信息安全管理体系认证实施规则
ISCCC-ISMS-001:2016
中国信息安全认证中心
目录
1.适用范围 (2)
2.认证依据 (2)
3.术语和定义 (2)
3.1.信息收集 (2)
3.2.现场审核 (2)
4.认证类别 (2)
5.审核人员及审核组要求 (2)
6.认证信息公开 (2)
7.认证程序 (2)
7.1.初次认证 (2)
7.2.监督审核 (6)
7.3.再认证 (8)
7.4.管理体系结合审核 (8)
7.5.特殊审核 (9)
7.6.暂停、撤消认证或缩小认证范围 (9)
8.认证证书 (10)
8.1.证书内容 (10)
8.2.证书编号 (11)
8.3.对获证组织正确宣传认证结果的控制 (11)
9.对获证组织的信息通报要求及响应 (11)
10.附录A:审核时间 (11)
1.适用范围
本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。
2.认证依据
以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。
3.术语和定义
3.1.现场审核
中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。
4.认证类别
认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。
5.审核人员及审核组要求
认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。
审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。
具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。
6.认证信息公开
中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息:
1)认证服务项目;
2)认证工作程序;
3)认证依据;
4)证书有效期;
5)认证收费标准。
7.认证程序
7.1.初次认证
7.1.1.认证申请
中心应要求申请组织的授权代表至少提供以下必要的信息:
1)认证申请书,包括但不限于以下内容:
a.企业基本信息,包括业务活动、组织架构、联系人信息、物理位置和体系范围等基本内容
b.法律地位资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书,组织代码证和税务登记证(如果有));
c.体系运行的时间;
d.取得相关法规规定的行政许可文件(适用时)。
2)信息收集表,包括但不限于:
a.组织的资源管理
b.组织的过程管理
c.组织的风险管理
7.1.2.申请评审
中心应根据认证依据、程序等要求,在三个工作日内对申请组织提交的认证申请书及其相关资料进行评审并保存评审记录,做出评审结论,以确定:
1)所需要的基本信息都得到提供;
2)申请组织的行业类别和与之相对应的管理体系所管理的过程特性和管理要求;
3)国家对相应行业的管理要求;
4)中心与申请组织之间任何已知的理解差异得到消除;
5)中心有能力并能够实施认证活动;
6)申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证
活动的因素;
7)中心应建立关于审核人日的确定准则,根据受审核方的规模、特性、业务复杂程度、
管理体系涵盖的范围、认证要求和其承担的风险等因素核算并确定审核人日,以
确保审核的充分性和有效性。将确定后的人日数记录在审核方案中,审核人日的
确定规则参考附录A。
7.1.3.建立审核方案
在申请评审后,中心应针对申请组织建立审核方案(申请组织变更为受审核方),并由专职人员负责管理审核方案。审核方案范围与程度的确定应基于受审核组织的规模和性质,
以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。
审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源,应包括以下内容:
1)审核方案的目标;
2)审核的范围与程度、数量、类型、持续时间、地点、日程安排;
3)审核准则;
4)审核方法;
5)审核组的选择;
6)所需的资源,包括交通和食宿;
7)处理保密性、信息安全、健康和安全,以及其它类似事宜。
7.1.4.确定审核组
中心应根据受审核方的行业、规模和业务复杂程度组建审核组,指派审核组长。审核组组建原则见第5章。
7.1.5.一阶段审核
审核组应对受审核方开展一阶段审核,以确定:
1)受审核方的管理体系得到策划和实施;
2)受审核方的管理体系已运行,并有足够的证据证明其运行情况;
3)受审核方对运行的管理体系进行了监视、测量、分析和评价,并有充分的证据;
4)受审核方对管理体系进行了有效的持续改进;
5)受审核方是否识别并遵守了相关的法律法规;
6)受审核方有充足的资源保障现场审核的进行;
7)收集关于客户的管理体系范围、过程和场所的必要信息,包括:
a)客户的场所
b)使用的过程和设备
c)所建立的控制的水平(特别是客户为多场所时)
为了确保获得上述信息,一阶段的部分?审核需到客户现场进行。
7.1.6.现场审核计划
审核组应结合受审核方的申请材料、审核方案对现场审核的策划以及一阶段审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对受审核方按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。审核组长应至少在
实施现场审核3个工作日之前,与受审核方就审核计划进行充分沟通,确保双方在理解上没有歧义。
7.1.7.现场审核
审核组按照审核计划的安排对受审核方进行现场审核,现场审核应考虑一阶段审核结果,对受审核方的管理过程和控制措施的运行情况进行评价,对一阶段审核提出的问题改进情况进行验证。
现场审核的内容包括但不限于:
a.组织环境(应对风险和机会的措施,管理目标和达标计划);
b.领导(管理承诺,方针,组织的角色、责任和权限);
c.策划(应对风险和机会的措施,管理目标和实现计划);
d.支持(资源,能力,意识,沟通,文件化信息);
e.运行(运行的策划和控制,风险评估,风险处置);
f.绩效评估(监视、测量、分析和评价,内部审核,管理评审);
g.改进(不符合和纠正措施,持续改进)。
7.1.8.初次认证的审核结论
审核组应该对一阶段审核和现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场审核发现不符合项和观察项应开具不符合项报告,且获得受审核方认同。
现场审核结束,审核组应形成是否推荐认证注册的结论;审核组可以根据一阶段审核结果和现场审核的结果对受审核方的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐认证注册。
现场审核结束后,3个工作日内,审核组长完成审核报告编制工作,并与受审核方进行沟通,确保双方对报告的理解上没有歧义。
7.1.9.认证决定
中心应指派认证决定人员,对受审核方的认证申请实施认证决定,以决定:a.同意认证注册,颁发认证证书;
b.补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
c.不同意认证注册。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实受审核方建立管理体系得到了建立、实施、运行、监视、评审、保持和改
进。
注1:参加审核的人员不能再作为认证决定人员实施认证决定。
注2:受审核方获得认证注册资格后变更为获证组织。
7.1.10.审核方案记录与变更
审核方案管理人员应收集一阶段审核、现场审核和认证决定的信息,特别是形成的结论和变化的信息,记录到审核方案中。并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.2.监督审核
7.2.1.监督频次
中心应在满足认可要求的基础上,根据获证组织管理体系覆盖的业务活动的特点以及所承担的风险,合理设计和确定监督审核的时间间隔和频次。当获证组织管理体系发生重大变更,或发生重大问题、业务中断事故、客户投诉等情况时,中心可视情况增加监督的频次。
监督审核的最长时间间隔不超过12个月。由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因,可以合理选取和安排监督周期及时机,在认证证书有效期内的两次监督审核涉及的条款之和必须覆盖管理体系认证范围内的所有条款。
7.2.2.信息收集
在进行监督审核之前,中心需要收集获证组织的管理体系相关信息,以确定获证组织的管理体系相关信息是否发生变化。需要客户提供的信息包括以下几个方面:
1)信息确认文件,包括但不限于:
a.基本信息,包括组织名称、地址、联系人、法人等信息的变化情况;
b.组织信息,包括范围、组织架构、人员数量等信息的变化情况;
c.管理体系相关信息,关键文件化信息的变化情况。
7.2.3.确定审核组
中心应根据获证组织的行业、规模和业务复杂程度组建审核组,指派审核组长。审核组组建原则,见第5章。
7.2.4.信息评审
审核组应对获证组织的信息确认文件进行评审,以确定:
1)获证组织的管理体系变化情况,尤其是管理体系范围的变化;
2)是否需要修订审核方案。
7.2.5.制定现场审核计划
审核组应结合获证组织的信息确认文件、审核方案对监督审核中现场审核的策划和一阶段审核的结果对现场审核做出具体安排,包括但不限于具体的时间安排、审核组成员对获证组织按岗位和活动以何种方式进行评价的安排、高层沟通的安排和会议的安排。审核组长应至少在实施现场审核3个工作日之前,与获证组织就审核计划进行充分沟通,确保双方在理解上没有歧义。
ISMS的监督审核并不覆盖标准所有条款,监督审核的抽样采取部门抽样的方式进行,抽样准则为:
1)两次监督审核必须覆盖标准所有条款和所有部门;
2)标准中对信息安全管理过程有决定作用的条款和部门每次监督审核都需要抽到;
3)获证组织前一次审核问题较多的部门在本次监督审核中需要抽到;
4)审核组认为重要的条款应考虑进行抽样。
每次监督审核的内容应包括以下方面:
1)内部审核和管理评审;
2)对上次审核中确定的不符合项采取的措施;
3)投诉的处理;
4)管理体系在实现获证客户目标和各管理体系的预期结果方面的有效性;
5)为持续改进而策划的活动的进展;
6)持续的运作控制;
7)任何变更;
8)标志的使用和(或)任何其他对认证资格的引用
7.2.6.现场审核
审核组按照审核计划的安排对获证组织进行现场审核,由于监督审核并不要求覆盖体系的所有方面,因此在监督审核的策划过程中,如果获证组织的认证范围信息有变化,应对变化的方面进行关注,必要时重新确认审核范围。。
7.2.7.监督审核结论
审核组应该对现场审核中收集的所有信息和证据进行汇总分析,评价审核发现并就审核结论达成一致。
如果现场审核发现不符合项和观察项应开具不符合项报告,且获得获证组织认同。
现场审核结束,审核组应形成是否推荐保持认证注册的结论;审核组可以根据一阶段
审核结果和现场审核的结果对获证组织的管理体系是否满足所有适用的认证依据的要求进行评价,并判断是否推荐保持认证注册。
现场审核结束后,3个工作日内,审核组长完成审核报告编制工作,并与获证组织进行沟通,确保双方对报告的理解没有歧义。
7.2.8.认证决定
中心应指派认证决定人员,对获证组织的认证申请实施认证决定,以决定:a.同意保持认证注册,颁发认证标志;
b.补充认证决定所需的信息,包括但不限于申请材料、审核材料,再行决定;
c.不同意保持认证注册,做出暂定或撤销的决定。
认证决定人员实施认证决定时应以认证过程中收集的信息和其他相关信息为基础,以充分的证据证实获证组织建立管理体系得到了建立、实施、运行、监视、评审、保持和改进。
7.2.9.审核方案记录与变更
审核方案管理人员应收集一阶段审核、现场审核和认证决定的信息,特别是形成的结论和变化的信息,同时记录到审核方案中。并确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.3.再认证
认证证书有效期满前,中心根据获证组织的申请对获证组织实施再认证,以保证管理体系认证证书持续有效。
再认证审核的形式和过程与初次认证保持一致,但再认证的一阶段审核可以与二阶段审核一起进行,但当获证组织或其管理体系的运作环境(如法律的变更)有重大变更时,再认证审核活动可能需要有单独的第一阶段审核。
再认证审核将包括针对下列方面的现场审核
1)结合内部和外部变更来看的整个管理体系的有效性,以及认证范围的持续相关性和
适宜性;
2)经证实的对保持管理体系有效性并改进管理体系,以提高整体绩效的承诺;
3)管理体系在实现获证客户的目标和管理体系预期结果方面的有效性。
7.4.管理体系结合审核
当申请组织在运行信息安全管理体系的同时还运行了其他管理体系,若其他管理体系在中心的认证业务范围内,中心可以根据申请组织的需求对管理体系进行单独的审核,或
者对多个管理体系进行结合审核,但中心需确保在结合审核的情形下,对诸如审核范围的界定、审核时间的确定、审核方案的策划等进行有效的管理。
对于结合审核,必须以审核活动满足体系认证所有要求为前提,并且审核的质量不应由于结合审核而受到负面影响。在审核报告中,应清晰体现所有与管理体系有关的重要要素的描述并易于识别。
7.5.特殊审核
7.5.1.变更或扩大认证范围
获证组织申请变更或扩大认证范围时,中心应按再认证的过程对获证组织变更或扩大认证范围进行特殊审核,最终形成是否同意变更或扩大认证注册范围的决定。变更或扩大认证范围的审核活动可单独进行,也可和对获证组织的监督审核或再认证同时进行。
7.5.2.中心在调查投诉、对变更做出回应或对被暂停认证资格的获证组织进行追踪
时,应指派审核组提前较短时间通知获证组织后对其进行特殊审核。特殊审核以现场审核方式进行,此时:
1)应向获证组织说明并使其提前了解将在何种条件下进行此类审核;
2)由于获证组织缺乏对审核组成员的任命表示反对的机会,中心应在指派审核组时给
予更多的关注;
3)审核组应制订审核计划,形成审核结论;
4)中心应根据审核结论作出认证决定。
7.5.3.审核方案记录与变更
审核方案管理人员应收集特殊审核的信息,特别是形成的结论和变化的信息,并记录到审核方案中。同时确定审核方案是否需要进行变更,如需要则更新相应项目内容。
7.6.暂停、撤消认证或缩小认证范围
7.6.1.中心应有暂停、撤消认证或缩小管理体系认证范围的政策和形成文件的程
序,并规定中心的后续措施。
7.6.2.发生以下情况(但不限于)时,中心应暂停获证组织的管理体系认证资格:
1)获证组织的管理体系持续地或严重地不满足认证要求,包括对管理体系有效性的要
求;
2)获证组织不允许按要求的频次实施监督或再认证审核;
3)获证组织不接受或不配合认证认可监督管理部门的监督管理;
4)获证组织主动请求暂停。
7.6.3.认证资格暂停期最长不超过6个月。
7.6.4.在暂停认证期间,获证组织的管理体系认证证书暂时无效。中心应做出具有
强制实施力的安排,避免暂停认证期间获证组织继续宣传管理体系认证资格。中心应使认证证书的暂停信息可公开获取。
7.6.5.如果获证组织未能在中心规定的时限内解决造成暂停认证的问题,中心应撤
消其管理体系认证或缩小其相应的认证范围。
7.6.6.如果获证组织在认证范围的某些部分持续地或严重地不满足认证要求,中心
应缩小其管理体系认证范围,以排除不满足要求的部分。认证范围的缩小应与认证标准的要求一致。
7.6.7.中心应与获证组织就撤消管理体系认证时的要求做出具有强制实施力的安
排,以确保获证组织接到撤消认证的通知时,立即停止使用任何引用管理体系认证资格的广告材料。
7.6.8.在任何组织提出请求时,中心应正确说明获证组织的管理体系认证被暂停、
撤消或缩小的情况。
8.认证证书
8.1.证书有效期
信息安全管理体系认证证书有效期为三年
8.2.证书内容
8.2.1.认证证书内容应以中文书写,至少包括以下方面:
1)认证证书名称,例如:信息安全管理体系认证证书;
2)符合本规则8.2项规定的证书编号;
3)获证组织名称、注册地址、获证地址和邮政编码;
4)符合本规则2项的认证依据;
5)通过认证的业务类别;
6)颁证日期、换证日期以及证书有效期的起止年月日。如颁证日期:2002 年5月1
日,有效期:2002年5月1日至2005年4月30日;
7)中心的名称及其标志;
8)中心的印章和法定代表人代表或其授权人的签字;
9)认可标识及认可注册号(应为国家认监委确定的认可机构的标识,以申请认可为目
的发出的证书可没有此内容);
8.2.2.如果认证所覆盖业务(或服务)的类别及其所涉及的过程和覆盖的场所较多,
需在证书附件上加以注明。
8.3.证书编号
8.3.1.对同一个受审核方实施的同一个管理体系认证,赋予一个认证证书编号。
8.3.2.证书编号规则由中心进行明确规定。
8.3.3.同一个组织的认证范围覆盖多个场所并需要颁发子证书时,在子认证证书编
号后加上“-”和序号,如-1(-2,-3,?)。
8.3.4.有效期内换发证书,认证证书编号中的机构注册号、年份号、顺序号和认证
的有效期保持不变,应注明换证日期。
8.3.5.撤销证书后,原认证证书编号废止,不再它用。
8.3.6.认证证书上的中心名称应与相应的中心批准书上的名称一致。
8.4.对获证组织正确宣传认证结果的控制
中心应采取授权使用标识的方式来要求获证组织在认证结果的宣传和使用中采用本规则确定的认证依据,同时注明通过认证的业务类别和认证证书编号。在认证证书被暂停期间或撤销后,应收回相应的授权。
不应授权获证组织在产品上使用上述标识,或以表示产品合格的方式使用上述标识。
9.对获证组织的信息通报要求及响应
为确保获证组织的管理体系持续有效,中心应要求获证组织建立信息通报制度,及时向中心通报以下信息:
1)业务、地点、组织机构变化等情况的信息(及时通报);
2)顾客投诉的相关信息(每三个月通报一次);
3)组织的体系文件和业务重大变化时进行通报;
4)有严重与管理体系相关事故的信息(及时通报)
5)其他重要信息。(视情况)
中心应对上述信息以及收集到的相关公共信息进行分析,视情况采取相应措施,包括增加监督审核频次以及暂停或撤销认证资格的措施等。在发生重大客户投诉等严重情况时,中心需立即采取相应处理措施。
10.附录A:审核时间
下表为ISMS初次认证的审核人日基数,具体审核时间需要考虑受审核方的规模、特性、
业务复杂程度、ISMS涵盖的范围、认证要求和其承担的风险等因素。根据受审核方的特点在项目方案制定过程中可以在人日基数上进行增减。
审核人日包括一阶段审核、现场审核以及报告编写的时间。
当ISMS与其他管理体系结合审核时,ISMS的审核时间可根据结合审核的其他管理体系的特点进行减少。
监督审核的人日数为初次认证人日数的二分之一,再认证的人日数为初次认证人日数的三分之二,上述原则仅限于获证组织的认证范围和组织规模未发生变化的情况。
基本人日数计算表
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.doczj.com/doc/1a16019349.html, email:pcc@https://www.doczj.com/doc/1a16019349.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
信息安全管理办法 第一章总则 第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。 第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。 第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。 第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。 第五条本办法适用于公司总部、各企事业单位及其全体员工。 第二章信息安全管理组织与职责 第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。 第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。 第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。 第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。
信息安全管理体系的实施过程 一、问题的提出 人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出,信息资产的比传统的实物资产更加脆弱,更容易受到损害,需要加以妥善保护。 长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响,国内公众对安全的认识被广泛误导。有相当一部分人认为黑客和病毒就已经涵盖了信息安全的一切威胁,似乎信息安全工作就是完全在与黑客与病毒打交道,全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统。这种偏面的看法对一个组织实施有效的信息安全保护带来了不良影响。 目前,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准,这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用,但从组织信息安全的各个角度和整个生命周期来考察,现有的信息安全管理体系与标准是不够完备的,特别是忽略了组织中最活跃的因素――人的作用。考察国内外的各种信息安全事件,我们不难发现,在信息安全事件表象后面其实都是人的因素在起决定作用。不完
备的安全体系是不能保证日趋复杂的组织信息系统安全性的。 因此,组织为达到保护信息资产的目的,应在“以人为本”的基础上,充分利用现有的ISO13335、BS7799、CoBIT、ITIL等信息系统管理服务标准与最佳实践,制定出周密的、系统的、适合组织自身需求的信息安全管理体系。 二、HTP模型 信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件,表现形式和载体会发生各种变化,这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标,一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。从宏观的角度来看,我们认为信息安全可以由以下HTP模型来描述:人员与管理(Human and management)、技术与产品(Technology and products)、流程与体系(Process and Framework)。
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
QMS-75-1 格式1-NC
信息安全实施细则(案)目录 第1 章总则 (2) 第2 章电脑等信息设备的对策 ...................................2-5 第3 章信息存储介质的对策 (5) 第4 章系统维护 ...............................................................6-7 第5 章网络连接 .............................................................7-8 第6 章防病毒对策 (8) 第7 章电子邮件的使用 (9) 第8 章互联网的使用 (9) 第9 章软件许可证的管理 (10) 第10 章信息安全事件?事故的对应 (11)
第1 章总则 1.1 目的 本对策基准以“信息安全规定”为依据,针对XXXXXXX有限公司(以下简称“XXXX”)中信息安全相关的应遵守事项制定了具体处理细节,以确保XXXX信息的安全和信息资产的安全。 1.2 定义 本策略基准中所使用的术语遵照“信息安全管理规定”中的定义。 1.3 适用范围 本策略的适用范围遵照“信息安全规定”中指定的适用范围。 第2章电脑等信息设备的对策 2.1 电脑等信息设备的管理 IT必须制作一份其管辖下的电脑等信息设备的管理登记表,并进行妥善管理。 2.2 电脑等信息设备的购买及处理 ※新员工入社申请 接收到人事新员工入社通知邮件后,首先IT会对现有备用机进行确认,在备用机超过5台的情况下,结合实际情况,将超出的备用机优先配发给新员工,如果少于5台,则在金蝶系统中发起《C投资类采购申请单》到调达相关担当采购。 ※旧电脑使用更换 使用者申请信息化设备时,应先在OA发起“信息化设备购置申请单”,审批流程为 申请者→本部门领导→IT科领导→IT担当 流程审核完成后,IT会对使用者现使用电脑进行(购买年限,硬件状态,工作需要)等确认,确认无误后,IT 相关担当将在金蝶系统中发起《C投资类采购申请单》到调达相关担当,调达相关担当进行采购,采购完成后,IT将对新的信息化设备进行配置授权处理后,PC的软件安装标准请参考《PC软件安装指南》(见附件1),完成后交于申请者使用。 员工必须根据《XXXX电脑使用规范》使用电脑设备(见附件2)。 另外,还须提高警惕以防失窃?丢失,并遵守以下内容。 (1)用于公司业务的电脑等信息设备,必须是由公司发放?出借的。 (2)个人所有的电脑等信息设备,不能用于处理业务,也不能连接公司内部网络。 (3)电脑等信息安全设备必须实施密码设置、加密等安全对策。 (4)电脑等信息设备必须按照“第4章系统维护”中的规定,使用最新的安全更新程序。(5)电脑等信息设备的防病毒对策必须按照“第6章防病毒对策”中的规定进行实施。(6)电脑等信息设备可以视存储信息的重要程度进行定期备份。 2.3 电脑等信息设备的他人使用限制 为防止他人非法使用或偷窥电脑等信息设备,员工必须遵守并贯彻执行以下内容。 (1)电脑等信息设备的账户及密码原则上只能自己使用不能随意交予他人。 (2)离开电脑等信息设备时,必须注销或锁屏,令他人不能擅自操作。 2.4 电脑等信息设备中安装的软件 (1)电脑等信息设备中使用的标准软件,可以根据XXXX信息安全主管部门制定的“PC软件标准指南”进行选定。 (2)不能安装XXXX信息安全主管部门禁止使用的软件。 (3)免费软件和共享软件等未经IT许可不能安装。 2.5 电脑等信息设备的网络连接 (1)当要将电脑等信息设备连接到公司内部网络上时,必须按照“第5章网络连接”中的
5步构建信息安全保障体系 随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成 的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论 太极多年信息安全建设积累的信息安全保障体系建设方法论,也称 “1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
如何有效构建信息安全保障体系随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完
成信息安全的方针和目标而组成的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。 信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论
【最新整理,下载后即可编辑】 信息安全管理办法 1.概述 1.1目的 为指导安全等级保护相关工作,做好的信息安全保障工作。1.2范围 为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富,为等级保护工作的开展提供指导。 1.3术语 1.敏感数据 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于: 1.用户敏感数据,如用户口令、密钥; 2.系统敏感数据,如系统的密钥、关键的系统管理数据; 3.其它需要保密的敏感业务数据; 4.关键性的操作指令; 5.系统主要配置文件; 6.其他需要保密的数据。 2.风险 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失
或破坏的可能性。 3.安全策略 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 4.安全需求 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 5.完整性 包括数据完整性和系统完整性。数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。 6.可用性 表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 7.弱口令 指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。 2.信息安全保障框架
2.1 信息安全保障总体框架 2.2 信息安全管理体系框架
2.3 安全管理内容 3.信息安全管理规范 3.1 物理安全 3.1.1.物理位置的选择 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
论信息安全保障体系的建立 【摘要】: 随着信息产业的高速发展,众多企业、单位都利用互联网建立了自己的信息系统,以充分利用各类信息资源。但是我们在享受信息产业发展带给我们的便利的同时,也面临着巨大的风险。我们的系统随时可能遭受病毒的感染、黑客的入侵,这都可以给我们造成巨大的损失。信息安全问题也已成为信息系统日益突出和受到关注的问题,信息化程度越高,信息网络和系统中有价值的数据信息越多,信息安全问题就显得越重要。随着信息化程度的提高,信息安全问题一步步显露出来。信息安全需求的日益深入,已经从原来的系统安全和网络边界安全日益深入到系统内部体系安全和数据本身的安全上,并且已经开始对管理制度造成影响和改变。信息安全问题是多样的,存在于信息系统的各个环节,而这些环节不是孤立的,他们都是信息安全中不可缺少和忽视的一环,所以对一个信息网络,必须从总体上规划,建立一个科学全面的信息安全保障体系,从而实现信息系统的整体安全。 【关键词】: 信息安全,安全技术,网络 一信息安全的定义 信息安全的概念随着网络与信息技术的发展而不断地发展,其含义也不断的变化。20世纪70年代以前,信息安全的主要研究内容是计算机系统中的数据泄漏控制和通信系统中的数据保密问题。然而,今天计算机网络的发展使得这个当时非常自然的定义显得非常不恰当。首先,随着黑客、特洛伊木马及病毒的攻击不断升温,人们发现除了数据的机密性保护外,数据的完整性保护以及信息系统对数据的可用性支持都非常重要。其次,不断增长的网络应用中所包含的内容远远不能用“数据”一词来概括。综上分析,信息安全是研究在特定的应用环境下,依据特定的安全策略对信息及其系统实施防护检测和恢复的科学。[1] 二信息安全面临的威胁 由于信息系统的复杂性、开放性以及系统软件硬件和网络协议的缺陷,导致了信息系统的安全威胁是多方面的:网络协议的弱点、网络操作系统的漏洞、应用系统设计的漏洞、网络系统设计的缺陷、恶意攻击、病毒、黑客的攻击、合法用户的攻击、物理攻击安全、管理安全等。[2] 其次,非技术的社会工程攻击也是信息安全面临的威胁,通常把基于非计
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
信息安全管理制度 第一章总则 第一条为了保护医院信息系统安全,促进医院信息系统的应用和发展,保障医院信息工程建设的顺利进行,特制定本规则。 第二条本规则所称的信息系统,是由计算机及其相关配套的设备、设施构成的,按照系统应用目标和规则对医院信息进行采集、加工、存储、传输、检索等处理的人机系统,即现在医院建设和应用中的信息工程,。 第三条信息系统的安全保护,是保障计算机及配套的设备、设施的安全,运行环境的安全,保障信息的安全,保障医院信息管理系统功能的正常发挥,以维护信息系统的安全运行。 第四条信息系统的安全保护,重点是维护信息系统中数据信息和网络上一切设备的安全。 第五条医院信息系统内全部上网运行计算机的安全保护都适用本规则。 第六条信息中心主管全院信息系统的安全保护工作。 第七条任何单位或者个人,不得利用上网计算机从事危害医院利益的活动,不得危害信息系统的安全。 第八条各级各类医院根据本规则,结合医院不同的功能
任务和医院信息系统规模大小,参照以下内容制定适宜于本医院的运行与应用保障制度。 第二章信息安全保护制度 第九条信息系统的建设和应用,应遵守医院信息系统管理规则、医院行政法规和其他有关规定。 第十条信息系统实行安全等级保护和用户使用权限划分。安全等级和用户使用权限以及用户口令密码的划分、设置由信息中心负责制定和实施。 第十一条信息中心机房应当符合国家标准和国家规定。 第十二条在信息系统设施附近营房维修、改造及其他活动,不得危害信息系统的安全。如无法避免而影响信息系统设施安全的作业,须事先通知信息中心,经中心负责人同意并采取保护措施后,方可实施作业。 第十三条信息系统的使用单位和个人,都必须遵守计算机安全使用规则,以及有关的操作规程和规定制度。 第十四条对信息系统中发生的问题,有关使用单位负责人应当立即向信息工程技术人员报告。 第十五条对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作,由计算机中心负责处理。 第十六条对信息系统软件、设备、设施的安装、调试、
智慧城市信息安全保障体系与安全策略 集团文件发布号:(9816-UATWW-MWUB-WUNN-INNUL-DQQTY-
智慧城市信息安全保障体系与安全策略 一、单选 1、以下选项中,不属于信息安全保障体系模型的要素是(保障过程) 2、以下选项中,不属于业务协同面临的安全威胁和风险的是(缺乏集中处理和高效分析能力……) 3、智慧城市以(物联网、云计算等新一代信息技术应用)为基础。 4、智慧城市总体架构的感知层的功能是(实现智慧城市数据的感知、采集、获取、、,以及纠错融合等数据预处理) 5、智慧城市信息安全保障的原则是(积极防御、综合防范) 6、智慧城市需要打造一个统一平台,……构建(三)张基础网络…… 7、信息安全的(可认证性)是指能够核实……真实性。 8、智慧城市广义上指(城市信息化) 9、(物联网)是通过……管理的一种网络。 10、以下选项中,不属于智慧城市安全策略中……要同步的是(同步检测) 二、多选 11、信息安全保障体系模型的主要特征是(强调综合保障的概念、强调安全特征) 12、信息系统总是存在信息安全问题,……内因包括(全选) 13、大数据集中面临的安全威胁和风险包括(不选网络身份可信机制不完……篡改等现象) 14、信息安全的基本属性包括(全选)
15、智慧城市总体架构的应用层可以细分为(不选关联服务层) 16、对于城市而言,智慧是指……这里的服务主体主要指的是(不选组织) 17、智慧城市的安全策略包括(全选) 18、智慧城市信息安全技术体系的要素包括(不选安全权限管理) 19、在一般信息系统中,典型的信息安全风险包括(全选) 20、智慧城市的特点包括(全选) 三、判断 21、智慧城市将机器与机器之间……人与人之间的……通信(错) 22、智慧城市信息安全管理体系……和技术管理法规规范。(对) 23、智慧城市是全球范围内……建立相应的城市试点进行实践(对) 24、2013年,住建部……通知(对) 25、智慧城市是以通讯技术……让城市成为……中枢(对) 26、信息系统安全保障是……相应的安全保障策略(对) 27、智慧城市的建设……高度集中与融合(对) 28、云计算主要强调云布局的计算方式,在基础……部署的快捷(对) 29、智慧城市信息安全保障的目标是……保障智慧城市的安全(对) 30、智慧城市中存在大量的信息系统,必然要在建设过程中解决信息安全问题(对)
信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0261
信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 二、ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。