信息安全管理过程

信息安全管理手册1信息安全管理手册文件编号版本编制编制日期审核审核日期批准批准日期信息安全管理手册2变更记录日期版本编制/修改者修订类型描述注：修订类型：A——增加，M——修改，D——删除信息安全管理手册3一、范围1.1总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称ISMS），确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2应用本信息安全管理手册规定了公司的信息安全管理体系要求、管理职责、内部审核、管理评审和信息安全管理体系改进等方面内容。本信息安全管理手册适用于公司业务活动所涉及的信息系统、资产及相关信息安全管理活动，具体见4.2.2.1条款规定。二、规范性引用文件下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本标准，然而，行政部门应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。三、术语和定义GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。3.1本公司指公司所属各部门。信息安全管理手册43.2信息系统指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。3.3计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。3.4信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。3.5相关方关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为：政府、供方、银行、用户、电信等。四、信息安全管理体系4.1概述本公司在软件开发、经营、服务和日常管理活动中，按GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定，参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》标准，建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。信息安全管理体系使用的过程基于图1所示的PDCA模型。信息安全管理手册5图1信息安全管理体系模型4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.1.1信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界，本公司信息安全管理体系的范围包括：a)本公司涉及软件开发、营销、服务和日常管理的业务系统；b)与所述信息系统有关的活动；c)与所述信息系统有关的部门和所有员工；d)所述活动、系统及支持性系统包含的全部信息资产。组织范围：本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围，见本手册附录A（规范性附录）《信息安全管理体系组织机构图》。物理范围：信息安全管理手册6本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。本公司信息安全管理体系的物理范围为本公司位于重庆市内的所有运维场所，包含客户方以及公司内部。4.2.1.2信息安全管理体系的方针为了满足适用法律法规及相关方要求，维持软件开发和经营的正常进行，实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针，见本信息安全管理手册第0.4条款。该信息安全方针符合以下要求：a)为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；b)考虑业务及法律或法规的要求，及合同的安全义务；c)与组织战略和风险管理相一致的环境下，建立和保持信息安全管理体系；d)建立了风险评价的准则；e)经最高管理者批准。为实现信息安全管理体系方针，本公司承诺：a)在各层次建立完整的信息安全管理组织机构，确定信息安全目标和控制措施；明确信息安全的管理职责b)识别并满足适用法律、法规和相关方信息安全要求；c)定期进行信息安全风险评估，信息安全管理体系评审，采取纠正预防措施，保证体系的持续有效性；d）采用先进有效的设施和技术，处理、传递、储存和保护各类信息，实现信息共享；e)对全体员工进行持续的信息安全教育和培训，不断增强员工的信息安全意识和能力；f)制定并保持完善的业务连续性计划，实现可持续发展。4.2.1.3风险评估的方法信息安全管理手册7行政部门负责制定《信息安全风险评估管理程序》，建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。信息安全风险评估执行《信息安全风险评估管理程序》，以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。4.2.1.4识别风险在已确定的信息安全管理体系范围内，本公司按《信息安全风险评估管理程序》，对所有的资产进行了识别，并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值，形成了《资产识别清单》。同时，根据《信息安全风险评估管理程序》，识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。4.2.1.5分析和评价风险本公司按《信息安全风险评估管理程序》，采用人工分析法，分析和评价风险：a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值；b)针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全失效发生的可能性，并进行赋值；c)根据《信息安全风险评估管理程序》计算风险等级；d)根据《信息安全风险评估管理程序》及风险接受准则，判断风险为可接受或需要处理。4.2.1.6识别和评价风险处理的选择行政部门组织有关部门根据风险评估的结果，形成《信息安全不可接受风险处理计划》，该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：a)消减风险（通过适当的控制措施降低风险发生的可能性）；信息安全管理手册8b)接受风险（风险值不高或者处理的代价高于风险引起的损失，公司决定接受该风险/残余风险）；c)规避风险（决定不进行引起风险的活动，从而避免风险）；d)转移风险（通过购买保险、外包等方法把风险转移到外部机构）。4.2.1.7选择控制目标与控制措施行政部门根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定了信息安全目标，并将目标分解到有关部门（见《适用性声明》）：a)信息安全控制目标获得了信息安全最高责任者的批准。b)控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A，具体控制措施参考GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》。c)本公司根据信息安全管理的需要，可以选择标准之外的其他控制措施。4.2.1.8对风险处理后的残余风险，得到了公司最高管理者的批准。4.2.1.9最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。4.2.1.10适用性声明行政部门负责编制《适用性声明》（SOA）。该声明包括以下方面的内容：a)所选择控制目标与控制措施的概要描述，以及选择的原因；b)对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的说明（本公司未涉及此项业务）。4.2.2实施及运作信息安全管理体系4.2.2.1为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a)形成《信息安全不可接受风险处理计划》，以确定适当的管理措施、职责及安全控制措施的优先级；b)为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》，明确各岗位的信息安全职责；c)实施所选择的控制措施，以实现控制目标的要求；信息安全管理手册9d)确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果；e)进行信息安全培训，提高全员信息安全意识和能力；f)对信息安全体系的运作进行管理；g)对信息安全所需资源进行管理；h)实施控制程序，对信息安全事件（或征兆）进行迅速反应。4.2.2.2信息安全组织机构本公司成立了信息安全领导机构-信息安全委员会，其职责是实现信息安全管理体系方针和本公司承诺。具体职责是：研究决定贯标工作涉及到的重大事项；审定公司信息安全方针、目标、工作计划和重要文件；为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。本公司体系推进由行政部门负责，其主要负责制订、落实贯标工作计划，对单位、部门贯标工作进行检查、指导和协调，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司由相关部门代表组成信息安全委员会，采用联席会议（协调会）的方式，进行信息安全协调和协作，以：a)确保安全活动的执行符合信息安全方针；b)确定怎样处理不符合；c)批准信息安全的方法和过程，如风险评估、信息分类；d)识别重大的威胁变化，以及信息和相关的信息处理设施对威胁的暴露；e)评估信息安全控制措施实施的充分性和协调性；f)有效的推动组织内信息安全教育、培训和意识；g)评价根据信息安全事件监控和评审得出的信息，并根据识别的信息安全事件推荐适当的措施。4.2.2.3信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何，对信息安全负有以下职责：信息安全管理手册10a)建立并实施信息安全管理体系必要的程序并维持其有效运行；b)对信息安全管理体系的运行情况和必要的改善措施向信息安全委员会或最高责任者报告。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门、人员有关信息安全职责分配见附录C（规范性附录）《信息安全管理职责明细表》和相应的程序文件。4.2.2.4各部门应按照《适用性声明》中规定的安全目标、控制措施（包括安全运行的各种控制程序）的要求实施信息安全控制措施。4.2.3监督与评审信息安全管理体系4.2.3.1本公司通过实施不定期安全检查、内部审核、事故（事件）报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：a)及时发现处理结果中的错误、信息安全体系的事故（事件）和隐患；b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c)使管理者确认人工或自动执行的安全活动达到预期的结果；d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e)积累信息安全方面的经验。4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈，由总经理主持，每年至少一次对信息安全管理体系的有效性进行评审，其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。管理评审的具体要求，见本手册第7章。4.2.3.3行政部门应组织有关部门按照《信息安全风险评估管理程序》的要求，对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可接受的水平，对以下方面变更情况应及时进行风险评估：a)组织；b)技术；c)业务目标和过程；信息安全管理手册11d)已识别的威胁