信息安全管理手册
d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;
e)进行信息安全培训,提高全员信息安全意识和能力; f)对信息安全体系的运作进行管理; g)对信息安全所需资源进行管理;
h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。 4.2.2.2 信息安全组织机构
本公司成立了信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行提供必要的资源。
本公司体系推进由行政中心负责,其主要负责制订、落实贯标工作计划,对单位、部门贯标工作进行检查、指导和协调,建立健全企业的信息安全管理体系,保持其有效、持续运行。
本公司由相关部门代表组成信息安全委员会,采用联席会议(协调会)的方式,进行信息安全协调和协作,以:
a) 确保安全活动的执行符合信息安全方针; b) 确定怎样处理不符合;
c) 批准信息安全的方法和过程,如风险评估、信息分类;
d) 识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露; e) 评估信息安全控制措施实施的充分性和协调性; f) 有效的推动组织内信息安全教育、培训和意识;
g) 评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适当的措施。
4.2.2.3信息安全职责和权限
本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安全管理者代表在其他方面的职责如何,对信息安全负有以下职责:
a) 建立并实施信息安全管理体系必要的程序并维持其有效运行;
第 15 页 共 37页
信息安全管理手册
b) 对信息安全管理体系的运行情况和必要的改善措施向信息安全委员会或最高责任者报告。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门、人员有关信息安全职责分配见附录C(规范性附录)《信息安全管理职责明细表》和相应的程序文件。
4.2.2.4 各部门应按照《适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
4.2.3 监督与评审信息安全管理体系
4.2.3.1本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:
a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;
b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击; c)使管理者确认人工或自动执行的安全活动达到预期的结果; d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效; e)积累信息安全方面的经验。
4.2.3.2根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和反馈。管理评审的具体要求,见本手册第7章。
4.2.3.3 行政中心应组织有关部门按照《信息安全风险评估管理程序》的要求,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
a) 组织; b) 技术;
c) 业务目标和过程; d) 已识别的威胁; e) 实施控制的有效性;
f) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
第 16 页 共 37页
信息安全管理手册
4.2.3.4按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本手册第6章。
4.2.3.5定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管理体系过程的改进,管理评审的具体要求,见本手册第7章。 4.2.3.6考虑监视和评审活动的发现,更新安全计划。
4.2.3.7记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。
4.2.4 保持与持续改进信息安全管理体系
我公司开展以下活动,以确保信息安全管理体系的持续改进:
a) 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目; b) 按照《内部审核管理程序》、《纠正措施管理程序》、《预防措施管理程序》的要求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断改进安全措施的有效性;
c) 通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全的要求等;
d) 对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。
4.3
4.3.1 总则
文件要求
本公司信息安全管理体系文件包括:
a) 文件化的信息安全方针、控制目标,在《信息安全管理手册》中描述; b) 《信息安全管理手册》(本手册,包括信息安全适用范围及引用的标准); c) 本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《纠正措施管理程序》等支持性程序;
d) 信息安全管理体系引用的支持性程序。如:《文件和资料管理程序》、《记录管理程序》、《内部审核管理程序》等;
e) 为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序; f)《信息安全风险评估报告》、《信息安全不可接受风险处理计划》以及信息安全管理体系要求的记录类文件;
g) 相关的法律、法规和信息安全标准;
第 17 页 共 37页
信息安全管理手册
h) 适用性声明(SOA)。
4.3.2 文件控制
行政中心制定并实施《文件和资料管理程序》,对信息安全管理体系所要求的文件进行管理。对《信息安全管理手册》、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作做出规定,以确保在使用场所能够及时获得适用文件的有效版本。
文件控制应保证:
a) 文件发布前得到批准,以确保文件是充分的; b) 必要时对文件进行评审、更新并再次批准; c) 确保文件的更改和现行修订状态得到识别; d) 确保在使用时,可获得相关文件的最新版本; e) 确保文件保持清晰、易于识别;
f) 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;
g) 确保外来文件得到识别; h) 确保文件的分发得到控制; i) 防止作废文件的非预期使用;
j) 若因任何目的需保留作废文件时,应对其进行适当的标识。
4.3.3 记录控制
4.3.3.1信息安全管理体系所要求的记录是体系符合标准要求和有效运行的证据。行政中心负责制定并维持易读、易识别、可方便检索又考虑法律、法规要求的《记录管理程序》,规定记录的标识、储存、保护、检索、保管、废弃等事项。
4.3.3.2 信息安全体系的记录应包括本手册第4.2条中所列出的所有过程的结果及与ISMS相关的安全事故(事件)的记录。
4.3.3.3各部门应根据《记录管理程序》的要求采取适当的方式妥善保管信息安全记录。
第 18 页 共 37页
信息安全管理手册
5
管理职责
5.1
管理承诺
我公司管理者通过以下活动,对建立、实施、运作、监视、评审、保持和改进信息安全管理体系的承诺提供证据:
a) 建立信息安全方针(见本手册第0.4章);
b) 确保信息安全目标得以制定(见本手册第0.4章、《适用性声明》、《信息安全不可接受风险处理计划》及相关记录);
c) 建立信息安全的角色和职责(见本手册附录E);
d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e) 提供充分的资源,以建立、实施、运作、监视、评审、保持并改进信息安全管理体系(见本手册第5.2章);
f) 决定接受风险的准则和风险的可接受等级(见《信息安全风险评估管理程序》及相关记录);
g) 确保内部信息安全管理体系审核(见本手册第6章)得以实施; h) 实施信息安全管理体系管理评审(见本手册第7章)。
5.2
资源管理
5.2.1 资源的提供
本公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:
a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系; b) 确保信息安全程序支持业务要求; c) 识别并指出法律法规要求和合同安全责任;
d) 通过正确应用所实施的所有控制来保持充分的安全; e) 必要时进行评审,并对评审的结果采取适当措施; f) 需要时,改进信息安全管理体系的有效性。
5.2.2 培训、意识和能力
第 19 页 共 37页