SWISMSA01信息安全管理手册.docx
- 文档编号:26928103
- 上传时间:2023-06-24
- 格式:DOCX
- 页数:35
- 大小:66.46KB
SWISMSA01信息安全管理手册.docx
《SWISMSA01信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《SWISMSA01信息安全管理手册.docx(35页珍藏版)》请在冰豆网上搜索。
SWISMSA01信息安全管理手册
[SWISMSA01]信息安全管理手册
信息安全治理手册
[SW-ISMS-A-01]
Ver1.1
公布日期
2021年10月1日
公布部门
信息安全治理小组
实施日期
2021年10月1日
版本
变更履历
变更人/变更日期
审核人/审核日期
批准人/批准日期
1.0
初次公布
蓝金桃/2021.10.1
/2021.10.1
王楚标/2021.10.1
名目
颁布令
为提高我公司的信息安全治理水平,保证公司业务活动的正常进行,防止由于信息安全事件〔信息系统的中断、数据的丢失、敏锐信息的泄密〕导致的公司和客户的缺失,我公司开展贯彻GB/T22080-2020idtISO27001:
2005«信息技术-安全技术-信息安全治理体系要求»国际标准工作,建立、实施和连续改进文件化的信息安全治理体系,制定了佛山市三维运算机网络«信息安全治理手册»。
指导治理体系运行的公司«信息安全治理体系手册»经评审后,现予以批准公布。
«信息安全治理体系手册»的公布,标志着我公司从现在起,必须按照信息安全治理体系标准的要求和公司«信息安全治理体系手册»所描述的规定,不断增强连续满足顾客要求、相关方要求和法律法规要求的能力,全心全意为顾客和相关方提供优质、安全的应用软件的开发和爱护服务,以确立公司在社会上的良好信誉。
«信息安全治理体系手册»是公司规范内部治理的指导性文件,也是全体职员在向顾客提供服务过程必须遵循的行动准那么。
«信息安全治理体系手册»一经公布,确实是强制性文件,全体职员必须认真学习、切实执行。
本手册自2021年10月15日正式实施。
佛山市三维运算机网络
总经理:
王楚标
2021年08月19日
授权书
为贯彻执行ISO/IEC27001:
2005«信息安全治理体系»,加强对信息治理体系运行的领导,特授权蓝金桃女士为公司治理者代表。
授权信息安全治理者代表有如下职责和权限:
1)确保按照标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全治理体系;
2)负责与信息安全治理体系有关的和谐和联络工作;
3)确保在整个组织内提高信息安全风险的意识;
4)审核风险评估报告、风险处理打算;
5)批准公布程序文件;
6)主持信息安全治理体系内部审核,任命审核组长,批准内审工作报告;
7)向最高治理者报告信息安全治理体系的业绩和改进要求,包括信息安全治理体系运行情形、内外部审核情形。
本授权书自任命日起生效执行。
佛山市三维运算机网络
2021年10月1日
0前言
<佛山市三维运算机网络>«信息安全治理体系手册»〔以下简称本手册〕依据ISO/IEC27001:
2005«信息技术-安全技术-信息安全治理体系-要求»,参照ISO/IEC27002:
2005«信息技术-安全技术-信息安全治理有用规那么»,结合本行业信息安全的特点编写。
本手册对本公司信息安全治理体系作出了概括性描述,为建立、实施和保持信息安全治理体系提供框架。
1范畴
1.1总那么
为建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系,确定信息安全方针和目标,对信息安全风险进行有效治理,确保全体职员明白得并遵照执行信息安全治理体系文件、连续改进信息安全治理体系的有效性,特制定本手册。
1.2应用
1.2.1覆盖范畴
应用范畴:
本«信息安全治理体系手册»规定了<佛山市三维运算机网络>信息安全治理体系涉及的开发和爱护信息安全治理、职责治理、内部审核、治理评审和信息安全治理体系连续改进等方面内容。
具体见4.2.2.1条款规定。
地址范畴:
深圳市福田区景田商报路奥林匹克大厦26楼B、C、D号
1.2.2删减说明
本«信息安全治理体系手册»采纳了ISO/IEC27001:
2005标准正文的全部内容,对附录A的删减及理由详见«信息安全适用性声明SoA»。
2规范性引用文件
以下文件中的条款通过本«信息安全治理体系手册»的引用而成为本«信息安全治理体系手册»的条款。
凡是标注日期的引用文件,其随后所有的修改单〔不包括勘误的内容〕或修改版均不适用于本«信息安全治理体系手册»,然而,信息安全治理小组应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本«信息安全治理体系手册»。
ISO/IEC27001:
2005«信息技术-安全技术-信息安全治理体系-要求»
ISO/IEC27002:
2005«信息技术-安全技术-信息安全治理有用规那么»
3术语和定义
3.1术语
ISO/IEC27001:
2005«信息技术-安全技术-信息安全治理体系-要求»、ISO/IEC27002:
2005«信息技术-安全技术-信息安全治理有用规那么»规定的术语和定义以及下述定义适用于本«信息安全治理体系手册»。
本组织、本公司、我公司:
指<佛山市三维运算机网络>。
3.2缩写
ISMS:
InformationSecurityManagementSystems信息安全治理体系;
SoA:
:
StatementofApplicability适用性声明;
PDCA:
:
PlanDoCheckAction打算、实施、检查、改进。
4信息安全治理体系
4.1总要求
4.1.1要求
本公司在软件开发、经营、服务和日常治理活动中按ISO/IEC27001:
2005«信息技术-安全技术-信息安全治理体系-要求»规定,参照ISO/IEC27002:
2005«信息技术-安全技术-信息安全治理有用规那么»标准建立、实施、运行、监视、评审、保持和改进文件化的信息安全治理体系。
4.1.2PDCA模型
信息安全治理体系使用的过程基于图1所示的PDCA模型。
图1信息安全治理体系PDCA模型
4.2建立和治理信息安全治理体系
4.2.1建立信息安全治理体系
4.2.1.1信息安全治理体系的范畴和边界
本公司依照业务特点、组织结构、地理位置、资产和技术确定了范畴和边界:
本公司信息安全治理体系的范畴包括:
a)本公司涉及软件开发、营销、服务和日常治理的业务系统;
b)与所述信息系统有关的活动;
c)与所述信息系统有关的部门和所有职员;
d)所述活动、系统及支持性系统包含的全部信息资产。
业务范畴:
桌面软、硬件运维服务;服务器硬件运维服务;网络设备运维服务的信息安全治理。
物理范畴:
本公司依照组织的业务特点、组织结构、地理位置、资产和技术定义了信息安全治理体系的物理范畴和信息安全边界。
本公司信息安全治理体系的物理范畴为:
佛山市禅城区江湾路三路28号广东〔佛山〕软件产业园A区10号楼首层103-105室
安全边界详见附录B〔规范性附录〕«办公场所平面图»。
ISMS的范畴是:
a)运算机应用软件开发和爱护、系统集成和后期爱护;信息安全,IT资产服务外包,IT运维服务
b)本«信息安全治理体系手册»采纳了ISO/IEC27001:
2005标准正文的全部内容,对附录A的删减及理由详见«信息安全适用性声明»;
c)ISMS的边界地理位置图〔详见«附录7-公司外部环境、内部环境及网络图»〕
4.2.1.2信息安全治理体系的方针和目标
4.2.1.2.1方针
为了满足适用法律法规及相关方要求,坚持ISMS范畴内的业务正常进行,实现业务可连续进展,本公司依照组织的业务特点、组织结构、地理位置、资产和技术确定了信息安全治理体系方针:
信息安全,人人有责。
4.2.1.2.1信息安全目标
1.客户针对信息安全事件的投诉每年不超过1次
2.重要信息设备丢失每年不超过1起
3.隐秘和绝密信息泄漏事件每年不超过1次
4.大规模病毒爆发每年不超过1次
4.2.1.2.2要求
本公司信息安全治理体系方针符合以下要求:
a)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原那么;
b)识别并满足适用法律、法规和相关方信息安全要求;
c)与组织战略和风险治理相一致的环境下,建立和保持信息安全治理体系;
d)建立了风险评判的准那么;
e)经总经理批准,并定期评审其适用性、充分性,必要时予以修订。
4.2.1.2.3承诺
为实现信息安全治理体系方针,本公司承诺:
a)在公司内各层次建立完整的信息安全治理组织机构,确定信息安全方针、安全目标和操纵措施,明确信息安全的治理职责;
b)识别并满足适用法律、法规和相关方信息安全要求;
c)定期进行信息安全风险评估,信息安全治理体系评审,采取纠正预防措施,保证体系的连续有效性;
d)采纳先进有效的设施和技术,处理、传递、储存和爱护各类信息,实现信息共享;
e)对全体职员进行连续的信息安全教育和培训,不断增强职员的信息安全意识和能力;
f)制定并保持完善的业务连续性打算,实现可连续进展。
4.2.1.3风险评估的方法
信息安全治理小组制定«信息安全风险治理程序»,建立识别适用于信息安全治理体系和差不多识别的业务信息安全、法律和法规要求的风险评估方法,建立同意风险的准那么并识别风险的可同意等级。
按信息安全风险评估执行«信息安全风险治理程序»进行,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
4.2.1.4识别风险
在已确定的信息安全治理体系范畴内,本公司按«信息安全风险治理程序»对所有的资产和资产所有者进行了识别;对每一项资产按重置成本级别、保密性、完整性、可用性和资产价值及重要性级别进行了量化赋值,依照重要资产判定准那么确定是否为重要资产,形成«重要资产清单»。
同时依照«信息安全风险治理程序»识别对这些资产的威逼、可能被威逼利用的脆弱性、现有的操纵措施及现有操纵措施的有效性,并通过对这些项目的赋值运算出在丧失保密性、完整性和可用性可能对重要资产造成的阻碍。
4.2.1.5分析和评判风险
本公司按«信息安全风险治理程序»,采纳人工分析法,分析和评判风险:
a)针对重要资产的自身价值、保密性、完整性和可用性、合规性和脆弱性严峻程度,运算出风险发生的阻碍值;
b)针对每一项威逼发生频率、脆弱性被威逼利用的容易程度进行赋值,然后运算得出风险发生的可能性;
c)依照«信息安全风险治理程序»运算风险等级,从而得出风险等级;
d)依照«信息安全风险治理程序»及风险同意准那么,判定风险为可同意或需要处理。
4.2.1.6识别和评判风险处理的选择
信息安全治理小组和相关部门依照风险评估的结果,形成«信息安全风险处理打算»,该打算明确了风险处理责任部门、负责人、处理方法及起始、完成时刻。
关于信息安全风险,应考虑操纵措施与费用的平稳原那么,选用以下适当的措施:
a)操纵风险〔采纳适当的内部操纵措施降低风险发生的可能性〕;
b)同意风险〔风险值不高或者处理的代价高于风险引起的缺失,公司决定同意该风险/残余风险〕;
c)幸免风险〔决定不进行引起风险的活动,从而幸免风险〕;
d)转移风险〔通过购买保险、外包等方法把风险转移到外部机构〕。
4.2.1.7选择操纵目标与操纵措施
信息安全治理小组依照相关法律法规要求、信息安全方针、业务进展要求及风险评估的结果,组织有关部门选择和制定了信息安全目标,并将目标分解到有关部门〔见«信息安全适用性声明»〕:
a)信息安全操纵目标获得总经理的批准。
b)操纵目标及操纵措施的选择原那么来源于ISO/IEC27001:
2005附录A,具体操纵措施参考ISO/IEC27002:
2005«信息技术-安全技术-信息安全治理有用规那么»。
c)本公司依照信息安全治理的需要,能够选择标准之外的其他操纵措施。
4.2.1.8剩余风险
对风险处理后的剩余风险应形成«信息安全剩余风险评估报告»并得到公司治理者的批准。
4.2.1.9授权
治理者对实施和运行信息安全治理体系进行授权。
4.2.1.10适用性声明
信息安全治理小组编制«信息安全适用性声明〔SoA〕»。
该声明包括以下方面的内容:
a)所选择操纵目标与操纵措施的概要描述,以及选择的缘故;
b)对ISO/IEC27001:
2005附录A中未选用的操纵目标及操纵措施理由的说明。
4.2.2实施及运行信息安全治理体系
4.2.2.1活动
为确保信息安全治理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成«信息安全风险处理打算»,以确定适当的治理措施、职责及安全操纵措施的优先级;
b)为实现已确定的安全目标、实施«信息安全风险处理打算»,明确各岗位的信息安全职责;
c)实施所选择的操纵措施,以实现操纵目标的要求;
d)确定如何测量所选择的操纵措施的有效性,并规定这些测量措施如何用于评估操纵的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力;
f)对信息安全体系的运行进行治理;
g)对信息安全所需资源进行治理;
h)实施操纵程序,对信息安全事故〔或征兆〕进行迅速反应。
4.2.2.2信息安全组织机构
本公司成立信息安全领导机构——信息安全治理小组,其职责是实现信息安全治理体系方针和本公司承诺。
具体职责是:
研究决定信息安全工作涉及到的重大事项;审定公司信息安全方针、目标、工作打算和重要文件;为信息安全工作的有序推进和信息安全治理体系的有效运行提供必要的资源。
本公司的信息安全职能由信息安全治理小组承担,其要紧职责是:
负责制订、落实信息安全工作打算,对单位、部门信息安全工作进行检查、指导和和谐,建立健全企业的信息安全治理体系,保持其有效、连续运行。
本公司采取相关部门代表组成的和谐会的方式,进行信息安全和谐和协作,以:
a)确保安全活动的执行符合信息安全方针;
b)确定如何样处理不符合;
c)批准信息安全的方法和过程,如风险评估、信息分类;
d)识别重大的威逼变化,以及信息和相关的信息处理设施对威逼的暴露;
e)评估信息安全操纵措施实施的充分性和和谐性;
f)有效的推动组织内信息安全教育、培训和意识;
g)评判依照信息安全事件监控和评审得出的信息,并依照识别的信息安全事件举荐适当的措施。
4.2.2.3信息安全职责和权限
本公司总经理为信息安全最高责任者。
总经理指定信息安全治理者代表,不管信息安全治理者代表其他方面的职责如何,对信息安全负有以下职责:
a)建立并实施信息安全治理体系必要的程序并坚持其有效运行;
b)对信息安全治理体系的运行情形和必要的改善措施向信息安全治理小组或最高责任者报告。
各部门负责人为本部门信息安全治理责任者,全体职员都应按保密承诺的要求自觉履行信息安全保密义务。
各部门、人员有关信息安全职责分配见附录3〔规范性附录〕«职责权限»和相应的程序文件〔治理标准〕、规定及岗位说明书。
4.2.2.4操纵措施
各部门应按照«信息安全适用性声明»中规定的安全目标、操纵措施〔包括信息安全运行的各种治理标准、规章制度〕的要求实施信息安全操纵措施。
4.2.3监督与评审信息安全治理体系
4.2.3.1活动
本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等操纵措施并报告结果以实现:
a)及时发觉处理结果中的错误、信息安全治理体系的事故和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;
c)使治理者确认人工或自动执行的安全活动达到预期的结果;
d)使治理者把握信息安全活动和解决安全破坏所采取的措施是否有效;
e)积存信息安全方面的体会。
4.2.3.2治理评审
依照以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全治理体系的有效性进行评审,其中包括信息安全治理体系的范畴、方针、目标的符合性及操纵措施有效性的评审,考虑信息安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。
治理评审的具体要求,见本手册第7章。
4.2.3.3检查和测量
在治理标准中,对安全措施的实施规定了检查和测量的要求。
同时,信息安全治理小组应定期的进行信息安全检查和信息安全技术监督,通过对安全措施的实施检查和信息安全技术监督,保证安全措施得到满足。
4.2.3.4风险再评估
信息安全治理小组组织有关部门按照«信息安全风险治理程序»的要求,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可同意的水平,对以下方面变更情形应及时进行风险评估:
a)组织;
b)技术;
c)业务目标和过程;
d)已识别的威逼;
e)实施操纵的有效性;
f)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
4.2.3.5内部审核
按照打算的时刻间隔进行信息安全治理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.6更新打算
考虑监视和评审活动的发觉,更新信息安全打算。
4.2.3.7记录
记录可能对信息安全治理体系有效性或业绩有阻碍的活动和情况。
4.2.4保持与连续改进信息安全治理体系
我公司开展以下活动,以确保信息安全治理体系的连续改进:
a)实施每年治理评审、内部审核、安全检查等活动以确定需改进的项目;
b)按照本手册第6章和第8章的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故的体会教训,不断改进安全措施的有效性;
c)通过适当的手段保持在内部对信息安全措施的执行情形与结果进行有效的沟通。
包括猎取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d)对信息安全目标及分解进行适当的治理,确保改进达到预期的成效。
4.3文件要求
4.3.1总那么
本公司信息安全治理体系文件包括:
a)文件化的信息安全方针,在«信息安全治理体系手册»中描述,选择的操纵目标在«信息安全适用性声明SoA»中描述;
b)«信息安全治理体系手册»〔本手册,包括信息安全适用范畴及引用的标准〕;
c)ISO/IEC27001:
2005标准中规定需文件化的程序;
d)本手册涉及的相关支持性程序性文件,例如«信息安全风险治理程序»;
e)为确保有效策划、运作和操纵信息安全过程所制定的文件化操作程序;
f)«风险处理打算»以及信息安全治理体系要求的记录类;
g)相关的法律、法规和信息安全标准;
h)«信息安全适用性声明SoA»。
4.3.2文件操纵
4.3.2.1要求
信息安全治理小组按«文件操纵程序»的要求,对信息安全治理体系所要求的文件进行治理。
对«信息安全治理体系手册»、程序文件、治理规定、作业指导书和为保证信息安全治理体系有效策划、运行和操纵所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等工作实施操纵,以确保在使用场所能够及时获得适用文件的有效版本。
4.3.2.2文件操纵
信息安全治理小组制定并实施«文件和资料治理程序»,人事行政部对信息安全治理体系所要求的文件进行治理。
对«信息安全治理手册»、程序文件、治理规定、作业指导书和为保证信息安全治理体系有效策划、运行和操纵所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等治理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件操纵应保证:
a)文件公布前得到批准,以确保文件是充分的;
b)必要时对文件进行评审、更新并再次批准;
c)确保文件的更换和现行修订状态得到识别;
d)确保在使用时,可获得相关文件的最新版本;
e)确保文件保持清晰、易于识别;
f)确保文件能够为需要者所获得,并依照适用于他们类别的程序进行转移、储备和最终的销毁;
g)确保外来文件得到识别;
h)确保文件的分发得到操纵;
i)防止作废文件的非预期使用;
j)假设因任何目的需保留作废文件时,应对其进行适当的标识。
4.3.2.3外来文件治理
外来文件包括信息安全法律、行政法规、部门规章、地点法规,按以下规定执行:
a)信息安全适用的法律法规按照«信息安全法律法规治理程序»规定执行;
b)外来的文件按照«文件操纵程序»和其他相关规定执行;
c)外来标准按本公司标准化治理的相关规定进行。
4.3.3记录操纵
4.3.3.1要求
信息安全治理体系所要求的记录是信息安全治理体系符合标准要求和有效运行的证据。
4.3.3.2职责
信息安全治理小组按«记录操纵程序»的要求,对记录的标识、储存、爱护、检索、保管、废弃等进行治理。
4.3.3.3记录
信息安全治理的记录应包括本手册第4.2条中所列出的所有过程的结果及与信息安全治理体系相关的安全事故的记录。
4.3.3.4分类
信息安全治理体系的记录按出处可分为以下四类:
a)程序文件所要求的记录;
b)工作标准和作业文件所要求的记录;
c)规章制度、规定所要求的记录;
d)其他证实信息安全治理体系符合标准要求和有效运行的记录。
4.3.3.5形式
信息安全治理记录能够是表、单、卡、台帐、记录本、报告、纪要、证、图等多种适用的形式,能够是书面的或电子媒体的。
4.3.3.6归档
需要归档的记录,按«记录操纵程序»执行,属于电子数据的记录,按«重要信息备份治理程序»执行。
5治理职责
5.1治理承诺
我公司治理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全治理体系的承诺提供证据:
a)建立信息安全方针;
b)确保信息安全目标和打算得以制定〔见«信息安全适用性声明SoA»、«风险处理打算»及相关记录〕;
c)建立信息安全的角色和职责(见本手册附录3〔规范性附录〕«职责权限»和相应的治理程序;
d)向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和连续改进的重要性;
e)提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全治理体系(见本手册第5.2.1章);
f)决定同意风险的准那么和风险的可同意等级(见«信息安全风险治理程序»及相关记录);
g)确保内部信息安全治理体系审核〔见本手册第6章〕得以实施;
h)实施信息安全治理体系治理评审〔见本手册第7章〕。
5.2资源治理
5.2.1资源的提供
本公司确定并提供实施、保持信息安全治理体系所需资源;采取适当措施,使阻碍信息安全治理体系工作的职员是有能力胜任的,以保证:
a)建立、实施、运作、监视、评审、保持和改进信息安全治理体系;
b)确保信息安全程序支持业务要求;
c)识别并指出法律法规要求和合同安全责任;
d)通过正确应用所实施的所有操纵来保持充分的安全;
e)必要时,进行评审,并对评审的结果采取适当措施;
f)需要时,改进信息安全治理体系的有效性。
5.2.2培训、意识和能力
信息安全治理小组制定并实施«职员培训治理程序»文件,确保被分配信息安全治理体系规定职责的所有人员,都必须有能力执行所要求的任务。
能够通过:
a)确定承担信息安全治理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评判所采取措施的有效性;
d)保留教育、培训、技能、体会和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SWISMSA01 信息 安全管理 手册