信息安全管理方针手册

卷号卷内编号密级内部公开XXXX集团CREATEDATE\@"yyyy"信息安全管理方针手册version：1.0编制人：日期:审核人:日期：同意人：日期：受控状态：目录TOC\o"1-2"\h\z\u一、编制阐明 61．前言 62．目的 63．合用范畴 64．引用文献 65．手册控制 7二、信息安全术语 81．前言 82．信息安全术语 8三、信息安全方针声明 10四、管理组织与职责 111. 总则 112. 信息安全职责 11五、信息安全管理体系 171．信息安全管理体系范畴 172．信息安全管理体系模型 173．信息安全管理体系文献规定 18六、管理职责 201．总则 202．管理承诺 203．资源管理 204.培训、意识与能力 21七、信息安全管理体系评价与改善 221．总则 222．信息安全活动及过程监视与检查 223．信息安全管理体系审核 224.技术符合性审核 225.管理评审 226.数据分析 237.纠正和防止方法 23八、信息安全基本方针 241．总则 242．信息安全管理基本方针描述 24九、风险评定管理 251．前言 252．风险评定办法与准则 253．风险评定 254．风险管理 255、风险处置 26十、信息安全组织 271．信息安全管理架构 272．组织间合作 273．专家建议 274．信息解决设施授权 275、第三方访问安全 27十一、资产管理 291．总则 292．资产职责 293．信息分级 29十二、人员安全 301．前言 302.雇佣前 303.雇佣中 304.雇佣终止或转岗 305.培训 31十三、物理与环境安全 321．总则 322．安全区域 323．设备安全 324．存储介质 335．基本控制方法 33十四、通讯与运行安全 341．总则 342．程序和职责 343．系统规划和接受 344．避免恶意软件、代码 355．备份 356．网络管理 357．媒介解决和安全 368．信息和软件交换 36十五、访问控制 371．总则 372．顾客访问管理 373．网络安全方针 374．可移动计算机工作及远程工作方针 38十六、系统开发及维护 401．总则 402．系统安全规定建立 403．系统文献安全 404．开发与支持过程的安全 405．技术脆弱性管理 40十七、信息安全事件管理 421．总则 422．报告安全事件及单薄环节 423．信息安全事件解决和改善 42十八、业务持续性管理 431．总则 432．业务持续性管理总体方略 43十九、符合性管理 441．总则 442．符合性管理 44附录一、信息安全组织架构 45修订文档历史统计日期版本阐明作者2008-4-181.0创立XXX一、编制阐明1．前言XXXX（集团）有限公司（下列简称XXXX）是以软件技术和服务为核心，从事XX业务服务、系统集成、数据解决等多个信息技术业务领域的股份公司。随着公司XX业务服务业务的不停发展，客户对信息安全的规定也日趋严格与系统化，而随着信息技术革命和经济全球化的发展，公司间的竞争已经转为技术和信息的竞争。随着公司业务的快速增加、IT规模的不停扩大以及客户规定的不停提高，公司业务与否能高效的运作、核心客户群的维持已经越来越依赖于我们与否有稳定、安全的信息系统，以保护公司和客户的知识资产。鉴于信息安全在公司运行管理中越来越重要的地位，公司高层领导不停规定要高度重视信息安全管理和控制工作，加大信息安全投资和人力资源配备。为此，公司成立了信息安全管理委员会以及信息安全管理工作小组，负责在公司全范畴建立有效的信息安全管理体系，以确保信息安全机制有效运行。《信息安全管理方针手册》作为公司信息安全方面的最高层文献，是公司各项信息安全工作开展的根据，各部门应当严格遵照执行，并可根据本文献规定制订或修订本部门的有关管理规定。2．目的本方针手册明确公司在信息安全工作方面的总体规定，指导各项信息安全工作的开展，涉及：为建立信息及信息解决设施管理程序、作业规程提供指南；为解决各类信息安全事件提供指南，以防止及减少安全事件所造成的损失；教育公司员工，让其理解公司信息资产的保密性、完整性和可用性及其有关的保护办法。3．合用范畴本合用性声明书合用于XX集团及其全部公司。4．引用文献4.1ISO27001：信息技术–安全技术-信息安全管理体系–规范4.2ISO17799：信息技术–安全技术–信息安全管理体系实施细则5．手册控制5.1手册编制与同意5.1.1信息安全方针手册由集团信息中心负责信息安全管理人员编制。5.1.2信息安全管理委员会组员负责对信息安全方针手册的内容进行审查，最后由信息安全管理委员会主任同意。5.2发行版本5.2.1信息安全方针手册的版本状态分别在封面和每一页中给出，按阿拉伯数字1.0、1.2、2.0……次序依次递增。5.2.2信息安全方针手册每章节的修订状况通过“本节修订”标记，在手册内容的每一页上标记其所在章节的“本节修订”。当修改某章节时，更新一次该章节的“本节修订”，“本节修订”按阿拉伯数字次序递增。5.2.3信息安全方针手册发充满三年或全部章节均已发生修改时，将重新公布手册，并更改手册的版本编号。5.3发放控制5.3.1发出的信息安全方针手册分为“受控”和“非受控”两种。5.3.2受控信息安全方针手册由信息中心按公司《信息安全体系文献控制程序》的规定进行发放控制。5.3.3非受控信息安全方针手册经信息安全管理者代表同意后，由行政部门统一发放，手册修改时，将不再对其进行跟踪控制。5.3.4信息安全方针手册的有效正本由信息安全办公室委托行政办公室负责保管。5.4手册修改5.4.1当信息安全方针手册需要修改时，必须经信息安全管理委员会审查，并由信息管理委员会主任同意。5.4.2每次手册的修改都必须在“信息安全手册修改统计”列明该次修改因素或内容摘要、日期及标志。5.5定时审核5.5.1公司通过定时的管理评审和内部信息安全审核，对信息安全方针进行审核，确保信息安全方针的充足性和完整性。二、信息安全术语1．前言本章节对与信息安全管理体系有关的术语进行定义，以避免在使用过程中由于定义混淆造成对管理规定的误解。2．信息安全术语2.1信息(Information):信息是一种含有价值、需要进行恰当保护的资产，信息以多个方式呈现，如以印刷品、手写稿或电子方式等保存，以邮件、电子邮件、投影方式等进行传递。2.2敏感信息(SensitiveInformation):需要某种等级保护的信息，由于故意或无意的泄密、修改或破坏，可能对公司业务运作造成很大损失或危害2.3计算机信息系统(ComputerInformationSystem):是指由计算机及其有关和配套的设备、设施（含网络）构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等解决的人机系统2.4信息安全(InformationSecurity):为确保信息的完整性、可用性和保密性所需的全方面管理、规程和控制。信息安全涉及因此下三个基本要素：1）保密性–使信息不泄露给非授权的个人、实体或过程,不为其所用。2）完整性–确保信息及其信息系统免遭破坏及篡改，即系统中的信息与原文档相似，信息解决设施能正常运作。3）可用性-被授权实体所需的资源可被访问与使用，即攻击者不能占用有关资源而妨碍授权者的工作。2.5回绝服务（DenialofService）:妨碍信息访问或延迟操作时间。2.6威胁（Threat）:造成发生某一非盼望事件的可能性，这类事件的发生可能对某一信息、信息系统及组织造成损害。威胁来源有三类：来自自然的威胁、人为的威胁以及意外事件产生的威胁。2.7脆弱性（vulnerability）:某一项或一组资产的弱点、单薄性，并容易被威胁运用。脆弱性本身不会引发损害，只是一种条件或一组条件，在条件下，被威胁运用后对组织资产造成损害。2.8风险（risk）:威胁运用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能涉及整个组织。2.9风险评定（riskassessment）：识别信息及信息系统威胁与脆弱性发生的可能性，分析对资产造成的影响，以决定风险程度的过程，是风险管理的一部分。2.10风险管理（riskmanagement）:根据风险评定成果，对组织不可接受的风险，以合理的成本、采用合理的安全控制方法将风险控制在能够接受的水平内，达成控制方法与风险的平衡。三、信息安全方针声明XXXX（集团）有限公司，作为以软件技术与服务为核心的信息技术公司，已充足意识到到信息安全对公司发展及顾客信心的影响，公司管理层决定针对与公司业务运作、顾客和法规规定有关的重要资产建立信息安全管理体系，以向公司顾客、股东、合作伙伴及社会提供充足的信息安全信心。为此，我们对公司的信息安全管理作出下列声明：系统策划，全方面控制-系统地识别并评定公司信息资产所面临的风险，并拟定风险可接受的程序，针对风险选择并实施对应的控制方法，通过风险管理，减少发生安全事件的可能性。信息安全，人人有责-确保公司信息安全，是每个员工的义务和职责，只有每个员工自觉恪守并执行信息安全管理方针、程序、规程以及各类法规规定，才干确保公司信息安全总体目的的实现。灾难防止，永续经营–为确保公司业务持续经营，在各个层面建立业务持续性计划，确保在面临各类可能发生的灾难时，公司业务能够快速恢复。检查测量，持续改善–持续监视和测量信息安全管理体系，从安全事件中吸取教训，并不停吸取业界优秀原则，不停改善公司信息安全管理体系绩效。四、管理组织与职责总则1.1公司建立网络化的信息安全架构，该架构涉及：1）建立由各业务部门管理者构成的信息安全管理委员会，确保对信息安全有明确的方法并得到管理层的支持。2）由信息中心专职负责信息安全的IT管理，确保公司日常信息安全事务由专门的部门负责管理。3）建立由各业务部门人员构成的信息安全工作组，确保各部门内部的日常信息安全事务由有关的信息安全管理组长或信息安全管理员负责解决。4）对各个业务管理部门在日常工作中需要负责的信息安全管理活动进行明确规定，确保公司各级人员理解各自岗位的信息安全职责。信息安全职责2.1信息安全管理委员会2.1.1公司信息安全管理委员会由公司总经理、各业务部门分管副总构成。信息安全管理委员会重要职责涉及：建立并同意信息安全方针提出信息安全规定和同意信息安全战略规划明确并同意信息安全管理有关职责就整个XXXX集团的信息安全活动达成一致并提供支持在整个组织中增加对信息安全工作的支持力度对紧急重大安全事故进行响应决策2.1.2信息安全管理委员会主任由公司总经理兼任，其重要职责参见2.5。2.2信息安全协调组2.2.1公司信息安全协调组由各部门第一负责人兼任，重要职责涉及：参加信息安全风险评定，研讨并审查风险处置计划参加定时的信息安全管理协调会，并提出改善建议参加信息安全体系文献编写，并审查信息安全管理体系文献参加拟订公司信息安全管理目的与指标参加重大安全事件解决参加公司信息安全管理评审2.3信息安全工作小组2.3.1信息安全工作小组重要由各部门兼职的信息安全员构成，重要职责涉及：负责本部门信息资产清点及资产清单维护负责对本部门信息安全风险进行评定，并提出初步的处置计划负责参加信息安全管理体系文献编写与修订负责本部门信息安全管理目的与指标的执行与评价在信息安全经理的组织下，对各部门日常的信息安全管理状况进行抽查负责对部门信息安全管理过程中的问题提出并执行纠正与防止方法负责配合行政部完毕本部门资产的管理工作：申购、领用、发放、报修、借用、报废、账目登记等部门资产使用状况发生变化及时报集团资产管理员，确保部门资产现状与行政部账目相符2.4信息安全审计小组2.4.1信息安全审计小组重要由公司项目推动部核心员工构成，重要职责涉及：负责制订信息安全审计计划负责向全公司宣传信息安全管理的重要性，以提高全体员工信息安全意识负责定时执行公司信息安全检查活动负责编写纠正与防止方法报告，跟踪不符合性问题的整治负责向信息安全管理委员会组员报告公司信息安全现状负责组织对信息安全目的与指标有关数据的收集负责收集并对信息安全体系文献提出改善意见，增进过程改善2.5信息安全管理委员会主任2.5.1公司信息安全管理委员会主任由公司总经理兼任，重要职责涉及：同意XXXX集团信息安全管理有关职责。在整个XXXX集团增加对信息安全工作的支持力度。审查同意XXXX集团风险评定办法、风险评定成果及风险处置计划。审查XXXX集团应急预案。进行定时的信息安全管理体系评审，审查信息安全管理体系管理评审输出报告。负责XXXX集团重大安全事件解决。同意信息安全管理体系内部审核报告。同意残存风险确实认。同意就信息安全问题采用的纠正和防止方法报告。同意XXXX集团网络维护人员、应用系统特权访问权限。2.6信息安全经理2.6.1公司信息安全经理重要由信息中心主任兼职，重要职责涉及：负责组织制订并审核信息安全方针手册负责组织制订并审核信息安全管理程序、规范文献负责向全公司宣传信息安全管理的重要性，以提高全体员工信息安全意识负责组织拟订并审查公司信息安全管理目的及指标负责组织定时的信息安全管理协调会议，并报告信息安全管理现状负责组织信息安全风险评定，审核风险评定报告及风险处置计划，并提交信息安全管理委员会审批。负责组织信息安全管理体系审核，并同意信息安全审核计划及报告负责组织对信息安全目的与指标的测量评价负责同意纠正与防止方法报告，并组织对信息安全管理有效性分析与评价负责组织日常的信息安全监督检查活动负责同意启用各类信息解决设备及软件。负责同意IT特权访问权限。负责对重大安全事件提出解决建议。负责组织定时管理评审，向信息安全管理委员会报告信息管理体系状况。负责组织制订公司业务持续性计划，并提交信息安全管理委员会审批。就信息安全事务与外部机构联系2.7信息中心2.7.1公司IT管理中心设在信息中心，信息中心在信息安全管理方面的重要职责涉及：负责公司总体的IT系统规划负责公司内部网络系统管理负责公司互联网服务提供及管理负责公司统一的顾客访问管理负责公司信息解决设施管理负责公司电话通信系统管理负责对开发部门人员的门禁系统权限进行授权操作负责对全公司计算机进行病毒防护负责根据顾客访问权限审批成果，对员工进行网络访问授权解决负责组织公司各部门进行全方面的信息安全评定负责组织公司各部门建立信息安全管理程序及有关作业规程负责组织公司各部门收集与信息安全管理有关法律和法规，并汇总与公司业务有关的信息安全法律与法规规定负责信息安全管理体系有关统计的保管负责在全公司范畴推动信息安全管理体系负责组织全公司对信息安全管理体系进行定时审核负责对电信运行商、软件提供商、网络服务提供商进行选择、沟通及必要的管理控制负责解决公司重大的信息安全事件2.8行政部2.8.1行政部在信息安全方面的重要职责涉及：a)负责本部门信息资产清点b)负责在信息中心组织下，参加风险评定c)负责在信息安全委员会主任领导下，对公司总体的物理安全进行统一规划d)负责公司内部日常保安服务提供e)负责公司供电系统、消防系统、空调系统、照明系统日常及定时维护管理f)负责公司清洁服务提供g)负责对公司电梯及其它设备维护的供应商进行选择及控制管理。h)负责公司软件资产管理i)负责公司重要档案的归类整顿2.9人事部门2.9.1人事部门在信息安全管理方面的职责涉及：a)负责本部门信息资产清点b)负责在信息中心组织下，参加风险评定c)负责拟定公司在信息安全方面的核心岗位d)负责在员工招聘过程中，对信息安全核心岗位的员工进行必要的筛选e)负责向全体员工提供信息安全管理意识培训f)负责建立并实施公司绩效管理系统，在绩效管理系统中融合信息安全管理绩效评定。2.10项目推动部2.10.1项目推动部在信息安全管理方面的重要职责涉及：a)负责本部门信息资产清点b)负责在信息中心组织下，参加风险评定c)负责参加信息安全管理体系建立d)负责与信息中心共同将信息安全管理体系规定融合进入公司现在的综合管理体系e)对综合管理体系文献进行控制f)对公司重要开发和项目档案进行归档管理。2.11财务部2.11.1财务部在信息安全管理方面的职责涉及：a)负责本部门信息资产清点b)负责在信息中心组织下，参加风险评定c)负责按照信息资产分类及解决规定，对财务部有关的信息进行分类，并按照保密级别规定，对财务部敏感信息进行保管及解决。2.12核心业务部门2.12a)对本部门产生、保管及使用的各类信息资产负最后责任。b)负责本部门资产清点及资产清单定时更新。c)负责参加与核心业务有关的风险评定e)负责参加信息安全管理方略、流程程序及规范的制订f)负责定时对本部门信息安全状况进行定时检查h)负责对本部门的员工进行信息安全技能培训i)负责解决本部门普通安全事件j)负责向业务范畴内信息安全办公室报告重大安全事件k)负责对本部门信息解决设施管理l)负责登记并管理本部门使用的各类媒介五、信息安全管理体系1．信息安全管理体系范畴1.1XXXX信息安全管理体系合用范畴涉及：业务范畴：XX业务项目及业务流程服务外包项目的信息安全管理体系有关部门：集团管理层、信息安全委员会、人事行政部、财务部、信息中心、项目推动部、华日子公司、恒领子公司等。2．信息安全管理体系模型2.1XXXX信息安全管理体系的建立、应用和维护遵照ISO27001:推荐的PDCA的过程模型，即通过策划(Plan)、执行(Do)、控制(Control)和改善(Act)来建立和不停改善公司的信息安全管理体系。策划的目的是建立公司的信息管理体系；执行的目的是将信息安全管理体系加以贯彻；控制的目的是确保执行的有效性；改善的目的是不停地完善信息安全管理体系。下图为公司信息安全管理体系过程模型示意图：信息安全管理体系过程信息安全管理工作成果策划信息安全的需求和盼望信息安全管理工作成果策划信息安全的需求和盼望改善执行改善执行控制控制2.2XXXX信息安全管理体系的建立基于业务信息安全的需求和目的，并通过风险评定与管理，确保公司信息安全处在可控的状态。公司信息安全管理体系PDCA过程模型各个阶段的核心任务以下：1）策划-公司将信息安全体系建设工作作为每年年度规划项目之一，由信息安全管理委员会、信息安全工作小组具体负责对公司信息安全风险状况进行评定，并根据评定的成果拟定公司信息安全体系建设与改善的范畴、信息安全目的和方略，其中涉及风险控制的目的。2）执行–信息安全工作小组根据公司信息安全策划阶段的风险评定成果和其它有关输出，制订风险管理计划并控制风险管理计划的有效执行。3）控制–信息安全工作小组对公司信息管理体系的绩效、安全事件发生状况和残存风险状态进行周期性地、系统化评定并向信息安全管理委员会和其它有关部门报告评定成果；信息安全工作小组定时在公司范畴内对信息安全管理体系的符合性进行审核并向信息安全委员会和其它有关部门报告审核成果；信息安全管理委员会定时和对公司信息安全管理体系建立和执行状况进行评审。4）改善–信息安全工作小组负责解决对全部评定、审核或管理评审识别的问题，并从防止这些问题再次发生的角度，改善信息安全管理体系。3．信息安全管理体系文献规定3.1信息安全管理体系文献构造3.1.1公司信息安全管理体系文献将与公司现有的ISO9000质量管理体系文献、CMM管理体系文献进行整合，整合后的信息安全管理体系文献构造以下：3.1.2公司信息安全体系文献从构造上分为下列三层：1）第一层是信息安全方针文献，涉及信息安全方略大纲以及信息安全管理目的。信息安全管理方针与目的是信息安全管理的纲要以及信息安全管理体系效能的最后体现成果，全部下层文献都以此为基础进行展开和细化。2）第二层是信息安全管理体系的核心文献，即风险管理计划。风险管理计划是风险评定的输出文献，通过风险管理计划的执行，最后实现信息安全管理方针与目的。风险管理计划为公司建立信息安全管理体系所需要的程序、指导及规范提供了明确的指导。3）第三层是是信息安全管理程序及规范，它们是信息安全方针实施的具体化，也是风险管理计划中控制方法的一部分。信息安全管理程序是管理性规定，普通合用于全公司各部门的信息安全管理，为确保信息安全管理体系的特点，并考虑与其它管理体系规定已有管理程序（例如ISO9000质量管理程序、CMM管理程序）进行整合，信息安全管理程序涉及信息安全管理体系独有的管理程序以及与其它管理体系整合的管理程序。信息安全管理规范是技术性规定，重要涉及信息安全控制方法所涉及到的信息安全技术规范。4）第四层是是信息安全工作程序、作业指导及表单模版。信息安全工作程序是信息安全管理程序的支持性文献，能够是针对各部门内部特殊的信息安全管理活动而建立，也能够是支持信息安全管理程序的具体工作程序。作业指导重要针对各类信息及信息解决设施的操作和运行所建立的对的规范的作业办法。表单模版则是信息安全管理程序及工作程序的支持性文献，用以统计各类信息安全管理活动的过程和成果。3.2信息安全管理体系文献控制3.2.1信息安全管理体系文献控制按照公司《信息安全管理体系文献控制程序》进行管理。3.3信息安全管理体系统计管理3.3.1信息安全管理体系统计控制按照公司《公司统计与档案管理程序》进行管理。六、管理职责1．总则XXXX高层领导充足意识到高层管理重视并身先事卒是信息安全管理体系有效运行的基础，因此，XXXX将通过高层领导发动体系范畴内全体员工重视信息安全，通过建立信息安全方针声明、系统地进行风险识别、评定及处置管理、全方面的意识和技能培训来实现信息安全管理方针与目的。XXXX高层管理者将首先向员工展示对的的行为，使全部员工意识到信息安全的有效控制来自于恪守良好的信息安全行为规范、符合程序和规范规定并自觉恪守各自的义务和责任。2．管理承诺2.1XXXX高层领导明确规定公司信息安全管理的总体方向，向客户及有关方就公司主营业务信息安全管理目的做出正式承诺。2.2XXXX信息安全管理委员会将对风险评定办法与准则、风险评定成果、风险处置计划及残存风险进行审查与同意，全方面理解公司主营业务信息安全风险评定与处置规定以及所面临的各类信息安全业务风险，并在满足公司主营业务需求的基础上，对风险处置做出最后决策。2.3XXXX信息安全管理委员会在风险评定基础上，将定义公司主营业务具体的信息安全方针、阶段性目的及量化的信息安全指标，并通过管理评审，理解目的和指标的实现状况，评价信息安全管理体系有效性、适宜性和充足性。2.4为确保信息安全管理体系有效运行，XXXX信息安全管理委员会将为公司主营业务提供全方面的支持，涉及：人力资源和物力资源的支持。3．资源管理3.1XXXX信息安全管理委员会将为建立、实施与维护信息安全管理体系识别并提供充足的资源，涉及：1）为信息安全管理提供充足的人力资源和组织，涉及：明确公司主营业务以及与其有关业务部门的信息安全管理职能，建立信息安全工作组，以协调和组织信息安全管理的具体工作；2）将信息安全预算作为年度预算计划的一部分，有计划地为信息安全管理提供成本投入的支持；3）全方面理解在信息安全管理方面的最新技术与信息，并有计划地应用到信息安全管理业务中。4.培训、意识与能力4.1XXXX信息安全管理委员会将通过人力资源部实施下列行动，以确保信息安全管理体系范畴内全部员工含有对应的能力完毕其岗位工作： 1）根据岗位需求，定义各个岗位员工在信息安全方面需要的基本意识与技能 2）根据所定义的意识和技能规定，提供对应的培训 3）通过定时的绩效考核，评价员工工作能力以及培训效果 4）统计并维护员工教育、培训、技能、经验和资格统计。七、信息安全管理体系评价与改善1．总则公司对整个信息安全管理体系和过程进行系统的监视、检查和测量，以确保信息安全管理体系有效执行及持续改善。2．信息安全活动及过程监视与检查2.1公司将制订正式的程序，明确规定对信息安全过程及过程的监视规定，需要考虑的监视内容涉及：1）应用必要的监控手段对于攻击类行为进行实时监控和报警，其它违规行为视状况实时、每七天或每月定时检查；2）对网络上核心的信息流进行检查与监控，对异常状况及时输出报告；3）对内部网络上核心服务的操作系统、应用系统、网络设备的存取控制统计进行检查和监控4）对个人计算机、办公区域、岗位员工信息安全行为定时进行安全检查与通报5）对信息系统建立的操作日志、错误日志等信息进行定时的审查。2.2全部的监视与检查应形成统计，并对监视和检查成果进行定时的分析。3．信息安全管理体系审核3.1公司应确保每年最少对信息安全管理体系进行一次体系审核，信息安全管理体系审核应按照规定的程序执行，审核成果应形成正式的统计。4.技术符合性审核4.1需要时，公司将对信息系统进行必要的符合性检查，技术符合性检查将委托有资格和经验的外部机构进行，并按照对分包方的控制规定对外部进行控制。4.2公司将根据技术符合性检查成果，采用适宜的改善方法，并形成正式的统计。5.管理评审5.1每年在适宜的时机，公司高层将按照正式的程序对信息安全管理体系运行的有效性、充足性和适宜性进行正式评审。评审成果将形成正式的统计。6.数据分析6.1公司将针对公司发生的安全事件、审核成果、监视和检查成果等数据进行收集和分析，以拟定信息安全管理的趋势，并根据分析成果，采用必要的改善方法。7.纠正和防止方法7.1公司在信息安全管理体系审核、技术符合性审核、管理评审以及数据分析过程中识别的问题、单薄环节及趋势，应按照规定的程序，考虑采用纠正或防止方法，以避免问题的重复发生。八、信息安全基本方针1．总则XXXX根据所拟定的信息安全管理范畴、信息安全管理方针声明及公司业务需求，在风险评定基础上，结合ISO27001:原则规定，参考业界惯例及办法，对信息安全管理基本的原则规定进行明确规定，为公司主营业务信息安全管理提供方向。2．信息安全管理基本方针描述2.1XXXX信息安全工作组针对信息安全管理的各个领域均制订了明确的管理方针，这些领域涉及：1）风险评定管理–方针手册九章节进行描述2）信息安全组织-方针手册十章节进行描述3）资产管理-方针手册十一章节进行描述4）人力资源安全-方针手册十二章节进行描述5）物理和环境安全-方针手册十三章节进行描述6）通讯及运作安全-方针手册十四章节进行描述7）访问控制-方针手册十五章节进行描述8）信息系统获取、开发与维护–方针手册十六章节进行描述9）信息安全事件管理-方针手册十七章节进行描述10）业务持续性管理-方针手册十八章节进行描述11）法律和法规符合性-方针手册十九章节进行描述九、风险评定管理1．前言公司的信息安全管理体系将建立在风险评定的基础上。公司应确保信息安全工作小组将针对信息安全管理体系范畴内所涉及的信息资产进行定时的风险评定，并根据风险评定成果，对风险进行管理。2．风险评定办法与准则2.1公司应建立书面的程序，明确公司信息资产的分类办法、资产清单建立和维护规定，应根据程序规定清点公司重要的信息资产，建立并维护信息资产清单。2.2公司应根据信息资产性质，拟定敏感信息的划分等级，并根据敏感信息的等级，明确不同等级敏感信息标记和解决程序，以确保敏感信息的储存和解决得到保护。3．风险评定3.1公司应根据信息安全的保密性、可用性和完整性原则，制订风险评定程序和准则。风险评定应符合下列原则：组建风险评定小组，确保风险评定小构组员理解资产及有关风险；识别资产，建立信息资产清单对资产重要进行评定识别资产面临的威胁识别资产脆弱性拟定现有的控制方法计算风险程度根据事先设定的准则，对风险进行排序3.2风险评定的成果应形成正式的风险评定报告，具体阐明风险评定程序及准则、风险评定成果、需要采用控制方法的风险、建议高层接受的残存风险。4．风险管理4.1公司信息安全管理委员会应审查并同意风险评定成果，系统理解公司信息资产所面临的风险，并接受残存的风险。4.2针对风险评定成果，对不可接受的风险应明确具体的控制方法，并编制风险管理计划，明确针对各类风险将采用的控制方法、责任部门以及完毕时间。4.3公司的信息安全风险评定应是动态的，公司应每年对风险管理状况进行全方面评定，拟定与否有新的风险产生，并拟定与否需要采用新的控制方法。4.4除了年度的风险状况评定外，应确保在出现下列状况时，进行必要的风险评定：启动新的软件开发项目时；增加新的信息解决设施时或信息解决设施发生变化时；信息资产重要级别发生变化时；新的分包活动涉及信息安全时；信息安全管理体系范畴扩大时。5、风险处置5.1信息安全工作小组将针对风险评定成果，根据风险接受准则及优先排序准则，研讨控制目的和方法，针对每项控制方法，考虑法规规定、成本投入及与风险严重程度，最后拟定选择的控制方法。5.2所选择的控制方法应形成正式的风险处置计划，其中应涉及管理性控制方法与技术性控制方法，并拟定每项控制方法的成本、责任部门及完毕时间。5.3对于所选择的风险控制方法，信息安全工作小组应基于风险控制方法，评价残存风险大小。5.4风险处置计划及残存风险确认成果最后提交信息安全办公室经理审查，并最后提交信息安全委员会审查同意，以确认所采用的的风险控制方法，并接受残存风险。十、信息安全组织1．信息安全管理架构为确保信息安全管理体系的有效运行，公司建立网络化、跨部门的信息安全管理架构，该架构涉及：建立由高层管理人员构成的信息安全管理委员会，确保对信息安全有明确的方法并得到管理层的支持。作为公司信息安全管理的最高支持和决策机构，该组织组员构成及职责参见本手册第五章“信息安全组织及职责”。建立专职的负责信息安全的IT管理中心，确保公司日常信息安全事务由专门的部门负责管理。该部门有关信息安全管理方面的职责参见本手册第五章“信息安全组织及职责”。建立由各业务部门人员构成的信息安全工作组，确保各部门内部的日常信息安全事务由有关的信息安全管理组长或信息安全管理员负责解决，信息安全工作组的职责参见本手册第五章“信息安全组织及职责”。对各个业务管理部门在日常工作中需要负责的信息安全管理活动进行明确规定，确保公司各级人员理解各自岗位的信息安全职责。2．组织间合作公司与执法部门、管理部门、信息服务商和有关供应商建立合作关系，对需要明确规定的义务和责任，将通过正式的合作合同规定，以确保在发生安全事故时，能快速采用行动和获得协助。3．专家建议公司在必要时，可聘任专家提供信息安全建议。4．信息解决设施授权公司建立正式的管理授权过程以确保控制新的信息解决设施的启用过程。5、第三方访问安全5.1公司在进行风险评定时，将识别各类信息资产所面临的第三方访问的风险，并根据评定成果拟定控制方法，涉及与接触公司信息的第三方订立保密合同，并与在公司工作的第三方人员订立个人保密合同，对于第三方人员不该访问的信息应当采用办公区域分离、网络逻辑分离等方法。对于第三方人员需要访问的信息须采用严格的申请和审批制度，以限制第三方人员只能获得有限的信息资产权限5.2对所识别的第三方访问的风险，公司将明确规定第三方访问在正式的合约文献中规定具体的安全控制规定。十一、资产管理1．总则XXXX将对客户外包的软件项目、业务流程项目的保障系统、服务过程进行识别，并明确资产管理负责人，同时将根据信息资产的敏感程度，对资产保密级别进行分类解决。2．资产职责2.1XXXX将识别为确保客户外包项目的正常研发所需要的服务过程、支持保障系统以及这些系统中所涉及的信息资产，并对各类资产进行分类，建立XXXX资产清单，明确资产负责人。2.3针对重要的信息解决设施，XXXX将在风险评定的基础上，编制正式的使用指南，以确保使用者对的使用信息解决设施，必要时，将使用指南提供应客户。3．信息分级3.1XXXX将根据客户外包项目服务过程所涉及、产生和保管的信息资产性质，拟定敏感信息的划分等级，并形成正式的文献。3.2在敏感信息分级的基础上，将明确不同等级敏感信息标记和解决程序，以确保敏感信息的储存和解决得到保护。十二、人员安全1．前言1.1XXXX将明确规定信息安全管理体系范畴内各岗位的工作职责，并通过实施规范的员工招聘、聘任、保密规定、人员离职及转岗程序，减少人为错误及人员欺诈等方面的风险。1.2为确保员工及第三方人员在信息安全方面的意识，XXXX工作小组将拟定信息安全管理方面的培训需求，并按照规定的程序组织或提供有关的信息安全意识培训。2.雇佣前2.1为减少人为错误、偷盗、欺诈及设施误用，针对与公司核心业务服务有关的各岗位员工，将明确规定有关员工在信息安全管理方面的职责，并形成书面的工作职责描述文献。2.2对涉及信息安全有关的工作岗位，将明确规定人员招聘审查规定，并根据规定的审查规定对后选人员进行审查，以确保招聘的人员的条件满足规定的信息安全管理规定。2.3对全部涉及信息安全管理岗位的员工，在入职前，应按照规定的程序，与各岗位员工订立保密合同，并在员工劳动合同中明确规定员工信息安全的职责和义务。3.雇佣中XXXX以及与XXXX业务有关的部门管理人员应通过日常沟通与协调，规定员工或第三方人员恪守公司信息安全管理程序及规范规定。XXXX信息安全工作组应根据业务需求，拟定各岗位员工信息安全意识和技能培训需求，并按照规定的员工培训管理程序，组织有关岗位员工进行信息安全意识以及必要的信息安全技能培训,并保存信息安全培训统计。4.雇佣终止或转岗公司将建立正式的程序，明确规定员工离职或转岗时需要办理的手续和职责，涉及：A、明确离职/转岗过程办理手续的负责人B、明确离职/转岗需要偿还的资产，特别是IT资产C、明确删除网络及系统访问权限的规定以及重申保密规定5.培训公司应拟定各岗位员工信息安全意识和技能培训需求，并按照公司规定的员工培训管理程序，组织有关岗位员工进行信息安全意识以及必要的信息安全技能培训,并保存信息安全培训统计。十三、物理与环境安全1．总则公司将通过风险评定，识别物理与环境安全对信息资产可能造成的风险，并采用适宜的方法，对物理和环境安全进行管理。2．安全区域2.1场地安全2.1.1区域划分-对公司的办公地点必须根据业务内容的不同划分对应的控制区域，公司的业务部门应根据工作性质划分对应的安全级别，并建立对应的访问控制方法，全部受控区域必须指定信息安全管理负责人2.1.2出入控制-对出入控制应建立出入控制制度，应确保全部进入控制区域的访问必须通过审批和登记，全部进入控制区域的人员都必须佩带明显的身份标记卡，第三方人员进入控制区域必须有公司接待人员陪伴。2.1.3安全保障–公司全部受控区域必须安装门禁系统及监视器，对寄存计算机设备存储区域应当安装防火等装置。2.1.4安全区工作–应确保全部在安全区工作的人员，恪守有关的制度，任何人未经同意严禁在控制区域拍照、摄像。3．设备安全3.1各有关部门应根据设备及其运行系统的重要程度，将设备放置到对应级别控制区域，并根据设备及其运行系统的重要程度建立防盗、报警、监控等保护方法。3.2对影响信息安全的重要设备采用电力供应保护方法，以避免由于电力供应故障造成的信息丢失或损毁。3.3对电力电缆或各类信息数据通信电缆采用适宜的保护方法，以避免由于电缆故障对信息安全产生的危害。3.4对各类影响信息安全的重要设备，按照设备使用手册规定或书面的操作程序进行维护，以确保设备持续运行的能力。3.5公司对手提电脑的使用进行授权管理，任何使用手提电脑外出公干人员，应理解手提电脑安全使用规定，并采用必要的安全控制方法.3.6公司应根据明确规定手提电话使用的控制方法，以确保手提电话通讯过程中的信息安全。3.7公司建立并实施书面的控制程序，对设备报废和重新使用的安全进行控制。4．存储介质4.1公司应确保存储介质的使用必须有授权和统计，存储介质的销毁必须按公司同意通过的销毁方式销毁。5．基本控制方法5.1为减少信息的非授权访问、丢失及损毁，公司执行“台面及电脑屏幕空净政策”，即：全部使用办公台、个人电脑、手提电脑的人员，当不在办公台工作或电脑不使用时，应确保办公台面不寄存任何公司信息资料，及电脑屏幕处在被保护状态。5.2公司全部与信息安全有关的设备、信息资料及软件在进行迁移时，必须按照规定的程序进行授权同意放行后方可进行迁移。十四、通讯与运行安全1．总则公司将根据风险评定成果，对计算机信息系统的通信和运行进行控制，以减少系统通信和运行过程对信息安全产生的危害。2．程序和职责2.1公司根据风险评定成果，对公司信息系统明确规定并执行正式的运作程序，这些程序大致涉及：《网络基础架构配备管理程序》《网络运行监控管理程序》《网络系统变更管理程序》《网络安全事件解决程序》《重大安全事件响应解决程序》2.2公司应确保必要的职责分工，以减少授权更改或误用信息或服务，例如：系统的超级管理权限应采用双人控制，互相制衡。2.3对信息系统通信与运行过程中的各类事件，应明确规定解决职责，确保建立书面的事件响应解决程序，并按照响应解决程序恢复系统运行。全部事件有关的解决应收集并保存。2.4公司应确保软件开发和测试环境应进行分离，以减少意外改动或非法访问操作软件和业务数据的风险。2.5当使用外部设施管理服务（如技术评审单位）时，应确保与外部设施管理服务提供商就必要的控制方法达成正式合同。3．系统规划和接受3.1公司应根据公司业务发展，对信息系统进行适宜的配备管理，以提供可靠的网络运行信息解决能力，从而确保公司业务的正常运作。公司选派适宜的人员对信息系统进行管理，以确保信息系统信息的完整性。3.2当公司启用新信息系统或对现有系统进行升级时，应建立系统接受准则，并在系统接受前，根据接受准则对新系统或升级系统进行必要的测试。4．避免恶意软件、代码4.1公司根据风险评定成果，采用适宜的控制方法，以避免恶意软件的侵袭。为避免恶意软件对公司信息系统造成损害，公司规定下列避免恶意软件的政策：这些控制方法涉及：a)公司全部使用的软件必须恪守软件许可，全部软件使用必须按照规定的程序通过正式授权，公司严禁使用未授权的软件b)公司的计算机系统都必须安装、运行公司规定的防病毒软件，并及时升级。未经同意，不能安装其它的防病毒软件c)严禁任何部门或员工未经授权以任何名义制造、传输、复制、收集计算机病毒或公布病毒预警消息d)公司员工接受和公布信息时须进行病毒检测e)重要的和与Internet相连接的服务器（如：Email服务器）必须实时运行防病毒软件f)严禁通过Internet直接到WEB网站上自动升级防病毒软件，必须在公司内指定服务器上升级g)严格控制从互联网下载软件，以避免恶意软件攻击以及不适宜的信息资料。h)全部员工小心解决接受的电子邮件，当电子邮件带有附件时，应对附件进行验证，确保附件不带有病毒或恶意代码。5．备份5.1公司对全部信息系统应明确规定适宜的备份和恢复程序，并确保网络系统数据按照规定的程序进行定时的备份。数据备份频次应与公司业务运作规定相一致。5.2公司全部信息应按照信息的分类进行归档和保存。作为档案保存的媒质应确保能够满足信息保存的期限。5.3公司规定全部系统管理人员建立系统操作日志，统计日常操作活动、系统出现的问题以及解决成果。6．网络管理6.1公司选派适宜的人员对网络进行管理，以确保网络系统信息的完整性。对网络的控制规定将形成书面的程序，并应确保有关人员按照规定的程序对网络系统进行管理。7．媒介解决和安全7.1公司将根据风险评定成果，对多个媒介，如备份磁带、光盘、录音磁带等的使用和解决明确控制规定，这些规定涉及：各类媒介报废的解决职责和方式；各类信息接受、复印、打印的控制规定；各类信息保存的控制规定。7.2公司对系统文献明确控制规定以确保系统文献的安全。8．信息和软件交换8.1在某些特定状况下，公司需要和其它组织进行信息和软件交换时，公司应确保与所涉及的组织签定正式的合同，以明确在信息和软件交换过程中有关的信息安全控制规定。8.2公司在风险评定过程中应考虑对媒介传递的风险，并根据风险评定成果，采用明确的媒介传递安全控制方法，以避免媒介未经授权访问及误用或滥用。8.3当公司业务活动涉及使用电子商务服务，应按照规定的电子商务服务程序，解决有关的电子商务数据，确保数据保密性和完整性。8.4对电子邮件的使用，公司明确规定下列规定：a)电子邮件只用于业务需要，规定全部员工小心解决接受的电子邮件，当电子邮件带有附件时，应对附件进行验证，确保附件不带有病毒或恶意代码。b)各类电子邮件应有明确的保存期限，并确保满足有关法规和公司运作的需要。c)使用电子邮件发送保密资料时应根据敏感信息的密级别，拟定加密控制方法的使用。8.5公司对使用声讯、传真及音像方式进行的信息交换将明确规定控制程序，以确保信息在传递过程中得到适宜保护。十五、访问控制1．总则公司将根据不同的业务需求和安全规定，从业务流程和权限上对信息访问加以限制，对顾客访问权限进行明确规定并形成正式文献。除非被明确授权，否则系统权限在缺省状况下一律严禁。2．顾客访问管理2.1帐户开户2.1.1公司将根据工作有关性原则，明确不同顾客的访问权限，并通过审批后为个人分派权限。对分派的权限必须统计并进行维护。2.1.2公司将建立顾客注册与权限管理程序，以控制顾客对系统的访问权限。对含有保密信息的系统严禁建立公用帐户2.1.3顾客的岗位或职责发生变化时，应立刻变更或取消对应的访问权限2.2口令管理2.2.1公司将明确规定口令的管理负责人，并设立口令，员工口令的设立将遵照公司有关规定，开户时应设立随机口令。2.3权限检查2.3.1公司定时对顾客访问权限，特别是特权进行定时检查，以确保访问权限完整性和对的性。2.3.2公司的权限分派应确保一人不含有多方面的权限，权限须多层分离互相制约。2.4顾客责任2.4.1应确保顾客采用适宜的方式确保口令安全，不得共享个人的口令，并应根据口令管理原则定时更改口令3．网络安全方针3.1.网络划分3.1.1根据公司内部业务和保密规定的不同，将公司网络划分成不同的逻辑网络域，每个网络域的安全控制方法将进行明确规定。3.2网络连接与服务3.2.1公司全部与外部网络进行的连接应事先按照规定的程序进行同意。公司全部与外部网络相连的出入口处必须设立防火墙或与公司网络断开。3.2.2通过接入服务器接入公司内部网络必须通过身份认证、授权及记帐。3.2.3公司与外部网络相连接的系统必须有专人负责管理，任何网络服务的建立和使用应事先按照规定的程序进行同意。3.3网络设备3.3.1公司全部网络设备的安装、配备、变更、撤销等操作必须按照规定的程序通过审批。3.3.2网络的拓扑构造、IP地址等信息必须按照规定的程序严格保管，未经授权，严禁泄露。3.3.3应确保对网络设备的远程登录操作限定在指定网段范畴内。3.4操作系统访问控制3.4.1应根据工作有关性原则授予顾客对应权限，全部操作系统的访问必须通过顾客身份鉴别。3.4.2应按照规定的程序严格控制操作系统管理员对系统文献和业务数据的操作权限。3.4.3为确保服务器密码文献的安全性，服务器的密码文献须加密寄存。3.4.4为确保操作系统的安全，全部不需要使用的系统服务应进行关闭,并删除系统上不使用的帐号。3.4.5应确保操作系统及时安装系统安全补丁。3.4.6应确保系统建立的日志满足审计规定，系统日志必须安全寄存，避免被非授权的访问3.5应用系统安全3.5.1应根据业务访问控制需求按照规定的程序对顾客进行严格授权，并建立和维护应用系统的顾客权限表3.5.2应严格限制业务人员越过应用程序对后台数据库或操作系统直接访问。4．可移动计算机工作及远程工作方针4.1应按照规定的程序对使用便携式电脑进行工作的人员进行授权。全部的便携式电脑在启用前，应设定硬盘密码。4.2使用便携式电脑出差时，应确保便携式电脑得到适宜保护。4.3在公共场合使用便携式电脑解决公司事务时，应确保解决的信息不属于公司敏感信息范畴。4.4对保存有公司敏感信息的手提电脑，不允许在非公司现场连接其它外部网络服务。4.5在非公司办公现场应用远程方式连接公司网络时，应事先按照规定的程序进行授权。十六、系统开发及维护1．总则公司对系统开发及维护过程中的信息安全进行控制，确保将信息安全规定融合进软件开发过程中。2．系统安全规定建立2.1公司在软件系统开发应执行安全开发原则，在软件开发的的项目需求分析阶段，进行风险分析与管理，考虑软件开发的安全需求，并将软件产品需要考虑的安全规定在项目开发需求书中进行阐明。3．系统文献安全3.1针对网络通信、办公系统运行过程中应对使用的各类操作系统、应用系统、