供应商的信息安全管理体系说明1.1信息安全管理手册之信息安全管理方针和策略范围公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。1.1规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。ISO/IEC27000,信息技术——安全技术——信息安全管理体系——概述和词汇。1.1.1术语和定义ISO/IEC27000中的术语和定义适用于本文件。1.1.1公司环境1.1.3.1理解公司及其环境公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑:明确外部状况:社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;影响组织目标的主要动力和趋势;与外部利益相关方的关系,外部利益相关方的观点和价值观。明确内部状况:治理、组织结构、作用和责任;方针、目标,为实现方针和目标制定的战略;基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);与内部利益相关方的关系,内部利益相关方的观点和价值观;组织的文化;信息系统、信息流和决策过程(正式与非正式);组织所采用的标准、指南和模式;合同关系的形式与范围。明确风险管理过程状况:确定风险管理活动的目标;确定风险管理过程的职责;确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;确定风险评价的方法;确定评价风险管理的绩效和有效性的方法;识别和规定所必须要做出的决策;确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。确定风险准则:可以出现的致因和后果的性质和类别,以及如何予以测量;可能性如何确定;可能性和(或)后果的时间范围;风险程度如何确定;利益相关方的观点;风险可接受或可容许的程度;多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。1.1.3.2理解相关方的需求和期望信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。1.1.3.3确定信息安全管理体系范围本公司ISMS的范围包括a)物理范围:b)业务范围:计算机软件开发,计算机系统集成相关信息安全管理活动。c)内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部。d)外部接口:向公司提供各种服务的第三方。1.1.3.4信息安全管理体系本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于PDCA模式。1.1.2领导力总经理应通过以下方式证明信息安全管理体系的领导力和承诺:a)确保信息安全方针和信息安全目标已建立,并与公司战略方向一致;b)确保将信息安全管理体系要求融合到日常管理过程中;c)确保信息安全管理体系所需资源可用;d)向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性;e)确保信息安全管理体系达到预期结果;f)指导并支持相关人员为信息安全管理体系有效性做出贡献;g)促进持续改进;h)支持信息安全管理小组及各部门的负责人,在其职责范围内展现领导力。1.1.3规划1.1.5.1应对风险和机会的措施(一)总则公司针对公司内部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信息安全方面的风险。在已确定的ISMS范围内,针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。信息安全管理小组制定信息安全风险评估管理程序,经信息安全管理小组组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见《信息安全风险评估管理程序》。1)信息安全风险评估风险评估的系统方法信息安全管理小组制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》。资产识别在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。评估风险a)针对每一项信息资产、记录、信息资产所处的环境等因素,识别出所有信息资产所面临的威胁;b)针对每一项威胁,识别出被该威胁可能利用的薄弱点;c)针对每一项薄弱点,列出现有的控制措施,并对控制措施有效性赋值;同时考虑威胁利用脆弱性的容易程度,并对容易度赋值;d)判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害,进而对公司业务造成的影响,计算信息资产的安全事件的可能性和损失程度。e)考虑安全事件的可能性和损失程度两者的结合,计算信息资产的风险值。f)根据《信息安全风险评估管理程序》的要求确定资产的风险等级。g)对于信息安全风险,在考虑控制措施与费用平衡的原则下制定风险接受准则,按照该准则确定何种等级的风险为不可接受风险,该准则在《信息安全风险评估管理程序》有详细规定,并在《风险评估报告》中进行系统汇报并针对结果处理意见获得最高管理者批准。h)获得最高管理者对建议的残余风险的批准,残余风险应该在《残余风险评价报告》上留下记录,并记录残余风险处置批示报告。i)获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。2)信息安全风险处置风险处理方法的识别与评价信息安全管理小组应组织有关部门根据风险评估的结果,形成《风险处理计划》,该计划应明确风险处理责任部门、方法及时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a)采用适当的内部控制措施;b)接受某些风险(不可能将所有风险降低为零);c)回避某些风险(如物理隔离);d)转移某些风险(如将风险转移给保险者、供方、分包商)。选择控制目标与控制措施信息安全管理小组根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标。信息安全目标应获得总裁的批准。本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。适用性声明SoA信息安全管理小组编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:a)所选择控制目标与控制措施的概要描述;b)对ISO/IEC27001:2013附录A中未选用的控制目标及控制措施理由的说明。残余风险对风险处理后的残余风险应形成《残余风险评估报告》并得到信息安全最高责任人的批准。信息安全管理小组应保留信息安全风险处置过程的文件化信息。1.1.5.2信息安全目标和实现规划根据公司的信息安全方针,经过最高管理者确认,公司的信息安全管理目标为:顾客保密性抱怨/投诉的次数不超过1起/年受控信息泄露的事态发生不超过3起/年秘密信息泄露的事态不得发生。信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施,明确控制措施改进时间表。对于各部门信息安全目标的完成情况,按照《信息安全目标及有效性测量程序》的要求,周期性在主责部门对各控制措施的目标进行测量,并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。1.1.4支持1.1.6.1资源总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。1.1.6.2能力办公室应:a)确定公司全体员工影响公司信息安全绩效的必要能力;b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d)保留适当的文件化信息作为能力的证据。注:适用的措施可包括,对新入职员工进行的信息安全意识教育;定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。1.1.6.3意识公司全体员工应了解:a)公司的信息安全方针;b)个人其对公司信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c)不符合信息安全管理体系要求带来的影响。1.1.6.4沟通信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求,包括:a)沟通内容;b)沟通时间;c)沟通对象;d)谁应负责沟通;e)影响沟通的过程。1.1.6.5文件化信息(一)总则公司的信息安全管理体系应包括:a)本标准要求的文件化信息;b)信息安全管理小组确保信息安全管理体系的有效运行,需编制《文件控制程序》以管理公司信息安全管理体系的相关文件。(二)创建和更新创建和更新文件化信息时,信息安全管理小组应确保适当的:a)标识和描述(例如标题、日期、作者或编号);b)格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);c)对适宜性和充分性的评审和批准。(三)文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保:a)在需要的地点和时间,是可用和适宜的;b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等);c)为控制文件化信息,适用时,科技规划部应开展以下活动;d)分发,访问,检索和使用;e)存储和保护,包括保持可读性;f)控制变更(例如版本控制);g)保留和处置。信息安全管理小组需在《文件控制程序》中规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。1.1.5运行1.1.7.1运行规划和控制为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a)形成《信息安全风险处理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级,应特别注意公司外包过程的确定和控制;对于系统集成和IT外包运维服务项目,项目经理应在项目策划阶段识别所面临的信息安全风险,并在项目全过程中对信息安全风险进行监控和更新;b)为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;c)实施所选择的控制措施,以实现控制目标的要求;d)进行信息安全培训,提高全员信息安全意识和能力;e)对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响;f)对信息安全所需资源进行管理;g)实施控制程序,对信息安全事故(或事件)进行迅速反应。总经理为本公司信息安全最高责任者。办公室制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理体系的运行情况和必要的改善措施向信息安全最高责任者报告。各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施,并形成文件;全体员工都应按保密承诺的要求自觉履行信息安全义务。各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施。信息安全管理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现6.2中确定的信息安全目标。信息安全管理小组应保持文件化信息达到必要的程度,以确信过程按计划得到执行。信息安全管理小组应控制计划内的变更并评审非预期变更的后果,必要时