1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

信息安全管理方针和策略.docVIP

信息安全管理方针和策略.doc

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    (完整word版)信息安全管理方针和策略

    (完整word版)信息安全管理方针和策略

    (完整word版)信息安全管理方针和策略

    1、信息安全管理方针和策略

    范围

    公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。

    1.1规范性引用文件

    下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。

    ISO/IEC27000,信息技术——安全技术—-信息安全管理体系——概述和词汇。

    1.2术语和定义

    ISO/IEC27000中的术语和定义适用于本文件。

    1.3公司环境

    1。3。1理解公司及其环境

    公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑:

    明确外部状况:

    社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;

    影响组织目标的主要动力和趋势;

    与外部利益相关方的关系,外部利益相关方的观点和价值观。

    明确内部状况:

    治理、组织结构、作用和责任;

    方针、目标,为实现方针和目标制定的战略;

    基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);

    与内部利益相关方的关系,内部利益相关方的观点和价值观;

    组织的文化;

    信息系统、信息流和决策过程(正式与非正式);

    组织所采用的标准、指南和模式;

    合同关系的形式与范围.

    明确风险管理过程状况:

    确定风险管理活动的目标;

    确定风险管理过程的职责;

    确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;

    以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;

    界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;

    确定风险评价的方法;

    确定评价风险管理的绩效和有效性的方法;

    识别和规定所必须要做出的决策;

    确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源.

    确定风险准则:

    可以出现的致因和后果的性质和类别,以及如何予以测量;

    可能性如何确定;

    可能性和(或)后果的时间范围;

    风险程度如何确定;

    利益相关方的观点;

    风险可接受或可容许的程度;

    多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。

    1。3。2理解相关方的需求和期望

    信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。

    1。3.3确定信息安全管理体系范围

    本公司ISMS的范围包括

    物理范围:

    业务范围:计算机软件开发,计算机系统集成相关信息安全管理活动。

    内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部.

    外部接口:向公司提供各种服务的第三方

    1.3.4信息安全管理体系

    本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于PDCA模式.

    1。4领导力

    总经理应通过以下方式证明信息安全管理体系的领导力和承诺:

    确保信息安全方针和信息安全目标已建立,并与公司战略方向一致;

    确保将信息安全管理体系要求融合到日常管理过程中;

    确保信息安全管理体系所需资源可用;

    向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性;

    确保信息安全管理体系达到预期结果;

    指导并支持相关人员为信息安全管理体系有效性做出贡献;

    促进持续改进;

    支持信息安全管理小组及各部门的负责人,在其职责范围内展现领导力。

    1.5规划

    1.5。1应对风险和机会的措施

    1.5。1.1总则

    公司针对公司内部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信息安全方面的风险。在已确定的ISMS范围内,针对业务全过程所涉及的所有信息资产进行列表识别.信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务.对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。

    信息安全管理小组制定信息安全风险评估管理程序,经信息安全管理小组组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见《信息安全风险评估管理程序》.

    1。5.1。1.1信息安全风险评估

    1。5。1。1。1.1风险评估的系统方法

    信息安全管理小组制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管

    您可能关注的文档

    最近下载

    文档评论(0)

    saasej + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >