信息安全管理系列课程案例练习册(XXXX0406)

信息安全管理系列课程案例练习姓名：于全河学号：GS1221961成绩：评阅教师签名：2013年4月案例练习册1目录第一部分案例................................................................................................................................31A公司介绍......................................................................................................................32A公司ISMS文件...........................................................................................................41目的..................................................................................................................................52范围..................................................................................................................................63适用性声明......................................................................................................................61.目的................................................................................................................................192.适用范围........................................................................................................................193.风险评估的实施频率及评审........................................................................................194.风险评估方法................................................................................................................195.风险评估流程................................................................................................................206.相关文件........................................................................................................................221目的和适用范围............................................................................................................222职责................................................................................................................................233定义................................................................................................................................233.1信息安全事件................................................................................................................233.2信息安全事故................................................................................................................234工作程序........................................................................................................................234.1报告................................................................................................................................234.2处理................................................................................................................................234.3改进................................................................................................................................245相关记录........................................................................................................................24第二部分练习..............................................................................................................................281练习一：风险评估........................................................................................................282练习二：编制检查表....................................................................................................29案例练习册21练习三：判断不符合项................................................................................................31案例练习册3第一部分案例1A公司介绍位于北京上地信息产业园区的A数据科技有限公司成立于2000年8月，总投资5000万元人民币。公司主要业务是为行业用户提供数据加工服务，包括：大批量纸介质数据的电子化加工制作数字化报刊和电子图书大批量电子数据的格式转换定制开发电子数据阅读器A公司凭借自主知识产权的OCR、数据格式化等核心技术，已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。公司现有员工1200人，设有7个职能部门，实行董事会领导的总经理负责制。各职能部门主要职责如下：1)生产部：按照客户要求，负责数据加工生产，是公司核心业务部门。2)质量保证部：负责数据加工生产过程中的品质保证，ISO9001质量管理体系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的运行。3)IT部：负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。4)市场营销部：制定和实施营销策略，开发客户，实现销售。5)财务部：财务计划的制定和实施，日常结算、税务等会计业务。6)行政部：负责公司后勤保障和日常运行事务。7)人力资源部：制定和实施人力资源计划，包括人员招聘、绩效考核、岗位职责定义。案例练习册42A公司ISMS文件部分A公司ISMS文件如下。2.1ISMS方针信息安全管理体系方针1目的和适用范围信息安全管理体系方针指明了公司的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。此外，本文件还描述了公司的信息安全管理体系的范围。本文件适用于公司信息安全管理体系涉及的所有人员和过程。2信息安全定义公司对信息安全的定义是：保证公司业务所依赖的信息和信息系统的保密性，完整性，可用性；3信息安全方针和目标公司信息安全方针为：积极预防、及时发现、快速响应、确保安全。公司的信息安全目标是：满足已识别的信息安全要求，包括法律法规、客户与相关方和公司业务要求，具体目标包括：①商业秘密信息泄漏事故为零。②引起公司主要产品研发与生产中断时间累计不能超过1小时/年。③引起公司主要产品研发与生产中断事故发生次数小于3次/年。4信息安全管理机构为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持，公司设立信息安全领导小组，负责：①制定信息安全方针和目标；②建立公司信息安全角色和职责③提供公司ISMS所需要的资源；案例练习册5④领导建立和实施公司ISMS；⑤监督和检查公司信息安全工作；⑥制定和实施信息安全工作的奖惩政策。5职责公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其合约供货商必须按照相应的程序，维护此方针，所有员工有责任报告信息安全事件，以及识别信息安全风险。6重要原则和符合性要求公司所有员工应明确，在信息安全方面满足以下原则和符合以下要求是必须的：1)法律法规和合同要求的符合性2)信息安全安全意识3)遵守公司所有信息安全策略和操作规程7评审本文件需要定期被评审，12个月内评审一次，当信息安全管理体系发生重大变化时，也应评审，以维持其适用性。信息安全领导小组负责本文件的评审。8实施本方针自2006年5月15日由公司总经理签署并颁布实施。2.2适用声明（SOA）适用性声明1目的为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。案例练习册62范围本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。3适用性声明条款目标控制措施是否选择/及理由A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件依据业务要求和相关法律法规提供管理指导并支持信息安全。信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。选择信息安全工作要求所确定，见《信息安全管理体系方针》。A.5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全