企业信息安全管理制度1.docx

1、企业信息安全管理制度1交运集团青岛温馨巴士有限公司信息安全管理体系（ISMS）及管理规定第一部分 信息安全管理体系（ISMS）1 ISMS产生的背景、特点和发展趋势1.1 ISMS标准产生的背景目前，我们虽处于和平年代，但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁，信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。只有在人员、服务、硬件、软件、数据与文件以及知识产权与专利这五大方面采取切实可行的控制措施，才能有效避免、控制、预防信息安全事件发声，切实把信息安全风险控制在可以接受的水平

2、。1.2 ISMS标准的由来1993年BS7799标准由英国贸易工业部立项BS7799-1:1999信息安全管理实施细则BS7799-2:2002信息安全管理实施规范 ISO/IEC 27001:2005信息安全 安全技术 信息安全管理GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求1.3 ISMS标准的主要特点与质量、环境、能源、职业健康安全等管理体系高度兼容，即管理理念、管理模式、管理的预期结果基本一致。“向管理要效益”是该标准的精华。即并不需要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影”的效果。可借助质量管理的

3、八项原则，PDCA，持续改进。有133种控制目标和控制措施（ISMS标准的附录A）供组织选用。组织可因地制宜，在现有管理体系基础上，有机嵌入ISMS，以达到事半功倍的效果。1.4 ISMS标准的发展趋势ISMS标准既适用于新兴产业，又适用于传统产业；既适用于服务业，又适用于制造业。总之，只要有信息资产的组织，均可按GB/T22080-2008/ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求建立与保持ISMS。2 信息安全管理体系建立的意义和作用2.1 强化员工的信息安全意识，规范组织信息安全行为。2.2 确保组织的关键信息资产始终处于全面系统的受控保护状态，以保持组织

4、的竞争优势。2.3 在信息系统受到侵袭时，确保业务持续开展，并将损失降到最低程度。2.4 有效规避法律风险，确保组织切实履行社会责任。2.5 如果通过ISMS认证，表明该管理体系运行有效，证明组织有能力保证信息安全，提高组织的知名度与信任度。3 GB/T 22080-2008/ISO/IEC 27001:2005标准3.1 术语与定义3.1.1 资产 对组织有价值的任何东西。 信息对一个组织而言具有重要的价值，信息时可以通过多种媒体传递和存在。3.1.2 保密性 信息不能被未被授权的个人、实体或者过程利用或知悉的特性。3.1.3 可用性 根据授权实体的要求可访问和利用的特性。3.1.4 完整性

5、 保护资产的正确和完整的特性。 保密性、可用性和完整性是信息保护的核心，这三者缺一不可。3.1.5 信息安全 保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查行、不可否认性和可靠性等。3.1.6 信息安全事态 系统、服务或网络的一种可识别的状态的发生。它可能对信息安全策略的违反或保护措施的失效，或是和安全关联的一个先前未知的状态。3.1.7 信息安全事件 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成。它们具有损害业务运作和威胁信息安全的极大可能性。3.1.8 信息安全管理体系（ISMS） 基本业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，

6、是一个组织整个管理体系的一部分。 管理体系也包括组织结构、方针策略、规划活动、职责、实践、规程和资源。3.1.9 残余风险 经过风险处置后遗留的风险。3.1.10 风险接受 接受风险的决定。3.1.11 风险分析 系统地使用信息来识别风险来源和估计风险。3.1.12 风险评估 风险分析和风险评价的整个过程。3.1.13 风险评价 将估计的风险与给定的风险准则加以比较，以确定风险严重性的过程。3.1.14 风险管理 指导和控制一个组织相关风险的协调活动。3.1.15 风险处置 选择并且执行措施来更改风险的过程。 在ISMS标准中，术语“控制措施”被用作“措施”的同义词。3.1.16 适用性声明（

7、SOA） 描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。 控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。3.2 适用性声明（SOA）简介信息安全涉及的主要方面提供组织拟考虑控制目标和措施1.安全方针2个2.信息安全组织11个3.资产管理5个4.人力资源安全9个5.物理和环境安全13个6.通信和操作管理32个7.访问控制25个8.信息系统获取、开发和维护6个9.信息安全事件管理5个10.业务连续性管理5个11.符合性10个共计133个 3.3 组织需加强管理的信息资产3.3.1 硬件服务器、周边设备、PC

8、计算机、访问控制终端、Hub、程控交换机、调制解调器、电话交换系统、UPS 、传真机、复印机、电话机/移动电话、移动介质（包括U盘、硬盘、磁盘、光盘、录音机、录像设备）。3.3.2 软件 通用软件（正版/盗版（备份） 应用软件（源代码保管）3.3.3 数据与文件（纸质/电子）组织中长期发展战略 董事会会议纪要员工（骨干人员）数据库 薪资（骨干人员）数据库公共关系数据库 订单数据库投标书 产品（工程）技术图纸供货商数据 产品内控标准工艺技术文件 客户数据库产品营销策略书 产品生产计划书产品质量/成本文件 销售发票/汇票/现金3.3.4 人员3.3.4.1 组织的高管3.3.4.2 有机会解除关键

9、信息资产人员董事会秘书以及在领导身边的工作人员，如小车班司机，重要部门中层干部与技术、业务人员、IT网管。3.3.4.3 外包服务人员 保安、保洁、绿化、维修等人员以及方可（特别是竞争对手）3.3.4.4 外来实习人员3.3.5 知识产权与专利 包括著作权（版权）和工业产权 具体指组织的实用、新型产品发明与计算机软件开发和（或）应用以及组织自身商标实用这两大部分。3.4 标准要求简介3.4.1 ISMS标准发布与实施 GB/T 22080-2008/ISO/IEC 27001:2005信息技术 安全技术 信息安全管理体系 要求于2008年6月19日由中华人民共和国国家质量监督检验检疫总局和中国

10、国家标准化管理委员会发布，并于2008年11月1日实施。3.4.2 ISMS标准的适用范围 ISMS标准适用于所有类型的组织，包括商业企业、政府机构、非营利组织。3.4.3 ISMS标准的目次 前言 引言1 范围2 规范性引用文件3 术语和定义4 信息安全管理体系（ISMS）5 管理职责6 ISMS内部审核7 ISMS的管理评审8 ISMS改进附录A（规范性附录） 控制目标和控制措施附录B（资料性附录） OECD原则和本标准附录C（资料性附录） GB/T1901-2000，GB/T2401-2004和本标准之间的对照参考文献3.4.4 应用于ISMS过程的PDCA模型 3.4.5 PDCA方法

11、论 规划（P）建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和规程，以提供与组织总方针和总目标相一致的结果。 实施（D）实施和运行ISMS方针、控制措施、过程和规程。 检查（C）对照ISMS方针、目标和实践经验，评估并在适当时测量过程的执行情况，并将结果报告管理者以供评审。 处置（A）基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。3.4.6 ISMS标准要求简介 a) 识别资产 b) 识别威胁、脆弱性 c) 风险评估 d) 风险管理（控制与检查） e) 持续改进3.4.7 何谓威胁？何谓脆弱点（薄弱点）？ 威胁可能对资产或组织造成损害

12、的事件的潜在原因。 脆弱点（薄弱点）资产或资产组中能被威胁利用的弱点。3.4.8 风险评估应关注的问题资产威胁脆弱点（薄弱点）人员硬件软件数据与文件知识产权与专利等XX的访问和应用恶意软件（有意或无意）软件故障信息发送路径重定向（第三方恶意进行）信息XX修改火灾盗窃非预期结果（误操作或故意所为）等物理保护措施的缺乏或不适当密码的错误选择和应用与外部网络的连接未被保护文件储存未被保护缺乏安全培训等3.4.9 制定控制目标，采取控制措施，防止信息安全事件的发生物理环境的安全性（物理层安全）如：门禁系统遭到破坏，非授权人员盗取组织核心机密信息。操作系统的安全性（系统层安全） 如：病毒、黑客入侵，未安

13、装正版防病毒软件或采取其他有效措施，造成计算机、系统效率降低、死机、瘫痪等。3.4.10 风险评估程序 按照组织业务运作流程进行资产识别，并根据评估原则对资产进行评价，建立风险测量的方法及风险等级评价原则，确定风险的大小和等级。3.4.11 主要的风险控制目标和控制措施3.4.11.1 物理环境的安全措施3.4.11.1.1 设置安全区域物理安全边界（门禁系统、人工接待台）； 物理进入控制、确保只有授权人员才可进入； 办公室、房间和设施的安全； 具有针对火灾、水灾、地震、爆炸、暴乱和其他形式的自燃或认为灾难的物理保护措施； 设有安全工作指南； 设置公共访问和装卸区域。3.4.11.1.2 设备

14、安全 对设备进行选址安置或保护； 设有UPS保护免受电力中断影响； 保护电缆免受破坏； 存储介质销毁或数据重写设备。3.4.11.1.3 操作系统、网络、应用的安全措施 编制并保护文件化的操作程序； 控制信息处理设施及系统的变更； 设置职责分离； 应分离开发、测试和运营设施，以降低不授权访问或对操作系统变更的风险。3.4.11.1.4 第三方服务交付管理 目标：实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。 措施：策划管理要求，并监督、评审在第三方服务中的履约状况，定期评价与及时变更管理。3.4.11.1.5 网络安全管理 目标：确保网络中信息的安全性并保护支持性的基础设施。

15、 措施：网络控制应充分管理和控制网络，以防止威胁的发生，维护使用网络的系统和应用程序的安全，包括传输中的信息。网络服务安全应把信息安全性、服务级别以及所有网络服务的管理要求予以确定并包括在所有网络服务协议中，无论这些服务是有内部提供的还是外包的。3.4.11.1.6 介质处置 控制目标：防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 控制措施：可移动介质的管理，应有适当的可移动介质的管理规程。介质的处置，不再需要的介质，应使用正式的规程可靠并安全地处置。信息处理规程，应建立信息的处理及存储规程，以防止信息的未授权的泄露或不当使用。系统文件安全，应保护系统文件以防止未授权的访问。4

16、 信息安全管理体系认证步骤 决策准备宣贯培训制定计划确定信息安全方针和范围现状调查与风险评估明确信息安全结构及职责确定风险处理计划、准备控制概要制定业务可持续发展计划体系文件编写体系运行内部审核外部审核初访外部正式审核颁发证书体系持续运行 老师总结，注意问题：向质量管理体系、方向、发展在资产、威胁、脆弱性、评估、识别中下功夫ISMS嵌入到管理体系中去建立实施、运行改进，与其它体系一脉相承第二部分 信息安全管理规定1 信息安全管理的组织、人员和制度1.1 组织管理信息安全管理组织主要包括：综合信息处、企业发展处、营销宣传中心、人力资源处、市场开发处、计划财务处、安全技术处和稽查管理处，信息安全问

17、题由单位内部的各处控制和管理。组织根据自身业务特点和具体情况所制定的信息安全管理办法和规范，必须符合国家信息安全相关法律、法规的规定。从单位自身微观的层次上体现了信息安全管理与国家的宏观的信息安全管理的一致和配合。1.2人员管理1.2.1 管理目标人员的素质是提高信息安全性致关重要的因素。信息安全的人员管理中，人员因素是信息安全管理环节中最重要的一环，全面提高人员的技术水平、道德品质、政治觉悟和安全意识是信息安全的重要保障。人员的安全审查应该从安全意识、法律意识、安全技能等几方面进行，应试具有政治可靠、思想进步、作风正派、技术合格等基本素质，关键岗位人员的审查标准。1.2.2 管理措施1.2.

18、2.1 离岗离职人员的管理第一条 工作人员离职之后仍对其在任职期间接触、知悉的属于本单位或者虽属于第三方但本单位承诺或负有保密义务的秘密信息，承担如同任职期间一样的保密义务和不擅自使用的义务，直至该秘密信息成为公开信息，而无论离职人员因何种原因离职。第二条 离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其它任何形式的载体，均归本单位所有，而无论这些秘密信息有无商业上的价值。第三条 离职人员应当于离职时，或者于本单位提出请求时，返还全部属于本单位的财务，包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职

19、人员自备的，则视为离职人员已同意将这些载体物的所有权转让给本单位，本单位应该在离职人员返还这些载体时，给予离职人员相当于载体本身价值的经济补偿；但秘密信息可以从载体上消除或复制出来时，可以由本单位将秘密信息复制到本单位享有所有权的其他载体上，并把原载体上的秘密信息消除，此种情况下的离职人员无需将载体返还，本单位也无须给予离职人员经济补偿。第四条 离职人员离职时，应将工作时使用的电脑、U盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员，不得在离职后以任何形式带走相关信息。第五条 员工离职（包括岗位变动、解除劳动关系等）相关规定中应包括信息安全审查的相关

20、内容，审查应包括以下方面：当员工发生岗位变动时，应按有关规定办理离职手续。离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭。离职员工是否签署保密协议，若已签署保密协议应检查保密协议中的相关内容，向其重申权益及其应承担的保密义务。离职员工保管的工作资料、信息资产是否已经交回。离职员工使用的各类计算机及其他设备是否已全部交回。信息科技员工及关键岗位员工，应立即取消其原岗位的系统权限，及时更改相应系统的相关用户密码，确保密码、设备、资料及相关敏感信息等的移交。1.2.2.2 在岗在职人员的管理第一条 禁止利用计算机资源制造、传播违反国家法律法规的信息。第二条 掌握所在岗位需要的计算机信息安

21、全知识；妥善保管计算机系统中的重要文件和数据；妥善保管身份认证凭据（如用户账号、密码、数字证书等）。第三条 严禁自行更改所使用计算机系统的硬件配置；严禁在计算机设备上安装、使用非工作需要的软件或非授权的数据介质（如软盘、光盘、U盘和移动硬盘灯）。第四条 所有员工有义务和责任爱护并正确使用计算机；计算机必须安装防病毒软件，及时更新补丁，并定期检查更新情况；未经审批，计算机不得与外单位网络连接；禁止在非授权的情况下将计算机同时接入互联网和内部网络。第五条 离开工作座位时，必须将办公电脑启动屏幕保护程序或保持注销状态，并采用口令进行保护；非必要时，不能将计算机设备提供给他人使用（特别是非本单位人员）

22、；未经设备保管员同意，不能擅自使用他人计算机设备，禁止与他人的设备互换使用。第六条 发现可以与计算机安全相关的事件时，有责任和义务及时报告；有责任和义务自觉接受信息中心部门在信息安全防范方面的管理、监督和检查。第七条 有义务参加信息安全教育和培训。1.2.2.3 员工招聘管理 第一条 员工招聘过程中，与新员工签订的劳动合同或其他协议中应明确员工的信息安全责任，并应包括与信息安全相关的保密条款，如有需要，合同中应明确该责任在结束合同关系一段特定的时间内仍然有效。 第二条 信息科技关键岗位人员的招聘，应明确该岗位在信息安全方面的要求，并对应聘人员的相关背景进行严格审查；相关岗位人员应签署专门的保密

23、协议，如有需要，保密协议中应明确该责任在结束合同关系一段特定的时间内仍然有效。1.2.2.4员工信息安全教育与培训1.2.2.4.1 教育与培训的主要内容教育与培训的内容主要有三个方面：第一，基本安全教育及基本概念可能存在的威胁和风险、理解相关方针和规章制度、提高安全意识、掌握基本安全操作概念。第二，专业安全方面的培训及职业道德教育与岗位相关安全技术理论培训、岗位职能和操作技能培训。第三，安全的高级培训及国家和行业相关法律法规、全面的安全技术理论和知识、全面的安全管理理论、安全工程理论、关键岗位职能与责任的培训。1.2.2.4.2 教育与培训的主要措施 第一条 为保障信息安全保障体系的完整、有

24、效，应建立信息安全教育和培训制度，信息安全教育和培训应贯穿员工在工作的全过程，包括：新员工入行教育和培训、岗前教育与培训和在岗教育和培训。对员工的信息安全教育与培训应保存相关记录。 第二条 信息安全教育和培训应作为新员工入行教育和培训的重要内容，培训内容应包含但不限于：信息安全及保密管理的基本知识；员工信息安全管理的相关规定和要求；办公自动化系统、邮件系统、内部网络和桌面办公设备等计算机资源的正确使用和信息安全保护的基本要求；最新的信息安全总体策略；信息安全事件的报告流程。第三条 员工上岗前所在机构或部门的管理人员应向其申明本机构或部门的信息安全管理要求和责任。员工的岗前教育与培训应包括与本岗

25、位密切相关的计算机安全管理要求培训，对本岗位中信息安全的关键控制点应着重向员工申明。信息科技员工的岗前教育和培训中，还应包括职业道德、行为规范、奖惩措施、信息安全管理制度和规范等方面的教育和培训内容。第四条 在岗员工应定期接受信息安全教育，主动学习、掌握最新的信息安全管理制度和规范。在信息安全总体策略、相关管理制度和规范发生变化后，应及时向在岗员工发布；对在岗员工的信息安全基本要求、奖惩措施、信息安全事件报告流程等，应纳入员工守则或另行编制成册，及时向在岗员工发布。第五条 信息科技各相关部门应定期组织对部门内所有员工的信息安全教育和培训，教育和培训内容包括但不限于：及时向员工发布最新的信息安全

26、管理策略、制度和规范，每年至少组织一次部门内的信息安全专题培训，及时向员工通报典型的信息安全事件及处理情况等。1.3 制度管理1.3.1 物理环境安全管理规范包括安全域、门禁控制、监控与报警、电源和电缆管理、环境管理与维护、设备常规管理、变更管理、事故处理等。1.3.2 终端计算机安全使用规范包括安装防病毒软件、操作系统定期自动升级、密码保护、IE安全级别设置、邮件管理、重要文件备份等。1.3.3 防火墙系统管理规范包括明确岗位职责、防火墙的规划部署、配置测试；状态监控、日志分析、安全事件的响应处理等。2 数据与文件、以及知识产权与专利2.1 文件的处理程序2.1.1 签收与启封文件的收发由专

27、人履行签收手续，其他人员不得随意签收和启封。如果标有具体人员亲收、亲拆的公文、信函，除本人委托外，任何人不得启封，应原封不动交给亲收人或指定人员。办公室收到的各类公文及重要资料、刊物须及时交送有关领导和相关科（室），按有关程序和规定及时处理，防止耽搁、延误。2.1.2登记登记文件必须将收发文时间、来文单位（发往单位）、文件字号、密级、标题、缓急程序、份数及处理时间、处理情况逐项登记清楚。登记文件应按来文单位类型分别登记，登记簿应装订成册，易于保存、查询，妥善保存5年后销毁。2.1.3办理经办人员必须根据文件的内容和阅知的范围，及时、迅速传阅、办理，不得拖延，事后必须在办文单上签字或写明办理经过

28、及结果，需向领导反馈情况的必须及时反馈。领导批示后的文件，应按领导批示意见进行办理。2.1.4 传阅传阅文件应突出一个“快”，随时掌握文件的去向，避免文件漏传、误传和延误、遗失。a) 严格登记手续，文件传阅时应做好登记手续或请传阅者做好传阅签收。b) 文件传阅时，应设立必要的文件传阅夹和办文单，以便区别于其他材料和领导阅后签字、批示。要提醒传阅者不要随意抽取文件夹里的文件，以避免文件漏传。c) 文件传阅应在部内的办公室进行，不得将文件带到住所或公共场所阅处。d) 文件传阅必须根据规定的文件阅读范围进行传阅，应由专人按各领导的排序或主次先后递送。对传阅的文件应及时收回，重要文件应当天送达，当天收

29、回。要避免文件在传阅对象之间发生相互传递的“横传”现象，以免传阅的文件失去控制，造成文件积压、丢失和下落不明等情况。要加快文件传阅的速度，要尽量减少文件传阅时的停留时间，缩短文件传阅周期。2.2 文件的保管文件的保管、存放必须明确专人负责，并建立健全管理制度。第一条 对传阅好的文件、办理好的文件，应及时核对清点，并分门别类保管存放。第二条 文件借阅时，必须符合规定的文件阅知范围，办理借阅文件的登记手续，在规定的场所阅读。如遇特殊情况需要携带文件外出时，必须经研发中心负责人批准，并采取必要的保密措施。涉及密级的公文和内部重要资料，要注意保密。凡是有密级的文件，不得随意复印，确因工作需要必须经分管

30、领导同意才可复印，其复印件按正式文件管理。第三条 文件的存放场所应安全、保密，不得将文件随意放在办公桌面上或存放在玻璃橱和敞开式的橱柜中。关于文件的清退、销毁要建立定期的文件清理制度，定期做好文件的清退和销毁工作。清退和销毁文件，必须严格履行登记手续。文件销毁时需经分管领导批准同意。个人不得擅自销毁文件。2.3 文件的清退、销毁公司下发的文件清退单，认真核对应清退的文件，按时、如数将清退的文件送综合信息处并办理清退、注销手续。第一条 综合信息处的文件根据有关归档要求，要定期清理归档，并做好归档手续。第二条 对不需要归档的其他文件、资料及内部刊物，应按公司的规定进行清退、销毁。第三条 文件管理人员在工作调动、离职时，应先办理文件的移交手续，清退所持的全部文件，方可办理调动、离职手续。任何个人不得私自带走文件或私自销毁文件。关于文件管理职责2.4 文件管理职责第一条 公司综合信息处是文件管理的职能部门，应加强对文件，特别是公司文件的管控严格执行有关规定和保密纪律，做到既充分发挥每份文件的作用，又严防失密、泄密现象的发生。第二条 综合信息处负责人应定期检查文件的收发、登记、传阅、保管和清退、销毁情况，加强文件管理和保密教育。第三条 综合信息处负责文件处理、保管的人员要增强责任性和保密意识