下载文档原格式
ISO标准——IEC 27001:2005信息安全管理体系——规范与使用指南Reference numberISO/IEC 27001:2005(E)0简介0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。
采用ISMS应是一个组织的战略决定。
组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。
上述因素和他们的支持系统预计会随事件而变化。
希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。
本国际标准可以用于内部、外部评估其符合性。
0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。
一个组织必须识别和管理许多活动使其有效地运行。
通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。
通常,一个过程的输出直接形成了下一个过程的输入。
组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。
在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性:a)了解组织信息安全需求和建立信息安全策略和目标的需求;b)在组织的整体业务风险框架下,通过实施及运作控制措施管理组织的信息安全风险;c)监控和评审ISMS的执行和有效性;d)基于客观测量的持续改进。
本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。
图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。
采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction0.1 GeneralThis International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.This International Standard can be used in order to assess conformance by interested internal and external parties.0.2 Process approachThis International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS.An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process.The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”.The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security;b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks;c) monitoring and reviewing the performance and effectiveness of the ISMS; andd) continual improvement based on objective measurement.This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8.The adoption of the PDCA model will also reflect the principles as set out in the本国际标准提供一个健壮的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。
信息安全管理体系标准信息安全管理体系标准是指为了保护信息系统和信息资产而建立的一套完整的管理体系。
随着信息技术的飞速发展,信息安全问题日益突出,各种网络攻击、数据泄露事件层出不穷,因此建立和实施信息安全管理体系标准显得尤为重要。
首先,信息安全管理体系标准应当建立在国家法律法规和政策的基础上,充分考虑国家和行业的特点,确保信息安全管理体系的合规性和有效性。
其次,信息安全管理体系标准应当包括信息安全政策、组织结构、人员安全、物理安全、通讯安全、应用系统安全、数据安全、供应商管理、风险管理、应急响应等内容,全面覆盖信息系统和信息资产的安全保护。
在信息安全管理体系标准中,信息安全政策是首要的一环。
信息安全政策应当由高层管理者制定,明确规定信息安全的目标、原则、责任和义务,为信息安全管理体系的建立和实施提供指导和保障。
组织结构和人员安全是信息安全管理体系的重要组成部分,应当明确组织的信息安全管理机构和人员的安全责任,确保信息安全管理体系的有效运行。
物理安全和通讯安全是信息安全管理体系的重点内容,包括机房、设备、网络等的安全保护,防止未经授权的人员和设备进入和访问信息系统,保障信息系统和信息资产的完整性和可靠性。
应用系统安全和数据安全是信息安全管理体系的核心内容,包括应用系统的安全设计、开发、测试和运行,以及数据的安全存储、传输和处理,确保信息系统和信息资产不受恶意攻击和非法访问。
供应商管理、风险管理和应急响应是信息安全管理体系的补充内容,包括供应商的信息安全要求、风险的识别、评估和控制,以及信息安全事件的应急预案和演练,确保信息系统和信息资产在面临各种内外部威胁和风险时能够及时有效地做出应对和处置。
综上所述,信息安全管理体系标准是企业和组织保护信息系统和信息资产的重要手段,建立和实施信息安全管理体系标准能够有效预防和应对各种信息安全威胁和风险,保障信息系统和信息资产的安全可靠运行,提升企业和组织的竞争力和可持续发展能力。
******************各部门信息安全管理职责和流程及岗位职责为实现平台信息化目标,规范平台信息化建设,建立和完善平台信息化管理体系,明确管理职责,保障平台公司信息系统安全、高效、稳定运行,为公司提供准确、有效的财务、生产、技术及其它相关信息,为公司高层科学决策提供依据,从而进一步增强企业的核心竞争力,特设立集团信息部,统筹管理信息化建设,向技术总监负责。
一、组织架构二、公司信息部部门及岗位职责1。
信息部部门职责(1)负责集团信息化建设的总体规划及网络体系结构的设计,负责集团信息化系统选型工作,并负责编制集团信息化总体规划与选型报告,并报集团领导审批。
(2)负责集团信息化系统的推进与执行,负责集团信息化项目实施工作的日常管理,并协调解决项目实施过程中碰到的问题。
(3)负责组织调研集团各部门信息化需求并汇总,负责组织集团财务、生产、技术、办公自动化系统软件的开发,使公司信息化系统形成一个无缝连接的整体。
负责公司各种汇总报表、查询软件、分析软件的二次开发,为领导决策和各业务经营环节提供及时、准确的决策信息。
(4)负责集团所有信息化项目的持续改进与日常维护,负责公司计算机网络及信息管理系统的安全管理、技术支持和维护工作,在保证公司的计算机网络安全运行的前提下,树立服务意识,为公司领导、各业务职能部门提供最优质服务. (5)负责公司人员计算机应用方面的培训,提高公司计算机应用的整体水平和办公效率。
(6)负责公司计算机及相关设备的采购及维修计划编制。
2。
岗位职责1.信息部部长(1)在集团常务副总裁的领导下,负责主持信息部的全面日常工作,负责制定本部门的管理制度及组织建设,并监督本部人员全面完成部门职责范围内的各项工作任务;负责本部门员工的工作检查、考核及评价。
(2)贯彻落实本部岗位责任制和工作标准,密切各部门工作关系,加强与集团各部门的协作配合,做好衔接协调工作;(3)负责集团信息化系统总体构架,构建集团信息化实施组织,结合业务流程、项目管理,实施公司集成信息化系统。
l0, l1, l2, l3, l4的信息化执行标准-回复l0, l1, l2, l3, l4的信息化执行标准是指由ISO/IEC标准化组织颁布的一套关于信息技术管理和信息系统安全的标准。
这些标准分别适用于不同层次和不同领域的组织,从最基础的信息和数据的管理到最高级别的信息系统的安全性保障。
本文将逐步回答关于l0, l1, l2, l3, l4的信息化执行标准的问题。
第一部分:L0级信息化执行标准L0级信息化执行标准是指最基本的信息化管理要求,主要包括以下内容:1. 数据管理:L0级标准要求组织建立和维护一套合适的数据管理体系,包括数据收集、处理、存储和共享等。
这些数据管理活动应当符合数据安全和隐私保护的要求。
2. 系统管理:L0级标准要求组织确保其信息系统的正常运行和维护,包括软硬件设备的管理、补丁更新和故障处理等。
3. 信息安全:L0级标准关注组织的基本信息安全保障要求,如密码策略、安全访问控制和网络防护等。
第二部分:L1级信息化执行标准L1级信息化执行标准在L0级的基础上进一步规范了信息技术管理的要求,主要包括以下内容:1. 信息系统规划:L1级标准要求组织进行信息系统规划,包括明确信息技术发展目标、确定投资规模和制定系统构架等。
2. 风险管理:L1级标准要求组织建立风险管理体系,包括风险评估、风险处理和应急预案等,以应对信息系统面临的各种风险。
3. 业务流程管理:L1级标准要求组织优化和管理业务流程,以提高组织的效率和竞争力。
第三部分:L2级信息化执行标准L2级信息化执行标准在L1级的基础上进一步强调了信息化治理的要求,主要包括以下内容:1. IT战略与治理:L2级标准要求组织明确信息技术战略,并建立相应的治理体系,包括IT投资决策、项目管理和绩效评估等。
2. 组织能力发展:L2级标准要求组织建立组织能力发展体系,包括培训和知识管理等,以提高组织在信息化方面的能力。
3. 信息系统管理:L2级标准要求组织规范信息系统的管理流程,包括系统开发、部署、运维和存储等,以确保系统的可靠性和安全性。
