信息安全管理体系规范与使用指南
英国标准——BS7799-2:2002
信息安全治理体系——规范与使用指南
目录
前言
0 介绍
0.1总则
0.2过程方法
0.0.3其他治理体系的兼容性
1 范畴
1.1概要
1.2应用
2标准参考
3名词与定义
4信息安全治理体系要求
4.1总则
4.2建立和治理信息安全治理体系
4.2.1建立信息安全治理体系
4.2.2实施和运营(对比中文ISO9001确认)?信息安全治理体系4.2.3监控和评审信息安全治理体系
4.2.4爱护和改进信息安全治理体系
4.3文件化要求
4.3.1总则
4.3.2文件操纵
4.3.3记录操纵
5治理职责
5.1治理承诺?(对比中文ISO9001确认)
5.2资源治理
5.2.1资源提供
5.2.2培训、意识和能力
6信息安全治理体系治理评审
6.1总则
6.2评审输入?(对比中文ISO9001确认)
6.3评审输出?(对比中文IS9001确认)
7信息安全治理体系改进
7.1连续改进
7.2纠正措施
7.3预防措施
附件A(有关标准的)操纵目标和操纵措施
A.1介绍
A.2最佳实践指南
A.3安全方针
A.4组织安全
A.5资产分级和操纵
A.6人事安全
A.7实体和环境安全
A.8通信与运营安全
A.9访问操纵
A.10系统开发和爱护
A.11业务连续性治理
A.12符合
附件B(情报性的)本标准使用指南
B1概况
B.1.1PDCA模型
B.1.2打算与实施
B.1.3检查与改进
B.1.4操纵措施小结
B2打算时期
B.2.1介绍
B.2.2信息安全方针
B.2.3信息安全治理体系范畴
B.2.4风险识别与评估
B2.5风险处理打算
B3实施时期
B.3.1介绍
B.3.2资源、培训和意识
B.3.3风险处理
B4实施时期
B.4.1介绍
B.4.2常规检查
B.4.3自我监督程序
B.4.4从其它事件中学习
B.4.5审核
B.4.6治理评审
B.4.7趋势分析
B5改进时期
B.5.1介绍
B.5.2不符合项
B.5.3纠正和预防措施
B.5.4OECD原则和BS7799-2
附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对比
0 介绍
0.1 总则
本标准的目的是为治理者和他们的职员们提供建立和治理一个有效的信息安全治理体系(信息安全治理体系)有模型。采纳信息安全治理体系应当是一项组织的战略决策。一个组织信息安全治理体系的设计和实施受运营需求、具体目标、安全需求、所采纳的过程及该组织的
规模和结构的阻碍。上述因素和他们的支持过程会不断发生变化。期望简单的情形使用简单的信息安全解决方
案。
本标准能用于内部、外部包括认证组织使用,评定一个组织符合其本身的需要及客户和法律的要求的能力。
0.2过程方法
本标准鼓舞采纳过程的方法建立、实施、和改进组织的信息安全治理体系的有效性。
为使组织有效动作,必须识别和治理众多相互关联的活动。通过使用资源和治理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直截了当形成了下一个过程的输入。组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其惯例,课程只为:“过程方法”。
过程的方法鼓舞使用者强调以下方面的重要性:
a)a)明白得业务动作对信息安全的需求和建立信息安全方针和目标的需要;
b)b)在全面治理组织业务风险的环境下实施和动作操纵措施;
c)c)监控和评审信息安全治理体系的有效性和绩效;
d)d)在客观的测量,连续改进过程。
本标准采纳的模型确实是说众所周知的“Plan策划-Do实施-Check检查-Act处置”(PDCA)模型,适用于所有信息安全治理体系的过程。图一展现信息安全治理体系如何样考虑输入利益相关方的住处安全需求和期望,通过必要的行动措施和过程,产生信息安全结果(即:治理状态下的信息安全),满足那些需要和期望。图一同时展现了4、5、6和7章中所提出的过程联系。
例1
一个需求是信息安全事故不要引起组织的财务缺失和/或引起高层主管的尴尬。
例2
一个期望能够是假如严峻的事故发生-如:组织的电子商务网站被黑客入侵—将有被培训过的职员通过适用的程序减少其阻碍。
注:名词“程序”,从传统来讲,用在信息安全方面意味着职职员作的过程,而不是运算机或其它电子概念。
PDCA模型应用与信息安全治理体系过程
检查CHECK 打算(建立信息安全治理体系) 建立与治理风险和改进信息安全有关的安全方针、
目
标、目的、过程和程序,以达到与组织整体方针
和
目标相适应的结果。
实施(实施和动作信息安全治理体系 实施和动作信息安全方针、操纵措施、过程和程
序。
检查(监控和评审信息安全治理体系) 针对安全方针、目标和实践体会等评审和(假如适用)
职测量过程的绩效并向治理层报告结果供评审使用。
改进(爱护和改进信息安全治理体系) 在治理评审的结果的基础上,采取纠正和预防措施以
连续改进信息安全治理体系。
0.3与其他治理体系标准的兼容性
本标准与ISO9001:2000与ISO16949:1996相结合以支持实施和动作安全体系的一致性和整合。
在附件C 中以表格显示BS7799,ISO14001各部分不同条款间的对应关系,本标准使组织能
够联合或整合其信息安全治理体系及相关治理体系的要求。
1 范畴
1.1概要
本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、爱护和改进一个文件化的信息安全治理体系的模型。它规范了对定制实施安全操纵措施以适应不同组织或相关部分的需求。(附录B提供使用规范的指南)。
信息安全治理体系保证足够的和成比例的安全操纵措施以充分爱护信息资产并给与客户和其他利益相关方信心。这将转化为爱护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。
1.2应用
本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。当本标准的任何要求因组织及其产品的特点而不适用时,能够考虑对其进行删减。
除非删减不阻碍组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,
否则不能声称符合本标准。任何能够满足风险同意标准的删减必须证明是正当的并需要提供证据
证明相关风险被负责人员正当地同意。关于条款4,5,6和7的要求的删减不能同意。
2引用标准
ISO9001:2000质量治理体系-要求
ISO/IEC17799:2000信息技术—信息安全治理实践指南
ISO指南73:2001风险治理指南-名词
3名词和定义
从本英国标准的目的动身,以下名词和定义适用。
3.1可用性
保证被授权的使用者需要时能够访问信息及相关资产。[BS ISO/IEC17799:2000] 3.2保密性
保证信息只被授权的人访问。[BS ISO/IEC17799:2000]
3.3信息安全
安全爱护信息的保密性、完整性和可用性
3.4信息安全治理体系(信息安全治理体系)
是整个治理体系的一部分,建立在运营风险的方法上,以建立、实施、动作、监控、评审、
爱护和改进信息安全。
注:治理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。3.5完整性
爱护信息和处理方法的准确和完整。[BS ISO/IEC17799:2000]
3.6风险同意
同意一个风险的决定[ISO Guide 73]
3.7风险分析
系统地使用信息识别来源和估量风险[ISO Guide 73]
3.8风险评估
风险分析和风险评判的整个过程[ISO Guide 73]
3.9风险评判
把估量风险与给出的风险标准相比较,确定风险严峻性的过程。[ISO Guide 73] 3.10风险治理
指导和操纵组织风险的联合行动
3.11风险处理
选择和实施措施以更换风险的处理过程[ISO Guide 73]
3.12适用性声明
描述适用于组织的信息安全治理体系范畴的操纵目标和操纵措施。这些操纵目标和操纵措施是建立在风险评估和处理过程的结论和结果基础上。
4.信息安全治理体系要求
4.1总要求
组织应在整体业务活动和风险的环境下建立、实施、爱护和连续改进文件化的信息安全治理体系。
为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。
4.2建立和治理信息安全治理体系
4.2.1建立信息安全治理体系
组织应:
a)a)应用业务的性质、组织、其方位、资产和技术确定信息安全治理体系的范畴。
b)b)应用组织的业务性质、组织、方位、资产和技术确定信息安全治理体系的方针,
方针应:
1)1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2)2)考虑业务及法律或法规的要求,及合同的安全义务。
3)3)建立组织战略和风险治理的环境,在这种环境下,建立和爱护信息安全治理体系。
4)4)建立风险评判的标准和风险评估定义的结构。
5)5)经治理层批准
c)c)确定风险评估的系统化的方法
识别适用于信息安全治理体系及已识别的信息安全、法律和法规的要求的风
险评估
的方法。为信息安全治理体系建立方针和目标以降低风险至可同意的水平。
确定同意风险的标准和识别可同意风险的水平[见5.1f]
d)d)确定风险:
1)1)在信息安全治理体系的范畴内,识别资产及其责任人
2)2)识别对这些资产的威逼
3)3)识别可能被威逼利用的脆弱性
4)4)别资产失去保密性、完整性和可用性的阻碍
e)e)评判风险
1)1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果;
2)2)评估与这些资产相关的要紧威逼、脆弱点和阻碍造成此类事故发生的现实的可能性和现存的操纵措施;
3)3)估量风险的等级
4)4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理;
f)f)识别和评判供处理风险的可选措施:
可能的行动包括:
1)1)应用合适的操纵措施
2)2)明白并有目的地同意风险,同时这些措施能清晰地满足组织方针和同意风险的标准
3)3)幸免风险;
4)4)转移相关业务风险到其他方面如:保险业,供应商等。
g)g)选择操纵目标和操纵措施处理风险:
应从本标准附件A中列出的操纵目标和操纵措施,选择应该依照风险评估和
风险处理过程的结果调整。
注意:附件A中列出的操纵目标和操纵措施,作为本标准的一部分,并不是所有的操纵目标和措施,组织可能选择另加的操纵措施。
h)h)预备一份适用性声明。从上面4.2.1(g)选择的操纵目标和操纵措施以及被选择的缘故应在适用性声明中文件化。从附件A中剪裁的操纵措施也应加
以记录;
i)i)提议的残余风险应获得治理层批准并授权实施和动作信息安全治理体系。4.2.2实施和运作信息安全治理体系
组织应:
a)a)识别合适的治理行动和确定治理信息安全风险的优先顺序(即:风险处理打算)
-[见条款5];
b)b)实施风险处理打算以达到识别的操纵目标,包括对资金的考虑和落实安全角色和责
任。
c)c)实施在4.2.1(g)选择的操纵目标和措施
d)d)培训和意识[见5.2.2];
e)e)治理动作过程;
f)f)治理资源[见5.2];
g)g)实施程序和其他有能力随时探测和回应安全事故的操纵措施。4.2.3监控和评审信息安全治理体系
组织应:
a)a)执行监控程序和其他操纵措施,以:
1)1)实时探测处理结果中的错误;
2)2)及时识别失败和成功的安全破坏和事故;
3)3)能够使治理层确定分派给职员的或通过信息技术实施的安全活动是否达到了预期的目标;
4)4)确定解决安全破坏的行动是否反映了运营的优先级。
b)b)进行常规的信息安全治理体系有效性的评审(包括符合安全方针和目标,及安全操纵措施的评审)考虑安全评审的结果、事故、来自所有利益相关方
的建议和反馈;
c)c)评审残余风险和可同意风险的水平,考虑以下方面的变化:
1)1)组织
2)2)技术
3)3)业务目标和过程
4)4)识别威逼
5)5)外部事件,如:法律、法规的环境发生变化或社会环境发生变化。
d)d)在打算的时刻段内实施内部信息安全治理体系审核。
e)e)经常进行信息安全治理体系治理评审(至少每年评审一次)以保证信息安全治理体系的范畴仍旧足够,在信息安全检查治理体系过程中的改进措施
已被识别(见条款6信息安全治理体系的治理评审);
f)f)记录所采取的行动和能够阻碍信息安全治理体系的有效性或绩效性的事件[见4.3.4]。
4.2.4爱护和改进信息安全治理体系
组织应经常:
a)a)实施已识别的关于信息安全治理体系的改进措施
b)b)采取合适的纠正和预防措施应用从其他组织的安全体会和组织内学到的知识。
c)c)沟通结果和行动并得到所有参与的相关方的同意。
d)d)确保改进行动达到了预期的目标。
4.3文件要求
4.3.1总则
信息安全治理体系文件应包括:
a)a)文件化的安全方针文件和操纵目标;
b)b)信息安全治理体系范畴[见4.2.1]和程序及支持信息安全治理体系的操纵措施
c)c)风险评估报告[见4.2.1];
d)d)风险处理打算;
e)e)组织需要的文件化的程序以确储存有效地打算运营和对信息安全过程的操纵[见6.1]
f)f)本标准要求的记录[见4.3.4];
g)g)适用性声明
注1:当本标准中显现“文件化的程序”,这意味着建立、文件化、实施和爱护该程序。
注2:SeeISO9001
注3:文件和记录能够用多形式和不同媒体。
4.3.2文件操纵
信息安全治理体系所要求的文件应予以爱护和操纵。应编制文件化的程序,以规定以下方面所需的操纵:
a)a)文件公布前得到批准,以确保文件的充分性;
b)b)必要时对文件进行评审与更新,并再次批准;
c)c)确保文件的更换和现行修订状态得到识别;
d)d)确保在使用处可获得适用文件夹的有关版本;
e)e)确保文件夹保持清晰、易于识别;
f)f)确保外来文件的发放在操纵状态下;
g)g)确保文件的发放在操纵状态下;
h)h)防止作废文件的非预期使用;
i)i)若因任何缘故而保留作废文件时,对这些文件进行适当的标识。4.3.3记录操纵
应建立并保持记录,以提供符合要求和信息安全治理体系的有效运行的证据。记录应当被操纵。
信息安全治理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序,以规定记录的标识、储存、爱护、检索、储存期限和处置所需的操纵。需要一个治理过程确定记录的程度。
应保留4.2概要的过程绩效记录和所有与信息安全治理体系有关的安全事故发生的记录。举例
记录的例子如:访问者的签名簿,审核记录和授权访问记录。
5治理职责
5.1治理承诺
治理层应提供其承诺建立、实施、运行、监控、评审、爱护和改进信息安全治理体系的证据,包括:
a)a)建立信息安全方针;
b)b)确保建立信息安全目标和打算;
c)c)为信息安全确立职位和责任;
d)d)向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及连续改进的需要。
e)e)提供足够的资源以开发、实施,运行和爱护信息安全治理体系[见5.2.1];
f)f)确定可同意风险的水平;
g)g)进行信息安全治理体系的评审[见条款6]。
5.2资源治理
5.2.1提供资源
组织将确定和提供所需的资源,以:
a)a)建立、实施、运行和爱护信息安全治理体系;
b)b)确保信息安全程序支持业务要求;
c)c)识别和强调法律和法规要求及合同的安全义务;
d)d)正确地应用所有实施的操纵措施爱护足够的安全;
e)e)必要时,进行评审,并适当回应这些评审的结果;
f)f)需要时,改进信息安全治理体系的有效性。
5.2.2培训,意识和能力
组织应确保所有被分配信息安全治理体系职责的人员具有能力履行指派的任务。组织应:a)a)确定从事阻碍信息安全治理体系的人员所必要的能力;
b)b)提供能力培训和必要时,聘用有能力的人员满足这些需求;
c)c)评判提供的培训和所采取行动的有效性;
d)d)保持教育、培训、技能、体会和资格的记录[见4.3.3]
组织应确保所有相关的人员明白他们信息安全活动的适当性和重要性以及他们的奉献如何样达成信息安全治理目标.
6 信息安全治理体系的治理评审
6.1总则
治理层应按策划的时刻间隔评审组织的信息安全治理体系,以确保其连续的适宜性、充分性和有效性。评审应包括评判信息安全治理体系改进的机会和变更的需要,包括安全方针和安全目标。评审的结果应清晰地文件化,应保持治理评审的记录[见4.3.3]
6.2评审输入
治理评审的输入应包括以下方面的信息:
a)a)信息安全治理体系审核和评审的结果;
b)b)相关方的反馈;
c)c)能够用于组织改进其信息安全治理体系绩效和有效性的技术,产品或程序;
d)d)预防和纠正措施的状况;
e)e)往常风险评估没有足够强调的脆弱性或威逼;
f)f)以往治理评审的跟踪措施;
g)g)任何可能阻碍信息安全治理体系的变更;
h)h)改进的建议。
6.3评审输出
治理评审的输出应包括以下方面有关的任何决定和措施:
a)a)对信息安全治理体系有效性的改进;
b)b)修改阻碍信息安全的程序,必要时,回应内部或外部可能阻碍信息安全治理体系的事件,包括以下的变更:
1)1)业务要求;
2)2)安全要求;
3)3)业务过程阻碍现存的业务要求;
4)4)法规或法律环境;
5)5)风险的等级和/或可同意风险的水平;
c)c)资源需求。
6.4内部信息安全治理体系审核
组织应按策划的时刻间隔进行内部信息安全治理体系审核,以确定信息安全治理体系的操纵目标、操纵措施、过程和程序是否:
a)a)符合本标准和相关法律法规的要求;
b)b)符合识别的信息安全的要求;
c)c)被有效地实施和爱护;
d)d)达到预想的绩效。
任何审核活动应策划,策划应考虑过程的状况和重要性,审核的范畴以及前次审核的结果。应确定审核的标准,范畴,频次和方法。选择审核员及进行审核应确认审核过程的客观和公平。审核员不应审核他们自己的工作。
应在一个文件化的程序中确定策划和实施审核,报告结果和爱护记录[见4.3.3]的责任及要求. 负责被审核区域的治理者应确保没有延迟地采取措施减少被发觉的不符合及引起不合格的缘故。
改进措施应包括验证采取的措施和报告验证的结果[见条款7]。
7信息安全治理体系改进
7.1连续改进
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和治理评审的信息连续改进信息安全治理体系的有效性。
7.2纠正措施
组织应确定措施,以排除与实施和运行信息安全治理体系有关的不合格的缘故,防止不合格的再发生。应为纠正措施编制形成文件的程序,确定以下的要求:
a)a)识别实施或运行信息安全治理体系中的不合格;
b)b)确定不合格的缘故;
c)c)评判确保不合格不再发生的措施的需求;
d)d)确定和实施所需的纠正措施;
e)e)记录所采取措施的结果[见4.3.3];
f)f)评审所采取的纠正措施。
7.3预防措施
组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的阻碍程序适应。应为预防措施编制形成文件的程序,以规定以下方面的要求:
a)a)识别潜在的不合格及引起不合格的缘故;
b)b)确定和实施所需的预防措施;
c)c)记录所采取措施的结果[见4.3.3];
d)d)评判所采取的预防措施;
纠正措施的优先权应以风险评估的结果为基础确定。
注:预防不合格的措施总是比纠正措施更节约成本。
附录A(引用)
操纵目标和操纵措施
A.1介绍
从A.3到A.12列出的操纵目标和操纵措施是直截了当引用并与BS ISO/IEC 17799:2000条款3到12一致。一表中的清单并不完全,一个组织可能考虑另外必要的操纵目标和操纵措施。在这些表中选择操纵目标和操纵措施是条款4.2.1规定的信息安全治理体系过程的一部分。A.2实践指南规范
BS ISO/IEC 17799:2000条款3至12提供最佳实践的实施建议和指南以支持A.3到A.12规范的操纵措施。
A.4组织安全
A.5资产分类与操纵
信息安全管理规范和操作指南 一、总则 1、为了保证公司信息网络系统的安全,根据有关计算机、网络和信息安全的相关法律、法规和安全规定,结合公司信息网络系统建设的实际情况,特制定本规定。 2、本规定所指的信息网络系统,是指由计算机(包括相关和配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。 3、本规定适用于公司接入到公司网络系统的单机和局域网系统。信息网络系统安全的含义是通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 二、物理安全 1、物理安全是指保护计算机网络设施以及其他媒体免遭地震、水灾、火灾等环境事故与人为操作失误或错误,以及计算机犯罪行为而导致的破坏。网络设备、设施应配备相应的安全保障措施,包括防盗、防毁、防电磁干扰等,并定期或不定期地进行检查。
2、对重要网络设备配备专用电源或电源保护设备,保证其正常运行。 三、计算机的物理安全管理 1、计算机指所有连接到公司信息网络系统的个人计算机、工作站、服务器、网络打印机及各种终端设备; 2、使用人员应爱护计算机及与之相关的网络连接设备(包括网卡、网线、集线器、路由器等),按规定操作,不得对其实施人为损坏; 3、计算机使用人员不得擅自更改网络设置,杜绝一切影响网络正常运行的行为发生; 4、网络中的终端计算机在使用完毕后应及时关闭计算机和电源; 5、客户机使用人员不得利用计算机进行违法活动。 四、紧急情况 1、火灾发生:切断电源,迅速报警,根据火情,选择正确的灭火方式灭火; 2、水灾发生:切断电源,迅速报告有关部门,尽可能地弄清水灾原因,采取关闭阀门、排水、堵漏、防洪等措施; 3、地震发生:切断电源,避免引发短路和火灾; 五、网络系统安全管理 1、网络系统安全的内涵包括四个方面: 1)机密性:确保信息不暴露给未授权的实体或进程;
信息安全管理手册 目录 1、目的和适用范围 (5) 1.1. 目的 (5) 1.2.适用范围 (5) 2、引用标准 (5) 2.1. BS7799-2:2002 《信息安全管理体系--规范及使用指南》 (5) 2.2. ISO/IEC 17799:2000 《信息技术——信息安全管理实施细则》 (5) 3、定义和术语 (5) 3.1. 术语 (5) 3.2.缩写 (5) 4、信息安全管理体系 (5) 4.1.总要求 (5) 4.2. 建立和管理ISMS (6) 4.2.1. 建立ISMS (6) 4.2.1.1.本公司ISMS的范围包括 (6) 4.2.1.2. 本公司ISMS方针的制定考虑了以下方面的要求 (6) 4.2.1.3. 信息安全管理体系方针 (6) 4.2.1.4.风险评估的系统方法 (7) 4.2.1.5.风险识别 (7) 4.2.1.6.评估风险 (7) 4.2.1.7.风险处理方法的识别与评价 (8) 4.2.1.8. 选择控制目标与控制措施 (8)
4.2.1.9.适用性声明SoA (8) 4.2.2. ISMS实施及运作 (8) 4.2.3. ISMS的监督检查与评审 (9) 4.3. 文件要求 (10) 4.3.1.总则 (10) 4.3.2.文件控制 (10) 4.3.3.记录控制 (10) 5、管理职责 (11) 5.1. 管理承诺 (11) 5.2.资源管理 (11) 5.2.1. 提供资源 (11) 5.2.2. 能力、意识和培训 (11) 6、ISMS管理评审 (11) 6.1. 总则 (11) 6.2.管理评审的输入 (12) 6.3.管理评审的输出 (12) 6.4.内部审核 (12) 6.4.1. 内部审核程序 (12) 6.4.2.内部审核需保留以下记录 (13) 6.4.3.以上程序详细内容见 (13) 7、ISMS改善 (13) 7.1. 持续改善 (13) 7.2. 纠正措施 (13)
内容 前言 介绍 1.范围 2.参考 3.定义 4.结构 5.目标 6.背景 7.IT安全管理的概念 7.1方法 7.2目标、策略和原则8.安全原理 8.1特性 8.2威胁 8.3脆弱性 8.4影响 8.5危险 8.6安全保障
8.7存留下的危险 8.8约束 9.IT安全管理进程 9.1配置管理 9.2管理 9.3危险管理 9.4危险分析 9.5责任 9.6安全警告 9.7监控 9.8偶发事件处理计划和灾难性恢复10.模式 11.总结
前言 ISO(国际标准组织)和IEC(国际电子技术委员会)形成了世界指定标准系统ISO或IEC的成员,各个组织通过加入发展国际组织而建立的技术委员会处理科技活动的特殊领域。ISO和IEC技术委员会在共同感兴趣的领域合作。其它的国际组织与ISO和IEC合作,也加入了这项工作,无论是政府还是非政府性。 在信息科技领域,ISO和IEC己建立了一个联合委员会,ISO/IEC JTCI技术委员会,主要的任务就是准备国际标准,但在特殊情况下,技术委员会可能建议公开以下类型的技术报道: ——类型1,当公开的一个国际标准不能得到必要的支持时,无论这个标准花费了多少精力。 ——类型2,当研究对象滞后于技术发展或由于任何其它原因,它有发展前途但在短时期内不可能与国际标准取得一致时。 ——类型3,当技术委员会收到一些不同类型的符合国际标准的数据时。类型1和类型2的技术报告是否被转化为国际标准取决于将其公开3年后的反馈汇报。 类型3的技术报告只有当提供的资料被认为不再合法或有用才有必要再复查。 ISO/IEC TR13335,属于第3种技术类型,由联合技术委员会准备。
XXXX有限公司 信 息 安 全 管 理 手 册
ISO27001:2013 编制:审核:批准:
信息安全管理手册 目录 1. 概述 (5) 1.1 目的 (5) 1.2 适用范围 (5) 1.3 颁布令 (5) 1.4 授权书 (6) 2. 依据文件和术语 (7) 2.1 依据文件 (7) 2.2 术语定义 (7) 3. 裁剪说明 (8) 4. 组织环境 (9) 4.1 组织环境描述 (9) 4.2 信息安全相关方的需求和期望 (12) 4.3 信息安全管理体系范围的确定 (12) 4.4 体系概述 (13) 5. 领导力 (15) 5.1 领导力和承诺 (15) 5.2 信息安全方针和目标 (15) 5.3 组织角色、职责和权限 (16) 6. 策划 (18) 6.1 风险评估和处置............................. 错误!未定义书签。 6.2 目标实现过程 (19) 7. 支持 (21) 7.1 资源提供 (21) 7.2 能力管理 (21) 7.3 意识培训 (21) 7.4 信息安全沟通管理 (20) 7.5 文件记录管理 (22) 8. 运行 (25) 8.1 体系策划与运行 (25) 8.2 风险评估 (25) 8.3 风险处置 (25) 9. 绩效评价 (27) 9.1 监视、测量、分析和评价..................... 错误!未定义书签。
9.2 内部审核 (28) 9.3 管理评审 (29) 10. 改进........................................ 3110.1 不符合和纠正措施 29 10.2 持续改进 (29) 11. 信息安全总体控制 (31) A.5信息安全策略 (31) A.6信息安全组织 (31) A.7人力资源安全 (36) A.8资产管理 (36) A.9访问控制 (36) A.10密码控制 (37) A.11物理和环境安全 (37) A.12操作安全 (37) A.13通信安全 (38) A.14系统获取、开发和维护 (38) A.15供应商关系 (39) A.16信息安全事故 (39) A.17业务连续性管理的信息安全方面 (39) A.18符合性 (39) 附件一:信息安全组织架构映射表 (41) 附件二:信息安全职责分配表 (40)
信息安全管理体系要求 信息安全管理体系是指组织按照一定的管理框架,通过对信息安全进行规划、组织、实施、监控和持续改进,来保护信息系统和相关信息资源的完整性、可用性和机密性的一种管理方案。下面是一些信息安全管理体系的要求。 1. 制定信息安全政策:组织应制定并定期审查和更新其信息安全政策,明确信息安全的目标和要求,并确保其与组织的战略目标和业务需求相一致。 2. 风险管理:组织应开展信息安全风险评估和风险管理活动,确定信息安全风险的源头,评估风险的概率和影响,并采取相应的控制措施来降低风险。 3. 安全运维:组织应建立健全的安全管理体系,明确安全管理职责和权限,并确保安全运维工作的连续性和有效性。 4. 人员安全管理:组织应对从业人员进行合适的安全培训,提高其信息安全意识和技能,制定合适的权限管理制度,限制人员的访问权限,并采取相应的措施防止人为疏忽和错误引起的安全事故。 5. 访问控制:组织应建立访问控制机制,确保信息资源只能被授权的人员访问,限制非授权人员的访问权限,并采取相应的技术手段来防止非法的访问和使用。 6. 通信和网络安全:组织应保护其通信和网络设备的安全,采
取相应的安全措施,防止未经授权的访问、干扰和破坏,并确保通信和网络的机密性、完整性和可用性。 7. 应急管理:组织应制定应急响应计划和应急演练计划,建立应急响应团队,及时应对和处理突发的安全事件和事故,并采取相应的措施预防和减轻安全事件的影响。 8. 合规性和合法性:组织应遵守相关的法律法规和行业标准,确保信息处理活动的合法性和合规性,并通过定期的内部和外部审核来评估和改进信息安全管理体系的有效性。 9. 安全评估和审计:组织应定期进行内部和外部的安全评估和审计,发现和纠正潜在的安全问题,确保信息安全管理体系的有效运行。 10. 持续改进:组织应定期进行信息安全管理体系的评估和改进,根据评估结果制定和实施改进措施,不断提高信息安全管理体系的可持续性和有效性。 总之,信息安全管理体系要求组织建立一套完整的规范和程序,对信息安全进行全面管理和控制,从而保护信息系统和相关信息资源的安全。这些要求是组织实施信息安全管理的基础和指导,有助于提高信息安全管理的效果和效益。11. 技术保障: 组织应选择并实施适用的技术手段来保障信息系统的安全。这包括防火墙、入侵检测系统、加密技术、安全监控系统等。通过技术保障,可以有效地防止网络攻击、恶意软件入侵和其他安全威胁。
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作 主要修订摘要 者
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1 信息安全方针 (5) 1.2 信息安全工作准则 (5) 1.3 职责 (6) 1.4 信息资产的分类规定 (6) 1.5 信息资产的分级(保密级别)规定 (8) 1.6 现行保密级别与原有保密级别对照表 (8) 1.7 信息标识与处置中的角色与职责 (9) 1.8 信息资产标注管理规定 (10) 1.9 允许的信息交换方式 (11) 1.10 信息资产处理和保护要求对应表 (12) 1.11 口令使用策略 (14) 1.12 桌面、屏幕清空策略 (15) 1.13 远程工作安全策略 (15) 1.14 移动办公策略 (16) 1.15 介质的申请、使用、挂失、报废要求 (17) 1.16 信息安全事件管理流程 (19) 1.17 电子邮件安全使用规范 (22) 1.18 设备报废信息安全要求 (23) 1.19 用户注册与权限管理策略 (23) 1.20 用户口令管理 (24) 1.21 终端网络接入准则 (25) 1.22 终端使用安全准则 (25) 1.23 出口防火墙的日常管理规定 (26)
1.24 局域网的日常管理规定 (27) 1.25 集线器、交换机、无线AP的日常管理规定 (27) 1.26 网络专线的日常管理规定 (28) 1.27 信息安全惩戒 (28) 2. 信息安全知识 (30) 2.1 什么是信息? (30) 2.2 什么是信息安全? (30) 2.3 信息安全的三要素 (30) 2.4 什么是信息安全管理体系? (31) 2.5 建立信息安全管理体系的目的 (32) 2.6 信息安全管理的PDCA模式 (33) 2.7 安全管理-风险评估过程 (33) 2.8 信息安全管理体系标准(ISO27001标准家族) (34) 2.9 信息安全控制目标与控制措施 (34)
1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理
信息安全管理手册 1. 序言 信息安全是现代社会的重要组成部分,对于企业、组织和个人来说,保障信息的安全性是一项至关重要的任务。本文档旨在为各种组织提供一个信息安全管理的指南,帮助他们建立和维护有效的信息安全管理体系。 2. 信息安全管理体系 2.1 目标和原则 我们的信息安全管理体系的目标是保护组织的敏感信息,确保其机密性、完整性和可用性,并遵守适用的法律法规和标准。我们将遵循以下原则来实现这些目标: - 领导承诺:组织领导致力于信息安全,并为其提供必要的资源和支持。 - 风险管理:通过风险评估和处理措施来降低信息安全风险。
- 安全意识:提高员工对信息安全的意识和知识,使其能够主动采取安全措施。 - 持续改进:通过监测、评估和改进措施,不断提升信息安全管理体系的效能。 2.2 组织结构和责任 我们将建立一个清晰的组织结构,明确各个岗位和个人在信息安全管理中的责任和职责。组织将指定信息安全管理委员会,负责制定和监督信息安全策略和措施的执行。 2.3 安全控制措施 我们将采取一系列安全控制措施,以保护组织的信息资产。这些措施将包括但不限于: - 访问控制:建立适当的访问控制机制,确保只有授权人员能够访问敏感信息。 - 加密技术:使用加密技术来保护信息在传输和存储过程中的安全。
- 安全审计:建立安全审计机制,对系统和活动进行定期审计,及时发现和纠正潜在的安全漏洞。 - 员工培训:加强员工的信息安全意识培训,使其了解信息安 全政策和操作规范。 3. 应急响应和恢复 我们将建立应急响应和恢复计划,以应对可能的信息安全事件。这包括建立紧急联系渠道、培训应急响应团队、进行应急演练等措施,以确保在事件发生时能够迅速采取行动,并恢复正常的信息系 统运行。 4. 持续改进 我们将定期评估信息安全管理体系的有效性,并根据评估结果 进行持续改进。我们将采集和分析安全事件和违规事件的数据,找 出问题并制定相应的改进计划。 5. 附录
信息安全管理体系建设指南 信息安全对于现代社会的各个领域来说都尤为重要,尤其是在互联 网时代,保护用户的个人信息和企业的机密资料显得至关重要。为了 保障信息安全,建立一个科学有效的信息安全管理体系是必不可少的。本文将就信息安全管理体系建设过程中的关键步骤、要点和注意事项 进行探讨。 一、信息安全管理体系的重要性 随着信息技术的快速发展,信息安全日益成为各个企业关注的焦点。信息安全管理体系可以全面规划和管理信息安全工作,确保数据的完 整性、可用性和保密性。建立信息安全管理体系可以帮助企业降低信 息泄露的风险、增强企业的竞争力。 二、建设信息安全管理体系的步骤 1.策划阶段 策划阶段是信息安全管理体系建设的起点。在这个阶段,企业需要 明确建设目标、制定策略和方案,并确定所需资源和预算。确保管理 层的支持和参与至关重要。 2.实施阶段 实施阶段是信息安全管理体系建设的核心环节。主要包括以下几个 步骤:
(1)风险评估和控制:通过风险评估,确定信息资产的价值和敏感性,并制定相应的风险控制措施。 (2)制定安全策略和政策:根据企业的实际情况,制定相应的安全策 略和政策,明确信息安全的管理要求和措施。 (3)组织实施:安排专人负责信息安全管理工作,并明确各个岗位的 责任和权限,同时进行员工的培训和意识教育。 (4)技术保障:建立起完善的信息安全技术体系,包括网络安全、数 据加密、漏洞修复等措施。 (5)监督和改进:建立监督机制,定期对信息安全管理体系进行评估 和改进。 3.审核阶段 审核阶段是对信息安全管理体系进行内部和外部的审查和认证。企 业可以选择请第三方机构进行认证,以确保信息安全管理体系的合规 性和有效性。 三、信息安全管理体系建设的要点 1.明确目标和指标:制定明确的信息安全目标和指标,量化管理成 果和效果。 2.风险管理:风险管理是信息安全管理体系的核心,要根据具体情 况进行风险评估和风险控制。
27001(信息安全管理体系) 27001(信息安全管理体系) 信息安全管理是现代社会重要的一部分,而ISO/IEC 27001国际标准则成为了信息安全管理体系最重要的标准之一。本文将介绍ISO/IEC 27001标准的背景和重要性,以及实施该标准的好处和步骤。 一、背景和重要性 ISO/IEC 27001是由国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的信息安全管理体系国际标准。该标准于2005年首次发布,为组织建立、实施、维护和持续改进信息安全管理体系提供了指南。 信息安全是指保护信息免受意外的、非法的或恶意的访问、使用、泄露、破坏、修改或泄露的措施。随着信息技术的迅猛发展和互联网的普及应用,信息安全问题也变得日益严重。信息安全管理的重要性仍然不可忽视。 二、实施ISO/IEC 27001的好处 1. 增强组织的安全意识和文化:实施ISO/IEC 27001标准可以促进组织内部在信息安全意识和文化方面的提升。员工将更加关注信息安全,并制定相应的安全措施。
2. 减少信息安全风险:通过ISO/IEC 27001标准的实施,组织可以识别和评估潜在的信息安全风险,并采取相应的控制措施,从而减少信息安全事件的发生。 3. 提升合作伙伴和客户的信任:ISO/IEC 27001认证是证明组织在信息安全管理方面具备专业能力的重要标志。拥有ISO/IEC 27001认证将帮助组织提升合作伙伴和客户对其信息安全能力的信任度。 4. 符合法律法规要求:随着信息安全相关法律法规的不断完善,组织需要履行相应的法律责任。ISO/IEC 27001标准的实施可以帮助组织确保其信息安全管理体系与法律法规要求相一致。 三、ISO/IEC 27001的实施步骤 1. 制定信息安全政策:组织需制定明确的信息安全政策,并将该政策与组织的整体战略和目标相一致。 2. 进行信息安全风险评估:组织需要对其信息资产进行风险评估,识别潜在的信息安全风险,并确定相应的风险处理方案。 3. 实施信息安全控制措施:基于信息安全风险评估的结果,组织需实施适当的信息安全控制措施,包括技术控制和管理措施。 4. 管理信息安全绩效:组织需要建立和维护一套衡量信息安全绩效的指标体系,并进行持续改进。 5. 进行内部审核和管理评审:组织应周期性地进行内部审核,以确保信息安全管理体系的有效性和符合ISO/IEC 27001的要求。
信息安全技术信息安全风险管理实施指南 信息安全技术是保护信息资源免受未经授权的访问、使用、披露、破坏、修改或丢失的技术手段。随着信息技术的快速发展,信息安全风险也日益增加,为了有效管理和应对这些风险,信息安全风险管理实施指南成为了必不可少的参考依据。 信息安全风险管理实施指南的目的是提供一套标准化的方法和步骤,帮助组织识别、评估、处理和监控信息安全风险。该指南的实施可以帮助组织建立健全的信息安全管理体系,降低信息安全风险,保护组织的核心利益和声誉。 信息安全风险管理实施指南强调了风险管理的重要性。风险管理是信息安全工作的核心,它涉及到整个信息安全体系的建立和运行。指南建议组织应该明确风险管理的目标和原则,确保风险管理工作的有效性和可持续性。 指南提供了一套完整的风险管理流程。这个流程包括风险识别、风险评估、风险处理和风险监控四个关键环节。在风险识别阶段,组织需要对可能存在的风险进行全面的调查和分析,确定信息资产、威胁和漏洞等方面的关键要素。在风险评估阶段,组织需要对已识别的风险进行定量或定性评估,确定其潜在威胁和可能造成的损失。在风险处理阶段,组织需要采取一系列的控制措施来降低风险的发生概率和影响程度。在风险监控阶段,组织需要对已实施的控制措
施进行监督和评估,及时发现和解决风险管理中的问题和缺陷。 指南还提供了一些常用的风险管理工具和技术。例如,风险评估可以使用定量风险评估模型,如层次分析法和贝叶斯网络等,来对风险进行量化评估。风险处理可以采取多种方式,如风险转移、风险规避、风险缓解和风险接受等。此外,指南还介绍了一些常见的信息安全控制措施,如访问控制、加密技术、安全审计和安全培训等,以帮助组织选择和实施合适的控制措施。 指南还强调了信息安全风险管理的持续性和改进性。信息安全风险管理是一个动态的过程,组织需要不断监控和评估信息安全风险的变化,及时调整和改进风险管理策略和控制措施。指南建议组织应该建立信息安全风险管理的绩效评估机制,定期对风险管理工作进行评估和反馈,以保证风险管理工作的有效性和可持续性。 信息安全技术的发展和应用给组织带来了巨大的机遇和挑战。信息安全风险管理实施指南为组织提供了一套标准化的方法和步骤,帮助组织有效应对和管理信息安全风险,保护组织的核心利益和声誉。组织应该根据自身的需求和情况,合理选择和实施指南中的方法和技术,建立健全的信息安全管理体系,提高信息安全能力和水平。
信息安全管理规范和操作指南 引言: 随着信息技术的高速发展和广泛应用,信息安全面临着越来越多的威胁和风险。信息安全管理规范和操作指南的制定和实施对于保护信息系统和数据的安全性至关重要。本文将以规范性和操作性相结合的方式,详细介绍信息安全管理规范和操作指南的相关内容。 一、信息安全管理规范 1.信息安全政策 明确组织对于信息安全的重视程度,制定信息安全政策,并确保该政策能够与组织的业务需求保持一致。 2.组织结构和责任 明确信息安全管理的组织结构,并明确各级相关人员的责任和权限,确保信息安全管理得以有效实施。 3.资产管理 建立完善的资产管理制度,包括对信息系统、设备、软件和数据等资产的分类、归档、存储和备份等措施,确保其安全性。 4.访问控制 建立访问控制策略和措施,限制和监控用户对不同级别的信息资源和系统的访问权限,并定期进行权限审计和改进。 5.系统开发和维护
建立和实施系统开发和维护的相关规范和流程,确保系统的安全性能和可靠性。 6.信息安全事件管理 制定信息安全事件管理规范,包括对信息安全事件的预防、检测、响应和恢复等措施,最大程度地减少信息安全事件的影响。 7.供应商管理 建立供应商管理制度,对于涉及信息安全的供应商进行评估、选择和监督,确保其提供的产品和服务的安全性。 8.物理安全 建立并执行物理安全措施,包括对办公场所、机房、服务器和存储设备等的安全控制和监控。 9.人员管理 建立人员管理制度,包括员工的招聘、培训、考核、离职等方面的规范,确保员工对于信息安全的重要意识。 10.风险管理 建立信息安全风险管理相关制度和流程,包括风险评估、风险处理和风险监控等措施,最大程度地减少信息安全风险的发生。 二、信息安全操作指南 1.密码管理 制定安全的密码策略,包括密码的长度、复杂度、有效期限和定期更换等要求,提高账户和系统的安全性。
编号ISMS-2-GP-01 版本号V2.0 受控状态受控 信息级别一般 信息安全管理体系文件及记录管理规范
版本记录
目录 第一章总则 (4) 第二章职责 (5) 第三章体系文件阶层及编码 (6) 第四章文件要求 (8)
第一章总则 一、本文件定义了信息安全管理体系文件和记录的编写、审批、 保存、发放、变更等过程的管理要求,以确保对公司信息安全管理体系文件版本进行有效控制,保障公司各部门所使用的文件为最新有效版本。 二、本文件适用于公司各部门, 以及信息安全管理体系范围内 的所有形式的文件及记录。 三、管理体系文件由信息安全管理手册、管理规范、操作指南 和记录表单等文件组成,包括:一级文件:信息安全管理体系的纲领性文件(《信息安全管理体系手册》);二级文件:信息安全管理体系各控制域的管理规范;三级文件:信息安全管理体系各控制域的操作指南;四级文件:信息安全管理体系执行过程中产生的记录和报告模板。 四、信息安全管理手册定义信息安全管理体系方针、信息安全 目标,是体系文件的一级文件。公司信息安全管理手册是信息安全管理体系二、三与四级文件制定的重要依据。 五、管理规范是文件化的各控制域的管理要求程序,是实现各 控制目标所规定的方法和要求,此处特指体系文件中二级文件。公司信息安全管理规范文件(二级文件)是需要公司各部门在日常工作中严格执行的。 六、操作指南文件是为了保证具体作业活动符合要求而制订的 操作标准,是体系文件中三级文件。公司信息安全实施指南文件是公司信息安全控制措施执行的操作依据。
七、记录是为完成活动或达到的结果提供客观证据的文件,记 录模板是体系中的四级文件。公司信息安全管理体系提供了体系运行所需的记录模板文件,供公司各部门在工作中参考和使用,如在公司项目中客户有要求可采用客户方的记录模板。 八、文件变更指新增文件和对已发布文件执行修订。 第二章职责 一、文件编写人员的职责 1. 按ISO/IEC27001:2013规定的要求拟定管理体系要求的 文件; 2. 文件目的和使用范围要明确清晰; 3. 文件内容中的术语和定义要准确,内容要完整,同时并具 有可操作性; 4. 文件中规定的职责和权限要明确; 5. 文件中的文字要保持简洁,用词规范。 二、文件审核批准人员的职责 1. 审核文件内容是否与规定要求相一致; 2. 审核文件规定的职责是否明确和可落实; 3. 审核程序的规定能否满足保证质量的要求; 4. 审核文件中定义的接口和呈送范围是否清楚; 三、文件修改人的职责 1. 文件发布前或更新后必须就其完整性与充分性进行批准和 验证。 2. 管理文件的更改和修订信息,文件上应标明版本号,更改
信息安全管理规范和操作指南 1. 信息安全管理规范 1.1 信息安全意识 信息安全管理是指在现代网络环境中,通过标准化、规范化、合理化等手段,对信息系统进行管理,以保障信息系统的可靠性、可用性、保密性和安全性。因此,信息安全意识的提高是信息安全管理的基础。 为了提高信息安全意识,应该做到以下几点: 1.员工必须了解信息安全政策和规定,遵守组织的信 息安全政策和规定。 2.员工应该意识到信息安全是每个人的责任,要积极 参与信息安全管理,协助组织加强信息安全管理。 3.员工应该注意信息泄露风险,不使用容易被破解的 密码,避免泄露自己和组织的机密信息。 4.员工应该定期接受信息安全培训,提高信息安全意 识和技能。 1.2 信息资产分类和归档 为了更好地保护组织的信息资产,需要将信息资产进行分类和归档。信息资产分类的目的是确定信息资产的重要性和价值,以便采取不同级别的安全措施。 常见的信息资产分类如下: 1.公共信息资产:包括有关组织的公共信息、对外公 布的信息、公众利益信息等。这些信息在大多数情况下都可以公开,因此不必采取高强度的安全措施。
2.一般信息资产:包括组织内部的日常业务信息、员 工的个人信息、客户的个人信息等。这些信息的泄露会对 组织和用户造成不利影响,因此应采取相应的安全措施。 3.重要信息资产:包括组织的核心信息、生产和运营 信息、商业秘密等。这些信息的泄露会对组织和用户造成 严重影响,因此应采取最高级别的安全措施。 1.3 网络安全管理 网络安全管理是指对组织内部网络和外部网络进行管理, 以保障网络的安全性。网络安全管理包括以下方面: 1.网络拓扑的规划和设计:应将网络拓扑规划合理化, 保证网络的可靠性和稳定性。 2.数据传输的加密:应采取加密技术对数据传输进行 加密,保证数据的机密性和完整性。 3.安全防火墙的建设:应建设严密的安全防火墙,保 障网络的安全性和完整性。 4.网络监测和管理:应采用专业的网络监测和管理软 件,实时监控网络的运行状态和安全状况。 5.网络漏洞和威胁的管理:应定期进行网络漏洞和威 胁的检测和管理,及时修复漏洞和处理威胁。 2. 信息安全操作指南 2.1 密码管理 密码是保障信息安全的重要手段,因此密码管理也是信息 安全管理的重要内容。密码管理指的是对密码进行合理的设置、使用、修改和保护,以保障密码的机密性和安全性。 密码管理需要注意以下几点:
信息安全管理体系规范(Part I) (信息安全管理实施细则) 目录 前言 一、信息安全范围 二、术语与定义 三、安全政策 3.1 信息安全政策 四、安全组织 4.1信息安全基础架构 4.2外部存取的安全管理 4.3委外资源管理 五、资产分类与管理 5.1资产管理权责 5.2信息分类 六、个人信息安全守则 6.1工作执掌及资源的安全管理 6.2教育培训 6.3易发事件及故障处理 七、使用环境的信息安全管理 7.1信息安全区 7.2设备安全 7.3日常管制 八、通讯和操作过程管理 8.1操作程序书及权责
8.2系统规划及可行性 8.3侵略性软件防护 8.4储存管理 8.5网络管理 8.6媒体存取及安全性 8.7信息及软件交换 九、存取管理 9.1存取管制的工作要求 9.2使用者存取管理 9.3使用者权责 9.4网络存取管制 9.5操作系统存取管理 9.6应用软件存取管理 9.7监控系统的存取及使用 9.8移动计算机及拨接服务管理 十、信息系统的开发和维护 10.1信息系统的安全要求 10.2应用软件的安全要求 10.3资料加密技术管制 10.4系统档案的安全性 10.5开发和支持系统的安全性 十一、维持运营管理 11.1持续运营的方面 十二、合法性 12.1合乎法律要求 12.2对信息安全政策和技术应用的审查 12.3系统稽核的考虑
前言 何谓信息安全? 对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。 信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。 信息安全的主要特征在于保护其 -保密性:确保只有那些经过授权的人员可以接触信息 -完整性:保护信息和信息处理办法的准确性和完整性 -可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产 信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体安全目标得以实现。 为何需要信息安全? 信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。 单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。 对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。 许多信息系统本身的设计就很不安全。通过技术手段达到的安全很有限,因此要通过恰当的管理和流程加以支持。确认采取的管制措施时需要详细审慎的计划和构思。信息安全管理至少要求单位所有员工的参与。同时,也要求供货商、客户和股东的参与。单位外部的专家建议有时也很必要。 如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。 如何设置安全要求?
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范) 系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效纠正与预防措施,正确处置已经评价出风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
信息安全管理体系规X与使用指南 BS 7799-2:2002 中安质环认证中心质量总监周韵笙(译) 附录B(信息性)本标准的使用指南 B.1 总论 B.1.1 PDCA模式 建立和管理一个ISMS需采用与建立和管理其它管理体系相同的方法。此处所述的过程模式遵循一个连续的活动循环:策划、实施、检查和处理。这可称之为一个有效验的循环,因为它的目的是确保你的组织的最佳做法是形成文件的,强化的并随时得到改进的。 B.1.2策划和实施 持续改进的过程常需初次投资,包括:把做法形成文件,把风险管理的方法正规化,确定评审与分配资源的方法等。这些活动用来启动循环。它们不需在评审阶段积极开展之前全部就完成。策划阶段用来确保ISMS的内容与X围已正确建立,信息安全风险已经评价,适当处理这些风险的计划已经编制,实施阶段则用来实施策划阶段已定决策与已识别的解决方案。 B.1.3 检查和处置 检查和处置评审阶段是对已识别和实施的安全解决方案进行加强、修改和改进。评审可在任何时间和频度下进行,取决于对所考虑的情况是否是最适合的。在有些系统中,它们可以建入计算机化的过程中以便立刻操作和反应。其它的过程只需在有安全故障时,对受保护的信息财产进行改变或增加时,以与威胁和脆弱性发生改变时才作出反应。最后需要进行每年或其它周期性的评审或审核,以确保整个管理体系正在实现其目标。 B.1.4 控制总结 组织可能发现有一个控制总结(SOC)是有得的,SOC与组织的ISMS有关,而且是适用的。这可以改善业务关系,例如通过提供一个适当的SOC(控制总结)而进行电子外包。SOC可以饮食敏感信息,因此当使SOC内外部都可使用时,应以适合于接收者的方式小心对待。 注:SOC不是SOA的替代(见4.2.1h)。SOA对于认证来说是强制性要求。 B.2 策划(Plan)阶段 B.2.1 引言 PDCA循环中的策划活动是为确保ISMS的内容和X围已正确建立,所有信息安全风险均已识别并评定,对这些风险的适当处理的计划已经编制而设计的。重要的是策划活动的所有阶段都要形成文件以便于可追溯性与对变更的管理。 B.2.2 信息安全方针 4.2.1b)要求组织与其管理层规定信息安全方针,它包括设定其目标和指标的框架并建立一个有关信息安全的行动的方向和原则的总概念。这种方针的内容参见BS ISO/IEC 17799:2000。 B.2.3 ISMS的X围 ISMS可覆盖全部组织或其一部分,有关环境界限的依赖性、接口与假设需清楚地加以识别。当组织只有一部分是在ISMS内时这一点更特别有关系。X围可以按某些方法划分,例如分为几块(Domains)以便使随后的风险管理任务更为简单。ISMSX围的文件应覆盖: a)用来建立ISMSX围与内容的过程;
信息安全管理手册 目录 4 组织环境 (2) 4.1 理解组织及其环境 (2) 4.2 理解相关方的需求和期望 (2) 4.3 确定信息安全管理体系范围 (2) 4.4 信息安全管理体系 (2) 5 领导作用 (2) 5.1 领导作用和承诺 (2) 5.2 方针 (2) 5.3 组织角色、职责和权限 (3) 6 策划 (3) 6.1 应对风险和机遇的措施 (3) 6.1.1 总则 (3) 6.1.2 信息安全风险评估 (3) 6.1.3 信息安全风险处置 (3) 6.2 信息安全目标及其实现的策划 (4) 6.3 变更策划 (4) 7 支持 (4) 7.1 资源 (4) 7.2 能力 (4) 7.3 意识 (5) 7.4 沟通 (5) 7.5 文件化信息 (5) 7.5.1 总则 (5) 7.5.2 创建和更新 (5) 7.5.3 文件化信息的控制 (5) 8 运行 (6) 8.1 运行策划与控制 (6) 8.2 信息安全风险评估 (6) 8.3 信息安全风险处置 (6) 9 绩效评价 (6) 9.1 监视、测量、分析和评价 (6) 9.2 内部审核 (6) 9.2.1 总则 (6) 9.2.2 内部审核方案 (6) 9.3 管理评审 (7) 9.3.1 总则 (7) 9.3.2 管理评审输入 (7) 9.3.3 管理评审结果 (7) 10 改进 (7) 10.1 持续改进 (7) 10.2 不符合和纠正措施 (7)
4 组织环境 4.1 理解组织及其环境 组织应确定与其宗旨相关的,且影响其实现信息安全管理体系预期结果的能力相关的外部和内部因素。 4.2 理解相关方的需求和期望 组织应确定: a) 与信息安全管理体系有关的相关方; b) 这些相关方的相关要求; c)需要通过信息安全管理体系应对的要求。 注:相关方的要求可包括法律法规要求和合同义务。 4.3 确定信息安全管理体系范围 组织应确定信息安全管理体系的边界和适用性以建立其范围。 当确定范围时,组织应考虑: a) 4.1 中提到的外部和内部因素; b) 4.2 中提到的要求 c)组织实施活动之间及与其他组织间实施活动的接口和依赖关系。 范围应形成文件化信息并可获得。 4.4 信息安全管理体系 组织应根据本文件的要求,建立、实施、维护和持续改进信息安全管理体系,包括所需过程及其相互作用。 5 领导作用 5.1 领导作用和承诺 最高管理者应通过以下活动证实其对信息安全管理体系的领导作用和承诺: a) 确保建立信息安全方针和信息安全目标,并与组织的战略方向相一致; b) 确保将信息安全管理体系的要求融合入组织的过程中; c)确保信息安全管理体系所需的资源可获得; d)沟通有效的信息安全管理以及符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达成其预期结果; f) 指导并支持相关人员为信息安全管理体系的有效性做出贡献; g) 促进持续改进;并 h) 支持其他相关管理角色在其职责范围内发挥领导作用。 5.2 方针 最高管理者应建立信息安全方针,该方针应: a) 与组织的宗旨相适宜; b) 包括信息安全目标(见6.2)或为设定信息安全目标提供框架; c) 包括对满足适用的信息安全相关要求的承诺; d) 包括对信息安全管理体系持续改进的承诺。 信息安全方针应: e) 形成文件化信息并可获取;
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责: a) 建立服务管理计划;
b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期: