ISO27001信息安全管理体系全套程序文件
东莞市有限公司
信息安全风险评估管理程序
文件编号:ISMS-COP01 状态:受控
编写:信息安全管理委员会2018年05月10日
审核:2018年05月10日
批准:陈世胜2018年05月12日
发布版次:A/0版2018年05月12日
生效日期:2018年05月18日
分发:各部门接受部门:各部门
变更记录
信息安全风险评估管理程序
1 适用
本程序适用于本公司信息安全管理体系(ISMS)范围内信息安全风险评估活动。
2 目的
本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估,认知本公司的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
3 范围
本程序适用于第一次完整的风险评估和定期的再评估。在辨识资产时,本着尽量细化的原则进行,但在评估时我司又会把资产按照系统进行规划。辨识与评估的重点是信息资产,不区分物理资产、软件和硬件。
4 职责
4.1 成立风险评估小组
办公室负责牵头成立风险评估小组。
4.2 策划与实施
风险评估小组每年至少一次,或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后,负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。
4.3 信息资产识别与风险评估活动
各部门负责本部门使用或管理的信息资产的识别,并负责本部门所涉及的信息资产的具体安全控制工作。
4.3.1各部门负责人负责本部门的信息资产识别。
4.3.2办公室经理负责汇总、校对全公司的信息资产。
4.3.3 办公室负责风险评估的策划。
4.3.4信息安全小组负责进行第一次评估与定期的再评估。
5 程序
5.1 风险评估前准备
5.1.1 办公室牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
5.1.2风险评估小组制定信息安全风险评估计划,下发各部门内审员。
5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
5.2 信息资产的识别
5.2.1 本公司的资产范围包括:
5.2.1.1信息资产
1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。
2)软件资产:应用软件、系统软件、开发工具和适用程序。
3)硬件资产:计算机设备、通讯设备、可移动介质和其他设备。
4)服务:培训服务、租赁服务、公用设施(能源、电力)。
5)人员:人员的资格、技能和经验。
6)无形资产:组织的声誉、商标、形象。
5.3资产及其重要度
5.3.1识别组织的资产
●识别在评估范围内的资产。对于在范围内的每一项资产都要恰当统计;不在评估范
围内的资产,也要进行记录;
●按一定的标准,将信息资产进行恰当的分类,在此基础上进行下一步的风险评估工
作。
●识别组织资产,参考《资产等级分类及重要度(安全等级)划分》
5.3.2评估资产的重要度
1.对资产的等级进行定义,并表示成相对等级的形式。
识别出资产之后,必须对资产的重要度进行评估。评估的依据是资产的保密性、完整性和可用性在遭受损失之后的后果。
不同资产的安全属性的重要程度是不一样的,例如:对财物数据来说保密性和可核查性是最重要的安全属性,而对操作软件来说更强调可用性。对资产评估的过
程本身就是对资产安全属性损失后果的分析。
在本程序中虽然不按照安全属性分别赋值,但是评估过程中要充分考虑本节中列出的各种安全属性。
资产重要度描述如下表。
2.决定资产重要度时,需要考虑:
●资产的成本价格,更重要的是考虑资产对于组织业务的安全重要性,即根据资
产损失所引发的潜在的影响来决定;
●为确保资产重要度的一致性和准确性,建立一个统一的尺度,以无歧义的方式
对资产的重要度进行赋值;
●分析和评价资产受到侵害后的保密性、完整性和可用性损失。
●决定资产重要度,参考《资产安全等级分类》
5.4识别资产面临的威胁
实施风险评估需要对要保护的每一项关键资产进行威胁的识别。威胁可以从资产的所有者、使用者、计划书、信息专家、社团内部及外部负责信息安全的组织等处获得。
通常,一个可能的威胁列表对完成威胁评估有所帮助。当应用威胁目录(列表)或者以前的威胁评估结果时,必须意识到,威胁总是不断变化的,尤其是在业务环境与信息发生变化时。
1.分析本公司的信息系统存在的威胁种类,确定威胁分类的标准。
2.综合威胁来源、种类和其他因素后得出威胁列表;
3.针对每一项需要保护的信息资产,找出可能面临的威胁。
在识别资产所面临的威胁时,应该考虑下面三个方面的资料和信息来源:
●通过历史的安全事件报告或记录,统计各种发生过的威胁和其发生频率;
●在评估对象的实际环境中,通过IDS等系统获取的威胁发生数据的统计和分析,
各种日志中威胁发生的数据的统计和分析;
●过去一年或两年来国际公司或机构(例如:微软公司)、社团内部负责信息安
全的组织(例如:CERT应急响应中心)、社团外部负责信息安全的组织(例如:病
毒防范产品公司)、业务关联公司发布的对于整个社会或特定行业安全威胁及其发
生频率的统计数据。
5.5识别威胁可以利用的脆弱性
这一步是评估容易被攻击者(或威胁源)攻破(或破坏)的薄弱点,包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的,由资产自身特性导致的弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。
一个没有对应威胁的脆弱性一般不会造成实在的风险,可以不采取相应的防护措施,但是有必要密切监视这种潜在的风险。注意,脆弱性不仅是由于最初购置或制造时的原因产生的,资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。例如:E2PROM是一种可擦写的存储设备,可擦写是其设计时的一项标准,但可擦写属性意味着E2PROM所存储的信息未经授权的破坏成为可能,这就是一个脆弱性。
5.6评估资产在威胁暴露度
暴露度等级描述资产或资产安全属性受损害的程度,以下简称暴露度。
本评估方法将暴露度的等级定义为5级。如下表所示:
表:暴露度的等级定义
在评估时可参考下面两个表的描述,即根据对资产的安全属性(保密性、可用性、完整性)的损害及影响程度评价对应的暴露等级。
表:资产保密性/完整性暴露度的等级定义
表:资产可用性暴露度的等级定义
5.7评估威胁发生的可能性
容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易
度与具体的信息系统没有关系。当与控制措施结合之后才形成影响的发生可能性。
对于发生容易度的等级,需要根据资产不同的安全属性分别定义。本公司将发生容易度的等级定义为5级。参见下表:
表:发生容易度等级定义
5.8识别与分析控目前控制手段的有效性
控制措施可以减少风险发生可能性或者减轻发生后的影响。因此,必须识别出控制措施并对其有效性进行评估。根据控制措施的有效性对控制措施赋值,以下简称控制度。
公司将控制度的等级划分为1-5(5为基本无效)。每一个等级都要对应相应的有效性系数之后参加风险的计算。如下表。
表:控制措施的控制度与控制措施有效性对应关系
5.9分析资产在威胁脆弱性下发生的影响度
影响是指威胁对脆弱性一次成功攻击所产生的负面影响。
影响等级(以下简称影响度)是资产重要度等级和暴露等级的乘积。
确定影响度的定义,本公司采取以下定义和计算方式
影响度= (资产重要度等级* 暴露等级)* 20%
由资产重要度等级值(1-5)与暴露等级(1-5)相乘,并乘以系数20%取整后,那
么影响度等级为:1-5。
5.10确定资产发生风险的可能性
资产发生风险的可能性以下简称发生可能性。
发生可能性= (发生容易度等级* 控制度)* 20%
由发生容易度等级值(1-5)与控制措施赋值(1-5)相乘,并乘以系数20%取整后,
那么影响发生可能性等级为:1-5。
5.11计算风险大小
风险大小量化后称为风险等级,以下简称风险度。
风险度 = 影响度 * 发生可能性
表:风险计算矩阵
本公司按照风险数值排序的方法,将上面的25的矩阵等级,按照组织对风险的接受程度定义为高、中、低3个风险度的级别。风险度为15(含)以上时表示高,5(含)~15表示中,5以下表示低;这包括可接受风险与不可接受风险的划分,接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡;
5.12风险处理和接受准则
本公司要求对“高”风险度制定《风险处理计划》,“中”风险由信息安全小组决定是否采取安全措施,“低”风险属于可以接受的风险。总经理需要决定是否接受风险处理后的残余风险并承认《风险处理计划》。
5.13不可接受风险的确定和处理
各责任部门按照《信息安全不可接受风险处理计划》的要求采取有效安全控制措施后,原评估小组重新评估其计划效果,降至残余风险可接受为止,确保所采取的控制措施是充分的,该措施直到为再次风险评估的输入。残余风险报告须经总经理批准。
5.14 评估时机
5.14.1 每年重新评估一次,以确定是否存在新的威胁或薄弱点及是否需要增加新的控制措施,对发生以下情况需及时进行风险评估:
a) 当发生重大信息安全事故时;
b) 当信息网络系统发生重大更改时;
c) 信息安全管理小组确定有必要时。
5.14.2 各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序在《信息资产识别评价表》、《重要信息资产清单》上予以添加或变更。
6 相关/支持性文件
?《信息安全适用性声明》
?《信息安全管理手册》
?《文件和资料管理程序》
?《信息安全风险评估报告》
7 记录
东莞市有限公司
记录管理程序
文件编号:ISMS-COP02 状态:受控
编写:信息安全管理委员会2018年05月10日审核:2018年05月10日批准:陈世胜2018年05月12日发布版次:A/0版2018年05月12日
生效日期:2018年05月18日分发:各部门接受部门:各部门
变更记录
记录管理程序
1.适用
本程序适用于本公司产生的记录的管理。
2.目的
为支持信息安全体系的运作而明确记录的管理。
3.管理方法
本公司采用四级层次文件编写法。所有信息安全管理的记录均以ISMS-JL作为开头,其后由2个数字构成记录顺序编号。后两个数字为自然序列号;以此类推。
如:ISMS-JL11记录清单。其中“ISMS”表示信息安全类文件;“JL”表示记录文件,即:表格;“11”代表自然序列号。
ISMS—JL××
记录的顺序号
信息安全管理体系
在每个记录文件的页眉右上角标记出文件的编号及版本号。版本及修订号的编制方法采用“英文字母自然排序/数字自然排序”法。
如:“ISMS—JL××A/0”以此类推。
第0次修定(按照数字自然顺序号,依次使用1、2、3……)
第A版(按照英文字母自然排序,依次使用B、C、D……)
在使用每个具体记录时,需要在每个记录上填写该记录的使用序号(或称:编号)规则为:“部门的简写—自然顺序号”。如:“XZ - 01”。以此类推。
自然顺序号
办公室的简称
本公司本标准覆盖的部门,办公室简写:BG ;设计部简写:SJ;质量部简写:ZL ;经营部简写;JY 采购部简写:CG 财务部简写:CW。
3.1 保管方法
(1)记录由各保管部门在可快速检索的条件下,决定保管场所,放在箱子、柜子等适当容器中保管。
(2)对保管场所的环境,本程序没有特别指定。由各保管部门考虑记录媒体的特性做适当处理。
(3)以电子媒体保管的场合,为预防意外,需做适当的备份。备份的安全要求执行《重要信息备份管理程序》。
(4)记录保管部门应建立《记录清单》,明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求,保存期限参考本规格书第4条款。
(5)因工作需要,借阅其他部门的秘密记录,应获得记录保管部门负责人授权后方可借阅,并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录,并按期归还;机密记录只准在现场查阅。
(6)记录的字迹应清晰、真实、文字表达准确、简练,记录不得随意修改。确需修改时,必须在修改处作标识,并由修改人签名确认。
3.2 废弃
超过保管期限的记录,由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。但若保管部门认为必要时,仍可继续保管超出保管期限的记录。
4.记录的分类和保存年限详见《记录清单》
5.记录
东莞市有限公司
纠正预防措施控制程序
文件编号:ISMS-COP03 状态:受控
编写:信息安全管理委员会2018年05月10日
审核:2018年05月10日
批准:陈世胜2018年05月12日
发布版次:A/0版2018年05月12日
生效日期:2018年05月18日
分发:各部门接受部门:各部门
变更记录
纠正预防措施控制程序
1 适用
本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的控制。
2 目的
为对不符合/潜在不符合进行分析、采取措施,并予以消除,以逐步改进和完善信息安全管理体系,特制定本程序。
3 职责
本公司办公室为公司信息安全管理体系纠正/预防措施的归口管理部门,负责组织相关部门进行信息安全数据的收集及分析,确定不符合/潜在不符合原因,评价纠正/预防措施的需求,组织相关部门制定纠正/预防措施,并由办公室负责跟踪验证。
4 程序
4.1 纠正/预防措施信息来源有:
a. 公司内外安全事件记录、事故报告、薄弱点报告;
b. 日常管理检查及技术检查中指出的不符合;
c. 信息安全监控记录;
d. 内、外部审核报告及管理评审报告中的不符合项;
e. 相关方的建议或抱怨;
f. 风险评估报告;
g. 其他有价值的信息等。
4.2 办公室每半年组织相关部门利用4.1条款所规定的信息来源,分析确定不符合/潜在不符合及其原因,评价防止不符合发生的措施的需求,并形成《信息安全风险评估报告》。采取纠正/预防措施应与潜在问题的影响程度相适应,对于以下情况的不符合/潜在不符合应采取纠正/预防措施:
a. 可能造成信息安全事故;
b. 可能影响顾客满意程度、造成顾客抱怨与投诉;
c. 可能影响本公司的企业形象与经济利益;
d. 可能造成生产经营业务中断。
对于各部门日常发现报告的重大安全隐患(安全薄弱点),办公室应组织有关部门进行原因分析,采取纠正/预防措施。
4.3需制定纠正/预防措施时,办公室应将有关不符合/潜在不符合信息及原因填入《纠正/预防措施申请单》,组织有关部门制定纠正/预防措施对策,确定实施纠正/预防措施的部门,填入《纠正/预防措施申请单》,经管理责任人批准后予以实施。
4.4 当问题原因不确定或责任重大时,由采取纠正/预防措施的部门呈报公司信息安全最高责任者,必要时,应提交公司信息安全管理委员会进行专题研究,商讨对策。
4.5 实施纠正/预防措施的部门应按照《纠正/预防措施申请单》要求认真执行,并将执行结果记入相应《纠正/预防措施申请单》中。
4.6办公室对纠正/预防措施实施结果进行验证,并将验证结果记录在《纠正/预防措施申请单》上。
验证内容包括:
a. 纠正/预防措施是否按纠正/预防措施计划的要求实施;
b. 是否消除了不符合/潜在不符合的原因。
4.7经验证效果不理想,负责制定纠正/预防措施的部门应重新编制《纠正/预防措施申请单》,依据本程序4.3要求实施。
4.8纠正/预防措施需要涉及文件更改的,应对文件进行评审,按《文件和资料管理程序》更改文件。
4.9 办公室应做好纠正/预防措施相关记录的保存。管理评审前,将各部门所采取的纠正/预防措施的有关情况汇总,提交管理评审。
5 记录
管理评审控制程序
东莞市有限公司
文件编号:ISMS-COP04 状态:受控
编写:信息安全管理委员会2018年05月10日
审核:2018年05月10日
批准:陈世胜2018年05月12日
发布版次:A/0版2018年05月12日
生效日期:2018年05月18日分发:各部门接受部门:各部门
变更记录
管理评审控制程序
1 适用
本程序对信息安全管理体系中要求进行的管理评审的实施程序作规定。
2 目的
为确保公司信息安全管理体系持续的适宜性、充分性和有效性,评估公司信息安全管理体系改进和变更的需要,包括信息安全方针、目标,特制定本程序。
3 相关文件
《信息安全手册》
4 实施程序
4.1 实施频率、时期
管理评审每年至少进行一次。
4.2 召集和参加评审者
4.2.1由总经理指示信息安全管理体系的管理者代表(以下简称管理者代表)召开管理评审会议。
4.2.2参加管理评审会议者包括最高管理者、管理者代表及相关的部门长(或高级主管)。受召集的部门长因不得已的理由而无法出席时,可让其他管理者代其出席。
4.2.3除了每年定期召开一次管理评审会议外,最高管理者还可在发生以下情况时,指示管理者代表召开管理评审会议。
a.当本公司的产品、过程、系统、组织机构、人员和资源等有重大变化时;
b.当连续出现重大信息安全事故时;
c.当相关方有重大投诉或抱怨时;
d.内部审核、顾客审核或ISO27001:2005外部审核时,发现了对全公司有影响,属信息安全管理体系上的重大不符合事项时;
e. ISO27001:2005修订的情况下。
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
《ISMS方针、手册、程序文件模板》
《ISMS方针、手册、程序文件模板》 1 信息安全管理手册 2 信息安全适用性声明 3 信息安全管理体系程序文件 3.01文件管理程序 3.02记录管理程序 3.03纠正措施管理程序 3.04预防措施控制程序 3.05信息安全沟通协调管理程序 3.06管理评审程序 3.07相关方信息安全管理程序 3.08信息安全风险管理程序 3.09信息处理设施安装使用管理程序 3.10计算机管理程序 3.11电子邮件管理程序 3.12信息分类管理程序 3.13商业秘密管理程序 3.14员工聘用管理程序 3.15员工培训管理程序 3.16信息安全奖惩管理程序 3.17员工离职管理程序 3.18物理访问管理程序 3.19信息处理设施维护管理程序 3.20信息系统变更管理程序 3.21第三方服务管理程序 3.22信息系统接收管理程序 3.23恶意软件管理程序 3.24数据备份管理程序 3.25网络设备安全配置管理程序 3.26可移动介质管理程序 3.27介质处置管理程序 3.28信息系统监控管理程序 3.29用户访问管理程序 3.30远程工作管理程序 3.31信息系统开发管理程序 3.32数据加密管理程序 3.33信息安全事件管理程序 3.34业务持续性管理程序 3.35信息安全法律法规管理程序 3.36内部审核管理程序 4 信息安全管理体系作业文件 4.01员工保密守则 4.02员工保密协议管理制度 4.03Token管理规定 4.04产品运输保密管理规定 4.05介质销毁办法 4.06信息中心机房管理制度 4.07信息中心信息安全处罚规定 4.08信息中心密码管理规定 4.09档案室信息销毁制度 4.10电子数据归档管理规定 4.11生产系统机房管理规定 4.12机房安全管理规定 4.13计算机应用管理岗位工作标准 4.14信息开发岗位工作标准 4.15系统分析员岗位工作标准 4.16各部门微机专责人工作标准 4.17网络通信岗位工作标准 4.18监视系统管理规定 4.19数据加密管理规定 4.20涉密计算机管理规定 4.21电子邮件使用准则 4.22互联网使用准则 4.23档案室信息安全职责 4.24市场部信息安全岗位职责规定 4.25复印室管理规定 4.26机房技术资料管理制度 4.27市场部计算机机房管理规定 4.28信息安全记录的分类和保存期限 4.29信息安全事件分类规定 4.30保安业务管理规定 4.31计算机硬件管理维护规定 4.32网站信息发布管理规定 4.33工具及备品备件管理制度 4.34财务管理系统访问权限说明 4.35信息安全管理程序文件编写格式 5 信息安全策略文件 5.01信息资源保密策略 5.02信息资源使用策略 5.03安全培训策略 5.04第三方访问策略 5.05物理访问策略 5.06变更管理安全策略 5.07病毒防范策略 5.08可移动代码防范策略 5.09备份安全策略 5.10信息交换策略 5.11信息安全监控策略 5.12访问控制策略 5.13帐号管理策略 5.14特权访问管理策略 5.15口令策略 5.16清洁桌面和清屏策略 5.17网络访问策略 5.18便携式计算机安全策略 5.19远程工作策略 5.20网络配置安全策略 5.21服务器加强策略 5.22互联网使用策略 5.23系统开发策略 5.24入侵检测策略 5.25软件注册策略 5.26事件管理策略 5.27电子邮件策略 5.28加密控制策略 6 信息安全管理体系记 录 6.01信息安全风险评估计划 6.02信息安全风险评估报告 6.03信息安全风险处理计划 6.04信息安全内部专家名单 6.05信息安全外部顾问名单 6.06信息安全法律、法规清单 6.07信息安全法律法规符合性评估表 6.08信息安全法律法规要求清单 6.09信息安全法律法规实施控制一览表 6.10相关方一览表 6.11信息安全薄弱点报告 6.12信息安全文件审批表 6.13信息安全文件一览表 6.14文件修改通知单 6.15文件借阅登记表 6.16文件发放回收登记表 6.17文件销毁记录表 6.18信息安全记录一览表 6.19记录借阅登记表 6.20记录销毁记录表 6.21信息安全重要岗位一览表 6.22信息安全重要岗位员工一览表 6.23信息安全重要岗位评定表 6.24员工年度培训计划 6.25信息安全培训计划 6.26员工离职审批表 6.27第三方服务提供商清单 6.28第三方服务风险评估表 6.29第三方保护能力核查计划 6.30第三方保护能力核查表 6.31信息设备转移单 6.32信息设备转交使用记录 6.33信息资产识别表 6.34计算机设备配置说明书 6.35计算机配备一览表 6.36涉密计算机设备审批表 6.37涉密计算机安全保密责任书 6.38信息设备(设施)软件采购申请 6.39信息处理设施使用情况检查表 6.40应用软件测试报告 6.41外部网络访问授权登记表 6.42软件一览表 6.43应用软件开发任务书 6.44敏感重要信息媒体处置申请表 6.45涉密文件复印登记表 6.46文章保密审查单 6.47对外提交涉密信息审批表 6.48机房值班日志 6.49机房人员出入登记表 6.50机房物品出入登记表 6.51时钟校准记录 6.52用户设备使用申请单 6.53用户访问授权登记表a 6.54用户访问授权登记表 b 6.55用户访问权限评审记录 6.56远程工作申请表 6.57远程工作登记表 6.58电子邮箱申请表 6.59电子邮箱一览表 6.60电子邮箱使用情况检查表 6.61生产经营持续性管理战略计划 6.62生产经营持续性管理计划 6.63生产经营持续性计划测试报告 6.64生产经营持续性计划评审报告 6.65私人信息设备使用申请单 6.66计算机信息网络系统容量规划 6.67软件安装升级申请表 6.68监控活动评审报告 6.69信息安全故障处理记录 6.70系统测试计划 6.71网络打印机清单 6.72设备处置再利用记录 6.73设施系统更改报告 6.74软件设计开发方案 6.75软件设计开发计划 6.76软件验收报告 6.77重要信息备份周期一览表 6.78操作系统更改技术评审报告 6.79事故调查分析及处理报告 6.80上级单位领导来访登记表 6.81第三方物理访问申请授权表 6.82第三方逻辑访问申请授权表 6.83重要安全区域访问审批表 6.84重要安全区域控制一览表 6.85重要安全区域检查表 6.86人工查杀病毒记录表 1 / 1
信息安全管理体系iso27基本知识
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)
XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施
[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序
信息安全管理体系ISMS2016年6月考题
2016信息安全管理体系(ISMS)审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由()方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是()保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以()系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的() A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是() A、a8mom9y5fub33 B、1234 C、Cnas D、Password
9、开发、测试和()设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、()或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查,以确保在处置之前, ()和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和()的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在()合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于() A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全,设备、信息和软件在()之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时,应考虑() A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C
信息安全管理制度
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
6.5.1信息安全管理体系
信息安全管理体系 求助编辑百科名片 信息安全管理体系Information Securitry Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。 目录 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项 PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项
PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 展开编辑本段信息安全管理体系 BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 编辑本段编写信息安全管理体系文件的主要依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。 1)信息安全管理体系标准: 要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 包括规范和作业指导书等; 4)现有其他相关管理体系文件。 [编辑] 编辑本段编写信息安全管理体系程序文件应遵循的原则 在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程
AEO海关一般认证文件008-信息安全管理制度_New
AEO海关一般认证文件008-信息安全管理制度_New
AEO海关一般认证文件008-信息安全管理制度
注:要有备份系统,电脑装杀毒软件,设备密码 1目的 为确保公司计算机内文件安全及不受入侵,特制订本程序。 2范围 本程序适用于本公司所有计算机的管制。 3执行程序 3.1计算机的使用措施 3.1.1公司及各部门的计算机只能经由公司授权的 雇员操作使用,每台电脑应设置进入密码保 护,以防止未经授权的人员使用、篡改资料或 从事其它不法活动,见《授权使用电脑及上网人 员名单》; 3.1.2每位电脑使用者必须接受本程序和如何识别 文件与资料诈骗方面的培训,只有经培训合格 的人员才可操作电脑; 3.1.3使用者应保持设备及其所在环境的清洁,下 班时务必关机切断电源; 3.1.4使用者的业务数据,应严格按照要求妥善存 储在相应的位置上; 3.1.5未经许可,使用者不可增删硬盘上的应用软 件、系统软件和私自打开主机机箱; 3.1.6打印机墨盒经专人确认后,方可使用,严禁 私自更换和添加墨水; 3.1.7严禁使用电脑在上班时间内浏览非法网站、 玩游戏、听音乐等; 3.1.8公司所有电脑都设置电脑使用密码和荧幕密 码并定期更改,以防他人盗取。如发现密码已 泄露,则立即更换。欲设的密码及由别人提供 的密码应不予采用; 3.1.9操作员不可随意让不熟悉的人使用自己的电 脑,如确有必要使用,必须在旁监督; 3.1.10任何人未经操作员本人同意,不得使用他人 的电脑; 3.1.11严禁恶意删除他人文件、破坏公司系统; 3.1.12先以加密技术保护敏感的数据文件,然后才 通过公司网络及互联网进行传送,在适当的情况 下,利用数字证书为信息及数据加密或加上数字 签名;
企业内部信息安全管理体系
企业内部信息安全管理体系 建议书 北京太极英泰信息科技有限公司
目录 1 理昌科技网络现状和安全需求分析: (3) 1.1 概述 (3) 1.2 网络现状: (3) 1.3 安全需求: (3) 2 解决方案: (4) 2.1 总体思路: (4) 2.2 TO-KEY主动反泄密系统: (5) 2.2.1 系统结构: (5) 2.2.2 系统功能: (6) 2.2.3 主要算法: (6) 2.2.4 问题? (7) 2.3 打印机管理....................................... 错误!未定义书签。 2.3.1 打印机管理员碰到的问题....................... 错误!未定义书签。 2.3.2 产品定位..................................... 错误!未定义书签。 2.3.3 产品目标..................................... 错误!未定义书签。 2.3.4 概念—TO-KEY电子钥匙预付费.................. 错误!未定义书签。 2.3.5 功能......................................... 错误!未定义书签。 3 方案实施与成本分析....................................... 错误!未定义书签。
1企业网络现状和安全需求分析: 1.1概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
三级等保,安全管理制度,信息安全管理体系文件编写规范
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理体系文件编写规范 XXX-XXX-XX-03001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受 到有关产权及版权法保护。任何个人、机构未经XXXX X勺书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部、技术开发部。
总则 细则 体系文件的格式 附则 第一早 第二早 第三章 第四章 附件.. 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签
第一章总则 第一条为规范XXXX X言息安全管理体系文件的编写和标识,确保上清所信息安全管理体系文件在文件格式和内容形式上的一致性。根据《金融行业信息系统信息安全等级保护实施指引》 (JR/T 0071 —2012),结合XXXXX实际,制定本规范。 第二条本规范适用于XXXXX涉及信息安全管理体系文件的编写与标识的相关活动。 第三条网络与信息安全工作领导小组办公室负责组织XXXX X言息安全管理体系各级文件的编写和修订;负责XXXX X 言 息安全管理体系文件编码的分配和统一管理。 第二章细则 第四条体系文件类型包括: (一)管理策略:是指对信息系统安全运行提出策略性要求的文件,是信息安全管理体系的一级文件。 (二)管理规定:是指根据信息安全管理体系的管理策略要求提出详细规定的文件,是信息安全管理体系的二级文件。 (三)管理规范、操作手册:是指根据信息安全管理体系的管理规定提出具体的操作细则的文件、或对某一特定情况进行描述、解释、处置等的文件,是信息安全管理体系的三级文件。 (四)运行记录、表单、工单:是指对信息安全管理体系运行时产生的痕迹、轨迹进行记录的文件,是信息安全管理体系的四级文
海关一般认证文件信息安全管理制度
注:要有备份系统,电脑装杀毒软件,设备密码 1目的 2为确保公司计算机内文件安全及不受入侵,特制订本程序。 3范围 4本程序适用于本公司所有计算机的管制。 5执行程序 5.1计算机的使用措施 5.1.1公司及各部门的计算机只能经由公司授权的雇员操作使用,每台电脑应设置进入密码保 护,以防止未经授权的人员使用、篡改资料或从事其它不法活动,见《授权使用电脑及 上网人员名单》; 5.1.2每位电脑使用者必须接受本程序和如何识别文件与资料诈骗方面的培训,只有经培训合 格的人员才可操作电脑; 5.1.3使用者应保持设备及其所在环境的清洁,下班时务必关机切断电源; 5.1.4使用者的业务数据,应严格按照要求妥善存储在相应的位置上; 5.1.5未经许可,使用者不可增删硬盘上的应用软件、系统软件和私自打开主机机箱; 5.1.6打印机墨盒经专人确认后,方可使用,严禁私自更换和添加墨水; 5.1.7严禁使用电脑在上班时间内浏览非法网站、玩游戏、听音乐等; 5.1.8公司所有电脑都设置电脑使用密码和荧幕密码并定期更改,以防他人盗取。如发现密码 已泄露,则立即更换。欲设的密码及由别人提供的密码应不予采用; 5.1.9操作员不可随意让不熟悉的人使用自己的电脑,如确有必要使用,必须在旁监督; 5.1.10任何人未经操作员本人同意,不得使用他人的电脑; 5.1.11严禁恶意删除他人文件、破坏公司系统; 5.1.12先以加密技术保护敏感的数据文件,然后才通过公司网络及互联网进行传送,在适当 的情况下,利用数字证书为信息及数据加密或加上数字签名; 5.1.13不随便运行或删除电脑上的文件或程序,不要随意修改电脑参数等; 5.1.14不要随便安装或使用不明来源的软件或程序.不要随意开启来历不明的电子邮件或 电子邮件附件; 5.1.15收到无意义的邮件后,应及时清除,不要蓄意或恶意地回寄或转寄这些邮件; 5.1.16不要随意将公司或个人的文件发送给他人,或打开给他人查看或使用; 5.1.17工作移交时,严禁恶意破坏、删除、隐藏计算机中文件、数据。 5.2计算机的安全措施 5.2.1由网管负责所有电脑的检测和清理工作。 5.2.2由各部门最高负责人对电脑的防护措施的落实情况进行监督。 5.2.3网管根据需要,设置相应的网络用户,用于进入公司的网络系统,不同的用户有不同的 登陆密码和相应的权限,使每位人员可以而且只能使用到自己所需之资料。
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
- 信息安全管理体系建设
- 企业内部信息安全管理体系
- ISO27001信息安全管理体系全套程序文件
- 最新ISO27001:2013信息安全管理体系一整套文件(手册+程序)
- 2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
- 2019年最新ISO27001 信息安全管理体系全套程序文件
- ISO27001:2013信息安全管理体系 全套程序 01文件控制程序
- 信息安全管理体系建设
- 2019最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
- 信息安全管理体系ppt课件
- 信息安全管理体系
- ISO27001:2013信息安全管理体系全套程序30各部门信息安全管理职责
- 2018最新ISO27001信息安全管理体系全套程序文件
- ISO20000-2018内部审核全套资料(2019年最新版)
- 信息安全管理体系介绍
- ISO27001-2013信息安全管理体系要求.
- 【信息系统监视和测量管理程序】2018年最新ISO IEC 27001 2013 版信息安全管理体系资料(内含全套表格)
- 信息安全管理体系及重点制度介绍讲解
- 信息安全管理体系(ISO27001ISO20000)所需条件和资料
- 最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)