ISMS信息安全建立说明纲要(基础知识).pptVIP

* 杨兴文 2012年8月15日 ISO/IEC 27001重要项提示与案例说明 地 址：深圳市福田区深南大道6006号人民大厦华丰楼五楼 邮 编：518063 电 话：0755 传 真：075583088619 E-Mail：yang_xinwen@163.com 手 机深圳市康达信管理顾问有限公司 * 信息安全的建立介绍与说明 1．确立信息安全组织 2．信息资产的机密管理 3．人的对策 4．信息安全事件事故处理 5．信息安全的PDCA 确定须进行机密管理的信息，实施机密管理所必要的规则。 建立可有组织地推进信息安全的组织。 实施保密的誓约等的防止信息泄露的人的对策。 明确发生事故时的处理方法，并加以实施。 实施可推进持续改善活动的信息安全管理。 信息安全建立工作的整体情况如下： * 1．确立信息安全组织组织 1-1.　建立信息安全管理相关组织组织。 　　组织的例子： 　　　　　?设置信息安全的最高责任人（CSO）。 　　　　　?基于经营方针，设置决定和推进全公司的安全方针的营运委员会、推进责任人 和专家（责任人）等。 　　　　　?设置进行信息安全相关事项的审议和认可的职能部门（人事、总务、技术管理 部门等）的代表委员会。 　　　　　?在各工作部门设置工作部门的推进责任人（组织责任人等）。 工作部门推进主管 （由工作部门的组织责任人委任） 作为经营责任的一个环节进行推进 信息安全委员会 信息安全推进责任人 信息安全推进专家 工作现场 作为业务管理的一个环节进行推进 员工 * 1．确立信息安全组织组织 1-2．制定信息安全相关规则的书面文件。 　 　　 1-3．对于组织内的信息安全实施项目，要明确责任人及其相关任务和责任。 1-3 参考资料：推进组织组织表 将信息安全的确保作为经营课题，由领导人宣布实施。要建立可有组织地决定和推进的组织。 作为组织整体，为了有效地推进信息安全对策的要点： 　1．可在公司内部统一意识并实行的组织组织 　2．明确实施责任人及其任务和责任 　3．制定明文化的信息安全方针和规则并贯彻周知（培训） 1-2 参考资料：XX电器的信息安全方针 * 2．信息资产的机密管理 2-1．　机密信息的明确化 　2-1-1．制作由本公司指定的机密信息以及利用该信息创造出的机密信息的管理列表，并加以明确。　　　　 在推进信息安全的过程中， 要明确须保护的是什么，这一点很重要。通过明确应保护的信息，可确定处理信息的人员和场所、工作程序。 由此，可设置对信息的威胁，选择必要的管理对策并能够确认脆弱性和有无风险。 2-1-1参考资料：盘点表 适用于供应商信息安全基准的信息 由本公司指定的 “机密信息”和由指定“机密信息”所创造出的信息。（参见“基准附则2.” ） 盘点表中，将 1．本公司指定的机密信息（文件、电子数据、化体品（技术载体）等） 2．创造出的机密信息（文件、电子数据、化体品（技术载体）等） 按照各管理单位制作列表。 创造出的机密信息的例子：模具、试制品、软件、CAD图纸、电路图、失败产品、测试数据等 对于列表中的机密信息，适用供应商信息安全基准的管理对策，确保安全。 盘点表的编制 我把组织里的盘点表都汇总好了。 我们的组织里居然有这么多的机密信息，真应该好好地加以管理。 实行 组织责任人应编制盘点表。 组织责任人应按秘密信息和绝密信息分别编制包括其记录在内的盘点表。 * 2．信息资产的机密管理　 　　2-1-2．对管理列表中的机密信息进行适当的安全管理。 　　　　　 制定标示、保管和访问等相关信息保护的管理规则。 　　　　　※关于业务区域，参见 “项目2-3”を参照 机密标示 废弃 访问 加密 保管 复制/复印 责任人认可 分发/通信方法 向他人公开 带出 加密＆ 责任人认可 打印 复印 邮寄 发传真 利用网络 上锁 秘Confidential 访问权限 权限者一览表 访问记录 碎纸机 内容加密 保存至 硬盘 必要时 业务区域 以上 保密合同 要 要 i4rjjg/hw?o3//h7t 要 带条件 可以 必要 范例： 直接当面交付 责任人 管理 要 责任人认可 确认收件人 MEI Confidential 机密信息 业务区域 以上 定期 检查 ※即使在集团，对于不执行该信息相关业务的部门以及成员，也要作为其他人员看待。 确认收件人 责任人 管理 * 2．信息资产的机密管理　 2-1-3．由责任人定期地对管理列表以及管理的实际状况进行重审。　　　　 根据交接记录和业务结果，评价符合基准的机密信息是否被列入列表中