信息安全管理系列课程案例练习册(2013.04.06)

信息安全管理系列课程

案例练习

姓名：于全河学号： GS1221961 成绩：

评阅教师签名：

2013年4月

目录

第一部分案例 (3)

1A公司介绍 (3)

2A公司ISMS文件 (4)

1目的 (5)

2范围 (6)

3适用性声明 (6)

1.目的 (19)

2.适用范围 (19)

3.风险评估的实施频率及评审 (19)

4.风险评估方法 (19)

5.风险评估流程 (20)

6.相关文件 (22)

1目的和适用范围 (22)

2职责 (23)

3定义 (23)

3.1信息安全事件 (23)

3.2信息安全事故 (23)

4工作程序 (23)

4.1报告 (23)

4.2处理 (23)

4.3改进 (24)

5相关记录 (24)

第二部分练习 (28)

1练习一：风险评估 (28)

2练习二：编制检查表 (29)

1练习三：判断不符合项 (31)

第一部分案例

1A公司介绍

位于北京上地信息产业园区的A数据科技有限公司成立于2000年8月，总投资5000万元人民币。公司主要业务是为行业用户提供数据加工服务，包括：

●大批量纸介质数据的电子化

●加工制作数字化报刊和电子图书

●大批量电子数据的格式转换

●定制开发电子数据阅读器

A公司凭借自主知识产权的OCR、数据格式化等核心技术，已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。

公司现有员工1200人，设有7个职能部门，实行董事会领导的总经理负责制。各职能部门主要职责如下：

1) 生产部：按照客户要求，负责数据加工生产，是公司核心业务部门。

2) 质量保证部：负责数据加工生产过程中的品质保证，ISO9001质量管理体系和

GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的运行。

3) IT部：负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。

公司IT系统的建设和运行维护。

4) 市场营销部：制定和实施营销策略，开发客户，实现销售。

5) 财务部：财务计划的制定和实施，日常结算、税务等会计业务。

6) 行政部：负责公司后勤保障和日常运行事务。

7) 人力资源部：制定和实施人力资源计划，包括人员招聘、绩效考核、岗位职责定义。

2A公司ISMS文件

部分A公司ISMS文件如下。

2.1ISMS方针

信息安全管理体系方针

1目的和适用范围

信息安全管理体系方针指明了公司的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。

此外，本文件还描述了公司的信息安全管理体系的范围。

本文件适用于公司信息安全管理体系涉及的所有人员和过程。

2信息安全定义

公司对信息安全的定义是：保证公司业务所依赖的信息和信息系统的保密性，完整性，可用性；

3信息安全方针和目标

公司信息安全方针为：积极预防、及时发现、快速响应、确保安全。

公司的信息安全目标是：满足已识别的信息安全要求，包括法律法规、客户与相关方和公司业务要求，具体目标包括：

①商业秘密信息泄漏事故为零。

②引起公司主要产品研发与生产中断时间累计不能超过1小时/年。

③引起公司主要产品研发与生产中断事故发生次数小于3次/年。

4信息安全管理机构

为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持，公司设立信息安全领导小组，负责：

①制定信息安全方针和目标；

②建立公司信息安全角色和职责

③提供公司ISMS所需要的资源；

④领导建立和实施公司ISMS；

⑤监督和检查公司信息安全工作；

⑥制定和实施信息安全工作的奖惩政策。

5职责

公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其合约供货商必须按照相应的程序，维护此方针，所有员工有责任报告信息安全事件，以及识别信息安全风险。

6重要原则和符合性要求

公司所有员工应明确，在信息安全方面满足以下原则和符合以下要求是必须的：

1)法律法规和合同要求的符合性

2)信息安全安全意识

3)遵守公司所有信息安全策略和操作规程

7评审

本文件需要定期被评审，12个月内评审一次，当信息安全管理体系发生重大变化时，也应评审，以维持其适用性。

信息安全领导小组负责本文件的评审。

8实施

本方针自2006年5月15日由公司总经理签署并颁布实施。

2.2适用声明（SOA）

适用性声明

1目的

为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。

2范围

本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。3适用性声明

1解释：术语“责任人”是被认可，具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。

2.3信息安全风险评估程序

信息安全风险评估程序

1.目的

本文件为公司执行信息安全风险评估提供指导和规范。

本程序的运行结果产生《风险评估报告-（加注日期）》。

公司依据风险评估报告编制风险处理计划。

2.适用范围

本程序适用风险评估所涉及的所有部门。

风险评估工作组成员据此执行风险评估活动。

其他相应员工据此理解风险评估的过程，完成自己职责范围内风险评估相关工作。3.风险评估的实施频率及评审

公司规定风险评估活动要定期进行，常规的风险评估每年执行一次，执行风险评估前应对本程序进行评审。

遇到以下情况，公司也将启动风险评估：

增加了大量新的信息资产；

业务环境发生了重大的变化；

发生了重大信息安全事件。

4.风险评估方法

根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3，公司采用“详细风