信息安全管理小组编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
a) b)
所选择控制目标与控制措施的概要描述;
对ISO/IEC 27001:2013附录A中未选用的控制目标及控制措施理由的
说明。 ? 残余风险
对风险处理后的残余风险应形成《残余风险评估报告》并得到信息安全最高责任人的批准。信息安全管理小组应保留信息安全风险处置过程的文件化信息。
1.1.5.2信息安全目标和实现规划
根据公司的信息安全方针,经过最高管理者确认,公司的信息安全管理目标为:
顾客保密性抱怨/投诉的次数不超过1起/年 受控信息泄露的事态发生不超过3起/年 秘密信息泄露的事态不得发生。
信息安全管理小组根据《适用性声明》、《信息资产风险评估表》中风险处理计划所选择的控制措施,明确控制措施改进时间表。对于各部门信息安全目标的完成情况,按照《信息安全目标及有效性测量程序》的要求,周期性在主责部门对各控制措施的目标进行测量,并记录测量的结果。通过定期的内审、控制措施目标测量及管理评审活动评价公司信息安全目标的完成情况。
1.1.4 支持
1.1.6.1资源
总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。
1.1.6.2能力 办公室应:
a) 确定公司全体员工影响公司信息安全绩效的必要能力;
b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性; d) 保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,对新入职员工进行的信息安全意识教育;定期对公司员工进行的业务实施过程中的信息安全管理相关的培训等。
1.1.6.3意识 公司全体员工应了解:
a) 公司的信息安全方针;
b) 个人其对公司信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;
c) 不符合信息安全管理体系要求带来的影响。 1.1.6.4沟通
信息安全管理小组负责确定与信息安全管理体系相关的内部和外部的沟通需求,包括:
a) 沟通内容; b) 沟通时间; c) 沟通对象; d) 谁应负责沟通; e) 影响沟通的过程。 1.1.6.5文件化信息 (一)总则
公司的信息安全管理体系应包括: a) 本标准要求的文件化信息;
b) 信息安全管理小组确保信息安全管理体系的有效运行,需编制《文件控制程序》以管理公司信息安全管理体系的相关文件。 (二)创建和更新
创建和更新文件化信息时,信息安全管理小组应确保适当的:
a) 标识和描述(例如标题、日期、作者或编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质); c) 对适宜性和充分性的评审和批准。 (三)文件化信息的控制
信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保:
a) 在需要的地点和时间,是可用和适宜的;
b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等); c) 为控制文件化信息,适用时,科技规划部应开展以下活动; d) 分发,访问,检索和使用; e) 存储和保护,包括保持可读性; f) 控制变更(例如版本控制); g) 保留和处置。
信息安全管理小组需在《文件控制程序》中规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。
1.1.5 运行
1.1.7.1运行规划和控制
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a) 形成《信息安全风险处理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级,应特别注意公司外包过程的确定和控制;对于系统集成和IT外包运维服务项目,项目经理应在项目策划阶段识别所面临的信息安全风险,并在项目全过程中对信息安全风险进行监控和更新;
b) 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
c) 实施所选择的控制措施,以实现控制目标的要求; d) 进行信息安全培训,提高全员信息安全意识和能力;
e) 对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响;
f) 对信息安全所需资源进行管理;
g) 实施控制程序,对信息安全事故(或事件)进行迅速反应。 总经理为本公司信息安全最高责任者。
办公室制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
信息安全管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理体系的运行情况和必要的改善措施向信息安全最高责任者报告。
各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施,并形成文件;全体员工都应按保密承诺的要求自觉履行信息安全义务。
各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施。
信息安全管理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现6.2中确定的信息安全目标。
信息安全管理小组应保持文件化信息达到必要的程度,以确信过程按计划得到执行。
信息安全管理小组应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
各部门确定本部门业务过程中的外包活动,并对外包过程进行必要的控制。
1.1.7.2信息安全风险评估
公司按照组织《信息安全风险评估管理程序》的要求,每年定期或当重大变更提出或发生时,执行信息安全风险评估。每次风险评估的过程均需形成记录,并由信息安全管理小组保留每次风险评估的记录,如:风险评估报告、风险处理计划等。
1.1.7.3信息安全风险处置
为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a) 形成《风险处理计划》,以确定适当的管理措施、职责及安全保密控
制措施的优先级;
b) 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
c) 实施所选择的控制措施,以实现控制目标的要求; d) 进行信息安全培训,提高全员信息安全意识和能力; e) 对信息安全体系的运作进行管理; f) 对信息安全所需资源进行管理;
信息安全管理小组负责组织相关人员,定期检查风险处理计划的执行情况,并保留信息安全风险处置结果的文件化信息。
1.1.6 绩效评价
1.1.8.1监视、测量、分析和评价
本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息安全管理体系运行的情况,并报告结果以实现:
a) 及时发现信息安全体系的事故和隐患; b) 及时了解信息处理系统遭受的各类攻击;
c) 使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施;
d) 积累信息安全方面的经验。
按照计划的时间间隔(不超过一年)进行ISMS内部审核,内部审核的具体要求。
根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈,由最高责任者主持,每年对ISMS的有效性进行评审,其中包括信息安全范围、方针、目标及控制措施有效性的评审。
管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织机构发生重大变更;