信息安全管理手册
文件编号:xxx-信息安全管理手册-V1.0 | 起 草:信息技术部 |
适用范围:全公司 | 会 签:有 |
发布日期:20xx年x月 | 核 准:网络安全工作小组 |
版 次:第1版 | 批 准:网络安全领导小组 |
1. 目标
制定本文件目的在于确保xxxxx有限公司(本文中简称“公司”)信息安全管理体系建设和运维目标的实现。为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保公司员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,根据公司及上级单位下发的相关管理规定特制定本文件。
2. 适用范围
本文件适用于提供关于信息安全管理体系的基本信息,用于对公司信息管理中心的信息安全管理体系做纲领性和概括性的描述,适用于ISO/IEC27001:2005、GB/T22080-2008《信息技术-安全技术-信息安全管理体系要求》标准规定。
3. 引用文件
GB/T22080-2008/ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系要求。
GB/T22081-2008/ISO/IEC27002:2005信息技术-安全技术-信息安全管理实施细则。
信息安全适用性声明(SOA)
4. 术语和定义
信息:本制度所称的信息是指一切与本公司经营有关情况的反映(或者虽然与本公司经营无关,但其产生或存储是发生在本公司控制的介质中),它们所反映的情况包括本公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说,包括但不限于下列类型:
l 与本公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等;
l 与本公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等;
l 与本公司内部管理相关的各类行政数据,如人事资料、人事组织结构等;
l 与本公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息;
l 其他如本公司各分子本公司和外地办事机构的数据;本公司员工对内、对外进行各种书面的、口头的信息传播行为等。
5. 信息安全管理体系
5.1. 总要求
信息安全管理体系(ISMS)是在公司整体经营活动和经营风险架构下,针对信息安全风险的管理体系。
公司依据ISO/IEC27001:2005、GB/T22080-2008标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS),并形成相关管理文件与记录;公司全体员工应贯彻执行信息安全管理规定并持续改进体系有效性,参见《信息安全管理体系过程模式图》(图1)。
图1.信息安全管理体系过程模式图
5.2. 管理体系组织与职责
5.2.1. 信息安全管理组织架构
l 本公司最高管理层是公司信息安全管理工作的最高领导者,负责全面把握公司信息安全管理工作的方向。
l 本公司信息技术部主管领导以及其领导的技术专家小组作为网络安全领导小组,负责指导管理本公司信息安全管理工作。
l 成立专门的网络安全工作小组,负责落实、检查信息管理风险、制定安全管理规范、监督本公司信息安全管理工作。
l 本公司总裁办、信息技术部、人力资源部、总务部、业务行政部及技术专家小组作为信息安全管理辅助执行机构配合网络安全工作小组工作执行。
5.2.2. 信息安全职责说明
l 网络安全领导小组负责建立、维护和改进信息安全管理体系,并配备或培训相关人员满足信息安全管理体系运行的需要。
l 公司信息技术部负责提供相关资源,来保证信息安全管理体系的建立、实施、运作、监控、评审、维护和改进。
l 网络安全工作小组负责信息安全策略的批准、发布和宣传培训;负责监控并分析安全事件,通告相关人员;建立、记录并发布安全事件响应与升级流程,以确保各种事件得到有效的处理;对用户的帐号进行管理;监视并控制所有对数据的访问。
5.3. 建立和管理ISMS(Plan)
5.3.1. ISMS范围与边界
公司信息管理中心通过建立信息安全管理体系(ISMS)对公司所提供的所有业务服务及支撑业务活动的物理环境、信息资产及相关第三方服务进行安全管理。
业务范围:公司信息管理中心是公司的信息技术运营管理中心。主要负责公司有限公司业务系统、信息资产的运行和维护工作。
物理范围:
l 办公区:中国(上海)自由贸易试验区锦康路308号9层02单元
l 机房:阿里云机房华东2区
资产范围:支撑业务活动的文档、数据、软硬件系统、人员及支持性第三方服务等全部信息资产。
组织范围:信息管理中心。
5.3.2. 方针及目标
5.3.2.1. 信息安全方针
把安全放在首位,以服务赢得客户,用文化熔炼团队,为客户创造价值。
5.3.2.2. ISMS方针
公司依据建立、实施、运行、监视、评审、保持和改进的方法论,基于风险管理建立并运行公司信息安全管理体系(ISMS),同时履行国家法律、行业法规及合同所规定的安全要求及义务,实现公司信息安全目标。
5.3.2.3. 信息安全目标
l 业务系统可用性:确保本公司业务安全运营,生产系统安全稳定。
l 保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,涉密信息不泄漏给非授权人员。
l 安全事故:不发生主要生产业务系统瘫痪,重要数据丢失和损坏,而严重影响正常业务开展的情况。
5.3.2.4. 数据收集、统计和分析
l 网络安全工作小组负责按月总结公司安全生产情况, 报告重要安全生产事件和故障,汇报主要生产系统的运行数据。
l 对于未达成信息安全目标的,网络安全工作小组分析原因,找出解决办法,形成处理意见,并上报网络安全领导小组。
5.3.3. 风险管理
公司通过制定《风险评估管理规定》文件,建立了满足公司信息安全管理体系与业务信息安全需求、并符合法律和法规要求的风险管理程序。通过定义风险评估方法,明确风险接受准则与等级,确保能产生可比较且可重复的风险评估结果。(如图3)
图3.风险管理流程图
5.3.3.1. 风险识别
公司通过进行风险识别活动,识别了以下内容:
l 识别了信息安全管理体系范围内的资产及其责任人;
l 识别了资产所面临的威胁;
l 识别了可能被威胁利用的脆弱点;
l 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
5.3.3.2. 风险估计与评价
l 公司通过对资产的保密性(C)、完整性(I)、可用性(A)赋值对资产丧失CIA所造成的后果进行了判断。
l 识别了主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
l 通过计算资产的CIA、主要威胁和脆弱等相关赋值得出风险的等级。
5.3.3.3. 选择风险处置方式
公司依据风险评估结果,对风险采取了以下管控措施:风险降低、风险转移、风险接受和风险规避。
5.3.3.4. 风险控制目标及措施
对风险控制目标及安全管控措施的实施策略进行了描述与说明,确保了公司信息安全管理体系有效实施。公司通过对风险进行有效管控,将风险维持在可接受的等级范围内。
5.3.3.5. 残余风险接受
最高管理层批准接受残余风险。
5.3.4. 适用性声明
公司通过制定《信息安全适用性声明(SOA)》文件,对信息安全管理体系选择安全控制目标和措施的范围进行了说明与解释。(详见《信息安全适用性声明(SOA)》文件)。
5.4. 实施与运行ISMS(Do)
公司根据《风险评估管理规定》中的要求进行风险处置,明确风险处置所需的管理措施、技术手段、资金、责任人。
公司通过制定《信息安全目标及有效性测量规定》文件,对控制措施进行有效性测量,并将测量结果记录在《信息安全目标及风险管理度有效性测量表》中。
公司通过制定《人力资源管理规定》文件,对从事与信息安全有影响的工作人员进行管理,确保业务素质和工作能力满足相应工作的规定要求。对承担信息安全管理体系职责的人员规定相应岗位的能力要求,并通过培训以满足规定要求,同时保持教育、培训、技能、经历和资格的记录。
5.5. 监视与评审ISMS(Check)
公司通过实施安全检查、内部审核、事故报告调查处理、信息安全有效性测量等管理措施及电子与系统监控等技术手段以实现:
l 快速检测处理结果中的错误。
l 快速检测与识别将要或已造成影响的安全违规操作和事件。
l 通过报告使管理者确认公司的安全管理是否达到预期效果。
l 确定安全改进措施是否有效。
公司制定《管理评审控制规定》文件,举行信息安全管理评审会议(每年至少一次),对管理体系的信息安全方针及目标的符合性,安全控制措施的有效性进行评审,并考虑内部审核、安全事件处理、有效性测量的结果,以及所有相关方的建议和反馈。
公司按照《风险评估管理规定》要求每年进行风险评估评审,评审残余风险以及可接受风险的等级,并考虑到以下变化:
l 本公司组织机构和职责。
l 技术。
l 业务目标和过程。
l 已识别的威胁。
l 实施控制的有效性。
l 国家法律、行业法规、合同责任以及社会环境的变化。
公司根据风险评估、内部审核、管理评审及外部审核的结果,制定持续改进计划。
5.6. 保持与改进ISMS(Act)
持续改进将确保公司信息安全管理体系持续有效,公司制定并实施《纠正和预防措施管理规定》对体系内的安全发现进行纠正与预防。
5.6.1. 纠正措施
针对发现的不符合现象,采取措施,消除不符合的原因,并防止不符合项的再次发生。对纠正措施的实施和验证规定以下步骤:
l 识别不符合。
l 确定不符合的原因。
l 评价确保不符合不再发生的措施要求。
l 确定和实施所需的纠正措施。
l 记录所采取措施的结果。
l 评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。
5.6.2. 预防措施
针对潜在的不符合,采取措施,消除不符合的原因,并防止不符合的发生。对预防措施的实施和验证规定以下步骤:
l 识别潜在的不符合及其原因。
l 评价预防不符合发生的措施要求。
l 确定并实施所需的预防措施,预防措施的优先级应基于风险评估结果来确定。
l 记录所采取措施的结果。
l 评审所采取的预防措施将重大预防措施提交管理评审讨论。
6. 文件与记录
6.1. 总则
公司信息安全管理体系文件包括:
l 文件化的信息安全方针、控制目标。
l 信息安全管理手册(本手册,包括信息安全适用范围及引用的标准)。
l 本手册要求的《风险评估管理规定》、《信息安全目标及有效性测量规定》、《人力资源管理规定》、《管理评审控制规定》、《内部审核控制规定》、《文档管理规范》等支持性程序。
l 确保有效策划、运作和控制信息安全过程所制定的文件化操作程序。
l 《信息安全风险评估报告》、风险处理计划以及ISMS要求的记录类。
l 相关的法律、法规和信息安全标准。
l 信息安全适用性声明(SOA)。
6.2. 文件控制
公司制定并实施《文档管理规范》,对信息安全管理体系所要求的文件进行管理。《文档管理规范》对信息安全管理体系内一、二、三、四级文件及为保证信息安全管理体系有效运行的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保:
l 文件在发放前应按规定的审核和批准权限进行批准后才能发布。
l 必要时对文件进行评审与更新,并按规定的权限重新批准。
l 对文件的修订进行标识,确保文件的更改状态清晰明了。
l 网络安全工作小组应确保所有使用文件的场所能够获得有关文件的有效的最新版本。
l 文件保持清晰、易于识别。
l 文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁。
l 各部门获得外来文件应进行标识并控制发放,确保外来文件得到识别。
l 文件的分发得到控制。
l 网络安全工作小组应控制作废文件的使用,若各部门有必要保存作废文件时,应向网络安全工作小组报告,防止作废文件的非预期使用。
l 若因任何目的需保留作废文件时,应对其进行适当的标识。
6.3. 记录控制
l 公司通过各控制程序所要求的记录证明信息安全管理体系建立、实施、运行、监视、评审、保持和改进运行的有效性和符合性,并记录与信息安全有关的事件。
l 公司通过《文档管理规范》,对信息安全管理体系内记录的标识、保存、保护、检索、保存期限和处置进行管控,确保记录的清晰、易于识别和检索。
l 信息安全管理体系内的记录应考虑相关法律法规要求和合同义务。
7. 内部审核
公司建立并实施《内部审核控制规定》,程序对策划和实施审核以及报告结果和保持记录的职责和要求进行规定。并按年度进行内部信息安全管理体系审核,以确定信息安全管理体系的控制目标、控制措施、过程和程序是否:
l 符合标准的要求和相关法律法规的要求。
l 符合已识别的信息安全要求。
l 得到有效地实施和维护。
l 按预期执行。
7.1. 内审策划
l 网络安全工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。
l 每次审核前,网络安全工作小组应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
7.2. 内审实施
l 应按审核计划的要求实施审核,包括:
进行首次会议,明确审核的目的和范围,采用的方法和程序;
实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流,按照检查的情况填写检查表;
对检查内容进行分析,召开内审首次会议、末次会议,宣布审核意见和不符合报告;
审核组长编制审核报告。
l 对审核中提出的不符合项报告,责任部门应编制纠正措施,由网络安全工作小组对受审部门的纠正措施的实施情况进行跟踪、验证。
l 按照《文档管理规范》的要求,保存审核记录。
l 内部审核报告,应作为管理评审的输入之一。
8. 管理评审
公司建立并实施《管理评审控制规定》,进行信息安全管理体系评审(每年至少一次),以确保其持续的适宜性、充分性和有效性。管理评审对评价信息安全管理体系改进的机会和变更的需要及安全方针和安全目标进行评审。管理评审的结果应清晰地形成文件,记录应加以保存。
8.1. 评审输入
管理评审的输入应包括以下信息:
l 信息安全管理体系审核和评审的结果。
l 相关方的反馈。
l 用于改进信息安全管理体系业绩和有效性的技术、产品或程序。
l 预防和纠正措施的状况。
l 以往风险评估没有充分强调的脆弱性或威胁。
l 有效性测量的结果。
l 以往管理评审的跟踪措施。
l 任何可能影响信息安全管理体系的变更。
l 改进的建议。
8.2. 评审输出
管理评审的输出应包括与下列内容相关的任何决定和措施:
l 信息安全管理体系有效性的改进。
l 更新风险评估和风险处理计划。
l 必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:
业务要求。
安全要求。
影响现有业务要求的业务过程。
法律法规要求。
合同责任。
风险等级和(或)风险接受准则。
l 资源需求。
l 改进测量控制措施有效性的方式。
l 管理评审报告由管理者代表编制,经最高管理层批准后发往各部门,管理者代表负责存档。
9. 附则
本规定由公司网络安全领导小组负责解释。
本规定自颁布之日起实施。
10. 附录
无