ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册
发布令
本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:
a) 建立服务管理计划;
b) 向组织传达满足服务管理目标和持续改进的重要性;
e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;
1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。
总经理:
日期:
信息安全方针和信息安全目标
信息安全方针:信息安全人人有责
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。
7.对本公司的相关方,要明确安全要求和安全职责。
8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。
9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。
13.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
14.公司建立报告信息安全事件的渠道和相应的主管部门。
15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
19.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标:
1.不可接受风险处理率:100% (所有不可接受风险应降低到可接受的程度)。
2.重大顾客因信息安全事件投诉为0次(重大顾客投诉是指直接经济损失金额达1万元以上)
1信息安全管理手册说明
1.1公司简介
XX
1.1编制依据和目的
本手册在遵循ISO9001:2005 《信息安全管理体系要求》与ISO/IEC 20000 《信息技术服务管理-规范》的要求编制而成,包括了ISO27001:2005的全部要求,对附录A的删减见《适用性声明SoA》。
手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001:2005信息安全管理标准的要求;满足本公司向客户提供IT服务所需的IT基础设施和IT技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的IT服务能力和服务质量。
本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。
1.2适用范围
信息安全管理&IT服务管理体系手册适用于本公司提供安全管理体系认证服务与IT服务有关的所有部门和活动。
1.3术语和定义
1.3.1本手册应用ISO/IEC 20000中的术语及定义。
1.3.2本手册应用ISO/IEC27001中的术语及定义。
2 信息安全管理&IT服务管理手册的管理
2.1手册的编制、批准和发布
2.1.1按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结
合本公司业务特点,根据ISO/IEC 20000标准的要求编写。
2.1.2《IT服务管理手册》由公司管理者代表批准后发布。
2.2手册的分发
2.2.1技术服务事业部负责手册的发放、更新、管理与存档。
2.2.2公司各部门负责手册的使用和保管。
2.3手册的受控状态
2.3.1书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外部认证机构的手册均为“有效文件”形式。
2.3.2当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。
2.3.3“有效文件”形式的文件在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。
2.3.4电子形式的手册由技术服务事业部在工作流转系统中进行管理。
2.4手册的变更
2.4.1因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示,技术服务事业部组织相关部门对涉及变更的内容进行更新,并经公司总经理批准后发布。
2.4.2更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。
2.5公司内部手册持有者的责任
2.5.1与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。
2.5.2妥善保管,不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播,如需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。
3 公司架构和安全承诺3.1公司行政组织架构
3.2公司信息安全管理体系组织架构图
注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位的安全员。
3.3公司IT服务管理职能关系架构图
3.4信息安全承诺
◆公司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。
◆制订信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。
◆提供充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。
◆对公司信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防
范对信息的未经授权访问。对公司信息资产进行风险评估,制定风险可接受标准,对公司不能接受的风险进行处置。
◆建立业务持续性管理流程。进行业务持续性风险评估,编写、测试并实施业务持续性
计划和灾难恢复计划,以保证公司关键业务的连续,不受重大故障和灾难的影响。
◆确保公司所有员工都接受信息安全的教育培训,提高信息安全意识。
◆保护公司、客户、相关合作方的信息安全。
◆建立公司信息安全组织架构,明确信息安全责任,确定报告可疑的和发生的信息安全
事故及事件的流程,对违反安全制度的人员进行惩罚。
◆建立物理安全和网络安全管理制度,以确保信息的安全性。
◆保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。
◆任何人在未经审批的情况下,禁止将信息资产带离公司。
◆公司所有员工都要严格遵守公司的安全方针、程序和制度。
◆控制对内外部网络服务的访问,保护网络服务的安全性与可用性。
◆对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。
◆对重要信息进行备份保护,以保证信息的可用性。
◆定期对信息安全管理体系进行内审和管理评审。
3.5信息安全管理委员会
为了加强对信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信息安全管理委员会,其职责见下列明细表。
信息安全管理职责明细表
备注:以上职能划分,适用所有信息安全管理体系文件。信息安全管理委员会组成人员:
3.6服务管理职能说明
3.6.1为保证IT服务管理体系的顺利实施,以及实施后得到持续的管理和维护,在现有的组织架构外建立服务管理职能关系架构。IT服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的IT服务管理体系中仍将发挥其作用。服务部根据IT服务管理程序要求对所有服务合同按照项目进行管理与运行,由项目经理按照服务管理职能关系架构中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信息安全管理、供应商管理和IT财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、服务级别管理以及服务报告可由服务部经理依照与用户签署的服务合同进行选择裁剪。
3.6.2 角色分配说明
3.6.2.1针对服务部当前组织架构及人员状况,将不再为每一具体流程分配流程经理。为此将13个流程,按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管理和控制。对项目组成员主要是组织、协调、安排相应工作任务的完成,可能并不是由自己去完成。3.6.2.1.1 项目经理
职责说明:
1)、负责IT服务项目的立项工作,按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排项目组成员完成相应工作任务。
2)、负责从服务台接受事件报告开始,分配相应的职能小组进行事件处理,直至找到问题的根本原因的整个过程的管理和协调。
3)、负责各系统的配置管理、变更和发布控制。
4)、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练,并负责系统容量的规划和监控。5)、主要负责与用户的沟通,对供应商的管理,以及项目的预/决算的管理。
3.6.2.1.2能力要求:
熟悉服务部的各种服务管理流程,具有较强的内部协调能力。
由管理者代表授权技术服务事业部总监,按ISO/IEC 20000的要求,负责协调和组织所有与IT服务有关的活动,通过管理和实施各项活动,使IT服务业务的质量得到有效的保持和维护。
技术服务事业部组织制订、批准和发布公司IT服务策略、服务目标,并使其成为公司关注的焦点,成为公司协调、统一、凝聚公司的所有活动和资源的准则,成为建立、实施、保持并改进IT服务管理体系的宗旨。
3.6.3公司IT服务策略:
客户至上、全员参与、创新高效、系统管理、追求卓越
公司IT服务目标:
公司通过服务质量改进程序确定年度服务质量目标
公司的IT服务目标按ISO/IEC 20000的要求,与公司的业务相结合,并通过流程绩效不断提高和改进。技术服务事业部负责组织相关部门,通过会议、评审、书面报告、培训等方式,及时有效沟通工作,达到IT服务管理目标和持续改进的需求,并在公司中积极贯彻实施IT服务管理的重要性。
技术服务事业部负责组织相关部门按照PDCA的要求,通过对所属业务的规划,适时优化和提供资源以计划、实施、监控、评审和改进IT服务的交付和管理。
管理者代表按照《服务质量改进管理程序》中的计划间隔,由技术服务事业部负责组织相关部门实施IT 服务管理体系的内部审核,确保IT服务管体系的有效性与符合性。
管理者代表按照《服务质量改进管理程序》中的计划间隔,组织相关部门执行IT服务管理体系的管理评审,确保IT服务管理体系持续的稳定、充分和有效。
3.6.4文件要求
3.6.4.1公司的文件管理体系分为A、B、C、D四层,即A层为管理手册、B层为程序文件、C层为工作流程或规定、D层为记录。
3.6.4.2管理手册—描述IT服务管理体系的文件,是全体员工必须长期遵循的法规性文件。3.6.4.3程序文件—覆盖公司主要业务过程的流程文件,是管理手册的支撑性文件。3.6.4.4工作流程或规定—是开展具体业务工作的规范类、指导性文件,是程序文件的支持性文件。3.6.4.5记录—在开展具体业务工作过程中产生的记录类文件,主要是为具体工作结果提供各种可追溯性证据。
3.6.4.6技术服务事业部负责组织制订《文件和记录管理程序》,明确文件的拟制、批准、发放、变更、存档等管理要求,并监控实施。
3.6.4.7技术服务事业部负责组织相关部门,根据公司的业务特点及标准的要求,制订相关的程序文件,经公司管理者代表批准后实施。
3.6.4.8技术服务事业部负责组织拟制与本部门业务相关的各类C层文件,并按《文件和记录管理程序》的要求对文件和记录的有效性进行管理。
4信息安全管
4.1总要求
4.1.1 公司根据整体业务活动(软件开发、经营、服务和日常管理活动)和所面临的风险,按ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定,参照ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。
4.1.2本手册使用的过程基于PDCA模式。
相关文件:
《信息安全方针及目标》
4.2建立和管理信息安全管理体系(ISMS)
4.2.1建立ISMS
4.2.1.1 信息安全管理体系的范围和边界
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;
b) 与所述信息系统有关的活动;
c) 与所述信息系统有关的部门和所有员工;
d) 所述活动、系统及支持性系统包含的全部信息资产。
组织范围:
本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册JIN/QM—3.2《公司信息安全管理体系组织架构》。
物理范围:
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司ISMS的物理范围为本公司位于xxxxxxxxxxxxxxx的办公场所,安全边界详见附录A(规范性附录)《办公场所平面图》。
4.2.1.2 信息安全管理体系的方针
为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.3条款。
该信息安全方针符合以下要求:
a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
b) 考虑业务及法律或法规的要求,及合同的安全义务;
c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;
d) 建立了风险评价的准则;
e) 经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责,见本信息安全管理手册第3.4条款。;
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f) 制定并保持完善的业务连续性计划,实现可持续发展。
4.2.1.3 风险评估的方法
生技部负责制定《信息安全风险管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。信息安全风险评估采用信息安全风险管理软件
(Info-riskmanager)进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
4.2.1.4 识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险管理程序》,采用Info-riskmanager风险管理软件,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断依据确定是否为重要资产,形成了《重要资产清单》。
同时,根据《信息安全风险管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。4.2.1.5 分析和评价风险
本公司按《信息安全风险管理程序》,采用信息安全风险管理软件,分析和评价风险:
a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 根据《信息安全风险管理程序》计算风险等级;
d) 根据《信息安全风险管理程序》及风险接受准则,判断风险为可接受或需要处理。
4.2.1.6 识别和评价风险处理的选择
网络管理部组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a) 控制风险,采用适当的内部控制措施;
b) 接受风险(不可能将所有风险降低为零);
c) 避免风险(如物理隔离);
d) 转移风险(如将风险转移给保险者、供方、分包商)。
4.2.1.7选择控制目标与控制措施
网络管理部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《信息安全适用性声明》):
a)信息安全控制目标获得了信息安全最高责任者的批准。
b)控制目标及控制措施的选择原则来源于ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实用规则》。
c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
4.2.1.8 对风险处理后的剩余风险,得到了公司最高管理者的批准。
4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。
4.2.1.10 适用性声明
生技部负责编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述,以及选择的原因;
b)对ISO/IEC 27001:2005附录A中未选用的控制目标及控制措施理由的说明。
4.2.2实施和运行ISMS
4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b)为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力;
f)对信息安全体系的运作进行管理;
g)对信息安全所需资源进行管理;