信息安全管理办法
1. 目的和适用范围
1.1.目的
为了建立、健全本公司信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性,特制定本手册。
1.2.适用范围
本手册适用于4.2.1.1条款确定范围内的信息安全管理活动。
2、 引用标准
2.1.BS7799-2:2002 《信息安全管理体系--规范及使用指南》
Information security management systems—Specification with guidance for use
2.2.ISO/IEC 17799:2000 《信息技术——信息安全管理实施细则》 Information technology—Code of practice for information Security management
3、定义和术语
3.1.术语
本手册中使用术语的定义采用BS7799-2:2002 《信息安全管理体系--规范及使用指南》中有关术语的定义。
3.2.缩写
1. ISMS:Information Security Management Systems ?信息安全管理体系; 2. SoA: Statement of Applicability ?适用性声明;
3. PDCA: Plan Do Check Action计划、实施、检查、改进; 4. IDS: Intrusion Detection System 攻击检测系统。
4、 信息安全管理体系
4.1.总要求
本公司按照BS7799-2:2002标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于以下PDCA模式。
4.2.建立和管理ISMS
4.2.1.建立ISMS
4.2.1.1本公司ISMS的范围包括:
a) 本公司厂区内的所有部门和所有正式员工;
b) 产品的设计、测试、印制、包装、发送、活动;
c) 与b)所述活动相关的应用系统及支持性信息管理系统包含的全部信息资产。
4.2.1.2本公司ISMS方针的制定考虑了以下方面的要求:
a) 作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则; b) 考虑公司业务发展、法律法规要求及其他相关方信息安全的要求;
c) 为ISMS的建立和维持,提供一个组织化的战略和风险管理的基本环境; d) 确定风险评估的准则和结构。
4.2.1.3.信息安全管理体系方针
实施风险管理,确保信息安全,满足相关方要求,实现可持续发展。
为了满足适用法律法规及相关方要求,维持生产和经营的正常进行,本公司依据ISO27001:2005标准,建立信息安全管理体系,以保证本公司生产经营信息的保密性、完整性、可用性,实现业务可持续发展的目的。本公司承诺:
a) 在公司内各层次建立完整的信息安全管理组织机构,确定信息安全方针、安全目标和控制措施,明确信息安全的管理职责;
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,ISMS评审,采取纠正预防措施,保证体系的持续有效性;
d) 采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f) 制定并保持完善的业务连续性计划,实现可持续发展。
上述方针由公司信息安全最高责任者批准发布,并定期评审其适用性、充分性,必要时予以修订。
4.2.1.4风险评估的系统方法
信息科技部负责建立信息安全风险评估管理程序并组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容记载于ISMS—2001风险评估流程。
4.2.1.5.风险识别
在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源。对每一项信息资产,根据重要信息资产判断依据确定是否为重要信息资产,形成《重要信息资产清单》。
4.2.1.6.评估风险
a) 针对每一项重要信息资产,参考《信息安全威胁列表》及以往的安全事故(事件)记录、信息资产所处的环境等因素,识别出所有重要信息资产所面临的威胁;
b) 针对每一项威胁,考虑现有的控制措施,参考《信息安全薄弱点列表》识别
出被该威胁可能利用的薄弱点;
c) 综合考虑以上2点,按照《威胁发生可能性等级表》中的处理准则对每一个威胁发生的可能性进行赋值;
d) 根据《威胁影响程度判断准则》,判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害,进而对公司业务造成的影响,来给威胁影响赋值,取C、I、A的最大值为威胁影响程度的赋值。
e) 风险大小计算考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合,根据《风险距阵计算表》来得到风险等级;
f) 对于信息安全风险,在考虑控制措施与费用平衡的原则下制定《风险接受准则》,按照该准则确定何种等级的风险为不可接受风险。
4.2.1.7.风险处理方法的识别与评价
信息科技部应组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理责任部门、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施: a) 采用适当的内部控制措施;
b) 接受某些风险(不可能将所有风险降低为零);
c) 回避某些风险(如物理隔离);
d) 转移某些风险(如将风险转移给保险者、供方、分包商)。
4.2.1.8.选择控制目标与控制措施
a) 信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标,并将目标分解到有关部门。信息安全目标应获得信息安全最高责任者的批准。
b) 控制目标及控制措施的选择原则来源于ISO27001:2005附录A,具体控制措
施可以参考ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
4.2.1.9.适用性声明SoA
信息科技部负责编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述;
b)对ISO27001:2005附录A中未选用的控制目标及控制措施理由的说明。 该声明的详细内容见ISMS—1001。
4.2.2 ISMS实施及运作
4.2.2.1为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a) 形成《风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b) 为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责;
c) 实施所选择的控制措施,以实现控制目标的要求;
d) 进行信息安全培训,提高全员信息安全意识和能力;
e) 对信息安全体系的运作进行管理;
f) 对信息安全所需资源进行管理;
g) 实施控制程序,对信息安全事故(或征兆)进行迅速反应。
4.2.2.2 信息安全组织机构
公司经营管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
a) 由经营管理层和各部门长组成的信息安全管理委员会为公司信息安全管理最高机构;
b) 各部门长根据公司组织机构和职责决定本部门组织形式和业务分担,并形成文件。
4.2.2.3信息安全职责和权限
a) 执行总裁为公司信息安全最高责任者。最高责任者指定信息科技部部长为信息安全管理者代表。无论该成员在其他方面的职责如何,对公司信息安全负有以下职责:
建立并实施信息安全管理体系必要的程序并维持其有效运行;
对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员会或最高责任者报告。
b) 各部门长为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
c) 有关信息安全管理体系各部门职责分担参照附表1,详细责任和权限见附表2。
4.2.2.4 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
4.2.3 ISMS的监督检查与评审
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查(如IDS)等控制措施并报告结果以实现:
a) 及时发现信息安全体系的事故和隐患;
b) 及时了解信息处理系统遭受的各类攻击;
c) 使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措
施;
d) 积累信息安全方面的经验。
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由最高责任者主持,定期(每年至少一次)对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求,见本手册第6章。
4.2.3.3 信息科技部应组织有关部门按照《信息资产的识别与风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织机构发生重大变更;
b) 信息处理技术发生重大变更;
c) 公司业务目标及流程发生重大变更;
d) 发现信息资产面临重大威胁;
e) 外部环境,如法律法规或信息安全标准发生重大变更。
4.2.3.4 保持上述活动和措施的记录。
以上活动的详细程序规定于以下文件中:
《记录管理规格书》 ISQ(HH)—C-0007;
《 组织机构及职责》?IMR(HH);
《信息资产的识别与风险评估管理程序》ISMS—2001;
《内部审核规程》 ISMS—0011;
4.2.4. ISMS保持与改进
本公司开展以下活动,以确保ISMS的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目; b) 按照《内部审核规程》、《预防措施控制程序》的要求采取适当的纠正和预
防措施;
c) 吸取其他组织及本公司安全事故的经验教训,不断改进安全措施的有效性; d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果; e) 为了确保信息安全管理体系的持续有效,各级管理者应通过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如:管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等。
f) 以上详细程序规定于以下文件中:
《法律法规、相关方要求识别与符合性评估程序》 ISMS--2014;
上述活动的会议记要和报告。
4.3.文件要求
4.3.1.总则
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、目标和适应性声明;
b) 信息安全管理体系手册(本手册,包括信息安全适用范围及引用的标准); c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《企业秘密管理规程》、《预防措施控制程序》、《管理评审程序》等支持性程序; d) ISMS引用质量管理体系的支持性程序。如:《文件管理规定》、《记录管理规程》、《内部审核规程》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序; f) ISMS要求的记录类;
g) 相关的法律、法规和信息安全标准。
注:相关的文件和记录的媒体可能有:纸、F/D、H/D、磁带等。所有文件应该容易为需要使用的员工获得。
4.3.2.文件控制
信息科技部制定信息安全管理体系所要求文件的管理程序,保证信息安全管理体系文件得到以下所需的控制:
a) 文件的编写、发行、修订、废弃等事项得到相应授权的查阅、批准,确保文件是合适的、可行的;
b) 文件的标识和修订状态清晰、易于识别,确保使用的文件是当前的有效版本; c) 为了文件的有效性,要定期确认记载内容是否过时,根据需要决定保持或修改并再次得到相应的批准;
d) 确保信息安全的外部标准、相应法律、法规得到明确的标识和管理; e) 以上规定的详细内容见:
《文件控制程序》ISMS—0001;
《外部标准管理规程》 ISMS—0034。
《法律法规、相关方要求识别与符合性评估程序》ISMS--2014
4.3.3.记录控制
a) 信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。信息科技部负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理规定。
b) 该规定应指定记录的标识、储存、保护、检索、保管、废弃等事项。
c) 信息安全体系的记录包括4.2中所列出的所有过程的结果及与ISMS相关的安全事故。各部门应根据记录管理规定的要求采取适当的方式妥善保管信息安全记录。
d) 该程序详细的规定见《记录管理规定》 ISQ(HH)-C-0007。
5、 管理职责
5.1.管理承诺
信息安全最高责任者为确保建立、维持并持续改善信息安全管理体系特作出以下承诺:
a)建立信息安全方针;
b)建立信息安全目标和实施计划;
c)建立信息安全组织并明确职责;
d)通过适当的沟通方式,向全体员工传达满足信息安全目标、符合信息安全方针以及法律、法规要求和持续改进的重要性;
e)提供适当的资源以满足信息安全管理体系的需要;
f)对可接受风险的水平进行决策;
g)实施ISMS管理评审。
5.2.资源管理
5.2.1.提供资源
本公司确定并提供适当的资源,以满足以下需求:
a)建立、实施和维持ISMS;
b)确保信息安全管理程序支持业务流程的要求;
c)识别并致力于满足法律法规要求及合同规定的安全义务;
d)切实实施已有的控制措施,保持信息安全的充分性;
e)必要时进行评审并对评审结果做出适当的反应;
f)需要时,改进信息安全体系的有效性。
资源管理的具体内容见每年度的《公司财务预算》。
5.2.2.能力、意识和培训
为提高全员信息安全的意识、确保相关人员履行信息安全职责所需的能力,应制定并实施以下的管理活动:
a)明确各岗位信息安全的职责和对能力的要求(JD的内容);
b)实施信息安全意识和能力的教育、培训并评价其培训的有效性;
c)通过宣传和其他活动使员工普遍认识到信息安全职责的重要性及如何为实现信息安全目标做出各自的贡献;
d)保持以上活动的记录。
以上活动的详细规程见:
各部门的岗位描述;
教育培训规程》 ISMS—0026
6、 ISMS管理评审
6.1.总则
信息安全最高责任者为确认信息安全管理体系的适宜性、充分性和有效性,每半年对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价,以及对安全方针、安全目标的评价。管理评审的结果应形成书面记录,该记录按4.3.3的要求进行保存。
6.2.管理评审的输入
在管理评审时,管理者代表应组织相关部门提供以下资料,供最高责任者和信息安全委员会进行评审:
a)ISMS体系内、外部审核的结果;
b)相关方的反馈(投诉、抱怨、建议);
c)可以用来改进ISMS业绩和有效性的新技术、产品或程序;
d)信息安全目标达成情况,纠正和预防措施的实施情况;
e)信息安全事故或征兆,以往风险评估时未充分考虑到的薄弱点或威胁; f)上次管理评审时决定事项的实施情况;
g)可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求); h)对信息安全管理体系改善的建议。
6.3.管理评审的输出
信息安全管理最高责任者对以下事项作出必要的指示:
a) 信息安全管理体系有效性的改善事项;
b) 信息安全方针适宜性的评价;
c) 必要时,对影响信息安全的控制流程进行变更,以应对包括以下变化的内外部事件对信息安全体系的影响:
业务发展要求;
信息安全要求;
业务流程;
法律法规要求;
风险水平/可接受风险水平。
d) 对资源的需求。
以上内容的详细规定见《管理评审实施程序》 ISMS—2000。
6.4.内部审核
信息科技部负责制定内审计划并组织实施,以处理ISMS规定的安全目标、控制措施和程序是否:
a) 符合ISO27001:2005标准和有关法律法规要求;
b) 符合已识别的信息安全要求;
c) 有效实施和保持;
d) 完成预期的目标。
6.4.1.?内部审核程序
a) 信息科技部门编写信息安全管理体系年度审核计划,该计划应覆盖整个ISMS体系并得到信息安全管理体系最高责任者的批准。
b) 内部审核以本手册、相应的规程、作业指导书为基准。选定的内审员应是了解公司业务流程、熟悉安全体系标准并经过培训取得信息安全内审员资格的本公司员工。
c) 内审员资格需取得信息安全管理者代表的批准。
d) 进行内审时,信息科技部门要有计划的进行以下的事项:
审核员的选定、教育与培训;
编写审核计划,指定审核员(审核员应与被审核对象无直接责任关系); 准备必要的相关文件。
e) 审核中发现的不符合事项,要向责任部门报告,由责任部门明确纠正措施的实施计划。
f) 要对该纠正措施的实施计划,进行适宜的跟踪,确认是否有效实施。 g) 以上的工作完成后,须经管理者代表确认后,审核才算结束。
h) 如果发现信息安全重大不符合或征兆时,或者管理者代表判断必要时,可调整年度审核计划。
i) 对审核的结果进行适当的汇总整理,作为管理评审的输入资料。
6.4.2.内部审核需保留以下记录
被审核对象范围、审核日期、审核员、被审核方;依据的文件、具体审核事项
及其审查结果、不符合内容和程度(严重或轻微及观察事项)、不符合事项的纠正措施和实施期限;纠正措施的实施状况及其效果,其他必要事项、审核结束的确凿证据。
6.4.3.以上程序详细内容见:
IEM(HH)-0011《内部审核规程》。
7、 ISMS改善
7.1.持续改善
本公司通过制定信息安全方针、安全目标、实施内外部审核、纠正和预防措施以及管理评审等活动,持续改善信息安全体系的有效性。
详细的规定见《管理评审实施程序》、《内部审核规程》及后述的纠正预防程序中。
7.2.纠正措施
7.2.1.发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和原因,防止不符合事项再次发生。
7.2.2.纠正措施的要求在《内部审核规程》和其他信息安全控制、检查程序中明确的规定。这些规定应包括以下内容:
指明不符合ISMS的事项(根据不符合事项的判断依据);
调查不符合事项产生的原因;
确定并实施纠正措施;
评价纠正措施的有效性;
留下记录,作为管理评审输入数据。
详细规定见《内部审核规程》 ISMS-0011,《事故、薄弱点与故障管理程序》 ?ISMS-2017。
7.3.预防措施
7.3.1.信息科技部应定期(每半年一次)组织有关部门分析信息安全方面的相关信息,如内外审核报告、监视记录、相关方安全专家的建议、新反病毒技术等,以确定信息安全预防措施,消除不符合的潜在原因。预防措施应与潜在问题的影响程度相适应。
7.3.2.预防措施的要求在《预防措施控制程序》ISMS—2002中作详细规定。该程序包括了以下方面的要求:
a)识别潜在不符合事项及其原因;
b)确定并实施所需采取的预防措施;
c)记录所采取措施的结果;
d)评价所采取预防措施的有效性。
e)识别已变更的风险并确保对潜在的重大风险给予足够的关注。应基于风险评估的结果,确定预防措施的优先级别。
7.3.3.各责任部门应对本部门预防措施的实施加以控制,以保证预防措施的有效性。
7.3.4.每次管理评审前,信息科技部应对自上次管理评审后所实施的所有预防措施进行汇集整理,以提交管理评审。
信息安全管理办法
1. 目的和适用范围
1.1.目的
为了建立、健全本公司信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进ISMS的有效性,特制定本手册。
1.2.适用范围
本手册适用于4.2.1.1条款确定范围内的信息安全管理活动。
2、 引用标准
2.1.BS7799-2:2002 《信息安全管理体系--规范及使用指南》
Information security management systems—Specification with guidance for use
2.2.ISO/IEC 17799:2000 《信息技术——信息安全管理实施细则》 Information technology—Code of practice for information Security management
3、定义和术语
3.1.术语
本手册中使用术语的定义采用BS7799-2:2002 《信息安全管理体系--规范及使用指南》中有关术语的定义。
3.2.缩写
1. ISMS:Information Security Management Systems ?信息安全管理体系; 2. SoA: Statement of Applicability ?适用性声明;
3. PDCA: Plan Do Check Action计划、实施、检查、改进; 4. IDS: Intrusion Detection System 攻击检测系统。
4、 信息安全管理体系
4.1.总要求
本公司按照BS7799-2:2002标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于以下PDCA模式。
4.2.建立和管理ISMS
4.2.1.建立ISMS
4.2.1.1本公司ISMS的范围包括:
a) 本公司厂区内的所有部门和所有正式员工;
b) 产品的设计、测试、印制、包装、发送、活动;
c) 与b)所述活动相关的应用系统及支持性信息管理系统包含的全部信息资产。
4.2.1.2本公司ISMS方针的制定考虑了以下方面的要求:
a) 作为制定ISMS目标的框架及为采取信息安全措施建立总的方向与原则; b) 考虑公司业务发展、法律法规要求及其他相关方信息安全的要求;
c) 为ISMS的建立和维持,提供一个组织化的战略和风险管理的基本环境; d) 确定风险评估的准则和结构。
4.2.1.3.信息安全管理体系方针
实施风险管理,确保信息安全,满足相关方要求,实现可持续发展。
为了满足适用法律法规及相关方要求,维持生产和经营的正常进行,本公司依据ISO27001:2005标准,建立信息安全管理体系,以保证本公司生产经营信息的保密性、完整性、可用性,实现业务可持续发展的目的。本公司承诺:
a) 在公司内各层次建立完整的信息安全管理组织机构,确定信息安全方针、安全目标和控制措施,明确信息安全的管理职责;
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,ISMS评审,采取纠正预防措施,保证体系的持续有效性;
d) 采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;
e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;
f) 制定并保持完善的业务连续性计划,实现可持续发展。
上述方针由公司信息安全最高责任者批准发布,并定期评审其适用性、充分性,必要时予以修订。
4.2.1.4风险评估的系统方法
信息科技部负责建立信息安全风险评估管理程序并组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容记载于ISMS—2001风险评估流程。
4.2.1.5.风险识别
在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源。对每一项信息资产,根据重要信息资产判断依据确定是否为重要信息资产,形成《重要信息资产清单》。
4.2.1.6.评估风险
a) 针对每一项重要信息资产,参考《信息安全威胁列表》及以往的安全事故(事件)记录、信息资产所处的环境等因素,识别出所有重要信息资产所面临的威胁;
b) 针对每一项威胁,考虑现有的控制措施,参考《信息安全薄弱点列表》识别
出被该威胁可能利用的薄弱点;
c) 综合考虑以上2点,按照《威胁发生可能性等级表》中的处理准则对每一个威胁发生的可能性进行赋值;
d) 根据《威胁影响程度判断准则》,判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害,进而对公司业务造成的影响,来给威胁影响赋值,取C、I、A的最大值为威胁影响程度的赋值。
e) 风险大小计算考虑威胁产生安全故障的可能性及其所造成影响程度两者的结合,根据《风险距阵计算表》来得到风险等级;
f) 对于信息安全风险,在考虑控制措施与费用平衡的原则下制定《风险接受准则》,按照该准则确定何种等级的风险为不可接受风险。
4.2.1.7.风险处理方法的识别与评价
信息科技部应组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理责任部门、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施: a) 采用适当的内部控制措施;
b) 接受某些风险(不可能将所有风险降低为零);
c) 回避某些风险(如物理隔离);
d) 转移某些风险(如将风险转移给保险者、供方、分包商)。
4.2.1.8.选择控制目标与控制措施
a) 信息安全管理委员会根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标,并将目标分解到有关部门。信息安全目标应获得信息安全最高责任者的批准。
b) 控制目标及控制措施的选择原则来源于ISO27001:2005附录A,具体控制措
施可以参考ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
4.2.1.9.适用性声明SoA
信息科技部负责编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
a)所选择控制目标与控制措施的概要描述;
b)对ISO27001:2005附录A中未选用的控制目标及控制措施理由的说明。 该声明的详细内容见ISMS—1001。
4.2.2 ISMS实施及运作
4.2.2.1为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a) 形成《风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b) 为实现已确定的安全目标、实施《风险处理计划》,明确各岗位的信息安全职责;
c) 实施所选择的控制措施,以实现控制目标的要求;
d) 进行信息安全培训,提高全员信息安全意识和能力;
e) 对信息安全体系的运作进行管理;
f) 对信息安全所需资源进行管理;
g) 实施控制程序,对信息安全事故(或征兆)进行迅速反应。
4.2.2.2 信息安全组织机构
公司经营管理层决定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
a) 由经营管理层和各部门长组成的信息安全管理委员会为公司信息安全管理最高机构;
b) 各部门长根据公司组织机构和职责决定本部门组织形式和业务分担,并形成文件。
4.2.2.3信息安全职责和权限
a) 执行总裁为公司信息安全最高责任者。最高责任者指定信息科技部部长为信息安全管理者代表。无论该成员在其他方面的职责如何,对公司信息安全负有以下职责:
建立并实施信息安全管理体系必要的程序并维持其有效运行;
对信息安全管理体系的运行情况和必要的改善措施向信息安全管理委员会或最高责任者报告。
b) 各部门长为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
c) 有关信息安全管理体系各部门职责分担参照附表1,详细责任和权限见附表2。
4.2.2.4 各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
4.2.3 ISMS的监督检查与评审
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查(如IDS)等控制措施并报告结果以实现:
a) 及时发现信息安全体系的事故和隐患;
b) 及时了解信息处理系统遭受的各类攻击;
c) 使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措
施;
d) 积累信息安全方面的经验。
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由最高责任者主持,定期(每年至少一次)对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。管理评审的具体要求,见本手册第6章。
4.2.3.3 信息科技部应组织有关部门按照《信息资产的识别与风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织机构发生重大变更;
b) 信息处理技术发生重大变更;
c) 公司业务目标及流程发生重大变更;
d) 发现信息资产面临重大威胁;
e) 外部环境,如法律法规或信息安全标准发生重大变更。
4.2.3.4 保持上述活动和措施的记录。
以上活动的详细程序规定于以下文件中:
《记录管理规格书》 ISQ(HH)—C-0007;
《 组织机构及职责》?IMR(HH);
《信息资产的识别与风险评估管理程序》ISMS—2001;
《内部审核规程》 ISMS—0011;
4.2.4. ISMS保持与改进
本公司开展以下活动,以确保ISMS的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目; b) 按照《内部审核规程》、《预防措施控制程序》的要求采取适当的纠正和预
防措施;
c) 吸取其他组织及本公司安全事故的经验教训,不断改进安全措施的有效性; d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果; e) 为了确保信息安全管理体系的持续有效,各级管理者应通过适当的手段保持在公司内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如:管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等。
f) 以上详细程序规定于以下文件中:
《法律法规、相关方要求识别与符合性评估程序》 ISMS--2014;
上述活动的会议记要和报告。
4.3.文件要求
4.3.1.总则
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、目标和适应性声明;
b) 信息安全管理体系手册(本手册,包括信息安全适用范围及引用的标准); c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《企业秘密管理规程》、《预防措施控制程序》、《管理评审程序》等支持性程序; d) ISMS引用质量管理体系的支持性程序。如:《文件管理规定》、《记录管理规程》、《内部审核规程》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序; f) ISMS要求的记录类;
g) 相关的法律、法规和信息安全标准。
注:相关的文件和记录的媒体可能有:纸、F/D、H/D、磁带等。所有文件应该容易为需要使用的员工获得。
4.3.2.文件控制
信息科技部制定信息安全管理体系所要求文件的管理程序,保证信息安全管理体系文件得到以下所需的控制:
a) 文件的编写、发行、修订、废弃等事项得到相应授权的查阅、批准,确保文件是合适的、可行的;
b) 文件的标识和修订状态清晰、易于识别,确保使用的文件是当前的有效版本; c) 为了文件的有效性,要定期确认记载内容是否过时,根据需要决定保持或修改并再次得到相应的批准;
d) 确保信息安全的外部标准、相应法律、法规得到明确的标识和管理; e) 以上规定的详细内容见:
《文件控制程序》ISMS—0001;
《外部标准管理规程》 ISMS—0034。
《法律法规、相关方要求识别与符合性评估程序》ISMS--2014
4.3.3.记录控制
a) 信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。信息科技部负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的记录管理规定。
b) 该规定应指定记录的标识、储存、保护、检索、保管、废弃等事项。
c) 信息安全体系的记录包括4.2中所列出的所有过程的结果及与ISMS相关的安全事故。各部门应根据记录管理规定的要求采取适当的方式妥善保管信息安全记录。
d) 该程序详细的规定见《记录管理规定》 ISQ(HH)-C-0007。
5、 管理职责
5.1.管理承诺
信息安全最高责任者为确保建立、维持并持续改善信息安全管理体系特作出以下承诺:
a)建立信息安全方针;
b)建立信息安全目标和实施计划;
c)建立信息安全组织并明确职责;
d)通过适当的沟通方式,向全体员工传达满足信息安全目标、符合信息安全方针以及法律、法规要求和持续改进的重要性;
e)提供适当的资源以满足信息安全管理体系的需要;
f)对可接受风险的水平进行决策;
g)实施ISMS管理评审。
5.2.资源管理
5.2.1.提供资源
本公司确定并提供适当的资源,以满足以下需求:
a)建立、实施和维持ISMS;
b)确保信息安全管理程序支持业务流程的要求;
c)识别并致力于满足法律法规要求及合同规定的安全义务;
d)切实实施已有的控制措施,保持信息安全的充分性;
e)必要时进行评审并对评审结果做出适当的反应;
f)需要时,改进信息安全体系的有效性。
资源管理的具体内容见每年度的《公司财务预算》。
5.2.2.能力、意识和培训
为提高全员信息安全的意识、确保相关人员履行信息安全职责所需的能力,应制定并实施以下的管理活动:
a)明确各岗位信息安全的职责和对能力的要求(JD的内容);
b)实施信息安全意识和能力的教育、培训并评价其培训的有效性;
c)通过宣传和其他活动使员工普遍认识到信息安全职责的重要性及如何为实现信息安全目标做出各自的贡献;
d)保持以上活动的记录。
以上活动的详细规程见:
各部门的岗位描述;
教育培训规程》 ISMS—0026
6、 ISMS管理评审
6.1.总则
信息安全最高责任者为确认信息安全管理体系的适宜性、充分性和有效性,每半年对信息安全管理体系进行一次评审。该管理评审应包括对信息安全管理体系是否需改进或变更的评价,以及对安全方针、安全目标的评价。管理评审的结果应形成书面记录,该记录按4.3.3的要求进行保存。
6.2.管理评审的输入
在管理评审时,管理者代表应组织相关部门提供以下资料,供最高责任者和信息安全委员会进行评审:
a)ISMS体系内、外部审核的结果;
b)相关方的反馈(投诉、抱怨、建议);
c)可以用来改进ISMS业绩和有效性的新技术、产品或程序;
d)信息安全目标达成情况,纠正和预防措施的实施情况;
e)信息安全事故或征兆,以往风险评估时未充分考虑到的薄弱点或威胁; f)上次管理评审时决定事项的实施情况;
g)可能影响信息安全管理体系变更的事项(标准、法律法规、相关方要求); h)对信息安全管理体系改善的建议。
6.3.管理评审的输出
信息安全管理最高责任者对以下事项作出必要的指示:
a) 信息安全管理体系有效性的改善事项;
b) 信息安全方针适宜性的评价;
c) 必要时,对影响信息安全的控制流程进行变更,以应对包括以下变化的内外部事件对信息安全体系的影响:
业务发展要求;
信息安全要求;
业务流程;
法律法规要求;
风险水平/可接受风险水平。
d) 对资源的需求。
以上内容的详细规定见《管理评审实施程序》 ISMS—2000。
6.4.内部审核
信息科技部负责制定内审计划并组织实施,以处理ISMS规定的安全目标、控制措施和程序是否:
a) 符合ISO27001:2005标准和有关法律法规要求;
b) 符合已识别的信息安全要求;
c) 有效实施和保持;
d) 完成预期的目标。
6.4.1.?内部审核程序
a) 信息科技部门编写信息安全管理体系年度审核计划,该计划应覆盖整个ISMS体系并得到信息安全管理体系最高责任者的批准。
b) 内部审核以本手册、相应的规程、作业指导书为基准。选定的内审员应是了解公司业务流程、熟悉安全体系标准并经过培训取得信息安全内审员资格的本公司员工。
c) 内审员资格需取得信息安全管理者代表的批准。
d) 进行内审时,信息科技部门要有计划的进行以下的事项:
审核员的选定、教育与培训;
编写审核计划,指定审核员(审核员应与被审核对象无直接责任关系); 准备必要的相关文件。
e) 审核中发现的不符合事项,要向责任部门报告,由责任部门明确纠正措施的实施计划。
f) 要对该纠正措施的实施计划,进行适宜的跟踪,确认是否有效实施。 g) 以上的工作完成后,须经管理者代表确认后,审核才算结束。
h) 如果发现信息安全重大不符合或征兆时,或者管理者代表判断必要时,可调整年度审核计划。
i) 对审核的结果进行适当的汇总整理,作为管理评审的输入资料。
6.4.2.内部审核需保留以下记录
被审核对象范围、审核日期、审核员、被审核方;依据的文件、具体审核事项
及其审查结果、不符合内容和程度(严重或轻微及观察事项)、不符合事项的纠正措施和实施期限;纠正措施的实施状况及其效果,其他必要事项、审核结束的确凿证据。
6.4.3.以上程序详细内容见:
IEM(HH)-0011《内部审核规程》。
7、 ISMS改善
7.1.持续改善
本公司通过制定信息安全方针、安全目标、实施内外部审核、纠正和预防措施以及管理评审等活动,持续改善信息安全体系的有效性。
详细的规定见《管理评审实施程序》、《内部审核规程》及后述的纠正预防程序中。
7.2.纠正措施
7.2.1.发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和原因,防止不符合事项再次发生。
7.2.2.纠正措施的要求在《内部审核规程》和其他信息安全控制、检查程序中明确的规定。这些规定应包括以下内容:
指明不符合ISMS的事项(根据不符合事项的判断依据);
调查不符合事项产生的原因;
确定并实施纠正措施;
评价纠正措施的有效性;
留下记录,作为管理评审输入数据。
详细规定见《内部审核规程》 ISMS-0011,《事故、薄弱点与故障管理程序》 ?ISMS-2017。
7.3.预防措施
7.3.1.信息科技部应定期(每半年一次)组织有关部门分析信息安全方面的相关信息,如内外审核报告、监视记录、相关方安全专家的建议、新反病毒技术等,以确定信息安全预防措施,消除不符合的潜在原因。预防措施应与潜在问题的影响程度相适应。
7.3.2.预防措施的要求在《预防措施控制程序》ISMS—2002中作详细规定。该程序包括了以下方面的要求:
a)识别潜在不符合事项及其原因;
b)确定并实施所需采取的预防措施;
c)记录所采取措施的结果;
d)评价所采取预防措施的有效性。
e)识别已变更的风险并确保对潜在的重大风险给予足够的关注。应基于风险评估的结果,确定预防措施的优先级别。
7.3.3.各责任部门应对本部门预防措施的实施加以控制,以保证预防措施的有效性。
7.3.4.每次管理评审前,信息科技部应对自上次管理评审后所实施的所有预防措施进行汇集整理,以提交管理评审。