信息安全管理標(biāo)準(zhǔn)體系基礎(chǔ)手冊(cè)

文檔密級(jí)：普通文檔狀態(tài)：[]草案[√]正式發(fā)布[]正在修訂受控狀態(tài)：[√]受控[]非受控日期版本描述作者審核審批-01-08A0A版初次發(fā)布質(zhì)量小組孫佩連春華目錄TOC\o"1-4"\h\z\u1. 目和合用范疇 21.1. 目 21.2. 合用范疇 22. 引用原則、文獻(xiàn)、術(shù)語(yǔ)及定義 22.1. 引用原則 22.2. 引用文獻(xiàn) 22.3. 定義和術(shù)語(yǔ) 22.3.1. 術(shù)語(yǔ) 22.3.2. 縮寫 23. 信息安全管理體系 23.1. 總規(guī)定 23.2. 建立和管理ISMS 23.2.1. 建立ISMS 23.2.2. ISMS實(shí)行及運(yùn)作 23.2.3. ISMS監(jiān)督檢查與評(píng)審 23.2.3.1. 控制辦法 23.2.3.2. 管理評(píng)審 23.2.3.3. 殘存風(fēng)險(xiǎn)評(píng)審 23.2.4. ISMS保持與改進(jìn) 23.3. 文獻(xiàn)規(guī)定 24. 信息安全管理方針 2目和合用范疇目為了建立、健全我司信息安全管理體系（簡(jiǎn)稱ISMS），擬定信息安全方針和目的，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，保證全體員工理解并遵循執(zhí)行信息安全管理體系文獻(xiàn)、持續(xù)改進(jìn)ISMS有效性，參照《管理手冊(cè)》，特制定本手冊(cè)。合用范疇結(jié)合《管理手冊(cè)》，本《信息安全管理手冊(cè)》規(guī)定了我司信息安全管理體系涉及生產(chǎn)、營(yíng)銷、服務(wù)和尋常管理等方面內(nèi)容。整個(gè)信息安全管理體系（ISMS）覆蓋范疇涉及：a)我司涉及營(yíng)銷、生產(chǎn)服務(wù)和尋常管理重要信息系統(tǒng)和生產(chǎn)系統(tǒng)；b)與所述信息系統(tǒng)關(guān)于活動(dòng)；c)與所述信息系統(tǒng)關(guān)于部門和所有正式員工，d)基于軍工、人力資源和社會(huì)保障、醫(yī)療衛(wèi)生、公積金、民政、食藥監(jiān)、金融等領(lǐng)域系統(tǒng)建設(shè)和維護(hù)服務(wù)e)所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包括所有信息資產(chǎn)。引用原則、文獻(xiàn)引用原則ISO27001:《信息技術(shù)、安全技術(shù)、信息安全管理體系規(guī)定》Informationtechnology.Securitytechniques.Informationsecuritymanagementsystems.RequirementsISO27002：《信息技術(shù)——信息安全管理實(shí)行細(xì)則》Informationtechnology—CodeofpracticeforinformationSecuritymanagement引用文獻(xiàn)《管理手冊(cè)》定義和術(shù)語(yǔ)術(shù)語(yǔ)本手冊(cè)中使用術(shù)語(yǔ)定義采用ISO/IEC27000術(shù)語(yǔ)和定義?？s寫ISMS：InformationSecurityManagementSystems:信息安全管理體系；SOA：StatementofApplicability:合用性聲明；我司背景理解我司現(xiàn)狀及背景我司應(yīng)明確與信息安全管理體系目及影響其能力關(guān)于內(nèi)外部問題，以達(dá)到信息安全管理體系預(yù)期效果。注：擬定這些問題是指建立ISO31000第5.3.1考慮外部和內(nèi)部環(huán)境我司。理解有關(guān)方需求和盼望我司應(yīng)擬定：a)信息安全管理體系有關(guān)方;b)這些有關(guān)方信息安全有關(guān)規(guī)定。注：關(guān)于各方規(guī)定也許涉及法律、監(jiān)管規(guī)定和合同義務(wù)。擬定ISMS范疇我司應(yīng)擬定信息安全管理體系邊界和合用性，以擬定其范疇。在擬定此范疇時(shí)，我司應(yīng)考慮：a)4.1提及外部和內(nèi)部問題;b)4.2提及規(guī)定;c）接口和執(zhí)行我司之間活動(dòng)依賴關(guān)系，以及其她我司有關(guān)活動(dòng)。范疇?wèi)?yīng)可成為文檔化信息。ISMS我司應(yīng)按照本國(guó)際原則規(guī)定建立，實(shí)行，保持和持續(xù)改進(jìn)信息安全管理體系。領(lǐng)導(dǎo)力領(lǐng)導(dǎo)力和承諾最高管理者應(yīng)體現(xiàn)出對(duì)信息安全管理體系領(lǐng)導(dǎo)力和承諾：a)保證信息安全方略和信息安全目的制定，并與我司戰(zhàn)略方向兼容;b)保證信息安全管理體系規(guī)定整合到我司過(guò)程中;c）保證信息安全管理體系所需要資源;d）傳達(dá)有效信息安全管理重要性，并符合信息安全管理體系規(guī)定;e）保證信息安全管理體系達(dá)到其預(yù)期效果;f）指引和支持員工對(duì)信息安全管理體系作出有效貢獻(xiàn);g）增進(jìn)持續(xù)改進(jìn);h）支持其她有關(guān)管理角色來(lái)展示自己領(lǐng)導(dǎo)力，由于它合用于她們職責(zé)范疇。方針最高管理者應(yīng)建立一種信息安全方針：a)與我司宗旨相適應(yīng);b)涉及信息安全目的（見6.2），或?yàn)樾畔踩康奶峁┛蚣?c）涉及滿足與信息安全有關(guān)規(guī)定承諾;d）涉及信息安全管理體系持續(xù)改進(jìn)承諾。信息安全方針應(yīng)：e）可成為文檔化信息;f）在我司內(nèi)溝通;g）視狀況提供應(yīng)有關(guān)方。5.3角色、責(zé)任和承諾最高管理者應(yīng)保證與信息安全有關(guān)角色職責(zé)和權(quán)限分派和溝通。最高管理者應(yīng)指定責(zé)任和權(quán)限：a)保證信息安全管理體系符合本國(guó)際原則規(guī)定;b)將ISMS績(jī)效報(bào)告給最高管理者。注：最高管理層可以授權(quán)她人負(fù)責(zé)ISMS績(jī)效報(bào)告?；I劃解決風(fēng)險(xiǎn)和機(jī)遇行動(dòng)總則當(dāng)規(guī)劃我司信息安全管理體系時(shí)，應(yīng)當(dāng)考慮4.1提到問題和4.2中所提到規(guī)定，并擬定需要解決風(fēng)險(xiǎn)和機(jī)遇：a)保證信息安全管理體系可實(shí)現(xiàn)預(yù)期成果;b)防止或減少不良影響;c）實(shí)現(xiàn)持續(xù)改進(jìn)。我司應(yīng)策劃：d）解決這些風(fēng)險(xiǎn)和機(jī)遇辦法；e）如何1）整合和實(shí)行這些辦法，并納入其信息安全管理體系過(guò)程中;2）評(píng)估這些辦法有效性。信息安全風(fēng)險(xiǎn)評(píng)估我司應(yīng)擬定信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程：a)建立和維護(hù)信息安全風(fēng)險(xiǎn)原則，涉及風(fēng)險(xiǎn)接受準(zhǔn)則;b)決定執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估原則;c）保證重復(fù)使用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程能產(chǎn)生一致，有效和可比較成果。我司應(yīng)：d）辨認(rèn)信息安全風(fēng)險(xiǎn)。1）應(yīng)用信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程，以辨認(rèn)ISMS范疇內(nèi)信息保密性，完整性和可用性損失風(fēng)險(xiǎn)。2）辨認(rèn)風(fēng)險(xiǎn)所有者。e）分析信息安全風(fēng)險(xiǎn)。1）評(píng)估6.1.1e）1）實(shí)現(xiàn)后潛在后果。2）評(píng)估6.1.1e）1）實(shí)現(xiàn)也許性。3）擬定風(fēng)險(xiǎn)級(jí)別。f）評(píng)估信息安全風(fēng)險(xiǎn)。1）用6.1.2a）建立風(fēng)險(xiǎn)原則比較風(fēng)險(xiǎn)分析成果，并建立優(yōu)先級(jí)。我司應(yīng)保存信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中文檔化信息。信息安全風(fēng)險(xiǎn)處置我司應(yīng)采用信息安全風(fēng)險(xiǎn)處置過(guò)程：a)選取恰當(dāng)信息安全風(fēng)險(xiǎn)解決辦法，考慮風(fēng)險(xiǎn)評(píng)估成果;b)擬定所有實(shí)行信息安全風(fēng)險(xiǎn)處置辦法是必要;注：我司可以設(shè)計(jì)所需控制項(xiàng)，或從任何來(lái)源中辨認(rèn)它們。c）比較6.1.3b)中與附件A中控制項(xiàng)，并確認(rèn)已省略沒有必要控制項(xiàng);注1：附件A中包括控制目的和控制項(xiàng)完整列表。本國(guó)際原則顧客應(yīng)注意附件A，以保證沒有重要控制項(xiàng)被忽視注2：控制目的是隱含在所選取控制項(xiàng)中。附件A所列控制目的和控制項(xiàng)并不詳盡，也許還需要額外控制目的和控制項(xiàng)。d）制作一種包括必要控制項(xiàng)（見6.1.3），B)和C））和包括理由合用性聲明，無(wú)論實(shí)行與否，并應(yīng)包括刪減附件A中控制項(xiàng)理由;e）制定信息安全風(fēng)險(xiǎn)處置籌劃;f）風(fēng)險(xiǎn)處置方案和殘存風(fēng)險(xiǎn)應(yīng)得到風(fēng)險(xiǎn)負(fù)責(zé)人批準(zhǔn)。我司應(yīng)保存信息安全風(fēng)險(xiǎn)解決過(guò)程中文檔化信息。注意：信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程與國(guó)際原則ISO31000規(guī)定原則和通用準(zhǔn)則相一致?？蓪?shí)現(xiàn)信息安全目的和籌劃我司應(yīng)建立有關(guān)職能和層次信息安全目的。信息安全目的應(yīng)：a)與信息安全方針一致;b)是可衡量（如果可行）;c）考慮到合用信息安全規(guī)定，以及風(fēng)險(xiǎn)評(píng)估和處置成果;d）是可溝通;e）能適時(shí)更新。我司應(yīng)保存信息安全目的有關(guān)文檔化信息。當(dāng)籌劃如何實(shí)現(xiàn)信息安全目的時(shí)，我司應(yīng)擬定：f）做什么;g）需要哪些資源;h）誰(shuí)負(fù)責(zé);i）何時(shí)完畢;j）如何評(píng)估成果。支持資源我司應(yīng)擬定并提供信息安全管理體系建立，實(shí)行，維護(hù)和持續(xù)改進(jìn)所需資源。能力我司應(yīng)：a)擬定員工在ISMS管控下工作必備能力，這會(huì)影響到我司信息安全績(jī)效;b)保證這些人在恰當(dāng)教誨，培訓(xùn)或獲得經(jīng)驗(yàn)后是能勝任;c）在恰當(dāng)狀況下，采用行動(dòng)以獲得必要能力，并評(píng)估所采用行動(dòng)有效性;d）保存恰當(dāng)文檔化信息作為證據(jù)。注：合用行動(dòng)也許涉及，例如：提供培訓(xùn)，指引，或重新分派既有雇員、主管人員聘任或承包。意識(shí)為我司工作人員應(yīng)理解：a)信息安全方針;b)她們對(duì)信息安全管理體系有效性貢獻(xiàn)，涉及提高信息安全績(jī)效收益;c）不符合信息安全管理體系規(guī)定所帶來(lái)影響，。溝通我司應(yīng)擬定信息安全管理體系中內(nèi)部和外部有關(guān)溝通需求：a)溝通什么;b)何時(shí)溝通;c）和誰(shuí)溝通;d）誰(shuí)應(yīng)當(dāng)溝通;e）如何溝通過(guò)程是有效。文檔化信息總則我司信息安全管理體系應(yīng)涉及：a)本國(guó)際原則所需要文檔化信息;b)記錄信息安全管理體系有效性必要文檔化信息。注意：不同我司信息安全管理體系文檔化信息多少與詳略限度取決于：1）我司規(guī)模、活動(dòng)類型，過(guò)程，產(chǎn)品和服務(wù);2）過(guò)程及其互相作用復(fù)雜性;3）人員能力。創(chuàng)立和更新當(dāng)創(chuàng)立和更新文檔化信息時(shí)，我司應(yīng)保證恰當(dāng)：a)辨認(rèn)和描述（如標(biāo)題，日期，作者，或參照號(hào)碼）;b)格式（如語(yǔ)言，軟件版本，圖形）和媒體（如紙張，電子）;c）恰當(dāng)和足夠?qū)彶楹团鷾?zhǔn)。文檔化信息控制信息安全管理體系與本國(guó)際原則規(guī)定文檔化信息應(yīng)被管理，以保證：a)當(dāng)文檔化信息被需要時(shí)是可用且合用;b)得到充分保護(hù)（例如保密性喪失，使用不當(dāng)，完整性喪失）。對(duì)于文檔化信息控制，我司應(yīng)制定如下活動(dòng)（如合用）：c）分派，訪問，檢索和使用;d）存儲(chǔ)和保存，涉及易讀性保存;e）變更管理（例如版本控制）;f）保存和處置。我司信息安全管理體系規(guī)劃和運(yùn)作必要外來(lái)文檔化信息，應(yīng)被恰當(dāng)辨認(rèn)和管理。注：訪問表達(dá)有權(quán)查看文檔化信息，或獲得授權(quán)以查看和更改文檔化信息等。運(yùn)營(yíng)運(yùn)營(yíng)籌劃及控制我司應(yīng)策劃，實(shí)行和控制過(guò)程需求以滿足信息安全規(guī)定，并實(shí)行在6.1中擬定辦法。我司還應(yīng)當(dāng)實(shí)行籌劃，以實(shí)現(xiàn)信息安全在6.2中擬定目的。我司應(yīng)保存有關(guān)文檔化信息，以保證過(guò)程已按照籌劃實(shí)行。我司應(yīng)控制籌劃變更，同步審計(jì)非籌劃變更，并采用恰當(dāng)辦法以減輕任何不良影響。我司應(yīng)保證外包過(guò)程是被擬定和受控。信息安全風(fēng)險(xiǎn)評(píng)估我司應(yīng)在技術(shù)時(shí)間間隔或發(fā)生重大變化時(shí)執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估，將6.1.2中建立原則納入考慮范疇。我司應(yīng)保存信息安全風(fēng)險(xiǎn)評(píng)估成果有關(guān)文檔化信息。信息安全風(fēng)險(xiǎn)處置我司應(yīng)實(shí)行信息安全風(fēng)險(xiǎn)處置籌劃。我司應(yīng)保存信息安全風(fēng)險(xiǎn)處置成果文檔化信息?？?jī)效評(píng)價(jià)監(jiān)控，度量，分析和評(píng)價(jià)我司應(yīng)評(píng)估信息安全績(jī)效和信息安全管理體系有效性。我司應(yīng)擬定：a)需要進(jìn)行監(jiān)視和測(cè)量，涉及信息安全過(guò)程和控制規(guī)定;b)監(jiān)測(cè)，測(cè)量，分析和評(píng)估（如合用）辦法，以保證成果有效;注：選取被以為是有效辦法應(yīng)當(dāng)可以產(chǎn)生可比性和可再現(xiàn)成果。c）監(jiān)視和測(cè)量時(shí)間;d）誰(shuí)應(yīng)監(jiān)視和測(cè)量;e）何時(shí)對(duì)監(jiān)視和測(cè)量成果進(jìn)行分析和評(píng)估;f）誰(shuí)應(yīng)分析和評(píng)估這些成果。我司應(yīng)保存恰當(dāng)監(jiān)視和測(cè)量成果文檔化信息作為證據(jù)。內(nèi)部審核我司應(yīng)在籌劃時(shí)間間隔進(jìn)行內(nèi)部審核，依照提供信息判斷與否安全管理體系：a)符合1）我司自身信息安全管理體系規(guī)定;2）本國(guó)際原則規(guī)定;b)有效實(shí)行和保持。我司應(yīng)：c）籌劃，建立，實(shí)行并保持審核方案，其中涉及頻率，辦法，職責(zé)，籌劃規(guī)定和報(bào)告。審核程序應(yīng)考慮有關(guān)過(guò)程和以往審核成果重要性;d）定義每次審核章程和范疇;e）選取審核員和審核組長(zhǎng)以保證審核過(guò)程客觀性和公正;f）保證審核成果報(bào)告提交有關(guān)管理層;g）保存審核程序和審核成果有關(guān)文檔化信息作為證據(jù)。管理評(píng)審最高管理者應(yīng)在籌劃時(shí)間間隔評(píng)審我司信息安全管理體系，以保證其持續(xù)適當(dāng)性，充分性和有效性。管理評(píng)審應(yīng)考慮：a)以往管理評(píng)審行動(dòng)辦法狀態(tài);b)與信息安全管理體系有關(guān)內(nèi)外部問題變化;c）反饋信息安全績(jī)效和趨勢(shì)，涉及：1）不符合與糾正辦法;2）監(jiān)控和測(cè)量成果;3）審核成果;4）信息安全目的實(shí)現(xiàn);d）有關(guān)方反饋;e）風(fēng)險(xiǎn)評(píng)估成果和風(fēng)險(xiǎn)處置狀態(tài);f）持續(xù)改改進(jìn)機(jī)會(huì)。管理評(píng)審輸出應(yīng)涉及持續(xù)改進(jìn)機(jī)會(huì)和任何信息安全管理體系需要變更有關(guān)決定。我司應(yīng)保存管理評(píng)審成果文檔化信息作為證據(jù)。改進(jìn)符合及糾正辦法浮現(xiàn)不符合時(shí)，我司應(yīng)：a）對(duì)不符合伙出反映，如合用：1）采用行動(dòng)控制和糾正;2）解決成果;b)評(píng)估采用辦法必要性，消除不符合因素，使不復(fù)發(fā)或不再其她地方發(fā)生，通過(guò)：1）審查不符合;2）擬定不符合因素;3）擬定與否存在類似不符合和發(fā)生也許;c）實(shí)行所需任何辦法;d）審查已采用糾正辦法有效性;e）如果有必要話，改進(jìn)信息安全管理體系。糾正辦法應(yīng)對(duì)不符合產(chǎn)生恰當(dāng)影響。我司應(yīng)保存如下文檔化信息作為證據(jù)：f）不符合性質(zhì)和后續(xù)辦法;g）任何糾正辦法成果。持續(xù)改進(jìn)我司應(yīng)不斷提高信息安全管理體系適當(dāng)性，充分性和有效性。信息安全管理方針實(shí)行安全管理，積極防止風(fēng)險(xiǎn)，完善控制辦法，實(shí)現(xiàn)持續(xù)發(fā)展。為了滿足合用法律法規(guī)及有關(guān)方規(guī)定，維持生產(chǎn)和經(jīng)營(yíng)正常進(jìn)行，我司根據(jù)ISO27001:原則，建立信息安全管理體系，以保證我司生產(chǎn)經(jīng)營(yíng)信息保密性、完整性、可用性，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展目。我司承諾：在公司內(nèi)各層次建立完整管理我司機(jī)構(gòu)，擬定信息安全方