資源描述:
《信息安全管理方針和策略》由會員上傳分享,免費在線閱讀���,更多相關內容在學術論文-天天文庫���。
1、.1�、信息安全管理方針和策略范圍公司依據(jù)ISO/IEC27001:2013信息安全管理體系標準的要求編制《信息安全管理手冊》,并包括了風險評估及處置的要求�����。規(guī)定了公司的信息安全方針及管理目標����,引用了信息安全管理體系的內容。1.1規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標準化引用���,對于本文件的應用必不可少����。凡是注日期的引用文件�����,只有引用的版本適用于本標準;凡是不注日期的引用文件�,其最新版本(包括任何修改)適用于本標準。ISO/IEC27000�����,信息技術——安全技術——信息安全管理體系——概述和詞匯����。1.2術語和定義ISO/IEC27000中的術語和定義適用于本文件。1.3公
2���、司環(huán)境1.3.1理解公司及其環(huán)境公司確定與公司業(yè)務目標相關并影響實現(xiàn)信息安全管理體系預期結果的能力的外部和內部問題�,需考慮:明確外部狀況:ü社會����、文化、政治�����、法律法規(guī)�����、金融����、技術、經(jīng)濟�����、自然和競爭環(huán)境����,無論國際、國內�、區(qū)域,還是本地的��;ü影響組織目標的主要動力和趨勢�����;ü與外部利益相關方的關系���,外部利益相關方的觀點和價值觀��。明確內部狀況:ü治理�����、組織結構��、作用和責任�����;ü方針���、目標�,為實現(xiàn)方針和目標制定的戰(zhàn)略�;ü基于資源和知識理解的能力(如:資金、時間����、人員、過程����、系統(tǒng)和技術);......ü與內部利益相關方的關系����,內部利益相關方的觀點和價值觀;ü組織的文化��;ü信息系統(tǒng)��、信息流和決策過程
3��、(正式與非正式)���;ü組織所采用的標準���、指南和模式;ü合同關系的形式與范圍�����。明確風險管理過程狀況:ü確定風險管理活動的目標�;ü確定風險管理過程的職責;ü確定所要開展的風險管理活動的范圍以及深度�、廣度,包括具體的內涵和外延�;ü以時間和地點,界定活動����、過程���、職能、項目�����、產品���、服務或資產�;ü界定組織特定項目��、過程或活動與其他項目��、過程或活動之間的關系����;ü確定風險評價的方法;ü確定評價風險管理的績效和有效性的方法��;ü識別和規(guī)定所必須要做出的決策����;ü確定所需的范圍或框架性研究�����,它們的程度和目標����,以及此種研究所需資源����。確定風險準則:ü可以出現(xiàn)的致因和后果的性質和類別�,以及如何予以測量;ü可能性如何
4�����、確定��;ü可能性和(或)后果的時間范圍�;ü風險程度如何確定;ü利益相關方的觀點��;ü風險可接受或可容許的程度�����;ü多種風險的組合是否予以考慮,如果是�,如何考慮及哪種風險組合宜予以考慮。1.3.2理解相關方的需求和期望信息安全管理小組應確定信息安全管理體系的相關方及其信息安全要求�����,相關的信息安全要求����。對于利益相關方,可作為信息資產識別�����,并根據(jù)風險評估的結果���,制定相應的控制措施���,實施必要的管理。相關方的要求可包括法律法規(guī)要求和合同義務�。......1.3.3確定信息安全管理體系范圍本公司ISMS的范圍包括a)物理范圍:b)業(yè)務范圍:計算機軟件開發(fā)�����,計算機系統(tǒng)集成相關信息安全管理活動�����。c)內部管
5����、理結構:辦公室��、財務部�����、研發(fā)部�����、商務部����、工程部���、運維部����。d)外部接口:向公司提供各種服務的第三方1.3.4信息安全管理體系本公司按照ISO/IEC27001:2013標準的要求建立一個文件化的信息安全管理體系。同時考慮該體系的實施��、維持�、持續(xù)改善,確保其有效性���。ISMS體系所涉及的過程基于PDCA模式�����。1.4領導力總經(jīng)理應通過以下方式證明信息安全管理體系的領導力和承諾:a)確保信息安全方針和信息安全目標已建立�����,并與公司戰(zhàn)略方向一致����;b)確保將信息安全管理體系要求融合到日常管理過程中�����;c)確保信息安全管理體系所需資源可用���;d)向公司內部傳達有效的信息安全管理及符合信息安全管理體系要求的
6�、重要性;e)確保信息安全管理體系達到預期結果���;f)指導并支持相關人員為信息安全管理體系有效性做出貢獻����;g)促進持續(xù)改進���;h)支持信息安全管理小組及各部門的負責人�,在其職責范圍內展現(xiàn)領導力��。1.5規(guī)劃1.5.1應對風險和機會的措施1.5.1.1總則公司針對公司內部和公司外部的實際情況��,和相關方的要求�,確定公司所需應對的信息安全方面的風險�����。在已確定的ISMS......范圍內�,針對業(yè)務全過程所涉及的所有信息資產進行列表識別。信息資產包括軟件/系統(tǒng)����、數(shù)據(jù)/文檔�、硬件/設施���、人力資源及外包服務��。對每一項信息資產��,根據(jù)信息資產判斷依據(jù)確定信息資產的重要性等級并對其重要度賦值����。信息安全管理小組制
7��、定信息安全風險評估管理程序��,經(jīng)信息安全管理小組組長批準后組織實施����。風險評估管理程序包括可接受風險準則和可接受水平。該程序的詳細內容見《信息安全風險評估管理程序》���。1.5.1.1.1信息安全風險評估1.5.1.1.1.1風險評估的系統(tǒng)方法信息安全管理小組制定信息安全風險評估管理程序����,經(jīng)管理者代表審核,總經(jīng)理批準后組織實施����。風險評估管理程序包括可接受風險準則和可接受水平。該程序的詳細內容適用于《信息安全風險評估管理程序》���。1.5.1.1.1.2資產識別在已確定
