資源描述:
《信息安全管理方針和策略》由會員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1、.1���、信息安全管理方針和策略范圍公司依據(jù)ISO/IEC27001:2013信息安全管理體系標(biāo)準(zhǔn)的要求編制《信息安全管理手冊》���,并包括了風(fēng)險評估及處置的要求。規(guī)定了公司的信息安全方針及管理目標(biāo)��,引用了信息安全管理體系的內(nèi)容�����。1.1規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用���,對于本文件的應(yīng)用必不可少��。凡是注日期的引用文件�,只有引用的版本適用于本標(biāo)準(zhǔn)����;凡是不注日期的引用文件,其最新版本(包括任何修改)適用于本標(biāo)準(zhǔn)���。ISO/IEC27000�����,信息技術(shù)——安全技術(shù)——信息安全管理體系——概述和詞匯����。1
2、.2術(shù)語和定義ISO/IEC27000中的術(shù)語和定義適用于本文件�����。1.3公司環(huán)境1.3.1理解公司及其環(huán)境公司確定與公司業(yè)務(wù)目標(biāo)相關(guān)并影響實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問題�����,需考慮:明確外部狀況:ü社會�����、文化�、政治、法律法規(guī)�、金融、技術(shù)�����、經(jīng)濟(jì)�、自然和競爭環(huán)境,無論國際����、國內(nèi)、區(qū)域���,還是本地的���;ü影響組織目標(biāo)的主要動力和趨勢;ü與外部利益相關(guān)方的關(guān)系��,外部利益相關(guān)方的觀點(diǎn)和價值觀�����。明確內(nèi)部狀況:ü治理�、組織結(jié)構(gòu)、作用和責(zé)任��;ü方針�、目標(biāo),為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)略�����;ü基于資源和知識理解的能力(如:
3、資金��、時間�����、人員���、過程��、系統(tǒng)和技術(shù))����;......ü與內(nèi)部利益相關(guān)方的關(guān)系����,內(nèi)部利益相關(guān)方的觀點(diǎn)和價值觀;ü組織的文化�;ü信息系統(tǒng)、信息流和決策過程(正式與非正式)��;ü組織所采用的標(biāo)準(zhǔn)、指南和模式�;ü合同關(guān)系的形式與范圍。明確風(fēng)險管理過程狀況:ü確定風(fēng)險管理活動的目標(biāo)�����;ü確定風(fēng)險管理過程的職責(zé)���;ü確定所要開展的風(fēng)險管理活動的范圍以及深度、廣度���,包括具體的內(nèi)涵和外延�;ü以時間和地點(diǎn)��,界定活動�、過程、職能�����、項(xiàng)目����、產(chǎn)品、服務(wù)或資產(chǎn);ü界定組織特定項(xiàng)目���、過程或活動與其他項(xiàng)目�����、過程或活動之間的關(guān)系�����;ü確定風(fēng)險評價的方法����;
4�����、ü確定評價風(fēng)險管理的績效和有效性的方法�;ü識別和規(guī)定所必須要做出的決策;ü確定所需的范圍或框架性研究�����,它們的程度和目標(biāo)�����,以及此種研究所需資源。確定風(fēng)險準(zhǔn)則:ü可以出現(xiàn)的致因和后果的性質(zhì)和類別���,以及如何予以測量�����;ü可能性如何確定����;ü可能性和(或)后果的時間范圍�����;ü風(fēng)險程度如何確定����;ü利益相關(guān)方的觀點(diǎn)���;ü風(fēng)險可接受或可容許的程度���;ü多種風(fēng)險的組合是否予以考慮,如果是,如何考慮及哪種風(fēng)險組合宜予以考慮�。1.3.2理解相關(guān)方的需求和期望信息安全管理小組應(yīng)確定信息安全管理體系的相關(guān)方及其信息安全要求,相關(guān)的信息安全要求��。
5�����、對于利益相關(guān)方���,可作為信息資產(chǎn)識別��,并根據(jù)風(fēng)險評估的結(jié)果�,制定相應(yīng)的控制措施��,實(shí)施必要的管理�。相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。......1.3.3確定信息安全管理體系范圍本公司ISMS的范圍包括a)物理范圍:b)業(yè)務(wù)范圍:計算機(jī)軟件開發(fā)���,計算機(jī)系統(tǒng)集成相關(guān)信息安全管理活動�����。c)內(nèi)部管理結(jié)構(gòu):辦公室�����、財務(wù)部���、研發(fā)部�����、商務(wù)部��、工程部��、運(yùn)維部���。d)外部接口:向公司提供各種服務(wù)的第三方1.3.4信息安全管理體系本公司按照ISO/IEC27001:2013標(biāo)準(zhǔn)的要求建立一個文件化的信息安全管理體系�。同時考慮該
6、體系的實(shí)施�����、維持��、持續(xù)改善�����,確保其有效性。ISMS體系所涉及的過程基于PDCA模式�����。1.4領(lǐng)導(dǎo)力總經(jīng)理應(yīng)通過以下方式證明信息安全管理體系的領(lǐng)導(dǎo)力和承諾:a)確保信息安全方針和信息安全目標(biāo)已建立�����,并與公司戰(zhàn)略方向一致���;b)確保將信息安全管理體系要求融合到日常管理過程中�����;c)確保信息安全管理體系所需資源可用���;d)向公司內(nèi)部傳達(dá)有效的信息安全管理及符合信息安全管理體系要求的重要性;e)確保信息安全管理體系達(dá)到預(yù)期結(jié)果��;f)指導(dǎo)并支持相關(guān)人員為信息安全管理體系有效性做出貢獻(xiàn)�����;g)促進(jìn)持續(xù)改進(jìn);h)支持信息安全管理小組及
7��、各部門的負(fù)責(zé)人���,在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力�。1.5規(guī)劃1.5.1應(yīng)對風(fēng)險和機(jī)會的措施1.5.1.1總則公司針對公司內(nèi)部和公司外部的實(shí)際情況����,和相關(guān)方的要求,確定公司所需應(yīng)對的信息安全方面的風(fēng)險�����。在已確定的ISMS......范圍內(nèi)����,針對業(yè)務(wù)全過程所涉及的所有信息資產(chǎn)進(jìn)行列表識別。信息資產(chǎn)包括軟件/系統(tǒng)���、數(shù)據(jù)/文檔、硬件/設(shè)施����、人力資源及外包服務(wù)�����。對每一項(xiàng)信息資產(chǎn)���,根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級并對其重要度賦值。信息安全管理小組制定信息安全風(fēng)險評估管理程序��,經(jīng)信息安全管理小組組長批準(zhǔn)后組織實(shí)施����。風(fēng)險評
8、估管理程序包括可接受風(fēng)險準(zhǔn)則和可接受水平���。該程序的詳細(xì)內(nèi)容見《信息安全風(fēng)險評估管理程序》�。1.5.1.1.1信息安全風(fēng)險評估1.5.1.1.1.1風(fēng)險評估的系統(tǒng)方法信息安全管理小組制定信息安全風(fēng)險評估管理程序���,經(jīng)管理者代表審核�����,總經(jīng)理批準(zhǔn)后組織實(shí)施����。風(fēng)險評估管理程序包括可接受風(fēng)險準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容適用于《信息安全風(fēng)險評估管理程序》�。1.5.1.1.1.2資產(chǎn)識別在已確定
