- 1、本文档共35页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
1、信息安全管理方针(fāngzhēng)和策略
范围(fànwéi)
公司依据ISO/IEC27001:2013信息安全管理体系标准的要求(yāoqiú)编制《信息安全管理
手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用
了信息安全管理体系的内容。
1.1规范性引用(yǐnyòng)文件
下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少
(bìbùkěshǎo)。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的
引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC27000,信息技术——安全技术——信息安全管理体系——概述和词汇。
1.2术语和定义
ISO/IEC27000中的术语和定义适用于本文件。
1.3公司环境
1.3.1理解公司及其环境
公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和
内部问题,需考虑:
明确外部状况:
✓社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国
际、国内、区域,还是本地的;
✓影响组织目标的主要动力和趋势;
✓与外部利益相关方的关系,外部利益相关方的观点和价值观。
明确内部状况:
✓治理、组织结构、作用和责任;
✓方针、目标,为实现方针和目标制定的战略;
✓基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
✓与内部利益相关方的关系(guānxì),内部利益相关方的观点和价值观;
✓组织(zǔzhī)的文化;
✓信息系统、信息流和决策过程(guòchéng)(正式与非正式);
✓组织所采用的标准、指南(zhǐnán)和模式;
✓合同(hétong)关系的形式与范围。
明确风险管理过程状况:
✓确定风险管理活动的目标;
✓确定风险管理过程的职责;
✓确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;
✓以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;
✓界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;
✓确定风险评价的方法;
✓确定评价风险管理的绩效和有效性的方法;
✓识别和规定所必须要做出的决策;
✓确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。
确定风险准则:
✓可以出现的致因和后果的性质和类别,以及如何予以测量;
✓可能性如何确定;
✓可能性和(或)后果的时间范围;
✓风险程度如何确定;
✓利益相关方的观点;
✓风险可接受或可容许的程度;
✓多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。
1.3.2理解相关方的需求和期望
信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息
安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的
控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
1.3.3确定(quèdìng)信息安全管理体系范围
本公司(ɡōnɡsī)ISMS的范围包括
a)物理(wùlǐ)范围:
b)业务范围:计算机软件开发(kāifā),计算机系统集成相关(xiāngguān)信息安全管
理活动。
c)内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部。
d)外部接口:向公司提供各种服务的第三方
1.3.4信息安全管理体系
本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同
时考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于
PDCA模式。
1.4领导力
总经理应通过以下方式证明信息安全管理体系的领导力和承诺:
a)确保信息安全方针和信息安全目标已建立,并与公司战略方向一致;
b)确保将信息安全管理体系要求融合到日常管理过程中;
c)确保信息安全管理体系所需资源可用;
d)向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性;
文档评论(0)