資源描述:
《信息安全管理方針和策略》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1、1���、信息安全管理方針和策略范圍公司依據(jù)ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)的要求編制《信息安全管理手冊(cè)》����,并包括了風(fēng)險(xiǎn)評(píng)估及處置的要求��。規(guī)定了公司的信息安全方針及管理目標(biāo),引用了信息安全管理體系的內(nèi)容�。1.1規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用,對(duì)于本文件的應(yīng)用必不可少�����。凡是注日期的引用文件����,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件����,其最新版本(包括任何修改)適用于本標(biāo)準(zhǔn)。ISO/IEC27000��,信息技術(shù)——安全技術(shù)——信息安全管理體系——
2�、概述和詞匯。1.2術(shù)語(yǔ)和定義ISO/IEC27000中的術(shù)語(yǔ)和定義適用于本文件��。1.3公司環(huán)境1.3.1理解公司及其環(huán)境公司確定與公司業(yè)務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問(wèn)題��,需考慮:明確外部狀況:ü社會(huì)�����、文化�����、政治��、法律法規(guī)���、金融�、技術(shù)��、經(jīng)濟(jì)����、自然和競(jìng)爭(zhēng)環(huán)境,無(wú)論國(guó)際�����、國(guó)內(nèi)�����、區(qū)域,還是本地的����;ü影響組織目標(biāo)的主要?jiǎng)恿挖厔?shì);ü與外部利益相關(guān)方的關(guān)系�����,外部利益相關(guān)方的觀點(diǎn)和價(jià)值觀�����。明確內(nèi)部狀況:ü治理�����、組織結(jié)構(gòu)�����、作用和責(zé)任��;ü方針���、目標(biāo)����,為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略;ü
3�����、基于資源和知識(shí)理解的能力(如:資金���、時(shí)間、人員����、過(guò)程、系統(tǒng)和技術(shù))�����;ü與內(nèi)部利益相關(guān)方的關(guān)系��,內(nèi)部利益相關(guān)方的觀點(diǎn)和價(jià)值觀�;ü組織的文化;ü信息系統(tǒng)��、信息流和決策過(guò)程(正式與非正式)����;ü組織所采用的標(biāo)準(zhǔn)��、指南和模式���;ü合同關(guān)系的形式與范圍。明確風(fēng)險(xiǎn)管理過(guò)程狀況:ü確定風(fēng)險(xiǎn)管理活動(dòng)的目標(biāo)���;ü確定風(fēng)險(xiǎn)管理過(guò)程的職責(zé)�;ü確定所要開(kāi)展的風(fēng)險(xiǎn)管理活動(dòng)的范圍以及深度�、廣度,包括具體的內(nèi)涵和外延����;ü以時(shí)間和地點(diǎn),界定活動(dòng)�、過(guò)程、職能����、項(xiàng)目、產(chǎn)品�����、服務(wù)或資產(chǎn);ü界定組織特定項(xiàng)目���、過(guò)程或活動(dòng)與其他項(xiàng)目�����、過(guò)程或活動(dòng)
4�、之間的關(guān)系��;ü確定風(fēng)險(xiǎn)評(píng)價(jià)的方法�����;ü確定評(píng)價(jià)風(fēng)險(xiǎn)管理的績(jī)效和有效性的方法�;ü識(shí)別和規(guī)定所必須要做出的決策���;ü確定所需的范圍或框架性研究�����,它們的程度和目標(biāo)���,以及此種研究所需資源�。確定風(fēng)險(xiǎn)準(zhǔn)則:ü可以出現(xiàn)的致因和后果的性質(zhì)和類(lèi)別��,以及如何予以測(cè)量�����;ü可能性如何確定����;ü可能性和(或)后果的時(shí)間范圍;ü風(fēng)險(xiǎn)程度如何確定����;ü利益相關(guān)方的觀點(diǎn);ü風(fēng)險(xiǎn)可接受或可容許的程度�����;ü多種風(fēng)險(xiǎn)的組合是否予以考慮���,如果是�����,如何考慮及哪種風(fēng)險(xiǎn)組合宜予以考慮�。1.3.2理解相關(guān)方的需求和期望信息安全管理小組應(yīng)確定信息安全管理
5、體系的相關(guān)方及其信息安全要求���,相關(guān)的信息安全要求�。對(duì)于利益相關(guān)方���,可作為信息資產(chǎn)識(shí)別��,并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果���,制定相應(yīng)的控制措施,實(shí)施必要的管理�����。相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)�。1.3.3確定信息安全管理體系范圍本公司ISMS的范圍包括a)物理范圍:b)業(yè)務(wù)范圍:計(jì)算機(jī)軟件開(kāi)發(fā)�����,計(jì)算機(jī)系統(tǒng)集成相關(guān)信息安全管理活動(dòng)��。c)內(nèi)部管理結(jié)構(gòu):辦公室�����、財(cái)務(wù)部、研發(fā)部�����、商務(wù)部�、工程部、運(yùn)維部����。d)外部接口:向公司提供各種服務(wù)的第三方1.3.4信息安全管理體系本公司按照ISO/IEC27001:2013
6、標(biāo)準(zhǔn)的要求建立一個(gè)文件化的信息安全管理體系�。同時(shí)考慮該體系的實(shí)施、維持�、持續(xù)改善,確保其有效性����。ISMS體系所涉及的過(guò)程基于PDCA模式。1.4領(lǐng)導(dǎo)力總經(jīng)理應(yīng)通過(guò)以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾:a)確保信息安全方針和信息安全目標(biāo)已建立�����,并與公司戰(zhàn)略方向一致;b)確保將信息安全管理體系要求融合到日常管理過(guò)程中�����;a)確保信息安全管理體系所需資源可用�����;b)向公司內(nèi)部傳達(dá)有效的信息安全管理及符合信息安全管理體系要求的重要性��;c)確保信息安全管理體系達(dá)到預(yù)期結(jié)果���;d)指導(dǎo)并支持相關(guān)人員為信息安
7�����、全管理體系有效性做出貢獻(xiàn)��;e)促進(jìn)持續(xù)改進(jìn)�;f)支持信息安全管理小組及各部門(mén)的負(fù)責(zé)人��,在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力����。1.5規(guī)劃1.5.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施1.5.1.1總則公司針對(duì)公司內(nèi)部和公司外部的實(shí)際情況�����,和相關(guān)方的要求,確定公司所需應(yīng)對(duì)的信息安全方面的風(fēng)險(xiǎn)��。在已確定的ISMS范圍內(nèi)���,針對(duì)業(yè)務(wù)全過(guò)程所涉及的所有信息資產(chǎn)進(jìn)行列表識(shí)別�。信息資產(chǎn)包括軟件/系統(tǒng)��、數(shù)據(jù)/文檔���、硬件/設(shè)施����、人力資源及外包服務(wù)�。對(duì)每一項(xiàng)信息資產(chǎn),根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級(jí)并對(duì)其重要度賦值��。信息安全管理小組
8���、制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序��,經(jīng)信息安全管理小組組長(zhǎng)批準(zhǔn)后組織實(shí)施����。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容見(jiàn)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》��。1.5.1.1.1信息安全風(fēng)險(xiǎn)評(píng)估1.5.1.1.1.1風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法信息安全管理小組制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序�����,經(jīng)管理者代表審核���,總經(jīng)理批準(zhǔn)后組織實(shí)施���。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容適用于《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》�����。1.5.1.1.1.2資產(chǎn)識(shí)別在已確定的ISMS范圍內(nèi)����,對(duì)所有的信息資產(chǎn)進(jìn)行
