企业信息安全管理制度1.docx

交运集团青岛温馨巴士有限公司

信息安全管理体系（ISMS）及管理规定

第一部分信息安全管理体系（ISMS）

ISMS产生的背景、特点和发展趋势

ISMS标准产生的背景

目前，我们虽处于和平年代，但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐怖分子、内部人员、经济竞争者、黑客等方面的威胁，信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。

只有在人员、服务、硬件、软件、数据与文件以及知识产权

与专利这五大方面采取切实可行的控制措施，才能有效避免、控制、预防信息安全事件发声，切实把信息安全风险控制在可以接受的水平。

ISMS标准的由来

1993年BS7799标准由英国贸易工业部立项BS7799-1:1999《信息安全管理实施细则》BS7799-2:2002《信息安全管理实施规范》

ISO/IEC27001:2005《信息安全 安全技术 信息安全管理》GB/T22080-2008/ISO/IEC 27001:2005《信息技术 安全技

术 信息安全管理体系 要求》

ISMS标准的主要特点

●与质量、环境、能源、职业健康安全等管理体系高度兼容，即管理理念、管理模式、管理的预期结果基本一致。

●“向管理要效益”是该标准的精华。即并不需要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影”的效果。

●可借助质量管理的八项原则，PDCA，持续改进。

●有133种控制目标和控制措施（ISMS标准的附录A）供组织选用。

●组织可因地制宜，在现有管理体系基础上，有机嵌入ISMS，以达到事半功倍的效果。

ISMS标准的发展趋势

ISMS标准既适用于新兴产业，又适用于传统产业；既适用于服务业，又适用于制造业。

总之，只要有信息资产的组织，均可按GB/T22080-2008/ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》建立与保持ISMS。

信息安全管理体系建立的意义和作用

强化员工的信息安全意识，规范组织信息安全行为。

确保组织的关键信息资产始终处于全面系统的受控保护状态，以保持组织的竞争优势。

在信息系统受到侵袭时，确保业务持续开展，并将损失降到最低程度。

有效规避法律风险，确保组织切实履行社会责任。

如果通过ISMS认证，表明该管理体系运行有效，证明组织有能力保证信息安全，提高组织的知名度与信任度。

3 GB/T22080-2008/ISO/IEC27001:2005标准

术语与定义

资产

对组织有价值的任何东西。

信息对一个组织而言具有重要的价值，信息时可以通过多种媒体传递和存在。

保密性

信息不能被未被授权的个人、实体或者过程利用或知悉的特性。

可用性

根据授权实体的要求可访问和利用的特性。

完整性

保护资产的正确和完整的特性。

保密性、可用性和完整性是信息保护的核心，这三者缺一不可。

信息安全

保持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查行、不可否认性和可靠性等。

信息安全事态

系统、服务或网络的一种可识别的状态的发生。它可能对信息安全策略的违反或保护措施的失效，或是和安全关联的一个先前未知的状态。

信息安全事件

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成。它们具有损害业务运作和威胁信息安全的极大可能性。

信息安全管理体系（ISMS）

基本业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分。

管理体系也包括组织结构、方针策略、规划活动、职责、实践、规程和资源。

残余风险

经过风险处置后遗留的风险。

风险接受

接受风险的决定。

风险分析

系统地使用信息来识别风险来源和估计风险。

风险评估

风险分析和风险评价的整个过程。

风险评价

将估计的风险与给定的风险准则加以比较，以确定风险严重性

的过程。

风险管理

指导和控制一个组织相关风险的协调活动。

风险处置

选择并且执行措施来更改风险的过程。

在ISMS标准中，术语“控制措施”被用作“措施”的同义词。

适用性声明（SOA）

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。

控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。

信息安全涉及的主要方面安全方针信息安全组织资产管理

信息安全涉及的主要方面

安全方针

信息安全组织

资产管理

人力资源安全

物理和环境安全

通信和操作管理

访问控制

提供组织拟考虑控制目标和

措施

2个

11个

5个

9个

13个

32个

25个