ISMS审核员培训教程

ISMS审核员培训教程目录第一部分案例 1XX公司介绍 XX公司ISMS文献 第二部分练习 1练习一：拟定审核范畴 2练习二：编制审核方案和审核计划 3练习三：风险评定评审 4练习四：编制检查表 5练习五：判断不符合项 第一部分案例XX公司介绍略部门重要职责以下：生产部：按照客户规定，负责数据加工生产，是公司核心业务部门。质量确保部：负责数据加工生产过程中的品质确保，ISO9001质量管理体系和GB/T22080-/ISO/IEC27001:信息安全管理体系的运行。IT部：负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。市场营销部：制订和实施营销方略，开发客户，实现销售。财务部：财务计划的制订和实施，日常结算、税务等会计业务。行政部：负责公司后勤保障和日常运行事务。人力资源部：制订和实施人力资源计划，涉及人员招聘、绩效考核、岗位职责定义。XX公司ISMS文献部分XX公司ISMS文献以下。ISMS方针信息安全管理体系方针目的和合用范畴信息安全管理体系方针指明了公司的信息安全目的和方向，并能够确保信息安全管理体系被充足理解和贯彻实施。另外，本文献还描述了公司的信息安全管理体系的范畴。本文献合用于公司信息安全管理体系涉及的全部人员和过程。信息安全定义公司对信息安全的定义是：确保公司业务所依赖的信息和信息系统的保密性，完整性，可用性；信息安全方针和目的公司信息安全方针为：主动防止、及时发现、快速响应、确保安全。公司的信息安全目的是：满足已识别的信息安全规定，涉及法律法规、客户与有关方和公司业务规定，具体目的涉及：商业秘密信息泄漏事故为零。引发公司重要产品研发与生产中断时间累计不能超出1小时/年。引发公司重要产品研发与生产中断事故发生次数不大于3次/年。信息安全管理机构为了确保公司信息安全工作有一种明确的方向和获得可见的管理者支持，公司设立信息安全领导小组，负责：制订信息安全方针和目的；建立公司信息安全角色和职责提供公司ISMS所需要的资源；领导建立和实施公司ISMS；监督和检查公司信息安全工作；制订和实施信息安全工作的奖惩政策。职责公司的最高管理者负责建立和评审此文献。公司的信息安全管理人员要通过适宜的原则和程序实施信息安全方针。公司全部员工及其合约供货商必须按摄影应的程序，维护此方针，全部员工有责任报告信息安全事件，以及识别信息安全风险。重要原则和符合性规定公司全部员工应明确，在信息安全方面满足下列原则和符合下列规定是必须的：法律法规和合同规定的符合性信息安全安全意识恪守公司全部信息安全方略和操作规程评审本文献需要定时被评审，12个月内评审一次，当信息安全管理体系发生重大变化时，也应评审，以维持其合用性。信息安全领导小组负责本文献的评审。实施本方针自2006年5月15日由公司总经理签订并颁布实施。合用声明（SOA）合用性声明目的为描述与组织的信息安全管理体系有关的和合用的控制目的和控制方法的文档，制订此文献。范畴本文献合用于公司ISMS覆盖范畴内的全部员工和全部活动。合用性声明条款目的控制方法与否选择/及理由A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文献根据业务规定和有关法律法规提供管理指导并支持信息安全。信息安全方针文献应由管理者同意、公布并传达给全部员工和外部有关方。选择信息安全工作规定所拟定，见《信息安全管理体系方针》。A.5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充足性和有效性。选择信息安全工作规定所拟定，见《信息安全管理体系方针》。A.6信息安全组织A.6.1内部组织A.6.1.1信息安全的管理承诺在组织内管理信息安全。管理者应通过清晰的阐明、可证明的承诺、明确的信息安全职责分派及确认，来主动支持组织内的安全。选择？？？？A.6.1.2信息安全协调信息安全活动应由来自组织不同部门并含有有关角色和工作职责的代表进行协调。选择，风险评定成果所拟定，见《信息安全管理体系方针》。A.6.1.3信息安全职责的分派全部的信息安全职责应予以清晰地定义。选择，？？，见《信息安全岗位职责描述》。A.6.1.4信息解决设施的授权过程新信息解决设施应定义和实施一种管理授权过程。选择，（写进信息安全方略）A.6.1.5保密性合同应识别并定时评审反映组织信息保护需要的保密性或不泄露合同的规定。选择，满足客户合同和公司的规定，见《保密制度》。A.6.1.6与政府部门的联系应保持与政府有关部门的适宜联系。选择，？？，见《对外联系表》。A.6.1.7与特定权益团体的联系应保持与特定权益团体、其它安全专家组和专业协会的适宜联系。选择，获取行业信息，见《对外联系表》。A.6.1.8信息安全的独立评审组织管理信息安全的办法及其实施（例如信息安全的控制目的、控制方法、方略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。选择，根据业务需要适时进行安全机构的第三方独立评审，见《信息安全方略》。A.6.2外部各方A.6.2.1与外部各方有关风险的识别保持组织的被外部各方访问、解决、管理或与外部进行通信的信息和信息解决设施的安全。应识别涉及外部各方业务过程中组织的信息和信息解决设施的风险，并在允许访问前实施适宜的控制方法。选择，，见《信息安全方略》。A.6.2.2解决与顾客有关的安全问题应在允许顾客访问组织信息或资产之前解决全部拟定的安全规定。选择，，见《信息安全方略》。A.6.2.3解决第三方合同中的安全问题涉及访问、解决或管理组织的信息或信息解决设施以及与之通信的第三方合同，或在信息解决设施中增加产品或服务的第三方合同，应涵盖全部有关的安全规定。选择，，见《信息安全方略》。A.7资产管理A.7.1资产责任实现和保持对组织资产的适宜保护。A.7.1.1资产清单应清晰的识别全部资产，编制并维护全部重要资产的清单。选择，，见《重要信息资产清单》。A.7.1.2资产负责人与信息解决设施有关的全部信息和资产应由组织的指定部门或人员承当责任解释：术语解释：术语“负责人”是被承认，含有控制生产、开发、保持、使用和资产安全的个人或实体。术语“负责人”不指事实上对资产含有财产权的人。选择，，见《重要信息资产清单》。A.7.1.3资产的允许使用与信息解决设施有关的信息和资产使用允许规则应被拟定、形成文献并加以实施。选择，，见《管理手册》。A.7.2信息分类A.7.2.1分类指南确保信息受到适宜级别的保护。信息应按照它对组织的价值、法律规定、敏感性和核心性予以分类。选择，，见《重要信息资产清单》见《风险评定》。A.7.2.2信息的标记和解决应按照组织所采纳的分类机制建立和实施一组适宜的信息标记和解决程序。选择，，见《信息安全方略》。A.8人力资源安全A.8.1任用之前A.8.1.1角色和职责确保雇员、承包方人员和第三方人员理解其职责、考虑对其承当的角色是适合的，以减少设施被窃、欺诈和误用的风险。雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文献。选择，，见《信息安全岗位职责描述》。A.8.1.2审查有关全部任用的候选者、承包方人员和第三方人员的背景验证检查应按照有关法律法规、道德规范和对应的业务规定、被访问信息的类别和察觉的风险来执行。选择，，见《人员状况调查表》。A.8.1.3任用条款和条件作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签订他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。选择，，见《人员招聘简章》。A.8.2任用中A.8.2.1管理职责确保全部的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。管理者应规定雇员、承包方人员和第三方人员按照组织已建立的方针方略和程序对安全尽心竭力。选择，，见《信息安全管理体系方针》与《信息安全管理体系职责描述》。A.8.2.2信息安全意识、教育和培训组织的全部雇员，适宜时，涉及承包方人员和第三方人员，应受到与其工作职能有关的适宜的意识培训和组织方针方略及程序的定时更新培训。选择，，见《信息安全管理体系方针》。A.8.2.3纪律解决过程对于安全违规的雇员，应有一种正式的纪律解决过程。选择，，见《管理手册》。A.8.3任用的终止或变化A.8.3.1终止职责确保雇员、承包方人员和第三方人员以一种规范的方式退出一种组织或变化其任用关系。任用终止或任用变化的职责应清晰的定义和分派。选择，，见《管理手册》。A.8.3.2资产的偿还全部的雇员、承包方人员和第三方人员在终止任用、合同或合同时，应偿还他们使用的全部组织资产。选择，，见《管理手册》。A.8.3.3撤销访问权全部雇员、承包方人员和第三方人员对信息和信息解决设施的访问权应在任用、合同或合同终止时删除，或在变化时调节。选择，，见《管理手册》。A.9物理和环境安全A.9.1安全区域A.9.1.1物理安全边界避免对组织场合和信息的未授权物理访问、损坏和干扰。应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息解决设施的区域。选择，，见《工作场合出入管理规定》。A.9.1.2物理入口控制安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。选择，，见《工作场合出入管理规定》。A.9.1.3办公室、房间和设施的安全保护应为办公室、房间和设施设计并采用物理安全方法。选择，见《工作场合出入管理规定》。A.9.1.4外部和环境威胁的安全防护为避免火灾、洪水、地震、爆炸、社会动乱和其它形式的自然或人为灾难引发的破坏，应设计和采用物理保护方法。选择，见《突发状况应急方案（管理手册）》。A.9.1.5在安全区域工作应设计和运用用于安全区域工作的物理保护和指南。选择，，见《机房管理规定》。A.9.1.6公共访问、交接区安全访问点（例如交接区）和未授权人员可进入办公场合的其它点应加以控制，如果可能，要与信息解决设施隔离，以避免未授权访问。选择，，见《工作场合出入管理规定》。A.9.2设备安全A.9.2.1设备安置和保护避免资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。应安置或保护设备，以减少由环境威胁和危险所造成的多种风险以及未授权访问的机会。选择，，见《设备管理规定》。A.9.2.2支持性设施应保护设备使其免于由支持性设施的失效而引发的电源故障和其它中断。选择，，见《突发状况应急方案（管理手册）》。A.9.2.3布缆安全应确保传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。选择，，见《机房管理规定》。A.9.2.4设备维护设备应予以对的地维护，以确保其持续的可用性和完整性。选择，，见《设备管理规定》。A.9.2.5组织场合外的设备安全不选择，没有组织场合外的设备A.9.2.6设备的安全处置或再运用包含储存介质的设备的全部项目应进行检查，以确保在销毁之前，任何敏感信息和注册软件已被删除或安全重写。选择，，见《信息安全方略》。A.9.2.7资产的移动设备、信息或软件在授权之前不应带出组织场合。选择，，见《机房管理规定》。A.10通信和操作管理A.10.1操作程序和职责A.10.1.1文献化的操作程序确保对的、安全的操作信息解决设施。操作程序应形成文献、保持并对全部需要的顾客可用。选择，，见《设备管理规定》、《服务器管理规定》、《邮件使用安全管理规定》、《备份管理程序》、《网络安全管理规定》。A.10.1.2变更管理对信息解决设施和系统的变更应加以控制。选择，，见《设备管理规定》、《服务器管理规定》。A.10.1.3责任分离各类责任及职责范畴应加以分割，以减少未授权或无意识的修改或者不当使用组织资产的机会。选择，，见《顾客管理规定（管理手册）》。A.10.1.4开发、测试和运行设施分离开发、测试和运行设施应分离，以减少未授权访问或变化运行系统的风险。选择，，见《技术部工作规范（自主开发软件管理规定）》。A.10.2第三方服务交付管理A.10.2.1服务交付实施和保持符合第三方服务交付合同的信息安全和服务交付的适宜水准。应确保第三方实施、运行和保持包含在第三方服务交付合同中的安全控制方法、服务定义和交付水准。选择，，见《信息安全方略》。A.10.2.2第三方服务的监视和评审应定时监视和评审由第三方提供的服务、报告和统计，审核也应定时执行。选择，，见《信息安全方略》。A.10.2.3第三方服务的变更管理应管理服务提供的变更，涉及保持和改善现有的信息安全方针方略、程序和控制方法，要考虑业务系统和涉及过程的核心程度及风险的再评定。选择，，见《信息安全方略》。A.10.3系统规划和验收A.10.3.1容量管理将系统失效的风险降至最小。资源的使用应加以监视、调节，并应作出对于将来容量规定的预测，以确保拥有所需的系统性能。选择，根据业务需要适时调节，见《信息安全方略》。A.10.3.2系统验收应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验收前对系统进行适宜的测试。选择，根据业务需要适时调节，见《信息安全方略》。A.10.4防备恶意和移动代码A.10.4.1控制恶意代码保护软件和信息的完整性。应实施恶意代码的监测、防止和恢复的控制方法，以及适宜的提高顾客安全意识的程序。选择，风险评定成果所拟定，见《网络安全管理规定（病毒、木马、僵尸程序等）》。A.10.4.2控制移动代码当授权使用移动代码时，其配备应确保授权的移动代码按照清晰定义的安全方略运行，应制止执行未授权的移动代码。选择，风险评定成果所拟定，见《网络安全管理规定（病毒、木马、僵尸程序等）》。A.10.5备份A.10.5.1信息备份保持信息和信息解决设施的完整性和可用性。应按照已设的备份方略，定时备份和测试信息和软件。选择，风险评定成果所拟定，见《备份管理规定》。A.10.6网络安全管理A.10.6.1网络控制确保网络中信息的安全性并保护支持性的基础设施。应充足管理和控制网络，以避免威胁的发生，维护系统和使用网络的应用程序的安全，涉及传输中的信息。选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.6.2网络服务的安全安全特性、服务级别以及全部网络服务的管理规定应予以拟定并涉及在全部网络服务合同中，无论这些服务是由内部提供的还是外包的。选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.7介质处置A.10.7.1可移动介质的管理避免资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。应有适宜的可移动介质的管理程序。选择，风险评定成果所拟定，见《设备管理规定（移动存储介质）》。A.10.7.2介质的处置不再需要的介质，应使用正式的程序可靠并安全地处置。选择，风险评定成果所拟定，见《设备管理规定（移动存储介质）》。A.10.7.3信息解决程序应建立信息的解决及贮存程序，以避免信息的未授权的泄漏或不当使用。选择，风险评定成果所拟定，见《信息安全方略》。A.10.7.4系统文献安全应保护系统文献以避免未授权的访问。选择，风险评定成果所拟定，见《技术部工作规范》。A.10.8信息的交换A.10.8.1信息交换方略和程序保持组织内信息和软件交换及与外部组织信息和软件交换的安全。应有正式的交换方略、程序和控制方法，以保护通过使用多种类型通信设施的信息交换。选择，风险评定成果所拟定，见《邮件管理规定（涉及上传下载自动收发等）》。A.10.8.2交换合同应建立组织与外部团体交换信息和软件的合同。选择，风险评定成果所拟定，《邮件管理规定（涉及上传下载自动收发等）》。A.10.8.3运输中的物理介质包含信息的介质在组织的物理边界以外运输时，应避免未授权的访问、不当使用或毁坏。选择，风险评定成果所拟定，见《信息安全方略（邮寄快递）》A.10.8.4电子消息发送包含在电子消息发送中的信息应予以适宜的保护。选择，风险评定成果所拟定，见《邮件管理规定》。A.10.8.5业务信息系统应建立和实施方略和程序以保护与业务信息系统互联的信息。选择，风险评定成果所拟定，见《技术部工作规范》。A.10.9电子商务服务A.10.9.1电子商务确保电子商务服务的安全及其安全使用。不选择公司没有电子商务业务。A.10.9.2在线交易不选择公司没有电子商务业务。A.10.9.3公共可用信息在公共可用系统中可用信息的完整性应受保护，以避免未授权的修改。选择，风险评定成果所拟定，见《信息管理方略（网站内容授权）》。A.10.10监视A.10.10.1审计日志的统计检测未授权的信息解决活动。应产生统计顾客活动、异常和信息安全事件的审计日志，并要保持一种已设的周期以支持将来的调查和访问控制监视。选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.10.2监视系统的使用应建立信息解决设施的监视使用程序，监视活动的成果要经常评审选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.10.3日志信息的保护统计日志的设施和日志信息应加以保护，以避免篡改和未授权的访问。选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.10.4管理员和操作员日志系统管理员和系统操作员活动应记入日志。选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.10.5故障日志的统计故障应被统计、分析，并采用适宜的方法。选择，风险评定成果所拟定，见《网络安全管理规定》。A.10.10.6时钟同时一种组织或安全域内的全部有关信息解决设施的时钟应使用已设的精确时间源进行同时。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11访问控制A.11.1访问控制的业务规定A.11.1.1访问控制方略控制对信息的访问。访问控制方略应建立、形成文献，并基于业务和访问的安全规定进行评审。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.2顾客访问管理A.11.2.1顾客注册确保授权顾客访问信息系统，并避免未授权的访问。应有正式的顾客注册及注销程序，来授权和撤销对全部信息系统及服务的访问。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.2.2特权管理应限制和控制特殊权限的分派及使用。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.2.3顾客口令管理应通过正式的管理过程控制口令的分派。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.2.4顾客访问权的评审管理者应定时使用正式过程对顾客的访问权进行复查。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.3顾客职责A.11.3.1口令使用避免未授权顾客对信息和信息解决设施的访问、危害或窃取。应规定顾客在选择及使用口令时，遵照良好的安全习惯。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.3.2无人值守的顾客设备顾客应确保无人值守的顾客设备有适宜的保护。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.3.3清空桌面和屏幕方略应采用清空桌面上文献、可移动存储介质的方略和清空信息解决设施屏幕的方略。选择，风险评定成果所拟定，见《网络安全管理规定（清空桌面和屏幕方略）》。A.11.4网络访问控制A.11.4.1使用网络服务的方略避免对网络服务的未授权访问。顾客应仅能访问已获专门授权使用的服务。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.4.2外部连接的顾客鉴别应使用适宜的鉴别办法以控制远程顾客的访问。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.4.3网络上的设备标记应考虑自动设备标记，将其作为鉴别特定位置和设备连接的办法。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.4.4远程诊疗和配备端口的保护对于诊疗和配备端口的物理和逻辑访问应加以控制。选择，风险评定成果所拟定，见《网络安全管理规定（路由器的访问端口控制）》。A.11.4.5网络隔离应在网络中隔离信息服务、顾客及信息系统。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.4.6网络连接控制对于共享的网络，特别是越过组织边界的网络，顾客的联网能力应按照访问控制方略和业务应用规定加以限制（见11.1）。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.4.7网络路由控制应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应用的访问控制方略。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.5操作系统访问控制 A.11.5.1安全登录程序避免对操作系统的未授权访问。访问操作系统应通过安全登录程序加以控制。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.5.2顾客标记和鉴别全部顾客应有唯一的、专供其个人使用的识别码（顾客ID），应选择一种适宜的认证技术证明顾客所宣称的身份。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.5.3口令管理系统口令管理系统应是交互式的，并应确保优质的口令。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.5.4系统实用工具的使用可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制。选择，风险评定成果所拟定，见《网络安全管理规定（越过访问控制进入系统的工具）》。A.11.5.5对话超时不活动会话应在一种设定的休止期后关闭。选择，风险评定成果所拟定，见《网络安全管理规定》。A.11.5.6联机时间的限定应使用联机时间的限制，为高风险应用程序提供额外的安全。选择，风险评定成果所拟定，见《网络安全管理规定（30分钟空闲自动断开）》。A.11.6应用和信息访问控制A.11.6.1信息访问限制避免对应用系统中信息的未授权访问。顾客和支持人员对信息和应用系统功效的访问应根据已拟定的访问控制方略加以限制。选择，风险评定成果所拟定，见《技术部工作规范》。A.11.6.2敏感系统隔离不选择，现在没有专用的敏感系统。A.11.7移动计算和远程工作A.11.7.1移动计算和通信确保使用可移动计算和远程工作设施时的信息安全。×××××选择，，见《信息安全方略》。A.11.7.2远程工作不选择，现在没有远程工作。A.12信息系统获取、开发和维护A.12.1信息系统的安全规定A.12.1.1安全规定分析和阐明确保安全是信息系统的一种有机构成部分。在新的信息系统或增强已有信息系统的业务规定陈说中，应规定对安全控制方法的规定。选择，风险评定成果所拟定，见《技术部工作规范（应用系统安全需求分析）》。A.12.2应用中的对的解决A.12.2.1输入数据的验证避免应用系统中的信息的错误、遗失、未授权的修改及误用。输入应用系统的数据应加以验证，以确保数据是对的且恰当的。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.2.2内部解决的控制验证检查应整合到应用中，以检查由于解决的错误或故意的行为造成的信息的讹误。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.2.3消息完整性应用中确实保真实性和保护消息完整性的规定应得到识别，适宜的控制方法也应得到识别并实施。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.2.4输出数据的验证从应用系统输出的数据应加以验证，以确保对所存储信息的解决是对的的且适于环境的。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.3密码控制A.12.3.1使用密码控制的方略通过密码办法保护信息的保密性、真实性或完整性。不选择，没有密码规定。A.12.3.2密钥管理不选择，没有密码规定。A.12.4系统文献的安全A.12.4.1运行软件的控制确保系统文献的安全应有程序来控制在运行系统上安装软件。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.4.2系统测试数据的保护测试数据应认真地加以选择、保护和控制。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.4.3对程序源代码的访问控制应限制访问程序源代码。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.5开发和支持过程中的安全A.12.5.1变更控制程序维护应用系统软件和信息的安全。应使用正式的变更控制程序控制变更的实施。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.5.2操作系统变更后应用的技术评审当操作系统发生变更后，应对业务的核心应用进行评审和测试，以确保对组织的运行和安全没有负面影响。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.5.3软件包变更的限制应对软件包的修改善行劝阻，限制必要的变更，且对全部的变更加以严格控制。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.5.4信息泄露应避免信息泄露的可能性。选择，风险评定成果所拟定，见《技术部工作规范》。A.12.5.5外包软件开发不选择，没有外包软件开发。A.12.6技术脆弱点管理A.12.6.1技术脆弱点的控制减少运用公布的技术脆弱性造成的风险。应及时得到现用信息系统技术脆弱性的信息，评价组织对这些脆弱性的暴露程度，并采用适宜的方法来解决有关的风险。选择，风险评定成果所拟定，见《技术部工作规范》。A.13信息安全事故管理A.13.1报告信息安全事件和弱点A.13.1.1报告信息安全事件确保与信息系统有关的信息安全事件和弱点能够以某种方式传达，方便及时采用纠正方法。信息安全事件应当尽量快地通过适宜的管理渠道进行报告。选择，风险评定成果所拟定，见《信息安全事故管理程序》。A.13.1.2报告安全弱点应规定信息系统和服务的全部雇员、承包方人员和第三方人员统计并报告他们观察到的或怀疑的任何系统或服务的安全弱点。选择，风险评定成果所拟定，见《信息安全事故管理程序》。A.13.2信息安全事故和改善的管理A.13.2.1职责和程序确保采用一致和有效的办法对信息安全事故进行管理。应建立管理职责和程序，以确保能对信息安全事故做出快速、有效和有序的响应。选择，风险评定成果所拟定，见《信息安全事故管理程序》。A.13.2.2对信息安全事故的总结应有一套机制量化和监视信息安全事故的类型、数量和代价。选择，风险评定成果所拟定，见《信息安全事故管理程序》。A.13.2.3证据的收集当一种信息安全事故涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保存和呈递证据，以使证据符合有关诉讼管辖权。选择，风险评定成果所拟定，见《信息安全事故管理程序》。A.14业务持续性管理A.14.1业务持续性管理的信息安全方面A.14.1.1业务持续性管理过程中包含的信息安全避免业务活动中断，保护核心业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。应为贯穿于组织的业务持续性开发和保持一种管理过程，以解决组织的业务持续性所需的信息安全规定。选择，风险评定成果所拟定，见《业务持续性管理程序》。A.14.1.2业务持续性和风险评定应识别能引发业务过程中断的事件，这种中断发生的概率和影响，以及它们对信息安全所造成的后果。选择，风险评定成果所拟定，见《业务持续性管理程序》。A.14.1.3制订和实施包含信息安全的持续性计划应制订和实施计划来保持或恢复运行，以在核心业务过程中断或失败后能够在规定的水平和时间内确保信息的可用性。选择，风险评定成果所拟定，见《业务持续性管理程序》。A.14.1.4业务持续性计划框架应保持一种唯一的业务持续性计划框架，以确保全部计划是一致的，能够协调地解决信息安全规定，并为测试和维护拟定优先级。选择，风险评定成果所拟定，见《业务持续性管理程序》。A.14.1.5测试、保持和再评定业务持续性计划业务持续性计划应定时测试和更新，以确保其及时性和有效性。选择，风险评定成果所拟定，见《业务持续性管理程序》。A.15符合性A.15.1符正当律规定A.15.1.1可使用方法律的标记避免违反任何法律、法令、法规或合同义务，以及任何安全规定。对每一种信息系统和组织而言，全部有关的法令、法规和合同规定，以及为满足这些规定组织所采用的办法，应加以明确地定义、形成文献并保持更新。选择，风险评定成果所拟定，见《法律法规与合同符合程序》。A.15.1.2知识产权（IPR）应实施适宜的程序，以确保在使用品有知识产权的材料和含有全部权的软件产品时，符正当律、法规和合同的规定。选择，风险评定成果所拟定，见《知识产权管理规定》。A.15.1.3保护组织的统计应避免重要的统计遗失、毁坏和伪造，以满足法令、法规、合同和业务的规定。选择，风险评定成果所拟定，见《网络安全管理规定》。A.15.1.4数据保护和个人信息的隐私根据有关的法律、法规和合同条款保护数据保护和隐私。选择，风险评定成果所拟定，见《信息安全方略》。A.15.1.5避免滥用信息解决设施应严禁顾客使用信息解决设施用于未授权的目的。选择，风险评定成果所拟定，见《网络安全管理规定》。A.15.1.6密码控制方法的规则不选择，没有密码规定。A.15.2符合安全方略和原则，以及技术符合性A.15.2.1符合安全方略和原则确保系统符合组织的安全方略及原则。管理者应确保在其职责范畴内的全部安全程序被对的地执行，以确保符合安全方略及原则。选择，风险评定成果所拟定，见《信息安全方略》。A.15.2.2技术符合性检查信息系统应被定时检查与否符合安全实施原则。选择，风险评定成果所拟定，见《信息安全方略》。A.15.3信息系统审核考虑A.15.3.1信息系统审核控制将信息系统审核过程的有效性最大化，干扰最小化。涉及对运行系统检查的审核规定和活动，应谨慎地加以规划并获得同意，方便最小化造成业务过程中断的风险。选择，风险评定成果所拟定，见《技术部工作规范》。A.15.3.2信息系统审核工具的保护对于信息系统审核工具的访问应加以保护，以避免任何可能的滥用或损害。选择，风险评定成果所拟定，见《技术部工作规范》。信息安全风险评定程序信息安全风险评定程序目的本文献为公司执行信息安全风险评定提供指导和规范。本程序的运行成果产生《风险评定报告-（加注日期）》。公司根据风险评定报告编制风险解决计划。合用范畴本程序合用风险评定所涉及的全部部门。风险评定工作构组员据此执行风险评定活动。其它对应员工据此理解风险评定的过程，完毕自己职责范畴内风险评定有关工作。风险评定的实施频率及评审公司规定风险评定活动要定时进行，常规的风险评定每年执行一次，执行风险评定前应对本程序进行评审。碰到下列状况，公司也将启动风险评定：增加了大量新的信息资产；业务环境发生了重大的变化；发生了重大信息安全事件。风险评定办法根据GB/T22080-/ISO/IEC27001:和ISO/IECTR13335-3，公司采用“具体风险分析办法（DetailedRiskApproach）”来实施风险评定，该办法重要涉及：风险分析：识别资产、威胁、脆弱性、影响和可能性风险评价：风险＝影响×可能性风险评定流程公司风险评定流程以下图所示：欣博友风险评定流程编制风险评定报告编制风险评定报告分析和评价风险识别风险建立风险评定工作组拟定风险评定范畴拟定风险评定范畴在执行风险评定前，由信息安全领导小组负责，拟定本次风险评定的范畴，并明确传达给风险评定工作组。建立风险评定工作组在执行风险评定前，由信息安全领导小组负责，建立风险评定工作组，并明确工作构组员职责。识别风险识别资产及其负责人，建立信息资产清单（依下表）。序号资产名称负责人位置有关阐明识别威胁及威胁可运用的脆弱性（依下表）。序号资产名称威胁脆弱性风险分析和评价风险分析和评价风险发生后对公司的影响（依下表）。序号资产名称风险影响风险发生后对公司影响的赋值准则影响的值描述3（高）风险对该资产的保密性、完整性或可用性等的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成极严重的或灾难性的损失，普通其直接或间接的影响范畴涉及到公司整体。2（中）风险对该资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成较重要的损失，普通其直接或间接的影响范畴涉及到公司局部。1（低）风险对该资产的保密性、完整性或可用性等安全属性的影响（即发生泄露、损坏、丢失或无法使用等），将对公司造成一定的损失，普通其直接或间接的影响范畴仅涉及到公司极少部门。分析和评价风险发生的可能性（依下表）。序号资产名称风险影响可能性风险发生可能性的赋值准则可能性的值描述3（高）考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险频繁发生。2（中）考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险经常发生。1（低）考虑公司以往发生的信息安全事件，以及社会上和其它组织的经验，该风险偶然发生。计算风险的大小并排序（依下表）。风险计算公式：风险值＝影响值×可能性值序号资产名称风险风险值编制风险评定报告由风险评定工作组负责编制风险评定报告，风险评定报告内容应涉及：风险评定起止日期风险评定工作组构成风险评定范畴资产、风险和风险值排序表有关文献《风险评定报告-（加日期）》《风险解决计划-（加日期）》信息安全事件管理程序信息安全事故管理程序目的和合用范畴信息安全风险时刻存在，信息安全事故经常发生。为明确信息安全事故解决的责任和程序，有效解决信息安全事故，最大程度地减少和减少因事故给公司带来的损失，特制订本程序。本程序合用于公司发生的各类信息安全事故的检测、报告和解决。职责公司任何员工有责任向信息安全领导小组报告其发现的信息安全弱点、信息安全事件和事故。信息安全领导小组负责组织信息安全事故的解决、评审和改善。定义信息安全事件 信息安全事件是指被拟定发生于系统、服务或网络中的一种状态，表明可能有人违反了信息安全方略或防护方法没有发挥效用，或者出现了可能与安全有关的、以前不为人知的一种状况。信息安全事故信息安全事故由单个或一系列意外或有害信息安全事件构成，极有可能危害业务运行和威胁信息安全。信息安全事故能够是故意的或意外的（如因错误或者自然灾害造成的事故），也能够由技术或物理因素引发。工作程序报告任何员工，一旦发现、检测或观察到实际发生或潜在信息安全事件或信息安全弱点，必须以电话、邮件、面谈等方式立刻报告给公司信息安全领导小组。解决信息安全领导小组负责人评审报告事件的轻重缓急，组织资源解决事件：如果仅是误报，则取消事件响应，恢复到正常状态；如果确认信息安全事件是一种信息安全事故，则立刻采用控制方法对信息安全事故进行解决，同时收集必要的证据，填写《信息安全事故报告表》。如果信息安全事故已被控制，进行业务持续性的恢复工作，见《业务持续性管理程序》，并统计全部信息用于信息安全事故的评审，完善《信息安全事故报告表》。如果信息安全事故失去控制，实施紧急救援，召集外部专业机构实施解决，见《对外联系表》，同时统计全部活动。改善信息安全事故解决完毕后，信息安全领导小组应进行下列活动：进一步收集有关事故信息；从信息安全事故中总结教训，重点分析事故发展的趋势和模式；拟定新的或通过变化的控制方法并制订计划付诸实施；有关统计《信息安全事故报告表》事件发生日期有关事件/事故的识别号(如果可能)事件号报告人信息姓名电话组织电子邮件地址信息安全事件描述事件描述发生了什么如何发生的为什么发生受影响的组件业务影响任意已识别的脆弱点信息安全事件具体信息事件发生的日期和时间事件被发现的日期和时间事件被统计的日期和时间事件与否已经结束了？是否(如果选择是)事件持续了多久(日/小时/分钟)解决过程统计填表人注：事件号应由信息安全领导小组负责分派。岗位信息安全职责岗位信息安全职责目的和合用范畴为使信息安全管理体系更加有序有效的实施，需规定在信息安全方面的全部职责，特制订本程序。本文献合用于公司信息安全管理体系涉及的全部人员和过程。职责信息安全管理机构机制及职责参见《信息安全管理体系方针》。公司领导职责公司领导（涉及总裁和信息安全管理委员会主任）应含有下列方面的职责：制订信息安全方针；向公司员工传达（或宣传）满足信息安全目的和符合信息安全方针、法律法规规定的重要性;主持ISMS的管理评审；提供开发、实施、运行和维护ISMS所需的足够资源（涉及人员、时间、设备、软件和资金等）；决定可接受的风险水准。部门领导职责部门领导(重要是部门总经理，或部长）必须：明确本部门所管理的（涉及我司的和有关方提供的）信息资产的类型，并进行资产登记和指定负责人。对本部门所管理的核心信息资产进行风险评定，识别其所受的威胁、风险级别、脆弱性和潜在的影响，并制订与其相适应的控制方法。编制支持达成信息机密性、完整性和可用性目的的控制程序，并确保这些控制程序获得遵照执行。有效地把有关信息的限制及其对应的安全控制方法传达给该信息管理、解决、使用、保管的有关人员。对管理和解决高敏感信息的人员，进行信用检查。确保其所属的每一位员工都理解和推行其所负责的信息资产的安全职责。主动地指导其所属人员执行我司的信息安全管理规定。向信息安全委员会报告信息被危及的任何迹象，或信息可能被泄露或损毁的任何可疑活动和行为。主管职责这里所说的主管是指在部长领导下主持某些领域工作的人员。他们必须：向部长阐明本领域特殊的信息安全规定；按本领域特殊的信息安全规定，保护本领域的信息资产的安全。联系有关技术支持人员（涉及网络维护员、网络管理员和系统管理员等），确保其所属的每一位员工的机器都安装和定时更新可靠的防病毒软件，并及时安装系统补丁软件包。员工职责每一位员工或使用我司信息的人员都要恪守本方针，都有保护公司信息资产、系统和基础设施安全的职责。每一位员工都应采用适宜的方法（涉及设立密码），保护其所负责的全部形式的机密信息在管理、使用、储存、解决和传输中的安全。全部员工在上岗前都必须与我司签订《保密合同书》,承诺对信息安全的责任，不以任何形式泄露、变化或毁坏公司的密级信息，除非其获得有关方面的授权。员工外出工作需要携带设备时，必须获得有关领导者的同意，并应采用对应的保护方法，避免丢失，避免损毁，确保信息安全。如:设备必须设立密码、不留在公共场合无人看守、不暴露于强电磁场等。员工必须保管好允许其访问机密信息的物理钥匙、ID卡和计算机（或网络）密码。员工发现自己所使用的储存设备被损坏而自己又不能修复时，应及时反映到有关的技术支持人员，个人不得随意处置。员工必须偿还被认定为要销毁的不可用的机密信息资产，本人不允许保存备份，涉及物理文献和电子文献等。员工在工作期间不得探询和获取与其工作无关的其它项目的密级信息。员工在下班前，若无特殊工作需要，必须关闭自己的PC机，清空自己办公桌面上的密级资料，把自己保管的内部资料锁于柜子，避免资料外泄。每一位员工任何时候都要有安全意识，离开计算机前，要将机器设立为不可操作状态（如：注销或锁定计算机）。打印（或复印）文献后必须立刻取出全部文献（涉及残缺文献）。任何员工都有义务向其直接领导或信息安全委员会报告可能会危及密级信息安全的任何活动、行为和提出改善建议。使用者职责这里所说的使用者是指访问我司密级信息的人员。使用者必须获得授权、理解该信息的安全规定，并采用对应的安全保护方法。如果已授权的使用者不理解其所要访问的信息的安全规定，那么他必须对该信息提供最高级限的保护。使用者应小心保护其访问信息的密码、物理钥匙和ID卡，一旦发生密码泄露或钥匙、ID卡丢失，应立刻向其直接领导报告并承当对应责任。不激励一组人共享一种系统账号，同一密码。有关文献《信息安全管理体系方针》

第二部分练习练习一：拟定审核范畴规定：根据案例资料，各学习小组分组讨论委托