最新信息安全管理方针和策略.docxVIP

专业资料 专业资料 1、信息安全管理针和策略 围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》 ，并 包括了风险评估及处置的要求。规定了公司的信息安全针及管理目标， 引用了信息安全管理 体系的容。 1.1规性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。 凡是注日期的引用文件， 只有引用的版本适用于本标准； 凡是不注日期的引用文件， 其最新 版本（包括任修改）适用于本标准。 ISO/IEC 27000，信息技术一一安全技术一一信息安全管理体系 一一概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和 部问题，需考虑： 明确外部状况： ? 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、 国、区域，还是本地的； ? 影响组织目标的主要动力和趋势； ? 与外部利益相关的关系，外部利益相关的观点和价值观。 明确部状况： ? 治理、组织结构、作用和责任； ? 针、目标，为实现针和目标制定的战略； ? 基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术） ； 与部利益相关的关系，部利益相关的观点和价值观; 组织的文化； 信息系统、信息流和决策过程（正式与非正式） 组织所采用的标准、指南和模式； 合同关系的形式与围。 明确风险管理过程状况： ? 确定风险管理活动的目标； ? 确定风险管理过程的职责； ? 确定所要开展的风险管理活动的围以及深度、广度，包括具体的涵和外延; ? 以时间和地点，界定活动、过程、职能、项目、产品、服务或资产； ? 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系； ? 确定风险评价的法； ? 确定评价风险管理的绩效和有效性的法； ? 识别和规定所必须要做出的决策； ? 确定所需的围或框架性研究，它们的程度和目标，以及此种研究所需资源。 确定风险准则： 可以出现的致因和后果的性质和类别，以及如予以测量； 可能性如确定； 可能性和（或）后果的时间围； 风险程度如确定； 利益相关的观点； 风险可接受或可容的程度； 多种风险的组合是否予以考虑，如果是，如考虑及哪种风险组合宜予以考虑。 1.3.2理解相关的需求和期望 信息安全管理小组应确定信息安全管理体系的相关及其信息安全要求， 相关的信息安全 要求。对于利益相关，可作为信息资产识别， 并根据风险评估的结果， 制定相应的控制措施， 实施必要的管理。相关的要求可包括法律法规要求和合同义务。 1.3.3确定信息安全管理体系围 本公司ISMS的围包括 a） 物理围： b） 业务围：计算机软件开发，计算机系统集成 相关信息安全管理活动。 c） 部管理结构：办公室、财务部、研发部、商务部、工程部、运维部。 d） 外部接口：向公司提供各种服务的第三 1.3.4信息安全管理体系 本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。 同时 考虑该体系的实施、维持、持续改善，确保其有效性。 ISMS体系所涉及的过程基于 PDCA 模式。 1.4领导力 总经理应通过以下式证明信息安全管理体系的领导力和承诺： a） 确保信息安全针和信息安全目标已建立，并与公司战略向一致； b） 确保将信息安全管理体系要求融合到日常管理过程中； c） 确保信息安全管理体系所需资源可用； d） 向公司部传达有效的信息安全管理及符合信息安全管理体系要求的重要性; e） 确保信息安全管理体系达到预期结果； f） 指导并支持相关人员为信息安全管理体系有效性做出贡献； g） 促进持续改进； h） 支持信息安全管理小组及各部门的负责人，在其职责围展现领导力。 1.5规划 1.5.1应对风险和机会的措施 总贝 U 公司针对公司部和公司外部的实际情况， 和相关的要求，确定公司所需应对的信息安全 面的风险。在已确定的ISMS围，针对业务全过程所涉及的所有信息资产进行列表识别。信 息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产， 根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。 信息安全管理小组制定信息安全风险评估管理程序， 经信息安全管理小组组长批准后组 织实施。风险评估管理程序包括可接受风险准则和可接受水平。 该程序的详细容见《信息安 全风险评估管理程序》。 .1信息安全风险评估 .1.1风险评估的系统法 信息安全管理小组制定信息安全风险评估管理程序， 经管理者代表审核，总经理批准后 组织实施。风险评估管理程序包括可接受风险准则和可接受水平。 该程序的详细