信息安全管理方针手册

1、卷号卷号卷内编号卷内编号密级密级内部公开内部公开信息安全管理方针手册version：1.0编制人： 日期: 审核人: 日期： 批准人： 日期： 受控状态： XXXX 集团集团2008 信息安全管理方针手册第 2 页，共 45 页2目目 录录一、编制说明一、编制说明 .61前言前言 .62目的目的 .63适用范围适用范围 .64引用文件引用文件 .65手册控制手册控制 .7二、信息安全术语二、信息安全术语 .81前言前言 .82信息安全术语信息安全术语 .8三、信息安全方针三、信息安全方针声声明明 .10四、管理组织与职责四、管理组织与职责 .111.总则总则.112.信息安全职责信息安全职责.

2、11五、信息安全管理体系五、信息安全管理体系 .171信息安全管理体系范围信息安全管理体系范围 .172信息安全管理体系模型信息安全管理体系模型 .173信息安全管理体系信息安全管理体系文文件要求件要求 .18六、管理职责六、管理职责 .201总则总则 .202管理承诺管理承诺 .203资源管理资源管理 .204. 培训、意识与能力培训、意识与能力 .21七、信息安全管理体系评价与改进七、信息安全管理体系评价与改进 .221总则总则 .222信息安全活动及过程监视与检查信息安全活动及过程监视与检查 .223信息安全管理体系审核信息安全管理体系审核 .224. 技术符合性审核技术符合性审核 .2

3、25. 管理评审管理评审 .226. 数据分析数据分析 .237. 纠正和预防措施纠正和预防措施 .23 信息安全管理方针手册第 3 页，共 45 页3八、信息安全基本方针八、信息安全基本方针 .241总则总则 .242信息安全管理基本方针描述信息安全管理基本方针描述 .24九、风险评估管理九、风险评估管理 .251前言前言 .252风险评估方法与准则风险评估方法与准则 .253风险评估风险评估 .254风险管理风险管理 .255、风险处置、风险处置 .26十、信息安全组织十、信息安全组织 .271信息安全管理架构信息安全管理架构 .272组织间合作组织间合作 .273专家建议专家建议 .27

4、4信息处理设施授权信息处理设施授权 .275、第三方访问安全、第三方访问安全 .27十一、资产管理十一、资产管理 .291总则总则 .292资产职责资产职责 .293信息分级信息分级 .29十二、人员安全十二、人员安全 .301前言前言 .302. 雇佣前雇佣前 .303. 雇佣中雇佣中 .304.雇佣终止或转岗雇佣终止或转岗 .305. 培训培训 .31十三、物理与环境安全十三、物理与环境安全 .321总则总则 .322安全区域安全区域 .323设备安全设备安全 .324存储介质存储介质 .335基本控制措施基本控制措施 .33十四、通讯与运行安全十四、通讯与运行安全 .34 信息安全管理方

5、针手册第 4 页，共 45 页41总则总则 .342程序和职责程序和职责 .343系统规划和接收系统规划和接收 .344防止恶意软件、代码防止恶意软件、代码 .355备份备份 .356网络管理网络管理 .357媒介处理和安全媒介处理和安全 .368信息和软件交换信息和软件交换 .36十五、访问控制十五、访问控制 .371总则总则 .372用户访问管理用户访问管理 .373网络安全方针网络安全方针 .374可移动计算机工作及远程工作方针可移动计算机工作及远程工作方针 .38十六、系统开发及维护十六、系统开发及维护 .401总则总则 .402系统安全要求建立系统安全要求建立 .403系统文件安全系

6、统文件安全 .404开发与支持过程的安全开发与支持过程的安全 .405技术脆弱性管理技术脆弱性管理 .40十七、信息安全事件管理十七、信息安全事件管理 .421总则总则 .422报告安全事件及薄弱环节报告安全事件及薄弱环节 .423信息安全事件处理和改进信息安全事件处理和改进 .42十八、业务连续性管理十八、业务连续性管理 .431总则总则 .432业务连续性管理总体策略业务连续性管理总体策略 .43十九、符合性管理十九、符合性管理 .441总则总则 .442符合性管理符合性管理 .44附录一、信息安全组织架构附录一、信息安全组织架构 .45 信息安全管理方针手册第 5 页，共 45 页5修订

7、文档历史记录修订文档历史记录日期日期版本版本说明说明作者作者2008-4-181.0创建XXX 信息安全管理方针手册第 6 页，共 45 页6一、编制说明一、编制说明1前言前言XXXX（集团）有限公司（以下简称 XXXX）是以软件技术和服务为核心，从事 XX业务服务、系统集成、数据处理等多个信息技术业务领域的股份公司。随着公司 XX 业务服务业务的不断发展，客户对信息安全的要求也日趋严格与系统化，而随着信息技术革命和经济全球化的发展，企业间的竞争已经转为技术和信息的竞争。随着公司业务的快速增长、IT 规模的不断扩大以及客户要求的不断提升，公司业务是否能高效的运作、核心客户群的维持已经越来越依赖

8、于我们是否有稳定、安全的信息系统，以保护公司和客户的知识资产。鉴于信息安全在公司运营管理中越来越重要的地位，公司高层领导不断要求要高度重视信息安全管理和控制工作，加大信息安全投资和人力资源配置。为此，公司成立了信息安全管理委员会以及信息安全管理工作小组，负责在公司全范围建立有效的信息安全管理体系，以确保信息安全机制有效运行。 信息安全管理方针手册作为公司信息安全方面的最高层文件，是公司各项信息安全工作开展的依据，各部门应该严格遵照执行，并可根据本文件规定制定或修订本部门的相关管理规定。2目的目的本方针手册明确公司在信息安全工作方面的总体要求，指导各项信息安全工作的开展，包括：为建立信息及信息处

9、理设施管理程序、作业规程提供指南；为处理各类信息安全事件提供指南，以预防及降低安全事件所造成的损失；教育公司员工，让其了解公司信息资产的保密性、完整性和可用性及其相关的保护方法。3适用范围适用范围本适用性声明书适用于 XX 集团及其所有公司。4引用文件引用文件4.1 ISO27001：2005 信息技术 安全技术 - 信息安全管理体系 规范 信息安全管理方针手册第 7 页，共 45 页74.2 ISO17799：2005 信息技术 安全技术 信息安全管理体系实施细则5手册控制手册控制5.1 手册编制与批准5.1.1 信息安全方针手册由集团信息中心负责信息安全管理人员编制。5.1.2 信息安全管

10、理委员会成员负责对信息安全方针手册的内容进行审查，最终由信息安全管理委员会主任批准。5.2 发行版本5.2.1 信息安全方针手册的版本状态分别在封面和每一页中给出，按阿拉伯数字1.0、1.2、2.0顺序依次递增。5.2.2 信息安全方针手册每章节的修订状况通过“本节修订”标识，在手册内容的每一页上标识其所在章节的“本节修订” 。当修改某章节时，更新一次该章节的“本节修订” ，“本节修订”按阿拉伯数字顺序递增。5.2.3 信息安全方针手册发布满三年或全部章节均已发生修改时，将重新发布手册，并更改手册的版本编号。5.3 发放控制5.3.1 发出的信息安全方针手册分为“受控”和“非受控”两种。5.3

11、.2 受控信息安全方针手册由信息中心按公司信息安全体系文件控制程序的规定进行发放控制。5.3.3 非受控信息安全方针手册经信息安全管理者代表批准后，由行政部门统一发放，手册修改时，将不再对其进行跟踪控制。5.3.4 信息安全方针手册的有效正本由信息安全办公室委托行政办公室负责保管。5.4 手册修改5.4.1 当信息安全方针手册需要修改时，必须经信息安全管理委员会审查，并由信息管理委员会主任批准。5.4.2 每次手册的修改都必须在“信息安全手册修改记录”列明该次修改原因或内容摘要、日期及标志。5.5 定期审核5.5.1 公司通过定期的管理评审和内部信息安全审核，对信息安全方针进行审核，确保信息安

12、全方针的充分性和完整性。 信息安全管理方针手册第 8 页，共 45 页8二、信息安全术语二、信息安全术语1前言前言本章节对与信息安全管理体系相关的术语进行定义，以避免在使用过程中由于定义混淆造成对管理要求的误解。2信息安全术语信息安全术语2.12.1 信息信息(Information):(Information):信息是一种具有价值、需要进行恰当保护的资产，信息以多种方式呈现，如以印刷品、手写稿或电子方式等保存，以邮件、电子邮件、投影方式等进行传递。2.22.2 敏感信息敏感信息(Sensitive(Sensitive Information):Information): 需要某种等级保护的信

13、息，由于有意或无意的泄密、修改或破坏，可能对公司业务运作造成很大损失或危害2.32.3 计算机信息系统计算机信息系统 (Computer(Computer InformationInformation System):System):是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统2.42.4 信息安全信息安全(Information(Information Security):Security):为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制。信息安全包括所以下三个基本要素：1） 保密性 使信

14、息不泄露给非授权的个人、实体或过程,不为其所用。2） 完整性 确保信息及其信息系统免遭破坏及篡改，即系统中的信息与原文档相同，信息处理设施能正常运作。3） 可用性 - 被授权实体所需的资源可被访问与使用，即攻击者不能占用相关资源而阻碍授权者的工作。2.52.5 拒绝服务（拒绝服务（DenialDenial ofof ServiceService）: : 妨碍信息访问或延迟操作时间。2.62.6 威胁（威胁（ThreatThreat）: :导致发生某一非期望事件的可能性，此类事件的发生可能对某一信息、信息系统及组织造成损害。威胁来源有三类：来自自然的威胁、人为的威胁以及意外事件产生的威胁。2.7

15、2.7 脆弱性（脆弱性（vulnerabilityvulnerability）: :某一项或一组资产的弱点、薄弱性，并容易被威胁利用。脆弱性本身不会引起损害，只是一种条件或一组条件，在条件下，被威胁利用后对组织资产造成损害。 信息安全管理方针手册第 9 页，共 45 页92.82.8 风险（风险（riskrisk）: : 威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能波及整个组织。2.92.9 风险评估（风险评估（riskrisk assessmentassessment）：）：识别信息及信息系统威胁与脆弱性发生的可能性，分析对资产造成的影响，以决定风险程度的

16、过程，是风险管理的一部分。2.10 风险管理（风险管理（risk management）: 根据风险评估结果，对组织不可接受的风险，以合理的成本、采取合理的安全控制措施将风险控制在可以接受的水平内，达成控制措施与风险的平衡。 信息安全管理方针手册第 10 页，共 45 页10三、信息安全方针声明三、信息安全方针声明XXXX（集团）有限公司，作为以软件技术与服务为核心的信息技术企业，已充分意识到到信息安全对公司发展及顾客信心的影响，公司管理层决定针对与公司业务运作、顾客和法规要求相关的重要资产建立信息安全管理体系，以向公司顾客、股东、合作伙伴及社会提供充分的信息安全信心。 为此，我们对公司的信息

17、安全管理作出以下声明：1） 系统策划，全面控制 - 系统地识别并评估公司信息资产所面临的风险，并确定风险可接受的程序，针对风险选择并实施相应的控制措施，通过风险管理，降低发生安全事件的可能性。2） 信息安全，人人有责 - 确保公司信息安全，是每个员工的义务和职责，只有每个员工自觉遵守并执行信息安全管理方针、程序、规程以及各类法规要求，才能保证公司信息安全总体目标的实现。3） 灾难预防，永续经营 为保证公司业务持续经营，在各个层面建立业务连续性计划，确保在面临各类可能发生的灾难时，公司业务能够迅速恢复。4） 检查测量，持续改进 持续监视和测量信息安全管理体系，从安全事件中吸取教训，并不断吸收业界

18、优秀标准，不断改善公司信息安全管理体系绩效。 信息安全管理方针手册第 11 页，共 45 页11四、管理组织与职责四、管理组织与职责1. 总则总则1.1 公司建立网络化的信息安全架构，该架构包括：1） 建立由各业务部门管理者组成的信息安全管理委员会，确保对信息安全有明确的措施并得到管理层的支持。2） 由信息中心专职负责信息安全的 IT 管理，确保公司日常信息安全事务由专门的部门负责管理。3） 建立由各业务部门人员组成的信息安全工作组，确保各部门内部的日常信息安全事务由相关的信息安全管理组长或信息安全管理员负责处理。4） 对各个业务管理部门在日常工作中需要负责的信息安全管理活动进行明确规定，确保

19、公司各级人员了解各自岗位的信息安全职责。2. 信息安全职责信息安全职责2.12.1 信息安全管理委员会信息安全管理委员会2.1.1 公司信息安全管理委员会由公司总经理、各业务部门分管副总组成。信息安全管理委员会主要职责包括：a) 建立并批准信息安全方针b) 提出信息安全要求和批准信息安全战略规划c) 明确并批准信息安全管理相关职责d) 就整个XXXX集团的信息安全活动达成一致并提供支持e) 在整个组织中增加对信息安全工作的支持力度f) 对紧急重大安全事故进行响应决策2.1.2 信息安全管理委员会主任由公司总经理兼任，其主要职责参见 2.5。2.22.2 信息安全协调组信息安全协调组2.2.1

20、公司信息安全协调组由各部门第一负责人兼任，主要职责包括：a) 参与信息安全风险评估，研讨并审查风险处置计划b) 参加定期的信息安全管理协调会，并提出改进建议c) 参与信息安全体系文件编写，并审查信息安全管理体系文件 信息安全管理方针手册第 12 页，共 45 页12d) 参与拟订公司信息安全管理目标与指标e) 参与重大安全事件处理f) 参与公司信息安全管理评审2.32.3 信息安全工作小组信息安全工作小组2.3.1 信息安全工作小组主要由各部门兼职的信息安全员组成，主要职责包括：a) 负责本部门信息资产清点及资产清单维护b) 负责对本部门信息安全风险进行评估，并提出初步的处置计划c) 负责参加

21、信息安全管理体系文件编写与修订d) 负责本部门信息安全管理目标与指标的执行与评价e) 在信息安全经理的组织下，对各部门日常的信息安全管理状况进行抽查f) 负责对部门信息安全管理过程中的问题提出并执行纠正与预防措施g) 负责配合行政部完成本部门资产的管理工作：申购、领用、发放、报修、借用、报废、账目登记等h) 部门资产使用情况发生变化及时报集团资产管理员，确保部门资产现状与行政部账目相符2.42.4 信息安全审计小组信息安全审计小组2.4.1 信息安全审计小组主要由公司项目推进部核心员工组成，主要职责包括：a) 负责制定信息安全审计计划b) 负责向全公司宣传信息安全管理的重要性，以提高全体员工信

22、息安全意识c) 负责定期执行公司信息安全检查活动d) 负责编写纠正与预防措施报告，跟踪不符合性问题的整改e) 负责向信息安全管理委员会成员报告公司信息安全现状f) 负责组织对信息安全目标与指标相关数据的收集g) 负责收集并对信息安全体系文件提出改进意见，促进过程改进 信息安全管理方针手册第 13 页，共 45 页132.52.5 信息安全管理委员会主任信息安全管理委员会主任2.5.1 公司信息安全管理委员会主任由公司总经理兼任，主要职责包括：a) 批准XXXX集团信息安全管理相关职责。b) 在整个XXXX集团增加对信息安全工作的支持力度。c) 审查批准XXXX集团风险评估方法、风险评估结果及风

23、险处置计划。d) 审查XXXX集团应急预案。e) 进行定期的信息安全管理体系评审，审查信息安全管理体系管理评审输出报告。f) 负责XXXX集团重大安全事件处理。g) 批准信息安全管理体系内部审核报告。h) 批准残余风险的确认。i) 批准就信息安全问题采取的纠正和预防措施报告。j) 批准XXXX集团网络维护人员、应用系统特权访问权限。2.62.6 信息安全经理信息安全经理2.6.1 公司信息安全经理主要由信息中心主任兼职，主要职责包括：a) 负责组织制订并审核信息安全方针手册b) 负责组织制订并审核信息安全管理程序、规范文件c) 负责向全公司宣传信息安全管理的重要性，以提高全体员工信息安全意识d

24、) 负责组织拟订并审查公司信息安全管理目标及指标e) 负责组织定期的信息安全管理协调会议，并报告信息安全管理现状f) 负责组织信息安全风险评估，审核风险评估报告及风险处置计划，并提交信息安全管理委员会审批。g) 负责组织信息安全管理体系审核，并批准信息安全审核计划及报告h) 负责组织对信息安全目标与指标的测量评价i) 负责批准纠正与预防措施报告，并组织对信息安全管理有效性分析与评价 信息安全管理方针手册第 14 页，共 45 页14j) 负责组织日常的信息安全监督检查活动k) 负责批准启用各类信息处理设备及软件。l) 负责批准IT特权访问权限。m) 负责对重大安全事件提出处理建议。n) 负责组

25、织定期管理评审，向信息安全管理委员会报告信息管理体系状况。o) 负责组织制定公司业务连续性计划，并提交信息安全管理委员会审批。p) 就信息安全事务与外部机构联络2.72.7 信息中心信息中心2.7.1 公司 IT 管理中心设在信息中心，信息中心在信息安全管理方面的主要职责包括：a)负责公司总体的 IT 系统规划b)负责公司内部网络系统管理c)负责公司互联网服务提供及管理d)负责公司统一的用户访问管理e)负责公司信息处理设施管理f)负责公司电话通信系统管理g)负责对开发部门人员的门禁系统权限进行授权操作h)负责对全公司计算机进行病毒防护i)负责根据用户访问权限审批结果，对员工进行网络访问授权处理

26、j)负责组织公司各部门进行全面的信息安全评估k)负责组织公司各部门建立信息安全管理程序及相关作业规程l)负责组织公司各部门收集与信息安全管理相关法律和法规，并汇总与公司业务相关的信息安全法律与法规要求m) 负责信息安全管理体系相关记录的保管n)负责在全公司范围推进信息安全管理体系o)负责组织全公司对信息安全管理体系进行定期审核p)负责对电信运营商、软件提供商、网络服务提供商进行选择、沟通及必 信息安全管理方针手册第 15 页，共 45 页15要的管理控制q)负责处理公司重大的信息安全事件2.82.8 行政部行政部2.8.1 行政部在信息安全方面的主要职责包括：a) 负责本部门信息资产清点b)

27、负责在信息中心组织下，参与风险评估c) 负责在信息安全委员会主任领导下，对公司总体的物理安全进行统一规划d) 负责公司内部日常保安服务提供e) 负责公司供电系统、消防系统、空调系统、照明系统日常及定期维护管理f) 负责公司清洁服务提供g) 负责对公司电梯及其他设备维护的供应商进行选择及控制管理。h) 负责公司软件资产管理i) 负责公司重要档案的归类整理2.92.9 人事部门人事部门2.9.1 人事部门在信息安全管理方面的职责包括：a) 负责本部门信息资产清点b) 负责在信息中心组织下，参与风险评估c) 负责确定公司在信息安全方面的关键岗位d) 负责在员工招聘过程中，对信息安全关键岗位的员工进行

28、必要的筛选e) 负责向全体员工提供信息安全管理意识培训f) 负责建立并实施公司绩效管理系统，在绩效管理系统中融合信息安全管理绩效评估。2.102.10 项目推进部项目推进部2.10.1 项目推进部在信息安全管理方面的主要职责包括：a) 负责本部门信息资产清点 信息安全管理方针手册第 16 页，共 45 页16b) 负责在信息中心组织下，参与风险评估c) 负责参与信息安全管理体系建立d) 负责与信息中心共同将信息安全管理体系要求融合进入公司目前的综合管理体系e) 对综合管理体系文件进行控制f) 对公司重要开发和项目档案进行归档管理。2.112.11 财务部财务部2.11.1 财务部在信息安全管理

29、方面的职责包括：a) 负责本部门信息资产清点b) 负责在信息中心组织下，参与风险评估c) 负责按照信息资产分类及处理要求，对财务部相关的信息进行分类，并按照保密级别要求，对财务部敏感信息进行保管及处理。2.122.12 核心业务部门核心业务部门2.12.1 核心业务部在信息安全管理方面的职责包括：a) 对本部门产生、保管及使用的各类信息资产负最终责任。b) 负责本部门资产清点及资产清单定期更新。c) 负责参与与核心业务相关的风险评估e) 负责参与信息安全管理策略、流程程序及规范的制订f) 负责定期对本部门信息安全状况进行定期检查h) 负责对本部门的员工进行信息安全技能培训i) 负责处理本部门一

30、般安全事件j) 负责向业务范围内信息安全办公室报告重大安全事件k) 负责对本部门信息处理设施管理l) 负责登记并管理本部门使用的各类媒介 信息安全管理方针手册第 17 页，共 45 页17五、信息安全管理体系五、信息安全管理体系1信息安全管理体系范围信息安全管理体系范围1.1 XXXX 信息安全管理体系适用范围包括：业务范围 ：XX 业务项目及业务流程服务外包项目的信息安全管理体系相关部门： 集团管理层、信息安全委员会、人事行政部、财务部、信息中心、项目推进部、华日子公司、恒领子公司等。2信息安全管理体系模型信息安全管理体系模型2.1 XXXX 信息安全管理体系的建立、应用和维护遵循 ISO2

31、7001:2005 推荐的 PDCA的过程模型，即通过策划(Plan)、执行(Do)、控制(Control)和改进(Act)来建立和不断改进公司的信息安全管理体系。策划的目的是建立公司的信息管理体系；执行的目的是将信息安全管理体系加以落实；控制的目的是保证执行的有效性；改进的目的是不断地完善信息安全管理体系。下图为公司信息安全管理体系过程模型示意图：信息安全管理体系过程 信息安全信息安全的需求和的需求和期望期望信息安全信息安全管理工作管理工作结果结果策划策划执行执行改进改进 信息安全管理方针手册第 18 页，共 45 页182.2 XXXX 信息安全管理体系的建立基于业务信息安全的需求和目标，

32、并通过风险评估与管理，保证公司信息安全处于可控的状态。公司信息安全管理体系 PDCA 过程模型各个阶段的核心任务如下：1） 策划 - 公司将信息安全体系建设工作作为每年年度规划项目之一，由信息安全管理委员会、信息安全工作小组具体负责对企业信息安全风险状况进行评估，并依据评估的结果确定公司信息安全体系建设与改善的范围、信息安全目标和策略，其中包括风险控制的目标。2） 执行 信息安全工作小组根据公司信息安全策划阶段的风险评估结果和其它相关输出，制定风险管理计划并控制风险管理计划的有效执行。3） 控制 信息安全工作小组对公司信息管理体系的绩效、安全事件发生状况和残余风险状态进行周期性地、系统化评估并

33、向信息安全管理委员会和其它相关部门报告评估结果；信息安全工作小组定期在企业范围内对信息安全管理体系的符合性进行审核并向信息安全委员会和其它相关部门报告审核结果；信息安全管理委员会定期和对公司信息安全管理体系建立和执行状况进行评审。4） 改进 信息安全工作小组负责解决对所有评估、审核或管理评审识别的问题，并从预防这些问题再次发生的角度，改善信息安全管理体系。3信息安全管理体系文件要求信息安全管理体系文件要求3.1 信息安全管理体系文件结构3.1.1 公司信息安全管理体系文件将与公司现有的 ISO9000 质量管理体系文件、CMM管理体系文件进行整合，整合后的信息安全管理体系文件结构如下：控制控制

34、 信息安全管理方针手册第 19 页，共 45 页19信信息息安安全全管管理理方方针针与与目目标标I IS SM MS S管管理理程程序序整整合合管管理理程程序序信信息息安安全全管管理理程程序序/ /规规范范部部门门内内部部工工作作程程序序作作业业指指引引表表单单模模版版信信息息安安全全工工作作程程序序、作作业业指指引引与与表表单单模模版版风风险险管管理理计计划划( (包包括括风风险险控控制制措措施施）安安全全技技术术规规范范第第一一层层第第二二层层第第三三层层第第四四层层3.1.2 公司信息安全体系文件从结构上分为以下三层：1） 第一层是信息安全方针文件，包括信息安全策略大纲以及信息安全管理目

35、标。信息安全管理方针与目标是信息安全管理的纲要以及信息安全管理体系效能的最终表现结果，所有下层文件都以此为基础进行展开和细化。2） 第二层是信息安全管理体系的核心文件，即风险管理计划。风险管理计划是风险评估的输出文件，通过风险管理计划的执行，最终实现信息安全管理方针与目标。风险管理计划为公司建立信息安全管理体系所需要的程序、指引及规范提供了明确的指引。3） 第三层是是信息安全管理程序及规范，它们是信息安全方针实施的具体化，也是风险管理计划中控制措施的一部分。信息安全管理程序是管理性要求，通常适用于全公司各部门的信息安全管理，为保证信息安全管理体系的特点，并考虑与其他管理体系要求已有管理程序（例

36、如 ISO9000 质量管理程序、CMM 管理程序）进行整合，信息安全管理程序包括信息安全管理体系独有的管理程序以及与其他管理体系整合的管理程序。信息安全管理规范是技术性要求，主要包括信息安全控制措施所涉及到的信息安全技术规范。4） 第四层是是信息安全工作程序、作业指引及表单模版。信息安全工作程序是信息安全管理程序的支持性文件，可以是针对各部门内部特殊的信息安全管理活动而建立，也可以是支持信息安全管理程序的详细工作程序。作业指引主要针对各类信息及信息处理设施的操作和运行所建立的正确规范的作业方法。表单模版则是信息安全管理程序及工作程序的支持性文件，用以记录各类信息安全管理活动的过程和结果。3.

37、2 信息安全管理体系文件控制3.2.1 信息安全管理体系文件控制按照公司信息安全管理体系文件控制程序进行管 信息安全管理方针手册第 20 页，共 45 页20理。3.3 信息安全管理体系记录管理3.3.1 信息安全管理体系记录控制按照公司公司记录与档案管理程序进行管理。六、管理职责六、管理职责1总则总则XXXX 高层领导充分意识到高层管理重视并身先事卒是信息安全管理体系有效运行的基础，因此，XXXX 将通过高层领导发动体系范围内全体员工重视信息安全，通过建立信息安全方针声明、系统地进行风险识别、评估及处置管理、全面的意识和技能培训来实现信息安全管理方针与目标。XXXX 高层管理者将首先向员工展

38、示正确的行为，使所有员工意识到信息安全的有效控制来自于遵守良好的信息安全行为规范、符合程序和规范要求并自觉遵守各自的义务和责任。2管理承诺管理承诺2.1 XXXX 高层领导明确规定公司信息安全管理的总体方向，向客户及相关方就公司主营业务信息安全管理目标做出正式承诺。2.2 XXXX 信息安全管理委员会将对风险评估方法与准则、风险评估结果、风险处置计划及残余风险进行审查与批准，全面了解公司主营业务信息安全风险评估与处置要求以及所面临的各类信息安全业务风险，并在满足公司主营业务需求的基础上，对风险处置做出最终决策。2.3 XXXX 信息安全管理委员会在风险评估基础上，将定义公司主营业务详细的信息安

39、全方针、阶段性目标及量化的信息安全指标，并通过管理评审，了解目标和指标的实现状况，评价信息安全管理体系有效性、适宜性和充分性。2.4 为保证信息安全管理体系有效运行，XXXX 信息安全管理委员会将为公司主营业务提供全面的支持，包括：人力资源和物力资源的支持。 信息安全管理方针手册第 21 页，共 45 页213资源管理资源管理3.1 XXXX 信息安全管理委员会将为建立、实施与维护信息安全管理体系识别并提供充分的资源，包括：1）为信息安全管理提供充分的人力资源和组织，包括：明确公司主营业务以及与其相关业务部门的信息安全管理职能，建立信息安全工作组，以协调和组织信息安全管理的具体工作；2）将信息

40、安全预算作为年度预算计划的一部分，有计划地为信息安全管理提供成本投入的支持；3）全面了解在信息安全管理方面的最新技术与信息，并有计划地应用到信息安全管理业务中。4. 培训、意识与能力培训、意识与能力4.1 XXXX 信息安全管理委员会将通过人力资源部实施以下行动，以确保信息安全管理体系范围内所有员工具备相应的能力完成其岗位工作：1）根据岗位需求，定义各个岗位员工在信息安全方面需要的基本意识与技能2）根据所定义的意识和技能要求，提供相应的培训3）通过定期的绩效考核，评价员工工作能力以及培训效果4）记录并维护员工教育、培训、技能、经验和资格记录。 信息安全管理方针手册第 22 页，共 45 页22

41、七、信息安全管理体系评价与改进七、信息安全管理体系评价与改进1总则总则公司对整个信息安全管理体系和过程进行系统的监视、检查和测量，以确保信息安全管理体系有效执行及持续改进。2信息安全活动及过程监视与检查信息安全活动及过程监视与检查2.1 公司将制订正式的程序，明确规定对信息安全过程及过程的监视要求，需要考虑的监视内容包括：1） 应用必要的监控手段对于攻击类行为进行实时监控和报警，其它违规行为视情况实时、每周或每月定期检查；2） 对网络上关键的信息流进行检查与监控，对异常情况及时输出报告；3） 对内部网络上关键服务的操作系统、应用系统、网络设备的存取控制记录进行检查和监控 4） 对个人计算机、办

42、公区域、岗位员工信息安全行为定期进行安全检查与通报5） 对信息系统建立的操作日志、错误日志等信息进行定期的审查。 2.2 所有的监视与检查应形成记录，并对监视和检查结果进行定期的分析。3信息安全管理体系审核信息安全管理体系审核3.1 公司应确保每年至少对信息安全管理体系进行一次体系审核，信息安全管理体系审核应按照规定的程序执行，审核结果应形成正式的记录。4. 技术符合性审核技术符合性审核4.1 需要时，公司将对信息系统进行必要的符合性检查，技术符合性检查将委托有资 信息安全管理方针手册第 23 页，共 45 页23格和经验的外部机构进行，并按照对分包方的控制要求对外部进行控制。4.2 公司将根

43、据技术符合性检查结果，采取合适的改进措施，并形成正式的记录。5. 管理评审管理评审5.1 每年在适当的时机，公司高层将按照正式的程序对信息安全管理体系运行的有效性、充分性和适宜性进行正式评审。评审结果将形成正式的记录。6. 数据分析数据分析6.1 公司将针对公司发生的安全事件、审核结果、监视和检查结果等数据进行收集和分析，以确定信息安全管理的趋势，并根据分析结果，采取必要的改进措施。7. 纠正和预防措施纠正和预防措施7.1 公司在信息安全管理体系审核、技术符合性审核、管理评审以及数据分析过程中识别的问题、薄弱环节及趋势，应按照规定的程序，考虑采取纠正或预防措施，以防止问题的重复发生。 信息安全

44、管理方针手册第 24 页，共 45 页24八、信息安全基本方针八、信息安全基本方针1总则总则XXXX 根据所确定的信息安全管理范围、信息安全管理方针声明及公司业务需求，在风险评估基础上，结合 ISO27001:2005 标准要求，参照业界惯例及方法，对信息安全管理基本的原则要求进行明确规定，为公司主营业务信息安全管理提供方向。2信息安全管理基本方针描述信息安全管理基本方针描述2.1 XXXX 信息安全工作组针对信息安全管理的各个领域均制订了明确的管理方针，这些领域包括：1）风险评估管理 方针手册九章节进行描述2）信息安全组织 - 方针手册十章节进行描述3）资产管理 - 方针手册十一章节进行描述

45、4）人力资源安全 - 方针手册十二章节进行描述5）物理和环境安全 - 方针手册十三章节进行描述6）通讯及运作安全 - 方针手册十四章节进行描述7）访问控制 - 方针手册十五章节进行描述8）信息系统获取、开发与维护 方针手册十六章节进行描述9）信息安全事件管理 -方针手册十七章节进行描述10）业务连续性管理 - 方针手册十八章节进行描述11）法律和法规符合性 -方针手册十九章节进行描述 信息安全管理方针手册第 25 页，共 45 页25九、风险评估管理九、风险评估管理1前言前言公司的信息安全管理体系将建立在风险评估的基础上。公司应确保信息安全工作小组将针对信息安全管理体系范围内所涉及的信息资产进

46、行定期的风险评估，并根据风险评估结果，对风险进行管理。2风险评估方法与准则风险评估方法与准则2.1 公司应建立书面的程序，明确公司信息资产的分类方法、资产清单建立和维护要求，应根据程序要求清点公司重要的信息资产，建立并维护信息资产清单。2.2 公司应根据信息资产性质，确定敏感信息的划分等级，并根据敏感信息的等级，明确不同等级敏感信息标识和处理程序，以确保敏感信息的储存和处理得到保护。3风险评估风险评估3.1 公司应根据信息安全的保密性、可用性和完整性原则，制定风险评估程序和准则。风险评估应符合以下原则：组建风险评估小组，保证风险评估小组成员了解资产及相关风险；识别资产，建立信息资产清单对资产重

47、要进行评估识别资产面临的威胁识别资产脆弱性确定现有的控制措施计算风险程度根据事先设定的准则，对风险进行排序3.2 风险评估的结果应形成正式的风险评估报告，详细说明风险评估程序及准则、风险评估结果、需要采取控制措施的风险、建议高层接受的残余风险。4风险管理风险管理4.1 公司信息安全管理委员会应审查并批准风险评估结果，系统了解公司信息资产所面临的风险，并接受残余的风险。 信息安全管理方针手册第 26 页，共 45 页264.2 针对风险评估结果，对不可接受的风险应明确具体的控制措施，并编制风险管理计划，明确针对各类风险将采取的控制措施、责任部门以及完成时间。4.3 公司的信息安全风险评估应是动态

48、的，公司应每年对风险管理状况进行全面评估，确定是否有新的风险产生，并确定是否需要采取新的控制措施。4.4 除了年度的风险状况评估外，应确保在出现以下情况时，进行必要的风险评估：启动新的软件开发项目时；增加新的信息处理设施时或信息处理设施发生变化时；信息资产重要级别发生变化时；新的分包活动涉及信息安全时；信息安全管理体系范围扩大时。5、风险处置、风险处置5.1 信息安全工作小组将针对风险评估结果，根据风险接受准则及优先排序准则，研讨控制目标和措施，针对每项控制措施，考虑法规要求、成本投入及与风险严重程度，最终确定选择的控制措施。5.2 所选择的控制措施应形成正式的风险处置计划，其中应包括管理性控

49、制措施与技术性控制措施，并确定每项控制措施的成本、责任部门及完成时间。5.3 对于所选择的风险控制措施，信息安全工作小组应基于风险控制措施，评价残余风险大小。5.4 风险处置计划及残余风险确认结果最终提交信息安全办公室经理审查，并最终提交信息安全委员会审查批准，以确认所采取的的风险控制措施，并接受残余风险。 信息安全管理方针手册第 27 页，共 45 页27十、信息安全组织十、信息安全组织1信息安全管理架构信息安全管理架构为确保信息安全管理体系的有效运行，公司建立网络化、跨部门的信息安全管理架构，该架构包括： 建立由高层管理人员组成的信息安全管理委员会，确保对信息安全有明确的措施并得到管理层的

50、支持。作为公司信息安全管理的最高支持和决策机构，该组织成员构成及职责参见本手册第五章“信息安全组织及职责” 。建立专职的负责信息安全的 IT 管理中心，确保公司日常信息安全事务由专门的部门负责管理。该部门有关信息安全管理方面的职责参见本手册第五章“信息安全组织及职责” 。建立由各业务部门人员组成的信息安全工作组，确保各部门内部的日常信息安全事务由相关的信息安全管理组长或信息安全管理员负责处理，信息安全工作组的职责参见本手册第五章“信息安全组织及职责” 。对各个业务管理部门在日常工作中需要负责的信息安全管理活动进行明确规定，确保公司各级人员了解各自岗位的信息安全职责。2组织间合作组织间合作公司与

51、执法部门、管理部门、信息服务商和相关供应商建立合作关系，对需要明确规定的义务和责任，将通过正式的合作协议规定，以保证在发生安全事故时，能迅速采取行动和获得帮助。3专家建议专家建议公司在必要时，可聘用专家提供信息安全建议。4信息处理设施授权信息处理设施授权公司建立正式的管理授权过程以确保控制新的信息处理设施的启用过程。5、第三方访问安全、第三方访问安全5.1 公司在进行风险评估时， 将识别各类信息资产所面临的第三方访问的风险，并根据评估结果确定控制措施，包括与接触公司信息的第三方签署保密协议，并与在公司工作的第三方人员签署个人保密协议，对于第三方人员不该访问的信息应该采取办公区域分离、 信息安全

52、管理方针手册第 28 页，共 45 页28网络逻辑分离等措施。对于第三方人员需要访问的信息须采取严格的申请和审批制度，以限制第三方人员只能获得有限的信息资产权限5.2 对所识别的第三方访问的风险，公司将明确要求第三方访问在正式的合约文件中规定具体的安全控制要求。 信息安全管理方针手册第 29 页，共 45 页29十一、资产管理十一、资产管理1总则总则XXXX 将对客户外包的软件项目、业务流程项目的保障系统、服务过程进行识别，并明确资产管理责任人，同时将根据信息资产的敏感程度，对资产保密级别进行分类处理。2资产职责资产职责2.1 XXXX 将识别为保证客户外包项目的正常研发所需要的服务过程、支持

53、保障系统以及这些系统中所涉及的信息资产，并对各类资产进行分类，建立 XXXX 资产清单，明确资产责任人。2.3 针对重要的信息处理设施，XXXX 将在风险评估的基础上，编制正式的使用指南，以保证使用者正确使用信息处理设施，必要时，将使用指南提供给客户。3信息分级信息分级3.1 XXXX 将根据客户外包项目服务过程所涉及、产生和保管的信息资产性质，确定敏感信息的划分等级，并形成正式的文件。3.2 在敏感信息分级的基础上，将明确不同等级敏感信息标识和处理程序，以确保敏感信息的储存和处理得到保护。 信息安全管理方针手册第 30 页，共 45 页30十二、人员安全十二、人员安全1前言前言1.1 XXX

54、X 将明确规定信息安全管理体系范围内各岗位的工作职责，并通过实施规范的员工招聘、聘用、保密规定、人员离职及转岗程序，降低人为错误及人员欺诈等方面的风险。1.2 为确保员工及第三方人员在信息安全方面的意识，XXXX 工作小组将确定信息安全管理方面的培训需求，并按照规定的程序组织或提供相关的信息安全意识培训。2. 雇佣前雇佣前2.1 为降低人为错误、偷盗、欺诈及设施误用，针对与公司核心业务服务相关的各岗位员工，将明确规定相关员工在信息安全管理方面的职责，并形成书面的工作职责描述文件。2.2 对涉及信息安全相关的工作岗位，将明确规定人员招聘审查要求，并根据规定的审查要求对后选人员进行审查，以确保招聘

55、的人员的条件满足规定的信息安全管理要求。2.3 对所有涉及信息安全管理岗位的员工，在入职前，应按照规定的程序，与各岗位员工签订保密协议，并在员工劳动合同中明确规定员工信息安全的职责和义务。3. 雇佣中雇佣中XXXX 以及与 XXXX 业务相关的部门管理人员应通过日常沟通与协调，要求员工或第三方人员遵守公司信息安全管理程序及规范要求。XXXX 信息安全工作组应根据业务需求，确定各岗位员工信息安全意识和技能培训需求，并按照规定的员工培训管理程序，组织相关岗位员工进行信息安全意识以及必要的信息安全技能培训,并保存信息安全培训记录。4.雇佣终止或转岗雇佣终止或转岗公司将建立正式的程序，明确规定员工离职

56、或转岗时需要办理的手续和职责，包括：A、明确离职/转岗过程办理手续的责任人B、明确离职/转岗需要归还的资产，特别是 IT 资产C、明确删除网络及系统访问权限的要求以及重申保密要求 信息安全管理方针手册第 31 页，共 45 页315. 培训培训公司应确定各岗位员工信息安全意识和技能培训需求，并按照公司规定的员工培训管理程序，组织相关岗位员工进行信息安全意识以及必要的信息安全技能培训,并保存信息安全培训记录。 信息安全管理方针手册第 32 页，共 45 页32十三、物理与环境安全十三、物理与环境安全1总则总则公司将通过风险评估，识别物理与环境安全对信息资产可能造成的风险，并采取合适的措施，对物理

57、和环境安全进行管理。2安全区域安全区域2.1 场地安全2.1.1 区域划分 - 对公司的办公地点必须根据业务内容的不同划分相应的控制区域，公司的业务部门应根据工作性质划分相应的安全级别，并建立相应的访问控制措施，所有受控区域必须指定信息安全管理责任人2.1.2 出入控制 - 对出入控制应建立出入控制制度，应确保所有进入控制区域的访问必须经过审批和登记，所有进入控制区域的人员都必须佩带明显的身份标识卡，第三方人员进入控制区域必须有公司接待人员陪同。2.1.3 安全保障 公司所有受控区域必须安装门禁系统及监视器，对存放计算机设备存储区域应该安装防火等装置。2.1.4 安全区工作 应确保所有在安全区

58、工作的人员，遵守相关的制度，任何人未经批准禁止在控制区域拍照、摄像。3设备安全设备安全3.1 各相关部门应根据设备及其运行系统的重要程度，将设备放置到相应级别控制区域，并根据设备及其运行系统的重要程度建立防盗、报警、监控等保护措施。3.2 对影响信息安全的重要设备采取电力供应保护措施，以防止由于电力供应故障造成的信息丢失或损毁。3.3 对电力电缆或各类信息数据通信电缆采取适当的保护措施，以防止由于电缆故障对信息安全产生的危害。3.4 对各类影响信息安全的重要设备，按照设备使用手册要求或书面的操作程序进行维护，以确保设备持续运行的能力。3.5 公司对手提电脑的使用进行授权管理，任何使用手提电脑外

59、出公干人员，应了解手提电脑安全使用要求，并采取必要的安全控制措施. 信息安全管理方针手册第 33 页，共 45 页333.6 公司应根据明确规定手提电话使用的控制措施，以保证手提电话通讯过程中的信息安全。3.7 公司建立并实施书面的控制程序，对设备报废和重新使用的安全进行控制。4存储介质存储介质4.1 公司应确保存储介质的使用必须有授权和记录，存储介质的销毁必须按公司批准通过的销毁方式销毁。5基本控制措施基本控制措施5.1 为减少信息的非授权访问、丢失及损毁， 公司执行“台面及电脑屏幕空净政策” ，即： 所有使用办公台、个人电脑、手提电脑的人员，当不在办公台工作或电脑不使用时，应确保办公台面不

60、存放任何公司信息资料，及电脑屏幕处于被保护状态。 5.2 公司所有与信息安全相关的设备、信息资料及软件在进行迁移时，必须按照规定的程序进行授权批准放行后方可进行迁移。 信息安全管理方针手册第 34 页，共 45 页34十四、通讯与运行安全十四、通讯与运行安全1总则总则公司将根据风险评估结果，对计算机信息系统的通信和运行进行控制，以降低系统通信和运行过程对信息安全产生的危害。2程序和职责程序和职责2.1 公司根据风险评估结果，对公司信息系统明确规定并执行正式的运作程序，这些程序大致包括：网络基础架构配置管理程序网络运行监控管理程序网络系统变更管理程序网络安全事件处理程序重大安全事件响应处理程序2