信息安全管理方针和策略
1、信息安全管理方针和策略
范围
公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。
规范性引用文件
下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。
术语和定义
ISO/IEC 27000中的术语和定义适用于本文件。
公司环境
理解公司及其环境
公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑:
明确外部状况:
社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;
影响组织目标的主要动力和趋势;
与外部利益相关方的关系,外部利益相关方的观点和价值观。
明确内部状况:
治理、组织结构、作用和责任;
方针、目标,为实现方针和目标制定的战略;
基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
与内部利益相关方的关系,内部利益相关方的观点和价值观;
组织的文化;
信息系统、信息流和决策过程(正式与非正式);
组织所采用的标准、指南和模式;
合同关系的形式与范围。
明确风险管理过程状况:
确定风险管理活动的目标;
确定风险管理过程的职责;
确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;
以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;
界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;
确定风险评价的方法;
确定评价风险管理的绩效和有效性的方法;
识别和规定所必须要做出的决策;
确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。
确定风险准则:
可以出现的致因和后果的性质和类别,以及如何予以测量;
可能性如何确定;
可能性和(或)后果的时间范围;
风险程度如何确定;
利益相关方的观点;
风险可接受或可容许的程度;
多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。理解相关方的需求和期望
信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
确定信息安全管理体系范围
本公司ISMS的范围包括
a)物理范围:
b)业务范围:计算机软件开发,计算机系统集成相关信息安全管理活动。
c)内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部。
d)外部接口:向公司提供各种服务的第三方
信息安全管理体系
本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于PDCA模式。
领导力
总经理应通过以下方式证明信息安全管理体系的领导力和承诺:
a)确保信息安全方针和信息安全目标已建立,并与公司战略方向一致;
b)确保将信息安全管理体系要求融合到日常管理过程中;
c)确保信息安全管理体系所需资源可用;
d)向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性;
e)确保信息安全管理体系达到预期结果;
f)指导并支持相关人员为信息安全管理体系有效性做出贡献;
g)促进持续改进;
h)支持信息安全管理小组及各部门的负责人,在其职责范围内展现领导力。
规划
应对风险和机会的措施
总则
公司针对公司内部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信息安全方面的风险。在已确定的ISMS范围内,针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一
项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。
信息安全管理小组制定信息安全风险评估管理程序,经信息安全管理小组组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见《信息安全风险评估管理程序》。
信息安全风险评估
风险评估的系统方法
信息安全管理小组制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》。
资产识别
在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。
评估风险
a)针对每一项信息资产、记录、信息资产所处的环境等因素,识别出所有信息资产所
面临的威胁;
b)针对每一项威胁,识别出被该威胁可能利用的薄弱点;
c)针对每一项薄弱点,列出现有的控制措施,并对控制措施有效性赋值;同时考虑威
胁利用脆弱性的容易程度,并对容易度赋值;
d)判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的
损害,进而对公司业务造成的影响,计算信息资产的安全事件的可能性和损失程度。
e)考虑安全事件的可能性和损失程度两者的结合,计算信息资产的风险值。
f)根据《信息安全风险评估管理程序》的要求确定资产的风险等级。
g)对于信息安全风险,在考虑控制措施与费用平衡的原则下制定风险接受准则,按照
该准则确定何种等级的风险为不可接受风险,该准则在《信息安全风险评估管理程
序》有详细规定,并在《风险评估报告》中进行系统汇报并针对结果处理意见获得
最高管理者批准。
h)获得最高管理者对建议的残余风险的批准,残余风险应该在《残余风险评价报告》
上留下记录,并记录残余风险处置批示报告。
i)获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档
的签署可以作为实施和运作ISMS的授权证据。
信息安全风险处置
风险处理方法的识别与评价
信息安全管理小组应组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理责任部门、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)采用适当的内部控制措施;
b)接受某些风险(不可能将所有风险降低为零);
c)回避某些风险(如物理隔离);
d)转移某些风险(如将风险转移给保险者、供方、分包商)。
选择控制目标与控制措施
信息安全管理小组根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标。信息安全目标应获得总裁的批准。
控制目标及控制措施的选择原则来源于附录A。本公司根据信息安全管理的需要,可以
选择标准之外的其他控制措施。
适用性声明SoA
信息安全管理小组编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述;
b)对ISO/IEC 27001:2013附录A中未选用的控制目标及控制措施理由的说明。
残余风险
对风险处理后的残余风险应形成《残余风险评估报告》并得到信息安全最高责任人的批准。信息安全管理小组应保留信息安全风险处置过程的文件化信息。
信息安全目标和实现规划
根据公司的信息安全方针,经过最高管理者确认,公司的信息安全管理目标为:
顾客保密性抱怨/投诉的次数不超过1起/年。
受控信息泄露的事态发生不超过3起/年
秘密信息泄露的事态不得发生。
信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施,明确控制措施改进时间表。对于各部门信息安全目标的完成情况,按照《信息安全目标及有效性测量程序》的要求,周期性在主责部门对各控制措施的目标进行测量,并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。
支持
资源
总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。能力
办公室应:
a)确定公司全体员工影响公司信息安全绩效的必要能力;
b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d)保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,对新入职员工进行的信息安全意识教育;定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。
意识
公司全体员工应了解:
a)公司的信息安全方针;
b)个人其对公司信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益
处;
c)不符合信息安全管理体系要求带来的影响。
沟通
信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求,包括:
a)沟通内容;
b)沟通时间;
c)沟通对象;
d)谁应负责沟通;
e)影响沟通的过程。
文件化信息
总则
公司的信息安全管理体系应包括:
a)本标准要求的文件化信息;
b)信息安全管理小组确保信息安全管理体系的有效运行,需编制《文件控制程序》用
以管理公司信息安全管理体系的相关文件。
创建和更新
创建和更新文件化信息时,信息安全管理小组应确保适当的:
a)标识和描述(例如标题、日期、作者或编号);
b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);
c)对适宜性和充分性的评审和批准。
文件化信息的控制
信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保:
a)在需要的地点和时间,是可用和适宜的;
b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
c)为控制文件化信息,适用时,科技规划部应开展以下活动:
d)分发,访问,检索和使用;
e)存储和保护,包括保持可读性;
f)控制变更(例如版本控制);
g)保留和处置。
信息安全管理小组需在《文件控制程序》中规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。
运行
运行规划和控制
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《信息安全风险处理计划》,以确定适当的管理措施、职责及安全保密控制措
施的优先级,应特别注意公司外包过程的确定和控制;对于系统集成和IT外包运
维服务项目,项目经理应在项目策划阶段识别所面临的信息安全风险,并在项目全
过程中对信息安全风险进行监控和更新。
b)为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)进行信息安全培训,提高全员信息安全意识和能力;
e)对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必
要时采取措施减缓负面影响;
f)对信息安全所需资源进行管理;
g)实施控制程序,对信息安全事故(或事件)进行迅速反应。
总经理为本公司信息安全最高责任者。
办公室制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理
体系的运行情况和必要的改善措施向信息安全最高责任者报告。
各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施,并形成文件;全体员工都应按保密承诺的要求自觉履行信息安全义务。
各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施。
信息安全管理小组应对满足信息安全要求及实施中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现中确定的信息安全目标。
信息安全管理小组应保持文件化信息达到必要的程度,以确信过程按计划得到执行。
信息安全管理小组应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
各部门确定本部门业务过程中的外包活动,并对外包过程进行必要的控制。
信息安全风险评估
公司按照组织《信息安全风险评估管理程序》的要求,每年定期或当重大变更提出或发生时,执行信息安全风险评估。每次风险评估的过程均需形成记录,并由信息安全管理小组保留每次风险评估的记录,如:风险评估报告、风险处理计划等。
信息安全风险处置
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《风险处理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先
级;
b)为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)进行信息安全培训,提高全员信息安全意识和能力;
e)对信息安全体系的运作进行管理;
f)对信息安全所需资源进行管理;
信息安全管理小组负责组织相关人员,定期检查风险处理计划的执行情况,并保留信息安全风险处置结果的文件化信息。
绩效评价
监视、测量、分析和评价
本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息安全管理体系运行的情况,并报告结果以实现:
a)及时发现信息安全体系的事故和隐患;
b)及时了解信息处理系统遭受的各类攻击;
c)使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施;
d)积累信息安全方面的经验。
按照计划的时间间隔(不超过一年)进行ISMS内部审核,内部审核的具体要求。
根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈,由最高责任者主持,每年对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。
管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a)组织机构发生重大变更;
b)信息处理技术发生重大变更;
c)公司业务目标及流程发生重大变更;
d)发现信息资产面临重大威胁;
e)外部环境,如法律法规或信息安全标准发生重大变更。
保持上述活动和措施的记录。
以上活动的详细程序规定于以下文件中:
《控制措施有效性的测量程序》
《信息安全职责权限划分对照表》
《信息安全风险评估管理程序》
《内部审核控制程序》
内部审核
内部信息安全审核主要指内部信息安全管理体系审核,其目的是验证公司信息安全管理体系运行的符合性和有效性并不断改进和完善公司的信息安全管理体系。
组织审核
a)公司统一组织、管理内部信息安全审核工作,信息安全管理小组负责制定《内部审
核控制程序》并贯彻执行;
b)管理者代表负责领导和策划内部审核工作,批准年度内审计划和追加审核计划,批
准审核组成员,批准审核实施计划,审批年度内审报告;
c)信息安全管理小组负责对审核组长及成员提名,编制年度审核计划和追加审核计
划,报管理者代表批准后执行。
d)审核组长组织和管理内部审核工作,根据实际情况和重要性安排审核顺序实施审
核。
e)审核员不应审核自己的工作。
实施审核
a)审核组长编制的审核计划,经管理者代表批准后,负责在实施审核前5天向被审核
方发出书面审核通知;
b)审核小组按《内部审核控制程序》实施审核;
c)审核员收集客观证据,通过分析整理做出公正判断,填写《内审不合格报告》提交
审核组长,并请被审核部门经理在报告上签字认可。
审核报告
审核组长应在完成全部审核后,按规定格式编写《内部管理体系审核报告》提交信息安全管理小组,经其审阅后报管理者代表,《内部管理体系审核报告》作为管理评审的输入证据。
纠正措施和跟踪验证
a)被审核部门经理制定纠正措施,填写在《内审不合格报告》中。
b)纠正措施完成后后,应将纠正措施完成情况填写到《内审不合格报告》相应栏内,
然后将《内审不合格报告》交到审核组长。
c)审核组长视具体情况通知审核组复查,跟踪验证纠正措施实施情况,并将验证结果
填写在《内审不合格报告》中。
审核记录
审核组长应收集所有内部信息安全审核中发生的计划通知、内部审核检查表、记录、审核报告、总结等原始资料,整理后由信息安全管理小组负责保管内审相关记录。
管理评审
总则
信息安全最高责任者为确认信息安全管理体系的适宜性、充分性和有效性,每年对信息安全管理体系进行一次全面评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价,以及对信息安全方针和信息安全管理目标的评价。管理评审的结果应形成书面记录,并至少保存3年,按照《文件控制程序》的要求进行受控访问。
管理评审的输入
在管理评审时,信息安全管理小组应组织相关部门提供以下资料,供信息安全管理最高责任者和各部门负责人进行评审:
a)ISMS体系内、外部审核的结果;
b)相关方的反馈(投诉、抱怨、建议);
c)可以用来改进ISMS业绩和有效性的新技术、产品或程序;
d)信息安全目标达成情况,纠正和预防措施的实施情况;
e)信息安全事故或征兆,以往风险评估时未充分考虑到的薄弱点或威胁;
f)上次管理评审时决定事项的实施情况;
g)可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求);
h)对信息安全管理体系改善的建议;
i)有效性测量结果。
管理评审的输出
信息安全管理最高责任者对以下事项做出必要的指示:
a)信息安全管理体系有效性的改善事项;
b)信息安全方针适宜性的评价;
c)必要时,对影响信息安全的控制流程进行变更,以应对包括以下变化的内外部事件
对信息安全体系的影响:
业务发展要求;
信息安全要求;
业务流程;
法律法规要求;
风险水平/可接受风险水平。
d)对资源的需求。
以上内容的详细规定见《管理评审控制程序》。
改进
不符合和纠正措施
发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和的原因,防止不符合事项再次发生。
信息安全管理小组负责制定《纠正措施控制程序》并组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施,以消除不符合,并防止不符合的再次发生。
对纠正措施的实施和验证规定以下步骤:
a)识别不符合;
b)确定不符合的原因;
c)评价确保不符合不再发生的措施要求;
d)确定和实施所需的纠正措施;
e)记录所采取措施的结果;
f)评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。
持续改进
公司的持续改进是信息安全管理体系得以持续保持其有效性的保证,公司在其信息管理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进信息安全管理体系的有效性。
本公司开展以下活动,以确保ISMS的持续改进:
a)实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b)按照《内部审核管理程序》、《纠正措施管理程序》的要求采取适当的纠正和预防措
施;
c)吸取其他组织及本公司安全事故的经验教训,不断改进安全措施的有效性;
d)对信息安全目标及分解进行适当的管理,确保改进达到预期的效果;
为了确保信息安全管理体系的持续有效,各级管理者应通过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如:管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等。
信息安全管理方针方针
公司的信息安全管理方针:
安全第一,预防为主;全员参与,综治风险;
遵纪守法,提高绩效;成本可控,持续发展。
对于信息安全方针的解释:
a)满足客户要求:满足顾客的要求是企业运营的必然选择。
b)保障信息安全:信息安全是企业管理的重中之重。
c)遵守法律法规:遵守法律法规是企业生存之前提,满足法律法规及相关行业标准/
技术规范的要求也是本公司必须承担的社会责任。
d)持续改进管理:控制风险是前提,风险自身是动态的过程。通过各种方式提升公司员工
的信息安全意识,提高公司的信息安全管理过程。
本公司承诺提供一切可能的资源与先进的技术,保证信息的保密性、可用性和完整性,有针对性地采取一切必要的安全措施。使用有效的风险评估的工具和方法,严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练,关键信息数据异地备份,制订业务连续性计划,以确保业务的持续进行。
为了满足适用法律法规及相关方要求,维持计算机系统集成及服务、计算机应用软件的设计开发及服务活动的正常进行,本公司依据ISO/IEC27001:2013标准,建立信息安全管理体系,以保证与公司经营管理相关信息的保密性、完整性、可用性和可追溯性,实现业务可持续发展的目的。本公司将:
a)在公司内各层次建立完整的信息安全管理组织机构,确定信息安全方针、安全保密
目标和控制措施,明确信息安全的管理职责;
b)识别并满足适用法律、法规和相关方信息安全要求;
c)定期进行信息安全风险评估,ISMS评审,采取纠正预防措施,保证体系的持续有
效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e)对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能
力;
f)制定并保持完善的业务连续性计划,实现可持续发展。
上述方针的批准、发布及修订由公司信息安全最高责任者负责;通过培训、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保密意识及服务水平;并定期通过《管理评审控制程序》评审其适用性、充分性,必要时予以修订。
组织的角色,职责和权限
公司经营管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
各部门的信息安全管理职责决定本部门组织形式和业务分担,并形成文件。
总经理为本公司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
2、制度与规范、业务流程
信息安全与保密管理制度
为了保证项目网络数据的安全保密,维持安全可靠的计算机应用环境,特制定本规定。
凡项目组从事项目管理工作的员工都必须执行本规定。
项目的合同、需求说明、设计变更、工作联系单、工程洽商单、经济签证单、公司内部资料等必须由各部门信息管理员妥善管理,严禁外借,严禁非相关人员传阅、查看。
对接入计算机及设备,必须符合一下规定:
在未经许可的情况下,不得擅自对处计算机及其相关设备的硬件部分进行修改、改装或拆卸配置,包括添加光驱、软驱,挂接硬盘等读写设备,以及增加串口或并口外围设备,如扫描仪、打印机等。
非我项目的计算机及任何外设,不得接入网络系统。
严禁私自开启计算机机箱封条或机箱锁。
凡使用项目配备计算机网络系统的员工,必须遵守以下规定;
未经批准,严禁非本项目工作人员使用除计算机及任何相关设备。
对新上网使用办公网络系统的员工,由办公室负责上岗前的计算机网络设备系统安全及信息保密的技术培训工作。
未经批准,任何人严禁将其以任何形式(如数据形式:Internet、软盘、光盘、硬磁盘等;硬拷贝形式:图纸打印、复印、照片等)复制、传输或对外提供。
任何员工均不得超越权限侵入网络中未开放的信息,不得擅自修改入库数据资料和修改他人数据资料。
严格执行国家、有关保密、安全及办公自动化系统的有关法律、法规的规定和要求。各部门应自觉按照有关规定和要求配合做好保密和信息安全工作。
任何经由我公司外网接入互联网的员工,必须严格遵守国家有关法律、法规。
凡使用公司网络系统的员工,必须配合网络管理员做好防病毒工作。
信息安全策略总纲
信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度,为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 (一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。
(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据 (三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 (四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。 (五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
完整版ISO27001信息安全管理手册
信息安全管理手册iso27001 信息安全管理手册V1.0 版本号:
信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职
信息安全管理方针和策略
1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
?与内部利益相关方的关系,内部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间范围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
1-信息安全工作总体方针和安全策略
信息安全工作 总体方针和安全策略
第一章总则 第一条为加强和规范技术部及各部门信息系统安全工作,提高技术部信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为技术部信息系统安全管理提供一个 总体的策略性架构文件。该文件将指导技术部信息系统的安全管理体系的建立。安全管理体系的建立是为技术部信息系统的安全管理工作提供参照,以实现技术部统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第二章适用范围 第三条本文档适用于技术部信息系统资产和信息技术人员的 安全管理和指导,适用于指导公司信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于公司安全管理体系中安全管理措施的选择。 第三章引用标准及参考文件 第四条本文档的编制参照了以下国家、中心的标准和文件 一 《中华人民共和国计算机信息系统安全保护条例》 二 《关于信息安全等级保护建设的实施指导意见》信息运安〔2009〕
27 号 三 《信息安全技术信息系统安全等级保护基本要求》 GB/T 22239-2008 四 《信息安全技术信息系统安全管理要求》 GB/T 20269—2006 五 《信息系统等级保护安全建设技术方案设计要求》 报批稿 六 《关于开展信息安全等级保护安全建设整改工作的指导意见》 公信安[2009]1429号 第四章总体方针 第五条企业信息服务平台系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。 第五章总体目标 第六条信息系统安全总体目标是确保企业信息服务平台系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。 第六章信息安全工作的总体原则
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
十八、信息安全管理制度
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
信息安全工作总体方针和安全策略
1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
信息安全工作总体方针
信息安全工作总体方针 第一章总则 第一条为加强和规范信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为本公司信息系统安全管理提供一个总体的策略性架构文件,该文件将指导信息系统的交全管理体系的建立。立全管理体系的建立是为信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三条本文档适用各单位信息系统资产和信息技术人员的安全管理和指导,适用于信息系统安全策略的制定、安全方案的规划和安全建设的实施、适用于安全管理体系中安全管理措施的选择。 第四条引用标准及参考文件 本文档的编制参照了以下国家的标准和文件: (一)《中华人民共和国计算机信息系统安全保护条例》 (二)《关于信息安全等级保护建设的实施指异意见》(信息运安
(2009)27号)
(三)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) (四)《信息安全技术信息系统安全管理要求》(GB/T 20269一 2006) (五)《信息系统等级保护交全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指异意见》(公信交[2009]1429号) 第二章方针、目标和原则 第五条信息系统安全坚持"安全第一、预防为主,管理和技术并重,综合防范“的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。 第六条信息系统安全总体目标是确保信息系统持续、隐定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统朋溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据云失和失密,防止有害信息在网上传播,防止对
公司信息安全管理制度
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
信息安全演讲稿
信息安全演讲稿 篇一:信息安全演讲稿 呵呵,前面都是文科生的演讲,下面是理科生的。尊敬的各位领导、同事们:大家好,很高兴能参加这次演讲,生命是如此的精彩,生命是如此的辉煌,不过今天我演讲的内容里没有生死间的大悲恸,也没有平平仄平平的华丽辞藻,我演讲题目是:互联, 精彩而危险的世界。 XX年,中国开发联盟csdn,中国最大的开发者技术社区,密码泄漏,超1亿用户密码 被泄,黑客在上公开了一部分用户信息数据库,导致600余万个注册邮箱账号和与之对应的 明文密码泄露。这次事件以后,又陆续曝出了多玩、人人、搜狗浏览器等安全事件。唔前面的案例大家没有亲身体会,说个大家接触过的,考过职称考试的人都知道,有时候会被杂志社打电话问到要不要发表职称论文,呵呵,这个大家都有经验吧,恩,很明显你 的电话信息泄露了呀,怎么泄露的呢,考职称考试要上注册报名缴费吧?报名时电话号码 是必填选项,呃,基本就是这么泄露的。当然很可能其他信息也泄露了。下面进入正题,我的演讲的内容分为四个版块:什么叫络安全、络安全的重要性、
络安全的现状、如何防范络安全、打造一个和谐络。首先讲一下什么是我们这里所讲的“络安全”,络安全呢,就是指络系统的硬件、 软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露, 系统连续可靠正常地运行,络服务不中断。络安全是一门涉及计算机科学、络技术、通信技术、密码技术、信息安全技术、应 用数学、数论、信息论等多种学科的综合性学科。是个高难度的行业啊。有人说过,“谁掌握领了信息,控制了络,谁将拥有整个世界。”这句话不完全对啊。 不过这点在股市里体现的挺好。从此可见掌握络是何等的重要,络安全的重要性也从中 体现出来。 在大量络应用中,安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。 在一个开放的络环境中,大量信息在上流动,这为不法分子提供了攻击目标。他们利用 不同的攻击手段,获得访问或修改在中流动的敏感信息,闯入用户或政府部门的计算机系 统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的络诈骗,其“低成本和高
ISMS-3012信息安全方针信息安全策略管理制度
深圳市首品精密模型有限公司 信息安全方针信息安全策略管理制度 文件编号:ISMS-3012
变更履历
第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行 £027001:2013《信息技术安全技术信息安全管理体系?要求》,保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组 成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信 息安全委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需 要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排;
ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责:
a) 建立服务管理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
互联网企业网站信息安全管理制度全套
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
信息安全方针和信息安全目标(参照模板)
信息安全方针和信息安全目标 信息安全方针:信息安全人人有责 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。 二、信息安全管理组织 2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。 3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。 5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。 三、人员安全 6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 7.对本公司的相关方,要明确安全要求和安全职责。 8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安
全意 9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 五、风险评估 11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。 13.应根据风险评估的结果,采取相应措施,降低风险。 六、报告安全事件 14.公司建立报告信息安全事件的渠道和相应的主管部门。 15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。 16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
网站信息安全管理制度(全)
网站信息安全保障措施 网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用
补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我校网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删
信息安全方针
密级:敏感 文档编号:ISMS-A-01信息安全方针 版本号:V1.0 --------------------------------------------------------------------- 保密说明:。
修订页
目录 1.目的和使用范围 (4) 2.信息安全定义 (4) 3.信息安全方针 (4) 4.安全管理机构 (4) 5.职责 (5) 6.信息安全管理体系实施框架 (6) 7.重要原则、标准和符合性要求 (6) 8.评审 (7) 9.相关文件 (7)
1.目的和适用范围 信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了公司的信息安全管理体系的范围。 本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。 2.信息安全定义 信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。 信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。 3.信息安全方针 公司信息安全方针为:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营。 4.安全管理机构 根据ISO/IEC 27001:2005的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立以下不同级别的信息安全管理机构。 信息安全管理委员会 信息安全管理委员会是本公司信息安全管理工作的最高领导机构,承担以下方面的工作: 1)审批信息安全方针和总体职责; 2)审批信息安全的特殊方法和过程,如风险评估等; 3)审批加强信息安全的重大举措; 4)提供所需要的足够的资源; 5)协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。 信息安全委员会主席由总经理担任,常务副主席由公司总经理任命(管理者代表);信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为:在信息安全管理委员会主席/副主席的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。 信息安全员 相关部门指定一位兼职的信息安全员,参与/配合信息安全委员会的活动,指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。
网络安全工作总体方针和安全策略
XXX单位网络安全工作 总体方针与安全策略 V1、0 目录 1总则?1 1、1目标?1 1、2适用范围?1 1、3建设思路 (1) 1、4建设原则 (3) 1、5建设目标 (4) 2?安全体系框架 (5) 2、1?安全模型 (5) 2、2?安全体系框架?7 3?建设内容?13 3、1?组织机构 (13) 3、2?人员管理................................................................................................ 13 3、3?物理管理 (13) 3、4?网络管理................................................................................................ 14 3、5?系统管理 (14) 14 3、6应用管理? 3、7数据管理?14 3、8?运维管理? 15 4总体安全策略 (15) 4、1物理环境安全策略?15 4、2通信网络安全策略? 16 4、3区域边界安全策略 (17)
4、4?计算环境安全策略................................................................................ 18 19 4、5安全管理中心策略? 20 5?附则?
1总则 为加强与规范XXX单位网络安全工作,提高网络安全防护水平,实现网络安全得可控、能控、在控,依据国家有关法律、法规得要求,制定本文档. 1.1目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保网络安全以及实现持续改进得目得等内容作为本单位网络安全工作得总体方针。以信息网络得硬件、软件及其系统中得数据受到保护,不受偶然得或者恶意得原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 1.2适用范围 本文档适用于网络安全方案规划、安全建设实施与安全策略得制定。在全单位范围内给予执行,由信息安全领导小组对该项工作得落实与执行进行监督,由技术部配合信息安全领导小组对本案得有效性进行持续改进。 1.3建设思路 XXX单位信息安全建设工作得总体思路如下图所示: