ISMS02-信息安全管理體系方針

信息安全管理體系方針信息安全管理體系方針 1 適用范圍適用范圍 為了對組織整體業(yè)務(wù)的信息安全活動進行指導(dǎo) 并表明組織管理層對信息安全的支 持 特制定本方針 本方針適用于組織 ISMS 涉及的所有人員 以下簡稱 全體員工 和 組 織的全部重要信息資產(chǎn)及過程 2 引用文件引用文件 組織的 信息安全管理手冊 3 術(shù)語和定義術(shù)語和定義 此處略去 4 職責職責 4 1 信息安全管理委員會信息安全管理委員會 a 負責解釋本方針 是本方針的歸口管理部門 b 負責決定組織信息安全相關(guān)事項 4 2 信息安全部信息安全部 負責協(xié)調(diào)推行信息安全管理委員會制定的方針政策 4 3 信息安全戰(zhàn)略推進組信息安全戰(zhàn)略推進組 負責執(zhí)行信息安全管理委員會下發(fā) 信息安全部督導(dǎo)的 ISMS 相關(guān)文檔 5 ISMS 范圍范圍 組織信息安全管理體系的范圍覆蓋組織的所有業(yè)務(wù) 運行范圍包括圖 1 組織結(jié)構(gòu)圖中 所示的所有業(yè)務(wù)部門 該范圍與 適用性聲明 保持一致 組織結(jié)構(gòu)示意圖 略去 6 信息安全基本策略信息安全基本策略 6 1 信息安全方針及信息安全目標信息安全方針及信息安全目標 信息安全是保護信息免受各種威脅的損害 以確保業(yè)務(wù)連續(xù)性 業(yè)務(wù)風險最小化 投資回 報和商業(yè)機遇最大化 6 1 1 組織信息安全方針組織信息安全方針 積極預(yù)防 全面管理 控制風險 保障安全 信息安全方針應(yīng)由 CEO 批準 發(fā)布并傳達給 全體員工和外部相關(guān)方 6 1 2 組織信息安全目標組織信息安全目標 使已識別的信息資產(chǎn)滿足信息安全的各項要求 包括法律法規(guī) 客戶與相關(guān)方和組織業(yè)務(wù) 要求 具體目標包括 a 信息泄漏事件為零 b 引起組織主要業(yè)務(wù)中斷時間累計不能超過 2 h 年 c 引起組織主要業(yè)務(wù)中斷事件發(fā)生次數(shù)小于 1 次 年 d 嚴重影響網(wǎng)絡(luò)與信息系統(tǒng)可用性的事件小于 1 次 年 e 信息安全事件發(fā)生時 以損失最小化 恢復(fù)時間最短化 避免再次發(fā)生為目標 6 2 信息安全管理體制信息安全管理體制 信息安全管理體制由以下人員組成 CEO 信息安全官 信息安全戰(zhàn)略推進組 信息安全 部門主管 信息安全員和用戶 為了確保信息安全工作有一個明確的方向相獲得 CEO 的支持 組織設(shè)立了三個不同級別的 信息安全機構(gòu) 信息安全管理委員會 信息安全部和信息安全戰(zhàn)略推進組 6 3 信息的分類和管理信息的分類和管理 根據(jù)信息的重要程度規(guī)定信息分類分級及管理方法 6 3 1 信息的分類分級信息的分類分級 根據(jù)信息的保密性 完整性及可用性等安全屬性 對信息進行分類分級 具體請參考 信息資產(chǎn)分類 分級指南 實施 6 3 2 信息的使用和管理信息的使用和管理 用戶使用信息時 對不同重要度等級的信息資產(chǎn)按照相關(guān)程序使用和管理 具體請參 考 信息標識與處理程序 實施 6 4 人力資源安全管理人力資源安全管理 人在信息安全活動中是最復(fù)雜 最難控制的 所有的管理活動都離不開人 因此必須 對其進行合理管理 具體請參考 人員信息安全管理指南 實施 此外 員工意識對 ISMS 的實施效果產(chǎn)生很大的影響 因此還需要提高員工的信息安全 意識 具體請參考 員工培訓(xùn)管理指南 實施 6 5 物理和環(huán)境安全物理和環(huán)境安全 6 5 1 環(huán)境設(shè)施和安全區(qū)域環(huán)境設(shè)施和安全區(qū)域 為了防止重要信息資產(chǎn)遭受不當訪問 損壞和干擾等 應(yīng)將其放入安全區(qū)域 進行重 點管理 使用組織環(huán)境設(shè)施和安全區(qū)域時 必須遵守 環(huán)境設(shè)施與物理設(shè)備管理規(guī)定 中 規(guī)定的事項 6 5 2 設(shè)備安全設(shè)備安全 設(shè)備在安裝 布線 使用和維護時 應(yīng)遵守相應(yīng)的安全管理措施 此外 除了要保護 設(shè)備本身的安全外 更重要的是要保護設(shè)備中所存儲的信息 要防止信息未授權(quán)訪問 具 體內(nèi)容請參見 環(huán)境設(shè)施與物理設(shè)備管理規(guī)定 信息系統(tǒng)安全使用規(guī)定 和 信息系統(tǒng) 安金操作規(guī)定 6 6 通信和操作管理通信和操作管理 積極收集信息安全方面的信息 采取必要的措施 保證交換信息 操作信息處理設(shè)備 和信息系統(tǒng)時的安全 具體請參考 信息系統(tǒng)安全使用規(guī)定 實施 6 7 訪問控制訪問控制 對信息 信息處理設(shè)備 信息系統(tǒng)的訪問應(yīng)在業(yè)務(wù)和安全要求的基礎(chǔ)上進行控制 對 信息系統(tǒng)的訪問權(quán)應(yīng)有正式的授權(quán)和撤銷程序 具體請參考 用戶訪問控制管理規(guī)定 實 施 6 8 信息系統(tǒng)的獲取 開發(fā)和維護信息系統(tǒng)的獲取 開發(fā)和維護 對信息系統(tǒng)的購置 開發(fā)建設(shè)及系統(tǒng)運行維護過程的信息安全采取必要的控制措施 具體請參考 信息系統(tǒng)安全使用規(guī)定 信息系統(tǒng)安全操作規(guī)定 和 信息系統(tǒng)安全設(shè)計 規(guī)定 實施 6 9 風險管理框架風險管理框架 組織根據(jù)所要實現(xiàn)的信息安全目標選取風險評估方法 說明風險接受準則和可接受的 風險級別 具體請參考 信息安全風險評估程序 實施 所有信息安全風險在被識別后 都應(yīng)進行分析和評價 確定適當?shù)娘L險處理選項 選 取合適的控制措施 以滿足風險評估和風險處理過程中所識別的安全要求 控制措施的選 擇還應(yīng)考慮可接受風險的準則以及法律法規(guī)和合同要求 風險處理方法請參考 信息安全 風險處理程序 實施 6 10 信息安全事件管理信息安全事件管理 當員工發(fā)現(xiàn)任何安全弱點或信息安全事件時 應(yīng)按照相應(yīng)的程序及時上報 以便盡早 采取措施 降低信息安全事件發(fā)生的可能性或其帶來的影響 具體請參考 信息安全事件 管理程序 實施 6 11 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 為防止組織業(yè)務(wù)活動中斷 保護關(guān)鍵業(yè)務(wù)免受重大失誤或災(zāi)難的影響 以及確保它們 的及時恢復(fù) 組織要制定 業(yè)務(wù)連續(xù)性計劃 業(yè)務(wù)連續(xù)性計劃 必須考慮信息和信息安全的需求 對可能引起業(yè)務(wù)中斷的事件進 行識別 并對這些中斷發(fā)生的概率 影響以及對信息安全的后果進行預(yù)測 確保在關(guān)鍵業(yè) 務(wù)中斷后能夠在要求的水平和要求的時間內(nèi)恢復(fù) 業(yè)務(wù)連續(xù)性管理的相關(guān)內(nèi)容請參考 業(yè)務(wù)連續(xù)性管理程序 和 業(yè)務(wù)連續(xù)性計劃編寫 指南 實施 6 12 重要原則和符合性要求重要原則和符合性要求 6 12 1 符合法律法規(guī)和合同要求符合法律法規(guī)和合同要求 組織在建立和管理 ISMS 時 必須符合相關(guān)法律法規(guī)和合同的要求 包括 a 法律 國家所頒布的與信息安全相關(guān)的法律法規(guī)要求 b 合同 與客戶簽訂的信息安全楣關(guān)的合同要求 具體請參考 法律法規(guī)符合性規(guī)定 實施 6 12 2 安全教育 培訓(xùn)和意識要求安全教育 培訓(xùn)和意識要求 組織全體員工和外部相關(guān)方 應(yīng)受到與其工作職能相關(guān)的適當?shù)囊庾R培訓(xùn)和組織方針 策略及程序的定期更新培訓(xùn) 具體請參考 員工培訓(xùn)管理指南 實施 6 12 3 違反信息安全方針的后果違反信息安全方針的后果 任何違反組織信息安全方針的人員 將受到相關(guān)懲罰和 或法律制裁 具體請參考 信息安全獎懲管理規(guī)定 實