ismsa 信息安全管理体系文件.docx
《ismsa 信息安全管理体系文件.docx》由会员分享,可在线阅读,更多相关《ismsa 信息安全管理体系文件.docx(27页珍藏版)》请在冰点文库上搜索。
ismsa信息安全管理体系文件
信息安全管理体系文件
样式编号
ISMS-A-2015
编制
审核
批准
密级
内部
版本
发布日期
2015年8月
1信息安全方针
1.1总体方针
满足客户要求,实施风险管理,确保信息安全,实现持续改进。
1.2信息安全管理机制
公司为客户提供智能用电及能源管理的服务,信息资产的安全性对公司及客户非常重要。
为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据ISO/IEC27001:
2005标准,建立信息安全管理体系,全面保护公司及客户的信息安全。
1.3信息安全小组
1)负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;
2)负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;
3)对员工和客户进行信息安全意识教育和安全技能培训;
4)协助人力资源部对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理;
5)协调各部门以及与外部组织间有关的信息安全工作,负责建立各部门、客户的定期联系和沟通机制;
6)负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出内部审核建议;
7)负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;
8)负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施;
9)负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;
10)负责调查安全事件,并维护安全事件的记录报告(包括调查结果和解决方法),定期总结安全事件记录报告;
11)负责管理体系文件的控制;
12)负责保存内部审核和管理评审的有关记录;
13)识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性。
1.4识别法律、法规、合同中的安全
1)及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。
1.5风险评估
1)根据公司业务信息安全的特点、法律法规的要求,建立风险评估程序,确定风险接受准则。
2)定期进行风险评估,以识别公司风险的变化。
公司或环境发生重大变化时,随时评估。
3)应根据风险评估的结果,采取相应措施,降低风险。
1.6报告安全事件
1)公司建立报告安全事件的渠道和相应机构。
2)全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径进行报告。
3)接受报告的相应部门/机构应记录所有报告,及时做相应处理,并向报告人员反馈处理结果。
1.7监督检查
1)对信息安全进行定期或不定期的监督检查,包括:
日常检查、专项检查、技术性检查、内部审核等。
2)对信息安全方针及其他信息安全政策进行定期管理评审(至少一年一次)或不定期管理评审。
1.8信息安全的奖惩
1)对公司信息安全做出贡献的人员,按规定进行奖励。
2)对违反安全方针、职责、程序和措施的人员,按规定进行处罚。
2信息安全管理手册
2.1目的和范围
2.1.1总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS),确定信息安全方针和目标,对信息安全风险进行有效管理,确保员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手册。
2.1.2范围
本手册适用于ISO/IEC27001:
2005 4.2.1 a)条款规定范围内的信息安全管理活动。
业务范围:
开发、生产、销售电力的保护、监控、计量装置和应用在现场的智能用电、能源管理系统。
2.2术语和定义
ISO/IEC27001:
2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC27002:
2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。
2.3引用文件
下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
ISO/IEC27001:
2005信息技术-安全技术-信息安全管理体系要求
ISO/IEC27002:
2005信息技术-安全技术-信息安全管理实施细则
2.4信息安全管理体系
2.4.1总要求
公司依据ISO/IEC27001:
2005标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,形成文件;本公司全体员工将有效地贯彻执行并持续改进有效性,对过程的应用和管理详见《信息安全管理体系过程模式图》(图1)。
图1.信息安全管理体系过程模式图
2.4.2建立和管理ISMS
2.4.2.1建设思路
分析企业信息安全的实际情况,通过制定企业的信息安全目标、提出信息安全要求、制定信息安全措施,通过组织体系、运作体系、技术体系、策略体系的支持,按照PDCA流程,先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,最后制定出符合企业的信息安全管理体系,并进行建立、实施和维护信息安全管理体系,最终为客户实现的目标是:
1)对信息系统的信息进行保护,减少来自内外部的各种威胁;
2)确保业务连续性,确保网络畅通、各业务应用系统高效动作,避免业务发生中断;
3)业务风险最小化,避免信息系统事故可能引起的业务风险,减少商业秘密的泄露;
2.4.2.2建设步骤
1、准备工作,通过领导决策,进行安全组织和人员的配备,并进行相关的培训和宣传,从而为后期信息安全管理体系的建设和推广提供相关支持;
2、框架建立,参考信息安全体系框架,进行管理体系和技术体系框架的分析,着重对信息安全管理体系进行研究,得出研究的基础理论支持;
3、评估风险,按照信息安全评估流程的方法,通过资产的分类和风险的分类得出风险评估的结果,作为信息安全改善的依据;
4、改善安全,通过风险评估和差距的分析,结合管理和技术的手段,按照风险改善的方法,得出信息安全改善的措施;
5、实施运行,按照前面评估的风险和安全改善的措施,对已建立好的信息安全管理体系进行实施和运行,并制定相关的信息安全制度细则和技术管控措施;
6、检查改进,通过体系的实施和运行,检查存在的信息安全风险,并针对风险点进行管理和技术上的安全改善;
7、持续运行,通过不断的检查和改进,保证信息安全管理体系能够持续的运行,为企业的业务提供更全面更可靠的信息系统.
2.4.2.3风险评估
信息安全的风险管理是把风险管理的思想纳入到整个信息安全管理的过程中来,基于风险的信息安全管理体系在分析风险后,就会利用一系列的安全技术措施来控制风险,以达到信息安全的目标,依据风险评估结果制订的信息安全解决方案,可以最大限度的避免盲目的追求而浪费相关资源,同时还造成对业务的影响,最终使企业在信息安全方面的投资收益最大化。
风险评估一般的工作流程包括九个步骤,具体如下:
按照以上的风险评估步骤,对企业的信息安全风险进行评估,其风险评估的对象主要是企业的信息资产,包括数据、软硬件、人员等,具体说明如下:
信息资产分类
分类
具体内容
数据
存在于信息介质上的各种数据资料:
包括数据库、系统文档、计划、报告、用户手册等
软件
系统软件:
操作系统、工具软件等
应用软件:
外部购买的应用软件,外包开发的应用软件等
硬件
网络设备:
防火墙、路由器、交换机等
计算机设备:
服务器、台式机、笔记本等
移动存储设备:
光盘、U盘、移动硬盘等
传输路线:
光纤、双绞线等
保障设备:
UPS、空调、门禁、消防设施等
其他电子设备:
打印机、复印机、扫描仪、传真机等
服务
办公服务:
为提高工作效率而开发的管理信息系统,包括各种内置配置管理、文件流转管理等服务
网络服务:
为各种网络设备、设施提供的网络连接服务
信息服务:
对外依赖该系统开展服务而获得业务收入的服务
文档
纸质的各种文档、传真、财务报表、发展计划等
人员
掌握重要信息和核心业务的人员,如机房的管理人员、主机的维护工程师、网络维护工程师及应用系统项目经理等人员
在确定了风险评估的对象之后,即开始对风险评估对象所面临的风险进行识别、分析和评价,具体的风险评估内容和过程如下:
按照以上所示的风险评估内容和过程,对企业的信息安全风险进行评估,所评估的风险分类如下:
信息安全风险分类
种类
描述
软、硬件故障
由于设备的硬件故障、通信链路中断、系统本身或软件BUG导致对业务高效稳定运行的影响
无作为或操作失误
由于应该执行而没有执行相应的操作或无意执行错误操作对系统造成的影响
管理不到位
安全管理无法落实、不到位、造成安全管理不规范或者混乱,从而破坏信息系统正常有序的运行
恶意代码和病毒
具有自我复制、自我传播能力,对信息系统构成破坏的代码
越权和滥用
通过采用一些措施、超越自己的权限访问了本来无法访问的资源,或者滥用自己的职权,做出破坏信息系统的行为
黑客攻击技术
利用黑客工具和技术,如侦查、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击对系统进行攻击和入侵
物理攻击
物理接触、物理破坏、盗窃
泄密
机密泄露、机密信息泄露给他人
篡改
非法修改信息、破坏信息的完整性
抵赖
不承认收到的信息和所做的操作和交易
针对以上所列的信息安全风险,为了更好的进行管理和控制,从风险对业务的影响来进行定义等级,以下主要是按照风险出现的频率来进行定义(风险等级评估的方法有定量和定性两种方法,在此我们按照定量的方法分析),具体如下:
信息安全风险等级
等级
标识
描述
5
很高
出现的频率很高(如>1次/周),或在大多数情况下几乎不可避免,或可以证实经常发生过
4
高
出现的频率较高(如>1次/月),或在大多数情况下很有可能会发生,或可以证实多次发生过
3
中
出现的频率中等(如>1次/半年),或在某种情况下可能会发生,发生,或可以证实多次发生过
2
低
出现的频率较小,或一般不太可能发生,或没有被证实发生过
1
很低
威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生
结合企业目前的信息安全现状,参照IS027001的标准,整理出企业的风险评估结果,具体如下:
信息安全风险评估结果
控制领域
说明
等级
描述
物理环境安全
物理环境威胁
4
断电、静电等问题一直存在
信息资产管理
软、硬件故障
3
经常性出现各种软件、硬件的故障或是链路的中断等问题
运行和维护安全
物理攻击
2
物理接触和物理破坏的可能性较低
无作为或操作失误
5
时常会出现人为操作对系统造成的影响
越权和滥用
3
系统和终端的权限管理不规范,存在越权和滥用的风险,有破坏信息系统的行为风险
篡改
2
非法修改信息和破坏信息的完整性较少
信息安全方针
管理不到位
5
信息安全的管理还不健全,同时管理不规范,从而破坏信息系统正常有序的运行
人员安全管理
泄密
4
出现过机密泄露和机密信息泄露给他人
抵赖
4
有出现过不承认收到的信息和所做的操作
安全事件管理
恶意代码和病毒
4
内部病毒的控制和管理还是有待提高
黑客攻击技术
4
出现过利用黑客攻击的现象,影响到了系统和终端的日常使用
2.4.2.4安全改善
对于基于风险的信息安全理论来说,信息安全建设的宗旨就是评估信息系统面临的安全风险,并在综合考虑成本与效益的前提下,通过综合的安全措施来控制风险,风险控制的手段一般包括:
策略、保护、检测、响应和恢复等方法,具体说明如下:
信息安全风险改善方法
说明
风险改善需求
风险改善措施
策略
设备管理制度
建立完善的各种安全相关制度和规范,使得保护、检测和各个安全管理环节有据可依、切实有效
机房进出制度
系统安全管理制度
系统安全配置制度
网络安全管理制度
网络安全配置制度
应用安全管理制度
应用安全配置制度
应急响应计划
安全事件处理准则
保护
机房
严格按照国家相关计算机机房的设计规范和安全要求建设和维护计算机机房
门禁
安装相应的门禁控制系统,并能够进行有效管理
病毒防护
全面部署防病毒系统
漏洞补丁
及时下载和安装最新的漏洞补丁
安全配置
严格遵守各安全配置明细,避免漏洞的出现
身份认证
根据不同的安全要求,进行设置相应的身份认证系统
访问控制
根据“不同的安全要求,分别采用自主型强,强制型等级别的访问控制系邻对设备、用户等主体访问客体的权限进行控制
数据加密
根据“不同的安全要求,采用绝密、机密、秘密等级别的数据加密系统,对传输数据和存储数据进行加密
边界控制
在网络边界布置防火墙,阻止外来的非法访问
检测
监视、报警
在适当的位置安装监视器和报警器,在个系统单元中配置检测系统和报警系统,以实时发现安全事件并及时报警
数据校验
通过数据校验技术,发现数据篡改
主机入侵检测
实施主机入侵检测系统,发现主机入侵行为
主机状态监测
实施主机状态监测系统,随时掌握主机运行状态
网络入侵检测
实施网络入侵检测系统,发现网络入侵行为
网络状态监测
实施网络状态监测系统,随时掌握网络运行状态
安全审计
在各系统单元中配置安全审计,以发现深层安全漏洞和安全事件
安全监督、检查
实现持续有效的安全监督,预演应急响应计划
响应
故障修复、事故排除
保证能够随时获得故障修复和事故排除的工程技术人员和软件、硬件工具
设施备份、恢复
针对关键设施,配置设施备份和恢复系统
系统备份、恢复
针对关键系统,配置系统备份和恢复系统
数据备份、恢复
针对关键数据,配置数据备份和恢复系统
网络备份、恢复
针对关键网络,配置网络备份和恢复系统
应用备份、恢复
针对关键应用,配置应用备份和恢复系统
应急响应
按照应急响应计划处理应急事件
安全事件处理
按照应急事件处理,找出事故原因、追究责任、总结经验教训、提出改善建议
信息安全管理措施的实现依据于各种具体的安全控制技术和管理措施,以上安全改善就可以归纳为两个方面,即管理方面和技术方面,通过管理和技术的双方面进行控制和管理来改善信息安全。
2.4.2.5技术的信息安全
从技术角度考虑,企业信息安全管理体系中所需采取的安全技术体系包括:
1、物理环境安全
信息系统硬件安全,在公司的信息系统硬件管理上,首先对机房的硬件环境进行安全管理,包括温度、湿度、消防、电力等安全管理,对关键的应用需要采取UPS供电,同时采取相应的备份,对硬件的使用率进行实时的监控,避免硬件的使用率过高造成业务持续性的影响,另外需要对硬件的物理环境进行监控,避免非法人员的进入,同时也是对管理员的日常行动进行监控,最后需要对机房的人员和物品的出入进行权限的管理和等级制度;
2、信息资产管理
1)、操作系统安全,操作系统安全除了进行必要的补丁和漏洞的管理和更新外,最主要的是进行防病毒管理,通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响;
2)、应用程序安全,应用程序的安全直接关系信息系统的安全性,通过硬件、软件的安全保护来保证应用程序的安全;
3、运行维护安全
1)、安全传输技术,对于重要的系统和对外的访问,进行安全的传输技术,目前使用主要的HTTPS和SSL的安全传输技术,以此来保证信息在传输过程中的安全,避免被非法用户窃取、篡改和利用;
2)、入侵检测技术和防火墙技术等,对于系统和用户对内对外的访问进行控制和管理,采用相应的入侵检测技术和防火墙技术,来保证系统的信息安全;
4、访问控制安全
1)、密码算法技术,密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用,同时接收方能够完整无误的解读发送者发送的原始信息,此密码算法技术目前在公司没有进行应用;
2)、安全协议技术,安全协议技术主要是指身份认证功能,目前企业系统的安全保护主要都是依赖于操作系统的安全,这样入侵系统就非常容易,因此需要建立一套完善的身份认证系统,其目的是保证信息系统能确认系统访问者的真正身份,身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。
3)、访问控制,访问控制主要是用户在访问系统或者是互联网时进行相关的控制策略,从而来保证信息系统环境的安全,同时避免数据的泄漏,目前使用的技术主要是上网行为管理,来管理和控制用户的上网行为,在保证安全的同时提高工作效率和美化网络环境;
4)、身份识别与权限管理技术,对不同的系统、不同的用户、不同的业务采取不同的身份识别和权限管理,从而从身份和权限上来保证系统和用户的信息安全;
2.4.2.6管理的信息安全
从管理角度考虑,企业信息安全管理体系中所需采取的安全管理方面的措施主要包括:
物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理,具体说明如下:
信息安全改善在管理方面的方法
控制领域
分类
说明
物理环境
机房与设施安全
对放置计算机系统的空间进行周密规划、对物理设备进行保护、提供相应的安全保护系统
安全
技术控制
设置相应的技术控制,如门禁系统、访问控制等
环境和人身安全
进行环境和人身的安全保证,如设置防火、防水、异地灾备等
电磁泄漏
按业务需求,进行设置相关的电磁泄漏装置
信息资产管理
数据载体安全管理
对数据载体进行统一管理和保护,从而保护数据
数据密级标签管理
对不同类别和级别的数据采取不同的保护措施
数据存储管理
数据存储的管理,避免外界原因造成数据的毁坏
数据访问控制管理
对数据采取自我保护,防止数据的非法使用
数据备份管理
为防止数据丢失或系统瘫痪的风险,进行数据备份
应用系统的安全问题
对应用系统在使用中存在的一些社会问题和道德问题进行管理,如计算机浪费和失误、计算机犯罪等
系统的安全管理实现
对运行系统的安全管理、软件的安全管理、关键技术管理和人员的安全管理
文档密级管理
对文档进行定密,并按照密级进行管理
文档借阅管理
对文档的借阅进行必要的等级、审批手续等管理
电子文档安全管理
在电子文档的形成、处理、收集、积累、整理、归档、保管、利用等个环节进行安全管理
技术文档备份
对技术文档的复制、备份等进行统一管理
软件安全管理
保证计算机软件的完整性及软件不会被破坏或泄漏,包括系统软件、数据库管理软件、应用软件及相关资料
人员安全管理
安全组织
建立安全组织,完善管理制度,建立有效工作机制,对人员进行严格审查,明确人员职责,确保组织机构的顺利完成系统的使命
人员安全审查
进行人员技术水平和意识的提升,并对人员的安全等级、安全审查进行管理
安全培训和考核
对从事操作维护信息系统的人员进行培训和考核
安全保密契约
对从事信息系统的工作人员进行签订保护契约
离岗人员安全管理
对离岗人员进行安全管理,如收回钥匙、更换口令
人员安全管理原则
人员安全管理必须遵循职责分离、岗位轮换、最小特权、强制休假、限幅级别等原则
运行维护安全
故障管理
对问题或故障进行定位管理,发现问题、分离问题、找出失效原因、解决问题等
性能管理
测量系统中的硬件、软件和媒介的性能
变更管理
迅速解决由于系统不断变化而产生的问题
所有的这些安全管理措施都是关注信息系统不同方面的保护需求,在信息安全工作中,风险管理与控制需要有一种综合的分层多点的深度防御体系方案,综合使用这些控制为企业的所有信息系统和信息提供必要的保护。
通过对风险的技术性控制和管理的实施、部署后,在风险控制管理中能保证防御大量存在的威胁,技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段,还包括系统架构、系统培训、以及一系列的软件、硬件的安全设备,这些措施和方式应该配套使用,从而保护关键数据、敏感信息及信息系统的功能,技术性安全控制管理的方式主要包括:
1、支撑性的技术控制,包括身份鉴别、密码管理、安全日志管理、系统保护等;
2、预防性的技术控制,包括身份认证、授权控制、访问控制、抗抵赖机制、通讯环境安全、传输安全等;
3、监测、恢复性的技术控制,包括审计、入侵监测和控制、完整性验证机制、恢复安全状态、病毒监测和查杀等;
这三种控制所包括的具体机制及他们之间的关系如下:
在选择和应用这些信息安全技术时,应按照目标一策略一机制/手段的顺序执行,首先了解企业的具体需求、目标、及需要解决的风险,然后选择对应的风险管理策略,最后选择使用的安全控制手段和具体的安全技术措施。
2.4.2.7实施并运作ISMS
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。
b)为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配,明确各岗位的信息安全职责;
c)实施所选的控制措施,以满足控制目标。
d)确定如何测量所选择的一个组控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。
注:
测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控制目标的程度。
e)实施培训和意识计划。
f)对ISMS的运作进行管理。
g)对ISMS的资源进行管理。
h)实施能够快速检测安全事件、响应安全事件的程序和其它控制。
首先按照企业的实际业务情况,参考信息安全管理体系标准,从管理的角度制订了以下的相关制度、细则和办法,具体如下:
管理制度的制订是进行了规则的定制,但执行起来需要技术上的配合和实施,为了更好的管理信息安全,进行了以下相关的技术措施:
信息安全技术措施
控制领域
分类
说明
物理环境安全
机房管理
在机房建立起物理环境、硬件、软件、人员、物品等的管理,并通过技术建立起监控系统,监控机房的环境
信息资产管理
防火墙
各信息系统的出口都需增加防火墙,避免外来的攻击
数据管理
按照保密等级,对数据进行加密、解密管理,保证数据在传输和使用过程中的安全
文件传输管理
架设起内部的文件使用平台,如FTP、网盘等,在限制外设使用的同时,通过提供给用户新的平台,而且也进行相关数据的备份和审计
运行和维护安全
桌面管理
对终端的外设、软件、资产、打印水印等等进行桌面管理,保证桌面的安全
防病毒管理
建立统一的防病毒软件系统,并实时进行更新,防止病毒在办公环境中传播
补丁管理
架设系统和软件的补丁服务器,对终端的更新和补丁进行实施的更新
上网行为管理
增加上网行为管理,对终端用户的日常网络访问、下载传输等建立前管理和审计制度,在保证信息安全的同时,提高工作效率
VPN管理
对于合法的用户通过远程访问企业内部资源,建立起VPN的管理制度,在保证安全的同时,满足业务所需
访问控制安全
身份认证
采用AD的统一身份认证技术,并与其他系统进行单点登录管理,实现身份认证管理
安全事件管理
容灾备份管理
对关键的系统和数据进行容灾备份管理,特殊情况进行异
升级会员 