ISMS手册-信息安全管理体系手册
- 格式:doc
- 大小:539.50 KB
- 文档页数:52
下载文档原格式
合集下载
2020最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)系程序文件目录信息安全管理体系作业文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。
2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效纠正与预防措施,正确处置已经评价出风险,特制定本程序。
3 职责3.1 各系统归口管理部门主管相关安全风险的调查、处理及纠正措施管理。
3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。
4 程序4.1 信息安全事故定义与分类:4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:a) 企业秘密、机密及国家秘密泄露或丢失;b) 服务器停运4 小时以上;c) 造成信息资产损失的火灾、洪水、雷击等灾害;d) 损失在十万元以上的故障/事件。
4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:a) 企业机密及国家秘密泄露;b) 服务器停运8 小时以上;c) 造成机房设备毁灭的火灾、洪水、雷击等灾害;d) 损失在一百万元以上的故障/事件。
4.1.3 信息安全事件包括:a) 未产生恶劣影响的服务、设备或者实施的遗失;b) 未产生事故的系统故障或超载;c) 未产生不良结果的人为误操作;d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更;f) 策略、指南和绩效的不符合;g) 可恢复的软件、硬件故障;h) 未产生恶劣后果的非法访问。
4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务:a) 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案;c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。
ISMS信息安全管理体系文件(全面)2完整篇.doc
ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。
本公司:上海海湃计算机科技有限公司信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2 理解相关方的需求和期望组织应确定:1)与信息安全管理体系有关的相关方2)这些相关方与信息安全有关的要求。
2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动3)与所述信息系统有关的部门和所有员工;4)所述活动、系统及支持性系统包含的全部信息资产。
JYYH-HB-02-信息安全管理体系手册
文档密级:一般文档状态:[]草案[V]正式发布[]正在修订受控状态:[V]受控[]非受控1. 目的和适用范围目的1.2. 适用范围2.2.1.引用标准...2.2.引用文件...2.3.定义和术语引用标准、文件、术语及定义2.3.1. 术语2.3.2. 缩写3. 信息安全管理体系3.1. 总要求3.2. 建立和管理ISMS建立ISMS ...321.3.2.2. ISMS实施及运作4.3.2.3.3.2.3.1.3.2.3.2.3.2.3.3.3.2.4.ISMS的监督检查与评审控制措施管理评审残余风险的评审ISMS保持与改进3.3. 文件要求信息安全管理方针目录错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
错误!未定义书签。
131.目的和适用范围1.1. 目 的对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、 改进ISMS 的有效性,参考《管理手册》,特制定本手册。
12适用范围结合《管理手册》,本《信息安全管理手册》规定了本公司信息安全管理体系涉及的生 产、营销、服务和日常管理等方面内容。
整个信息安全管理体系(ISMS )的覆盖范围包括:本公司涉及营销、生产服务和日常管理的重要信息系统和生产系统;基于军工、人力资源和社会保障、医疗卫生、公积金、民政、食药监、金融等领域 的系统建设和维护服务e )所述活动、系统及支持性系统包含的全部信息资产。
£027001:2013 《信息技术、安全技术、信息安全管理体系要求》In formati on tech no logy . Security tech niq ues .In formatio n security man ageme nt systems . Requireme nts—Code of p ractice for in formati on Security manageme nt为了建立、健全本公司信息安全管理体系(简称ISMS ),确定信息安全方针和目标,持续b) 与所述信息系统有关的活动;C ) 与所述信息系统有关的部门和所有正式员工, a) d) 2.弓 用标准、文件2.1.引 用标准1、 2、 ISO27002:2005《信息技术一一信息安全管理实施细则》In formati on tech no logy22引用文件《管理手册》3.定义和术语3.1.术语本手册中使用术语的定义采用ISO / IEC 27000 的术语和定义。
信息安全管理手册
组织外部环境包括如下几个方面,但并不局限于此: ——文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境,无 论是国际、国内、区域或地方; ——影响组织目标的主要驱动因素和发展趋势; ——外部利益相关者的观点和价值观。 组织内部环境包括如下几个方面,但并不局限于此: ——资源与知识的理解能力(如:资本、时间、人力、流程、系统和技术); ——信息系统、信息流动以及决策过程(包括正式和非正式的); ——内部利益相关者; ——政策,为实现的目标及战略; ——观念、价值观、文化; ——组织通过的标准以及参考模型; 以上相关因素将影响公司实现信息安全管理体系的预期成果。 4.2 理解相关方的需求和期望 a)与本公司信息安全管理体系有关的相关方有:供方、合同方、顾客及其他第三 方访问者。 b) 各相关方对我司的信息安全需求,包括了信息安全相关法律法规要求和合同规
a) 确保安全活动的执行符合信息安全方针; b) 确定怎样处理不符合; c) 批准信息安全的方法和过程,如风险评估、信息分类; 5.3.2 信息安全职责和权限 本公司总经理为信息安全最高管理者,对信息安全全面负责,主要包括: a) 组织制定信息安全方针及目标,任命管理者代表,明确管理者代表的职责和权 限。 b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。 c)为信息安全管理体系配备必要的资源。 各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉 履行信息安全保密义务; 各部门有关信息安全职责分配见《信息安全管理职能分配表》。 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运 行的各种控制程序)的要求实施信息安全控制措施。
江苏 XXXX 科技有限公司
编号 版本 密级 受控
XX-ISMS-01 A/0
a) 确保安全活动的执行符合信息安全方针; b) 确定怎样处理不符合; c) 批准信息安全的方法和过程,如风险评估、信息分类; 5.3.2 信息安全职责和权限 本公司总经理为信息安全最高管理者,对信息安全全面负责,主要包括: a) 组织制定信息安全方针及目标,任命管理者代表,明确管理者代表的职责和权 限。 b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。 c)为信息安全管理体系配备必要的资源。 各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉 履行信息安全保密义务; 各部门有关信息安全职责分配见《信息安全管理职能分配表》。 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运 行的各种控制程序)的要求实施信息安全控制措施。
江苏 XXXX 科技有限公司
编号 版本 密级 受控
XX-ISMS-01 A/0
(2020年最新版本)信息安全管理手册
信息安全管理手册版本号:V1.0目录01 颁布令 (1)02 管理者代表授权书 (2)03 企业概况 (3)04 信息安全管理方针目标 (3)05 手册的管理 (6)信息安全管理手册 (7)1 范围 (7)1.1 总则 (7)1.2 应用 (7)2 规范性引用文件 (8)3 术语和定义 (8)3.1 本公司 (8)3.2 信息系统 (8)3.3 计算机病毒 (8)3.4 信息安全事件 (8)3.5 相关方 (8)4 信息安全管理体系 (9)4.1 概述 (9)4.2 建立和管理信息安全管理体系 (9)4.3 文件要求 (15)5 管理职责 (18)5.1 管理承诺 (18)5.2 资源管理 (18)6 内部信息安全管理体系审核 (19)6.1 总则 (19)6.2 内审策划 (19)6.3 内审实施 (19)7 管理评审 (21)7.1 总则 (21)7.2 评审输入 (21)7.3 评审输出 (21)7.4 评审程序 (22)8 信息安全管理体系改进 (23)8.1 持续改进 (23)8.2 纠正措施 (23)8.3 预防措施 (23)01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。
27001-2013信息安全管理体系ISMS内审员培训教材[文字可编辑]
![27001-2013信息安全管理体系ISMS内审员培训教材[文字可编辑]](https://img.taocdn.com/s1/m/1add4d216edb6f1afe001f27.png)
27001-2013 信息安全管理体系 ISMS内审员培训教材
2018年5月28日
课程内容
? 第一部分
信息安全基础知识及案例介绍 ? 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 ? 第三部分 信息安全风险评估与管理 ? 第四部分 体系文件编写 ? 第五部分 信息安全管理体系内部审核
信息为什么会有安全问题
?信息具有重要的价值
? ?
?信息及系统固有的脆弱性
? ?
信息社会对信息的高度依赖 信息的高附加值会引起盗窃、滥用等威胁
信息本身易传播、易毁坏、易伪造 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局 限)、没有避免的因素(默认配臵)
?威胁客观存在
? 恶意攻击、企业间谍、内部系统的误用 /滥用、敌对势力等
案
例
二
如果使用winny 下载的文件中隐藏着“Antinny ” 等病毒,用户只要双击下载的文件图标,就会导致电 脑感染病毒。病毒在电脑中任意将个人文件压缩后放 臵到共享文件夹中,导致信息泄漏。由于电脑本身不 会出现异常,用户往往直到被别人告知自己的个人信 息泄漏了,才意识到电脑感染了病毒。更为糟糕的是, 流失的文件会被记录到许多电脑中,几乎不可能回收。
案 例
一
利用特权进入充值数据库
2006 年2月27日, 中央电视台报道了全国最大的网上 盗窃通讯资费案:UT 斯达康中国有限公司深圳分公司资
深软件研发工程师31岁的程姓工程师,在任华为工程师
时负责西藏移动等公司的设备安装工作。自2005 年2月, 从西藏移动公司系统进入北京移动公司的充值中心数据
库,获得最高系统权限,根据“已充值”的充值卡显示
是不是把相关技术及产品都部署到位了,就安全了呢? 到底如何做才能真正保障信息安全呢? 下面我们先来看几个案例
2018年5月28日
课程内容
? 第一部分
信息安全基础知识及案例介绍 ? 第二部分 ISO27001标准正文部分详解
ISO27001标准附录A详解 ? 第三部分 信息安全风险评估与管理 ? 第四部分 体系文件编写 ? 第五部分 信息安全管理体系内部审核
信息为什么会有安全问题
?信息具有重要的价值
? ?
?信息及系统固有的脆弱性
? ?
信息社会对信息的高度依赖 信息的高附加值会引起盗窃、滥用等威胁
信息本身易传播、易毁坏、易伪造 信息平台的脆弱性客观存在:不可避免的因素(技术局限、人的能力局 限)、没有避免的因素(默认配臵)
?威胁客观存在
? 恶意攻击、企业间谍、内部系统的误用 /滥用、敌对势力等
案
例
二
如果使用winny 下载的文件中隐藏着“Antinny ” 等病毒,用户只要双击下载的文件图标,就会导致电 脑感染病毒。病毒在电脑中任意将个人文件压缩后放 臵到共享文件夹中,导致信息泄漏。由于电脑本身不 会出现异常,用户往往直到被别人告知自己的个人信 息泄漏了,才意识到电脑感染了病毒。更为糟糕的是, 流失的文件会被记录到许多电脑中,几乎不可能回收。
案 例
一
利用特权进入充值数据库
2006 年2月27日, 中央电视台报道了全国最大的网上 盗窃通讯资费案:UT 斯达康中国有限公司深圳分公司资
深软件研发工程师31岁的程姓工程师,在任华为工程师
时负责西藏移动等公司的设备安装工作。自2005 年2月, 从西藏移动公司系统进入北京移动公司的充值中心数据
库,获得最高系统权限,根据“已充值”的充值卡显示
是不是把相关技术及产品都部署到位了,就安全了呢? 到底如何做才能真正保障信息安全呢? 下面我们先来看几个案例
《信息安全管理》第二章 信息安全管理体系
BS7799-2: 详细说明了建立、实施和维
护信息安全管理体系的要求,是 组织全面或部分信息安全管理系 统评估的基础
信息安全 管理体系
在BS7799中ISMS可能涉及以下内容。 组织的整个信息系统。 信息系统的某些部分。 一个特定的信息系统。
信息安全 管理体系
组织在实施BS 7799时,可以根据需求和实际情况,采用以下四种模式。
准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。
信息安全 管理体系
PDCA循环的四个阶段的具体任务和内容如下。 (1)计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以下4 个步骤。 分析目前现状,找出存在的问题。 分析产生问题的各种原因以及影响因素。 分析并找出管理中的主要问题。 制定管理计划,确定管理要点。
思想。 强调遵守国家有关信息安全的法律法规及其他合同方要求。 强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制
方式。 强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的
机密性、完整性和可用性,保持组织的竞争优势和业务运作的持续性。
信息安全 管理体系
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体 的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要 经过下列五个基本步骤。 信息安全管理体系的策划与准备。 信息安全管理体系文件的编制。 建立信息安全管理框架。 信息安全管理体系的运行。 信息安全管理体系的审核与评审。
实际上建立和实施信息安全管理体系ISMS和其他管理体系一样(如质量 管理体系),需要采用过程的方法开发、实施和改进信息安全管理体系的有效 性。ISMS的PDCA过程如图2.1所示。
信息安全 管理体系
ISMS信息安全管理体系建立方法(DOC57页)
信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。
后续将详细介绍不同部分的管理。
1 信息安全管理体系概述1.1什么是信息安全管理体系信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。
它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1. ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:●组织所有的信息系统;●组织的部分信息系统;●特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。
例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
2.组织内部成功实施信息安全管理的关键因素●反映业务目标的安全方针、目标和活动;●与组织文化一致的实施安全的方法;●来自管理层的有形支持与承诺;●对安全要求、风险评估和风险管理的良好理解;●向所有管理者及雇员推行安全意思;●向所有雇员和承包商分发有关信息安全方针和准则的导则;●提供适当的培训与教育;●用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。
(完整版)信息安全手册
XXXXXXXX有限公司信息安全管理手册目录1 目的 (5)2 范围 (5)3 总体安全目标 (5)4 信息安全 (5)5 信息安全组织 (5)5.1 信息安全组织 (5)5.2 信息安全职责 (6)5.3 信息安全操作流程 (7)6 信息资产分类与控制 (8)6.1 信息资产所有人责任 (8)6.1.1 信息资产分类 (8)6.1.2 信息资产密级 (9)6.2 信息资产的标识和处理 (9)7 人员的安全管理 (10)7.1 聘用条款和保密协议 (10)7.1.1聘用条款中员工的信息安全责任 (10)7.1.2商业秘密 (11)7.2 人员背景审查 (12)7.2.1 审查流程 (13)7.2.2 员工背景调查表 (13)7.3 员工培训 (14)7.3.1 培训周期 (14)7.3.2 培训效果检查 (14)7.4 人员离职 (15)7.4.1离职人员信息交接流程 (15)7.5 违规处理 (15)7.5.1信息安全违规级别 (15)7.5.2信息安全违规处理流程 (16)7.5.3违规事件处理流程图 (17)8 物理安全策略 (17)8.1场地安全 (17)8.1.1 FBI受控区域的划分 (18)8.1.1.1受控区域级别划分 (18)8.1.1.2 重要区域及受控区域管理责任划分 (18)8.1.1.3 物理隔离 (18)8.1.2出入控制 (19)8.1.3名词解释 (19)8.1.4人员管理 (19)8.1.4.1人员进出管理流程 (19)8.1.4.1.1公司员工 (19)8.1.4.1.2来访人员 (20)8.1.5 卡证管理规定 (23)8.1.5.1卡证分类 (23)8.1.5.2卡证申请 (23)8.1.5.3卡证权限管理 (24)8.2设备安全 (24)8.2.1设备安全规定 (24)8.2.2设备进出管理流程 (26)8.2.2.1设备进场 (26)8.2.2.2 设备出场 (27)8.2.3BBB办公设备进出管理流程 (28)8.2.3.1设备进场 (28)8.2.3.2设备出场 (29)8.2.4特殊存储设备介质管理规定 (30)8.2.5 FBI场地设备加封规定 (31)8.2.6 FBI场地设备报修处理流程 (31)9 IT安全管理 (31)9.1网络安全管理规定 (31)9.2系统安全管理规定 (32)9.3病毒处理管理流程 (32)9.4权限管理 (33)9.4.1权限管理规定 (33)9.4.2配置管理规定 (33)9.4.3员工权限矩阵图 (35)9.5数据传输规定 (36)9.6业务连续性 (36)9.7 FBI机房、实验室管理 (37)9.7.1门禁系统管理规定 (37)9.7.2服务器管理规定 (37)9.7.3网络管理规定 (38)9.7.4监控管理规定 (38)9.7.5其它管理规定 (38)10信息安全事件和风险处理 (39)10.1信息安全事件调查流程 (39)10.1.1信息安全事件的分类 (39)10.1.2信息安全事件的分级 (39)10.1.3安全事件调查流程 (40)10.1.3.1 一级安全事件处理流程 (40)10.1.3.2 二级安全事件处理流程 (41)10.1.3.3 三级安全事件处理流程 (42)10.1.4 信息安全事件的统计分析和审计 (42)11检查、监控和审计 (43)11.1检查规定 (43)11.2监控 (43)11.2.1视频监控 (43)11.2.2系统、网络监控 (44)11.3审计 (46)11.3.1审计规定 (46)11.3.2审计内容 (46)12奖励与处罚 (46)12.1奖励 (46)12.1.1奖励等级 (47)12.2处罚 (47)12.2.1处罚等级 (47)一级处罚 (47)常见一级处罚 (47)二级处罚 (48)常见二级处罚 (48)三级处罚 (48)常见三级处罚 (48)四级处罚 (49)常见四级处罚 (49)1 目的为了规范和明确XXXXXXXX有限公司业务发展的信息安全管理方面的总体要求,特制定本规定。
ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读
• 本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求。 • 本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。 • 组织声称符合本标准时,对于第4 章到第10 章的要求不能删减。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。
ISMS手册-信息安全管理体系手册
I S M S手册-信息安全管理体系手册精品管理制度、管理方案、合同、协议、一起学习进步信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
信息安全管理体系
信息安全管理体系信息安全管理体系(Information Security Management System,ISMS)是指将信息安全管理的职责与要求以及相关措施组织起来,形成一套可持续运行的、全面的信息安全管理体系。
下面将对信息安全管理体系从目标、要素和实施过程三个方面进行介绍。
信息安全管理体系的目标是确保信息系统的安全性,保护组织内部的信息资产免受未授权访问、使用、泄露、破坏和篡改等威胁。
通过建立和实施信息安全管理体系,可以有效地预防和减少信息安全事件的发生,降低信息资产的风险,并为组织提供一个安全、稳定和可靠的信息技术环境。
信息安全管理体系的要素包括政策、组织、资源、风险评估、风险处理、安全控制、培训和沟通以及监测和改进等。
首先,组织应制定一份明确的信息安全政策,明确信息安全目标和要求,并加以落实。
其次,组织应设立相应的信息安全组织机构,明确各级别的信息安全责任,并配备相应的信息安全资源。
此外,风险评估和风险处理是信息安全管理体系的核心要素,组织应通过风险评估来识别和评估信息资产的威胁和风险,并采取相应的措施进行控制和处理。
此外,还需要对员工进行信息安全培训和沟通,并建立监测机制和改进措施,以不断提高信息安全管理的效果。
信息安全管理体系的实施过程主要包括策划、实施、运行、监控和改进等阶段。
首先,策划阶段是制定信息安全目标和计划的阶段,确定信息安全政策和要求,并进行风险评估和控制。
其次,实施阶段是落实信息安全政策和控制措施的阶段,包括组织资源、建立安全控制措施和制定相关流程和程序等。
然后,运行阶段是对信息安全管理体系进行持续运营和监管的阶段,包括培训、监控、事件处理和沟通等。
最后,改进阶段是对信息安全管理体系进行持续改进和优化的阶段,通过对监控结果和风险评估的分析,采取相应的改进措施,不断提高信息安全管理的效果和效率。
综上所述,信息安全管理体系是确保信息系统安全的一套可持续运行的管理体系。
ISMS手册-信息安全管理IT服务管理体系手册
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
ISMS信息安全管理体系建立方法
信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。
后续将详细介绍不同部分的管理.1 信息安全管理体系概述1.1什么是信息安全管理体系信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系.它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1. ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:●组织所有的信息系统;●组织的部分信息系统;●特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。
例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
2.组织内部成功实施信息安全管理的关键因素●反映业务目标的安全方针、目标和活动;●与组织文化一致的实施安全的方法;●来自管理层的有形支持与承诺;●对安全要求、风险评估和风险管理的良好理解;●向所有管理者及雇员推行安全意思;●向所有雇员和承包商分发有关信息安全方针和准则的导则;●提供适当的培训与教育;●用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统.3.建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。
如何建立和实施信息安全管理体系什么是ISMS如何建立ISMS企业ISMS.doc
如何建立和实施信息安全管理体系什么是ISMS 如何建立ISMS 企业ISMS如何建立和实施信息安全管理体系学习成芳老师讲解的《信息安全管理体系内容》~本人收益颇多。
构建信息安全管理体系的主要任务包括划定体系范围、设立体系方针、确定风险评估的方法、按照方法执行风险评估、对评估结果制定处理方案,选择附录A中的控制目标和措施制定方案~达到控制、终止、降低、接受、转嫁风险等,~获得管理层审批、授权、承诺和配备资源等~准备适用性声明SOA,将风险处理计划转换成实施计划~有序有节奏地部署计划~并进行组织教育和培训~提升人员的意识和能力~部署和运行过程中不断设立监控点~设立审核流程~设立管理评审环节~找出改进空间和差距~并给予改进。
课程还讲解了信息安全管理体系构建过程中的文件化要求、内部审核、管理评审及认证评审等。
下面结合学习本次课程所得~谈谈如何建立和实施ISMS。
一、建立和实施ISMS需要什么条件,当前~建立和实施ISMS的组织仍是少数~主要集中在一些大型企业。
其中的重要原因是建立和实施ISMS是一项艰苦而细致的工作~需要认证机构,如BSI,和认证组织,如企业,间积极协作和密切配合。
首先~组织领导层应高度重视~并对ISMS的建立和实施做出承诺~同时配备必要资源~如人力、物力和财力资源等,其次~企业内部全体员工也要在体系建立和实施过程中给予充分配合和支持。
二、建立和实施ISMS需要哪些步骤,按照信息安全管理体系要求~同时根据过程控制方法,PDCA,的指导实践~建立和实施ISMS大致可分成五个阶段~以下大致说明如下:- 1 -,一, 调研计划阶段该阶段的主要任务包括组建班子~培训ISO27001标准~调查信息系统状况~研究分析差距~制定实施计划等。
1、组建班子组织应充分考虑班子的人员结构和知识结构~组建班子以建立和实施管理ISMS。
同时~班子内部进行必要分工~还须任命一名信息安全经理~全面负责信息安全管理体系的建立、实施、改善和对外联络等工作。
信息安全管理体系
ISMS实施过程
LOGO
❖风险值计算公式
风险值=资产重要性×威胁综合可能性×综合脆弱性/安 全措施有效性
❖风险等级划分
等级 标识 风险值范围 5 很高 64.1~125
4 高 27.1~64 3 中 8.1~27 2 低 1.1~8 1 很低 0.2~1
描述
一旦发生将产生非常严重的经济或社会影响,如组织信 誉严重破坏、严重影响组织的正常经营,经济损失重大、 社会影响恶劣。
信息安全管理
第三章 信息安全管理体系
LOGO
本讲内容
LOGO
1 ISMS实施方法与模型 2 ISMS实施过程 3 ISMS、等级保护、风险评估三者的关系 4 国外ISMS实践 55 总结
ISMS实施方法与模型
LOGO
❖(PCDA)模型
在ISMS的实施过程中,采用了“规划(Plan)-实 施(Do)-检查(Check)-处置(Act)”可简称为P阶段 、D阶段、C阶段、A阶段。
❖实施风险评估
实施风险评估是ISMS建立阶段的一个必须活动,其 结果将直接影响到ISMS运行的结果。
ISMS实施过程
LOGO
❖ 风险评估模型
ISMS实施过程
LOGO
❖风险评估方法
▪ 准备阶段:主要任务是对风险范围进行评估、对 信息进行初步收集,并制定详尽风险评估方案。
▪ 识别阶段:主要识别以下4个对象,并形成各自的 结果列表。
ISMS实施过程
LOGO
▪ 分析阶段 分析阶段是风险评估的主要阶段,其主要包括以下5 个方面的分析: ① 资产影响分析:资产量化的过程,跟据资产遭受破 坏时对系统产生的影响,对其进行赋值量化。 ② 威胁分析:确定威胁的权值(1~55),威胁的等级越高 威胁发生的可能性越大。 ③ 脆弱性分析:依据脆弱性被利用的难易程度和被成 功利用后所产生的影响 来对脆弱性进行赋值量化。 ④ 安全措施有效性分析:判断安全措施对防范威胁、 降低脆弱性的有效性。 ⑤ 综合风险分析:对风险量化,获得风险级别(5 级),等级越高风险越高。
信息安全管理手册-ISO27001
信息安全管理体系管理手册ISMS-M-yyyy版本号:A/1受控状态:■受控□非受控日期:2016年1月8日实施日期:2016年1月8日修改履历版本制订者修改时间更改内容审核人审核意见变更申请单号A /0编写组2016-1-08定版审核人A同意A /1编写组2017-1-15定版审核人B同意第29 页第29 页00 目录00 目录 (3)01 颁布令 (5)02 管理者代表授权书 (6)03 企业概况 (7)04 信息安全管理方针目标 (9)05 手册的管理 (11)06 信息安全管理手册 (12)1 范围 (12)1.1 总则 (12)1.2 应用 (12)2 规范性引用文件 (12)3 术语和定义 (12)3.1 本公司 (13)3.2 信息系统 (13)3.3 计算机病毒 (13)3.4 信息安全事件 (13)3.5 相关方 (13)4 组织环境 (13)4.1 组织及其环境 (13)4.2 相关方的需求和期望 (13)4.3 确定信息安全管理体系的范围 (14)4.4 信息安全管理体系 (14)5 领导力 (14)5.1 领导和承诺 (14)5.2 方针 (15)5.3 组织角色、职责和权限 (15)6 规划 (15)6.1 应对风险和机会的措施 (15)第29 页6.2 信息安全目标和规划实现 (18)7 支持 (18)7.1 资源 (18)7.2 能力 (19)7.3 意识 (19)7.4 沟通 (19)7.5 文件化信息 (19)8 运行 (20)8.1 运行的规划和控制 (20)8.2 信息安全风险评估 (21)8.3 信息安全风险处置 (21)9 绩效评价 (21)9.1 监视、测量、分析和评价 (21)9.2 内部审核 (22)9.3 管理评审 (23)10 改进 (23)10.1 不符合和纠正措施 (23)10.2 持续改进 (24)附录A 信息安全管理组织结构图 (25)附录B 信息安全管理职责明细表 (26)附录C 信息安全管理程序文件清单 (28)第29 页01 颁布令为提高**公司**的信息安全管理水平,保障我公司业务活动的正常进行,防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失,我公司开展贯彻ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了**公司** 《信息安全管理手册》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。
3.确保在整个组织内提高信息安全风险的意识;4.审核风险评估报告、风险处理计划;5.批准发布程序文件;6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。
总经理:日期:信息安全方针和信息安全目标信息安全方针:信息安全人人有责本公司信息安全管理方针包括内容如下:一、信息安全管理机制1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。
特殊岗位的人员应规定特别的安全责任。
对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。
以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。
本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标:1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。
2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)1信息安全管理手册说明1.1公司简介XX1.1编制依据和目的本手册在遵循ISO9001:2005 《信息安全管理体系要求》与ISO/IEC 20000 《信息技术服务管理-规范》的要求编制而成,包括了ISO27001:2005的全部要求,对附录A的删减见《适用性声明SoA》。
手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001:2005信息安全管理标准的要求;满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的IT服务能力和服务质量。
本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。
1.2适用范围信息安全管理&IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。
1.3术语和定义1.3.1本手册应用ISO/IEC 20000中的术语及定义。
1.3.2本手册应用ISO/IEC27001中的术语及定义。
2 信息安全管理&IT服务管理手册的管理2.1手册的编制、批准和发布2.1.1按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结合本公司业务特点,根据ISO/IEC 20000标准的要求编写。
2.1.2《IT服务管理手册》由公司管理者代表批准后发布。
2.2手册的分发2.2.1技术服务事业部负责手册的发放、更新、管理与存档。
2.2.2公司各部门负责手册的使用和保管。
2.3手册的受控状态2.3.1书面形式的手册分“有效文件”和“保留文件”两种形式。
作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。
2.3.2当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。
2.3.3“有效文件”形式的文件在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。
2.3.4电子形式的手册由技术服务事业部在工作流转系统中进行管理。
2.4手册的变更2.4.1因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。
2.4.2更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。
对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。
2.5公司内部手册持有者的责任2.5.1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。
2.5.2妥善保管,不得私自更改、曲解手册的内容。
不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。
3 公司架构和安全承诺3.1公司行政组织架构3.2公司信息安全管理体系组织架构图注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。
3.3公司IT服务管理职能关系架构图3.4信息安全承诺◆公司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。
◆制订信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。
◆提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。
◆对公司信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防范对信息的未经授权访问。
对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。
◆建立业务持续性管理流程。
进行业务持续性风险评估,编写、测试并实施业务持续性计划和灾难恢复计划,以保证公司关键业务的连续,不受重大故障和灾难的影响。
◆确保公司所有员工都接受信息安全的教育培训,提高信息安全意识。
◆保护公司、客户、相关合作方的信息安全。
◆建立公司信息安全组织架构,明确信息安全责任,确定报告可疑的和发生的信息安全事故及事件的流程,对违反安全制度的人员进行惩罚。
◆建立物理安全和网络安全管理制度,以确保信息的安全性。
◆保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。
◆任何人在未经审批的情况下,禁止将信息资产带离公司。
◆公司所有员工都要严格遵守公司的安全方针、程序和制度。
◆控制对内外部网络服务的访问,保护网络服务的安全性与可用性。
◆对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。
◆对重要信息进行备份保护,以保证信息的可用性。
◆定期对信息安全管理体系进行内审和管理评审。
3.5信息安全管理委员会为了加强对信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。
信息安全管理职责明细表备注:以上职能划分,适用所有信息安全管理体系文件。
信息安全管理委员会组成人员:3.6服务管理职能说明3.6.1为保证IT服务管理体系的顺利实施,以及实施后得到持续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。
IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。