信息安全管理過程上課講義

1、信息安全管理手冊文件編號版本編制編制日期審核批準審核日期批準日期變更記錄日期版本編制/修改者修訂類型描述注：修訂類型：A增加，M修改，D刪除一、范圍1.1 總則 為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡 稱ISMS）,確定信息安全方針和目標，對信息安全風險進行有效管理，確保全體員工理 解并遵照執(zhí)行信息安全管理體系文件、 持續(xù)改進信息安全管理體系的有效性， 特制定本 手冊。1.2 應用本信息安全管理手冊規(guī)定了公司的信息安全管理體系要求、管理職責、內部審核、管理評審和信息安全管理體系改進等方面內容。 本信息安全管理手冊適用于公司業(yè)務活動所涉及的信息系統(tǒng)、 資產及相關

2、信息安全管理活動，具體見 4.2.2.1 條款規(guī)定。二、規(guī)范性引用文件下列文件中的條款通過本信息安全管理手冊的引用而成為本信息安全管理手 冊的條款。凡是注日期的引用文件， 其隨后所有的修改單或修訂版均不適用于本標準， 然而，行政部門應研究是否可使用這些文件的最新版本。 凡是不注日期的引用文件、 其 最新版本適用于本信息安全管理手冊。三、術語和定義GB/T22080-2008idtlS027001:2005信息技術-安全技術-信息安全管理體系-要求、GB/T22081-2008idtlS027002:2005信息技術-安全技術-信息安全管理實用規(guī)則規(guī)定 的術語和定義適用于本信息安全管理手冊 。3

3、.1 本公司指公司所屬各部門。3.2 信息系統(tǒng) 指由計算機及其相關的和配套的設備、設施（含網絡）構成的，且按照一定的應 用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。3.3 計算機病毒 指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據， 影響計算機使用， 并能自我復制的一組計算機指令或者程序代碼。3.4 信息安全事件 指導致信息系統(tǒng)不能提供正常服務或服務質量下降的技術故障事件、 利用信息系統(tǒng) 從事的反動有害信息和涉密信息的傳播事件、 利用網絡所從事的對信息系統(tǒng)的破壞竊密 事件。3.5 相關方 關注本公司信息安全或與本公司信息安全績效有利益關系的組織和個人。主要為：

4、 政府、供方、銀行、用戶、電信等。四、信息安全管理體系4.1 概述本公司在軟件開 發(fā)、經營、服務和日常管理活動中，按 GB/T22080-2008 idtISO27001:2005 信息技術 - 安全技術 - 信息安全管理體系 - 要求規(guī)定，參照 GB/T22081-2008idtlS027002:2005信息技術-安全技術-信息安全管理實用規(guī)則標準， 建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。信息安全管理體系使用的過程基于圖1所示的PDCA模型。圖1信息安全管理體系模型4.2建立和管理信息安全管理體系建立信息安全管理體系信息安全管理體系的范圍和邊界本公司根據業(yè)務特征、

5、組織結構、地理位置、資產和技術定義了范圍和邊界，本公 司信息安全管理體系的范圍包括：a）本公司涉及軟件開發(fā)、營銷、服務和日常管理的業(yè)務系統(tǒng)；b）與所述信息系統(tǒng)有關的活動；c）與所述信息系統(tǒng)有關的部門和所有員工；d）所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產。組織范圍：本公司根據組織的業(yè)務特征和組織結構定義了信息安全管理體系的組織范圍，見本手冊附錄A （規(guī)范性附錄）信息安全管理體系組織機構圖。物理范圍：本公司根據組織的業(yè)務特征、 組織結構、 地理位置、 資產和技術定義了信息安全管 理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于重慶市內的所有運維場所， 包含 客戶方

6、以及公司內部。4.2.1.2 信息安全管理體系的方針為了滿足適用法律法規(guī)及相關方要求， 維持軟件開發(fā)和經營的正常進行， 實現業(yè)務 可持續(xù)發(fā)展的目的。本公司根據組織的業(yè)務特征、組織結構、地理位置、資產和技術定 義了信息安全管理體系方針，見本信息安全管理手冊第 0.4 條款。該信息安全方針符合以下要求：a) 為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；b) 考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務；c) 與組織戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d) 建立了風險評價的準則；e) 經最高管理者批準。為實現信息安全管理體系方針，本公司承諾：a) 在各層次建

7、立完整的信息安全管理組織機構，確定信息安全目標和控制措施； 明確信息安全的管理職責b) 識別并滿足適用法律、法規(guī)和相關方信息安全要求；c) 定期進行信息安全風險評估，信息安全管理體系評審，采取糾正預防措施，保 證體系的持續(xù)有效性；d) 采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息，實現信息共 享；e) 對全體員工進行持續(xù)的信息安全教育和培訓，不斷增強員工的信息安全意識和 能力；f) 制定并保持完善的業(yè)務連續(xù)性計劃，實現可持續(xù)發(fā)展。4.2.1.3 風險評估的方法行政部門負責制定 信息安全風險評估管理程序 ，建立識別適用于信息安全管理 體系和已經識別的業(yè)務信息安全、 法律和法規(guī)要求的風

8、險評估方法， 建立接受風險的準 則并識別風險的可接受等級。信息安全風險評估執(zhí)行信息安全風險評估管理程序， 以保證所選擇的風險評估方法應確保風險評估能產生可比較的和可重復的結果。4.2.1.4 識別風險 在已確定的信息安全管理體系范圍內，本公司按信息安全風險評估管理程序， 對所有的資產進行了識別，并識別了這些資產的所有者。資產包括數據、硬件、軟件、 人員、服務、文檔。對每一項資產按自身價值、信息分類、保密性、完整性、可用性、 法律法規(guī)符合性要求進行了量化賦值，形成了資產識別清單。同時，根據信息安全風險評估管理程序，識別了對這些資產的威脅、可能被威 脅利用的脆弱性、識別資產價值、保密性、完整性和可

9、用性、合規(guī)性損失可能對資產造 成的影響。4.2.1.5 分析和評價風險 本公司按信息安全風險評估管理程序，采用人工分析法，分析和評價風險：a) 針對重要資產自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后果進 行賦值；b) 針對每一項威脅、薄弱點，對資產造成的影響，考慮現有的控制措施，判定安 全失效發(fā)生的可能性，并進行賦值；c) 根據信息安全風險評估管理程序計算風險等級；d) 根據信息安全風險評估管理程序及風險接受準則，判斷風險為可接受或需 要處理。4.2.1.6 識別和評價風險處理的選擇行政部門組織有關部門根據風險評估的結果， 形成信息安全不可接受風險處理計 劃，該計劃明確了風險處理責任

10、部門、負責人、目的、范圍以及處置策略。對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：a) 消減風險(通過適當的控制措施降低風險發(fā)生的可能性)；b）接受風險（風險值不高或者處理的代價高于風險引起的損失，公司決定接受該 風險/ 殘余風險）；c）規(guī)避風險（決定不進行引起風險的活動，從而避免風險）；d）轉移風險（通過購買保險、外包等方法把風險轉移到外部機構）。4.2.1.7 選擇控制目標與控制措施行政部門根據信息安全方針、 業(yè)務發(fā)展要求及風險評估的結果， 組織有關部門制定 了信息安全目標，并將目標分解到有關部門（見適用性聲明）：a）信息安全控制目標獲得了信息安全最高責任者的批準

11、。b）控制目標及控制措施的選擇原則來源于 GB/T22080-2008idtISO27001:2005 信 息技術-安全技術-信息安全管理體系-要求附錄A,具體控制措施參考 GB/T22081-2008idtlS027002:2005信息技術-安全技術-信息安全管理實用規(guī)則。c）本公司根據信息安全管理的需要，可以選擇標準之外的其他控制措施。4.2.1.8 對風險處理后的殘余風險，得到了公司最高管理者的批準。4.2.1.9 最高管理者通過本手冊對實施和運行信息安全管理體系進行了授權。4.2.1.10 適用性聲明行政部門負責編制適用性聲明（SOA。該聲明包括以下方面的內容：a）所選擇控制目標與控制

12、措施的概要描述，以及選擇的原因；b）對GB/T22080-2008idtIS027001:2005附錄A中未選用的控制目標及控制措施理 由的說明（本公司未涉及此項業(yè)務）。4.2.2 實施及運作信息安全管理體系4.2.2.1 為確保信息安全管理體系有效實施，對已識別的風險進行有效處理，本公司開 展以下活動：a）形成信息安全不可接受風險處理計劃，以確定適當的管理措施、職責及安全 控制措施的優(yōu)先級；b）為實現已確定的安全目標、實施信息安全不可接受風險處理計劃，明確各崗 位的信息安全職責；c）實施所選擇的控制措施，以實現控制目標的要求；d) 確定如何測量所選擇的控制措施的有效性， 并規(guī)定這些測量措施如

13、何用于評估控 制的有效性以得出可比較的、可重復的結果；e) 進行信息安全培訓，提高全員信息安全意識和能力；f) 對信息安全體系的運作進行管理；g) 對信息安全所需資源進行管理；h) 實施控制程序，對信息安全事件(或征兆)進行迅速反應。4.2.2.2 信息安全組織機構本公司成立了信息安全領導機構 - 信息安全委員會，其職責是實現信息安全管理體 系方針和本公司承諾。 具體職責是： 研究決定貫標工作涉及到的重大事項； 審定公司信 息安全方針、 目標、工作計劃和重要文件； 為貫標工作的有序推進和信息安全管理體系 的有效運行提供必要的資源。本公司體系推進由行政部門負責，其主要負責制訂、落實貫標工作計劃，

14、對單位、 部門貫標工作進行檢查、 指導和協(xié)調，建立健全企業(yè)的信息安全管理體系， 保持其有效、 持續(xù)運行。本公司由相關部門代表組成信息安全委員會，采用聯席會議(協(xié)調會)的方式，進 行信息安全協(xié)調和協(xié)作，以：a) 確保安全活動的執(zhí)行符合信息安全方針；b) 確定怎樣處理不符合；c) 批準信息安全的方法和過程，如風險評估、信息分類；d) 識別重大的威脅變化，以及信息和相關的信息處理設施對威脅的暴露；e) 評估信息安全控制措施實施的充分性和協(xié)調性；f) 有效的推動組織內信息安全教育、培訓和意識；g) 評價根據信息安全事件監(jiān)控和評審得出的信息，并根據識別的信息安全事件推 薦適當的措施。4.2.2.3 信息

15、安全職責和權限本公司總經理為信息安全最高責任者。 總經理指定了信息安全管理者代表。 無論信 息安全管理者代表在其他方面的職責如何，對信息安全負有以下職責：a）建立并實施信息安全管理體系必要的程序并維持其有效運行；b）對信息安全管理體系的運行情況和必要的改善措施向信息安全委員會或最高責 任者報告。各部門負責人為本部門信息安全管理責任者， 全體員工都應按保密承諾的要求自覺 履行信息安全保密義務；各部門、人員有關信息安全職責分配見附錄C （規(guī)范性附錄）信息安全管理職責明細表和相應的程序文件。4.2.2.4 各部門應按照適用性聲明中規(guī)定的安全目標、控制措施（包括安全運行的 各種控制程序）的要求實施信息

16、安全控制措施。4.2.3 監(jiān)督與評審信息安全管理體系4.2.3.1 本公司通過實施不定期安全檢查、內部審核、事故（事件）報告調查處理、電 子監(jiān)控、定期技術檢查等控制措施并報告結果以實現：a）及時發(fā)現處理結果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預期的結果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經驗。4.2.3.2 根據以上活動的結果以及來自相關方的建議和反饋，由總經理主持，每年至少 一次對信息安全管理體系的有效性進行評審，

17、其中包括信息安全范圍、 方針、目標的符 合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結果，以及所有相 關方的建議和反饋。管理評審的具體要求，見本手冊第 7 章。4.2.3.3 行政部門應組織有關部門按照 信息安全風險評估管理程序 的要求，對風險 處理后的殘余風險進行定期評審， 以驗證殘余風險是否達到可接受的水平， 對以下方面 變更情況應及時進行風險評估：a）組織；b）技術；c）業(yè)務目標和過程；d) 已識別的威脅；e) 實施控制的有效性；f) 外部事件，例如法律或規(guī)章環(huán)境的變化、 合同責任的變化以及社會環(huán)境的變化。4.2.3.4 按照計劃的時間間隔進行信息安全管理體系內部審核，內

18、部審核的具體要求， 見本手冊第 6 章。4.2.3.5 定期對信息安全管理體系進行管理評審，以確保范圍的充分性，并識別信息安 全管理體系過程的改進，管理評審的具體要求，見本手冊第 7 章。4.2.3.6 考慮監(jiān)視和評審活動的發(fā)現，更新安全計劃。4.2.3.7 記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。4.2.4 保持與持續(xù)改進信息安全管理體系我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：a) 實施每年管理評審、內部審核、安全檢查等活動以確定需改進的項目；b) 按照內部審核管理程序、糾正措施管理程序、預防措施管理程序 的要求采取適當的糾正和預防措施； 吸取其他組織及本公司

19、安全事故 (事件) 的經驗教 訓，不斷改進安全措施的有效性；c) 通過適當的手段保持在內部對信息安全措施的執(zhí)行情況與結果進行有效的溝通。 包括獲取外部信息安全專家的建議、 信息安全政府行政主管部門的聯系及識別顧客對信 息安全的要求等；d) 對信息安全目標及分解進行適當的管理，確保改進達到預期的效果。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：a) 文件化的信息安全方針、控制目標，在信息安全管理手冊中描述；b) 信息安全管理手冊(本手冊，包括信息安全適用范圍及引用的標準)；c) 本手冊要求的 信息安全風險評估管理程序 、業(yè)務持續(xù)性管理程序 、糾 正措施管理程序等支持性程序；d

20、) 信息安全管理體系引用的支持性程序。如：文件和資料管理程序、記錄 管理程序、內部審核管理程序等；e) 為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；f) 信息安全風險評估報告、 信息安全不可接受風險處理計劃以及信息安全 管理體系要求的記錄類文件；g) 相關的法律、法規(guī)和信息安全標準；h) 適用性聲明( SOA)。4.3.2 文件控制行政部門制定并實施 文件和資料管理程序 ，對信息安全管理體系所要求的文件 進行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息 安全管理體系有效策劃、 運行和控制所需的受控文件的編制、 評審、批準、標識、發(fā)放、 使用、修訂、作廢

21、、回收等管理工作做出規(guī)定，以確保在使用場所能夠及時獲得適用文 件的有效版本。文件控制應保證：a) 文件發(fā)布前得到批準，以確保文件是充分的；b) 必要時對文件進行評審、更新并再次批準；c) 確保文件的更改和現行修訂狀態(tài)得到識別；d) 確保在使用時，可獲得相關文件的最新版本；e) 確保文件保持清晰、易于識別；f) 確保文件可以為需要者所獲得， 并根據適用于他們類別的程序進行轉移、 存儲 和最終的銷毀；g) 確保外來文件得到識別；h) 確保文件的分發(fā)得到控制；i) 防止作廢文件的非預期使用；j) 若因任何目的需保留作廢文件時，應對其進行適當的標識。4.3.3 記錄控制4.3.3.1 信息安全管理體系

22、所要求的記錄是體系符合標準要求和有效運行的證據。 行政部門負責制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的記錄管理程 序，規(guī)定記錄的標識、儲存、保護、檢索、保管、廢棄等事項。4.3.3.2 信息安全體系的記錄應包括本手冊第 4.2 條中所列出的所有過程的結果及與ISMS相關的安全事故（事件）的記錄。4.3.3.3 各部門應根據記錄管理程序 的要求采取適當的方式妥善保管信息安全記錄。五、管理職責5.1 管理承諾 我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息 安全管理體系的承諾提供證據：a）建立信息安全方針（見本手冊第0.4章）;b）確保信息安全目標得以制定

23、（見本手冊第 0.4章、適用性聲明、信息安全不可接受風險處理計劃及相關記錄）；c）建立信息安全的角色和職責（見本手冊附錄巳；d）向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的 重要性；e）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理 體系（見本手冊第 5.2 章）；f）決定接受風險的準則和風險的可接受等級 （見信息安全風險評估管理程序及 相關記錄 ）；g）確保內部信息安全管理體系審核（見本手冊第6章）得以實施；h）實施信息安全管理體系管理評審（見本手冊第7章）。5.2 資源管理5.2.1 資源的提供本公司確定并提供實施、 保持信息安全管理體系所

24、需資源； 采取適當措施， 使影響 信息安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b）確保信息安全程序支持業(yè)務要求；c）識別并指出法律法規(guī)要求和合同安全責任；d）通過正確應用所實施的所有控制來保持充分的安全；e）必要時進行評審，并對評審的結果采取適當措施；f）需要時，改進信息安全管理體系的有效性。5.2.5 培訓、意識和能力行政部門制定并實施 人力資源管理程序 文件，確保被分配信息安全管理體系規(guī) 定職責的所有人員，都必須有能力執(zhí)行所要求的任務。可以通過：a）確定承擔信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術教育

25、和技能培訓或采取其他的措施來滿足這些需求；c）評價所采取措施的有效性；d）保留教育、培訓、技能、經驗和資歷的記錄。本公司還確保所有相關人員意識到其所從事的信息安全活動的相關性和重要性， 以 及如何為實現信息安全管理體系目標做出貢獻。六、內部信息安全管理體系審核6.1 總則行政部門負責建立并實施內部審核管理程序， 內部審核管理程序應包括策 劃和實施審核以及報告結果和保持記錄的職責和要求。 并按照策劃的時間間隔進行內部 審核，以確定其信息安全管理體系的控制目標、控制措施、過程和程序是否：a）符合本標準的要求和相關法律法規(guī)的要求；b）符合已識別的信息安全要求；c）得到有效地實施和維護；d）按預期執(zhí)行

26、。6.2 內審策劃6.2.1 行政部門應考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結果， 對審 核方案進行策劃。應編制內審年度計劃，確定審核的準則、范圍、頻次和方法。6.2.2 每次審核前，行政部門應編制內審計劃， 確定審核的準則、 范圍、日程和審核組。 審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。 審核員不應審核自己的 工作。6.3 內審實施6.3.1 應按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現場審核，檢查相關文件、記錄和憑證，與相關人員進行交流；c）進行對檢查內容進行分析，召開內審小組首次會議、末次會議，宣布審

27、核意見 和不符合報告；d）審核組長編制審核報告。6.3.2 對審核中提出的不符合項報告， 責任部門應編制糾正措施， 由行政部門組織對受 審部門的糾正措施的實施情況進行跟蹤、驗證。6.3.3 按照記錄管理程序的要求，保存審核記錄。6.3.4 內部審核報告，應作為管理評審的輸入之一。七、管理評審7.1 總則7.1.1 行政部門負責每年下半年組織信息安全管理體系管理評審， 以確保其持續(xù)的適宜 性、充分性和有效性。7.1.2 管理評審應包括評價信息安全管理體系改進的機會和變更的需要， 包括安全方針 和安全目標。7.1.3 管理評審的結果應清晰地形成文件，記錄應加以保持。7.2 評審輸入管理評審的輸入要

28、包括以下信息：a) 信息安全管理體系審核和評審的結果；b) 相關方的反饋；c) 用于改進信息安全管理體系業(yè)績和有效性的技術、產品或程序；d) 預防和糾正措施的狀況；e) 以往風險評估沒有充分強調的脆弱性或威脅；f) 有效性測量的結果；g) 以往管理評審的跟蹤措施；h) 任何可能影響信息安全管理體系的變更；i) 改進的建議。7.3 評審輸出管理評審的輸出應包括與下列內容相關的任何決定和措施：a) 信息安全管理體系有效性的改進；b) 更新風險評估和風險處理計劃；c) 必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理 體系的內外事件，包括以下方面的變化：1) 業(yè)務要求；2) 安全要求；3) 影響現有業(yè)務要求的業(yè)務過程；4) 法律法規(guī)要求；5) 合同責任；6) 風險等級和(或)風險接受準則。d) 資源需求；e) 改進測量控制措施有效性的方式。7.4 評審程序7.4.1 行政部門根據信息安全管理體系運行情況和內、 外審的結果， 針對評審輸入信息 要求，制定管理評審計劃，送交總經理批準后，通知相關職能部門準備及提供評審 資料。7.4.2 相關部門按管理評審計劃，準備相關的信息、資料，對信息安全管理體系文 件的適宜性、充分性及有效性做出評價，提出改進措施。7.4.3 最高管理者主持召開管理評審