ISO27001：2013信息安全管理体系一整套程序

ISO27001：2013信息安全管理体系一整套程序第第页目录TOC\o"1-3"\h\z1. 目的和范围 42. 引用文件 43. 职责和权限 44. 符合法律要求 45. 符合安全策略和标准以及技术符合性 76. 信息系统审核考虑 87. 附件 10

目的和范围本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安全需求。本制度适用于信息安全管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《软件管理规定》职责和权限行政部：负责组织有关信息安全管理体系的法律法规和其他要求的收集、更新、审核、评价，并提出专项建议使公司的日常运营满足法律法规的要求。各部门：协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。符合法律要求确定使用法律识别需要遵守的法律法规，并制定《适用法律法规和其它要求清单》；信息安全管理工作小组会就有关法规影响，在每年的信息安全管理体系审核里面报告中进行说明；遵守对第三方的知识产权保护（如商标、版权和图像、文字、音频、软件、信息和发明等其它权利）；未经授权，不擅自复制、使用或转送属于第三方的资料。知识产权（IPR）对第三方知识产权的保护包括但不限于商标、版权、品牌以及图像、文字、音频、软件、信息和发明等其它权利。对版权的保护需遵照实施如下制度：不得通过擅自复制、使用或转让第三方资料获取利益；员工应向综合管理部咨询有关知识产权或合同义务和软件许可证限制方面的问题。软件版权 员工应遵守或授权的软件策略，合法使用软件、信息产品和保持许可证的有效性；对软件的版权保护方面应遵照以下制度：为保证软件产品用户不超过允许最大数量，应保证按照软件许可证规定条件安装软件；信息安全小组应在需要时检查公司的办公设备，确保只用授权和注册的软件；应保存以下信息：许可证类型如授权公司的软件、免费软件、共享软件和评估版软件；购买/获取日期；许可证期满/重认证日期；授权许可证用户/连接的编号；许可安装的编号；其它执照条件。应将软件许可文件原件、正版软件盘和手册放在安全位置；对获得的服务软件的保存条件采用下列制度：应对照软件资产每年的注册，检查每次软件安装的许可证条件；发现某些软件不再需要时，应安排卸载该软件并在许可证到期之前处理掉；发现某些软件仍需要时，应在许可证到期之前发采购单延长软件使用权的期限；需要时，应发出购买评估版软件的采购单。处理所使用的软件时应采用以下方针：处理掉的软件或软件包应该是系统信息所有者批准后不再需要的旧版本；软件需要换版本时，可在许可证允许的前提下将旧版本连同手册、软件和许可协议一同转存到其它区域；如果软件不能转到其它区域，则需将软件从所有安装系统上卸下。在卸载所有者不再需要的软件包后，记录表需要更新并随后随同材料一起转到安全保管处。保护组织的记录所有的合同文件必须做如下保管：正版文件存档保存在安全区域；保存到文件所有者不用时为止。对重要网络设备和服务器上的数据进行备份。为防止公司的重要记录丢失、毁坏和被篡改。这些记录必须妥善保管，以符合法律法规要求，有利于重要的业务活动。此类记录包括但不限如下：可以作为证据证明运作符合法律法规规定的记录；可以确保能充分防范发生潜在的民事诉讼或刑事诉讼的记录；可以向主管部门、合作方和审计人员证实财务状况的记录。信息保管的时间和数据内容根据国家法律法规而定。存储和处理系统应该确保能够清楚识别记录以及法律法规规定的保管期。在保管期满后如果不再需要记录，则可以采用适当的方式予以销毁。数据保护和个人信息的隐私谨慎遵守国家法律法规有关个人资料保密和隐私的规定，保护处理个人信息和数据安全。防止滥用信息处理设施防止任何在受到管理的信息处理实施受到滥用。密码控制措施的规则遵照《访问控制制度》执行密码策略。如果需要加密措施，必须从法律顾问获取专家建议以保证需要时符合有关政府规定。为保证遵照有关规定需要采取以下控制措施：在获取加密技术前，要向专家咨询并评估密码控制措施和要求；使用正式授权、购置和初始程序，保证遵照有关加密技术的法律；对受控加密项目与有关的执法机构(如国家商业密码办公室)进行合作。符合安全策略和标准以及技术符合性符合安全策略和标准定期进行内部审核，以检查公司的策略是否符合安全标准，具体的内审方法可参考《内部审核管理制度》。技术符合性检查要求独立方定期检查公司的工作环境，确认整个公司的信息系统和网络内的信息安全控制措施是否充足以及这些措施的执行情况。技术符合性检查必须检查受影响的信息处理系统，保证所有的软件、硬件和过程控制措施得到适当的配置和更新。行政部必须按照上述的技术符合性检查后的报告中提出的问题进行跟踪。信息系统审核考虑信息系统审核控制措施任何技术符合性审核都必须经过认真策划，最大程度地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。确定最适合的方法，保证技术符合性审核取得圆满。获取信息安全管理工作小组对既定审核方法的书面批准。判定每个系统的访问级别并从相关负责人获取书面批准。只获取审核活动范围内的IT硬件、软件和系统的访问权。确保技术符合性审核后删除或处理掉系统审核工具和残余数据。确保所有的系统审核都按照《变更管理办法》中的说明进行。确保系统审核的所有活动按照商定的审核计划进行。信息系统审核工具的保护对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或损害。信息系统审核工具（如软件和数据文件）应与开发和运行系统分开，并且不能保存在磁带（程序）库或用户区域内，除非给予合适级别的附加保护。信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。活动描述信息安全管理工作小组根据情况，对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。管理人员应确保在其职责范围内的所有安全程序被正确地执行，以确保符合安全策略及标准。管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。任何技术符合性检查应仅由有能力的、已授权的人员来完成，或在他们的监督下完成。涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。漏洞扫描管理：管理员应定期进行漏洞扫描，客户端和服务器可使用相关工具进行漏洞扫描。根据漏洞扫描结果，管理员应及时修补系统漏洞。渗透测试管理：技术符合性检查应由有经验的系统工程师手动执行（如需要，利用合适的软件工具支持），或者由技术专家用自动工具来执行，此工具可生成供后续解释的技术报告。如果使用渗透测试或脆弱性评估，则应格外小心，因为这些活动可能导致系统安全的损害。这样的测试应预先计划，形成文件，且重复执行。审核注意事项：应与合适的管理者商定审核要求；应商定和控制检查范围；检查应限于对软件和数据的只读访问；非只读的访问应仅用于对系统文件的单独拷贝，当审核完成时，应擦除这些拷贝，或者按照审核文件要求，具有保留这些文件的义务，则要给予适当的保护；应明确地识别和提供执行检查所需的资源；应识别和商定特定的或另外的处理要求；应监视和记录所有访问，以产生参照踪迹；对关键数据或系统，应考虑使用时间戳参照踪迹；应将所有的制度、要求和职责形成文件；执行审核的人员应独立于审核活动附件无信息安全目标及有效性测量制度目录TOC\o"1-3"\h\z1. 目的和范围 22. 引用文件 23. 职责和权限 24. 信息安全总目标 24.1.信息保密性目标(C) 34.2.信息完整性目标(I) 34.3.业务系统可用性(A) 34.4.信息安全风险管理度总目标 35. 信息安全目标有效性测量方法 45.1.关键目标指标 45.2.关键性能指标 46. 相关记录 5

目的和范围确保信息安全管理体系的有效实施,根据本公司信息安全方针制定信息安全目标，并规定信息安全目标的测量方法，以便于目标达成情况的考核。适用于信息安全目标的制定、检查、测量。引用文件《信息安全管理手册》职责和权限信息安全领导小组：批准公司的信息安全目标；体系负责人：负责制定信息安全目标；信息安全工作小组：提出公司信息安全目标建议。定期组织相关部门对信息安全目标进行检查、统计、分析和测量；行政部：有效性测量记录的归档；各部门：负责与本部门相关的信息安全目标的检查、统计、分析和测量，当目标不能达标时，进行原因分析并进行改进。信息安全总目标为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全总目标，将保证公司客户信息安全和公司内部信息安全的整体目标分解为信息安全的保密性（C）目标、完整性目标（I)、可用性目标（A），并规定这些信息安全目标C、I、A的计算方法，以便于目标达成情况的考核。信息保密性目标(C)保证各种需要保密的资料（包括电子文档、磁带等）不被泄密，确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式，确保数据不泄密，机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%；信息完整性目标(I)信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%；业务系统可用性(A)保证业务系统正常运行，避免各种非故意的错误与损坏，业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%；信息安全风险管理度总目标风险管理度（R）=(C*60%+I*10%+A*30%)风险管理度R年度测量结果必须为可接受以上。R:100-98：好R:97-90：可接受R≤90：需要改进信息安全目标有效性测量方法信息安全工作小组根据信息安全管理体系和公司及客户的要求，组织编制《信息安全目标及风险管理度有效性测量表》，经体系负责人审批后发布实施。在信息安全管理体系有效性的测量中，使用基于信息安全管理体系控制的关键目标指标和关键性能指标的测量方法。关键目标指标识别测定信息安全管理体系控制的结果，控制的输出，关键目标指标体现的是控制的目标，指出哪些是必须做的，是控制实现其目标的可测指标，并且通常定义为需要实现的目标。关键目标指标是控制目标的一种表达，明确要取得什么目标，并描绘控制的结果，进行事后评判，即时体现控制的完成即成功与否。信息安全工作小组分析确定信息安全的14个领域中关键的测量目标。关键性能指标通过监测某控制的执行情况，告诉管理者该控制是否满足标准、信息安全管理体系和管理者的要求。关键性能指标是控制的性能指标，表现为控制的实际表现。通过测定，评价控制执行的好坏，通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定控制的性能，关键性能指标是控制执行程度的测定，预期将来成败的可能性，是先导性目标，面向控制过程，关注对于控制至关重要的资源。关键性能指标指出控制要完成到怎样的程度。信息安全工作小组分析确定每个测量子类中的测量方法和关键性指标。相关记录编号记录编号记录名称保管场所保存期限保存形式备注1F4-D-总经办-023-V1.0信息安全目标及风险管理度有效性测量表总经办3年电子/纸质纠正和预防措施控制制度目录TOC\o"1-3"\h\z1. 目的和范围 22. 引用文件 23. 职责和权限 24. 持续改进 35. 纠正措施制度 35.1.信息的收集和汇总分析 35.2.下达任务 45.3.纠正措施的实施 45.4.监督和效果验证 46. 预防措施制度 56.1.分析潜在不符合项的原因 56.2.预防措施的实施 56.3.监督和验证 67. 实施策略 68. 相关记录 7

目的和范围为了对信息安全管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析、纠正，并为防止潜在不符合项的发生，采取预防措施，以消除造成实际或潜在的不符合项的原因，持续改进信息安全管理体系，特制定纠正和预防措施管理制度。本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《文件控制制度》《信息安全交流控制制度》职责和权限信息安全工作小组：负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因，并跟踪验证纠正预防措施实施情况；负责与相关部门共同制定纠正预防措施。各部门：负责本部门的不符合原因分析及纠正、预防措施的制定和实施。持续改进为了消除不符合项或潜在的不符合项的产生，所采取的纠正、预防措施应与问题大小和风险程度相适应，以最佳的成本获得满足信息安全管理体系的要求。通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审，持续改进信息安全管理体系的有效性。信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去，使其成为正式的方法，有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。纠正措施制度信息的收集和汇总分析不符合的信息可能来自：法律法规的变更产生的不符合；员工、顾客及相邻部门和群众的意见和投诉；资产识别及评价发现的不符合；内部和外部审核及管理评审发现的不符合；体系运行中发现的问题；检查与监督过程中发现的不符合；事故调查时发现的不符合问题；信息交流发现的不符合；其它途径发现的不符合。信息安全工作小组对管理体系实施运行情况，尤其对内审、外审、管理评审以及有效性测量中的《审核、检查发现事项通知单》和信息安全事件，进行收集汇总。信息安全工作小组对所有的不符合项，进行原因分析，找出主要原因，确定需要采取纠正措施的不符合项，并填入《审核、检查发现事项通知单》。下达任务在明确责任部门后，信息安全工作小组给相关责任部门下达《审核、检查发现事项通知单》。纠正措施的实施不符合项的责任部门根据《审核、检查发现事项通知单》的要求，在规定的期限内组织相关人员进行实施。对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责，确保按期完成。监督和效果验证纠正措施完成后，责任部门通知信息安全工作小组对纠正措施进行验证，信息安全工作小组组织有关人员进行验证，并记录在《体系改进记录表》上，并提报给信息安全委员会；信息安全工作小组对纠正措施的实施结果和效果作最终的确认。预防措施制度分析潜在不符合项的原因信息安全工作小组利用对潜在不符合项情况以及各部门日常发现报告的重大安全隐患（安全薄弱点)，确定可能需要采取预防措施的问题和需求，组织相关部门进行原因分析，分析确定潜在不符合及其原因，评价防止不符合发生的措施的需求。采取预防措施应与潜在问题的影响程度相适应，对于以下情况的潜在不符合应采取预防措施：可能造成信息安