1、信息安全管理IT服务管理体系手册发布令本公司按照ISO20230:2023信息技术服务管理规范和ISO27001:2023信息安全管理体系规定以及本公司业务特点编制信息安全管理&IT服务管理体系手册,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实行。本手册是公司法规性文献,用于贯彻公司信息安全管理方针和目的,贯彻IT服务管理理念方针和服务目的。为实现信息安全管理与IT服务管理,开展连续改善服务质量,不断提高客户满意度活动,加强信息安全建设的大纲性文献和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足规定的信息安全管理和IT服
2、务。本手册符合有关信息安全法律法规规定以及ISO20230:2023信息技术服务管理规范、ISO27001:2023信息安全管理体系规定和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20230:2023信息技术服务管理规范和ISO27001:2023信息安全管理体系规定的规定任命XXXXX为管理者代表,作为本公司组织和实行“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照信息安全管理&IT服务管理体系手册规定,自觉遵守本手册各项规定,努力实现公司的信息安全与IT服务的方针和目的。管理者代表职责:a) 建立服务管理
3、计划; b) 向组织传达满足服务管理目的和连续改善的重要性; e) 拟定并提供策划、实行、监视、评审和改善服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1 保证按照ISO207001:2023标准的规定,进行资产辨认和风险评估,全面建立、实行和保持信息安全管理体系;按照ISO/IEC 20230 信息技术服务管理规范的规定,组织相关资源,建立、实行和保持IT服务管理体系,不断改善IT服务管理体系,保证其有效性、适宜性和符合性。2 负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目的的业绩、客户满意度状况、各项服务活动及改善的
4、规定和结果等。3 保证在整个组织内提高信息安全风险的意识;4 审核风险评估报告、风险解决计划;5 批准发布程序文献;6 主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改善规定,涉及信息安全管理体系运营情况、内外部审核情况。7推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知限度,以及为达成公司服务管理目的所应做出的奉献。总经理:日期:信息安全方针和信息安全目的信息安全方针:信息安全 人人有责本公司信息安全管理方针涉及内容如下:一、信息安全管理机制1公司采用系统的方法,按照I
5、SO/IEC 27001:2023建立信息安全管理体系,全面保护本公司的信息安全。二、信息安全管理组织2公司总经理对信息安全工作全面负责,负责批准信息安全方针,拟定信息安全规定,提供信息安全资源。3公司总经理任命管理者代表负责建立、实行、检查、改善信息安全管理体系,保证信息安全管理体系的连续适宜性和有效性。4在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运营。5与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全规定和发展动态,获得对信息安全管理的支持。三、人员安全6信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,
6、在劳动协议、岗位职责中应包含对信息安全的规定。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。7对本公司的相关方,要明确安全规定和安全职责。 8定期对全体员工进行信息安全相关教育,涉及:技能、职责和意识。以提高安全意识。9全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、辨认法律、法规、协议中的安全10及时辨认顾客、合作方、相关方、法律法规对信息安全的规定,采用措施,保证满足安全规定。五、风险评估11根据本公司业务信息安全的特点、法律法规规定,建立风险评估程序,拟定风险接受准则。12采用先进的风险评估技术和软件,定期进行风险评估,以辨认
7、本公司风险的变化。本公司或环境发生重大变化时,随时评估。13应根据风险评估的结果,采用相应措施,减少风险。六、报告安全事件14公司建立报告信息安全事件的渠道和相应的主管部门。15全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。16接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的解决,并向报告人员反馈解决结果。七、监督检查17定期对信息安全进行监督检查,涉及:平常检查、专项检查、技术性检查、内部审核等。八、业务连续性18公司根据风险评估的结果,建立业务连续性计划,抵消信息系统的中断导致的影响,防止关键业务过程受严重的信息系统故
8、障或者劫难的影响,并保证可以及时恢复。19定期对业务连续性计划进行测试和更新。九、违反信息安全规定的处罚20对违反信息安全方针、职责、程序和措施的人员,按规定进行解决。信息安全目的:1.不可接受风险解决率:100% (所有不可接受风险应减少到可接受的限度)。2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)1 信息安全管理手册说明11公司简介XX1.1编制依据和目的本手册在遵循ISO9001:2023 信息安全管理体系规定与ISO/IEC 20230 信息技术服务管理规范的规定编制而成,涉及了ISO27001:2023的所有规定,对附录A的删减见合用性声明So
9、A。手册描述公司的信息安全管理体系的总规定,以保证公司的信息安全管理体系可以达成ISO27001:2023信息安全管理标准的规定;满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务,合用于向客户或认证机构证实,本公司具有提供符合客户需求的IT服务能力和服务质量。本公司的体系程序是手册的支持性文献,是对体系运作的具体描述。1.2合用范围信息安全管理&IT服务管理体系手册合用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。13术语和定义131本手册应用ISO/IEC 20230中的术语及定义。132本手册应用ISO/IEC27001中的术语及定义。2 信息安全管理&I
10、T服务管理手册的管理21手册的编制、批准和发布211按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC 20230标准的规定编写。212IT服务管理手册由公司管理者代表批准后发布。22手册的分发221技术服务事业部负责手册的发放、更新、管理与存档。222公司各部门负责手册的使用和保管。23手册的受控状态231书面形式的手册分“有效文献”和“保存文献”两种形式。作为公司平常运营的依据及提供应外部认证机构的手册均为“有效文献”形式。232当手册内容变更时,“有效文献”形式的手册应及时予以更新和发放。233“有效文献”形式的文献在
11、更新后,如需保存本来的版本,以便于追溯,则应当用“保存文献”的标记予以区分。234电子形式的手册由技术服务事业部在工作流转系统中进行管理。24手册的变更241因公司战略调整、客户需求或改善活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。242更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。25公司内部手册持有者的责任251与公司或部门内部的相关人员沟通、学习手册的规定并遵照执行。252妥善保管,不得私自更改、曲解手册的内
12、容。不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。3 公司架构和安全承诺3.1公司行政组织架构总 经 理文档培训仓库采购人力资源财务物流销售市场测试质量保证质管部实施研发综合管理部生技部商务部3.2公司信息安全管理体系组织架构图总 经 理管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质量保证测试客户服务部销售物流财务人力资源采购仓库培训文档安全委员会注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。33公司IT服务管理职能关系架构图3.4信息安全承诺公司
13、成立安全管理委员会来领导信息安全工作,并拟定相应的职责和作用。制订信息安全方针和信息安全目的,建立和完善公司的信息安全管理体系。提供充足的资源以保证信息安全管理体系的制定、实行、运作、监控、维护和改善。对公司信息资产实行有效管理,保证信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。建立业务连续性管理流程。进行业务连续性风险评估,编写、测试并实行业务连续性计划和劫难恢复计划,以保证公司关键业务的连续,不受重大故障和劫难的影响。保证公司所有员工都接受信息安全的教育培训,提高信息安全意识。保护公司、客户、
14、相关合作方的信息安全。建立公司信息安全组织架构,明确信息安全责任,拟定报告可疑的和发生的信息安全事故及事件的流程,对违反安全制度的人员进行处罚。建立物理安全和网络安全管理制度,以保证信息的安全性。保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。任何人在未经审批的情况下,严禁将信息资产带离公司。公司所有员工都要严格遵守公司的安全方针、程序和制度。控制对内外部网络服务的访问,保护网络服务的安全性与可用性。对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。对重要信息进行备份保护,以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。3.5信息安全管理委员会为了加强对信
15、息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。信息安全管理职责明细表序号单位/部门信息安全职责1信息安全管理委员会信息安全管理委员会是我公司信息安全最高组织机构,负责本单位网络与信息安全重大事项的决策和协调,并对全公司信息安全工作负责。2总经理信息安全第一负责人,制定信息安全方针,对信息安全全面负责。3管理者代表经总经理授权负责建立、实行、检查、改善信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。1. 负责管理体系的建立、实行、保持、测量和改善。2. 负责文献控制、记录控制、内部审核的组织、管理评审的组织和体系的改善。
16、3. 负责本公司保密工作的管理。4. 安全区域的保卫管理部门,负责安全区域的管理。5. 负责全公司人员安全管理,涉及人员聘用管理,保密协议签署,员工的能力、意识和培训,员工离职管理。6. 负责涉密信息上网、涉密计算机运营、检修、报废的监督管理。7. 对信息安全平常工作实行动态考核,将信息安全管理作为公司管理的重要工作内容。8. 参与涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能;负责我公司信息系统安全平常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范,做好内部培训。备注:以上职能划分,合用所有信息安全管
17、理体系文献。信息安全管理委员会组成人员:姓名部门职务备注36服务管理职能说明361为保证IT服务管理体系的顺利实行,以及实行后得到连续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序规定对所有服务协议按照项目进行管理与运营,由项目经理按照服务管理职能关系架构中的规定对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更
18、管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务协议进行选择裁剪。362 角色分派说明3621针对服务部当前组织架构及人员状况,将不再为每一具体流程分派流程经理。为此将13个流程,按其必要限度提成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实行、管理和控制。对项目组成员重要是组织、协调、安排相应工作任务的完毕,也许并不是由自己去完毕。36211 项目经理职责说明:1)、负责IT服务项目的立项工作,按照服务协议规定负责相应流程的实行、管理和控制。组织、协调、安排项目组成员完毕相应工作任务。2)、负责从服务台接受事件报告开始,分派相应的职能小
19、组进行事件解决,直至找到问题的主线因素的整个过程的管理和协调。3)、负责各系统的配置管理、变更和发布控制。4)、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练,并负责系统容量的规划和监控。5)、重要负责与用户的沟通,对供应商的管理,以及项目的预/决算的管理。36212能力规定:熟悉服务部的各种服务管理流程,具有较强的内部协调能力。 由管理者代表授权技术服务事业部总监,按ISO/IEC 20230的规定,负责协调和组织所有与IT服务有关的活动,通过管理和实行各项活动,使IT服务业务的质量得到有效的保持和维护。 技术服务事业部组织制订、批准和发布公司IT服务策略、服务目的,并使其成为公
20、司关注的焦点,成为公司协调、统一、凝聚公司的所有活动和资源的准则,成为建立、实行、保持并改善IT服务管理体系的宗旨。363公司 IT服务策略:客户至上、全员参与、创新高效、系统管理、追求卓越公司 IT服务目的:公司通过服务质量改善程序拟定年度服务质量目的 公司的IT服务目的按ISO/IEC 20230的规定,与公司的业务相结合,并通过流程绩效不断提高和改善。 技术服务事业部负责组织相关部门,通过会议、评审、书面报告、培训等方式,及时有效沟通工作,达成IT服务管理目的和连续改善的需求,并在公司中积极贯彻实行IT服务管理的重要性。技术服务事业部负责组织相关部门按照PDCA的规定,通过对所属业务的规
21、划,适时优化和提供资源以计划、实行、监控、评审和改善IT服务的交付和管理。 管理者代表按照服务质量改善管理程序中的计划间隔,由技术服务事业部负责组织相关部门实行IT服务管理体系的内部审核,保证IT服务管体系的有效性与符合性。管理者代表按照服务质量改善管理程序中的计划间隔,组织相关部门执行IT服务管理体系的管理评审,保证IT服务管理体系连续的稳定、充足和有效。364文献规定3641公司的文献管理体系分为A、B、C、D四层,即A层为管理手册、B层为程序文献、C层为工作流程或规定、D层为记录。3642管理手册 描述IT服务管理体系的文献,是全体员工必须长期遵循的法规性文献。3643程序文献 覆盖公司
22、重要业务过程的流程文献,是管理手册的支撑性文献。3644工作流程或规定 是开展具体业务工作的规范类、指导性文献,是程序文献的支持性文献。3645记录 在开展具体业务工作过程中产生的记录类文献,重要是为具体工作结果提供各种可追溯性证据。3646技术服务事业部负责组织制订文献和记录管理程序,明确文献的拟制、批准、发放、变更、存档等管理规定,并监控实行。3647技术服务事业部负责组织相关部门,根据公司的业务特点及标准的规定,制订相关的程序文献,经公司管理者代表批准后实行。3648技术服务事业部负责组织拟制与本部门业务相关的各类C层文献,并按文献和记录管理程序的规定对文献和记录的有效性进行管理。4信息
23、安全管4.1总规定4.1.1 公司根据整体业务活动(软件开发、经营、服务和平常管理活动)和所面临的风险,按ISO/IEC 27001:2023信息技术-安全技术-信息安全管理体系-规定规定,参照ISO/IEC 27002:2023信息技术-安全技术-信息安全管理实用规则标准,建立、实行、运作、监控、维护并改善文献化的信息安全管理体系。4.1.2本手册使用的过程基于PDCA模式。相关文献:信息安全方针及目的4.2建立和管理信息安全管理体系(ISMS)4.2.1建立ISMS4.2.1.1 信息安全管理体系的范围和边界本公司根据业务特性、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全
24、管理体系的范围涉及:a) 本公司涉及软件开发、营销、服务和平常管理的业务系统;b) 与所述信息系统有关的活动;c) 与所述信息系统有关的部门和所有员工;d) 所述活动、系统及支持性系统包含的所有信息资产。组织范围:本公司根据组织的业务特性和组织结构定义了信息安全管理体系的组织范围,见本手册JIN/QM3.2公司信息安全管理体系组织架构。物理范围:本公司根据组织的业务特性、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司ISMS的物理范围为本公司位于常州市常州市鹂欣丽都2幢乙单元503室的办公场合,安全边界详见附录A(规范性附录)办公场合平面图。4.2.1.2
25、 信息安全管理体系的方针为了满足合用法律法规及相关方规定,维持软件开发和经营的正常进行,实现业务可连续发展的目的。本公司根据组织的业务特性、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.3条款。该信息安全方针符合以下规定:a) 为信息安全目的建立了框架,并为信息安全活动建立整体的方向和原则;b) 考虑业务及法律或法规的规定,及协议的安全义务;c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;d) 建立了风险评价的准则;e) 经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a) 在各层次建立完整的信息安全管理组织机构,拟定信息安
26、全目的和控制措施;明确信息安全的管理职责,见本信息安全管理手册第3.4条款。;b) 辨认并满足合用法律、法规和相关方信息安全规定; c) 定期进行信息安全风险评估,信息安全管理体系评审,采用纠正防止措施,保证体系的连续有效性;d)采用先进有效的设施和技术,解决、传递、储存和保护各类信息,实现信息共享;e) 对全体员工进行连续的信息安全教育和培训,不断增强员工的信息安全意识和能力;f) 制定并保持完善的业务连续性计划,实现可连续发展。4.2.1.3 风险评估的方法生技部负责制定信息安全风险管理程序,建立辨认合用于信息安全管理体系和已经辨认的业务信息安全、法律和法规规定的风险评估方法,建立接受风险
27、的准则并辨认风险的可接受等级。信息安全风险评估采用信息安全风险管理软件(Info-riskmanager)进行,以保证所选择的风险评估方法应保证风险评估能产生可比较的和可反复的结果。4.2.1.4 辨认风险在已拟定的信息安全管理体系范围内,本公司按信息安全风险管理程序,采用Info-riskmanager风险管理软件,对所有的资产进行了辨认,并辨认了这些资产的所有者。资产涉及硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性规定进行了量化赋值,根据重要资产判断依据拟定是否为重要资产,形成了重要资产清单。同时,根据信息安全风险管理
28、程序,辨认了对这些资产的威胁、也许被威胁运用的脆弱性、辨认资产价值、保密性、完整性和可用性、合规性损失也许对资产导致的影响。4.2.1.5 分析和评价风险本公司按信息安全风险管理程序,采用信息安全风险管理软件,分析和评价风险:a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;b) 针对每一项威胁、薄弱点,对资产导致的影响,考虑现有的控制措施,鉴定安全失效发生的也许性,并进行赋值;c) 根据信息安全风险管理程序计算风险等级;d) 根据信息安全风险管理程序及风险接受准则,判断风险为可接受或需要解决。4.2.1.6 辨认和评价风险解决的选择网络管理部组织有关部门根据风
29、险评估的结果,形成风险解决计划,该计划明确了风险解决责任部门、负责人、解决方法及起始、完毕时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a) 控制风险,采用适当的内部控制措施;b) 接受风险(不也许将所有风险减少为零);c) 避免风险(如物理隔离);d) 转移风险(如将风险转移给保险者、供方、分包商)。4.2.1.7选择控制目的与控制措施网络管理部根据信息安全方针、业务发展规定及风险评估的结果,组织有关部门制定了信息安全目的,并将目的分解到有关部门(见信息安全合用性声明):a)信息安全控制目的获得了信息安全最高责任者的批准。b)控制目的及控制措施的选择原则来源于I
30、SO/IEC 27001:2023信息技术-安全技术-信息安全管理体系-规定附录A,具体控制措施参考ISO/IEC 27002:2023信息技术-安全技术-信息安全管理实用规则。c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。4.2.1.8 对风险解决后的剩余风险,得到了公司最高管理者的批准。4.2.1.9 最高管理者通过本手册对实行和运营信息安全管理体系进行了授权。4.2.1.10 合用性声明生技部负责编制信息安全合用性声明(SoA)。该声明涉及以下方面的内容:a)所选择控制目的与控制措施的概要描述,以及选择的因素;b)对ISO/IEC 27001:2023附录A中未选用的
31、控制目的及控制措施理由的说明。4.2.2实行和运营ISMS 4.2.2.1为保证信息安全管理体系有效实行,对已辨认的风险进行有效解决,本公司开展以下活动:a)形成风险解决计划,以拟定适当的管理措施、职责及安全控制措施的优先级;b)为实现已拟定的安全目的、实行风险解决计划,明确各岗位的信息安全职责;c)实行所选择的控制措施,以实现控制目的的规定;d)拟定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可反复的结果;e)进行信息安全培训,提高全员信息安全意识和能力;f)对信息安全体系的运作进行管理;g)对信息安全所需资源进行管理;h)实行控制程序,对信息
32、安全事件(或征兆)进行迅速反映。4.2.2.2 信息安全组织机构本公司成立了的信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目的、工作计划和重要文献;为贯标工作的有序推动和信息安全管理体系的有效运营提供必要的资源。本公司由相关部门代表组成信息安全管理网络,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:a) 保证安全活动的执行符合信息安全方针;b) 拟定如何解决不符合;c) 批准信息安全的方法和过程,如风险评估、信息分类;d) 辨认重大的威胁变化,以及信息和相关的信息解决设施对威胁的
33、暴露;e) 评估信息安全控制措施实行的充足性和协调性;f) 有效的推动组织内信息安全教育、培训和意识;g) 评价根据信息安全事件监控和评审得出的信息,并根据辨认的信息安全事件推荐适当的措施。 4.2.2.3信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:a) 建立并实行信息安全管理体系必要的程序并维持其有效运营;b) 对信息安全管理体系的运营情况和必要的改善措施向信息安全领导小组或最高责任者报告。各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的规定自觉履行信息安全保密义务;各
34、部门、人员有关信息安全职责分派见本信息安全管理手册第3.4条款信息安全管理职责明细表和相应的程序文献。4.2.2.4 各部门应按照信息安全合用性声明中规定的安全目的、控制措施(涉及安全运营的各种控制程序)的规定实行信息安全控制措施。4.2.3监控和评审ISMS 4.2.3.1本公司通过实行不定期安全检查、内部审核、事故(事件)报告调查解决、电子监控、定期技术检查等控制措施并报告结果以实现:a)及时发现解决结果中的错误、信息安全体系的事故(事件)和隐患;b)及时了解辨认失败的和成功的安全破坏和事件、信息解决系统遭受的各类袭击;c)使管理者确认人工或自动执行的安全活动达成预期的结果;d)使管理者掌
35、握信息安全活动和解决安全破坏所采用的措施是否有效;e)积累信息安全面的经验;4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中涉及信息安全范围、方针、目的的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体规定,见本手册第7章。4.2.3.3 网络管理部应组织有关部门按照信息安全风险管理程序的规定,采用信息安全风险管理软件,对风险解决后的残余风险进行定期评审,以验证残余风险是否达成可接受的水平,对以下方面变更情况应及时进行风险评估:a) 组织; b) 技术;c
36、) 业务目的和过程;d) 已辨认的威胁;e) 实行控制的有效性; f) 外部事件,例如法律或规章环境的变化、协议责任的变化以及社会环境的变化。4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体规定,见本手册第6章。4.2.3.5定期对信息安全管理体系进行管理评审,以保证范围的充足性,并辨认信息安全管理体系过程的改善,管理评审的具体规定,见本手册第7章。4.2.3.6考虑监视和评审活动的发现,更新安全计划。4.2.3.7记录也许对信息安全管理体系有效性或业绩有影响的活动和事情。4.2.4保持与连续改善ISMS我公司开展以下活动,以保证信息安全管理体系的连续改善:a) 实
37、行每年管理评审、内部审核、安全检查等活动以拟定需改善的项目;b) 按照内部审核管理程序、纠正措施管理程序、防止措施管理程序的规定采用适当的纠正和防止措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改善安全措施的有效性;c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。涉及获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及辨认顾客对信息安全的规定等;d) 对信息安全目的及分解进行适当的管理,保证改善达成预期的效果。相关文献:系统风险评估方法合用性声明管理评审程序内部审核控制程序纠正措施控制程序防止措施控制程序4.3文献规定 4.3.1总则 ISMS文
38、献应涉及: a) 形成文献的ISMS方针和控制目的; b) ISMS范围c) ISMS的支持性程序和控制措施; d) 风险评估方法的描述; e) 风险评估报告; f) 风险处置计划; g) 公司为保证其信息安全过程的有效策划、运营和控制以及规定如何测量控制措施有效性所需的程序文献; h) 标准所规定的记录; i) 合用性声明。 所有文献应按ISMS方针规定在需要时可获得。 4.3.2文献控制 ISMS所规定的文献应予以保护和控制,应编制形成文献的程序以规定以下方面所需的管理措施:a) 文献发布前得到批准以保证文献是充足的; b) 必要时对文献进行评审与更新并再次批准; c) 保证文献的更改和现
39、行修订状态得到辨认; d) 保证在使用处可获得合用文献的合用版本; e) 保证文献保持合法并易于辨认; f) 保证外来文献得到辨认; g) 保证文献的分发是受控的; h) 防止作废文献的非预期使用; i) 若因任何因素而保存作废文献时对这些文献进行适当的标记; 4.3.3记录控制 应建立并保持记录,以提供符合规定和ISMS有效运营的证据。记录应得到保护并且受控。ISMS应考虑相关法律规定,记录应易于辨认和检索。应编制形成文献的程序,以规定记录的辨认、贮存、保护、检索、保存期限和处置所需的控制,拟定记录需要和限度的管理过程。 保持过程业绩的记录以及与ISMS有关的安全事件的记录。例如,记录涉及访
40、问者登记审核记录和访问授权。 相关文献:文献控制程序记录控制程序5 管理职责5.1管理承诺 管理层应通过以下措施对其建立、实行、运营、监控、评审、维护和改善ISMS的承诺提供证据。 a) 建立信息安全方针; b) 保证信息安全目的和计划的建立; c) 为信息安全分派角色和职责; d) 向公司传达满足信息安全目的、符合信息安全方针、法律责任和连续改善的重要性; e) 提供足够的资源以建立、实行、运营、监控、评审、维护和改善ISMS; f) 决定可接受风险的标准和可接受风险的等级; g) 保证ISMS内部审核的执行; h) 进行ISMS管理评审。 相关文献:信息安全方针和目的部门职责管理评审程序系
41、统风险评估方法5.2 资源管理 5.2.1资源提供 公司应拟定和提供以下方面所需的资源 a) 建立建立、实行、运营、监控、维护和改善ISMS b) 保证信息安全程序支持业务需求; c) 辨认并拟定法律法规规定和协议安全责任; d) 通过对的应用所有实行的控制措施的来维持足够的安全; e) 必要时进行评估,并对评估结果采用适当的相应措施; f) 必要时改善ISMS的有效性。 5.2.2培训、意识和能力 公司应保证在ISMS中任命职责的人员应可以胜任规定的任务 a) 拟定从事影响信息安全工作的人员所必需的能力; b) 提供足够的能力培训或其它措施,必要时聘用有能力的人员满足这些规定; c) 评估所
42、提供的培训和采用措施的有效性; d) 保持教育、培训、技能、经验和资质的适当记录。 公司应保证员工结识到所从事信息安全活动的相关性和重要性,以及如何为实现ISMS目的作出奉献。相关文献:人力资源管理控制程序6 ISMS内部审核公司应按计划的时间间隔进行ISMS内部审核,以拟定控制目的、控制措施、过程和程序是否: a) 符合标准及相关法律法规的规定; b) 符合拟定的信息安全规定; c) 得到有效地实行和维护; d) 按盼望运营。 内部审核程序应进行计划,并考虑受审核过程的状况、重要性和受审核的区域以及上次审核结果,应规定审核准则、范围、频次和方式,审核员的选择和审核活动应保证审核过程的客观和公
43、正,审核员不能审核自己的工作。应建立形成文献的程序,以规定策划和实行审核的职责和规定以及报告结果和保持记录。 受审核区域的负责人应保证立即采用措施,以消除发现的不符合及其因素。改善措施涉及所采用措施的验证并报告验证结果。相关文献:内部审核控制程序7 ISMS管理评审7.1总则 管理者应按策划的时间间隔评审公司的ISMS(至少一年一次),以保证其连续的适宜性、充足性和有效性。评审应涉及评价ISMS改善的机会和变更的需要,涉及安全方针和安全目的的适宜性。评审结果应清楚地写入文献应保持记录。 7.2管理评审输入 管理评审的输入应涉及以下方面的信息: a) ISMS审核(涉及内审和外审)和管理评审的结
44、果; b) 相关方(客户、供应商、内部员工等)的反馈; c) 公司用于改善ISMS业绩和有效性的技术、产品或程序的发展及变化; d) 防止和纠正措施的实行情况; e) 上次风险评估未充足指出的弱点或威胁; f) 体系有效性测量的结果; g) 上次管理评审所采用措施的跟踪验证; h) 影响ISMS的变更,如信息安全组织架构变化等; i) 改善的建议。7.3管理评审输出 管理评审的输出应涉及与以下方面有关的任何决定和措施 a) ISMS有效性的改善 b) 风险评估和风险解决计划的更新 c) 必要时修订影响信息安全的程序和控制措施,以反映也许影响ISMS的内外事件,涉及以下变化 1 业务需求; 2 安全需求; 3 影响已有业务需求的业务过程; 4 法律法规环境; 5 协议义务; 6 风险和/或风险接受准则。 d) 资源需求e)针对被测量的控制措施有效性的改善相关文献:管理评审程序
浙ICP备2021020529号-1 | 浙B2-20240490 
