1、信息安全管理体系文件样式编号 ISMS-A-2015编制审核批准密级 内部版本 V1.0发布日期 2015年 8月目录1 信息安全方针 41.1 总体方针 .41.2 信息安全管理机制 .41.3 信息安全小组 .41.4 识别法律、法规、合同中的安全 .51.5 风险评估 .51.6 报告安全事件 .51.7 监督检查 .51.8 信息安全的奖惩 .52 信息安全管理手册 52.1 目的和范围 .52.1.1 总则 52.1.2 范围 52.2 术语和定义 .62.3 引用文件 .62.4 信息安全管理体系 .62.4.1 总要求 62.4.2 建立和管理 ISMS.72.4.3 资源管理
2、212.5 ISMS内部审核 .222.5.1 总则 222.5.2 内审策划 222.5.3 内审实施 222.6 ISMS 管理评审 222.6.1 总则 232.6.2 评审输入 232.6.3 评审输出 232.7 ISMS改进 .242.7.1 持续改进 242.7.2 纠正措施 243 信息安全规范 253.1 总则 .253.2 环境管理 .253.3 资产管理 .283.4 介质管理 .283.5 设备管理 .283.5.1 总则 283.5.2 系统主机维护管理办法 293.5.3 涉密计算机安全管理办法 313.6 系统安全管理 .313.7 恶意代码防范管理 .333.8
3、 变更管理 .333.9 安全事件处置 .333.10 监控管理和安全管理中心 .343.11 数据安全管理 .343.12 网络安全管理 .353.13 操作管理 .373.14 安全审计管理办法 .383.15 信息系统应急预案 .383.16 附表 .391 信息安全方针1.1 总体方针满足客户要求,实施风险管理,确保信息安全,实现持续改进。1.2 信息安全管理机制公司为客户提供智能用电及能源管理的服务,信息资产的安全性对公司及客户非常重要。为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据 ISO/IEC 27001:2005标准,建立信息安全管理体系,全
4、面保护公司及客户的信息安全。 1.3 信息安全小组1) 负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;2) 负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;3) 对员工和客户进行信息安全意识教育和安全技能培训;4) 协助人力资源部对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理;5) 协调各部门以及与外部组织间有关的信息安全工作,负责建立各部门、客户的定期联系和沟通机制;6) 负责对 ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问
5、题提出内部审核建议;7) 负责对 ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;8) 负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施;9) 负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;10) 负责调查安全事件,并维护安全事件的记录报告(包括调查结果和解决方法) ,定期总结安全事件记录报告;11) 负责管理体系文件的控制;12) 负责保存内部审核和管理评审的有关记录;13) 识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核 ISMS体系文档的合规性。1.4 识别法律、法规、合同中的安全
6、1) 及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。1.5 风险评估1) 根据公司业务信息安全的特点、法律法规的要求,建立风险评估程序,确定风险接受准则。2) 定期进行风险评估,以识别公司风险的变化。公司或环境发生重大变化时,随时评估。3) 应根据风险评估的结果,采取相应措施,降低风险。1.6 报告安全事件1) 公司建立报告安全事件的渠道和相应机构。2) 全体员工有报告安全隐患、威胁、薄弱点、事故的责任,一旦发现安全事件,应立即按照规定的途径进行报告。3) 接受报告的相应部门/机构应记录所有报告,及时做相应处理,并向报告人员反馈处理结果。1.7 监督检查1
7、) 对信息安全进行定期或不定期的监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。2) 对信息安全方针及其他信息安全政策进行定期管理评审(至少一年一次)或不定期管理评审。1.8 信息安全的奖惩1) 对公司信息安全做出贡献的人员,按规定进行奖励。2) 对违反安全方针、职责、程序和措施的人员,按规定进行处罚。2 信息安全管理手册2.1 目的和范围2.1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称 ISMS) ,确定信息安全方针和目标,对信息安全风险进行有效管理,确保员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性,特制定本手
8、册。2.1.2 范围本手册适用于 ISO/IEC 27001:2005 4.2.1 a)条款规定范围内的信息安全管理活动。业务范围:开发、生产、销售电力的保护、监控、计量装置和应用在现场的智能用电、能源管理系统。2.2 术语和定义ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系要求和 ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。2.3 引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文
9、件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系要求ISO/IEC 27002:2005 信息技术-安全技术-信息安全管理实施细则2.4 信息安全管理体系2.4.1 总要求公司依据 ISO/IEC 27001:2005标准的要求,建立、实施、运行、监视、评审、保持和改进信息安全管理体系,形成文件;本公司全体员工将有效地贯彻执行并持续改进有效性,对过程的应用和管理详见信息安全管理体系过程模式图 (图 1) 。输入 输出相关方信息安全的要求和期望相关方管理的信息安全建立 ISMS实施和运行 ISMS保持和改进
10、ISMS监视和评审 ISMSPlanDoCheckAction图 1. 信息安全管理体系过程模式图2.4.2 建立和管理 ISMS2.4.2.1 建设思路分析企业信息安全的实际情况,通过制定企业的信息安全目标、提出信息安全要求、制定信息安全措施,通过组织体系、运作体系、技术体系、策略体系的支持,按照 PDCA流程,先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差,最后制定出符合企业的信息安全管理体系,并进行建立、实施和维护信息安全管理体系,最终为客户实现的目标是:1) 对信息系统的信息进行保护,减少来自内外部的各种威胁;2)
11、 确保业务连续性,确保网络畅通、各业务应用系统高效动作,避免业务发生中断;3) 业务风险最小化,避免信息系统事故可能引起的业务风险,减少商业秘密的泄露;2.4.2.2 建设步骤1、准备工作,通过领导决策,进行安全组织和人员的配备,并进行相关的培训和宣传,从而为后期信息安全管理体系的建设和推广提供相关支持;2、框架建立,参考信息安全体系框架,进行管理体系和技术体系框架的分析,着重对信息安全管理体系进行研究,得出研究的基础理论支持;3、评估风险,按照信息安全评估流程的方法,通过资产的分类和风险的分类得出风险评估的结果,作为信息安全改善的依据;4、改善安全,通过风险评估和差距的分析,结合管理和技术的
12、手段,按照风险改善的方法,得出信息安全改善的措施;5、实施运行,按照前面评估的风险和安全改善的措施,对已建立好的信息安全管理体系进行实施和运行,并制定相关的信息安全制度细则和技术管控措施;6、检查改进,通过体系的实施和运行,检查存在的信息安全风险,并针对风险点进行管理和技术上的安全改善;7、持续运行,通过不断的检查和改进,保证信息安全管理体系能够持续的运行,为企业的业务提供更全面更可靠的信息系统.2.4.2.3 风险评估信息安全的风险管理是把风险管理的思想纳入到整个信息安全管理的过程中来,基于风险的信息安全管理体系在分析风险后,就会利用一系列的安全技术措施来控制风险,以达到信息安全的目标,依据
13、风险评估结果制订的信息安全解决方案,可以最大限度的避免盲目的追求而浪费相关资源,同时还造成对业务的影响,最终使企业在信息安全方面的投资收益最大化。风险评估一般的工作流程包括九个步骤,具体如下:按照以上的风险评估步骤,对企业的信息安全风险进行评估,其风险评估的对象主要是企业的信息资产,包括数据、软硬件、人员等,具体说明如下:信息资产分类分类 具体内容数据 存在于信息介质上的各种数据资料:包括数据库、系统文档、计划、报告、用户手册等软件系统软件:操作系统、工具软件等应用软件:外部购买的应用软件,外包开发的应用软件等硬件网络设备:防火墙、路由器、交换机等计算机设备:服务器、台式机、笔记本等移动存储设
14、备:光盘、U 盘、移动硬盘等传输路线:光纤、双绞线等保障设备:UPS、空调、门禁、消防设施等其他电子设备:打印机、复印机、扫描仪、传真机等服务办公服务:为提高工作效率而开发的管理信息系统,包括各种内置配置管理、文件流转管理等服务网络服务:为各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展服务而获得业务收入的服务文档 纸质的各种文档、传真、财务报表、发展计划等人员掌握重要信息和核心业务的人员,如机房的管理人员、主机的维护工程师、网络维护工程师及应用系统项目经理等人员在确定了风险评估的对象之后,即开始对风险评估对象所面临的风险进行识别、分析和评价,具体的风险评估内容和过程如下:按照
15、以上所示的风险评估内容和过程,对企业的信息安全风险进行评估,所评估的风险分类如下:信息安全风险分类种类 描述软、硬件故障 由于设备的硬件故障、通信链路中断、系统本身或软件 BUG导致对业务高效稳定运行的影响 无作为或操作失误 由于应该执行而没有执行相应的操作或无意执行错误操作对系统造成的影响管理不到位 安全管理无法落实、不到位、造成安全管理不规范或者混乱,从而破坏信息系统正常有序的运行恶意代码和病毒 具有自我复制、自我传播能力,对信息系统构成破坏的代码越权和滥用 通过采用一些措施、超越自己的权限访问了本来无法访问的资源,或者滥用自己的职权,做出破坏信息系统的行为 黑客攻击技术 利用黑客工具和技
16、术,如侦查、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击对系统进行攻击和入侵物理攻击 物理接触、物理破坏、盗窃 泄密 机密泄露、机密信息泄露给他人篡改 非法修改信息、破坏信息的完整性抵赖 不承认收到的信息和所做的操作和交易针对以上所列的信息安全风险,为了更好的进行管理和控制,从风险对业务的影响来进行定义等级,以下主要是按照风险出现的频率来进行定义(风险等级评估的方法有定量和定性两种方法,在此我们按照定量的方法分析),具体如下:信息安全风险等级等级 标识 描述5 很高 出现的频率很高(如1 次/周),或在大多数情况下几乎不可避免,或可以证实经常发生过 4 高 出现的频率
17、较高(如1 次/月),或在大多数情况下很有可能会发生,或可以证实多次发生过3 中 出现的频率中等(如1 次/半年),或在某种情况下可能会发生,发生,或可以证实多次发生过2 低 出现的频率较小,或一般不太可能发生,或没有被证实发生过 1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生结合企业目前的信息安全现状,参照 IS027001的标准,整理出企业的风险评估结果,具体如下:信息安全风险评估结果控制领域 说明 等级 描述 物理环境安全 物理环境威胁 4 断电、静电等问题一直存在信息资产管理 软、硬件故障 3 经常性出现各种软件、硬件的故障或是链路的中断等问题物理攻击 2 物理接触和
18、物理破坏的可能性较低 无作为或操作失误5 时常会出现人为操作对系统造成的影响越权和滥用 3 系统和终端的权限管理不规范,存在越权和滥用的风险,有破坏信息系统的行为风险运行和维护安全篡改 2 非法修改信息和破坏信息的完整性较少信息安全方针 管理不到位 5 信息安全的管理还不健全,同时管理不规范,从而破坏信息系统正常有序的运行泄密 4 出现过机密泄露和机密信息泄露给他人人员安全管理抵赖 4 有出现过不承认收到的信息和所做的操作恶意代码和病毒4 内部病毒的控制和管理还是有待提高安全事件管理黑客攻击技术 4 出现过利用黑客攻击的现象,影响到了系统和终端的日常使用2.4.2.4 安全改善对于基于风险的信
19、息安全理论来说,信息安全建设的宗旨就是评估信息系统面临的安全风险,并在综合考虑成本与效益的前提下,通过综合的安全措施来控制风险,风险控制的手段一般包括:策略、保护、检测、响应和恢复等方法,具体说明如下:信息安全风险改善方法说明 风险改善需求 风险改善措施 策略 设备管理制度 建立完善的各种安全相关制度和规范,使得保护、检机房进出制度系统安全管理制度系统安全配置制度网络安全管理制度网络安全配置制度应用安全管理制度应用安全配置制度应急响应计划安全事件处理准则测和各个安全管理环节有据可依、切实有效机房 严格按照国家相关计算机机房的设计规范和安全要求建设和维护计算机机房门禁 安装相应的门禁控制系统,并
20、能够进行有效管理病毒防护 全面部署防病毒系统漏洞补丁 及时下载和安装最新的漏洞补丁安全配置 严格遵守各安全配置明细,避免漏洞的出现身份认证 根据不同的安全要求,进行设置相应的身份认证系统访问控制 根据“不同的安全要求,分别采用自主型强,强制型等级别的访问控制系邻对设备、用户等主体访问客体的权限进行控制数据加密 根据“不同的安全要求,采用绝密、机密、秘密等级别的数据加密系统,对传输数据和存储数据进行加密保护边界控制 在网络边界布置防火墙,阻止外来的非法访问 监视、报警 在适当的位置安装监视器和报警器,在个系统单元中配置检测系统和报警系统,以实时发现安全事件并及时报警数据校验 通过数据校验技术,发
21、现数据篡改主机入侵检测 实施主机入侵检测系统,发现主机入侵行为主机状态监测 实施主机状态监测系统,随时掌握主机运行状态 检测网络入侵检测 实施网络入侵检测系统,发现网络入侵行为网络状态监测 实施网络状态监测系统,随时掌握网络运行状态安全审计 在各系统单元中配置安全审计,以发现深层安全漏洞和安全事件安全监督、检查 实现持续有效的安全监督,预演应急响应计划故障修复、事故排除 保证能够随时获得故障修复和事故排除的工程技术人员和软件、硬件工具设施备份、恢复 针对关键设施,配置设施备份和恢复系统系统备份、恢复 针对关键系统,配置系统备份和恢复系统数据备份、恢复 针对关键数据,配置数据备份和恢复系统网络备
22、份、恢复 针对关键网络,配置网络备份和恢复系统应用备份、恢复 针对关键应用,配置应用备份和恢复系统应急响应 按照应急响应计划处理应急事件响应安全事件处理 按照应急事件处理,找出事故原因、追究责任、总结经验教训、提出改善建议 信息安全管理措施的实现依据于各种具体的安全控制技术和管理措施,以上安全改善就可以归纳为两个方面,即管理方面和技术方面,通过管理和技术的双方面进行控制和管理来改善信息安全。2.4.2.5 技术的信息安全从技术角度考虑,企业信息安全管理体系中所需采取的安全技术体系包括:1、物理环境安全信息系统硬件安全,在公司的信息系统硬件管理上,首先对机房的硬件环境进行安全管理,包括温度、湿度
23、、消防、电力等安全管理,对关键的应用需要采取 UPS供电,同时采取相应的备份,对硬件的使用率进行实时的监控,避免硬件的使用率过高造成业务持续性的影响,另外需要对硬件的物理环境进行监控,避免非法人员的进入,同时也是对管理员的日常行动进行监控,最后需要对机房的人员和物品的出入进行权限的管理和等级制度;2、信息资产管理1)、操作系统安全,操作系统安全除了进行必要的补丁和漏洞的管理和更新外,最主要的是进行防病毒管理,通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响;2)、应用程序安全,应用程序的安全直接关系信息系统的安全性,通过硬件、软件的安全保护来保证应用程序的安全;3、运行维护安全
24、1)、安全传输技术,对于重要的系统和对外的访问,进行安全的传输技术,目前使用主要的 HTTPS和 SSL的安全传输技术,以此来保证信息在传输过程中的安全,避免被非法用户窃取、篡改和利用;2)、入侵检测技术和防火墙技术等,对于系统和用户对内对外的访问进行控制和管理,采用相应的入侵检测技术和防火墙技术,来保证系统的信息安全;4、访问控制安全1)、密码算法技术,密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用,同时接收方能够完整无误的解读发送者发送的原始信息,此密码算法技术目前在公司没有进行应用;2)、安全协议技术,安全协议技术主要是指身份认证功能,目前企业系统的安全保护主
25、要都是依赖于操作系统的安全,这样入侵系统就非常容易,因此需要建立一套完善的身份认证系统,其目的是保证信息系统能确认系统访问者的真正身份,身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。3)、访问控制,访问控制主要是用户在访问系统或者是互联网时进行相关的控制策略,从而来保证信息系统环境的安全,同时避免数据的泄漏,目前使用的技术主要是上网行为管理,来管理和控制用户的上网行为,在保证安全的同时提高工作效率和美化网络环境;4)、身份识别与权限管理技术,对不同的系统、不同的用户、不同的业务采取不同的身份识别和权限管理,从而从身份和权限上来保证系统和用户的信息安全;2.4.2.6 管理
26、的信息安全从管理角度考虑,企业信息安全管理体系中所需采取的安全管理方面的措施主要包括:物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理,具体说明如下:信息安全改善在管理方面的方法控制领域 分类 说明物理环境 机房与设施安全 对放置计算机系统的空间进行周密规划、对物理设备进行保护、提供相应的安全保护系统技术控制 设置相应的技术控制,如门禁系统、访问控制等 安全环境和人身安全 进行环境和人身的安全保证,如设置防火、防水、异地灾备等电磁泄漏 按业务需求,进行设置相关的电磁泄漏装置 数据载体安全管理 对数据载体进行统一管理和保护,从而保护数据 数据密
27、级标签管理 对不同类别和级别的数据采取不同的保护措施数据存储管理 数据存储的管理,避免外界原因造成数据的毁坏数据访问控制管理 对数据采取自我保护,防止数据的非法使用数据备份管理 为防止数据丢失或系统瘫痪的风险,进行数据备份应用系统的安全问题 对应用系统在使用中存在的一些社会问题和道德问题进行管理,如计算机浪费和失误、计算机犯罪等系统的安全管理实现 对运行系统的安全管理、软件的安全管理、关键技术管理和人员的安全管理文档密级管理 对文档进行定密,并按照密级进行管理文档借阅管理 对文档的借阅进行必要的等级、审批手续等管理电子文档安全管理 在电子文档的形成、处理、收集、积累、整理、归档、保管、利用等个
28、环节进行安全管理技术文档备份 对技术文档的复制、备份等进行统一管理信息资产管理软件安全管理 保证计算机软件的完整性及软件不会被破坏或泄漏,包括系统软件、数据库管理软件、应用软件及相关资料安全组织 建立安全组织,完善管理制度,建立有效工作机制,对人员进行严格审查,明确人员职责,确保组织机构的顺利完成系统的使命 人员安全审查 进行人员技术水平和意识的提升,并对人员的安全等级、安全审查进行管理安全培训和考核 对从事操作维护信息系统的人员进行培训和考核安全保密契约 对从事信息系统的工作人员进行签订保护契约离岗人员安全管理 对离岗人员进行安全管理,如收回钥匙、更换口令人员安全管理人员安全管理原则 人员安
29、全管理必须遵循职责分离、岗位轮换、最小特权、强制休假、限幅级别等原则运行维护安全 故障管理 对问题或故障进行定位管理,发现问题、分离问题、找出失效原因、解决问题等性能管理 测量系统中的硬件、软件和媒介的性能变更管理 迅速解决由于系统不断变化而产生的问题所有的这些安全管理措施都是关注信息系统不同方面的保护需求,在信息安全工作中,风险管理与控制需要有一种综合的分层多点的深度防御体系方案,综合使用这些控制为企业的所有信息系统和信息提供必要的保护。通过对风险的技术性控制和管理的实施、部署后,在风险控制管理中能保证防御大量存在的威胁,技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段,还包括
30、系统架构、系统培训、以及一系列的软件、硬件的安全设备,这些措施和方式应该配套使用,从而保护关键数据、敏感信息及信息系统的功能,技术性安全控制管理的方式主要包括:1、支撑性的技术控制,包括身份鉴别、密码管理、安全日志管理、系统保护等;2、预防性的技术控制,包括身份认证、授权控制、访问控制、抗抵赖机制、通讯环境安全、传输安全等;3、监测、恢复性的技术控制,包括审计、入侵监测和控制、完整性验证机制、恢复安全状态、病毒监测和查杀等;这三种控制所包括的具体机制及他们之间的关系如下:在选择和应用这些信息安全技术时,应按照目标一策略一机制/手段的顺序执行,首先了解企业的具体需求、目标、及需要解决的风险,然后
31、选择对应的风险管理策略,最后选择使用的安全控制手段和具体的安全技术措施。2.4.2.7 实施并运作 ISMS为确保 ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:a) 制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。b) 为了达到所确定的控制目标,实施风险处理计划,包括考虑资金以及角色和职责的分配,明确各岗位的信息安全职责;c) 实施所选的控制措施,以满足控制目标。d) 确定如何测量所选择的一个组控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。注:测量控制措施的有效性允许管理者和相关人员来确定这些控制措施
32、实现策划的控制目标的程度。e) 实施培训和意识计划。f) 对 ISMS的运作进行管理。g) 对 ISMS的资源进行管理。h) 实施能够快速检测安全事件、响应安全事件的程序和其它控制。首先按照企业的实际业务情况,参考信息安全管理体系标准,从管理的角度制订了以下的相关制度、细则和办法,具体如下:管理制度的制订是进行了规则的定制,但执行起来需要技术上的配合和实施,为了更好的管理信息安全,进行了以下相关的技术措施:信息安全技术措施控制领域 分类 说明物理环境安全 机房管理 在机房建立起物理环境、硬件、软件、人员、物品等的管理,并通过技术建立起监控系统,监控机房的环境防火墙 各信息系统的出口都需增加防火
33、墙,避免外来的攻击信息资产管理数据管理 按照保密等级,对数据进行加密、解密管理,保证数据在传输和使用过程中的安全文件传输管理 架设起内部的文件使用平台,如 FTP、网盘等,在限制外设使用的同时,通过提供给用户新的平台,而且也进行相关数据的备份和审计桌面管理 对终端的外设、软件、资产、打印水印等等进行桌面管理,保证桌面的安全防病毒管理 建立统一的防病毒软件系统,并实时进行更新,防止病毒在办公环境中传播补丁管理 架设系统和软件的补丁服务器,对终端的更新和补丁进行实施的更新上网行为管理 增加上网行为管理,对终端用户的日常网络访问、下载传输等建立前管理和审计制度,在保证信息安全的同时,提高工作效率运行
34、和维护安全VPN管理 对于合法的用户通过远程访问企业内部资源,建立起VPN的管理制度,在保证安全的同时,满足业务所需访问控制安全 身份认证 采用 AD的统一身份认证技术,并与其他系统进行单点登录管理,实现身份认证管理安全事件管理 容灾备份管理 对关键的系统和数据进行容灾备份管理,特殊情况进行异地的备份管理详细的技术管理措施还有很多,以上列出的几条,在管理制度的配合下,实施相应的技术管理措施,从而为企业的信息安全提供技术和管理上的保障。2.4.2.8 监控并评审 ISMSa) 本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现:1)快速检测
35、处理结果中的错误;2)快速识别失败的和成功的安全破坏和事件;3)能使管理者确认人工或自动执行的安全活动达到预期的结果;4) 帮助检测安全事件,并利用指标预防安全事件;5)确定解决安全破坏所采取的措施是否有效。b) 定期评审 ISMS的有效性(包括安全方针和目标的符合性,对安全控制措施的评审) ,考虑安全审核、安全事件、有效性测量的结果,以及所有相关方的建议和反馈。c) 测量控制措施的有效性,以证实安全要求已得到满足。d) 按照计划的时间间隔,评审风险评估,评审残余风险以及可接受风险的等级,考虑到下列变化:1) 组织机构和职责;2) 技术;3) 业务目标和过程;4) 已识别的威胁;5) 实施控制
36、的有效性; 6) 外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。7) 按照计划的时间间隔(不超过一年)进行 ISMS内部审核。注:内部审核,也称为第一方审核,是为了内部的目的,由公司或以公司的名义进行的审核。8) 定期对 ISMS进行管理评审,以确保范围的充分性,并识别 ISMS过程的改进。9) 考虑监视和评审活动的发现,更新安全计划。10) 记录可能对 ISMS有效性或业绩有影响的活动和事情。2.4.2.9 保持并持续改进 ISMS本公司开展以下活动,以确保 ISMS的持续改进:a) 实施已识别的 ISMS改进措施。 b) 采取适当的纠正和预防措施。吸取从其他公司的安
37、全经验以及组织自身安全实践中得到的教训。c) 与所有相关方沟通措施和改进。沟通的详细程度应与环境相适宜,必要时,应约定如何进行。d) 确保改进达到其预期的目标。2.4.3 资源管理2.4.3.1 资源的提供公司确定并提供实施、保持信息安全管理体系所需资源;采取适当措施,使影响信息安全管理体系工作的员工的能力是胜任的,以保证:a) 建立、实施、运作、监视、评审、保持和改进信息安全管理体系;b) 确保信息安全程序支持业务要求;c) 识别并指出法律法规要求和合同安全责任;d) 通过正确应用所实施的所有控制来保持充分的安全;e) 必要时进行评审,并对评审的结果采取适当措施;f) 需要时,改进信息安全管
38、理体系的有效性。2.4.3.2 培训、意识和能力公司制定并实施内部人力资源管理办法文件,确保被分配信息安全管理体系规定职责的所有人员,都必须有能力执行所要求的任务。可以通过:a) 确定承担信息安全管理体系各工作岗位的职工所必要的能力。通过岗位说明书的任职要求来确定,并在招聘活动中确认相关信息安全的任职要求;b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;c)评价所采取措施及培训的有效性;d)保留教育、培训、技能、经验和资历的记录。公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。2.5 ISMS内部审核2.5.1 总则
39、公司建立并实施内部审核管理程序 , 内部审核管理程序应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部信息安全管理体系审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否符合如下四点:a) 符合本标准的要求和相关法律法规的要求;b) 符合已识别的信息安全要求;c) 得到有效地实施和维护;d) 按预期执行。2.5.2 内审策划1)信息安全工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。公司每年最少应组织一次内部审核。2)每次审核前,信息安全工作小组应编制内审
40、计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。2.5.3 内审实施1)应按审核计划的要求实施审核,包括:a)进行首次会议,明确审核的目的和范围,采用的方法和程序;b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流,按照检查的情况填写检查表;c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;d)审核组长编制审核报告。2)对审核中提出的不符合项报告,责任部门应编制纠正措施,由办公室组织对受审部门的纠正措施的实施情况进行跟踪、验证;3)按照记录控制程序的要求,保存审核记录。2
41、.6 ISMS 管理评审2.6.1 总则1)公司建立并实施管理评审程序 ,管理者应按管理评审程序规定的时间间隔评审信息安全管理体系,每年最少进行一次,以确保其持续的适宜性、充分性和有效性。2)管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。3)管理评审的结果应清晰地形成文件,记录应加以保持。2.6.2 评审输入管理评审的输入要包括以下信息:a) 信息安全管理体系审核和评审的结果;b) 相关方的反馈;c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序;d) 预防和纠正措施的状况;e) 以往风险评估没有充分强调的脆弱性或威胁;f) 有效性测量的结果;g)
42、 以往管理评审的跟踪措施;h) 任何可能影响信息安全管理体系的变更;i) 改进的建议。2.6.3 评审输出管理评审的输出应包括与下列内容相关的任何决定和措施:a) 信息安全管理体系有效性的改进;b) 更新风险评估和风险处理计划;c) 必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:1) 业务要求;2) 安全要求;3) 影响现有业务要求的业务过程;4) 法律法规要求;5) 合同责任; 6) 风险等级和(或)风险接受准则。d) 资源需求;e) 改进测量控制措施有效性的方式。f)管理评审报告由管理者代表编制,经总经理批准后发往各部门,管理者代表
43、负责存档。2.7 ISMS改进2.7.1 持续改进公司的持续改进是信息安全管理体系得以持续保持其有效性的保证,公司在其信息管理体系安全方针、安全目标、安全审核、监控时间的分析、纠正和预防措施以及管理评审方面都要持续改进信息安全管理体系的有效性。2.7.2 纠正措施2.7.2.1 纠正措施公司制定并实施纠正和预防措施管理程序 ,针对发现的不符合现象,采取措施,消除不符合的原因,并防止不符合项的再次发生。对纠正措施的实施和验证规定以下步骤:a) 识别不符合;b) 确定不符合的原因;c) 评价确保不符合不再发生的措施要求;d) 确定和实施所需的纠正措施;e) 记录所采取措施的结果;f) 评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。2.7.2.2 预防措施公司制定并实施纠正和预防措施管理程序 ,针对潜在的不符合,采取措施,消除不符合的原因,并防止不合格的发生。对预防措施的实施和验证规定以下步骤:a) 识别潜在的不符合及其原因;b) 评价预防不符合发生的措施要求;c) 确定并实施所需的预防措施,预防措施的优先级应基于风险评估结果来确定;d) 记录所采取措施的结果;e) 评审所采取的预防措施将重大预防措施提交管理评审讨论。
