信息安全管理体系审核实践
信息安全管理体系审核实践
-----引导企业逐步全方位加强信息安全管理
推荐机构:北京新世纪检验认证有限公司
案例交流人:宋鹏
一、受审核方背景
1、受审核组织:北京国双科技有限公司
2、认证领域及审核性质:信息安全管理体系初次审核
3、现场审核时间:2018年3月28-30日
4、审核人员:宋鹏(组长)罗海鹰(组员)李孟显(组员)文艺杰(组员)汪莹(一部)
(实习组员)
5、组织主要产品服务:北京国双科技有限公司经过一阶段审核后,确认经营地址位于北京市海淀区双
榆树小区知春路76号翠宫饭店写字楼8层、9层A区、10层、11层、12层和14层,其主要业务过程是云计算企业级大数据分析和人工智能解决方案提供商,主要为司法,新媒体(如网络电视台,OTT视频点播)主要做节目播出效果检测,同时也为政府部门提供相应产品,同时公司的所有业务都在信息安全管理体系范围内;此次认证范围是:与基于大数据与人工智能技术的软件开发、技术运维、技术咨询、系统集成服务相关的信息安全管理;适用性声明:Q/ISMS-A-03版本:A/0;
SOA文件中只删减了A14.2.7一条控制措施;
二、审核过程
1、审核准则与目的
此次审核是应我公司的委派实施的第三方审核,审核过程依据国标GB/T22080-2016/ISO/IEC27001:2013,公司的信息安全管理体系文件以及适应的法律法规(参见受审核组织收集的法律法规清单);审核的主要目的是评价组织信息安全管理体系的建立、运行的符合性及有效性,以确定能否推荐认证注册。
2、受审核组织结构与信息安全职责
公司由领导层、技术部、运营管理部、财务部、商业事业群、政企业务部组成,在此基础上成立信息安全小组,统一组织领导公司的信息安全体系的实施,由管代任组长定期向最高管理者汇报ISMS 运行情况;其中:
1)领导层/信息安全小组
负责组织实施管理体系的策划、实施、运行、检测和改进,具体体现在ISMS职责分配、文件
的审批、信息安全风险管控、内审和管理评审实施等;
2)技术部
负责软件开发与技术运维过程,公司IT网络(含机房和IDC机房)以及计算机设备管理过程
的信息安全管理;
3)运营管理部
运营管理部主要负责公司运营支持过程,分别由行政部、人力资源部、法务部、合同部、知识
产权部、公关部和市场部组成。负责公司的人事、行政、法律法规合规评价、合同管理、对外
公关以及市场品牌宣传过程管理等;
4)财务部
负责公司财务预决算、财务报表、报税等工作,并保证财务数据的可用、准确和安全;
5)商业事业群
领完成公司下达的区域销售任务指标,在市场部门配合下制定产品、解决方案的销售计划和方
法;保证客户信息安全;
6)政企业务部
负责承接系统集成、咨询服务项目,售前方案部门将所有材料,包括完整的设计(或施工)方案、
设备订购详单交给该系统集成项目的项目经理;并且在项目实施过程中保证相关方的信息安全;
3、受审核组织的管理特点与审核方式
受审核组织人员相对较多有近200人,组织结构分工明确,特别是管理过程的信息化程度较高。使用gitlab系统、OA系统、邮箱系统、HR系统、客服信息管理系统、合同管理系统和用友财务系统等分别管理着软件开发、办公过程、人事管理等过程中的信息安全管理;
公司有上级公司的隶属关系,和上级公司在一起办公;上级公司有独立的办公区域;公司在识别相关方以及相关方的信息安全要求时给予识别;
公司的组织结构中的各个部门工作职责相对独立,工作过程中的职责交叉较少,技术部和商业事业群直接保持灵活的人员随着项目进程流动的现状;
此次审核过程中审核组成员坚持采用问、看、查三种方式实施有效审核:
问:采用与部门领导或信息安全员进行座谈,了解部门的主要职责和工作流程以及责任人;同时了解部门的信息资产情况,即在工作过程中使用哪些信息资产、责任人是谁?以及信息资产的领
用、使用、带出、回换、报废等事宜;
看:不但通过座谈了解情况,还要查阅信息安全管理相关证据;例如:
1)查阅信息资产识别表,确认所审核的部门管辖的信息资产是否识别的齐全?
2)查阅计算机操作:账户、口令、清屏、杀毒、高危漏洞等管理是否满足标准要求?
3)查阅本部门关键数据备份证据,是否满足备份策略的要求?
等等
注:对信息化管理程度较高的受审核方,在查阅证据过程中尽量采信信息系统的记录;
查:通过“问“了解到的情况和”看“获知的证据,经过分析后与审核准则对比,形成审核发现最终得出审核结论;
对各个部门的审核都是通过了解部门职责与工作流程基础上,从巡查本部门所管辖的信息资产入手,对各项信息资产的信息安全风险管理实施有效审核。
4、ISMS具体实施
1)ISMS 建立与运行
基于市场以及内部管理的需要,受审核组织引进了ISMS管理体系,并于2017.9.1建立了一套独立的信息安全管理体系文件,现场审核时企业提供了对组织内部、外部信息安全需要的识别,提供了识别证据;在文件中制定的信息安全方针、目标通过多种渠道进行了有效宣传;在公司的走廊中粘贴有信息安全宣传画(方针、目标、注意事项等);按照文件规定进行了内审、管理评审;公司领导对ISMS建立与运行较为重视,成立了一个近20人的信息安全小组,由各部门领导或安全员组成,主要负责规划、监督、检查公司的ISMS运行,定期向总经理汇报ISMS运行情况。
按照ISMS文件要求每个部门进行了信息资产的识别以及风险评价,信息安全小组统一制定风险处置计划并实施后进行了二次评价;形成残余风险报告交予总经理批准;
2)现场审核重点和领域,以及审核中关注到的信息安全风险管控的特点
公司信息安全管理体系文件中的SOA文件只删除了A14.2.7一个控制措施,标准中其余的113条信息安全风险控制措施都已选择;在审核过程发现受审核方结合实际针对不同的信息安全风险采取了有效的管控措施:
物理安全:
企业每个楼层的入口都有门禁,在两个楼层的电梯间设有前台和保安;关键的办公区内部也有门禁系统,同时安装有覆盖全域的视频监控系统;整个楼宇安装了消防系统,办公环境内和机房内同时放置了大量的灭火设备,但机房内不是气体灭火器。审核组就该监控系统的时钟与企业进行了询问,同时关注到门禁卡和门禁系统权限的管理,现场进入机房查看相关信息安全的物理环境的管理,并进行了实际查看和取证。
虽然受审核组织与上级单位在一起办公,内部的物理空间进行了有效隔离,物理边界清晰可辨;
审核组在一阶段审核后将经营地址进行了重新定义;将9层办公区区分为A/B两个区,以及没有包含13层办公区;
网络安全:
组织的网络分成办公网络和产品服务网络,办公网络和产品服务网络分别部署在公司的内部和IDC机房,从而实现办公网络与服务网络物理分离。
两个网络都设有网络安全设备:防火墙、核心交换机等,办公网络设有上网行为管理器等;
办公网络中设有Vlan,将部门之间进行了逻辑隔离;上级组织的网络是独立的办公网络,不与受审核组织共用;基于与部门领导和工作人员的沟通,了解到以上情况后,审核组从网络资产的识别、网络拓扑图的规划、网络设备的策略设置等多方面进行了详细的审核和取证。
设备操作安全:
公司的信息处理设备都是从运营管理部领出,同时包括所有设备在进行采购、发放、回收、报废等操作后在系统中的录入,设备在发放之前由网络管理员进行必要设置;离职人员进行交接后将设备归还运营管理部,网络管理员按规定将数据清除;审核组在审核现场大量提取了各类设备的处置的证据,并与设备管理人员进行了处置结果是否有效的确认,通过设备管理人员,在公司的办公系统中进行了抽样。
在设备管理过程的审核中,审核组通过现场抽查计算机操作(账户、口令、屏保、清屏、杀毒、漏洞补丁等)都满足组织的信息安全管理要求,没有发现异常;
公司对设备带出进行了风险评估,制定了管理制度,配置笔记本电脑的岗位设备可以带出公司无需审批,配置台式机的岗位不得带出设备;
由于公司使用信息系统管理比较普及,办公过程较少使用移动介质交换信息;从审核过程抽查结果来看,抽查的移动介质没有发现公司数据信息;
信息系统安全:
公司在办公过程中使用gitlab、OA、邮箱系统、门禁系统、HR系统、客服信息管理系统、合同管理系统和用友财务系统;现场按照相关策略要求,分别检查了上述系统账户设置、权限分配、特权账户管理、数据备份和定期复查等控制措施;审核组对上述系统的权限做了全方位的审核。
通过审核,发现对信息系统的管理分成两级:网络管理员负责服务器操作系统和网络可用,各个信息系统责任部门指定专人承担系统管理员职责,系统管理员负责账户、权限、口令、备份等管理事项;
软件开发安全:
受审核组织制定了软件开发管理流程,并在流程中强化了信息安全要求;从现场审核确认软件开发流程基本采用瀑布模型,现场抽查了两个软件研发项目,基本满足审核准则要求;
数据信息安全:
公司的数据信息基本都是采用信息系统管理,对数据访问通过系统的账户、权限进行分配管理,强化了数据备份机制,对关键数据实现本地和异地双备份;
数据进行交换传输时要求使用企业邮箱,保持一定的可追溯性;
公司的纸质文档(例如合同)由运营管理部专人管理,保存在带锁的文件柜中,交接、借阅等有记录可查;审核组针对备份过程、备份后的管理、备份操作的日志管理等方面进行了审核和抽样。 供应商安全:
公司对供应商在合同中提出了信息安全要求,并定期进行了评价,没有发现违规事项;
人员安全:
组织对人员的信息安全管理主要采用签署保密协议;在审核中发现部分人员的保密协议签署的主体是上级单位,现场提示企业可能存在法律风险,第三方人员进入现场时也存在管理上的不足,有接触公司敏感信息的风险,就以上可能存在的问题在末次会议上与最高领导进行了交流;
三、审核发现
经过审核组内部交流一致认为,基于现场与受审核方交流以机收集到的相关证据,受审核方的信息安全管理体系运行满足审核准则的要求;此次审核除上述发现的受审核方做得满足审核准测要求的地方,还发现了有待改进的地方,共开出4个书面不符合项,还有一些可能存在信息安全风险或对风险控制措施有漏洞的地方在末次会议中进行口头交流,并未开出书面的观察项;
1、不符合项:
1)查阅办公机房没有发现适用的灭火器,不符合标准A11.1.4要求;
主要是管理人员缺少对消防知识和必要的检查;企业购置了新的气体灭火器,并请厂家进
行了必要的培训,制定了定期巡查制度;
2)检查公司各个楼层的视频监控系统相互之间的时间不一致,相差约10多分钟;不符合标
准A12.4.4要求
通过末次会议现场交流,受审核方提高了信息安全认识,懂得视频监控系统是事件追溯的
主要技术手段,追溯过程通常是以时间为依据,因此时间同步对视频监控系统至关重要;
设置每个楼层的监控主机的NTP自动同步时间服务器修正所有楼层的监控时钟;企业更新
《物理环境安全控制程序》,将对视频监控管理要求内容进行添加,将对视频监控的时间
检查列为日常检查内容;
3)现场查看离职人员焦本然的门禁卡,已丢失,进一步查看门禁管理系统权限控制,未能删
除。不符合标准A9.2.6要求
企业及时删除焦本然的门禁卡,并认真分析了原因,列出下列整改措施:
a)由知识产权部组织行政部人员对条款A9.2.6条款进行学习;
b)由专人每天汇总当天离职人员门禁卡,并发邮件给门禁管理员,管理员据此解除离职
人员的门禁权限,同时每周五对所有相关邮件进行复查,以防止遗漏
c)门禁卡有效期同劳动合同时效,由专人登记有效期时间,在到期前及时进行相应延期;
d)门禁卡领用开卡需制作《开卡记录表》,并以邮件形式通知前台;
e)如遇重启门禁卡,需记录重启前的使用人及其停止使用此卡的日期;
f)离职人员的门禁卡按照月份单独存放,由专人保管,封存期1年。
注释:不符合2和不符合3分开看起来都是很简单的风险,但是当两个风险同时出现时,企业的物理环境管理就等同于失控,意味着不仅可以任由任何非法享有进出权限或持卡的
人出入,该入侵者还能够创造不在现场的时间差。这一问题的提出,立刻引起了企业的警
觉和高度重视,并就此进行了整改,提供了大量的整改证据。
4)现场通过行政人员于芳登录办公OA系统,查看报废设备的敏感信息处置记录,未能提供
有效证据,相关内容为空。不符合标准A11.2.7要求
企业及时补充了必要记录,并认真分析了原因,列出下列整改措施:
a)修改OA系统填写资料报废过程中,“敏感信息处理”设置为必填项,确保敏感信息处置
记录的完整性,可追溯性。
b)加强信息安全重要性的培训。
注释:审核组就此不符合项与企业沟通,企业意识到报废设备中如果携带了大量的代码、财务信息、合同等敏感信息,不做处置就放行,这些密级较高的信息就会通过多个渠道
被泄露,对企业造成不可预估的风险。因此企业积极地进行了整改,规定在设备报废
前必须有相关备份和敏感信息的处理,同时在信息系统中做详细的记录,才能报废,
并且对相关人员加强了培训。之后,向审核组提供了大量的整改证据。
2、交流事项:
在末次会议上审核组成员(除文艺杰外)都对审核过程中审核发现进行了积极评价,充分肯定了企业对贯彻执行ISMS的积极性和认真态度,以及公司领导的大力支持。对公司的信息安全风险的识别、评价、处置和管控是有效的,除了开出上述的4个书面不符合项以外,审核组重点与企业交流了以下可能的风险点:
1)备份过程的容错能力有待提高
在检查源代码管理系统gitlab备份策略时,每天0点备份,异地全备,保留一周的备份数据;
现场按照备份策略检查本地和异地服务器,备份结果一切正常,均满足备份策略要求;进一步
检查本地服务器异地备份脚本执行的日志(backup.log)时,发现7天前的某一天0点至2点之
间连续异地备份三次失败,第二天的0点备份成功。审核组考虑到数据本地备份正常,异地备
份偶发一次对数据安全影响不大;但需要加强对日志的分析从而强化备份过程的容错管理能力;
2)第三方人员保密制度加强
受审核方与上级集团公司共用运营管理人员,而这些人员的保密协议都是与上级集团签署,协
议中的内容未明确员工与受审核方的责任与义务,考虑到受审核方与上级集团是两个独立的法
人主体,考虑到双方协议对第三方不具有约束力,要求受审核方关注必要时进行针对性风险评
价;第三方服务人员进入现场提供服务过程的时候如何进行管理,要求受审核方根据不同情况
制定出可行的策略,进行必要的风险评估和管控。
3)各类信息系统权限的时效管理
审核组就信息系统权限的时效问题提出了意见:应考虑信息系统、门禁系统、临时访客权限、
网络授权的时效管理,这也是满足信息安全标准权限定期检查要求的有效技术措施。必要时进
行全方位的安全检查和对密码等关键环节的修改,要求受审核方加强对授权过程和授权时间单
元的风险评估,必要时制定相应的管理制度并予以实施,减少不必要的意外带来的信息安全事
件。
四、审核结束后的增值服务
审核发现为组织指出了信息安全管理体系薄弱的环节,指出了组织深入理解信息安全标准要求与实际工作过程的结合,全面管理好组织信息安全风险的切入点;在众多信息安全风险领域中重点突出
了较为好理解的物理安全和设备安全信息安全风险管理;3个不符合项涉及物理安全风险管理,1个不符合项涉及设备安全风险管理或理解为体系运行记录必要性;通过审核过程和不符合项的开具,引导企业由浅入深的持续改进,逐步实现组织全方位信息安全管理。
企业在整改不符合项过程中,多次积极与审核组进行沟通,企业在理解基础上认真整改,查找原因制定纠正措施;举一反三,多部门配合在公司内部进行筛查,企业各部门领导均表示此次审核提高了信息安全风险控制的有效性,对审核结果予以肯定,通过审核组的审核,帮助企业深刻理解信息安全风险控制要求,实现企业提高信息安全风险的识别、评价、监测和控制水平,引导企业实现自我保护企业信息安全。
针对审核组提出的交流事项,进行了认真分析,以及风险评估,改进了原有处置措施::
1)针对异地备份程序进行分析,当异地备份失败时每隔15分钟尝试一次,连续三次都失败就终止异地备份,未考虑其他补救措施;通过风险评估,本地已经有备份数据风险可控;当异
地备份失败时邮件通知管理员,早上上班时手动异地备份;综合多种情况修改备份策略,增
加了备份恢复测试频次,改进各类日志管理的方法,公司增设了日志服务器并定期进行分析。
2)基于部分员工的保密协议签署的主体是组织的上级单位,经过风险评估,企业决定在原保密协议中增加下属控股企业内容,使得保密协议在法律上可以覆盖集团的下属各个企业;对于
不同的第三方人员进入公司,制定了不同的管理策略,同时指定了相关负责部门和人员。
3)整体筛查所有信息系统内的权限时效,增加了对于权限开通时时效的申请策略和使用策略;
例如:门禁系统的权限都是半年有效期,到期复查重新设置。
五、总结
通过审核组认真专业的审核服务,在审核过程中,与受审核方充分沟通、解决分歧、达到共识、提高ISMS管理,为企业有效运行、持续改进自身的信息安全管理体系提供了帮助。特别是审核中开出的不符合项和交流项,没有采用遍地开花的策略,而是以点带面、突出此次审核重点地帮助企业深入理解ISMS标准的要求,从而使得企业逐步提高信息安全管理的能力,实现为企业的正常业务顺利开展保驾护航;
利用持续改进机制去评价受审核组织的ISMS管理体系,可以控制审核风险,又能得到了企业的认可和好评;实现真正的双赢!
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
信息安全管理体系审核员注册准则
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.sodocs.net/doc/4d8600443.html, email:pcc@https://www.sodocs.net/doc/4d8600443.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
公司信息安全管理制度
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
企业信息系统安全防护措施
企业信息系统安全防护措施 企业信息安全现状: 信息安全是随着企业信息化建设面临的最大问题,在普华永道最新发布的全球信息安全状况调查显示,最近一年中国内地和香港企业检测到的信息安全事件平均数量高达1245次,与前次调查记录的241次事件相比,攀升517%。信息安全逐渐成为企业良性发展的最大制约,企业发生信息安全事件后会遭受难以估算的名誉及经济损失,也许一次信息安全事件就可以将一个企业置于“死地”。 企业信息安全的主要威胁及来源: 信息安全主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 从威胁源上划分主要为内部威胁、外部威胁和自然因素威胁。 主要威胁包括: 1.信息泄露:信息被泄露或透露给某个非授权的实体; 2.破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受 到损失; 3.非法使用(非授权访问):某一资源被某个非授权的人,或以非授权 的方式使用; 4.计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害 功能的程序。 主要威胁来源:
1.人为疏忽,比如员工对信息数据使用不当,安全意识差等 2.黑客行为,网络环境被黑客入侵,关键数据被黑客窃取 3.内部泄密,员工为获取非法利益将企业信息资产出售 企业信息系统的安全防护措施: A.内部制度: 建立完善的信息资产管控制度,如关键技术人员的竞业限制,信息数据的分级授权,信息数据的使用规定等 B.网络防护: 1.安装防火墙:防火墙在某种意义上可以说是一种访问控制产品。 它在内部网络与不安全的外部网络之间设置障碍,阻止外界对 内部资源的非法访问,防止内部对外部的不安全访问。主要技 术有:包过滤技术,应用网关技术,代理服务技术。防火墙能 够较为有效地防止黑客利用不安全的服务对内部网络的攻击, 并且能够实现数据流的监控、过滤、记录和报告功能,较好地 隔断内部网络与外部网络的连接。但它其本身可能存在安全问 题,也可能会是一个潜在的瓶颈。 2.网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实 现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于 对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两 者的区别可参见参考资料。网络安全隔离与防火墙的区别可参 看参考资料。
信息安全管理体系认证实施规则
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
企业信息安全管理制度范文
一、操作员安全管理制度 (一). 操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二).系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户代码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 二、计算机设备管理制度 1. 计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2. 非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3. 严格遵守计算机设备使用、开机、关机等安全操作规程和正
确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、密码与权限管理制度 1. 密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。 3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。 4.系统维护用户的密码应至少由两人共同设置、保管和使用。 5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。 四、数据安全管理制度 1. 存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责; 2. 注意计算机重要信息资料和数据存储介质的存放、运输安全
信息安全体系
一.浅谈信息安全五性的理解 所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。 1.保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具 有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。 而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。 2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态, 使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。 3.可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在 信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。 4.可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息 和信息系统。 5.不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换 过程中发送信息或接收信息的行为。信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。 二.WPDRRC模型解析 WPDRRC信息安全模型(见图)是我国“八六三”信息安全专家组提出的适合中国国情的信息系统安全保障体系建设模型,它在PDRR模型的前后增加了预警和反击功能。WPDRRC模型有6个环节和3大要素。6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。3大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证,落实在WPDRRC 6个环节的各个方面,将安全策略变为安全现实。WPDRRC信息安全模型与其他信息安全模型安全防护功能对比如表1所示。
信息安全管理体系认证合同范本
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
公司信息安全管理制度
信息安全管理制度 一、总则 为了加强公司内所有信息安全的管理,让大家充分运用计算机来提高工作效率,特制定本制度。 二、计算机管理要求 1.IT管理员负责公司内所有计算机的管理,各部门应将计算机负责人名单报给IT管理员,IT管理员(填 写《计算机IP地址分配表》)进行备案管理。如有变更,应在变更计算机负责人一周内向IT管理员申请备案。 2.公司内所有的计算机应由各部门指定专人使用,每台计算机的使用人员均定为计算机的负责人,如果 其他人要求上机(不包括IT管理员),应取得计算机负责人的同意,严禁让外来人员使用工作计算机,出现问题所带来的一切责任应由计算机负责人承担。 3.计算机设备未经IT管理员批准同意,任何人不得随意拆卸更换;如果计算机出现故障,计算机负责 人应及时向IT管理员报告,IT管理员查明故障原因,提出整改措施,如属个人原因,对计算机负责人做出处罚。 4.日常保养内容: A.计算机表面保持清洁 B.应经常对计算机硬盘进行整理,保持硬盘整洁性、完整性; C.下班不用时,应关闭主机电源。 5.计算机IP地址和密码由IT管理员指定发给各部门,不能擅自更换。计算机系统专用资料(软件盘、系统盘、驱动盘)应由专人进行保管,不得随意带出公司或个人存放。 6.禁止将公司配发的计算机非工作原因私自带走或转借给他人,造成丢失或损坏的要做相应赔偿,禁止 计算机使用人员对硬盘格式化操作。 7.计算机的内部调用: A. IT管理员根据需要负责计算机在公司内的调用,并按要求组织计算机的迁移或调换。 B. 计算机在公司内调用,IT管理员应做好调用记录,《调用记录单》经副总经理签字认可后交IT管 理员存档。 8.计算机报废: A. 计算机报废,由使用部门提出,IT管理员根据计算机的使用、升级情况,组织鉴定,同意报废处 理的,报部门经理批准后按《固定资产管理规定》到财务部办理报废手续。 B. 报废的计算机残件由IT管理员回收,组织人员一次性处理。 C. 计算机报废的条件:1)主要部件严重损坏,无升级和维修价值;2)修理或改装费用超过或接近 同等效能价值的设备。 三、环境管理 1.计算机的使用环境应做到防尘、防潮、防干扰及安全接地。 2.应尽量保持计算机周围环境的整洁,不要将影响使用或清洁的用品放在计算机周围。 3.服务器机房内应做到干净、整洁、物品摆放整齐;非主管维护人员不得擅自进入。 四、软件管理和防护 1.职责: A. IT管理员负责软件的开发购买保管、安装、维护、删除及管理。 B. 计算机负责人负责软件的使用及日常维护。 2.使用管理: A. 计算机系统软件:要求IT管理员统一配装正版Windows专业版,办公常用办公软件安装正版office
企业内部信息安全管理体系
企业内部信息安全管理体系 建议书 北京太极英泰信息科技有限公司
目录 1 理昌科技网络现状和安全需求分析: (3) 1.1 概述 (3) 1.2 网络现状: (3) 1.3 安全需求: (3) 2 解决方案: (4) 2.1 总体思路: (4) 2.2 TO-KEY主动反泄密系统: (5) 2.2.1 系统结构: (5) 2.2.2 系统功能: (6) 2.2.3 主要算法: (6) 2.2.4 问题? (7) 2.3 打印机管理....................................... 错误!未定义书签。 2.3.1 打印机管理员碰到的问题....................... 错误!未定义书签。 2.3.2 产品定位..................................... 错误!未定义书签。 2.3.3 产品目标..................................... 错误!未定义书签。 2.3.4 概念—TO-KEY电子钥匙预付费.................. 错误!未定义书签。 2.3.5 功能......................................... 错误!未定义书签。 3 方案实施与成本分析....................................... 错误!未定义书签。
1企业网络现状和安全需求分析: 1.1概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
企业信息安全总体规划方案
企业信息安全总体规划方 案 Prepared on 22 November 2020
XXXXX公司 信息安全建设规划建议书 YYYY科技有限公司 201X年XX月
目录 综述 概述 信息技术革命和经济全球化的发展,使企业间的竞争已经转为技术和信息的竞争,随着企业的业务的快速增长、企业信息系统规模的不断扩大,企业对信息技术的依赖性也越来越强,企业是否能长期生存、企业的业务是否能高效
的运作也越来越依赖于是否有一个稳定、安全的信息系统和数据资产。因此,确保信息系统稳定、安全的运行,保证企业知识资产的安全,已经成为现代企业发展创新的必然要求,信息安全能力已成为企业核心竞争力的重要部分。 企业高度重视客户及生产信息,生产资料,设计文档,知识产权之安全防护。而终端,服务器作为信息数据的载体,是信息安全防护的首要目标。 与此同时,随着企业业务领域的扩展和规模的快速扩张,为了满足企业发展和业务需要,企业的IT生产和支撑支撑系统也进行了相应规模的建设和扩展,为了满足生产的高速发展,市场的大力扩张,企业决定在近期进行信息安全系统系统的调研建设,因此随着IT系统规模的扩大和应用的复杂化,相关的信息安全风险也随之而来,比如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥,内部机密数据泄漏、办公系统受到影响等等,因此为了保证企业业务正常运营、制卡系统的高效安全的运行,不因各种安全威胁的破坏而中断,信息安全建设不可或缺,信息安全建设必然应该和当前的信息化建设进行统一全局考虑,应该在相关的重要信息化建设中进行安全前置的考虑和规划,避免安全防护措施的遗漏,安全防护的滞后造成的重大安全事件的发生。。 本次企业信息安全体系建设规划主要考虑采用各种被证明是行之有效的各种信息安全产品和技术,帮助企业建设一个主动、高效、全面的信息安全防御体系,降低信息安全风险,更好的为企业生产和运营服务。 现状分析 目前企业已经在前期进行了部分信息安全的建设,包括终端上的一部分防病毒,网络边界处的基本防火墙等安全软件和设备,在很大程度上已经对外部
信息安全风险管理制度
信息安全风险管理办法 北京国都信业科技有限公司 2017年10月
前言 本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。 本制度自实施之日起,立即生效。 本制度由北京国都信业科技有限公司企业信息管理部起草。 本制度由北京国都信业科技有限公司企业信息管理部归口管理。
1目的 为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。 2范围 本制度适用于本公司信息管理部信息安全风险管理应用及活动。 3术语和定义 无。 4职责 信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。 信息安全管理人员负责全行信息安全策略的执行和推动。 5管理规定 5.1信息安全管理内容 信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。 5.2信息管理岗位设置 为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息
管理人员权限进行分级管理,信息管理关键岗位有设置AB 角。应配备专职安全管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订了保密协议。 5.3信息安全人员管理 5.3.1人员雇佣安全管理 信息管理人员的雇佣符合如下要求: 信息管理人员的专业知识和业务水平达到本公司要求; 详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。 5.3.2人员入职安全管理 在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 5.3.3人员安全培训 根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。 5.3.4人员安全考核 人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。 5.3.5人员离职安全管理 本公司人员离职手续中应该包括如下安全相关的内容:
如何建立信息安全管理体系.doc
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
关于企业信息安全管理制度
关于企业信息安全管理制度 安全生产是企业的头等大事,必须坚持“安全第一,预防为主”的方针和群防群治制度,认真贯彻落实安全管理制度,切实加强安全管理,保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文件,制定本企业信息安全管理制度。 一、计算机设备安全管理制度 计算机不同于其他办公设备,其实用性、严密性、操作技术性强,含量高、部件易受损;特别是联网计算机,开放性程度比较高,电脑内部易受外界的偷窥、攻击和病毒感染。为确保计算机软、硬件及网络的正常使用,特制定本制度。 1、公司内所有计算机归网络部统一管理,配备计算机的员工只负责使用操作; 2、计算机管理涉及的范围: 2.1所有硬件(包括外接设备)及网络联接线路; 2.2计算机及网络故障的排除; 2.3计算机及网络的维护与维修; 2.4操作系统的管理; 3、公司内所有计算机使用人员均为计算机操作员; 4、网络维护部负责对公司内所有计算机进行定期检查,一般每两月进行一次; 5、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 6、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 7、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 二、操作员安全管理制度 1、计算机原则上由专人负责操作维护,不得串用设备。下班后必须按程序关闭主机和其他设备,切断电源。 2、为保证计算机信息安全,必须为计算机设置密码。 3、计算机操作员除使用操作计算机外,不允许有以下行为: 3.1硬件设备出现故障擅自拆开主机机箱盖板; 3.2更换计算机配件(如鼠标、键盘、耳麦);如有向网络管理员写设备申请单审批。 3.3删除计算机操作系统及公司指定的软件; 3.4使用带病毒的计算机软件; 3.5让外来人员进行有损于计算机的技术性操作; 4、不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算机进行杀毒。如发现计算机有病毒时,应及时清除,清除不了的病毒,要及时上报。 5、个人的公司重要文档、资料和数据保存时必须将资料储存在除操作系统外的其它磁盘空间,严禁将重要文件存放于桌面或C盘下。 6、工作时间内严禁工作人员在计算机上进行与工作无关的操作,不准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐,迅雷下载等,
企业信息安全规范标准
信息安全管理规 第一章总则 第一条为规企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规。本管理规目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规的适用围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规适用于公司所承担服务支撑的外部各单位的信息系统的安全工作围。 第六条本规主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。 第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、
运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统围的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: ?根据本规制定信息系统的信息安全管理制度、标准规和执行程序; ?监督和指导信息安全工作的贯彻和实施;