信息安全管理程序

信息安全风险管理程序城云科技（杭州）有限公司信息安全风险管理程序⽬录信息安全风险管理程序 ............................................. 错误!未定义书签。

第⼀章⽬的.................................................. 错误!未定义书签。

第⼆章范围.................................................. 错误!未定义书签。

第三章名词解释 ............................................... 错误!未定义书签。

第四章风险评估⽅法 ........................................... 错误!未定义书签。

第五章风险评估实施 ........................................... 错误!未定义书签。

第六章风险管理要求 ........................................... 错误!未定义书签。

第七章附则................................................. 错误!未定义书签。

第⼋章检查要求 ............................................... 错误!未定义书签。

第⼀章⽬的第⼀条⽬的：指导信息安全组织针对信息系统及其管理开展的信息风险评估⼯作。

本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进⾏了详细描述。

第⼆章范围第⼆条范围：适⽤于风险评估组开展各项信息安全风险评估⼯作。

第三章名词解释第三条资产对组织具有价值的信息或资源，是安全策略保护的对象。

第四条资产价值资产的重要程度或敏感程度的表征。

资产价值是资产的属性，也是进⾏资产识别的主要内容。

1目的满足SLA中的安全性需求以及合同、法律和外部政策等的要求。

2适用范围适用于公司提供IT服务的部门，以及与信息安全和风险防范有关的活动的管理。

3术语表1.可用性：2.需要时，被授权的使用者能够访问和使用相关资产。

3.保密性：4.信息不被未授权的个人、实体、流程访问或泄漏。

5.完整性：6.保护资产的准确和完整。

7.信息安全：8.保护信息的保密性、完整性、可用性及其他属性。

9.信息安全事件：10.识别系统、服务或网络状态发生的事件其违背了信息安全策略，或使安全措施失效，或以前未知的与安全相关的情况。

11.信息安全事故：12.单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全。

13.风险：14.特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。

15.风险评估：对信息和信息处理设施的威胁、影响和脆弱性及三者发生的可能性评估。

4引用文件【1】《ISO/IEC 20000-1:2011》【2】《IT服务管理手册》5职责5.1信息安全管理责任部门负责制订信息安全策略和方针，组织建立、改进信息安全管理体系。

5.2 信息管理部负责组织建立信息安全管理制度和方法，计划、实施信息安全要求，监控、报告和响应信息安全事件。

负责协助处理信息安全事件，制订信息安全解决方案，组织评价变更对信息安全的影响，参与信息安全管理的改进。

6 具体内容6.1 组织制订信息安全策略信息管理部根据IT服务工作的特点收集相应的信息安全需求。

根据公司的业务需求，管理者代表组织相关部门根据服务级别协议（SLA）的要求，对信息安全的要求进行讨论，制订公司《信息安全管理规范》，经管理者代表批准后发放相关部门。

其中应包括：a.信息安全活动的总方向及总则框架。

b.信息安全管理的范围、目标、策略和要求。

c.安全的职能和职责。

d.风险评价标准。

e.分析客户安全需求信息管理部根据与客户签订的SLA中的信息安全要求以及客户系统运行的特点，分析客户信息系统的安全要求，制定信息安全管理计划。

信息安全管理控制程序1.0 目的(Purpose)保持信息的保密性、完整性和可用性Ensure information confidentiality, completeness and availability2.0 范围(Scope)适用于有关公司IT信息类别的资产所采取的安全措施。

Applicable for IT information the safety measures taken for property.3.0 职责ResponsibilityIT负责对公司各类信息资产进行保护、监控、备份、记录。

IT is responsible for protecting, supervising, backing up and recording all the informationassets.4.0 程序Procedures4.1 公司信息资产的分类Classification of company information assets4.1.1 A类:财务信息、业务信息、生产信息、技术资料等A: Finacial Information. Business Information. Production Information. Technical Documents and so on.4.1.2 B类:系统信息、辅助信息、网络通信、个人工作文档等B: system information, assisting information, Internet connection, personal work files and so on.4.1.3 C类:主要归为信息资产中的硬件设备C:hard wares4.1.4 A类及B类信息资产应定期备份，具体规定见《数据备份管理控制程序》。

A andB information assets is back up regularly according to Data Backup Management ControlProcedure4.2 物理安全的管理Safety management4.2.1 机房的管理 host computer room4.2.1.1 IT负责机房钥匙的管理，进出机房必须填写好《机房进出登记表)) IT keeps the keys and fills the host computer server login record whenever entering and exiting the room.4.2.1.2 若有外部人员需进入机房安装、维修设备，应取得部门经理批准并在公司网管人员陪同下_[作If the other people needs to enter the room for installing and maintaining the equipments accompanied by the IT people, after getting approval from department manager.4.2.1.3 网管人员应对机房环境进行监控及巡查，井做好记录，以确保机房内设备的正常运作;IT people checks and records the room environment to ensure the equipments run in working order.4.2.1.4 定期检查灭火器等辅助设备。

城云科技（杭州）有限公司信息安全风险管理程序目录第一章目的第一条目的：指导信息安全组织针对信息系统及其管理开展的信息风险评估工作。

本指南定义了风险评估的基本概念、原理及实施流程；对资产、威胁和脆弱性识别要求进行了详细描述。

第二章范围第二条范围：适用于风险评估组开展各项信息安全风险评估工作。

第三章名词解释第三条资产对组织具有价值的信息或资源，是安全策略保护的对象。

第四条资产价值资产的重要程度或敏感程度的表征。

资产价值是资产的属性，也是进行资产识别的主要内容。

资产价值通过机密性、完整性和可用性三个方面评估计算获得。

（一）机密性（Confidentiality）：确保只有经过授权的人才能访问信息；（二）完整性（Integrality）：保护信息和信息的处理方法准确而完整；（三）可用性（Availability）：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。

第五条威胁可能导致对系统或组织危害的不希望事故潜在起因。

第六条脆弱性可能被威胁所利用的资产或若干资产的弱点。

第七条信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

第八条信息安全评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。

它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

第九条残余风险采取了安全措施后，信息系统仍然可能存在的风险。

第四章风险评估方法第十条风险管理模型图1 风险管理模型图1为风险管理的基本模型，椭圆部分的内容是与这些要素相关的属性。

风险管理围绕着资产、威胁、脆弱性和安全措施这些基本要素展开。

信息安全风险评估在对风险管理要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

ISO27001信息安全目标管理程序ISO27001信息安全目标管理程序1 目的为保证信息安全管理体系的有效运作，对各管理流程进行有效的监督检查，并及时提出纠正预防措施，不断改进信息安全管理体系的有效性，制定本程序。

2 范围本程序适用于IT信息安全管理体系持续改进的目标管理控制。

3 相关文件无4 职责4.1总经理负责审批年度信息安全管理目标。

4.2管理者代表负责编制信息安全管理年度目标及检查细节，对检查结果的改进进行监督。

4.3 安全管理岗负责日常检查及对检查结果的报告；发出纠正预防措施。

4.4各岗位负责配合安全管理岗的日常检查。

5 程序5.1信息安全管理指标的制定5.1.1 每年初，由管理者代表组织相关人员对上一年度的安全目标达成情况进行回顾（也可由管理评审流程执行回顾过程），提出对于安全管理指标体系的修改完善意见，应考虑以下因素：a) ISMS管理体系的变更，包括组织、业务、人员、技术等方面；b) 上一年度的安全管理指标达成情况；c) 相关方的建议，包括监管机构、外部审计（审核）的结果、本行业务要求等；5.1.2 根据修改意见，管理者代表应修订年度《信息安全管理指标一览表》，增加、删除、修订各项指标，修订各项指标的检查周期等内容。

5.1.3 每年一月底，应由最高管理者重新审批并发布《信息安全管理指标一览表》。

5.1.4 部门内部所有员工应通过会议的形式（应保留相关会议纪要），了解年度信息安全管理指标内容，并了解本岗位与指标要求的相关性并理解如何为指标的达成做出贡献。

5.2 信息安全管理指标的检查5.2.1 部门内部设立安全管理岗，负责对管理指标的日常检查活动。

5.2.2 安全管理岗应按照《信息安全管理指标一览表》所规定的检查周期及检查方法，对日常管理活动进行检查。

5.2.3 检查结果应形成《安全指标检查报告》（形式不限），并报送最高管理者及管理者代表。

5.2.4 《安全指标检查报告》每季度发布一次，安全管理岗应保存经最高管理者审核签字的报告原件。

企业网络信息安全管理工作流程1.制定企业网络信息安全管理政策是第一步。

Formulating the enterprise network information security management policy is the first step.2.确保所有员工都理解并遵守安全政策是非常重要的。

It is crucial to ensure that all employees understand and adhere to the security policy.3.进行网络安全风险评估来识别潜在的安全漏洞。

Conducting a network security risk assessment to identify potential security vulnerabilities.4.确保网络设备和软件都是最新版本，以防止已知的安全漏洞。

Ensuring that network equipment and software are up-to-date to prevent known security vulnerabilities.5.配置防火墙和入侵检测系统以保护网络免受恶意攻击。

Configuring firewalls and intrusion detection systems to protect the network from malicious attacks.6.建立网络访问控制措施，限制员工访问敏感数据和系统。

Establishing network access control measures to restrict employee access to sensitive data and systems.7.为员工提供网络安全培训，以增强其对安全问题的意识。

Providing employees with network security training to enhance their awareness of security issues.8.建立网络监控系统，及时发现和应对安全事件。

文件制修订记录1、目的为加强对组织相关方的控制，识别其信息安全风险，采取相应措施，防范组织的信息资产损失，特制定本程序。

2、范围本程序适用于组织信息安全管理范围内外部相关方管理活动，包括对供应商、外来人员、政府职能部门及客户的信息安全方面的管理和监督。

3、职责3.1管理运营部A)组织各部门识别外部相关方对信息资产和信息处理设施造成的风险；B)定期组织对相关方控制的实施活动进行检查与跟踪；C)负责与相关方人员签订保密协议。

3.2各相关部门A)负责对本部门、本项目外的部门的相关方进行控制和管理；B)负责对客户提供的信息采取保密措施。

4、程序4.1管理对象A)政府职能部门；B)服务提供商：互联网服务提供商、电话提供商、信息系统维护和支持服务提供商、软件产品和信息系统开发商和供应商；C)客户；D)供应商；E)运输承包方、废弃物处理方；4.2相关方信息安全管理管理运营部组织各部门识别外部相关方对信息资产和信息处理设施造成的风险，并在批准外部相关方访问信息资产和信息处理设施前，对所识别的风险实施适当的控制。

涉及对组织的信息资产物理访问、逻辑访问时管理运营部应与相关方签署《相关方保密协议》。

《相关方保密协议》中应反映所有与相关方合作而引起的内部管理需求或信息安全需求，《相关方保密协议》中还要提请相关方对其员工进行必要的信息安全意识、技能培训和教育，使其满足工作要求。

在对信息安全的要求未实施适当的控制之前不应向外部相关方提供权限进行信息的访问。

管理运营部应确保外部相关方认识到其义务，并接受与访问、处理、交流或管理组织信息和信息处理设施相关的责任和义务。

4.3对外来人员的管理外来人员主要有：临时工、外来参观和检查人员、外来技术/服务人员、服务提供商（包括管理服务提供商）等。

外来人员进入组织，《物理访问策略》进行控制。

外来人员的逻辑访问按《访问控制管理程序》进行控制。

4.4对承包商和供应商的管理采购保障部应识别物资采购活动中的信息安全的风险，明确采购过程中的信息安全要求，在采购合同中明确规定对信息安全方面的要求，并在批准其访问组织信息资产和信息处理设施前实施适当的控制。

22080-2016信息安全管理体系管理手册及程序文件《22080-2016信息安全管理体系管理手册及程序文件》一、引言信息安全在现代社会中的重要性日益凸显。

为了保护企业的信息资产，确保信息系统的正常运行和数据的安全性，制定一个完善的信息安全管理体系是必要的。

本文将介绍22080-2016信息安全管理体系管理手册及程序文件。

二、信息安全管理体系管理手册1. 管理手册目的本管理手册的目的是确定和定义公司信息安全管理体系的目标、范围、政策、程序文件和相关文件，以保证信息安全管理实施的一致性和有效性。

2. 管理手册结构管理手册包括以下主要部分：- 信息安全管理体系范围：详细描述了本信息安全管理体系的适用范围，确保管理体系的全面性和一致性。

- 组织机构和职责：阐述了公司内相关部门的职责和责任，明确信息安全管理的组织结构和职能分工。

- 管理体系政策：制定和实施信息安全管理政策，确保信息安全管理体系与公司整体战略和目标一致。

- 信息资产管理：明确信息资产的分类、评估和管理流程，确保信息资产的安全性和完整性。

- 安全控制措施：概述公司已采取的技术和管理控制措施，保护信息系统和数据的安全性和可用性。

- 域内沟通与意识：描述了公司内部沟通与意识提升的机制和活动，促进员工对信息安全的重视和参与。

- 内部审核和持续改进：确定了内部审核的程序和要求，以及持续改进的方法和指导原则。

三、程序文件1. 准入控制程序该程序文件描述了对新员工、合作伙伴或供应商的准入控制流程。

包括背景调查、安全意识培训和签署保密协议等环节，以保证仅有合适和可信任的人员可以接触敏感信息。

2. 安全漏洞管理程序该程序文件规定了对信息系统存在的安全漏洞的管理流程。

包括安全漏洞的发现、评估、修复和验证等环节，以及漏洞管理责任人的职责，确保及时发现和消除安全漏洞，降低信息系统受到攻击的风险。

3. 网络监控和事件响应程序该程序文件描述了对网络活动的实时监控和对安全事件的快速响应流程。

信息安全政策和程序管理规定信息安全政策和程序管理规定是组织机构内部制定的一系列规章制度，旨在保障组织内部信息系统的安全和可靠性，防范信息泄露、篡改、破坏等风险，确保信息资产的保密性、完整性和可用性。

信息安全政策和程序管理规定不仅是组织内部管理的重要依据，也是遵守相关法律法规和国际标准的必要手段。

一、信息安全政策1.1 信息安全政策的意义信息安全政策是组织内部关于信息安全的总体宗旨和原则，是信息安全管理的基础。

信息安全政策旨在明确组织对信息安全的态度和承诺，规范信息安全管理的行为准则，为信息安全管理提供指导和支持。

1.2 信息安全政策的内容信息安全政策应明确以下内容：- 组织对信息安全的重视程度；- 信息安全的目标和原则；- 各级别的责任和权限；- 信息安全管理的体系和流程。

1.3 信息安全政策的制定信息安全政策的制定应充分考虑组织的实际情况和需求，同时参考相关的法律法规和标准要求。

信息安全政策的制定需要各部门密切合作，形成共识，确保政策的有效实施和执行。

二、信息安全程序管理规定2.1 信息安全管理体系信息安全程序管理规定包括了一系列信息安全管理程序和控制措施，旨在确保信息安全目标的实现。

信息安全管理体系应根据不同的信息安全风险和需求，合理制定和实施一系列的信息安全程序，保障信息系统的可靠性和安全性。

2.2 信息资产管理信息资产管理是信息安全管理的关键环节，需要对信息资产进行全面清点和分类，确保关键信息资产的安全和完整性。

信息资产管理还包括了信息资产的备份、恢复、处理和归档等措施，以应对各种信息安全风险和威胁。

2.3 访问控制访问控制是信息安全管理过程中不可或缺的一部分，包括了身份验证、权限管理、访问审计等控制措施。

通过合理的访问控制措施，可以有效防范未经授权的访问和误操作，提高信息系统的安全性和可靠性。

2.4 信息安全事件管理信息安全事件管理包括了对各类安全事件的监测、识别、应对和处置等过程，旨在及时发现和处理安全事件，减少可能的损失和影响。