ISMS02-信息安全管理體系方針

信息安全管理體系方針信息安全管理體系方針 1 適用范圍適用范圍 為了對組織整體業(yè)務(wù)的信息安全活動(dòng)進(jìn)行指導(dǎo) 并表明組織管理層對信息安全的支 持 特制定本方針 本方針適用于組織 ISMS 涉及的所有人員 以下簡稱 全體員工 和 組 織的全部重要信息資產(chǎn)及過程 2 引用文件引用文件 組織的 信息安全管理手冊 3 術(shù)語和定義術(shù)語和定義 此處略去 4 職責(zé)職責(zé) 4 1 信息安全管理委員會(huì)信息安全管理委員會(huì) a 負(fù)責(zé)解釋本方針 是本方針的歸口管理部門 b 負(fù)責(zé)決定組織信息安全相關(guān)事項(xiàng) 4 2 信息安全部信息安全部 負(fù)責(zé)協(xié)調(diào)推行信息安全管理委員會(huì)制定的方針政策 4 3 信息安全戰(zhàn)略推進(jìn)組信息安全戰(zhàn)略推進(jìn)組 負(fù)責(zé)執(zhí)行信息安全管理委員會(huì)下發(fā) 信息安全部督導(dǎo)的 ISMS 相關(guān)文檔 5 ISMS 范圍范圍 組織信息安全管理體系的范圍覆蓋組織的所有業(yè)務(wù) 運(yùn)行范圍包括圖 1 組織結(jié)構(gòu)圖中 所示的所有業(yè)務(wù)部門 該范圍與 適用性聲明 保持一致 組織結(jié)構(gòu)示意圖 略去 6 信息安全基本策略信息安全基本策略 6 1 信息安全方針及信息安全目標(biāo)信息安全方針及信息安全目標(biāo) 信息安全是保護(hù)信息免受各種威脅的損害 以確保業(yè)務(wù)連續(xù)性 業(yè)務(wù)風(fēng)險(xiǎn)最小化 投資回 報(bào)和商業(yè)機(jī)遇最大化 6 1 1 組織信息安全方針組織信息安全方針 積極預(yù)防 全面管理 控制風(fēng)險(xiǎn) 保障安全 信息安全方針應(yīng)由 CEO 批準(zhǔn) 發(fā)布并傳達(dá)給 全體員工和外部相關(guān)方 6 1 2 組織信息安全目標(biāo)組織信息安全目標(biāo) 使已識(shí)別的信息資產(chǎn)滿足信息安全的各項(xiàng)要求 包括法律法規(guī) 客戶與相關(guān)方和組織業(yè)務(wù) 要求 具體目標(biāo)包括 a 信息泄漏事件為零 b 引起組織主要業(yè)務(wù)中斷時(shí)間累計(jì)不能超過 2 h 年 c 引起組織主要業(yè)務(wù)中斷事件發(fā)生次數(shù)小于 1 次 年 d 嚴(yán)重影響網(wǎng)絡(luò)與信息系統(tǒng)可用性的事件小于 1 次 年 e 信息安全事件發(fā)生時(shí) 以損失最小化 恢復(fù)時(shí)間最短化 避免再次發(fā)生為目標(biāo) 6 2 信息安全管理體制信息安全管理體制 信息安全管理體制由以下人員組成 CEO 信息安全官 信息安全戰(zhàn)略推進(jìn)組 信息安全 部門主管 信息安全員和用戶 為了確保信息安全工作有一個(gè)明確的方向相獲得 CEO 的支持 組織設(shè)立了三個(gè)不同級(jí)別的 信息安全機(jī)構(gòu) 信息安全管理委員會(huì) 信息安全部和信息安全戰(zhàn)略推進(jìn)組 6 3 信息的分類和管理信息的分類和管理 根據(jù)信息的重要程度規(guī)定信息分類分級(jí)及管理方法 6 3 1 信息的分類分級(jí)信息的分類分級(jí) 根據(jù)信息的保密性 完整性及可用性等安全屬性 對信息進(jìn)行分類分級(jí) 具體請參考 信息資產(chǎn)分類 分級(jí)指南 實(shí)施 6 3 2 信息的使用和管理信息的使用和管理 用戶使用信息時(shí) 對不同重要度等級(jí)的信息資產(chǎn)按照相關(guān)程序使用和管理 具體請參 考 信息標(biāo)識(shí)與處理程序 實(shí)施 6 4 人力資源安全管理人力資源安全管理 人在信息安全活動(dòng)中是最復(fù)雜 最難控制的 所有的管理活動(dòng)都離不開人 因此必須 對其進(jìn)行合理管理 具體請參考 人員信息安全管理指南 實(shí)施 此外 員工意識(shí)對 ISMS 的實(shí)施效果產(chǎn)生很大的影響 因此還需要提高員工的信息安全 意識(shí) 具體請參考 員工培訓(xùn)管理指南 實(shí)施 6 5 物理和環(huán)境安全物理和環(huán)境安全 6 5 1 環(huán)境設(shè)施和安全區(qū)域環(huán)境設(shè)施和安全區(qū)域 為了防止重要信息資產(chǎn)遭受不當(dāng)訪問 損壞和干擾等 應(yīng)將其放入安全區(qū)域 進(jìn)行重 點(diǎn)管理 使用組織環(huán)境設(shè)施和安全區(qū)域時(shí) 必須遵守 環(huán)境設(shè)施與物理設(shè)備管理規(guī)定 中 規(guī)定的事項(xiàng) 6 5 2 設(shè)備安全設(shè)備安全 設(shè)備在安裝 布線 使用和維護(hù)時(shí) 應(yīng)遵守相應(yīng)的安全管理措施 此外 除了要保護(hù) 設(shè)備本身的安全外 更重要的是要保護(hù)設(shè)備中所存儲(chǔ)的信息 要防止信息未授權(quán)訪問 具 體內(nèi)容請參見 環(huán)境設(shè)施與物理設(shè)備管理規(guī)定 信息系統(tǒng)安全使用規(guī)定 和 信息系統(tǒng) 安金操作規(guī)定 6 6 通信和操作管理通信和操作管理 積極收集信息安全方面的信息 采取必要的措施 保證交換信息 操作信息處理設(shè)備 和信息系統(tǒng)時(shí)的安全 具體請參考 信息系統(tǒng)安全使用規(guī)定 實(shí)施 6 7 訪問控制訪問控制 對信息 信息處理設(shè)備 信息系統(tǒng)的訪問應(yīng)在業(yè)務(wù)和安全要求的基礎(chǔ)上進(jìn)行控制 對 信息系統(tǒng)的訪問權(quán)應(yīng)有正式的授權(quán)和撤銷程序 具體請參考 用戶訪問控制管理規(guī)定 實(shí) 施 6 8 信息系統(tǒng)的獲取 開發(fā)和維護(hù)信息系統(tǒng)的獲取 開發(fā)和維護(hù) 對信息系統(tǒng)的購置 開發(fā)建設(shè)及系統(tǒng)運(yùn)行維護(hù)過程的信息安全采取必要的控制措施 具體請參考 信息系統(tǒng)安全使用規(guī)定 信息系統(tǒng)安全操作規(guī)定 和 信息系統(tǒng)安全設(shè)計(jì) 規(guī)定 實(shí)施 6 9 風(fēng)險(xiǎn)管理框架風(fēng)險(xiǎn)管理框架 組織根據(jù)所要實(shí)現(xiàn)的信息安全目標(biāo)選取風(fēng)險(xiǎn)評(píng)估方法 說明風(fēng)險(xiǎn)接受準(zhǔn)則和可接受的 風(fēng)險(xiǎn)級(jí)別 具體請參考 信息安全風(fēng)險(xiǎn)評(píng)估程序 實(shí)施 所有信息安全風(fēng)險(xiǎn)在被識(shí)別后 都應(yīng)進(jìn)行分析和評(píng)價(jià) 確定適當(dāng)?shù)娘L(fēng)險(xiǎn)處理選項(xiàng) 選 取合適的控制措施 以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中所識(shí)別的安全要求 控制措施的選 擇還應(yīng)考慮可接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求 風(fēng)險(xiǎn)處理方法請參考 信息安全 風(fēng)險(xiǎn)處理程序 實(shí)施 6 10 信息安全事件管理信息安全事件管理 當(dāng)員工發(fā)現(xiàn)任何安全弱點(diǎn)或信息安全事件時(shí) 應(yīng)按照相應(yīng)的程序及時(shí)上報(bào) 以便盡早 采取措施 降低信息安全事件發(fā)生的可能性或其帶來的影響 具體請參考 信息安全事件 管理程序 實(shí)施 6 11 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 為防止組織業(yè)務(wù)活動(dòng)中斷 保護(hù)關(guān)鍵業(yè)務(wù)免受重大失誤或?yàn)?zāi)難的影響 以及確保它們 的及時(shí)恢復(fù) 組織要制定 業(yè)務(wù)連續(xù)性計(jì)劃 業(yè)務(wù)連續(xù)性計(jì)劃 必須考慮信息和信息安全的需求 對可能引起業(yè)務(wù)中斷的事件進(jìn) 行識(shí)別 并對這些中斷發(fā)生的概率 影響以及對信息安全的后果進(jìn)行預(yù)測 確保在關(guān)鍵業(yè) 務(wù)中斷后能夠在要求的水平和要求的時(shí)間內(nèi)恢復(fù) 業(yè)務(wù)連續(xù)性管理的相關(guān)內(nèi)容請參考 業(yè)務(wù)連續(xù)性管理程序 和 業(yè)務(wù)連續(xù)性計(jì)劃編寫 指南 實(shí)施 6 12 重要原則和符合性要求重要原則和符合性要求 6 12 1 符合法律法規(guī)和合同要求符合法律法規(guī)和合同要求 組織在建立和管理 ISMS 時(shí) 必須符合相關(guān)法律法規(guī)和合同的要求 包括 a 法律 國家所頒布的與信息安全相關(guān)的法律法規(guī)要求 b 合同 與客戶簽訂的信息安全楣關(guān)的合同要求 具體請參考 法律法規(guī)符合性規(guī)定 實(shí)施 6 12 2 安全教育 培訓(xùn)和意識(shí)要求安全教育 培訓(xùn)和意識(shí)要求 組織全體員工和外部相關(guān)方 應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R(shí)培訓(xùn)和組織方針 策略及程序的定期更新培訓(xùn) 具體請參考 員工培訓(xùn)管理指南 實(shí)施 6 12 3 違反信息安全方針的后果違反信息安全方針的后果 任何違反組織信息安全方針的人員 將受到相關(guān)懲罰和 或法律制裁 具體請參考 信息安全獎(jiǎng)懲管理規(guī)定 實(shí)