资源描述
信息安全管理方案计划过程
信息安全管理手册
变更记录
注:修订类型:A——增加,M——修改,D——删除
一、范围
1.1 总则
为了建立、实施、运行、监视、评审、坚持和改善文件化的信息安全管理体系〔简称ISMS〕,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、继续改善信息安全管理体系的有效性,特制定本手册。
1.2 应用
本信息安全管理手册规定了公司的信息安全管理体系要求、管理使命、内部审核、管理评审和信息安全管理体系改善等方面内容。
本信息安全管理手册适用于公司业务活动所涉及的信息系统、资产及相关信息安全管理活动,具体见4.2.2.1条款规定。
二、规范性引用文件
以下文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,行政部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
三、术语和定义
GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理有用规则》规定的术语和定义适用于本《信息安全管理手册》。
指公司所属各部门。
指由计算机及其相关的和配套的设备、设施〔含网络〕构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、供方、银行、用户、电信等。
四、信息安全管理体系
本公司在软件开发、经营、服务和日常管理活动中,按GB/T22080-2008 idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定,参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理有用规则》标准,建立、实施、运行、监视、评审、坚持和改善文件化的信息安全管理体系。
信息安全管理体系使用的过程基于图1所示的PDCA模型。
图1 信息安全管理体系模型
4.2.1.1 信息安全管理体系的范围和边界
本公司依据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;
b) 与所述信息系统有关的活动;
c) 与所述信息系统有关的部门和所有员工;
d) 所述活动、系统及支持性系统包涵的全部信息资产。
组织范围:
本公司依据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册附录A〔规范性附录〕《信息安全管理体系组织机构图》。
物理范围:本公司依据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所,包涵客户方以及公司内部。
4.2.1.2 信息安全管理体系的方针
为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可继续发展的目的。本公司依据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4条款。
该信息安全方针符合以下要求:
a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
b) 合计业务及法律或法规的要求,及合同的安全义务;
c) 与组织战略和风险管理相一致的环境下,建立和坚持信息安全管理体系;
d) 建立了风险评价的准则;
e) 经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理使命
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,信息安全管理体系评审,采用改正预防措施,确保体系的继续有效性;
d〕采纳先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行继续的信息安全教育和培训,不断加强员工的信息安全意识和能力;
f) 制定并坚持完善的业务连续性计划,实现可继续发展。
4.2.1.3 风险评估的方法
行政部门负责制定《信息安全风险评估管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估执行《信息安全风险评估管理程序》,以确保所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
4.2.1.4 识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险评估管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值,形成了《资产识别清单》。
同时,依据《信息安全风险评估管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
4.2.1.5 分析和评价风险
本公司按《信息安全风险评估管理程序》,采纳人工分析法,分析和评价风险:
a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,合计现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 依据《信息安全风险评估管理程序》计算风险等级;
d) 依据《信息安全风险评估管理程序》及风险接受准则,推断风险为可接受或必需要处理。
4.2.1.6 识别和评价风险处理的选择
行政部门组织有关部门依据风险评估的结果,形成《信息安全不可接受风险处理计划》,该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。
关于信息安全风险,应合计控制措施与费用的平衡原则,选用以下适当的措施:
a) 消减风险〔通过适当的控制措施降低风险发生的可能性〕;
b) 接受风险〔风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险/残余风险〕;
c) 规避风险〔决定不进行引起风险的活动,从而避免风险〕;
d) 转移风险〔通过购买保险、外包等方法把风险转移到外部机构〕。
行政部门依据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门〔见《适用性声明》〕:
a)信息安全控制目标获得了信息安全最高责任者的批准。
b)控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理有用规则》。
c)本公司依据信息安全管理的必需要,可以选择标准之外的其他控制措施。
4.2.1.8 对风险处理后的残余风险,得到了公司最高管理者的批准。
4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。
4.2.1.10 适用性声明
行政部门负责编制《适用性声明》〔SOA〕。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述,以及选择的原因;
b)对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的说明〔本公司未涉及此项业务〕。
4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司展开以下活动:
a)形成《信息安全不可接受风险处理计划》,以确定适当的管理措施、使命及安全控制措施的优先级;
b)为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》,明确各岗位的信息安全使命;
c)实施所选择的控制措施,以实现控制目标的要求;
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提升全员信息安全意识和能力;
f)对信息安全体系的运作进行管理;
g)对信息安全所必需资源进行管理;
h)实施控制程序,对信息安全事件〔或征兆〕进行迅速反应。
4.2.2.2 信息安全组织机构
本公司成立了信息安全领导机构-信息安全委员会,其使命是实现信息安全管理体系方针和本公司承诺。具体使命是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推动和信息安全管理体系的有效运行提供必要的资源。
本公司体系推动由行政部门负责,其主要负责制订、落实贯标工作计划,对单位、部门贯标工作进行检查、指导和协调,建立健全企业的信息安全管理体系,坚持其有效、继续运行。
本公司由相关部门代表组成信息安全委员会,采纳联席会议〔协调会〕的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针;
b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;
e) 评估信息安全控制措施实施的充分性和协调性;
f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价依据信息安全事件监控和评审得出的信息,并依据识别的信息安全事件推举适当的措施。
本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的使命如何,对信息安全负有以下使命:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
b) 对信息安全管理体系的运行状况和必要的改善措施向信息安全委员会或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门、人员有关信息安全使命分配见附录C〔规范性附录〕《信息安全管理使命明细表》和相应的程序文件。
4.2.2.4 各部门应按照《适用性声明》中规定的安全目标、控制措施〔包括安全运行的各种控制程序〕的要求实施信息安全控制措施。
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故〔事件〕报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故〔事件〕和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采用的措施是否有效;
e)积存信息安全方面的经验。
4.2.3.2依据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,合计安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
4.2.3.3 行政部门应组织有关部门按照《信息安全风险评估管理程序》的要求,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更状况应及时进行风险评估:
a) 组织;
b) 技术;
c) 业务目标和过程;d) 已识别的威胁;
e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改善,管理评审的具体要求,见本手册第7章。
4.2.3.6合计监视和评审活动的发现,更新安全计划。
4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
我公司展开以下活动,以确保信息安全管理体系的继续改善:
a) 实施每年管理评审、内部审核、安全检查等活动以确定必需改善的项目;
b) 按照《内部审核管理程序》、《改正措施管理程序》、《预防措施管理程序》的要求采用适当的改正和预防措施;吸取其他组织及本公司安全事故〔事件〕的经验教训,不断改善安全措施的有效性;
c) 通过适当的手段坚持在内部对信息安全措施的执行状况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改善达到预期的效果。
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;
b) 《信息安全管理手册》〔本手册,包括信息安全适用范围及引用的标准〕;
c) 本手册要求的《信息安全风险评估管理程序》、《业务继续性管理程序》、《改正措施管理程序》等支持性程序;
d) 信息安全管理体系引用的支持性程序。如:《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息安全管理体系要求的记录类文件;
g) 相关的法律、法规和信息安全标准;
h) 适用性声明〔SOA〕。
行政部门制定并实施《文件和资料管理程序》,对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为确保信息安全管理体系有效策划、运行和控制所必需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应确保:
a) 文件公布前得到批准,以确保文件是充分的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用时,可获得相关文件的最新版本;
e) 确保文件坚持清楚、易于识别;
f) 确保文件可以为必需要者所获得,并依据适用于他们类别的程序进行转移、存储和最终的销毁;
g) 确保外来文件得到识别;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 假设因任何目的必需保留作废文件时,应对其进行适当的标识。
4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政部门负责制定并维持易读、易识别、可方便检索又合计法律、法规要求的《记录管理程序》,规定记录的标识、储存、保护、检索、保管、废弃等事项。
4.3.3.2 信息安全体系的记录应包括本手册第 4.2条中所列出的所有过程的结果及与ISMS相关的安全事故〔事件〕的记录。
4.3.3.3各部门应依据《记录管理程序》的要求采用适当的方式妥善保管信息安全记录。
五、管理使命
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、坚持和改善信息安全管理体系的承诺提供证据:
a)建立信息安全方针(见本手册第0.4章);
b)确保信息安全目标得以制定〔见本手册第0.4章、《适用性声明》、《信息安全不可接受风险处理计划》及相关记录〕;
c)建立信息安全的角色和使命〔见本手册附录E〕;
d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和继续改善的重要性;
e)提供充分的资源,以建立、实施、运作、监视、评审、坚持并改善信息安全管理体系(见本手册第5.2章);
f)决定接受风险的准则和风险的可接受等级(见《信息安全风险评估管理程序》及相关记录);
g)确保内部信息安全管理体系审核〔见本手册第6章〕得以实施;
h)实施信息安全管理体系管理评审〔见本手册第7章〕。
本公司确定并提供实施、坚持信息安全管理体系所必需资源;采用适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以确保:
a)建立、实施、运作、监视、评审、坚持和改善信息安全管理体系;
b)确保信息安全程序支持业务要求;
c)识别并指出法律法规要求和合同安全责任;
d)通过正确应用所实施的所有控制来坚持充分的安全;
e)必要时进行评审,并对评审的结果采用适当措施;
f)必需要时,改善信息安全管理体系的有效性。
5.2.5培训、意识和能力
行政部门制定并实施《人力资源管理程序》文件,确保被分配信息安全管理体系规定使命的所有人员,都必需有能力执行所要求的任务。可以通过:
a)确定承当信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采用其他的措施来满足这些必需求;
c)评价所采用措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
六、内部信息安全管理体系审核
行政部门负责建立并实施《内部审核管理程序》,《内部审核管理程序》应包括策划和实施审核以及报告结果和坚持记录的使命和要求。并按照策划的时间间隔进行内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:
a)符合本标准的要求和相关法律法规的要求;
b)符合已识别的信息安全要求;
c)得到有效地实施和维护;
d)按预期执行。
6.2.1行政部门应合计拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。
6.2.2每次审核前,行政部门应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
6.3.1 应按审核计划的要求实施审核,包括:
a〕进行首次会议,明确审核的目的和范围,采纳的方法和程序;
b〕实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;
c〕进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核看法和不符合报告;
d〕审核组长编制审核报告。
6.3.2 对审核中提出的不符合项报告,责任部门应编制改正措施,由行政部门组织对受审部门的改正措施的实施状况进行跟踪、验证。
6.3.3 按照《记录管理程序》的要求,储存审核记录。
6.3.4 内部审核报告,应作为管理评审的输入之一。
七、管理评审
7.1.1行政部门负责每年下半年组织信息安全管理体系管理评审,以确保其继续的适宜性、充分性和有效性。7.1.2管理评审应包括评价信息安全管理体系改善的机会和变更的必需要,包括安全方针和安全目标。
7.1.3管理评审的结果应清楚地形成文件,记录应加以坚持。
管理评审的输入要包括以下信息:
a)信息安全管理体系审核和评审的结果;
b)相关方的反馈;
c)用于改善信息安全管理体系业绩和有效性的技术、产品或程序;
d)预防和改正措施的状况;
e)以往风险评估没有充分强调的脆弱性或威胁;
f)有效性测量的结果;
g)以往管理评审的跟踪措施;
h)任何可能影响信息安全管理体系的变更;
i)改善的建议。
管理评审的输出应包括与以下内容相关的任何决定和措施:
a) 信息安全管理体系有效性的改善;
b) 更新风险评估和风险处理计划;
c) 必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:
1) 业务要求;
2) 安全要求;
3) 影响现有业务要求的业务过程;
4) 法律法规要求;
5) 合同责任;
6) 风险等级和〔或〕风险接受准则。
d) 资源必需求;
e) 改善测量控制措施有效性的方式。
7.4.1 行政部门依据信息安全管理体系运行状况和内、外审的结果,针对评审输入信息要求,制定《管理评审计划》,送交总经理批准后,通知相关职能部门准备及提供评审资料。
7.4.2相关部门按《管理评审计划》,准备相关的信息、资料,对信息安全管理体系文件的适宜性、充分性及有效性做出评价,提出改善措施。
7.4.3 最高管理者主持召开管理评审会议,并依据评审结果,做出管理评审结论性评价,对信息安全管理体系中存在主要问题确定改正和预防措施责成有关部门落实整改。
7.4.4 管理评审应形成《管理评审报告》,《管理评审报告》由管理者代表审核,最高管理者批准。
7.4.5 依据“管理评审报告〞提出的要求,管理者代表组织各相关部门制定改正、预防措施,并对实施状况进行协调、监督、检查。
八、信息安全管理体系改善
本公司制定和实施《改正措施管理程序》、《预防措施管理程序》《内部审核管理程序》等文件,通过以下途径继续改善信息安全管理体系的有效性:
a) 通过信息安全管理体系方针的建立与实施,对继续改善做出正式的承诺;
b) 通过建立信息安全管理体系目标明确改善的方向;
c) 通过内部审核不断发现问题,寻找体系改善的机会并予实施,详见《内部审核管理程序》;
d) 通过数据分析不断寻求改善的机会,并做出适当的改善活动安排,详见《改正措施管理程序》;
e) 通过实施改正和预防措施实现改善,详见《改正措施管理程序》和《预防措施管理程序》;
f) 通过管理评审输出的有关改善措施的实施实现改善,详见本手册第7章。
8.2.1 行政部门负责建立并实施《改正措施管理程序》,采用改正措施,消除与信息安全管理体系要求不符合的原因,以防止再发生。
8.2.2 《改正措施管理程序》应规定以下方面的要求:
a) 识别存在的不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施要求;
d) 确定和实施所必需的改正措施;
e) 记录所采用措施的结果;
f) 评审所采用的改正措施。
8.3.1 行政部门建立并实施《预防措施管理程序》,规定采用以下措施,以消除潜在与信息安全管理体系要求不符合的原因,防止其发生。
8.3.2 所采用的预防措施应与潜在问题的影响程度相适应。
8.3.3 《预防措施管理程序》应规定以下方面的要求:
a)识别潜在的不符合及其原因;
b)评价预防不符合发生的措施要求;
c)确定并实施所必需的预防措施;
d)记录所采用措施的结果;
e)评审所采用的预防措施。
8.3.4 公司风险评估小组应定期进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。
附录
〔规范性附录〕
信息安全管理组织结构图
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
