《ITSS信息安全管理程序.docx》由会员分享,可在线阅读,更多相关《ITSS信息安全管理程序.docx(13页珍藏版)》请在优知文库上搜索。
1、1范围从组织环境的角度考虑,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。本信息安全管理程序从组织环境的角度规定了我公司信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理程序适用于:与企业运维服务项目信息安全管理活动。本信息安全管理程序采用了IS027001:2013标准正文的全部内容,其中对标准规范附录A的删减见适用性声明SOAL2规范性引用文件下列文件中的条款
2、通过本信息安全管理程序的引用而成为本信息安全管理程序的条款。凡是标注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,相关部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理程序。ISO/IEC27000信息技术-安全技术-信息安全管理体系-概述和词汇IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求ISO/IEC27002:2013信息技术-安全技术-信息安全管理实用规则3术语和定义ISO/IEC27000信息技术-安全技术-信息安全管理体系-概述和词汇中规定的术语和定义适用于本信息安全管理程序。31本公司指
3、XX有限公司。3.2信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。3.4信息安全事件加导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3. 5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、上级部门、供方、用户等。4组织环境4.
4、1理解组织及其环境组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题注:确定这些问题涉及到建立组织的外部和内部环境。4. 2理解相关方的需求和期望组织应确定:与信息安全管理体系有关的相关方;这些相关方与信息安全有关的要求。注:相关方的要求可能包括法律法规要求和合同义务。4.3 确定信息安全管理体系的范围本公司根据组织环境、内外部面临的问题、相关方的需求和期望、组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性定义了信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:a)与环境监控软件(开发)相关的信息安全管理活动b)与所述活动相关的信息系统;
5、c)与所述活动相关的各部门(包括综合部、项目部、技术部)的所有员工;d)所述活动、系统及支持性系统包含的全部信息资产(不在体系覆盖范围内的相关部门,以公司内部相关方形式出现)。组织范围:本公司信息安全管理体系适用的组织范围,见附录A(规范性附录)组织机构图。物理范围:本公司信息安全管理体系的物理范围安全边界详见附录B(规范性附录)办公区域平面图。4.4 信息安全管理体系本公司在日常经营管理活动中,按ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求规定,建立、实施、保持和持续改进信息安全管理体系。信息安全管理体系使用的过程基于图1所示的PDCA模型。4. 4.1总则本
6、公司信息安全管理体系文件包括:a)文件化的信息安全方针、控制目标,在信息安全管理程序中描述;b)信息安全管理程序(本手册,包括信息安全适用范围及引用的标准);c)本手册要求的信息安全风险识别与评价管理程序、业务持续性管理程序、纠正预防措施管理程序等支持性程序;d)信息安全管理体系引用的支持性程序。如:文件管理程序、记录管理程序、内部审核管理程序等;e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;f)风险评估报告、风险处理计划以及信息安全管理体系要求的记录类文件;g)相关的法律、法规和信息安全标准;h)适用性声明(SOA)。4. 4.2文件控制行政部组织制定并实施文件管理程序,
7、对信息安全管理体系所要求的文件进行管理。对信息安全管理程序、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。文件控制应保证:a)文件发布前得到批准,以确保文件是充分的;b)当文件实施更改时,对文件进行评审、更新并再次批准;c)确保文件的更改和现行修订状态得到识别;d)确保在使用时,可获得相关文件的最新版本;e)确保文件保持清晰、易于识别;f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;g)确保外来
8、文件(指与公司经营有关的一切外部文件)得到识别;h)确保文件的分发得到控制;i)防止作废文件的非预期使用;j)若因任何目的需保留作废文件时,应对其进行适当的标识。4.4. 3记录控制信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政部负责组织制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理程序,规定记录的标识、储存、保护、检索、保管、废弃等事项。信息安全管理体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事件(事故)的记录。各部门应根据记录管理程序的要求采取适当的方式妥善保管信息安全记录。5领导5.1 领导和承诺高层管理者应通过以
9、下方式展示其关于信息安全管理体系的领导力和承诺:a)建立信息安全方针和信息安全目标(见本手册第04章);b)确保将信息安全管理体系要求整合到组织的业务过程中;c)确保信息安全管理体系所需资源可用(见本手册第7.1章);d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;e)确保信息安全管理体系实现其预期结果;f)指挥并支持人员为信息安全管理体系的有效实施做出贡献;g)促进持续改进;h)支持其他相关角色在其职责范围内展示他们的领导力。5.2 方针为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安
10、全目标。信息安全管理方针:顾客至上,安全第一;科学预防,全员参与;遵守法规,持续改进本公司信息安全管理策略包括内容如下:一、信息安全管理机制公司采用系统的方法,按照ISO/IEC27001:2013建立信息安全管理体系,全面保护本公司的信息安全。二、信息安全管理组织1 .公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。2 .公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。3 .在公司内部建立信息安全组织机构,信息安全管理委员会,保证信息安全管理体系的有效运行。4 .与上级部门、地方政府、相
11、关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。三、人员安全1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。5 .对本公司的相关方,要明确安全要求和安全职责。6 .定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,以提高安全意识。7 .全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保
12、证满足安全要求。五、风险评估1 .根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。2 .采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。3 .应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件1 .公司建立报告信息安全事件的渠道和相应的主管部门。2 .全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。3 .接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。七、监督检查定期对信息安全进行监督检查,包括
13、:日常检查、专项检查、技术性检查、内部审核、管理评审等。每年管理评审或发生重大变化时对信息安全方针的持续适宜性、充分性和有效性进行评价,必要时进行修订。八、业务持续性1 .公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。2 .定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。信息安全目标如下:公司总体重大信息安全事件(事故)为零,各部门信息安全目标如下:部门目标需要的资源负责人达到时间评价方法技术部软件数据,技术资料泄露或遗失
14、类安全事件为零无部门经理一个季度每个季度收集相关的安全事件并汇总,与目标比较看是否达到目标行政部人力资源泄密安全事件为零无部门经理一个季度每个季度收集相关的安全事件并汇总,与目标比较看是否达到目标各类信息设施的可用性达到90%以上无部门经理一个季度每个季度计算可用性,与目标比较看是否达到目标项目部客户数据泄露、遗失类安全事件为零。无部门经理一个季度每个季度收集相关的安全事件并汇总每年客户投诉不得多于3次无部门经理年末每年收集客户投诉数据并汇总,与目标比较看是否达到目标5.3组织角色、职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职
15、责如何,对信息安全负有以下职责:a)建立并实施信息安全管理体系必要的程序并维持其有效运行;b)对信息安全管理体系的运行情况向总经理报告。c)对各部门的信息安全管理体系的运行情况在公司内部进行通告。各部门负责人为本部门信息安全管理责任者,全体员工都应按信息安全管理体系的要求自觉履行信息安全义务;各部门、人员有关信息安全职责分配见附录C(规范性附录)信息安全管理职责明细表和相应的程序文件。6规划6.1 应对风险和机会的措施6.1.1 总则当规划信息安全管理体系时,要考虑公司面临的内外部问题、相关方的耍求和期望,确定需要应对的风险和机会。a)确保信息安全管理体系能实现其预期效果;b)防止或减少意外的影响;c)实现持续改进。组织应规划:d)应对这些风险和机会的措施;e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程;2)评价这些措施的有效性。6.1.2 信息安全风险评估相关部门负责组织制定