iso27001信息安全管理手册
规范性引用文件
下列文件中的条款通过本《信息安全管理手册》的引用而成为本《信息安全管理手册》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,行政中心应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》 GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》 术语和定义
GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》、GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》规定的术语和定义适用于本《信息安全管理手册》。
本公司
指DXC,包括DXC所属各部门。 信息系统
指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒
指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件
指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方
关注本公司信息安全或与本公司信息安全绩效有利益关系的组织和个人。主要为:政府、供方、银行、用户、电信等。
8
iso27001信息安全管理手册
信息安全管理体系
概述
4.1.1 本公司在软件开发、经营、服务和日常管理活动中,按GB/T22080-2008 idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》规定,参照GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》标准,建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。 4.1.2 信息安全管理体系使用的过程基于图1所示的PDCA模型。
策划 相关方 要求和 期望 实施 实施和运行 保持和改进 建立 相关方 处置 信息安全 监视和评审管理 ISMS ISMS ISMS 信息安全
图1 信息安全管理体系模型
建立和管理信息安全管理体系 建立信息安全管理体系
4.2.1.1 信息安全管理体系的范围和边界
ISMS 检查 本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信息安全管理体系的范围包括:
a) 本公司涉及软件开发、营销、服务和日常管理的业务系统; b) 与所述信息系统有关的活动;
c) 与所述信息系统有关的部门和所有员工;
d) 所述活动、系统及支持性系统包含的全部信息资产。
9
iso27001信息安全管理手册
组织范围:
本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册附录A(规范性附录)《信息安全管理体系组织机构图》。
物理范围:
本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系的物理范围和信息安全边界。
本公司信息安全管理体系的物理范围为本公司位于市惠山经济开发区前洲配套区兴洲路2号,科创中心二楼,安全边界详见附录B(规范性附录)《办公场所平面图》。 4.2.1.2 信息安全管理体系的方针
为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体系方针,见本信息安全管理手册第0.4条款。
该信息安全方针符合以下要求:
a) 为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则; b) 考虑业务及法律或法规的要求,及合同的安全义务;
c) 与组织战略和风险管理相一致的环境下,建立和保持信息安全管理体系; d) 建立了风险评价的准则; e) 经最高管理者批准。
为实现信息安全管理体系方针,本公司承诺:
a) 在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确信息安全的管理职责
b) 识别并满足适用法律、法规和相关方信息安全要求;
c) 定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体系的持续有效性;
d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享; e) 对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力; f) 制定并保持完善的业务连续性计划,实现可持续发展。 4.2.1.3 风险评估的方法
行政中心负责制定《信息安全风险评估管理程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别
10
iso27001信息安全管理手册
风险的可接受等级。信息安全风险评估执行《信息安全风险评估管理程序》,以保证所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 4.2.1.4 识别风险
在已确定的信息安全管理体系范围内,本公司按《信息安全风险评估管理程序》,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括数据、硬件、软件、人员、服务、文档。对每一项资产按自身价值、信息分类、保密性、完整性、可用性、法律法规符合性要求进行了量化赋值,形成了《资产识别清单》。
同时,根据《信息安全风险评估管理程序》,识别了对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。 4.2.1.5 分析和评价风险
本公司按《信息安全风险评估管理程序》,采用人工分析法,分析和评价风险: a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;
b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
c) 根据《信息安全风险评估管理程序》计算风险等级;
d) 根据《信息安全风险评估管理程序》及风险接受准则,判断风险为可接受或需要处理。
4.2.1.6 识别和评价风险处理的选择
行政中心组织有关部门根据风险评估的结果,形成《信息安全不可接受风险处理计划》,该计划明确了风险处理责任部门、负责人、目的、范围以及处置策略。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施: a) 消减风险(通过适当的控制措施降低风险发生的可能性);
b) 接受风险(风险值不高或者处理的代价高于风险引起的损失,公司决定接受该风险/残余风险);
c) 规避风险(决定不进行引起风险的活动,从而避免风险); d) 转移风险(通过购买保险、外包等方法把风险转移到外部机构)。 4.2.1.7选择控制目标与控制措施
行政中心根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《适用性声明》):
a)信息安全控制目标获得了信息安全最高责任者的批准。
11
iso27001信息安全管理手册
b)控制目标及控制措施的选择原则来源于GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考GB/T22081-2008idtISO27002:2005《信息技术-安全技术-信息安全管理实用规则》。
c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。 4.2.1.8 对风险处理后的残余风险,得到了公司最高管理者的批准。
4.2.1.9 最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。 4.2.1.10 适用性声明
行政中心负责编制《适用性声明》(SoA)。该声明包括以下方面的内容: a)所选择控制目标与控制措施的概要描述,以及选择的原因;
b)对GB/T22080-2008idtISO27001:2005附录A中未选用的控制目标及控制措施理由的说明(本公司未涉及此项业务)。 实施及运作信息安全管理体系
4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
a)形成《信息安全不可接受风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;
b)为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》,明确各岗位的信息安全职责;
c)实施所选择的控制措施,以实现控制目标的要求;
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力; f)对信息安全体系的运作进行管理; g)对信息安全所需资源进行管理;
h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。 4.2.2.2 信息安全组织机构
本公司成立了信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。
12