信息安全管理手册.docx

信息安全管理手册批准人签字审核人签字制订人签字日期：日期：日期：变更履历序号版本编号或更改记录编号变化状态*简要说明（变更内容、变更位置、变更原因和变更范围）变更日期变更人审核人批准人批准日期*变化状态：C创建，A增加，M修改，D删除1目的为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS）,确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。2范围本手册适用于ISO/IEC27001:20054.2.1a）条款规定范围内的信息安全管理活动。D业务范围：为顾客提供IT信息系统的整体解决方案和运行维护服务、信息系统集成、软件开发，并与最新版本的适用性声明一致2）物理范围：北京海淀区中关村南四街4号四号楼南楼3）资产范围：与1）所述业务活动及2）物理环境内相关的软件，硬件，人员及支持性服务等全部信息资产；4）逻辑边界：公司连接互联网的服务器及相关数据传输的活动；5）组织范围：与公司每年确定的公司最新组织机构图一致；6）IS027001：2005条款的适用性与公司最新版本的适用性声明一致。删减说明：本信息安全管理手册采用了IS0/IEC27001:2005标准正文的全部内容，对标准的附录A的删减见信息安全适用性声明（SOA）。3术语和定义ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求和ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。1） ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求2） ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则3）信息安全适用性声明（SOA）5职责和权限1）信息安全委员会：是信息安全管理体系的归口领导部门；2）信息安全工作小组：是信息安全管理体系维护及管理的管理部门；6信息安全管理体系6.1总要求公司依据ISO/IEC27001:2005标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全管理体系，形成文件；本公司全体员工将有效地贯彻执行并持续改进有效性，对过程的应用和管理详见信息安全管理体系过程模式图（图1）。信息安全管理体系是在公司整体经营活动和经营风险架构下，针对信息安全风险的管理体系；6.2建立和管理ISMS6.2.1建立ISMS,公司应：a）根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界，包括在范围内任何删减的细节和理由（见一.2.范围部分）。b）根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS方针，必须满足以下要求：D为ISMS目标建立一个框架并为信息安全活动建立整体的方向和原则；2）考虑业务及法律或法规的要求，以及合同规定的安全义务；3）在与公司战略和风险管理相一致的环境下，建立和保持ISMS；4）建立风险评价的准则；5）总经理（COO）批准发布ISMS方针。c）定义公司风险评估方法。信息安全工作小组负责建立风险评估管理程序并组织实施。风险评估管理程序包括可接受风险准则和可接受水平。D识别适用于ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。2）建立接受风险的准则并确定风险的可接受等级。选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。注：风险评估具有不同的方法。具体参照国家信息安全风险评估规范标准。3）公司的风险评估的流程公司制定风险评估控制程序，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并确定风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。信息安全风险评估的流程见图2.风险评估流程图。图2.风险评估流程图d）识别风险：1）识别ISMS控制范围内的资产以及这些资产的所有者；在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括业务过程、文档/数据、软件/系统、硬件/设施、人力资源、服务、无形资产等。对每一项信息资产，根据重要信息资产判断依据确定是否为重要信息资产，形成信息资产识别表。2）识别重要信息资产面临的威胁，一项资产可能面对若干个威胁；3）识别可能被威胁利用的脆弱性，一项脆弱性也可能面对若干个威胁；4）识别保密性、完整性和可用性损失可能对资产造成的影响。e）分析并评价风险：1）在资产识别的基础上，针对每一项重要信息资产，依据风险评估原则中的信息资产CIAB分级标准，进行CIAB的资产赋值计算；2）针对每一项重要信息资产，参考风险评估原则中的威胁参考表及以往的安全事故（事件）记录、信息资产所处的环境等因素，识别出重要信息资产所面临的所有威胁；3）按照风险评估原则中的威胁分级标准对每一个威胁发生的可能进行赋值;4）针对每一项威胁，考虑现有的控制措施，参考风险评估原则中的脆弱性参考表识别出被该威胁可能利用的所有薄弱点，并根据风险评估原则中的脆弱性分级标准对每一个脆弱性被威胁利用的难易程度进行赋值；5）按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价。6）按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价。7）按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估赋值，并按照风险评估原则中的风险等级标准评价出信息安全风险等级。8）对于信息安全风险,在考虑控制措施与费用平衡的原则下制定的信息安全风险接受准则，按照该准则确定何种等级的风险为不可接受风险。f）识别并评价风险处理的选择：对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施；D应用适当的控制以降低风险：这可能是降低事件发生的可能性，也可能是降低安全失败（保密性、完整性或可用性丢失）的业务损害。2）如果能证明风险满足公司的方针和风险接受准则，有意的、客观的接受风险；一般针对那些不可避免的风险，而且技术上、资源上不可能采取对策来降低，或者降低对公司来说不经济。“接受风险”是针对判断为不可接受的风险所采取的处理方法，而不是针对那些低于风险接受水平的本来就可接受的风险。3）避免风险；对于不是公司的核心工作内容的活动，公司可以采取避免某项活动或者避免采用某项不成熟的产品技术等来回避可能产生的风险。4）将有关的业务风险转移到其他方，例如保险公司、供方。信息安全工作小组应组织有关部门根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任部门、方法及时间。g）为风险的处理选择控制目标与控制措施。1）应选择并实施控制目标和控制措施，以满足风险评估和风险处理过程所识别的要求。选择时，应考虑接受风险的准则以及法律法规和合同要求。2）信息安全工作小组根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标，并将目标分解到有关部门。信息安全目标应获得信息安全最高责任者的批准。3）从标准的附录A中选择的控制目标和控制措施应作为这一过程的一部分，并满足上述要求。公司也可根据需要选择另外的控制目标和控制措施。注：标准的附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将标准的附录A作为选择控制措施的出发点，以确保不会遗漏重要的控制可选措施。h）获得最高管理者对建议的残余风险的批准,残余风险应该在风险评估表上留下记录，并记录残余风险处置批示报告。D获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。j）准备适用性声明，内容应包括：D所选择的控制目标和控制措施，以及选择的原因；2）当前实施的控制目标和控制措施；3）标准的附录A中控制目标和控制措施的删减，以及删减的理由。4）信息安全工作小组负责组织编制信息安全适用性声明（SoA）。注：适用性声明提供了一个风险处理决策的总结。通过判断删减的理由，再次确认控制目标没有被无意识的遗漏。6. 2.2实施并运作ISMS为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a）制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。b）为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配,明确各岗位的信息安全职责；c）实施所选的控制措施，以满足控制目标。d）确定如何测量所选择的一个/组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控制目标的程度。e）实施培训和意识计划。f）对ISMS的运作进行管理。g）对ISMS的资源进行管理。h）实施能够快速检测安全事件、响应安全事件的程序和其它控制。7. 2.3监控并评审ISMSa）本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：1）快速检测处理结果中的错误；2）快速识别失败的和成功的安全破坏和事件；3）能使管理者确认人工或自动执行的安全活动达到预期的结果；4）帮助检测安全事件，并利用指标预防安全事件；5）确定解决安全破坏所采取的措施是否有效。b）定期评审ISMS的有效性（包括安全方针和目标的符合性，对安全控制措施的评审），考虑安全审核、安全事件、有效性测量的结果，以及所有相关方的建议和反馈。c）测量控制措施的有效性，以证实安全要求已得到满足。d）按照计划的时间间隔，评审风险评估，评审残余风险以及可接受风险的等级，考虑到下列变化：1）组织机构和职责；2）技术;3）业务目标和过程；4）已识别的威胁；5）实施控制的有效性；6）外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。e）按照计划的时间间隔（不超过一年）进行ISMS内部审核。注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司的名义进行的审核。f）定期对ISMS进行管理评审，以确保范围的充分性，并识别ISMS过程的改进。g）考虑监视和评审活动的发现，更新安全计划。h）记录可能对ISMS有效性或业绩有影响的活动和事情。6.2.4保持并持续改进ISMS本公司开展以下活动，以确保ISMS的持续改进：a）实施已识别的ISMS改进措施。b）采取适当的纠正和预防措施。吸取从其他公司的安全经验以及组织自身安全实践中得到的教训。C）与所有相关方沟