的主体文件,是信息安全管理体系的纲领性文件。
(2)程序文件:是信息安全手册的支持性文件,规定了实施与信息安全管理体系有关的各项活动的途径和方法,是各项活动得以有效实施的保障。与信息安全管理体系有关的各项活动必须按照程序文件规定实施,并定期对其进行评审,保持其有效性。
(3)作业指导、规范规章制度、计划等文件:是信息安全手册的支持性文件,对策略中的要求进行细化和落地化,规定了实施与信息安全管理体系有关的各项活动的途径和方法,是各项活动得以有效实施的保障。与信息安全管理体系有关的各项活动必须按照程序文件规定实施,并定期对其进行评审,保持其有效性。
(4)记录文件:通过表单或模板,对信息安全管理体系实施的一系列活动进行规范,形成记录文件,用于作为管理评审、内部审核、外部审核、持续改进的客观证据。
信息安全手册、程序文件和作业指导、规范规章制度、计划、表单记录等四层文件由信息安全委员组织协调各相关部门共同完成编写。
支持文件:
- 《文件控制制度》
7.5.2文件控制
信息安全部组织编制《文件控制制度》,确保信息安全管理体系的文件在以下几个方面得到控制:
(1)文件发布前得到批准,以确保文件是充分与适宜的。
(2)管理体系文件应定期进行评审、修订完善,并再次批准以保持文件要求与实际运作的一致性,充分保障文件的有效性、充分性和适宜性。
(3)确保文件的更改和现行修订状态得到识别。
(4)确保在使用处可获得适用文件的有关版本。
(5)确保文件保持清晰、易于识别。
(6)确保信息安全部确定的体系所需的外来文件得到识别,并控制其分发。
(7)防止作废文件的非预期使用,若因任何原因而保留作废文件时,对这些文件进行适当的标识。
(8)具体执行按《文件控制制度》的规定,对文件的审核、批准、发布、变更、修改、废止等环节进行控制。
支持文件:
- 《文件控制制度》
7.5.3记录控制
信息安全管理体系所要求的记录是体系符合标准要求和有效运行的依据,对记录的标识、储存、保护、检索、保管、废弃等事项进行了规定,各部门应妥善保管信息安全记录,具体记录如下:
(1)建立并保持记录,以提供符合要求和信息安全管理体系有效运行的证据。
(2)保护并控制记录。信息安全管理体系应考虑相关的法律要求和合同责任。记录应保持合法,易于识别和检索。
(3)编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。
(4)记录的要求和管理:
记录文件尽量用电子版保存;
记录文件应做到真实、完整,可识别是何种产品或项目的何种活动。
填写及时、可识别更改时间、更改人及版本记录。
记录文件的电子版最终版本至少保留1年以上。
8. 运行
8.1运行的策划和控制
公司规定了实现与应用软件开发、软硬件运维服务相关的信息安全管理所需的过程,这些过程与公司ISMS管理体系中的其他要求相一致并对其顺序和相互作用予以确定,并确保营运活动中每个质量特性都受到有效控制。
8.1.1ISMS运行总要求
通过信息安全年度计划等形式对信息安全体系运行进行整体策划
明确信息安全体系的可量化目标和具体要求;
明确各岗位的信息安全职责;
质量目标和要求;
服务标准;
明确信息安全管理过程控制的准则和方法,制定必要的作业指导文件,为产品和服务实现提供资源和设施,保证其所需的工作环境;
保留服务过程提供及过程测量和检查结果的记录。
8.2信息安全风险评估
8.2.1风险评估的方法
管理者代表负责组织编制《信息安全风险评估管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律法规要求的风险评估方法,在决定风险的可接受范围内,采取适当的风险控制措施。
8.2.2识别风险
在信息安全管理体系范围内,对所有信息资产进行识别和评估,包括:识别资产面临的威胁以及脆弱性、识别保密性完整性和可用性对资产造成的影响程度、识别资产面临的风险。
8.2.3分析和评价风险
针对每一项信息资产,识别出其面临的所有威胁,并考虑现有的控制措施,识别出被该威胁可能利用的薄弱点。
针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判断安全失效发生的可能性。
根据《信息安全风险管理程序》计算风险等级以及风险接受准则,判断风险为可接受或需要处理。
8.2.4识别和评价风险处理的选择
信息资产风险的识别贯穿整个业务活动过程,明确哪些风险可能影响信息安全目标的达成,记录这些风险的各方面特征。在记录风险的基础上对信息资产进行初步分析,依据影响对信息资产面临的风险进行优先级排序。
信息安全部根据风险评估的结果,形成《信息安全风险评估表(含\<风险处理计划>)》,该计划明确了风险处理责任部门、负责人、目的、范围以及处理策略,具体措施如下:
适时适当的控制措施。
规避风险,采取有效的控制措施避免风险的发生。
接受风险,在一定程度上有意识、有目的地接受风险。
风险转移,转移相关业务风险到其他方面。
消减风险,通过适当的控制措施降低风险发生的可能性。
8.3信息安全风险处置
组织应实施信息安全风险处置计划。保留信息安全风险处置结果的文件记录信息。详见《信息安全风险管理程序》
8.4相关文件
- 《信息安全风险管理程序》
9. 绩效评价
9.1监视、测量、分析和评价
信息安全部应组织相关部门,对信息安全措施的绩效和体系的有效性进行评价。
信息安全部应与技术部各部门协调,根据技术部管理的实际需要,建立恰当的度量体系,以度量各部门、员工的信息安全工作业绩。
由信息安全部组织实施监视和测量,每年至少一次对监视和测量的结果进行分析和评价,由技术部总监、CTO(公司管技术老大)组织各部门分析和评价这些结果,保留相关的监视和测量证据。
9.2内部审核
信息安全部应每年至少开展一次ISMS内部审核,以确定控制目标、控制措施、过程和程序是否:
符合标准及相关法律法规的要求;
符合确定的信息安全要求;
得到有效地实施和维护;
按期望运行。
内部审核程序应事先进行安排,并考虑受审核的状况、重要性和受审核的区域以及上次审核结果,应规定审核准则、范围和方式。信息安全部经理及信息安全工程师负责内部审核过程。(审核员的选择和审核活动应保证审核过程的客观和公正,审核员不能审核自己的工作)
9.3管理评审
9.3.1总则
为确保信息安全管理体系持续运行,具体如下:
(1)技术部总监组织并编制《信息安全体系运行评审制度》,指导管理评审工作的执行。
(2)管理评审由CTO(公司管技术老大)或技术部总监组织,每年至少一次。一般情况下,采取会议的形式,安排在内部审核之后。当出现下列情况之一时,应及时进行管理评审:
技术部管理体系发生重大变化。
国家法律法规、相关标准发生重大变化。
外审之前。
其他认为需要评审时。
(3)各部门经理均需参加管理评审活动,需要时,由CTO(公司管技术老大)或其授权人员决定具体的参加人员。
(4)管理评审会议的决议事项以会议纪要形式体现,由各相关部门负责配合执行,并对执行状况予以跟踪评估。
9.3.2评审输入
信息安全部经理组织有管部门按照计划的要求收集整理有关文件和数据资料提交管理评审,包括以下内容:
信息安全方针的适宜性。
上一次管理评审的结论和整改意见的跟踪。
内部和外部审核的结果。
相关方/第三方的反馈,如政府机关、客户、供应商、内部员工等。
纠正和预防措施的实施情况。
管理目标的有效性测量结果。
客户满意度调查信息反馈以及客户投诉。
全年的管理体系运作情况以及各信息系统安全运行情况。
风险评估的结果与风险管理情况。
安全事故与故障的处理情况。
法律法规的符合性与法律法规要求的变化。
经营策划的变化可能影响管理任何可能影响信息安全管理体系变更的事项。
各种改进措施的建议。
9.3.3评审输出
按照服务管理与安全方针和目标对上述信息进行全面的讨论、评价、分析,管理评审输出包括以下方面有关的任何决定和措施:
信息安全管理体系有效性的改进,应考虑业务需求、安全需求、影响已有业务需求的业务过程、法律法规环境、合同责任义务、风险以及风险接受等级等。
信息安全管理方针和目标的修订。
与相关方/第三方有关的改进措施等。
风险的等级或可接受风险的水平,更新风险评估和风险评估表等。
业务需求的变更。
安全需求的变更。
资源需求以及影响现有业务需求的业务过程;
改进测量控制措施有效性的方式。
对现有信息安全管理体系的评价结论以及对现有服务是否符合要求的评价。
9.3.4评审程序
参照支持文件《信息安全体系运行评审制度》。
9.3.5相关文件
《内部审核管理程序》
《信息安全体系运行评审制度》
10. 改进
10.1不符合和纠正措施
当发现不符合项时,信息安全部应:
对不符合项作出反应,
(1)采取措施控制并纠正不符合项;
(2)处理不符合项造成的后果;
评价消除产生不符合项原因的措施的需求,通过采取以下措施防止不符合项再次发生或在其他区域发生:
(1)评审不符合项;
(2)确定不符合项产生的原因;
(3)确定类似不符合项是否存在,或可能潜在发生
实施所需的措施;
评审所采取纠正措施的有效性;
必要时,对体系实施变更。
应将以下信息形成文件:
不符合项的性质及随后采取的措施
纠正措施的结果
上述要求参见《内部审核管理程序》。
10.2持续改进
AAA通过制定和改进管理方针和管理目标、进行管理评审、进行内部/外部审核、落实纠正与预防措施工作、对信息安全事件和服务异常事件的监控分析等方式开展信息安全管理体系的改进工作,必要时征求所有相关方对管理体系的意见,从而保证管理体系的持续有效性和运行效率。
AAA关注客户的投诉、抱怨、记录、评估服务改进建议,制定服务改进计划,评估服务改进情况,确保各项服务改进措施均已落实执行,并实现预期的目标,从而改进完善服务过程,提升服务质量,提高客户的满意度。
AAA规定各部门在持续改进活动中的角色和职责,并从服务过程的所有方面考虑服务改进要求。
计划通过以下途径持续改进信息安群管理的有效性:
通过信息安全管理体系方针的建立与实施,对持续改进做出正式的承诺。
通过信息安全管理体系目标的建立与实施,对持续改进进行评价。
通过内部审核不断发现问题,寻找体系改进的机会并予以实施。
通过数据分析不断寻求改进的机会,并做出适当的改进活动安排。
通过实施纠正和预防措施实现改进的活动。
监控安全事件并对事件进行分析。
确定纠正措施和预防措施的有效性。
根据管理评审的结果寻求改进体系的机会。
支持文件:
《内部审核管理程序》
10.3纠正措施
对于发现的不合格项,不仅要求责任人要纠正不合格行为,而且为了消除不合格项、与实施和运行信息安全管理体系有关的原因,信息安全部要求责任人应该制定纠正措施,以便防止不合格的再次发生。纠正措施的控制应该满足如下要求:
识别实施和运行信息安全管理体系的不合格事件。
分析并确定不合格的原因。
评价确保不合格不再发生的相关因素。
确定和实施所需的纠正措施。
检查、验证纠正措施的结果。
评审所采取的纠正措施的有效性。
支持文件:
《内部审核管理程序》
10.4预防措施
在信息安全管理体系运行的过程中,通过日常的过程控制、结果验证、体系审核等方式发现的一些可能影响体系运行的、不受控制将会导致不合格产生的安全事件,应该及时采取预防措施控制事态的进一步扩大。预防措施应该满足如下几方面的要求:
识别潜在的信息安全事件及其原因,并确定。
评价预防不合格发生的措施的需求。
确定和实施所需的预防措施。
评价预防措施的有效性,并对所采取措施的结果进行记录。
识别并控制重大的已变更的防线。
支持文件:
《内部审核管理程序》
11. 附录
附件1:文件清单
| 序号 | 文件名称 | 文件编号 | 编制人 | 审核人 | 批准人 |
|---|---|---|---|---|---|
| 1 | 信息安全法律法规策略 | [ISMS-B-01] | CCC | BBB | XXX |
| 2 | 人力资源安全管理策略 | [ISMS-B-02] | CCC | BBB | XXX |
| 3 | 第三方安全管理策略 | [ISMS-B-03] | CCC | BBB | XXX |
| 4 | 密码技术管理策略 | [ISMS-B-04] | CCC | BBB | XXX |
| 5 | 访问控制策略 | [ISMS-B-05] | CCC | BBB | XXX |
| 6 | 资产安全管理策略 | [ISMS-B-06] | CCC | BBB | XXX |
| 7 | 物理安全管理策略 | [ISMS-B-07] | CCC | BBB | XXX |
| 8 | 设备安全管理策略 | [ISMS-B-08] | CCC | BBB | XXX |
| 9 | 网络安全管理策略 | [ISMS-B-09] | CCC | BBB | XXX |
| 10 | 计算机管理策略 | [ISMS-B-10] | CCC | BBB | XXX |
| 11 | 移动设备和介质管理策略 | [ISMS-B-11] | CCC | BBB | XXX |
| 12 | 安全运维管理策略 | [ISMS-B-12] | CCC | BBB | XXX |
| 13 | 软件开发安全策略 | [ISMS-B-13] | CCC | BBB | XXX |
| 14 | 安全变更管理策略 | [ISMS-B-14] | CCC | BBB | XXX |
| 15 | 信息备份管理策略 | [ISMS-B-15] | CCC | BBB | XXX |
| 16 | 安全审计管理策略 | [ISMS-B-16] | CCC | BBB | XXX |
| 17 | 业务连续性安全管理策略 | [ISMS-B-17] | CCC | BBB | XXX |
| 18 | 信息安全事件管理策略 | [ISMS-B-18] | CCC | BBB | XXX |
| 19 | 文件控制制度 | [ISMS-C-01] | CCC | BBB | XXX |
| 20 | 信息安全体系运行评审制度 | [ISMS-C-02] | CCC | BBB | XXX |
| 21 | 信息安全内部审核管理程序 | [ISMS-C-03] | CCC | BBB | XXX |
| 22 | 信息安全法律法规管理程序 | [ISMS-C-04] | CCC | BBB | XXX |
| 23 | 人力资源安全管理程序 | [ISMS-C-05] | CCC | BBB | XXX |
| 24 | 资产安全管理程序 | [ISMS-C-06] | CCC | BBB | XXX |
| 25 | 账号权限管理程序 | [ISMS-C-07] | CCC | BBB | XXX |
| 26 | 机房安全管理程序 | [ISMS-C-08] | CCC | BBB | XXX |
| 27 | 办公区域出入访问管理程序 | [ISMS-C-09] | CCC | BBB | XXX |
| 28 | 视频监控管理程序 | [ISMS-C-10] | CCC | BBB | XXX |
| 29 | vpn接入管理程序 | [ISMS-C-11] | CCC | BBB | XXX |
| 30 | 防火墙策略管理程序 | [ISMS-C-12] | CCC | BBB | XXX |
| 31 | 移动存储介质管理程序 | [ISMS-C-13] | CCC | BBB | XXX |
| 32 | 安全运维管理程序 | [ISMS-C-14] | CCC | BBB | XXX |
| 33 | 软件开发安全管理程序 | [ISMS-C-15] | CCC | BBB | XXX |
| 34 | 软件开发版本安全管理程序 | [ISMS-C-16] | CCC | BBB | XXX |
| 35 | 安全变更管理程序 | [ISMS-C-17] | CCC | BBB | XXX |
| 36 | 数据备份恢复管理程序 | [ISMS-C-18] | CCC | BBB | XXX |
| 37 | 信息安全风险管理程序 | [ISMS-C-19] | CCC | BBB | XXX |
| 38 | 信息安全事件管理程序 | [ISMS-C-20] | CCC | BBB | XXX |
| 39 | 信息安全奖惩管理程序 | [ISMS-C-21] | CCC | BBB | XXX |
附件2:ISMS管理职能分配表
具体见《信息安全管理手册-附件-职责分配表》
附件3:网络拓扑图
**放入你公司的网络拓扑**
附录4 :文件修改记录
| 序号 | 版本 | 更改者 | 修订日期 | 简要说明 |
|---|---|---|---|---|
| x | x | x | x | x |
| x | x | x | x | x |
| x | x | x | x | x |
