信息安全管理手册
(ISO27001-2013)
目录
0.1、信息安全管理手册发布令
0.2、管理者代表任命书
0.3、公司简介
0.4、信息安全方针
0.5、信息安全目标
1、范围
2、引用标准
3、术语和定义
4、信息安全管理体系
4.1 组织环境
4.2 理解相关方的需求和期望
4.3 明确信息安全管理体系的范围
4.4 信息安全管理体系
5、领导
5.1 领导和承诺
5.2 方针
5.3 组织角色、职责和权力
6、计划
6.1 处置风险和机遇
6.2 信息安全目标的计划和实现
7、支持
7.1 资源
7.2 能力
7.3 意识
7.4 沟通
7.5 文档要求
8、实施
8.1 运行计划和控制
8.2 信息安全风险评估
8.3 信息安全风险处置
9、绩效评价
9.1 监视、测量、分析和评价
9.2 内部审核
9.3 管理评审
10、改进
10.1 不符合项和纠正措施
10.2 持续改进
附件:
附件一:信息安全职能分配表
附件二:信息安全职责
附件三:信息安全管理体系程序文件清单
附件四:信息安全管理体系作业指导书文件清单
0.1 信息安全管理手册发布令
为提高XXXXX科技有限公司的信息安全管理水平,保障企业经营、服务和日常管理活动,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故,公司开展贯彻ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》标准的工作,建立文件化的信息安全管理体系,制定了XXXXX科技有限公司《信息安全管理手册》(以下简称手册)。
本手册是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、管理目标,实现信息安全管理体系有效运行、持续改进,是XXXXX科技有限公司信息安全管理工作长期遵循的准则。
全体职工必须严格按照手册的要求,自觉执行管理方针,贯彻实施本手册的各项规定,努力实现XXXXX科技有限公司的管理目标和管理承诺。
本手册自颁布之日起生效执行。
XXXXX科技有限公司总经理:
二〇一六年三月一日
0.2管理者代表任命书
兹委任担任XXXXX科技有限公司ISO27001信息安全管理体系管理者代表。
他将履行以下职责及权限:
1、负责公司ISO27001的推行认证工作,负责组织信息安全管理体系建立、实施和维
持,确保公司的信息安全管理体系运作符合信息安全管理体系标准;
2、信息安全管理体系内部审核的策划、组织及实施;
3、批准信息安全管理体系程序文件;
4、代表公司就信息安全的有关事项和外部进行联络。
总经理:
日期:二〇一六年三月一日
0.3、公司简介
公司组织架构如下图所示:
0.4 信息安全方针
实施风险管理,确保信息安全,保障业务可持续发展。
信息安全方针含义:
a.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。应根据风险评估的结果,采取相应措施,降低风险。
b.在日常企业生产和管理中,对信息安全予以重视,全面识别和分析全部信息资产,系统考虑企业信息系统薄弱点、可能存在的威胁,考虑成本、利益、风险的综合平衡,对资产进行分类保护,以适宜的成本达到系统保护的要求。
c.建立健全信息安全监督和保证体系,明确各级、各岗位的信息安全责任,以人为本,坚持全员、全方位、全过程信息安全管理。通过测量和监控,持续改进,保证信息安全管理体系的有效运行,做到制度执行有记录、记录记载可追溯,最终保障企业生产、经营、管理和服务的持续和安全,实现企业发展目标。
0.5、信息安全目标:
本公司信息安全目标:
1)安全事件发生次数:
重大安全事件目标值:0次/年;较大安全事件目标值:不大于 4次/年;一般安全事件目标值:不大于8次/年。
2)信息泄密次数:
保证各种需要保密的资料(包括电子文档、光盘等)不被泄密,确保秘密、机密
信息不泄漏给非授权人员。信息泄密次数目标值:0次/年
各部门信息安全目标:
1、范围
1.1 总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
1.2 应用
1.2.1覆盖范围
本信息安全管理手册规定了XXXXX科技有限公司信息安全管理体系的建立和管理、管理职责、内部审核、管理评审和体系持续改进等方面内容。
1.2.2删减说明
本信息安全管理手册采用了ISO/IEC27001:2013标准正文的全部内容,对附录A的删减见《适用性声明SoA》。
2、规范性引用文件
ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》
ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实施细则》
3、术语和定义
3.3.1 ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系要求》、ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实施细则》规定的术语和定义适用于本《信息安全管理手册》。
3.3.2 本组织、本公司、我司:指XXXXX科技有限公司。
4、信息安全管理体系
4.1 组织环境
组织外部环境包括如下几个方面,但并不局限于此:
——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境,无论是国际、国内、区域或地方;
——影响组织目标的主要驱动因素和发展趋势;
——外部利益相关者的观点和价值观。
组织内部环境包括如下几个方面,但并不局限于此:
——资源与知识的理解能力(如:资本、时间、人力、流程、系统和技术);
——信息系统、信息流动以及决策过程(包括正式和非正式的);
——内部利益相关者;
——政策,为实现的目标及战略;
——观念、价值观、文化;
——组织通过的标准以及参考模型;
以上相关因素将影响公司实现信息安全管理体系的预期成果。
4.2 理解相关方的需求和期望
a)与本公司信息安全管理体系有关的相关方有:供方、合同方、顾客及其他第三方访问者。
b) 各相关方对我司的信息安全需求,包括了信息安全相关法律法规要求和合同规定的义务。
4.3 本公司信息安全管理体系的范围和边界
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a)业务范围:的设计开发和服务的信息安全管理活动;
b)信息系统范围:所述活动、系统及支持性系统包含的全部信息资产;
c)组织范围:与所述业务有关的部门和所有员工;
d)地理范围:。
4.4 信息安全管理体系
本公司按照ISO/IEC 27001:2013《信息技术-安全技术-信息安全管理体系-要求》规定,参照ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
5 领导
5.1 领导和承诺
本公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺:
a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标;
b) 确保信息安全管理体系要求集成到组织的管理流程;
c) 确保提供信息安全管理体系需要的各项资源;
d) 传达信息安全管理的重要性及信息安全管理体系要求;
e) 确保信息安全管理体系实现其预期目标;
f) 指导和支持信息安全团队;
g) 促使持续改进;
h) 支持其他相关的管理者在其职责范围内履行管理职责。
5.2 方针
为了满足适用法律法规及相关方要求,维持公司经营和管理的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了ISMS 方针,见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求:
1)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
2)考虑业务及法律或法规的要求,及合同的安全义务;
3)与组织战略和风险管理相一致的环境下,建立和保持ISMS;
4)建立了风险评价的准则;
5)经最高管理者批准。
5.3 组织角色、职责和权力
5.3.1信息安全组织机构
本公司成立了由最高管理者、管理者代表及各部门负责人组成的信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺,负责制订、落实信息安全管理工作计划,建立健全企业的信息安全管理体系,保持其有效、持续运行。
本公司采取相关部门代表组成的运行分析会议的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针;
b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
5.3.2信息安全职责和权限
本公司总经理为信息安全最高管理者,对信息安全全面负责,主要包括:
a) 组织制定信息安全方针及目标,任命管理者代表,明确管理者代表的职责和权限。
b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c)为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行
信息安全保密义务;
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
6.1 处置风险和机遇
6.1.1总则
为实现公司信息安全管理体系方针和目标,我司参考组织环境中的问题和相关方的需求和,来决定需要被处置的风险和机遇:
a) 确保信息安全管理体系可以实现其预期目标;
b) 避免或减少不良影响;
c) 实现持续改进。
公司对以下方面进行规划:
a) 处置风险和机遇的行动;
b) 如何
1) 将实施行动整合到信息安全管理体系流程中;
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
信息安全风险评估的流程见图2.风险评估流程图。
公司实施信息安全风险评估流程,从而:
a) 建立和维护信息安全风险标准,包括:
1) 风险接受标准;
2) 实施信息安全风险评估的标准;
b) 确保信息安全风险评估活动产生一致性,产生有效的和可比较的结果;
c) 识别信息安全风险:
1) 在信息安全管理体系范围内,通过信息安全风险评估流程,识别由于信息的机密性、完整性和可用性的丧失带来的风险;
2) 识别风险的属主;
d) 分析信息安全风险:
1) 评估在信息安全风险评估中识别的风险产生的潜在后果;
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性;
3) 确定风险的等级;
e) 评价信息安全风险:
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较;
2) 根据风险等级确定风险处置的优先级。
f) 组织保留有关信息安全风险评估的过程文档。
6.1.3 信息安全风险处置
公司根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)采用适当的内部控制措施;
b)接受风险(不可能将所有风险降低为零);
c)避免风险(如物理隔离);
d)转移风险(如将风险转移给保险者、供方、分包商)。
控制目标及控制措施的选择原则来源于ISO/IEC 27001:2013附录A,具体控制措施参考ISO/IEC 27002:2013《信息技术-安全技术-信息安全管理实用规则》
组织保留信息安全风险处置的过程文档。
6.2 信息安全目标的计划和实现
本公司建立不同职能及层级的信息安全目标。详见本手册0.5章内容。此信息安全目标
应:
a) 与信息安全方针一致;
b) 可度量(如果可操作);
c) 考虑适用的信息安全要求,以及风险评估和风险处置结果;
d) 得到沟通;
e) 及时更新。
信息安全目标以文档化形式保留。在规划如何实现信息安全目标时,公司明确:
a) 要做什么;
b) 需要什么资源;
c) 谁来负责;
d) 什么时候完成;
e) 如何评价结果。
7.1 资源
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:
a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系;
b) 确保信息安全程序支持业务要求;
c) 识别并指出法律法规要求和合同安全责任;
d) 通过正确应用所实施的所有控制来保持充分的安全;
e) 必要时进行评审,并对评审的结果采取适当措施;
f) 需要时,改进信息安全管理体系的有效性。
7.2 能力
公司制定并实施《人力资源安全管理程序》文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如
何为实现信息安全管理体系目标做出贡献。
7.3 意识
公司员工应理解:
a) 信息安全方针;
b) 个人对于实现信息安全管理的重要性,提高组织信息安全绩效的收益;
c) 不符合信息安全管理体系要求所造成的影响。
7.4 沟通
公司制定《信息沟通协调管理规范》,以明确与信息安全管理体系相关的内、外部沟通需求,包括:
a) 沟通什么;
b) 何时沟通;
c) 和谁沟通;
d) 谁应该沟通;
e) 哪种沟通过程有效。
7.5 文档要求
7.5.1 综述
组织的信息安全管理体系包括:
a) 符合ISO/IEC27001:2013标准的文件包括:信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件;
b) 组织所明确的,表明信息安全管理体系有效性的必要的记录文档。
7.5.2创建和更新
公司制定并实施《文件控制程序》,对信息安全管理体系所要求的文件进行管理,以确定:
a)识别和描述(例如:标题、日期、作者和版本号);
b)格式(例如:语言、软件版本和图形)与介质(例如:纸质、电子);
c)适宜性和充分性经过评审。
7.5.3文档控制
公司制定并实施《文件控制程序》,对信息安全管理体系所要求的文件进行管理。以确保:
a) 在需要的时间和场合可用;
b)文档得到充分保护(例如:防止泄密、不当使用或丧失完整性)。
文档控制应保证:
a)文件发布前得到批准,以确保文件是充分的;
b)必要时对文件进行评审、更新并再次批准;
c)确保文件的更改和现行修订状态得到识别;
d)确保在使用时,可获得相关文件的最新版本;
e)确保文件保持清晰、易于识别;
f)确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g)确保外来文件得到识别;
h)确保文件的分发得到控制;
i)防止作废文件的非预期使用;
j)若因任何目的需保留作废文件时,应对其进行适当的标识。
8 实施
8.1 运行计划和控制
为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b)为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力;
f)对信息安全体系的运作进行管理;
g)对信息安全所需资源进行管理;
h)实施控制程序,对信息安全事故(或征兆)进行迅速反应。
公司保留以上必要的过程文档信息,以表明相关过程已按照计划执行。控制计划更改,并审核计划变更的影响,如有必要采取措施减少不利影响。确保外包过程受控。
8.2 信息安全风险评估
8.2.1识别风险
在已确定的信息安全管理体系范围内,按照计划,或者在重大改变提出或发生时进行信息安全风险评估,本公司执行《信息安全风险评估控制程序》,对所有的资产进行列表识别,并识别这些资产的所有者。资产包括硬件与设施、软件与系统、数据与文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,形成《资产清单》。
同时,根据《信息安全风险评估控制程序》,识别对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
8.2.2分析和评价风险
本公司按《信息安全风险评估控制程序》,分析和评价风险:
a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b)针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c)根据《信息安全风险评估控制程序》计算风险等级;
d)根据《信息安全风险评估控制程序》中的《风险接受准则》,判断风险为可接受或需要处理。
8.3 信息安全风险处置
公司根据风险评估的结果,形成了《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置,并保持处置的记录。对风险处理后的剩余风险,得到了管理者的批准。
9 绩效评价
9.1 监视、测量、分析和评价
本公司通过实施《监视、测量、分析和评价控制程序》以监视、测量、分析和评价公司信息安全管理状况结果,以实现:
a)及时发现处理结果中的错误、信息安全体系的事故和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验;
9.2 内部审核
公司建立《内部审核控制程序》。《内部审核控制程序》包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔(两次内部审核的间隔不得超过12个月)进行内部信息安全管理体系审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:
a) 符合本标准的要求和相关法律法规的要求;
b) 符合已识别的信息安全要求;
c) 得到有效地实施和维护;
d) 按预期执行。
内部审核的过程文档应清晰地形成记录,并加以保持。
9.3 管理评审
公司建立并实施《管理评审控制程序》,公司管理者应按《管理评审控制程序》规定的时间间隔(两次管理评审的间隔不得超过12个月)评审信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。
管理评审的结果应清晰地形成文件,记录应加以保持。
10 改进
10.1 不符合和纠正措施
公司建立并实施《纠正与预防控制程序》,当出现不符合情况时:
a) 对不符合情况采取措施,如:
1) 采取措施,以控制和改正它;
2) 处置影响;
b) 明确必要的控制措施,以消除不符合情况产生的原因,确保它不会再发生或在其他地方发生,通过:
1) 评审不符合项;
2) 明确不符合项产生的原因;
3) 明确是否存在或可能发生类似的不符合项;
c) 采取必要的措施;
d) 评审已采取的改正措施的有效性;
e) 必要时改进信息安全管理体系。
纠正措施应与所发生的不符合的影响程度相适应。组织应保留以下文档信息作为证据:
f) 不符合情况的性质和所采取的后续行动;
g) 纠正措施的结果。
10.2 持续改进
本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正和预防措施以及管理评审,不断完善信息安全管理体系的适宜性、充分性和有效性。
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
信息安全管理手册iso27001 信息安全管理手册V1.0 版本号:
信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
信息安全及信息技术服务管理体系 保密协议 甲方: 乙方:北京新纪源认证有限公司 依据工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》及各地方和有关主管部门/监管部门,认证认可相关规定对信息安全,信息技术服务管理体系认证的要求,为保证申请认证组织信息资产的安全,双方签订此保密协议。具体条款如下: 1、甲方应填写“保密和敏感信息资产和区域声明表”,明确甲方的重要敏感信息和区域,并明确乙方的接触要求; 2、乙方审核组将严格遵守保密承诺。审核组在现场审核过程中不以任何形式记录甲方的保密或敏感信息。审核组在离开审核现场前,接受甲方的检查和确认审核组携带的文件、资料和设备中未夹带甲方的任何保密或敏感信息; 3、未经甲方的书面授权,乙方及其审核组不得将甲方在经营、生产、技术、管理等方面的非公开信息以任何方式泄密给第三方但下列情况除外: ●甲方已公开的信息,或在提供时已为公众所知的信息,或虽不为公众所知但已不再是秘密的信息; ●得到甲方的书面同意; ●应法律要求时,但发生该等情形时应及时通知甲方。 4、乙方所有保密义务及于乙方内部人员及为乙方工作的外部人员,上述人员已经与乙方签署了保密协议或具有保密条款的法律文件。如甲方要求,我方直接接触客户组织信息的认证人员(如审核组成员)可按照甲方的保密要求与甲方签署保密协议。 5、本协议作为认证合同的附件,与认证合同具有同等法律效力; 6、本协议一式两份,双方各执一份,经双方签章后生效,且不因认证协议的解除而失效。 甲方(名称加盖单位公章): 甲方法定代表人或授权人: 日期:年月日 乙方(名称加盖单位公章):北京新纪源认证有限公司 乙方法定代表人或授权人: 日期:年月日 1
信息安全技术互联网交互式服务安全保护管理 规定 文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
锐理信息安全管理制度 目录 1.安全管理制度要求 总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求
法律责任 互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 关键岗位人员 关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训;
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处理制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯
2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
信息安全演讲稿 篇一:信息安全演讲稿 呵呵,前面都是文科生的演讲,下面是理科生的。尊敬的各位领导、同事们:大家好,很高兴能参加这次演讲,生命是如此的精彩,生命是如此的辉煌,不过今天我演讲的内容里没有生死间的大悲恸,也没有平平仄平平的华丽辞藻,我演讲题目是:互联, 精彩而危险的世界。 XX年,中国开发联盟csdn,中国最大的开发者技术社区,密码泄漏,超1亿用户密码 被泄,黑客在上公开了一部分用户信息数据库,导致600余万个注册邮箱账号和与之对应的 明文密码泄露。这次事件以后,又陆续曝出了多玩、人人、搜狗浏览器等安全事件。唔前面的案例大家没有亲身体会,说个大家接触过的,考过职称考试的人都知道,有时候会被杂志社打电话问到要不要发表职称论文,呵呵,这个大家都有经验吧,恩,很明显你 的电话信息泄露了呀,怎么泄露的呢,考职称考试要上注册报名缴费吧?报名时电话号码 是必填选项,呃,基本就是这么泄露的。当然很可能其他信息也泄露了。下面进入正题,我的演讲的内容分为四个版块:什么叫络安全、络安全的重要性、
络安全的现状、如何防范络安全、打造一个和谐络。首先讲一下什么是我们这里所讲的“络安全”,络安全呢,就是指络系统的硬件、 软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露, 系统连续可靠正常地运行,络服务不中断。络安全是一门涉及计算机科学、络技术、通信技术、密码技术、信息安全技术、应 用数学、数论、信息论等多种学科的综合性学科。是个高难度的行业啊。有人说过,“谁掌握领了信息,控制了络,谁将拥有整个世界。”这句话不完全对啊。 不过这点在股市里体现的挺好。从此可见掌握络是何等的重要,络安全的重要性也从中 体现出来。 在大量络应用中,安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。 在一个开放的络环境中,大量信息在上流动,这为不法分子提供了攻击目标。他们利用 不同的攻击手段,获得访问或修改在中流动的敏感信息,闯入用户或政府部门的计算机系 统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的络诈骗,其“低成本和高
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责:
a) 建立服务管理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
第三方服务安全管理程序 1 目的 保护组织的信息系统被外部方访问时的安全,保证公司信息系统安全水平不会因为外部方访问、提供产品和服务而降低;及时、有效、可控的管理外部方所提供的服务质量、服务交付和安全状况,规范公司外部方服务管理相关的流程及安全要求。 2 适用范围 适用于对所有访问公司信息系统外部方的安全管理,以及对外部方服务的管理。 3 术语和定义 第三方服务:因业务或其它原因,对组织信息系统进行访问、操作、服务的外部组织。 4 职责和权限 4.1 信息安全领导办公室 负责对组织所有外部方进行统一管理; 识别外部方访问或服务时的风险; 负责对第三方访问机密信息访问的审批和管理。 4.2 各部门 协助信息安全领导办公室做好对外部方服务的管理和监督。 5 相关活动 5.1 第三方服务需求确定 根据业务工作需要,由各部门提出第三方服务需求,并由XXX部汇总后报信息安全领导办公室审批。 服务需求内容除服务内容、水平和要求外,还应明确是否涉及访问公司的机密级信息。5.2 第三方服务安全管理 5.3.1公司与第三方服务方应签订相关服务协议,在协议中明确服务内容、服务水平、信息安全要求等内容。
5.3.2对组织的秘密信息一般不允许外部方进行访问。特殊情况下,必须经信息安全领导办公室审核后,经副总经理批准后方可访问。 在新建、改建、扩建信息系统时,如确需对公司的信息系统进行访问,应由接待部门提出申请,经信息安全领导办公室批准后,仅限访问公司的内部(含)以下内部的信息。 接等部门在提出申请时,需要明确如下内容:外部方的基本情况、访问的范围、所涉及公司内部信息的安全级别、访问信息系统的时限等。 信息安全领导办公室对提出的申请,进行评审,识别存在的安全风险,必要时制定相应的控制措施。如: ●对外部方所能访问的信息进行限制; ●对外部方访问公司信息系统的过程进行监控; ●与外部方签署安全保密协议。 5.3.3信息系统的日常维护由公司的XXX部门负责,如需要外部方进行技术支持,先提出申请,经批准后方可实施,且必须有公司人员现场陪同,防止信息泄露。 5.3.4第三方服务常驻人员必须经公司的人力资源部审核,并与公司签订相关保密协议。 5.3.5第三方对信息系统的访问,信息系统管理部门应做好监控记录并予以保存。 5.3 第三方服务的评审和变更 公司每年对第三方服务进行一次评审。 由于某种原因,需要更换第三方服务,由相关部门提出申请,经信息安全领导办公室审核后实施。 变更后的第三方服务按本程序5.2进行安全管理。 6 相关文件和记录
网站信息安全保障措施 网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用
补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我校网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责: a) 建立服务管理计划;
b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期: