企业信息安全管理制度.doc

1、企业信息安全管理制度11 交运集团青岛温馨巴士信息安全管理体系ISMS及管理规定 第一部分信息安全管理体系ISMS 1 ISMS产生的背景、特点和发展趋势 1.1 ISMS标准产生的背景 目前，我们虽处于和平年代，但全球经济一体化给世界各国带来的经济与挑战不可小觑。来自敌对国家、恐惧分子、内部人员、经济竞争者、黑客等方面的威胁，信息安全已上升为国家战略。它事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。 只有在人员、服务、硬件、软件、数据与文件以及知识产权与专利这五大方面采用切实可行的控制措施，才干有效避免、控制、预防信息安全事件发声，切实把信息安全风险控制在可以接受的水平。

2、1.2 ISMS标准的由来 1993年BS7799标准由英国贸易工业部立项 BS7799-1:1999信息安全管理实施细则 BS7799-2:2002信息安全管理实施规范 ISO/IEC 27001:2005信息安全安全技术信息安全管理GB/T 22080-2008/ISO/IEC 27001:2005信息技术安全技术 信息安全管理体系要求 1.3 ISMS标准的主要特点 与质量、环境、能源、职业健康安全等管理体系高度兼容，即管理理念、管理模式、管理的预期结果基本一致。 “向管理要效益是该标准的精华。即并不必须要组织投入大量的资源就能在信息安全事件的防范上起到“立竿见影的效果。 可借助质量管理

3、的八项原则，PDCA，继续改善。 有133种控制目标和控制措施ISMS标准的附录A供组织选用。 组织可因地制宜，在现有管理体系基础上，有机嵌入ISMS，以达到事半功倍的效果。 1.4 ISMS标准的发展趋势 ISMS标准既适用于新兴产业，又适用于传统产业；既适用于服务业，又适用于制造业。 总之，只要有信息资产的组织，均可按GB/T22080-2008/ISO/IEC 27001:2005信息技术安全技术信息安全管理体系要求建立与坚持ISMS。 2 信息安全管理体系建立的意义和作用 2.1 强化员工的信息安全意识，规范组织信息安全行为。 2.2 确保组织的关键信息资产始终处于全面系统的受控保护状

4、态，以坚持组织的竞争优势。 2.3 在信息系统受到侵袭时，确保业务继续展开，并将损失降到最低程度。 2.4 有效规避法律风险，确保组织切实履行社会责任。 2.5 如果通过ISMS认证，说明该管理体系运行有效，证实组织有能力确保信息安全，提升组织的知名度与信任度。 3 GB/T 22080-2008/ISO/IEC 27001:2005标准 3.1 术语与定义 3.1.1 资产 对组织有价值的任何东西。 信息对一个组织而言具有重要的价值，信息时可以通过多种媒体传递和存在。 3.1.2 保密性 信息不能被未被授权的个人、实体或者过程利用或知悉的特性。 3.1.3 可用性 依据授权实体的要求可访问和

5、利用的特性。 3.1.4 完整性 保护资产的正确和完整的特性。 保密性、可用性和完整性是信息保护的核心，这三者缺一不可。 3.1.5 信息安全 坚持信息的保密性、完整性、可用性；另外也可包括例如真实性、可核查 行、不可否认性和可靠性等。 3.1.6 信息安全事态 系统、服务或网络的一种可识别的状态的发生。它可能对信息安全策略的违反或保护措施的失效，或是和安全关联的一个先前未知的状态。 3.1.7 信息安全事件 一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成。它们具有损害业务运作和威胁信息安全的极大可能性。 3.1.8 信息安全管理体系ISMS 基本业务风险方法，建立、实施、运行、

6、监视、评审、坚持和改善信息安全的体系，是一个组织整个管理体系的一部分。 管理体系也包括组织结构、方针策略、规划活动、使命、施行、规程和资源。 3.1.9 残余风险 经过风险处置后遗留的风险。 3.1.10 风险接受 接受风险的决定。 3.1.11 风险分析 系统地使用信息来识别风险来源和估计风险。 3.1.12 风险评估 风险分析和风险评价的整个过程。 3.1.13 风险评价 将估计的风险与给定的风险准则加以比较，以确定风险严重性 的过程。 3.1.14 风险管理 指导和控制一个组织相关风险的协调活动。 3.1.15 风险处置 选择并且执行措施来更改风险的过程。 在ISMS标准中，术语“控制措施被用作“措施的同义词。3.1.16 适用性声明SOA 描述与组织的信息安全管理