ISO27001信息安全有效性测量控制程序
1 概述
本文件主要目的是对管理体系中各流程/制度的执行情况进行整体测量,以衡量管理体系在一定阶段内的有效性水平,为公司领导的工作安排和决策提供参考。
2 过程
2.1 责任部门
由综合管理部总体负责有效性测量的策划和实施工作。
2.2 有效性测量目标及评分原则
由综合管理部制定的有效性测量的目标和评分原则。测量目标应包括下列主要流程的实际运行情况以及SLA达成率、客户满意度情况等。详细测量目标和评分原则参考《有效性测量目标及评分原则》。
《管理手册》
《管理体系策划》
《适用性声明》
《文件管理手册》
《记录和资料管理手册》
《管理评审控制程序》
《内部审核控制程序》
《纠正和预防措施控制程序》
《不合格品控制程序》
《日常检查制度》
《流程评审与改进程序》
《新服务和服务变更管理手册》
《服务级别管理手册》
《服务报告管理手册》
《能力和可用性管理手册》
《业务连续性管理手册》
《财务管理手册》
《供应商管理手册》
《事件管理手册》
《问题管理手册》
《变更与发布管理手册》
《配置管理手册》
《资产管理手册》
《信息安全风险管理手册》
《物理环境安全管理手册》
《用户密码管理手册》
《存储介质管理手册》
《设备管理手册》
《防病毒管理手册》
《网络管理手册》
《软件管理手册》
《人力资源管理规范实施细则》
《符合性管理手册》
《员工手册》
2.3 有效性测量周期
一般情况有效性测量每半年进行一次。当实际需要时可以临时进行有效性测量。
2.4 有效性测量结果汇报与审批
综合管理部应将有效性测量结果汇报给管理者代表进行审核,由最高管理者进行审批。
3 相关文件
《有效性测量目标及评分原则》
IT服务与信息安全
有效性测量目标及评分
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
城云科技(杭州)有限公司信息安全风险管理程序
目录
第一章目的 第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。 第二章范围 第二条范围:适用于风险评估组开展各项信息安全风险评估工作。 第三章名词解释 第三条资产 对组织具有价值的信息或资源,是安全策略保护的对象。 第四条资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 (一)机密性(Confidentiality):确保只有经过授权的人才能访问信息; (二)完整性(Integrality):保护信息和信息的处理方法准确而完整; (三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条信息安全评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储
的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条残余风险 采取了安全措施后,信息系统仍然可能存在的风险。 第四章风险评估方法 第十条风险管理模型 图1 风险管理模型 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系: (一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价
信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针; ? 确定信息安全管理组织架构、角色和职责划分; ? 负责信息安全小组之间的协调,内部和外部的沟通; ? 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略; ? 组织安全管理技术责任人进行风险评估; ? 组织安全管理技术责任人制定信息安全改进建议和控制措施; ? 编写风险改进计划; 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控; ? 信息安全风险评估;
? 确定信息安全控制措施; ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的,均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的,属于重大信息安全事件。 a) 组织机密泄露; b) 导致业务中断十小时以上; c) 造成机房设备毁灭的火灾; d) 损失在十万元人民币(含)以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求,确认代码管理相关信息系统的安全需求; ? 对代码管理相关信息系统进行信息安全风险评估,预测风险类型、
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息安全风险评估项目流程 一、售前方案阶段 1.1、工作说明 技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用) 1.2、输出文档 《XXX项目XXX解决方案》 输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。 1.3、注意事项 ?销售需派发内部工单(售前技术支持) ?输出文档均一式三份(下同) 二、派发项目工单 2.1、工作说明 销售谈下项目后向技术部派发项目工单,技术部成立项目小
组,指定项目实施经理和实施人员。 三、项目启动会议 3.1、工作说明 ?销售和项目经理与甲方召开项目启动会议,确定各自接口负 责人。 ?要求甲方按合同范围提供《资产表》,确定扫描评估范围、 人工评估范围和渗透测试范围。 ?请甲方给所有资产赋值(双方确认资产赋值) ?请甲方指定安全评估调查(访谈)人员 3.2、输出文档 《XXX项目启动会议记要》 客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项 ?资产数量正负不超过15%;给资产编排序号,以方便事后 检查。 ?给人工评估资产做标记,以方便事后检查。 ?资产值是评估报告的重要数据。
?销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以 便项目小组分析制定项目计划使用。 四、项目前期准备 4.1、工作说明 ?准备项目实施PPT,人工评估原始文档(对象评估文档), 扫描工具、渗透测试工具、保密协议和授权书 ?项目小组与销售根据项目内容和范围制定项目实施计划。 4.2、输出文档 《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项 ?如无资产表和拓扑图需到现场调查后再制定项目实施计划和 工作进度安排。 ?项目实施小组与客户约定进场时间。 ?保密协议和授权书均需双方负责人签字并加盖公章。 ?保密协议需项目双方参与人员签字
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
信息安全事件管理程序 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针; 确定信息安全管理组织架构、角色和职责划分; 负责信息安全小组之间的协调, 内部和外部的沟通; 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 负责制定组织中的安全策略; 组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施; 编写风险改进计划; 3.3 信息安全管理技术责任人 负责信息安全日常监控; 信息安全风险评估; 确定信息安全控制措施; 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的, 均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的, 属于重大信息安全事件。 a) 组织机密泄露;
金陵石化公司一体化管理体系 信息管理与信息安全管理程序 文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案, 制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1.工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共
同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。 分级负责:按照谁主管谁负责、谁运营谁负责、谁使用谁负责”以及条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(I级)、重大(H级)、较大(皿级)、一般(W级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对皿级或W级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为H级或I
文件编号 xxx-II-0005 版号 A 页码1/4 1.目的 为加强XXX集团股份有限公司(以下简称“公司”)的信息设备管理,明确岗位职责,规范操作流程,维护网络正常运行,确保计算机信息安全,特制订本办法。 2.适用范围 在企业中组织建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理程序,提供必要的技术条件和设备设施保障,识别和管理可能存在的信息安全风险,确保信息安全事件的有效处理。 3.职责 信息中心负责公司两化融合信息安全管理工作,包括网络安全、终端安全、数据安全、机房安全和第三方人员管理。 3.1负责公司网络安全和运维工作,对公司信息网络的运行管理进行维护和检查。 3.2负责公司终端安全管理,为公司终端安全管理建设提供指导,提高对于分散终端的安全管理能力,规范系统中终端用户的行为,降低来自终端的安全威胁。 3.3负责公司电子数据安全管理,其中特指对主要信息系统相关的重要数据,采取适当的保护措施。 3.4负责机房安全管理,对可能影响机房安全的各种因素进行控制,确保机房内计算机系统、网络设备以及其他设施的正常运行,保障机房工作人员的人身安全。 3.5负责第三方人员安全管理,减少第三方人员对信息系统带来的安全风险。 4.正文
4.1 运行 4.1.1信息安全风险评估计划和控制 信息中心对信息安全风险评估工作进行规划和控制,并实施风险处置计划,确保信息安全目标的达成。 4.1.2 信息安全风险评估实施 公司每年开展 1 次信息资产识别和信息安全风险评估的工作,当出现下列情况时,管理者代表可以决定增加风险评估的次数: 公司的信息安全风险评估工作在公司整体风险管理的框架下进行,与公司整体风险管理的年度工作同步进行,评估所发现的风险作为公司整体风险的一部分。 4.1.3 信息安全风险控制措施实施 公司针对评估出的信息安全风险应制定并实施信息安全风险处置计划,并保留信息安全风险处置结果文档化信息以作为证据。 4.2安全管控 4.2.1网络安全管理 信息网络指公司的网络系统和网络应用系统等,包括网络服务系统、网络安全设施、网络存储系统等。 公司信息网络设备的管理与部署在网络中应合理部署入侵保护系统,入侵保护系统要求覆盖主要网络边界与主要服务器。
XXXXXXXXX有限责任公司信息安全风险管理程序 [XXXX-B-01] V1.0
变更履历
1 目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2 范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3 职责 3.1 综合部 负责牵头成立风险评估小组。 3.2 风险评估小组 负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。 3.3 各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4 相关文件 《信息安全管理手册》 《商业秘密管理程序》 5 程序 5.1 风险评估前准备 5.1.1 成立风险评估小组 综合部牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划 风险评估小组制定《信息安全风险评估计划》,下发各部门。 5.2 资产赋值 5.2.1 部门赋值 各部门风险评估小组成员识别本部门资产,并进行资产赋值。 5.2.2 赋值计算 资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析,并在此基础上得出综合结果的过程。 5.2.3 保密性(C)赋值 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。 保密性分类赋值方法 5.2.4 完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。 完整性(I)赋值的方法
信息科技部 信息安全风险评估控制程序 A版 2011年6月1日发布 2011年6月1日实施目录 1 目的 3 2 范围 3 3 相关文件 3 4 职责 3 5 程序 3 6 记录 5 附表1 信息资产分类参考目录 6 附表2 重要信息资产判断准则 10 附表3 信息安全威胁参考表 12 附表4 信息安全薄弱点参考表(按ISO/IEC17799分类) 13 附表5 事件发生可能性等级对照表 16
附表6 事件可能影响程度等级对照表 17 附表7 信息安全风险矩阵计算表 18 附表8 信息安全风险接受准则 19 文件修订历史记录 1 目的 本程序规定了信息科技部所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估认知信息科技部的信息安全风险,在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持信息科技部持续性发展,以满足信息科技部信息安全管理方针的要求。 2 范围 本程序适用于信息科技部信息安全管理体系(ISMS)范围内信息安全风险评估活动。
3 相关文件 4 职责 4.1 管理者代表负责组织成立风险评估小组。 4.2 风险评估小组负责编制信息安全风险评估计划,确认评估结果,形成《信息安全风险评估报告》。 5 程序 5.1 风险评估前准备 5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含:负责信息安全管理体系的成员。 5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。 5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。 5.2信息资产的识别 5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》,同时提出信息资产识别的要求。 5.2.2 各内审员参考《信息资产分类参考目录》识别信息科技部信息资产,并填写《信息资产识别表》,根据《重要信息资产判断准则》判断其是否是重要信息资产,经该区域负责人审核确认后,在风险评估计划规定的时间内提交风险评估小组审核汇总。 5.2.3 风险评估小组对各内审员填写的《信息资产识别表》进行审核,确保没有遗漏重要的信息资产,形成信息科技部的《重要信息资产清单》,并交由文档管理员处存档。