企业信息安全管理制度.docx

《企业信息安全管理制度.docx》由会员分享，可在线阅读，更多相关《企业信息安全管理制度.docx（29页珍藏版）》请在优知文库上搜索。

1、交运集团青岛温馨巴士有限公司信息平安管理体系(ISMS)及管理规定第一部分信息平安管理体系(ISMS)1 ISMS产生的背景、特点和发展趋势1.1 ISMS标准产生的背景目前，我们虽处于和平年头，但全球经济一体化给世界各国带来的经济与挑战不行小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威逼，信息平安已上升为国家战略。它事关国家政治稳定、军事平安、社会安定、经济有序运行的全局性问题。只有在人员、服务、硬件、软件、数据与文件以及学问产权与专利这五大方面实行切实可行的限制措施，才能有效避开、限制、预防信息平安事务发声，切实把信息平安风险限制在可以接受的水平。1.2 ISMS标准的

2、由来1993年BS7799标准由英国贸易工业部立项BS7799-1:1999信息平安管理实施细则BS7799-2：2002信息平安管理实施规范ISO/IEC27001:2005信息平安平安技术信息平安管理GB/T22080-2008/IS0/IEC27001：2005信息技术平安技术信息平安管理体系要求1.3 ISMS标准的主要特点 与质量、环境、能源、职业健康平安等管理体系高度兼容，即管理理念、管理模式、管理的预期结果基本一样。 “向管理要效益”是该标准的精华。即并不须要组织投入大量的资源就能在信息平安事务的防范上起到“立竿见影”的效果。 可借助质量管理的八项原则，PDCA,持续改进。 有1

3、33种限制目标和限制措施（ISMS标准的附录A）供组织选用。组织可因地制宜，在现有管理体系基础上，有机嵌入ISMS,以达到事半功倍的效果。1.4 ISMS标准的发展趋势ISMS标准既适用于新兴产业，又适用于传统产业；既适用于服务业，又适用于制造业。总之，只要有信息资产的组织，均可按GB/T22080-2008/IS0/IEC27001:2005信息技术平安技术信息平安管理体系要求建立与保持ISMS。2信息平安管理体系建立的意义和作用2.1 强化员工的信息平安意识，规范组织信息平安行为。2.2 确保组织的关键信息资产始终处于全面系统的受控爱护状态，以保持组织的竞争优势。2.3 在信息系统受到侵袭

4、时，确保业务持续开展，并将损失降到最低程度。2.4 有效规避法律风险，确保组织切实履行社会责任。2.5 假如通过ISMS认证，表明该管理体系运行有效，证明组织有实力保证信息平安，提高组织的知名度与信任度。3GB/T22080-2OoV1.So/IEC27001:2005标准3.1 术语与定义资产对组织有价值的任何东西。信息对一个组织而言具有重要的价值，信息时可以通过多种媒体传递和存在。3.1.2 保密性信息不能被未被授权的个人、实体或者过程利用或知悉的特性。3.1.3 可用性依据授权实体的要求可访问和利用的特性。3.1.4 完整性爱护资产的正确和完整的特性。保密性、可用性和完整性是信息爱护的核

5、心，这三者缺一不行。3.1.5 信息平安保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查行、不行否认性和牢靠性等。3.1.6 信息平安事态系统、服务或网络的一种可识别的状态的发生。它可能对信息平安策略的违反或爱护措施的失效，或是和平安关联的一个从前未知的状态。3.1.7 信息平安事务一个信息平安事务由单个的或一系列的有害或意外信息平安事态组成。它们具有损害业务运作和威逼信息平安的极大可能性。3.1.8 信息平安管理体系QSMS)基本业务风险方法，建立、实施、运行、监视、评审、保持和改进信息平安的体系，是一个组织整个管理体系的一部分。管理体系也包括组织结构、方针策略、规划活动、职

6、责、实践、规程和资源。3.1.9 残余风险经过风险处置后遗留的风险。3.1.10 风险接受接受风险的确定。3.1.11 风险分析系统地运用信息来识别风险来源和估计风险。3.1.12 风险评估风险分析和风险评价的整个过程。3.1.13 风险评价将估计的风险与给定的风险准则加以比较，以确定风险严峻性的过程。3.1.14 风险管理指导和限制一个组织相关风险的协调活动。3.1.15 风险处置选择并且执行措施来更改风险的过程。在ISMS标准中，术语“限制措施”被用作“措施”的同义词。3.1.16 适用性声明（SOA）描述与组织的信息平安管理体系相关的和适用的限制目标和限制措施的文件。限制目标和限制措施是

7、基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息平安的业务要求。3.2 适用性声明（SOA）简介信息平安涉及的主要方面供应组织拟考虑限制目标和措施1.平安方针2个2.信息平安组织11个3.资产管理5个4.人力资源平安9个5.物理和环境平安13个6.通信和操作管理32个7.访问限制25个8.信息系统获得、开发和维护6个9.信息平安事务管理5个10.业务连续性管理5个I1.符合性10个共计133个3.3 组织需加强管理的信息资产硬件服务器、周边设备、PC计算机、访问限制终端、HUb、程控交换机、调制解调器、电话交换系统、UPS、传真机、复印机、电话机/移动电话、移动

8、介质（包括U盘、硬盘、磁盘、光盘、录音机、录像设备）。软件通用软件（正版/盗版（备份）应用软件（源代码保管）数据与文件（纸质/电子）组织中长期发展战略员工（骨干人员）数据库公共关系数据库投标书供货商数据工艺技术文件产品营销策略书董事会会议纪要薪资（骨干人员）数据库订单数据库产品（工程）技术图纸产品内控标准客户数据库产品生产安排书产品质量/成本文件人员销售发票/汇票/现金.1组织的高管.2有机会解除关键信息资产人员董事会秘书以及在领导身边的工作人员，如小车班司机，重要部门中层干部与技术、业务人员、IT网管。.3外包服务人员保安、保洁、绿化、修理等人员以及方可（特殊是竞争对手）.4外来实习人员学问

9、产权与专利包括著作权（版权）和工业产权具体指组织的好用、新型产品独创与计算机软件开发和（或）应用以及组织自身商标好用这两大部分。3.4 标准要求简介ISMS标准发布与实施GB/T22080-2008/1SO/1EC27001:2005信息技术平安技术信息平安管理体系要求于2008年6月19日由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会发布，并于2008年11月1日实施。ISMS标准的适用范围ISMS标准适用于全部类型的组织，包括商业企业、政府机构、非营利组织。ISMS标准的目次前言引言1范围2规范性引用文件3术语和定义4信息平安管理体系（ISMS）5管理职责6 ISMS内

10、部审核7 ISMS的管理评审8 ISMS改进附录A（规范性附录）限制目标和限制措施附录B（资料性附录）OECD原则和本标准附录C（资料性附录）GB/T1901-2000,GB/T2401-2004和本标准之间的比照参考文献应用于ISMS过程的PDCA模型质敬管理体系持续改进PDCA方法论规划（P）一一建立与管理风险和改进信息平安有关的ISMS方针、目标、过程和规程，以供应与组织总方针和总目标相一样的结果。实施（D）实施和运行ISMS方针、限制措施、过程和规程。检查（C）一一比照ISMS方针、目标和实践阅历，评估并在适当时测量过程的执行状况，并将结果报告管理者以供评审。处置（八）一一基于ISMS

11、内部审核和管理评审的结果或者其他相关信息，实行订正和预防措施，以持续改进ISMS。ISMS标准要求简介a）识别资产b）识别威逼、脆弱性c）风险评估d）风险管理（限制与检查）e）持续改进何谓威逼？何谓脆弱点（薄弱点）？威逼一一可能对资产或组织造成损害的事务的潜在缘由。脆弱点（薄弱点）一一资产或资产组中能被威逼利用的弱点。风险评估应关注的问题资产威逼脆弱点（薄弱点）人员未经授权的访问和应用物理爱护措施的缺乏硬件恶意软件（有意或无意）或不适当软件软件故障密码的错误选择和应数据与文件信息发送路径重定向用学问产权与（第三方恶意进行）与外部网络的连接未专利等信息未经授权修改火灾盗窃非预期结果（误操作或有意

12、所为）等被爱护文件储存未被爱护缺乏平安培训等3.4.9 制定限制目标，实行限制措施，防止信息平安事务的发生物理环境的平安性（物理层平安）如：门禁系统遭到破坏，非授权人员盗取组织核心机密信息。操作系统的平安性（系统层平安）如：病毒、黑客入侵，未安装正版防病毒软件或实行其他有效措施，造成计算机、系统效率降低、死机、瘫痪等。3.4.10 风险评估程序依据组织业务运作流程进行资产识别，并依据评估原则对资产进行评价，建立风险测量的方法及风险筝级评价原则，确定风险的大小和等级。3.4.11 主要的风险限制目标和限制措施3.4.11.1 物理环境的平安措施.1.1设置平安区域 物理平安边界（门禁系统、人工接

13、待台）；一一物理进入限制、确保只有授权人员才可进入； 办公室、房间和设施的平安；一一具有针对火灾、水灾、地震、爆炸、暴乱和其他形式的自燃或认为灾难的物理爱护措施；一一设有平安工作指南； 设置公共访问和装卸区域。.1.2设备平安 对设备进行选址安置或爱护；一一设有UPS爱护免受电力中断影响； 爱护电缆免受破坏；一一存储介质销毁或数据重写设备。.1.3操作系统、网络、应用的平安措施一一编制并爱护文件化的操作程序； 限制信息处理设施及系统的变更；一一设置职责分别；应分别开发、测试和运营设施，以降低不授权访问或对操作系统变更的风险。.1.4第三方服务交付管理目标：实施和保持符合第三方服务交付协议的信息

14、平安和服务交付的适当水准。措施：策划管理要求，并监督、评审在第三方服务中的履约状况，定期评价与刚好变更管理。.1.5网络平安管理目标：确保网络中信息的平安性并爱护支持性的基础设施。措施：网络限制应充分管理和限制网络，以防止威逼的发生，维护运用网络的系统和应用程序的平安，包括传输中的信息。网络服务平安应把信息平安性、服务级别以及全部网络服务的管理要求予以确定并包括在全部网络服务协议中，无论这些服务是有内部供应的还是外包的。.1.6介质处置限制目标：防止资产遭遇未授权泄露、修改、移动或销毁以及业务活动的中断。限制措施：可移动介质的管理，应有适当的可移动介质的管理规程。介质的处置，不再须要的介质，应运用正式的规程牢靠并平安地处置。信息处理规程，应建立信息的处理及存储规程，以防止信息的未授权的泄露或不当运用。系统文件平安，应爱护系统文件以防止未授权的访问。4信息平安管理体系认证步骤决策打算一宣贯培训一制定安排一确定信息平安方针和范围一现状调查与风险评估一明确信息平安结构及职责-确定风险处理安排、打算限制概要一制定业务可持续发展安排一体系文件编写一体系运行一内部审核一外部审核初访一外部正式审核一颁发证书一体系持续运行老师总结，留意问题：向质量管理体系、方向、发展在资产、威逼、脆弱性、评估、识别中下功夫ISMS嵌入到管理体系中去建立实施、运行改进，与其它体系一脉相承其次部分信息平安管理规定