27000体系前期准备工作..docVIP

四川博源科技有限责任公司ISO27000体系 前期准备 设立领导小组 信息安全管理组织结构图 建议：信息安全实施小组成立后，设QQ群便于文件编写、评审和咨询沟通交流。 -信息安全管理委员会： 1、建立信息安全管理体系的策略； 2、负责信息安全方针和目标的建立； 3、负责分配信息安全的角色的相关职责； 4、负责公司信息安全组织结构的批准； 5、负责信息安全管理体系管理者代表的任命； 6、确保信息安全管理体系内部审核的实施； 7、定期对信息安全管理体系进行管理评审； 8、确保公司信息安全教育的落实； 9、决定接受风险准则和风险的可接受的等级； -管理者代表(分管副总/安委会副主任)： 1、监督信息安全管理体系的实施，并定期向最高管理者汇报； 2、向公司传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要 3、负责信息安全管理体系内审员的批准； 4、负责程序文件的审批，包括修改的审批； 5、确认信息安全管理手册内容，并负责后期工作的监督； 6、审核批准内部审核计划，主持、监督信息安全内部审核，批复内审报告； 7、负责审核管理评审计划和管理评审报告，监督管理评审措施的落实； 8、负责组织和确认公司信息安全教育； -信息安全执行代表： 1、在信息安全管理组确定的实施范围内，具体推广并落实各项策略要求和控制措施； 2、负责本部门信息安全的日常工作，负责本部门人员的信息安全意识提升； 3、对本部门信息资产进行风险评估，根据公司的实情，讨论风险的可接受标准，对不能接受的风险进行处置； 4、负责本部门信息安全事件的应急处理； -信息安全内审小组： 1、负责对各部门信息安全管理体系的实施运行情况进行监督和检查； 2、负责内部审核和外部审核的具体工作； 3、负责组织对信息安全管理体系文件的评审，并提出文件评审意见； 4、负责有效性测量工作的计划和实施； -各部门： 1、负责收集与本部门相关的信息安全方面的法规及其他要求，并及时上报信息安全委员会，同时负责在本部门内传达、贯彻和实施与部门相2、关的法规及其他要求； 3、协助在本部门内宣传公司的信息安全管理体系文件的要求，提高本部门员工的信息安全意识； 4、按照信息安全体系文件的要求，在本部门遵照执行； 5、发生信息安全事故后负责配合信息安全委员会工作，并协助制定、实施处置措施； 6、协助信息安全审计小组进行体系的内部审查与外部评审； 7、对信息资产实行有效管理，确保信息的机密性，维持信息的完整性和可用 性，防范对信息的未授权访问； 8、负责本部门信息安全管理体系文件和记录的接收、编写、修改与保存； 9、处理本部门与信息安全相关的事宜，向信息安全委员会反馈本部门在信息安全方面的要求和建议； 10、在第三方或对外联络中积极宣传本公司的信息安全目标和方针； 11、在与第三方或外界进行信息交流、接触时，保证信息的安全； 二、定义各职能岗位信息安全角色和职责 三、硬件防护措施完善（机房、门禁、计算机、打印/复印等设备的物理防范措施等） 四、补充、完善现有管理规范性文件（附相关文件清单） 《信息安全适用法律法规清单》 《员工招聘及录用管理制度》 《办公软件管理规范》 《机房管理规范》 《软件管理规范》 《OA系统操作规范》 《路由器操作规范》 《门禁系统操作规范》 《一体机操作规范》 《UPS电源操作规范》 《IT操作手册》 《物理和环境安全管理制度》 《信息安全事故管理规程》 《存储介质管理规范》 《员工惩戒管理制度》 《保密管理制度》 《交换机操作规范》 《360杀毒规范》 《消防应急预案》 《信息交换管理规范》 《机房管理规范》 《服务器管理规范》 《服务器操作规范》 《信息安全设备设施管理规范》 《信息交换管理规范》 《信息沟通管理规范》 《网络安全管理规范》 《保密管理制度》 《备份管理规范》 《打印机、复印机、传真机、电话使用管理规范》 《防范恶意和移动代码管理规范》 《计算机及网络管理规定》 《计算机设备操作规程》 《网站管理有关规定》 《物理和环境安全管理制度》 《系统规划和验收管理规范》 《信息安全监视管理规范》 《信息系统管理规范》 五、制定：信息安全适用性声明 1、目的与范围 2、职责 3、声明 六、资产设备识别、清理 对资产的定义 分类 示例 数据 保存在信息媒介上的各种电子数据资料，包括：源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等 软件 系统软件：操作系统、语言包、工具软件、各种数据库等 应用软件：外部购买的应用软件、包括开发的应用软件等 源程序：各种共享资源代码、自行或合作开发的各种代码等 硬件 网络设备：