iso27001信息安全管理手册
本公司体系推进由行政中心负责,其主要负责制订、落实贯标工作计划,对单位、部门贯标工作进行检查、指导和协调,建立健全企业的信息安全管理体系,保持其有效、持续运行。
本公司由相关部门代表组成信息安全委员会,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针; b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露; e) 评估信息安全控制措施实施的充分性和协调性; f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。
4.2.2.3信息安全职责和权限
本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全委员会或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门、人员有关信息安全职责分配见附录C(规范性附录)《信息安全管理职责明细表》和相应的程序文件。
4.2.2.4 各部门应按照《适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。 监督与评审信息安全管理体系
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击; c)使管理者确认人工或自动执行的安全活动达到预期的结果;
13
iso27001信息安全管理手册
d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效; e)积累信息安全方面的经验。
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
4.2.3.3 行政中心应组织有关部门按照《信息安全风险评估管理程序》的要求,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织; b) 技术;
c) 业务目标和过程; d) 已识别的威胁; e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。 4.2.3.6考虑监视和评审活动的发现,更新安全计划。
4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。 保持与持续改进信息安全管理体系
我公司开展以下活动,以确保信息安全管理体系的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;
c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
14
iso27001信息安全管理手册
文件要求 总则
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述; b) 《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准); c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序;
d) 信息安全管理体系引用的支持性程序。如:《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序;
f)《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息安全管理体系要求的记录类文件;
g) 相关的法律、法规和信息安全标准; h) 适用性声明(SOA)。 文件控制
行政中心制定并实施《文件和资料管理程序》,对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应保证:
a) 文件发布前得到批准,以确保文件是充分的; b) 必要时对文件进行评审、更新并再次批准; c) 确保文件的更改和现行修订状态得到识别; d) 确保在使用时,可获得相关文件的最新版本; e) 确保文件保持清晰、易于识别;
f) 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g) 确保外来文件得到识别; h) 确保文件的分发得到控制; i) 防止作废文件的非预期使用;
j) 若因任何目的需保留作废文件时,应对其进行适当的标识。
15
iso27001信息安全管理手册
记录控制
4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政中心负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的《记录管理程序》,规定记录的标识、储存、保护、检索、保管、废弃等事项。
4.3.3.2 信息安全体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事故(事件)的记录。
4.3.3.3各部门应根据《记录管理程序》的要求采取适当的方式妥善保管信息安全记录。
16
iso27001信息安全管理手册
ISMS职能分配表
主 管 部 门 手册条款 总体要求 4 信息安全管理体系 建立ISMS 实施ISMS 监视和评审ISMS 保持和改进ISMS 文件控制 记录控制 5 管理职责 6 7 8 改进 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 管理承诺 资源提供 培训意识和能力 ISMS内部审计 ISMS管理评审 持续改进 纠正措施 预防措施 安全方针 信息安全组织 资产管理 人力资源管理 物理和环境安全 通讯和操作管理 访问控制 信息系统的获取,开发和维护 信息安全事故管理 业务持续性管理 符合性 注:▲ 主要责任 △ 次要责任 总经理 管理者代表 行政中心 项目中 客服中心 ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ △ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ ▲ △ ▲ ▲ ▲ ▲ △ △ ▲ ▲ △ ▲ ▲ ▲ △ △ ▲ ▲ ▲ △ △ △ ▲ △ ▲ ▲ ▲ ▲ △ ▲ ▲ △ △ ▲ ▲ △ △ △ ▲ ▲ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ ▲ ▲ ▲ △ ▲ △ △ ▲ ▲ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ △ 17