信息安全管理方针和策略
(总35页)
本页仅作为文档封面,使用时可以删除
Thisdocumentisforreferenceonly-rar21year.March
与内部利益相关方的关系,内部利益相关方的观点和价值观;
组织的文化;
信息系统、信息流和决策过程(正式与非正式);
组织所采用的标准、指南和模式;
合同关系的形式与范围。
明确风险管理过程状况:
确定风险管理活动的目标;
确定风险管理过程的职责;
确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;
以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;
界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;
确定风险评价的方法;
确定评价风险管理的绩效和有效性的方法;
识别和规定所必须要做出的决策;
确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。
确定风险准则:
可以出现的致因和后果的性质和类别,以及如何予以测量;
可能性如何确定;
可能性和(或)后果的时间范围;
风险程度如何确定;
利益相关方的观点;
风险可接受或可容许的程度;
多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。
理解相关方的需求和期望
信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息
安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的
控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
确定信息安全管理体系范围
本公司ISMS的范围包括
a)物理范围:
b)业务范围:计算机软件开发,计算机系统集成相关信息安全管理活动。
c)内部管理结构:办公室、财务部、研发部、商务部、工程部、运维部。
d)外部接口:向公司提供各种服务的第三方
信息安全管理体系
本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时
考虑该体系的实施、维持、持续改善,确保其有效性。ISMS体系所涉及的过程基于PDCA
模式。
领导力
总经理应通过以下方式证明信息安全管理体系的领导力和承诺:
a)确保信息安全方针和信息安全目标已建立,并与公司战略方向一致;
b)确保将信息安全管理体系要求融合到日常管理过程中;
c)确保信息安全管理体系所需资源可用;
d)向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性;
e)确保信息安全管理体系达到预期结果;
f)指导并支持相关人员为信息安全管理体系有效性做出贡献;
g)促进持续改进;
h)支持信息安全管理小组及各部门的负责人,在其职责范围内展现领导力。
规划
应对风险和机会的措施
总则
公司针对公司内部和公司外部的实际情况,和相关方的要求,确定公司所需应对的信
息安全方面的风险。在已确定的ISMS范围内,针对业务全过程所涉及的所有信息资产进行
列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每
一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。
信息安全管理小组制定信息安全风险评估管理程序,经信息安全管理小组组长批准后
组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见
《信息安全风险评估管理程序》。
.1信息安全风险评估
.风险评估的系统方法
信息安全管理小组制定信息安全风险评估管理程序,经管理者代表审核,总经理批准
后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适
用于《信息安全风险评估管理程序》。
.资产识别
在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系
统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产,根据信息资产判断
依据确定信息资产的重要性等级并对其重要度赋值。
.评估风