ISMS信息安全建立说明纲要(基础知识)

1、2022-3-6杨兴杨兴文文 2012年8月15日ISO/IEC 27001重要项提示与案例说明地地 址：址：深圳市福田区深南大道6006号人民大厦华丰楼五楼 邮邮 编：编：518063电电 话：话传传 真：真83088619E-Mail：yang_手手 机：机：139257007732信息安全的建立介绍与说明信息安全的建立介绍与说明4 4信息安全事件事故处理信息安全事件事故处理5 5信息安全的信息安全的PDCAPDCA确定须进行机密管理的信息，实施机密管理所必要的规则。建立可有组织地推进信息安全的组织。实施保密的誓约等的防止信息泄露

2、的人的对策。明确发生事故时的处理方法，并加以实施。实施可推进持续改善活动的信息安全管理。信息安全建立工作的整体情况如下：信息安全建立工作的整体情况如下：31 1确立信息安全组织组织确立信息安全组织组织1-1.1-1.建立信息安全管理相关组织组织建立信息安全管理相关组织组织。组织的例子组织的例子：设置信息安全的最高责任人（CSO）。基于经营方针，设置决定和推进全公司的安全方针的营运委员会、推进责任人 和专家（责任人）等。设置进行信息安全相关事项的审议和认可的职能部门（人事、总务、技术管理 部门等）的代表委员会。在各工作部门设置工作部门的推进责任人（组织责任人等）。工作部门推进主管（由工作部门的组

3、织责任人委任）作为经营责任的一个环节进行推进信息安全委员会信息安全推进责任人信息安全推进专家工作现场作为业务管理的一个环节进行推进员工41 1确立信息安全组织组织确立信息安全组织组织1-21-2制定信息安全相关规则的书面文件制定信息安全相关规则的书面文件。1-31-3对于组织内的信息安全实施项目，要明确责任人及其相关任务和责任对于组织内的信息安全实施项目，要明确责任人及其相关任务和责任。1-3 参考资料：推进组织组织表将信息安全的确保作为经营课题，由领导人宣布实施将信息安全的确保作为经营课题，由领导人宣布实施。要建立可有组织地决要建立可有组织地决定和推进的组织定和推进的组织。作为组织整体，为了

4、有效地推进信息安全对策的要点：作为组织整体，为了有效地推进信息安全对策的要点：1 1可在公司内部统一意识并实行的组织组织可在公司内部统一意识并实行的组织组织2 2明确实施责任人及其任务和责任明确实施责任人及其任务和责任3 3制定明文化的信息安全方针和规则并贯彻周知制定明文化的信息安全方针和规则并贯彻周知（培训）（培训）1-2 参考资料：XX电器的信息安全方针52 2信息资产的机密管理信息资产的机密管理2-12-1机密信息的明确化机密信息的明确化2-1-12-1-1制作由本公司指定的机密信息以及利用该信息创造出的机密信息的管理制作由本公司指定的机密信息以及利用该信息创造出的机密信息的管理列表，并

5、加以明确列表，并加以明确。在推进信息安全的过程中，在推进信息安全的过程中， 要明确须要明确须保护的是什么，这一点很重要保护的是什么，这一点很重要。通过明确应保护的信息，可确定处理信通过明确应保护的信息，可确定处理信息的人员和场所、工作程序息的人员和场所、工作程序。由此，可设置对信息的威胁，选择必要由此，可设置对信息的威胁，选择必要的管理对策并能够确认脆弱性和有无风的管理对策并能够确认脆弱性和有无风险险。2-1-1参考资料：盘点表适用于供应商信息安全基准的信息由本公司指定的 “机密信息”和由指定“机密信息”所创造出的信息。（参见“基准附则2.” ）盘点表中，将1本公司指定的机密信息（文件、电子数

6、据、化体品（技术载体）等）2创造出的机密信息（文件、电子数据、化体品（技术载体）等）按照各管理单位制作列表。创造出的机密信息的例子：模具、试制品、软件、CAD图纸、电路图、失败产品、测试数据等对于列表中的机密信息，适用供应商信息安全基准的管理对策，确保安全。盘点表的编制我把组织里的盘点表都汇总好了。我们的组织里居然有这么多的机密信息，真应该好好地加以管理。实行实行组织责任人应编制盘点表。组织责任人应按秘密信息和绝密信息分别编制包括其记录在内的盘点表。62 2信息资产的机密管理信息资产的机密管理2-1-2对管理列表中的机密信息进行适当的安全管理对管理列表中的机密信息进行适当的安全管理。 制定标示

7、、保管和访问等相关信息保护的管理规则。 关于业务区域，参见 “项目2-3”参照机密标示废弃 访问加密保管复制/复印责任人认可分发/通信方法向他人公开带出加密责任人认可打印复印邮寄发传真利用网络上锁秘Confidential访问权限权限者一览表访问记录碎纸机内容加密保存至硬盘 必要时业务区域以上保密合同要要要要i4rjjg/hw?o3/h7t要要带条件可以必要范例：直接当面交付责任人管理要要责任人认可确认收件人MEIConfidential机密信息业务区域以上定期检查即使在集团，对于不执行该信息相关业务的部门以及成员，也要作为其他人员看待。确认收件人责任人管理72 2信息资产的机密管理信息资产的

8、机密管理2-1-3由责任人定期地对管理列表以及管理的实际状况进行重审。由责任人定期地对管理列表以及管理的实际状况进行重审。根据交接记录和业务结果，评价符根据交接记录和业务结果，评价符合基准的机密信息是否被列入列表合基准的机密信息是否被列入列表中。中。信息的机密性会发生变化信息的机密性会发生变化。例如，例如，新商品新商品的设计相关信息，在的设计相关信息，在发售前为机密信息，在发售后，机发售前为机密信息，在发售后，机密性将不存在密性将不存在。还要通过定期的重新确认，重审适还要通过定期的重新确认，重审适用基准的机密信息是否被适当地追用基准的机密信息是否被适当地追加和删除加和删除。该信息已返还给松下，

9、故从列表中删除盘点表的重审对盘点表定期地进行盘点表核查。对于秘密信息，至少要每年进行一次重审；对于绝密信息，至少要每季度进行一次重审。实行实行盘点表82 2信息资产的机密管理信息资产的机密管理2-2物理管理与物理管理与IT技术的应用技术的应用为了能够限制无关人员进入公司区域、建筑物以及房间内而进行了区域区分。为了能够限制无关人员进入公司区域、建筑物以及房间内而进行了区域区分。业务区域业务区域重要区域重要区域共用区域共用区域CRCR监视摄像机监视摄像机电锁等电锁等监视摄像机CRCR为了限制对物理信息的访问，须对区域进行划分为了限制对物理信息的访问，须对区域进行划分。 共用区域：共用区域：该区域用

10、于与外来人员进行商洽和接收货物等，不保管一般的公开信息以外该区域用于与外来人员进行商洽和接收货物等，不保管一般的公开信息以外的信息的信息。 业务区域：业务区域：是员工进行日常业务的区域是员工进行日常业务的区域。公司内部的信息公司内部的信息（包括由本公司交付的机密信包括由本公司交付的机密信息要保管于该区域以上级别区域，限制无关人员进入，即使是公司员工，与本息要保管于该区域以上级别区域，限制无关人员进入，即使是公司员工，与本业务无关的人员也不得进入业务无关的人员也不得进入。 重要区域：重要区域：该区域用于进行特别重要的业务，保管重要信息以及服务器等该区域用于进行特别重要的业务，保管重要信息以及服务

11、器等。从共用区域从共用区域进入时须通过业务区域才能进入进入时须通过业务区域才能进入。要实施严格的出入管理要实施严格的出入管理。92 2信息资产的机密管理信息资产的机密管理2-3必要必要措施：措施：须设置围墙、须设置围墙、ID卡认证、监视摄像机、传感器等。卡认证、监视摄像机、传感器等。制作围墙、ID卡认证、监视摄像机、传感器等的设置图等，并加以管理。例如：重要区域：以监视摄像机监视入口处，出入室管理则通过例如：重要区域：以监视摄像机监视入口处，出入室管理则通过ID卡认证取得日志卡认证取得日志 业务区域：入室的管理应通过业务区域：入室的管理应通过ID卡认证取得日志卡认证取得日志公司区域/停车场/外

12、围部分员工通行门办公室/放映室重要区域保安室/物理安全责任人室外监视摄像机红外线传感器监视摄像机非接触式IC读卡器门非接触式IC读卡器监视摄像机非接触式IC读卡器服务器室监视摄像机非接触式IC读卡器人体认证（虹彩）公司区域/外围部分室外监视摄像机红外线传感器监视摄像机人体感知传感器楼梯监视控制装置正门门厅监视摄像机非接触式IC读卡器监视摄像机人体感知传感器大厅非接触式IC读卡器监视摄像机工厂/实验楼模具/重要资料管理室非接触式IC读卡器监视摄像机102 2信息资产的机密管理信息资产的机密管理 访问电子化信息时，每个人要使用自己的访问电子化信息时，每个人要使用自己的ID和密码，并记录谁访问了与本

13、和密码，并记录谁访问了与本 公司共享的机密信息。公司共享的机密信息。每个人应使用自己的每个人应使用自己的ID和密码，并和密码，并保留访问日志，这样，在出现对电保留访问日志，这样，在出现对电子化信息的异常访问时，可以确定子化信息的异常访问时，可以确定原因和访问者原因和访问者。也有可自动取得文件访问日志的应也有可自动取得文件访问日志的应用程序用程序。好，那就用责任人的ID访问这份机密信息吧禁止非法访问禁止非法访问禁止访问没有访问权限的信息和使用他人的ID。112 2信息资产的机密管理信息资产的机密管理 由系统管理单位（或提供单位）指定防病毒软件（杀毒软件）的种类和版本等，进行 导入使用。在公司内部

14、使用的防病毒对策在公司内部使用的防病毒对策软件，应决定它的种类和版本，软件，应决定它的种类和版本，使所有的电脑能够适时地实施使所有的电脑能够适时地实施相同的必要对策，并加以管理。相同的必要对策，并加以管理。病毒对策软件的常年使用病毒对策软件的常年使用电脑和服务器上，应常年安装有着防病毒软件。因为安装了防病毒对策软件，所以放心了。实行实行应根据信息管理者指定的必要事项，在所有的信息系统设备上，安装防病毒对策软件的最新版本。123 3人的人的对策对策即使是由于洽谈即使是由于洽谈、休息休息、其它的其它的事情而需暂时离开座位，也应注事情而需暂时离开座位，也应注意不要让信息泄露给不应知道的意不要让信息泄

15、露给不应知道的人员人员。例如，即使是例如，即使是2、3分钟，也可用分钟，也可用记录媒体等复制大量的数据记录媒体等复制大量的数据。离开座位时的应对离开座位时的应对我去取一下追加的文件。我原来还打算偷看一眼呢。注销在离开座位时，要进行注销或对画面进行锁定。实行实行在A、B、C所有的区域里，在离开座位时，要进行注销或对画面进行锁定。画面的锁定设置画面的锁定设置啊，我原来想偷看一眼，却被锁定了。画面锁定嗯。所以说，关于这件事情，它现在是这样的应进行相应设置，使得无输入状态最多持续5分钟，画面就会被锁定。实行实行禁止随意放置机密信息禁止随意放置机密信息好极了，好极了，趁着这个时机好，那就去吃午饭吧。不得

16、将机密信息、绝密信息放置在桌面上。除了使用时之外，平时应放在桌子的抽屉里或带锁柜子里上锁保管。不得将它放置在桌面上而离开座位。3-1信息安全的启蒙、培训以及训练信息安全的启蒙、培训以及训练 新老员工，基本知识和常识性培训必不可少。新老员工，基本知识和常识性培训必不可少。133 3人的人的对策对策3-2与员工等签订保密合同与员工等签订保密合同3-2-1就业规则就业规则中含有中含有保密项目，取得员工签署的保密合同。保密项目，取得员工签署的保密合同。3-2-2派遣员派遣员工上岗前，应取得其签工上岗前，应取得其签署的保密合同。署的保密合同。a）进行与公司员工同等的保密管理，并管理保密合同。3-2-3委

17、托业务时，委托对象要取得员工签署的保密合同。委托业务时，委托对象要取得员工签署的保密合同。a）进行与公司员工同等的保密管理，并管理保密合同。应确认接触信应确认接触信息资产的所有息资产的所有人员是否履行人员是否履行了保密的任务了保密的任务和责任。和责任。3-2参考资料：保密相关保密合同（例子）保密义务保密义务你以前在本公司集团干过，对吧？能告诉我一些你在本公司时知道的信息吗？对于业务上知道的信息，必须予以保密。实行实行员工等在职时，当然不用说要保密；即使在离职之后，对于业务上知道的信息，也有保密的义务。离职后的保密责任离职后的保密责任关于那些信息，我负有保密义务，所以什么都不能说。请在保密合同上

18、签字，保证在离职后也将保守机密。在员工等离职后，应对离职后的保密责任，再次予以确认。而且，要让即将离职的员工归还或删除其所持有的信息。录用时对保密义务的确认录用时对保密义务的确认明白了。正如在关于录用的事项中明确记载的那样，你今后将对信息安全负有责任。对员工等采取的措施对员工等采取的措施实行实行实行实行在录用时，应对保密义务进行确认。在录用时，作为雇用条件，应明确员工负有信息安全方面的责任。对于中途录用者，应确认该员工对以前的任职公司的保密义务。项目会议如果大家不提交这份保密合同的话，就不能参加这个项目，因此，请大家合作。对于参加需要高度保密的项目成员，应让他们提交保密合同。组织责任人应让参加

19、的成员提交保密合同，保证彻底地贯彻严格的机密管理。离职后的保密相关保密合同144 4信息安全事件事故处理信息安全事件事故处理4-1设置了事故发生时的联络设置了事故发生时的联络/应对的责任人，建立事故报告组织。应对的责任人，建立事故报告组织。 a)要建立相关组织，使当发现信息安全上的问题或感觉到发生的危险时，或目击了事件 事故、发现了事件事故的痕迹时，能够迅速向贵公司的信息管理责任人报告。信息安全事故的例子：信息的泄露、非法访问、非法获取、病毒事故、可用性的丧失（系统停止、数据被 破坏等）完整性的丧失（数据的篡改、删除）当存在事故的征兆时，应防患事故当存在事故的征兆时，应防患事故于未然；当发生事

20、故时，为了抑制于未然；当发生事故时，为了抑制受害程度的扩大，须迅速与相关人受害程度的扩大，须迅速与相关人员联络员联络。通过所在组织的责任人或信息安全通过所在组织的责任人或信息安全责任人等，与信息安全部门联系，责任人等，与信息安全部门联系，根据需要，还应与其他相关人员联根据需要，还应与其他相关人员联系系。重要输出：事故紧急联络组织表我把保存有本公司信息的电脑忘在电车上了。问题或事件事故的发生问题或事件事故的发生实行实行在发生有关信息安全的问题或事件事故时，应立即进行报告。员工等，应按照规定的程序进行报告154 4信息安全事件事故处理信息安全事件事故处理4-2对于与本公司共享的机密信息，在发现了上

21、述问题以及事件事故或感觉到发生对于与本公司共享的机密信息，在发现了上述问题以及事件事故或感觉到发生的危险时，要迅速向的危险时，要迅速向公司主管负责人公司主管负责人通报。通报。 a)规定了报告渠道、从事故发生到通报为止的时间等，并加以贯彻周知。4-3完备发生了信息安全事故时的应对手册，完备发生了信息安全事故时的应对手册，明确处理步骤明确处理步骤。 a)把握受害状况和使受害影响最小化的紧急处理 b)查明原因和暂定措施 c)采取措施，规定信息泄露时向该第三方报告等，可使相关人员能够进行自卫以及相关处理 d)必要时，应进行宣传处理，向相关政府机关报告处理得越晚，受害程度越会被处理得越晚，受害程度越会被

22、扩大扩大。为了在事故发生时能够迅速应为了在事故发生时能够迅速应对，而且，为了防止处理遗漏，对，而且，为了防止处理遗漏，应完善手册应完善手册。应决定供应商、本公司双方的事故联络窗口，将从事故发生到通报为止应决定供应商、本公司双方的事故联络窗口，将从事故发生到通报为止的时间规定在的时间规定在48小时小时以内（例以内（例子子），并贯彻周知，并贯彻周知。对事故的紧急应对处理对事故的紧急应对处理实行实行 ，你马上和相关部门联系。 先生/小姐，你去确认一下事故的详细情况。应进行紧急应对处理，将事故所造成的受害程度限制在最小限度。对信息安全事故进行处理的责任，由事业领域公司及下属的事业部门的事业责任人承担。

23、164 4信息安全事件事故处理信息安全事件事故处理4-4记录事故的经过和处理的经过。记录事故的经过和处理的经过。4-5要迅速实施防止要迅速实施防止事故再次发生事故再次发生的对策，并贯彻周知。的对策，并贯彻周知。若不查明事故的原因，不及时对策，若不查明事故的原因，不及时对策，则有可能再次发生同样的事故。则有可能再次发生同样的事故。特别是要提高员工对事故原因和结果、特别是要提高员工对事故原因和结果、采取对策的意识，这是非常重要的采取对策的意识，这是非常重要的。4-4参考资料：事故报告书查明事故的原因查明事故的原因我们认为，原因在于将 ，当成了 。因此，为了防止再次发生实行实行应查明事故的原因，采取旨在防止再次发生的对策。175 5信息安全的信息安全的PDCAPDCA5-1规定了有组织的信息安全活动的自主检查内容。规定了有组织的信息安全活动的自主检查内容。建立可定期地检查信息安全的实际情况的组织建立可定期地检查信息安全的实际情况的组织。实施检查，掌握异常点实施检查，掌握异常点。将检查结果报告给处于