信息科技部
信息安全管理体系有效性测量控制程序
A版
受控状态:受控
2011年6月1日发布2011年6月1日实施
目录
1 目的 (3)
2 范围 (3)
3 相关文件 (3)
4 职责 (3)
5 程序 (3)
6 记录 (5)
1 目的
为评价阜新银行信息科技部信息安全管理体系风险控制措施的有效性,评价信息安全管理体系的有效性,为管理评审、内部审核及改进设施安全提供输入,在信息科技部内沟通安全的价值并为风险评估和风险处理计划提供输入,制定本程序。
2 范围
本程序适用于阜新银行信息科技部依据ISO/IEC 27001:2005标准建立的信息安全管理体系有效性的测量。
3 相关文件
《信息安全目标管理程序》
4 职责
4.1 总经理及管理者代表负责测量方法的策划,测量指标的建立并组织相关职能人员进行测量过程的实施;
4.2 各区域副总经理负责提供体系测量的数据输入及测量结果的处理;
4.3 总经理负责体系测量指标的审批与输出结果的审核及处理决定的审批;
4.4 信息安全管理委员会负责对测量方法的改进。
5 程序
5.1 管理者代表应对信息安全管理体系涉及到的管理流程、产品、项目计划、资源等进行测量模型的设计。信息安全管理体系的测量模型包括三种方式:基础测量、推论测量、指标测量。
5.2 管理者代表针对ISMS需要测量的实体,定义对管理体系有效性测量的方法,策划应形成《信息安全管理体系策划书》。对于策划的方法,应得到信息科技部总经理的审批,所需调查的表格(或其他形式的电子文档)应由管理者代表通过
电子邮件发送各相关职能人员。
测量方法可以是主观的或客观的,可能用到的方法包括:
a) 调查;
b) 观察;
c) 问卷;
d) 依据知识的评估;
e) 检查;
f) 系统查询;
g) 测试;
h) 抽样;
在测量过程中,搜集用于测量的数据源,可考虑:
a) 内部和外部审核的结果;
b) 风险分析所得出的风险等级;
c) 使用调查表;
d) 信息安全管理体系记录;
e) 信息系统自动输入的信息,如防火墙日志
数据搜集过程应确定:
a) 需要搜集的信息及信息来源;
b) 确定搜集信息的责任人;
c) 所搜集的信息的时间段;
d) 在何地搜集信息;
e) 安全要求;
f) 管理者报告;
g) 管理层对测量过程的审核。
5.3 管理者代表应对所搜集的数据形成《信息安全管理体系测量数据搜集报告》并进行分类整理,分析数据所关联的管理流程,回顾相关风险评估事项,对照可接受风险准则,分析所发现问题的根本原因,协同相关职能人员提出改进的建议或方案,并形成《信息安全管理体系测量结果报告》。
5.4 《信息安全管理体系测量结果报告》至少应包括以下内容:
a) 测量方法的描述;
b) 控制措施有效性的评价结论;
c) 体系有效性(包括持续改进)的评价结论;
d) 对安全体系、安全控制持续改进的建议及价值;
e) 测量结果对风险评估和风险处理的影响分析(是否在风险评估和处理阶段遗漏了必要的输入);
f) 管理层对测量结果改进建议或方案的审批。
5.5 管理者代表通过电子邮件方式将《信息安全管理体系测量结果报告》下发相关职能人员,并根据管理层对体系有效性测量结果的审批结论,跟踪验证各区域实施的结果。
5.6 对信息安全管理体系有效性测量每半年进行一次。
5.7 对有效性测量过程的改进应作为管理评审的输入事项,以不断改进测量过程的有效性。
6 记录
《信息安全管理体系策划书》
《信息安全管理体系测量数据搜集调查表》
《信息安全管理体系测量结果报告》
信息安全管理体系策划书
附件1
信息安全管理体系有效性测量数据搜集调查表
部门:_______________________________
日期:_______________________________
填表人:_____________________________
部门审核:___________________________
注:
1 本调查表调查时间范围年月日至年月日,请各区域负责人回顾所调查事项,如实填写,对于无法获取上述范围之内所有信息的事项(如日志记录)请说明填写的调查结果的时间范围。
2 请对调查事项中发生问题的事项进行描述,填写在“严重程度/影响范围/其他说明”一栏。
3 2、3、5、9、11、19调查事项应填写精确数字;其它项请填百分比。
4 对本区域不适用的调查事项请在“严重程度/影响范围/其他说明”一栏填写“N/A”。
附件2
管理体系有效性Benchmark
检测结果质量控制程序 1 目的 为保证检测结果的准确可靠,全面检查实验室的检测能力,验证检测结果的准确性和可靠性,为管理者和 客户提供足够的信任度,特编制本程序。 2 范围 适用于中心内部的各项质量控制活动及参加外部的质量控制活动。 3 职责 3.1 技术负责人负责质量控制活动计划的审批,并组织质量控制计划的实施,对计划结果进行评审。 3.2 各检测室技术负责人负责质量控制计划的制定。 3.3 监督员负责检测过程的监督。 3.4 检测人员负责按要求实施质量控制计划。 4 工作程序 4.1 中心的质量控制计划包括内部质量控制和外部质量控制,根据有证标准物质的来源情况、检 测的特性和范围以及人员的多少来制定内部质量控制计划。 4.1.1 内部质量控制计划所采用的技术可包括,但不限于: (1)在日常分析检测过程中使用有证标准物质或次级标准物质进行结果核查; (2)由同一操作人员对保留样品进行重复检测; (3)由两个以上人员对保留样品进行重复检测; (4)使用不同分析方法(技术)或同一型号的不同仪器对同一样品进行检测等。 4.1.2 外部质量控制包括参加实验室间比对或能力验证。 4.2 编制的“质量控制计划”可包括两部分:一是内部质量控制计划,二是外部质量控制计划。 4.2.1 内部质量控制计划的内容可包括: (1)计划控制项目及控制方法; (2)控制频率/时间; (3)控制结果的记录方式; (4)计划评价的时间(时机); (5)控制结果的评价准则;
(6)控制实施责任人; (7)评审/评价栏。 4.2.2 外部质量控制计划(参加能力验证和实验室间比对) (1)比对实验项目,目的、发起单位、参加单位; (2)样品准备与分发、样品保管、运送要求; (3)比对的实验方法、依据; (4)进行比对的时间、频率; (5)比对结果的分析方法,可根据具体需要选择分析方法; (6)检测质量制定准则。 4.2.3 质量控制计划的制定 在技术负责人组织下,技术部根据监测的具体情况,专业范围、技术特点选择适宜的控制方法,制定年度的内部质量控制计划。外部控制计划由技术部组织相关技术人员进行编制. 4.2.4 质量控制计划的审批 质量控制计划由中心技术负责人审批后,由各检测室具体实施。 4.3 质量控制计划的实施 4.3.1 技术负责人组织人员实施内部质量控制计划,对相关项目结果质量进行控制,做好控制 记录,并对控制结果的数据分阶段进行分析评价,如果发现异常或出现某种不良趋势,应及时查找影响原因,根据原因分析,采取相应的预防措施或纠正措施。 4.3.2 技术部根据外部质量控制计划的要求,组织相关人员参加能力验证计划;负责联系、协 调各部门参加实验室间比对计划,并负责比对结果的分析评价,填写“比对、验证活动记录”。 4.3.3 对执行质量控制计划过程中出现的不符合或经分析认为可能存在的隐患,执行《不符合 检测工作控制程序》、《纠正措施控制程序》及《预防措施控制程序》,采取相应的预防措施或纠正措施。 4.3.4 在控制过程中,可采用适当的统计技术,对一些项目进行连续或多次的控制,对其结果 进行分析,从中及时发现可能出现的变异性,检查其质量可否得到保证。 4.3.5 在实验室间比对活动中,若检测结果分析存在离散现象严重时,由技术负责人组织相关 人员,对该项目进行综合评价,找出影响结果的原因,按照《纠正措施控制程序》采取纠正措施。 4.4 质量控制计划实施的有效性评价 4.4.1 内审组组织相关人员就质量控制活动实施的有效性进行评审。经评价发现计划有不相适 应的部分,查明原因,并重新对控制计划进行调整,经中心技术负责人批准后实施。
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
第十八节结果质量控制 一、判断题 请将你的判断符号填在()内,对的为“V”;错的为“X” 。 1.实验室应有质量控制程序和质量控制计划以监控检测结果的有效性。 () 答案:“ 2.实验室应分析质量控制的数据,当发现质量控制数据将要超出预先确定的判断依据时,应采取有计划的措施来纠正出现的问题,并防止报告错误的结果。()答案:“ 3.实验室的内部质量控制计划由质量监督员实施,以确保所出具的检测结果公正、科学、准确、有效。() 答案:X 4.如果检测机构没有技术校核计划,不能提供技术校核证据,就不能认为是检测过程控制有效、体系运行良好的实验室。() 答案:“ 5.实验室间比对或能力验证是指内部人员的比对活动。()答案:X 6.实验室间比对或能力验证能够监控检测或校准结果的有效性。()答案:“ 7.能力验证是利用实验室问比对来确认实验室能力,它是为确保实验室维持较高的校准和检测水平而进行一种外部验证活动。() 答案:“ 8.实验室的管理中,强调对各个过程处于受控状态即任何过程都不会发生变异。()答案:“ 9.实验室检测结果质量控制的对象是人、机、样、法、环、溯等因素。()答案:“ 10.实验室进行质量控制时,应尽可能在质量控制数据已经超出预先设定的判据时采取措施。 () 答案:X 11.在检测/校准过程中由于诸种因素的变化会使得检测质量不可能始终是恒定的,质量可能发生突变或渐变。() 答案:“ 12.检测结果的正常变异是不可避免的,它以用不确定度来表示其变化区间的。()答案:“ 13.实验室对检测工作的每个环节都处于受控状态,就不会发生有变异,在相同条件下的每次测量应当一致。() 答案:X 14.强调对各个过程处于受控状态,但受控不等于没有变异,即使在相同条件下的每次测量也有差异。() 答案:“ 15.用于结果质量控制只能使用有证标准物质。() 答案:X 16.检测和校准结果质量保证只能用《评审准则》5.7.1 条中列出的5 种方法。() 答案:X 17 ?用于监控的样品关键是要选择稳定、均匀的样品。()
城云科技(杭州)有限公司信息安全风险管理程序
目录
第一章目的 第一条目的:指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。本指南定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述。 第二章范围 第二条范围:适用于风险评估组开展各项信息安全风险评估工作。 第三章名词解释 第三条资产 对组织具有价值的信息或资源,是安全策略保护的对象。 第四条资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。资产价值通过机密性、完整性和可用性三个方面评估计算获得。 (一)机密性(Confidentiality):确保只有经过授权的人才能访问信息; (二)完整性(Integrality):保护信息和信息的处理方法准确而完整; (三)可用性(Availability):确保经过授权的用户在需要时可以访问信息并使用相关信息资产。 第五条威胁 可能导致对系统或组织危害的不希望事故潜在起因。 第六条脆弱性 可能被威胁所利用的资产或若干资产的弱点。 第七条信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 第八条信息安全评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储
的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 第九条残余风险 采取了安全措施后,信息系统仍然可能存在的风险。 第四章风险评估方法 第十条风险管理模型 图1 风险管理模型 图1为风险管理的基本模型,椭圆部分的内容是与这些要素相关的属性。风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。信息安全风险评估在对风险管理要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险管理要素及属性之间存在着以下关系: (一)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小; (二)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价
信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针; ? 确定信息安全管理组织架构、角色和职责划分; ? 负责信息安全小组之间的协调,内部和外部的沟通; ? 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略; ? 组织安全管理技术责任人进行风险评估; ? 组织安全管理技术责任人制定信息安全改进建议和控制措施; ? 编写风险改进计划; 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控; ? 信息安全风险评估;
? 确定信息安全控制措施; ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的,均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的,属于重大信息安全事件。 a) 组织机密泄露; b) 导致业务中断十小时以上; c) 造成机房设备毁灭的火灾; d) 损失在十万元人民币(含)以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求,确认代码管理相关信息系统的安全需求; ? 对代码管理相关信息系统进行信息安全风险评估,预测风险类型、
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
标题: 确认、验证、验证结果的评价与分析控制程序版号:A/0 分发日期:页码:分发编号: 1 目的 通过确认,证实各控制措施或控制措施的组合能使相应的食品安全危害达到预期的控制水 平;通过验证,证明各控制措施或控制措施的组合确实达到了预期的控制水平。 2 适用范围 适用二对控制措施组合进行确认;适用于对食品安全管理体系进行验证。 3 职责 3.1 食品安全小组负责对OPRP和HACCP计划进行确认;负责对OPRP和HACCP计划进行验证。负责对PRP进行验证。 3.2 品管部食品安全小组成员负责CCP的验证;负责最终产品的检验。 3.3 食品安全小组组长负责组织进行食品安全管理体系的内部审核;负责组织对验证结果进行评价和分析。 4 工程程序 4.1 控制措施组合的确认 4.1.1 OPRP的确认 4.1.1.1 确认的时机 ①在OPRP实施之前。 ②在下列情况下,根据需要,对OPRP做必要的修改,在修改后的OPRP实施之前,要对其进行确认: a. 原料的改变; b. 产品或加工的改变; c. 复查时发现数据不符或相反; d. 重复出现同样的偏差; e. 有关危害或控制手段的新信息(原来依据的信息来源发生变化); f. 生产中观察到异常情况; g. 出现新的销售或消费方式。 4.1.1.2 确认的内容 确认的内容见表COP12-01“OPRP确认记录表”。 4.1.1.3 确认的实施 食品安全小组用“OPRP确认记录表”对OPRP进行确认,确认的结果记录在“OPRP确认记录表”的相关栏目中。 4.1.1.4 确认结果的处理 当确认结果表明OPRP不能对相应的食品安全危害进行预期的控制时,应对OPRP进行修改、重新评价和确认。 4.1.2 HACCP计划的确认 4.1.2.1 确认的时机 ①在HACCP计划实施之前。 ②在下列情况下,应对危害分析的输入进行必要的更新,重新进行必要的危害分析,并对 HACCP计划进行必要的修改,在修改后的HACCP计划实话之前,要对其进行确认: 编制/日期:张三2006/5/1 审核/日期:李四2006/5/1 批准/日期:王二2006/5/1
信息安全风险识别与评 价管理程序 文件编码(GHTU-UITID-GGBKT-POIU-WUUI-8968)
通过风险评估,采取有效措施,降低威胁事件发生的可能性,或者减少威胁事件造成的影响,从而将风险消减到可接受的水平。 二、范围: 适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。 三、责任: 管理者代表 信息中心执行信息安全风险的识别与评价;审核并批准重大信息安全风险,并负责编制《信息资产风险评估准则》,执行信息安全风险调查与评价,提出重大信息安全风险报告。 各部门 协助信息中心的调查,参与讨论重大信息安全风险的管理办法。 四、内容: 资产识别 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。 表1 列出了一种资产分类方法。
信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。 信息分类定义: a)“国家秘密事项”:《中华人民共和国保守国家秘密法》中指定的秘密事; b)“企业秘密事项”:不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害,或者由于业务上的需要仅限有关人员知道的商业秘密事项; c)“敏感信息事项”:为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项; d)“一般事项”:秘密事项以外,仅用来传递信息、昭示承诺或对外宣传所涉及的事项; e)“公开事项”:其他可以完全公开的事项。 信息分类不适用时,可不填写。
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
1.0目的:为确保提供给客户的检测结果的质量,验证和监控检测的有效性,及时发现检测结果的系统性偏差,测试系统不稳定和测量过程失控等危害检测结果质量的偏离。 2.0适用范围:适用于检测结果的验证和监控方法的选择,计划制定和方法有效性评审。 3.0职责: 3.1技术负责人: 3.1.1结合各检测项目的特点全面策划验证和监控工作,并使其长期坚持下去; 3.1.2审核批准各检测项目选择的验证和监控及记录方式和实施计划; 3.1.3负责组织验证和监控有效性的评审; 3.2检测室负责人和监督员: 3.2.1审核验证和监控实施方案,提出实施计划; 3.2.2组织实施计划并监督执行; 3.2.3及时反馈计划实施中的问题并提出改进意见; 3.2.4参加验证和监控有效性评审。 3.3检测项目负责人: 3.3.1提出本检测项目验证监控和记录方式; 3.3.2对已确定的验证监控和记录方式认真按其实施并如实记录; 3.3.3及时反馈计划实施中的问题并提出改进意见。 3.4资料管理员: 3.4.1收集各项目验证和监控实施计划和评审结果。 3.5技术负责人应当维护本程序的有效性。 4.0程序 4.1技术负责人应加强有关检测人员对此项工作重要性的认识从而使其得以长期坚持变成有关人员的自觉行动。应组织和指导相关人员编制相应的作业指导书,并对实施人员进行培训。
4.2检测项目负责人应结合项目特点提出验证和监控方法和记录方式建议,报技术负责人审批。 4.3技术负责人应召集有关人员统筹安排并制定本公司实施此项工作的实施计划。计划应包括本公司拟开展验证和监控的项目,实施方案,开始实施的日期,项目负责人。项目负责人提出的实施方案应包括: (1)项目选择的验证和监控方案,并论证其记录方式是否便于发现其发展趋势,是否采用统计技术对结果进行评审; (2)验证和监控方案的记录方式和记录表格; (3)验证和监控用核查标准或稳定性符合要求样品的选用; (4)评审验证和监控有效性的方法。 4.4各检测项目负责人应组织分析验证和监控的数据,在发现验证和监控的数据超出预定数据时,检测室负责人和监督员必要时向技术负责人反馈实施验证和监控过程中发现的问题,以采取有计划的措施来纠正出现的问题,并防止报告错误的结果。如通过验证和监控发现检测过程失控,危及提供给客户的结果质量时应立即向技术负责人汇报并暂时检测工作。技术负责人应指导检测有关人员查找原因及时解决验证和监控中发现的检测结果质量的问题。 4.5技术负责人应定期(每年至少一次)组织对验证和监控有效性进行评审。评审内容包括: a)验证和监控方案的可操作性, b)记录方式是否便于发现其发展趋势, c)验证和监控结果能否采用统计技术进行评审 d)能否发现检测质量存在的潜在问题。 4.6当监控或验证发现检测质量存在问题时,检测室负责人应立即查找存在问题的原因,并尽快采取纠正措施。对较为严重的不符合工作应执行《不符合检测工作的控制管理程序》对可能产生的质量问题实施有效的善后处理。 4.7评审记录和结论应由技术负责人向管理评审会议报告并交资料员归档。 4.8预防措施
1.0目的:为确保提供给客户的检测结果的质量,验证和监控检测的有效性,及时发现检测结果的系统性偏差,测试系统不稳定和测量过程失控等危害检测结果质量的偏离。 2.0适用范围:适用于检测结果的验证和监控方法的选择,计划制定和方法有效性评审。 3.0职责: 3.1技术主管: 3.1.1结合各检测项目的特点全面策划验证和监控工作,并使其长期坚持下去; 3.1.2审核批准各检测项目选择的验证和监控及记录方式和实施计划; 3.1.3负责组织验证和监控有效性的评审; 3.2检测室负责人和监督员: 3.2.1审核验证和监控实施方案,提出实施计划; 3.2.2组织实施计划并监督执行; 3.2.3及时反馈计划实施中的问题并提出改进意见; 3.2.4参加验证和监控有效性评审。 3.3检测项目负责人: 3.3.1提出本检测项目验证监控和记录方式; 3.3.2对已确定的验证监控和记录方式认真按其实施并如实记录; 3.3.3及时反馈计划实施中的问题并提出改进意见。 3.4资料管理员: 3.4.1收集各项目验证和监控实施计划和评审结果。 3.5技术主管应当维护本程序的有效性。 4.0程序 4.1技术主管应加强有关检测人员对此项工作重要性的认识从而使其得以长期坚持变成有关人员的自觉行动。应组织和指导相关人员编制相应的作业指导书,并对实施人员进行培训。 4.2检测项目负责人应结合项目特点提出验证和监控方法和记录方式建议,报技术主管审批。
4.3技术主管应召集有关人员统筹安排并制定本实验室实施此项工作的实施计划。计划应包括本实验室拟开展验证和监控的项目,实施方案,开始实施的日期,项目负责人。项目负责人提出的实施方案应包括:(1) 项目选择的验证和监控方案,并论证其记录方式是否便于发现其发展趋势,是否采用统计技术对结果进行评审; (2) 验证和监控方案的记录方式和记录表格; (3) 验证和监控用核查标准或稳定性符合要求样品的选用; (4) 评审验证和监控有效性的方法; 控,危及提供给客户的结果质量时应立即向技术主管汇报并暂时检测工作。技术主管应指导检测有关人员查找原因及时解决验证和监控中发现的检测结果质量的问题。 4.5技术主管应定期(每年至少一次)组织对验证和监控有效性进行评审。评审内容包括: a) 验证和监控方案的可操作性, b) 记录方式是否便于发现其发展趋势, c) 验证和监控结果能否采用统计技术进行评审 d) 能否发现检测质量存在的潜在问题。 4.6当监控或验证发现检测质量存在问题时,检测室负责人应立即查找存在问题的原因,并尽快采取纠正措施。对较为严重的不符合工作应执行《不符合检测工作的控制管理程序》对可能产生的质量问题实施有效的善后处理。 4.7评审记录和结论应由技术主管向管理评审会议报告并交资料员归档。 4.8预防措施 4.8.1最高管理者应当高度重视本实验室参加能力验证和比对的结果,当发现本实验室能力验证或比对结果不满意时,应召集技术和质量主管分析原因,立即进行整改并采取积极的预防措施。
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
l 目的 为确保提供给客户的检测结果的质量,验证和监控检测的有效性,及时发现检测结果的系统性偏差,测试系统不稳定和测量过程失控等危害检测结果质量的偏离,特制定本程序. 2 范围 适用于检测结果的验证、监控方法的选择、计划制定和方法有效性评审以及采用统计等技术对检测结果进行的监控。 3 职责 3.1 技术负责人的职责 结合本检测中心承检项目的特点全面策划验证和监控工作,审核批准承检项目选择的验证和监控及记录方式及实施计划,负责组织讨验证和监控方法的有效性进行评审。批准检测中心间比对和能力验证计划,维护本程序的有效性。3.2 检测室负责人的职责 审核并汇总本部门检测项目验证和监控实施方案,提出实施计划,组织实施预定计划,参加验证和监控有效性评审。 3.3 监督员的职责 负责监督实施预定计划的执行,及时反馈计划实施中的问题,并提出改进意见。 3.4 办公室的职责 负责组织制定年度比对验证计划及实施。 3.5 检测项目负责人的职责 提出本检测项目验证、监控和记录方式,对已确定的验证、监控和记录方式认真按其实施并如实记录,及时反馈计划实施中的问题并提出改进意见。3.6 资料管理员的职责 负责收集各项目验证和监控实施计划和评审结果。
4 工作程序 4.1 技术负责人应结合宣贯质量方针和质量手册,加强有关检测人员对此项工作重要性的认识从而使得长期坚持变成有关人员的自觉行动。 4.2 检测项目负责人应结合项目特点提出验证和监控方法和记录方式建议,经检测室负责人会同监督员审核后报技术负责人。 4.3 技术负责人在汇总各检测室上报的意见后。应召集有关人员统筹安排并制定本中心实施此项工作的实施计划。计划应包括本中心拟开展验证和监控的项目、开始实施的日期、项目负责人。项目负责人提出的实施方案应包括: 4.3.1 项目选择的验证和监控方案,并论证其记录方式是否便于发现其发展趋势,是否采用统计技术对结果进行评审; 4.3.2 验证和监控方案的记录方式和记录表格; 4.3.3 验证和监控用核查标准或稳定性符合要求样品的选用; 4.3.4 评审验证和监控有效性的方法。 4.3.5 验证和监控的方法可包括(但不限于)以下内容; 4.3. 5.1 定期使用有证标准物质(参考物质)进行监控或使用次级标准物质(参考物质)开展内部质量控制; 4.3. 5.2 参加检测中心间的比对或能力验证; 4.3. 5.3 使用相同或不同方法进行重复检测; 4.3. 5.4 对有留样品进行再检测; 4.3. 5.5 分析一个样不同特性结果的相关性。 4.4 各检测项目负责人应及时向检测室负责人和监督员反馈实施验证和监控过程中存在的问题以通过验证和监控发现的问题,如通过验证和监控发现提供给客户的结果质量存在疑问时应立即向技术负责人汇报并采取相应措施。技术负责人应指导检测有关人员及调整力案和及时解决验证和监控中发现的检测结果质量的其他问题。 4.5 技术负责人应组织一个评审组定期(每年至少一次)对验证和监控有效性进行评审。评审应包括:验证和监控方案的可操作性,记录方式是否便于发现其发展趋势。验证和监控结果能否采用统计技术对结果进行评审,验证和监控方案及记录方式能否证实结果质量符合要求和能否发现测量系统或结果质量存在的潜
本程序,作为《WX-WI-IT-001 信息安全管理流程A0版》的附件,随制度发行,并同步生效。 信息安全风险评估管理程序 1.0目的 在ISMS 覆盖范围内对信息安全现行状况进行系统风险评估,形成评估报告,描述风险等级,识别和评价供处理风险的可选措施,选择控制目标和控制措施处理风险。 2.0适用范围 在ISMS 覆盖范围内主要信息资产 3.0定义(无) 4.0职责 4.1各部门负责部门内部资产的识别,确定资产价值。 4.2IT部负责风险评估和制订控制措施。 4.3财务中心副部负责信息系统运行的批准。 5.0流程图 同信息安全管理程序的流程 6.0内容 6.1资产的识别 6.1.1各部门每年按照管理者代表的要求负责部门内部资产的识别,确定资产价值。 6.1.2资产分类 根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类。 6.1.3资产(A)赋值 资产赋值就是对资产在机密性、完整性和可用性上的达成程度进行分析,选 择对资产机密性、完整性和可用性最为重要(分值最高)的一个属性的赋值 等级作为资产的最终赋值结果。资产等级划分为五级,分别代表资产重要性
的高低。等级数值越大,资产价值越高。 1)机密性赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产 2)完整性赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产 3)可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
3分以上为重要资产,重要信息资产由IT 部确立清单 6.2威胁识别 6.2.1威胁分类 对重要资产应由ISMS 小组识别其面临的威胁。针对威胁来源,根据其表现形式将威胁分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改和抵赖等。 6.2.2威胁(T)赋值 评估者应根据经验和(或)有关的统计数据来判断威胁出现的频率。 威胁频率等级划分为五级,分别代表威胁出现的频率的高低。等级数值越大,威胁出现
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
1目的 保证检测结果真实、有效、准确。 2范围 适用于对检测结果质量的管理和控制。 3职责 3.1技术负责人是实施本程序的责任人。 3.2检测部是实施本程序的职能部门。 4工作程序 4.1质量控制计划 4.1.1检测部编制年度《质量控制计划》,经技术负责人批准后实施。 4.1.2质量控制计划包括检测项目、检测方法、检测类别、检测人员、实施时间及控制项目所要求的技术指标等。 4.2质量控制评价的内容 4.2.1对内部质量控制方法的效果进行评价; 4.2.2对不能溯源的量值参加能力验证比对,比对结果进行评价; 4.2.3通过与外部实验室的比较,判定检测能力的综合水平; 4.2.4使用的标准物质的验证; 4.2.5计算机软件的验证和评价。 4.3 质量控制方法 4.3.1采用下列方法之一或其组合(但不仅限于下列方法)。 A定期使用有证标准物质(参考物质)进行监控和/或次级标准物质(参考物质)开展内部质量控制;
B参加检测公司间的比对或能力验证; C利用相同或不同的方法(仪器)进行重复检测; D对留存样品进行再检测(同一操作者或不同操作者); E分析样品不同特性结果的相关性; 4.4质量控制计划实施 4.4.1检测部按照质量控制计划按时组织实施质控,并在规定时间内提交《检测质量控制结果报告》给技术负责人。 4.5 质量控制结果和方法评审 4.5.1技术负责人组织对质量控制结果和方法进行分析和评价,查找影响因素和发现可能影响检测结果质量的潜在原因,并形成质量控制报告。 4.6纠正措施和预防措施 4.6.1通过对质量控制结果评审,发现不合格工作时,执行《纠正措施控制程序》。 4.6.2存在可能影响检测结果准确性的潜在不合格的因素时,执行《预防措施控制程序》。 4.6.3 技术负责人总结全检测公司质量控制工作,并向管理评审提供全年质量控制报告。 5相关文件 (1)《纠正措施控制程序》THZJ/CX/16/4.0 (2)《预防措施控制程序》THZJ/CX/17/4.0 6记录