ISO27001版信息安全管理手册.docx
《ISO27001版信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《ISO27001版信息安全管理手册.docx(39页珍藏版)》请在冰点文库上搜索。
ISO27001版信息安全管理手册
**********************有限公司
信息安全管理手册
编号:
****-1001
状态:
受控
编写:
信息安全领导小组
2019年5月8日
审核:
*****
2019年5月8日
批准:
*****
2019年5月8日
发布版次:
第A/0版
2019年5月8日
生效日期
2019年5月8日
分发:
各部门
接受部门:
变更记录
变更日期
版本
变更说明
编写
审核
批准
2019-5-8
A/0
初始版本
信息安全领导小组
***
***
1、范围
1.1目的
为了建立、健全本公司信息安全管理体系(简称****),确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照执行信息安全管理体系文件、持续改进****的有效性,特制定本手册。
本公司信息安全管理体系符合第4章到第10章的所有要求。
2、规范性引用文件
2.1ISO/IEC27001:
2013《信息技术安全技术信息安全管理体系—要求》
Informationtechnology--Securitytechniques--Informationsecuritymanagementsystems--Requirements
2.2ISO/IEC27002:
2013《信息技术安全技术—信息安全控制措施实用规则》
Informationtechnology--Securitytechniques--Codeofpracticeforinformationsecuritymanagement
3、术语和定义
本手册旨在防止业务过程中信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能按策划运行、信息服务能满足法律法规与顾客要求。
3.1信息安全定义
信息安全:
防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识,控制。
确保信息的完整性、保密性,可用性和可控性。
避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
本质上是充分保护本组织信息资产并给予相关方信心。
3.2术语
本手册中使用术语的定义采用《信息技术安全技术信息安全管理体系要求》中有关术语的定义。
3.3缩写
****:
InformationSecurityManagementSystems=信息安全管理体系;
SoA:
StatementofApplicability=适用性声明;
PDCA:
PlanDoCheckAction=计划、实施、检查、改进;
IDS:
IntrusionDetectionSystem=攻击检测系统。
4、组织环境
4.1理解组织及其环境
公司确定了与公司信息安全目标相关并影响实现信息安全管理体系预期结果能力的外部环境、内部环境和风险管理流程环境。
确保风险准则制定过程中外部相关方的目标和关注点被加以考虑,与公司的文化、流程、组织架构和战略相匹配。
风险管理实施中要考虑需求因素、所需资源、责任和能力及相关记录。
公司的外部环境包括但不限于:
a)社会和文化、政治、法律、监管、金融、技术、经济、自然环境和竞争环境、无论国家、区域或地方;
b)影响公司信息安全目标的主要驱动和趋势;
c)与外部利益相关者的价值观的关系。
内部环境包括但不限于:
a)治理,组织机构,角色和责任;
b)政策、目标、实现目标的战略;
c)能力、资源和知识(资本、时间、人、能力、流程、系统和技术等);
d)内部利益相关者的价值观与组织文化之间的关系;
e)信息系统、信息流和决策流程;
f)合同关系的形成和范围;
随着组织需求变化,风险管理流程环境也要变化,包括:
a)识别风险管理活动的目标;
b)界定风险管理流程中的责任;
c)及时准确的识别活动、流程、功能、项目、产品、服务和资产及之间的关系;
d)确定风险评估方法,界定风险评估管理的方式和有效性;
e)识别和判定不得不作出的决定。
本公司主要从事软件开发及服务,具有满足顾客要求,为企业自身利益需要,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。
为此应确定影响公司信息安全管理体系实现目标能力的外部环境和内部环境。
外部环境:
近年来国务院及有关政府部门先后颁布了一系列法规政策,为软件行业发展建立了优良的政策环境,在较长时期内对软件行业发展带来促进作用。
2011年2月,国务院发布《进一步鼓励软件产业和集成电路产业发展的若干政策》(国发[2011]4号),从财税政策、投融资政策、研究开发政策、进出口政策、人才政策、知识产权政策和市场政策等各方面继续完善激励措施,明确政策导向,对于优化产业发展环境,增强科技创新能力,提高产业发展质量和水平,具有重要意义。
其中,财税方面明确提出“继续实施软件增值税优惠政策”,“进一步落实和完善相关营业税优惠政策,对符合条件的软件企业和集成电路设计企业从事软件开发与测试,信息系统集成、咨询和运营维护,集成电路设计等业务,免征营业税,并简化相关程序”等政策,而投融资方面也提出“国家大力支持重要的软件和集成电路项目建设。
对符合条件的集成电路企业技术进步和技术改造项目,中央预算内投资给予适当支持。
鼓励软件企业加强技术开发综合能力建设”,“国家鼓励、支持软件企业和集成电路企业加强产业资源整合。
对软件企业和集成电路企业为实现资源整合和做大做强进行的跨地区重组并购,国务院有关部门和地方各级人民政府要积极支持引导,防止设置各种形式的障碍”等鼓励政策。
2012年4月,工信部发布了《软件和信息技术服务业“十二五”发展规划》,规划提出,在“十二五”时期,将基本形成以企业为主体的产业创新体系,软件业务收入前百家企业的研发投入超过业务收入的10%。
拥有自主知识产权的基础软件、业务支撑工具和核心技术取得重大突破,自主发展能力显著提升。
技术水平和产业化能力进一步提高,具备主要应用领域安全可靠解决方案的提供和实施能力。
基本形成软件和信息技术服务标准体系,各类技术和服务的标准、规范得到普遍推广。
随着软件行业的发展及政府职能定位的改变,政府越来越把电子政务建设作为今后一个时期我国信息化工作的重点,政府先行,带动国民经济和社会发展信息化,以应对加入世界贸易组织后的挑战,加快政府职能转变,提高行政质量和效率,增强政府监管和服务能力,促进社会监督,实施信息化带动工业化的发展战略,具有十分重要的意义。
内部环境:
远江盛邦依据软件行业高速发展的形势,抓住地方政府的机遇,以软件开发为主营业务。
公司成立以来,项目实施及运营管理水平获得了客户的一致好评。
公司拥有强大的业务咨询团队、技术方案咨询团队、项目咨询团队、质量管理团队、运营管理的技术团队、软件开发团队;凭借规范的运营服务管理体系和优秀、全方位的技术队伍(核心技术团队大部分具备十年以上的从业经验),已具备了抓住发展机遇并快速扩大市场成果的能力。
远江盛邦建立了完备的项目管理、运营、应急预案、开发、测试和培训等一系列制度。
4.2理解相关方的需求和期望
公司的生存与发展,依赖并来源于理解与满足顾客及相关方的需求和期望,努力做到超越顾客的需求和期望。
总经理以实现顾客和相关方的需求和期望为目标,在本公司内实施如下措施:
公司的相关方主要是顾客以及受公司的信息安全影响的相关方。
与公司信息安全有关的客户要求远江盛邦严格遵守国家的法律法规,保证不利用网络危害国家安全、泄露国家秘密,不侵犯国家的、社会的、集体的利益和第三方的合法权益,不从事任何违法行为。
顾客的需求和期望主要体现在合同中进行约定,公司根据合同要求满足顾客的需求和期望;受公司信息安全影响的相关方的需求和期望就是本公司能够做到信息安全防护,因此公司严格按照信息安全法律法规要求执行。
公司总经理以实现顾客和相关方的需求和期望为目标,在本公司内实施如下措施:
通过相关方调查、新闻媒体的宣传报道、座谈会等方式,及时与相关方联系,确保相关方的需求和期望得到确定、转化为要求并尽可能予以满足,以提高相关方的满意度;
关注相关方的信息安全要求,包括法律法规要求与合同义务,以求得共同的发展。
公司所有员工都必须耐心聆听相关方的意见,各层次人员都要重视相关方的意见,识别和关注相关方的需求和期望。
所有员工应能得到经常的培训,使员工的活动行为得到约束。
公司定期对相关方及其要求的信息进行监视和评审。
时刻关注相关方的信息安全要求,包括法律法规要求与合同义务,以求得共同的发展。
4.3确定信息安全管理体系的范围
根据公司的内外部因素、相关方的信息安全要求,确定本公司信息安全管理体系的范围:
a)位于北京市海淀区农大南路1号院2号楼6层办公A-603的直接相关的员工;
b)从事与软件开发及服务相关的信息安全管理活动。
4.4信息安全管理体系
公司按照ISO/IEC27001:
2013标准的要求建立、实施、保持和持续改进信息安全管理体系。
****体系所涉及的过程遵循PDCA模式。
a)确定信息安全所需的输入、输出及所需的准则和方法,确保信息安全体系运行有效控制;
b)确定并确保所需的资源;
c)规定相关的责任和权限;
d)确定需要应对的风险和机会;
e)评价实施所需的变更,确保体系的有效性;
f)必要时,改进信息安全管理体系,并保留相关的文件和记录。
5领导力
5.1领导力和承诺
总经理通过下列方式证明其关于信息安全管理体系的领导力和承诺:
a)确保建立了公司的信息安全方针和信息安全目标,并与公司的战略方向保持一致;
b)确保将信息安全管理体系的要求整合到公司的业务运营过程中;
c)确保信息安全管理体系所需资源的可用性,包括人、财、物等;
d)向全体员工传达信息安全管理有效实施、符合管理体系的重要性;
e)确保信息安全管理体系实现其预期结果;
f)指挥并支持公司人员为信息安全管理体系的有效实施做出贡献;
g)促进信息安全管理体系的持续改进;
h)支持其他相关管理角色在其职责范围内展示他们的领导力,做到适度的集权与放权。
5.2方针
公司的信息安全方针如下:
信息保密安全控制风险管理持续改进
公司的信息安全方针
a)适于公司的目标,与公司的经营宗旨一致;
b)为公司的信息安全目标提供框架,树立了旗帜和方向;
c)包含满足适用信息安全相关要求的承诺;
d)包含管理体系持续改进的承诺;
e)已经在信息安全管理手册中颁布并保持可用性;
f)在组织内部进行传达;通过在公司内广泛宣讲管理方针的内涵,组织信息安全管理体系的宣贯培训,使方针得到员工的充分理解和执行。
g)适当时,对相关方可用,尤其是与公司利益相关的相关方等。
5.3组织角色、职责和权限
总经理确保分配并传达了公司信息安全相关角色的职责和权限,在相关的文件中进行规定。
通过职责和权限的分配,总经理确保:
a)公司信息安全管理体系符合信息安全标准的要求;
b)将管理体系的绩效报告给高层管理者;
6、规划
6.1应对风险和机会的措施
6.1.1总则
当规划信息安全管理体系时,公司根据内外部环境、业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界,识别公司的风险和机会。
机会主要是国家给软件行业的许多政策。
公司制定应对风险和机会的对应措施,以:
a)确保公司的信息安全管理体系能实现预期的结果;
b)防止或减少意外的影响;
c)实现持续改进。
风险及应对措施:
1)人才流失风险:
软件开发企业的成长离不开高素质的技术、销售和管理人才及合理的团队,掌握核心技术和拥有稳定、高素质的技术团队是企业生存和发展的根本,也是保持技术领先优势的重要保障。
目前专业技术人员缺乏,且流动性较大,用人成本也逐步增高,使得技术人员不足和流失的风险被放大。
人才的流失可能给软件开发企业带来难以估计的损失。
应对措施:
公司逐步完善员工的福利制度,为员工提供更广的发展空间和机会,以便吸引和留住更多的优秀人才。
公司目前拥有一支专业素质较高、实际开发经验丰富的研发团队,为公司新技术新产品的研发、保持市场竞争力做出了突出贡献。
2)市场风险:
主要是由于新技术产品的市场潜在性引起的,难以确定市场的接受能力、难以确定市场接受时间、难以预测中试新产品扩散的速度、难以确定科技成果新产品的市场竞争能力。
应对措施:
主要是在产品的市场化过程中,我公司将深入挖掘市场需求,根据客户所提出的需要不断改善产品。
我公司依托已经在全国建立的广泛市场销售渠道和强大的后备支持,针对市场上存在的众多不可控因素,公司已着手制定并陆续实施未来的营销计划,以保证产品销售按计划进行。
3)管理风险:
科技成果转化过程中因管理不善而导致失败所带来的风险。
它主要包括:
决策风险,即因科技成果应用主体在转化过程中因决策失误带来的风险;组织风险,即由于成果转化实施过程中主体因组织结构不合理所带来的风险;
应对措施:
我公司拥有大量的高素质的科技人员、管理人员和其他相关人员,在管理上能有效地采用最优方法来控制此项风险。
例如我们通过有效的人事管理,避免了人力资源流失的风险,也吸收大量的优秀人才加盟。
我们的人力资源配置也比较合理,大大提高了项目实施的成功率。
我公司有开明的领导,通过正确的决策使本企业得以顺利发展,结合了大量优秀的社会资源;同时能通过利用社会资源,提高本企业的运营效率。
6.1.2信息安全风险评估
公司编制并执行****-2001《信息安全风险评估管理程序》,以:
a)建立并保持信息安全风险准则,包括:
1)风险接受准则;
2)信息安全风险评估实施的准则;
b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果;
c)识别信息安全风险
1)应用信息安全风险评估过程来识别管理体系范围内的信息丧失保密性、完整性和可用性的损失相关的风险;
2)识别风险责任人;
d)分析信息安全风险:
1)评估所识别的风险发生后将导致的潜在影响;
2)评估所识别的风险发生的现实可能性;
3)确定风险级别;
e)评估信息安全风险:
1)将风险分析结果同建立的风险准则进行比较;
2)为实施风险处置确定已分析风险的优先级,方便风险处置。
公司总经办要保留信息安全风险评估过程的记录。
6.1.3信息安全风险处置
公司定义并应用了信息安全风险处置过程,以:
a)在考虑风险评估结果的前提下,选择适当的信息安全风险处置选项;
b)为实施所选择的信息安全风险处置选项,确定所有必须的控制措施;
c)确定的控制措施与标准附录A比较,没有遗漏;
d)编制《适用性声明》,包含必要的控制措施,合理性说明及删减的合理性说明;
e)制定信息安全风险处置计划;
f)风险责任人对信息安全风险处置计划进行批准,并批准公司的信息安全残余风险。
公司保留信息安全风险处置过程的所有记录。
6.1.3.1选择控制目标与控制措施
a)信息安全领导小组(由管理者代表、内审员、各部门负责人组成)根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标,并将目标分解到有关部门。
信息安全目标应获得信息安全最高管理者的批准。
b)控制目标及控制措施的选择原则来源于ISO/IEC27001:
2013附录A,具体控制措施可以参考ISO/IEC27001:
2013《信息技术-安全技术-信息安全管理实用规则》。
本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。
c)获得管理者对残余风险的批准。
6.1.3.2适用性声明SoA
信息安全领导小组负责编制****-1002《信息安全适用性声明》(SoA)。
该声明包括以下方面内容:
a)公司的控制目标与控制措施的概要描述;
b)对/ISO/IEC27001:
2013附录A中未选用的控制目标及控制措施理由的说明。
公司相关部门需保留风险处置过程的所有记录。
6.2信息安全目标和规划实现
公司在相关职能和层次上建立信息安全目标;信息安全目标要:
a)与信息安全方针一致;
b)可测量;
c)考虑适用的信息安全要求以及风险评估和风险处置结果;
d)在相关职能和层次得到沟通;
e)适当时进行更新。
公司要保留信息安全目标的文件化信息。
当规划如何实现信息安全目标时,公司确定:
a)要做什么,表明实现目标的方法;
b)需要什么资源,包括人财物等资源;
c)由谁负责,规定实现目标的负责人;
d)什么时候完成,规定目标的完成时间;
e)如何评价结果,定期评价目标的有效性。
本公司的信息安全目标如下:
1)信息安全事故发生不超过2次起/年
2)企业保密信息泄露次数≤0次/年
3)引起公司重要业务系统中断时间≤3小时/年
4)信息事件处理率100%
7、支持
7.1资源
本公司确定并提供建立、实施、保持和持续改进管理体系的资源。
包括所需要的人员、信息、技术和财务资源。
1)建立、实施和维护信息安全管理体系,并持续改进他们的有效性;
2)通过满足服务需求,提高客户满意度。
7.2能力
本公司:
a)确定从事影响信息安全工作绩效的人员在公司的控制下从事其工作的必要能力;
b)确保人员在适当教育、培训和经验的基础上能够胜任其工作;
c)适用时,采取措施,如外培、招聘等来获得必要的能力的满足,并评价所采取措施的有效性;
d)保留适当的教育、培训、技能和经验的信息作为能力方面的证据。
7.3意识
公司员工在组织的控制下从事其工作时意识到:
a)信息安全方针的含义;
b)本身对有效实施信息安全管理体系的贡献,包括信息安全绩效改进后的益处;
c)不符合信息安全管理体系可能产生的影响;
7.4沟通
本公司明确了与信息安全管理体系相关的内外部沟通需求,包括:
沟通内容;沟通时间,即什么时间沟通;和谁沟通;谁负责沟通;影响沟通的过程等。
公司内部通过会议、内部网络等就信息安全的相关问题进行沟通,根据问题的重要程度选择不同的部门参与,达成一致结果后实施。
各部门负责对相应的外部客户的需求给与解答,同时根据客户的信息安全需求情况不定期的访谈客户,以解决客户的实际问题。
7.5文件化信息
7.5.1总则
本公司的信息安全管理体系包括:
a)本标准要求的文件化信息;
b)本公司为有效实施信息安全管理体系确定的必要的文件化信息;
公司的信息安全管理体系文件包括方针、目标、管理手册、程序文件、流程和记录等。
记录可以是任何格式或形式的介质。
7.5.2创建和更新
创建和更新文件化信息时,本公司应确保适当的:
a)标识和描述(如标题、日期、作者等);
b)格式和介质;
c)评审和批准其适用性和充分性,执行****-2004《文件和资料管理程序》
7.5.3文件化信息的控制
对管理体系和本标准所要求的文件化信息予以控制,以确保:
a)无论何时何地需要,文件化信息都是可用并适合使用的;
b)被充分保护(避免丧失保密性、使用不当或丧失完整性);
对文件化信息的控制,适当时,本公司应:
c)分发、访问、检索和使用;
d)存储和保存,包括可读性的保持;
e)变更控制(例如版本控制);
f)保留和处置。
本公司为规划和实施管理体系所确定的必要的外部的文件化信息,应予以识别并进行控制。
8运行
8.1运行的规划和控制
本公司规划、实施和控制满足信息安全要求所需的过程,并实施应对风险和机会所确定的措施。
本公司还实施这些规划以实现所确定的信息安全目标。
本公司保持文件化信息达到有信心证明过程按计划执行的必要程度。
本公司控制计划的变更,评审非预期变更的后果,必要时采取措施以减缓负面影响。
本公司确保确定外包过程并通过签订协议、跟踪评价等对外包过程进行控制。
8.2信息安全风险评估
考虑到建立的风险评估执行准则,本公司按计划的时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估。
8.2.1风险评估的系统方法
信息安全领导小组负责建立信息安全风险评估管理程序并组织实施。
风险评估管理程序包括可接受风险准则和可接受水平。
该程序的详细内容适用于****-2001《信息安全风险评估管理程序》。
8.2.2资产识别
在已确定的****范围内,对所有的信息资产进行列表识别。
信息资产包括软件/硬件、数据/文档、员工/服务及无形资产等。
对每一项信息资产,根据信息资产重要性判断准则确定信息资产的重要性等级,形成《信息资产识别评价表》。
8.2.3评估风险
a)针对每一项信息资产,参考《信息安全威胁列表》及以往的安全事故(事件)记录、信息资产所处的环境等因素,识别出所有信息资产所面临的威胁;
b)针对每一项威胁,考虑现有的控制措施,参考《信息安全脆弱性列表》1识别出被该威胁可能利用的薄弱点;
c)综合考虑以上2点,按照《威胁赋值表》1中的处理准则对每一个威胁发生的可能性进行赋值;
d)按照《脆弱性赋值表》1中的处理准则对每一个脆弱性被威胁利用后产生的后果进行赋值;
e)风险值=资产重要程度×威胁赋值×脆弱性赋值。
对于信息安全风险,在考虑控制措施与费用平衡的原则下制定《风险接受准则》1,按照该准则确定何种等级的风险为不可接受风险。
本公司保留信息安全风险评估结果的文件化信息。
8.3信息安全风险处置
本公司根据风险评估报告实施信息安全风险处置计划。
8.3.1风险处理方法的识别与评价
管理层组织有关部门根据风险评估的结果,形成《不可接受风险处置计划》,该计划明确风险处置责任部门、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
a)采用适当的内部控制措施;
b)接受某些风险(不可能将所有风险降低为零);
c)回避某些风险(如物理隔离);
d)转移某些风险(如将风险转移给保险者、供方、分包商)。
本公司保留信息安全风险评估结果的文件化信息。
详见《****-2001信息安全风险评估管理程序》。
9绩效评价
9.1监视、测量、分析和评价
总经办负责按照ISO/IEC27001标准要求建立有效的改进机制,及时发现信息安全体系运行中存在的问题,采取有效的措施予以解决。
公司评价信息安全绩效和管理体系的有效性。
确定:
a)什么需要监视和测量,包括信息安全过程和控制措施;
b)监视、测量、分析和评价的方法,适用时,确保结果有效;
c)什么时候应执行监视和测量;
d)谁应实施监视和测量;
e)什么时候应对监视和测量的结果进行分析和评价;
f)谁应分析和评价这些结果。
9.1.1本公司通过实施不定时间间隔的安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查(如IDS)等控制措施并报告结果以实现:
a)及时发现信息安全体系的事故和隐患;
b)及时了解信息处理系统遭受的各类攻击;
c)使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施;
d)积累信息安全方面的经验。
9.1.2根据以上活动的结果以及来自相关方的建议和反馈,由最高管理者主持,定期(每年至少一次)对****的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审
9.1.3管理者代表应组织有关部门按照***