ISO27001信息安全管理手册
信息安全管理手册
版本号:V1.0
目录
01 颁布令 (1)
02 管理者代表授权书 (2)
03 企业概况 (3)
04 信息安全管理方针目标 (3)
05 手册的管理 (6)
信息安全管理手册 (7)
1 范围 (7)
1.1 总则 (7)
1.2 应用 (7)
2 规范性引用文件 (8)
3 术语和定义 (8)
3.1 本公司 (8)
3.2 信息系统 (8)
3.3 计算机病毒 (8)
3.4 信息安全事件 (8)
3.5 相关方 (8)
4 信息安全管理体系 (9)
4.1 概述 (9)
4.2 建立和管理信息安全管理体系 (9)
4.3 文件要求 (15)
5 管理职责 (18)
5.1 管理承诺 (18)
5.2 资源管理 (18)
6 内部信息安全管理体系审核 (19)
6.1 总则 (19)
6.2 内审策划 (19)
6.3 内审实施 (19)
7 管理评审 (21)
7.1 总则 (21)
7.2 评审输入 (21)
7.3 评审输出 (21)
7.4 评审程序 (22)
8 信息安全管理体系改进 (23)
8.1 持续改进 (23)
8.2 纠正措施 (23)
8.3 预防措施 (23)
01 颁布令
为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司开展贯彻GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理手册》。
《信息安全管理手册》是企业的法规性文件,是指导企业建立并实施信息安全管理体系的纲领和行动准则,用于贯彻企业的信息安全管理方针、目标,实现信息安全管理体系有效运行、持续改进,体现企业对社会的承诺。
《信息安全管理手册》符合有关信息安全法律、GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准和企业实际情况,现正式批准发布,自2015年 12月 23 日起实施。企业全体员工必须遵照执行。
全体员工必须严格按照《信息安全管理手册》的要求,自觉遵循信息安全管理方针,贯彻实施本手册的各项要求,努力实现公司信息安全管理方针和目标。
总经理:
2015年 12 月 23 日
02 管理者代表授权书
为贯彻执行信息安全管理体系,满足GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》标准的要求,加强领导,特任命为我公司信息安全管理者代表。
授权信息安全管理者代表有如下职责和权限:
1.确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;
2.负责与信息安全管理体系有关的协调和联络工作;
3.确保在整个组织内提高信息安全风险的意识;
4.审核风险评估报告、风险处理计划;
5.批准发布程序文件;
6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;
7.向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。
本授权书自任命日起生效执行。
总经理:
2013年 12 月 23 日
03 公司概况
04 信息安全管理方针目标
为防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的企业和客户的损失,本公司建立了信息安全管理体系,制订了信息安全方针,确定了信息安全目标。
信息安全管理方针如下:
强化意识规范行为
数据保密信息完整
本公司信息安全管理方针包括内容如下:
一、信息安全管理机制
公司采用系统的方法,按照GB/T22080-2008idtISO27001:2005建立信息安全管理体系,全面保护本公司的信息安全。
二、信息安全管理组织
1.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。
2.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。
3.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。
4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。
三、人员安全
1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。
2.对本公司的相关方针,要明确安全要求和安全职责。
3.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意识。
4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。
四、识别法律、法规、合同中的安全
及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
五、风险评估
1.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。
2.采用先进的风险评估技术,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。
3.应根据风险评估的结果,采取相应措施,降低风险。
六、报告安全事件
1.公司建立报告信息安全事件的渠道和相应的主管部门。
2.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。
3.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。
七、监督检查
定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
八、业务持续性
1.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。
2.定期对业务持续性计划进行测试和更新。
九、违反信息安全要求的惩罚
对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。
信息安全目标如下:
1)确保每年重大信息安全事件(事故)发生次数为零。
2)确保单个重要业务系统每月中断次数不超过1次,每次中断时间不超过2小时。
3)确保信息安全事件发现率99%、上报和处理率100%。
05 手册的管理
1 信息安全管理手册的批准
信息安全管理委员会负责组织编制《信息安全管理手册》,总经理负责批准。
2 信息安全管理手册的发放、更改、作废与销毁
a)行政中心负责按《文件和资料管理程序》的要求,进行《信息安全管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)各相关部门按照受控文件的管理要求对收到的《信息安全管理手册》进行使用和保管;
c)行政中心按照规定发放修改后的《信息安全管理手册》,并收回失效的文件做出标识统一处理,确保有效文件的唯一性;
d)行政中心保留《信息安全管理手册》修改内容的记录。
3 信息安全管理手册的换版
当依据的GB/T22080-2008idtISO27001:2005标准有重大变化、组织的结构、内外部环境、开发技术、信息安全风险等发生重大改变及《信息安全管理手册》发生需修改部分超过1/3时,应对《信息安全管理手册》进行换版。换版应在管理评审时形成决议,重新实施编制、审批工作。
4 信息安全管理手册的控制
a)本《信息安全管理手册》标识分受控文件和非受控文件两种:
——受控文件发放范围为公司领导、各相关部门的负责人、内审员;
——非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《信息安全管理手册》有书面文件和电子文件。
信息安全管理手册
范围
总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
应用
覆盖范围:
本信息安全管理手册规定了DXC的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。
本信息安全管理手册适用于DXC业务活动所涉及的信息系统、资产及相关信息安全管理活动,具体见4.2.2.1条款规定。
删减说明
本信息安全管理手册采用了GB/T22080-2008idtISO27001:2005标准正文的全部内容,对附录A的删减见《适用性声明》。
规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,行政中心应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》
术语和定义
GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。
本公司
指DXC,包括DXC所属各部门。
信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、供方、银行、用户、电信等。
信息安全管理体系
概述
4.1.1 本公司在软件开发、经营、服务和日常管理活动中,按GB/T22080-2008 idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定,参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
4.1.2 信息安全管理体系使用的过程基于图1所示的PDCA模型。
图1 信息安全管理体系模型
建立和管理信息安全管理体系
建立信息安全管理体系
4.2.1.1 信息安全管理体系的范围和边界
本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a) 本公司涉及软件开发、营销、服务和日常管理的业务系统;
b) 与所述信息系统有关的活动;
c) 与所述信息系统有关的部门和所有员工;
d) 所述活动、系统及支持性系统包含的全部信息资产。
组织范围:
本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册附录A(规范性附录)《信息安全管理体系组织机构图》。
物理范围:
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司信息安全管理体系的物理范围为本公司位于市惠山经济开发区前洲配套区兴洲路2号,科创中心二楼,安全边界详见附录B(规范性附录)《办公场所平面图》。
4.2.1.2 信息安全管理体系的方针
为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4条款。
该信息安全方针符合以下要求:
a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;
b) 考虑业务及法律或法规的要求,及合同的安全义务;
c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系;
d) 建立了风险评价的准则;
e) 经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f) 制定并保持完善的业务连续性计划,实现可持续发展。
4.2.1.3 风险评估的方法
行政中心负责制定《信息安全风险评估管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别
风险的可接受等级。信息安全风险评估执行《信息安全风险评估管理程序》,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
4.2.1.4 识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险评估管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值,形成了《资产识别清单》。
同时,根据《信息安全风险评估管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。
4.2.1.5 分析和评价风险
本公司按《信息安全风险评估管理程序》,采用人工分析法,分析和评价风险:
a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 根据《信息安全风险评估管理程序》计算风险等级;
d) 根据《信息安全风险评估管理程序》及风险接受准则,判断风险为可接受或需要处理。
4.2.1.6 识别和评价风险处理的选择
行政中心组织有关部门根据风险评估的结果,形成《信息安全不可接受风险处理计划》,该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a) 消减风险(通过适当的控制措施降低风险发生的可能性);
b) 接受风险(风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险/残余风险);
c) 规避风险(决定不进行引起风险的活动,从而避免风险);
d) 转移风险(通过购买保险、外包等方法把风险转移到外部机构)。
4.2.1.7选择控制目标与控制措施
行政中心根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《适用性声明》):
a)信息安全控制目标获得了信息安全最高责任者的批准。
b)控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》。
c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
4.2.1.8 对风险处理后的残余风险,得到了公司最高管理者的批准。
4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。
4.2.1.10 适用性声明
行政中心负责编制《适用性声明》(SoA)。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述,以及选择的原因;
b)对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的说明(本公司未涉及此项业务)。
实施及运作信息安全管理体系
4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《信息安全不可接受风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b)为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力;
f)对信息安全体系的运作进行管理;
g)对信息安全所需资源进行管理;
h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。
4.2.2.2 信息安全组织机构
本公司成立了信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。
本公司体系推进由行政中心负责,其主要负责制订、落实贯标工作计划,对单位、部门贯标工作进行检查、指导和协调,建立健全企业的信息安全管理体系,保持其有效、持续运行。
本公司由相关部门代表组成信息安全委员会,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针;
b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;
e) 评估信息安全控制措施实施的充分性和协调性;
f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。
4.2.2.3信息安全职责和权限
本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全委员会或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门、人员有关信息安全职责分配见附录C(规范性附录)《信息安全管理职责明细表》和相应的程序文件。
4.2.2.4 各部门应按照《适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
监督与评审信息安全管理体系
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使管理者确认人工或自动执行的安全活动达到预期的结果;
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积累信息安全方面的经验。
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
4.2.3.3 行政中心应组织有关部门按照《信息安全风险评估管理程序》的要求,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织;
b) 技术;
c) 业务目标和过程;
d) 已识别的威胁;
e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。
4.2.3.6考虑监视和评审活动的发现,更新安全计划。
4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
保持与持续改进信息安全管理体系
我公司开展以下活动,以确保信息安全管理体系的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;
c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
文件要求
总则
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述;
b) 《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准);
c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序;
d) 信息安全管理体系引用的支持性程序。如:《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息安全管理体系要求的记录类文件;
g) 相关的法律、法规和信息安全标准;
h) 适用性声明(SOA)。
文件控制
行政中心制定并实施《文件和资料管理程序》,对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应保证:
a) 文件发布前得到批准,以确保文件是充分的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到识别;
d) 确保在使用时,可获得相关文件的最新版本;
e) 确保文件保持清晰、易于识别;
f) 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g) 确保外来文件得到识别;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的需保留作废文件时,应对其进行适当的标识。
记录控制
4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政中心负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的《记录管理程序》,规定记录的标识、储存、保护、检索、保管、废弃等事项。
4.3.3.2 信息安全体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS 相关的安全事故(事件)的记录。
4.3.3.3各部门应根据《记录管理程序》的要求采取适当的方式妥善保管信息安全记录。
ISMS职能分配表
注:▲主要责任△次要责任
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
完整版ISO27001信息安全管理手册
信息安全管理手册iso27001 信息安全管理手册V1.0 版本号:
信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
信息安全管理系统
信息安全管理系统 一、产品聚焦 1、随着企业信息化进程的不断推进,信息安全问题日益凸显。信息技术水平不断在提升的同时,为何信息泄露,信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制,而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多,安全管理人员疲于应付,是否有合适的管理手段对其归类,有的放矢,加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系 二、产品简介 该产品通过与企业信息安全管理的现状紧密结合,融合国际主流及先进的风险管理方法、工具、设计理念,有效结合国内外对信息安全管理工作提出的相关安全标准体系要求,通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型,以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识,保证信息安全风险管理在企业的落地生效。 三、产品特点 1、业务的无缝集成 无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等,实现对信息安全事件引发因素的全面监测和智能分析,有的放矢的对信息安全工作进行管理。 2、“上医未病,自律慎独”的风险管理体系 目标鲜明、方法合理、注重实效,为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建,实现系统的行之有效、行之有依。 3、合理的改进咨询建议 通过系统建设对企业信息安全管理现状进行梳理和分析,提供合理有效的改进咨询建议。 4、创新实用的管理工具 蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用;德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入;正态分布、泊松分布等概率模型的预测分析,致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库 由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息,可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理 信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升,通过信息安全知识管理体系的建立,提升全员的信息安全管理意识,并提供最新的信息安全知识储备。 四、应用效果 对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析,采用科学合理的数据分析模型,以灵活多样化的图表进行展现以辅助决策。 五、产品功能 1、目标管理 维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别 利用层次分析法逐层分析,识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁,全面辨识风险源并制定相应的防控措施,并针对风险事件制定缓解措施。 3、风险评估 创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估,量化风险指数,借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警 依托企业现有的信息安全防范体系架构,设置风险监控点,以风险管理视角对各重要的信息安全指标进行实时的数据监控,发挥信息系统“摄像头”的职能,针对信息安全关注的重大风险进行实时预警提示,确保风险的提前警示和预先处理。
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
十八、信息安全管理制度
十八、信息安全管理制度 一、计算机安全管理 1、医院计算机操作人员必须按照计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进行。 3、计算机的软件安装和卸载工作必须由信息科技术人员进行。 4、计算机的使用必须由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面向医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发现或怀疑有计算机病毒侵入,应立即断开网络,同时通知信息科技术人员负责处理。信息科应采取措施清除,并向主管院领导报告备案。 7、医院计算机内不得安装游戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。
二、网络使用人员行为规范 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。 2、不得在医院网络中进行国家相关法律法规所禁止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进行删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 8、不得故意制作、传播计算机病毒等破坏性程序。 9、不得进行其他危害医院网络安全及正常运行的活动。 三、网络硬件的管理 网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。 1、各职能部门、各科室应妥善保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故原因造
信息安全及信息技术服务管理体系
信息安全及信息技术服务管理体系 保密协议 甲方: 乙方:北京新纪源认证有限公司 依据工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》及各地方和有关主管部门/监管部门,认证认可相关规定对信息安全,信息技术服务管理体系认证的要求,为保证申请认证组织信息资产的安全,双方签订此保密协议。具体条款如下: 1、甲方应填写“保密和敏感信息资产和区域声明表”,明确甲方的重要敏感信息和区域,并明确乙方的接触要求; 2、乙方审核组将严格遵守保密承诺。审核组在现场审核过程中不以任何形式记录甲方的保密或敏感信息。审核组在离开审核现场前,接受甲方的检查和确认审核组携带的文件、资料和设备中未夹带甲方的任何保密或敏感信息; 3、未经甲方的书面授权,乙方及其审核组不得将甲方在经营、生产、技术、管理等方面的非公开信息以任何方式泄密给第三方但下列情况除外: ●甲方已公开的信息,或在提供时已为公众所知的信息,或虽不为公众所知但已不再是秘密的信息; ●得到甲方的书面同意; ●应法律要求时,但发生该等情形时应及时通知甲方。 4、乙方所有保密义务及于乙方内部人员及为乙方工作的外部人员,上述人员已经与乙方签署了保密协议或具有保密条款的法律文件。如甲方要求,我方直接接触客户组织信息的认证人员(如审核组成员)可按照甲方的保密要求与甲方签署保密协议。 5、本协议作为认证合同的附件,与认证合同具有同等法律效力; 6、本协议一式两份,双方各执一份,经双方签章后生效,且不因认证协议的解除而失效。 甲方(名称加盖单位公章): 甲方法定代表人或授权人: 日期:年月日 乙方(名称加盖单位公章):北京新纪源认证有限公司 乙方法定代表人或授权人: 日期:年月日 1
信息安全技术互联网交互式服务安全保护管理规定
信息安全技术互联网交互式服务安全保护管理 规定 文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
锐理信息安全管理制度 目录 1.安全管理制度要求 总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求
法律责任 互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 关键岗位人员 关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训;
公司信息安全管理制度
鑫欧克公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发
信息安全技术互联网交互式服务安全保护管理制度
信息安全技术互联网交互式服务安全保护管理制度
锐理信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处理制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯
2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括:
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
信息安全演讲稿
信息安全演讲稿 篇一:信息安全演讲稿 呵呵,前面都是文科生的演讲,下面是理科生的。尊敬的各位领导、同事们:大家好,很高兴能参加这次演讲,生命是如此的精彩,生命是如此的辉煌,不过今天我演讲的内容里没有生死间的大悲恸,也没有平平仄平平的华丽辞藻,我演讲题目是:互联, 精彩而危险的世界。 XX年,中国开发联盟csdn,中国最大的开发者技术社区,密码泄漏,超1亿用户密码 被泄,黑客在上公开了一部分用户信息数据库,导致600余万个注册邮箱账号和与之对应的 明文密码泄露。这次事件以后,又陆续曝出了多玩、人人、搜狗浏览器等安全事件。唔前面的案例大家没有亲身体会,说个大家接触过的,考过职称考试的人都知道,有时候会被杂志社打电话问到要不要发表职称论文,呵呵,这个大家都有经验吧,恩,很明显你 的电话信息泄露了呀,怎么泄露的呢,考职称考试要上注册报名缴费吧?报名时电话号码 是必填选项,呃,基本就是这么泄露的。当然很可能其他信息也泄露了。下面进入正题,我的演讲的内容分为四个版块:什么叫络安全、络安全的重要性、
络安全的现状、如何防范络安全、打造一个和谐络。首先讲一下什么是我们这里所讲的“络安全”,络安全呢,就是指络系统的硬件、 软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露, 系统连续可靠正常地运行,络服务不中断。络安全是一门涉及计算机科学、络技术、通信技术、密码技术、信息安全技术、应 用数学、数论、信息论等多种学科的综合性学科。是个高难度的行业啊。有人说过,“谁掌握领了信息,控制了络,谁将拥有整个世界。”这句话不完全对啊。 不过这点在股市里体现的挺好。从此可见掌握络是何等的重要,络安全的重要性也从中 体现出来。 在大量络应用中,安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。 在一个开放的络环境中,大量信息在上流动,这为不法分子提供了攻击目标。他们利用 不同的攻击手段,获得访问或修改在中流动的敏感信息,闯入用户或政府部门的计算机系 统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的络诈骗,其“低成本和高
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责:
a) 建立服务管理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
互联网企业网站信息安全管理制度全套
互联网企业网站信息安全管理制度全套 目录 信息发布登记制度 (1) 信息内容审核制度 (2) 信息监视、保存、清除和备份制度 (3) 病毒检测和网络安全漏洞检测制度 (5) 违法案件报告和协助查处制度 (6) 安全管理人员岗位工作职责 (7) 安全教育和培训制度 (8) 信息发布登记制度 1. 在信源接入时要落实安全保护技术措施,保障本网络的运行安全和信息安全; 2. 对以虚拟主机方式接入的单位,系统要做好用户权限设定工作,不能开放其信息目录以外的其他目录的操作
权限。 3. 对委托发布信息的单位和个人进行登记并存档。 4. 对信源单位提供的信息进行审核,不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。 5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。 信息内容审核制度 1、必须认真执行信息发布审核管理工作,杜绝违犯《计算机信息网络国际联网安全保护管理办法》的情形出现。 2、对在本网站发布信息的信源单位提供的信息进行认真检查,不得有危害国家安全、泄露国家秘密,侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。 3、对在BBS 公告板等发布公共言论的栏目建立完善的审核检查制度,并定时检查,防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。 4、一旦在本信息港发现用户制作、复制、查阅和传
播下列信息的:( 1 ). 煽动抗拒、破坏宪法和法律、行政法规实施( 2 ) . 煽动颠覆国家政权,推翻社会主义制度(3). 煽动分裂国家、破坏国家统一(4). 煽动民族仇恨、民族歧视、破坏民族团结( 5) . 捏造或者歪曲事实、散布谣言,扰乱社会秩序( 6 ). 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪( 7 ). 公然侮辱他人或者捏造事实诽谤他人( 8 ). 损害国家机关信誉( 9 ) . 其他违反宪法和法律、行政法规( 10) . 按照国家有关规定,删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录,在二十四小时之内向当地公安机关报告。 信息监视、保存、清除和备份制度 为促进公司网站健康、安全,高效的应用和发展,维护国家和社会的稳定,杜绝各类违法、
第三方信息服务安全管理程序
第三方服务安全管理程序 1 目的 保护组织的信息系统被外部方访问时的安全,保证公司信息系统安全水平不会因为外部方访问、提供产品和服务而降低;及时、有效、可控的管理外部方所提供的服务质量、服务交付和安全状况,规范公司外部方服务管理相关的流程及安全要求。 2 适用范围 适用于对所有访问公司信息系统外部方的安全管理,以及对外部方服务的管理。 3 术语和定义 第三方服务:因业务或其它原因,对组织信息系统进行访问、操作、服务的外部组织。 4 职责和权限 4.1 信息安全领导办公室 负责对组织所有外部方进行统一管理; 识别外部方访问或服务时的风险; 负责对第三方访问机密信息访问的审批和管理。 4.2 各部门 协助信息安全领导办公室做好对外部方服务的管理和监督。 5 相关活动 5.1 第三方服务需求确定 根据业务工作需要,由各部门提出第三方服务需求,并由XXX部汇总后报信息安全领导办公室审批。 服务需求内容除服务内容、水平和要求外,还应明确是否涉及访问公司的机密级信息。5.2 第三方服务安全管理 5.3.1公司与第三方服务方应签订相关服务协议,在协议中明确服务内容、服务水平、信息安全要求等内容。
5.3.2对组织的秘密信息一般不允许外部方进行访问。特殊情况下,必须经信息安全领导办公室审核后,经副总经理批准后方可访问。 在新建、改建、扩建信息系统时,如确需对公司的信息系统进行访问,应由接待部门提出申请,经信息安全领导办公室批准后,仅限访问公司的内部(含)以下内部的信息。 接等部门在提出申请时,需要明确如下内容:外部方的基本情况、访问的范围、所涉及公司内部信息的安全级别、访问信息系统的时限等。 信息安全领导办公室对提出的申请,进行评审,识别存在的安全风险,必要时制定相应的控制措施。如: ●对外部方所能访问的信息进行限制; ●对外部方访问公司信息系统的过程进行监控; ●与外部方签署安全保密协议。 5.3.3信息系统的日常维护由公司的XXX部门负责,如需要外部方进行技术支持,先提出申请,经批准后方可实施,且必须有公司人员现场陪同,防止信息泄露。 5.3.4第三方服务常驻人员必须经公司的人力资源部审核,并与公司签订相关保密协议。 5.3.5第三方对信息系统的访问,信息系统管理部门应做好监控记录并予以保存。 5.3 第三方服务的评审和变更 公司每年对第三方服务进行一次评审。 由于某种原因,需要更换第三方服务,由相关部门提出申请,经信息安全领导办公室审核后实施。 变更后的第三方服务按本程序5.2进行安全管理。 6 相关文件和记录
网站信息安全管理制度(全)
网站信息安全保障措施 网络与信息的安全不仅关系到公司业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六个月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用
补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我校网站散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删
ISMS手册-信息安全管理IT服务管理体系手册
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责: a) 建立服务管理计划;
b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
相关文档
- 信息安全管理手册
- 信息安全管理手册-ISO27001
- 软件研发ISO27001信息安全管理手册
- ISO27001信息安全管理手册新版
- 信息安全管理手册
- 完整版ISO27001信息安全管理手册
- (完整版)信息安全管理制度
- 企业信息安全管理制度(试行)
- 信息安全管理手册
- ISO27001信息安全管理手册
- ISO27001手册信息安全管理手册
- 公司信息安全管理制度
- 信息安全管理手册-ISO27001
- 手册信息安全管理手册
- 华为信息安全手册[1]
- 公司信息安全管理制度(修订版)
- 信息安全管理手册
- 网站信息安全管理制度(全)
- ISO27001信息安全管理手册
- (2020年最新版本)信息安全管理手册