ISMS_A_2015信息安全管理体系文件.docVIP

Word格式 PAGE 55 完美整理 信息安全管理体系文件 样式编号 ISMS-A-2015 编制 审核 批准 密级 内部 版本 V1.0 发布日期 2015年8月 目录 TOC \o 1-3 \h \z \u 1 信息安全方针 4 1.1 总体方针 4 1.2 信息安全管理机制 4 1.3 信息安全小组 4 1.4 识别法律、法规、合同中的安全 5 1.5 风险评估 5 1.6 报告安全事件 5 1.7 监督检查 5 1.8 信息安全的奖惩 5 2 信息安全管理手册 5 2.1 目的和范围 5 2.1.1 总则 5 2.1.2 范围 5 2.2 术语和定义 6 2.3 引用文件 6 2.4 信息安全管理体系 6 2.4.1 总要求 6 2.4.2 建立和管理ISMS 7 2.4.3 资源管理 21 2.5 ISMS内部审核 22 2.5.1 总则 22 2.5.2 内审策划 22 2.5.3 内审实施 22 2.6 ISMS 管理评审 22 2.6.1 总则 23 2.6.2 评审输入 23 2.6.3 评审输出 23 2.7 ISMS改进 24 2.7.1 持续改进 24 2.7.2 纠正措施 24 3 信息安全规范 25 3.1 总则 25 3.2 环境管理 25 3.3 资产管理 28 3.4 介质管理 28 3.5 设备管理 28 3.5.1 总则 28 3.5.2 系统主机维护管理办法 29 3.5.3 涉密计算机安全管理办法 31 3.6 系统安全管理 31 3.7 恶意代码防范管理 33 3.8 变更管理 33 3.9 安全事件处置 33 3.10 监控管理和安全管理中心 34 3.11 数据安全管理 34 3.12 网络安全管理 35 3.13 操作管理 37 3.14 安全审计管理办法 38 3.15 信息系统应急预案 38 3.16 附表 39  信息安全方针 总体方针 满足客户要求，实施风险管理，确保信息安全，实现持续改进。 信息安全管理机制 公司为客户提供智能用电及能源管理的服务，信息资产的安全性对公司及客户非常重要。为了保证各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，公司依据ISO/IEC 27001:2005标准，建立信息安全管理体系，全面保护公司及客户的信息安全。 信息安全小组 负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施； 负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理委员会汇报； 对员工和客户进行信息安全意识教育和安全技能培训； 协助人力资源部对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理； 协调各部门以及与外部组织间有关的信息安全工作，负责建立各部门、客户的定期联系和沟通机制； 负责对ISMS体系进行审核，以验证体系的健全性和有效性，并对发现的问题提出内部审核建议； 负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计； 负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施(包括内部审核整改意见)和预防措施； 负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认； 负责调查安全事件，并维护安全事件的记录报告(包括调查结果和解决方法) ，定期总结安全事件记录报告； 负责管理体系文件的控制； 负责保存内部审核和管理评审的有关记录； 识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度，审核ISMS体系文档的合规性。 识别法律、法规、合同中的安全 1) 及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。 风险评估 1) 根据公司业务信息安全的特点、法律法规的要求，建立风险评估程序，确定风险接受准则。 2) 定期进行风险评估，以识别公司风险的变化。公司或环境发生重大变化时，随时评估。 3) 应根据风险评估的结果，采取相应措施，降低风险。 报告安全事件 1) 公司建立报告安全事件的渠道和相应机构。 2) 全体员工有报告安全隐患、威胁、薄弱点、事故的责任，一旦发现安全事件，应立即按照规定的途径进行报告。 3) 接受报告的相应部门/机构应记录所有报告，及时做相应处理，并向报告人员反馈处理结果。 监督检查 1) 对信息安全进