金德精密訊息安全管理體系第6次管理評審報告Rev1.pptVIP

Information Security Management System 訊息安全管理體系 第六次管理評審報告 日期：16 Apr 2005 評 審 會 內 容 Part I BS7799 方針及管理目標評審 BS7799 信息安全事件匯報 BS7799 風險評估報告 BS7799 在 2004年10月及2005年4月份內審報告 BS7799 外審報告 BS7799 體系法律及法規評審 BS7799 體系推行計劃及活動 Part II BS7799 體系投入資源及結果報告 EDMS 系統投入實施報告, 發展及改善討論 電腦日常運作成本控制討論 Information Security Management System 訊息安全管理體系 BS7799 方針及管理目標評審 BS7799 方針及管理目標評審 訊息安全方針 基於風險管理原則，對可控制範圍內的訊息安全進行風險識別。 根據風險評估結果，制訂明確的管理方案，並通過員工培訓， 確保員工理解和貫徹訊息安全管理的要求。 進行風險管理，保證電腦課，文控中心訊息的保密性，完整性 和可用性。 符合合同義務、法律和法規要求 建立訊息安全事件通告渠道，及時發現並處理各類訊息安全事件。 對業務持續運作進行策劃和管理，確保業務運作的可持續性。 持續改善，並逐步與公司其他管理體系進行整合。 BS7799 方針及管理目標評審 MIS系统信息安全整合活動 (2004年4月~12月) 目標 推廣BS7799信息安全體系到各部實則運作, 達至公司信息管理安全方針日標. MIS系统運作流程各項功能操作規範化及標準化, 達至信息安全要求. 工 作 項 目 MIS系统信息安全整合活動公佈及展開會 (5月完成) MIS系统信息安全整合活動分析 (6月完成) 新增, 删除, 更改權限分配規範化 (8月完成) 新增, 删除, 更改權限分配規範化工作分配及文件化 (9月完成) MIS系统表格編號規範化 (10月完成) MIS系统主要關建流程規範化 (11月前完成) 建立MIS系统內部審核, 在12月前進行內審一次 (12月前完成) 建立MIS系统培訓教材, 參考指引及考核標準 (12月前完成) BS7799 方針及管理目標評審 2005年BS7799信息安活動 文件儲存司服器內各部文件管理, 運作規範化及標準化, 達至信息安全要求. 目標 由新投入文件檔案管理系統完全除代現時R:\ 及 S:\ 盤. 文件儲存司服器內的共用硬盤只用作共用應用軟件. BS7799 方針及管理目標評審 BS7799 管理目標 (2002版) 網絡系統運作正常率達 99.7% 網絡安全事件全年少於 6宗 文控中心運作正常率達 100% Information Security Management System 訊息安全管理體系 BS7799 信息安全事件匯報 安全事件 (1) 發生時間: 2004年9月15日 因市電突然斷電引起供電開關跳閘，突然停電，所有設備停止運作，經時5分鐘 糾正措施 按工作指引復位合閘，恢復供電 加強培訓，快速反應，以最短時間恢復正常 安全事件 (2) 發生時間: 2004年12月08日 啤機二課質量體系程序文件遺失 糾正措施 對責任人進行警示處罰, 補發文件。 對辦公室鑰匙進行集中管理，對文件櫃進行加鎖保管；由生產文員進行專人管理，對借閱更換整理等進行管理和保管。 安全事件 (3) 發生時間: 2005 年 3 月 4 日 市電中斷恢復供電後 Sonicwall 防火牆 無法正常啟動，造成局域網中斷連接達1小時 ，Internet無法使用達6小時。 糾正措施 與 Sonicwall 供應商聯絡尋求技術支援，要求供應商提供後備設備恢網絡系統。 安全事件 (4) 發生時間: 2005 年 4 月 7 日 工作站電腦受病毒影響，感染W32.Mytob.u@mm的病毒攻擊WinNT系統漏洞所造成電腦工作站故障. 網絡工作站電腦自動重啟或發郵件. 網絡內工作站電腦受到冲擊數目達到70%, 影嚮網絡運作8小時. 糾正措施 採取即時更新病毒定義庫，修復系統注冊表，修復重大系統安全更新包，關閉相關工作站系統還原。 安裝完系統後全部做安全更新，及時更新病毒定義檔及檢查工作站更新. Information Security Management System 訊息安全管理體系 BS7799 風險評估報告 訊息資產風險評估 風險評估是依據評估準則來進行，同時將風險控制分為 5 級處理 由 1級– 5級準則亦將風險控制所須的資金投入分為下列 5 級 1 級：所須投入的資金 2.500 元； 2 級：所須投入的資金 2.