iso27001手册信息安全管理手册

iso27001手册信息安全管理手册内容摘要：

准则和可接受水平。 1) 识别适用于 ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。 2) 建立接受风险的准则并识别风险的可接受等级。 选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 注：风险评估具有不同的方法。 具体参照 国家 《 信息安全风险评估规范 》 标准。 3) 公司的风险评估的流程 公司制定《信息安全风险评估控制程序》，建立识别适用于信息安全管理体 系和已经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别风险的可接受等级。 所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 信息安全风险评估的流程见图。 输 入 输 出 相关方 信息安全的要求和期望 相关方 管理的信息安全 建立ISMS 实 施 和运行ISMS 保 持 和改进ISMS 监视和评审ISMS Plan Do Check Action 图 d) 识别风险： 1) 识别 ISMS 控制范围内的资产以及这些资产的所有者；在已确定的 ISMS 范围内，对所有的信息资产进行列表识别。 信息资产包括 业务过程 、 文档 /数据、软件 /系统、硬件 /设施、人力资源、服务、无形资产等。 对每 一项信息资产，根据重要信息资产判断依据确定是否为重要信息资产，形成《信息资产识别表》。 2) 识别对这些资产的威胁，一项资产可能面对若干个威胁； 3) 识别可能被威胁利用的脆弱性，一项脆弱性也可能面对若干个威胁； 4) 识别保密性、完整性和可用性损失可能对资产造成的影响。 e) 分析并评价风险： 1) 在资产识别的基础上，针对每一项重要信息资产，依据《风险评估原则》中的信息资产 CIAB 分级标准，进行 CIAB的资产赋值计算； 2) 针对每一项重要信息资产，参考《风险评估原则》中的《威胁参考表》及以往的安全事故 （事件）记录、信息资产所处的环境等因素，识别出重要信息资产所面临的所有威胁； 确定 ISMS范围 事件发生的影响 事件发生的可能性 资产识别与重要资产确定 威胁识别 已有控制措施确认 薄弱点识别 保持已有的控制措施 施施施 选择目标及控制措施 实 施 残余风险评审 YES No 是否接受 确定风险等级 Yes 3) 按照《风险评估原则》中的《威胁分级标准》对每一个威胁发生的可能进行赋值； 4) 针对每一项威胁，考虑现有的控制措施，参考《风险评估原则》中的《脆弱性参考表》识别出被该威胁可能利用的所有薄弱点，并根据《风险评估原则》中的《脆弱性分级标准》对每一个脆弱性被威胁利用的难易程度进行赋值； 5) 按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价。 6) 按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价。 7) 按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估赋值，并按照《风险评估原则》中的《风险等级标准》评价出信息安全风险等级。 8) 对于信息安全风险，在考虑控制措施与费用平衡的原则下制定的信息安全风险接受准则，按照该准则确定何种等级的风险为不可接受风险。 f) 识别并评价风险处理的选择： 对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施； 1) 应用适当的控制以降低风险：这可能是降低事件发生的可能性，也可能是降低安全失败 (保密性、完整性或可用性丢失 )的业务损害。 2) 如 果能证明风险满足公司的方针和风险接受准则，有意的、客观的接受风险；一般针对那些不可避免的风险，而且技术上、资源上不可能采取对策来降低，或者降低对公司来说不经济。 “接受风险”是针对判断为不可接受的风险所采取的处理方法，而不是针对那些低于风险接受水平的本来就可接受的风险。 3) 避免风险；对于不是公司的核心工作内容的活动，公司可以采取避免某项活动或者避免采用某项不成熟的产品技术等来回避可能产生的风险。 4) 将有关的业务风险转移到其他方，例如保险公司、供方。 信息安全工作小组 应组织有关部门根据风险评估的结果，形 成风险处理计划，该计划应明确风险处理责任部门、方法及时间。 g) 为风险的处理选择控制目标与控制措施。 应选择并实施控制目标和控制措施，以满足风险评估和风险处理过程所识别的要求。 选择时，应考虑接受风险的准则以及法律法规和合同要求。 信息安全工作小组 根据信息安全方针、业务发展要求及风险评估的结果，组织有关部门制定信息安全目标，并将目标分解到有关部门。 信息安全目标应获得信息安全最高责任者的批准。 从附录 A中选择的控制目标和控制措施应作为这一过程的一部分，并满足上述要求。 公司也可根据需要选择另外的控制目标和控制措 施。 注：附录 A 包含了组织内一般要用到的全面的控制目标和控制措施的列表。 本标准用户可将附录 A作为选择控制措施的出发点，以确保不会遗漏重要的控制可选措施。 h) 获得最高管理者对建议的剩余风险的批准，剩余风险接受批准应该在《风险评估表》上留下记录，并记录残余风险处置批示报告。 i) 获得管理者对实施和运行 ISMS 的授权。 ISMS 管理者代表的任命和授权、 ISMS文档的签署可以作为实施和运作 ISMS的授权证据。 j) 准备适用性声明，内容应包括： 1) 所选择的控制目标和控制措施，以及选择的原因； 2) 当前实施 的控制目标和控制措施； 3) 附录 A中控制目标和控制措施的删减，以及删减的理由。 4) 信息安全工作小组 负责组织编制《 信息安全适用性声明 (SOA)》。 注：适用性声明提供了一个风险处理决策的总结。 通过判断删减的理由，再次确认控制目标没有被无意识的遗漏。 实施并运作 ISMS 为确保 ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动： a) 制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。 b) 为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角 色和职责的分配，明确各岗位的信息安全职责； c) 实施所选的控制措施，以满足控制目标。 d) 确定如何测量所选择的一个 /组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。 注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控制目标的程度。 e) 实施培训和意识计划。 f) 对 ISMS的运作进行管理。 g) 对 ISMS的资源进行管理。 h) 实施能够快速检测安全事情、响应安全事件的程序和其它控制。 监控并评审 ISMS a) 本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、 定期技术检查等控制措施并报告结果以实现： 1）快速检测处理结果中的错误； 2）快速识别失败的和成功的安全破坏和事件； 3）能使管理者确认人工或自动执行的安全活动达到预期的结果； 4) 帮助检测安全事情，并利用指标预防安全事件； 5）确定解决安全破坏所采取的措施是否有效。 b) 定期评审 ISMS的有效性（包括安全方针和目标的符合性，对安全控制措施的评审），考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。 c) 测量控 制措施的有效性，以证实安全要求已得到满足。 d) 按照计划的时间间隔，评审风险评估，评审剩余风险以及可接受风险的等级，考虑到下列变化： 1) 组织机构和职责； 2) 技术； 3) 业务目标和过程； 4) 已识别的威胁； 5) 实施控制的有效性； 6) 外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。 e) 按照计划的时间间隔（不超过一年）进行 ISMS内部审核。 注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司的名义进行的审核。 f) 定期对 ISMS进行管理评审，以确保 范围的充分性，并识别 ISMS过程的改进。 g) 考虑监视和评审活动的发现，更新安全计划。 h) 记录可能对 ISMS有效性或业绩有影响的活动和事情。 保持并持续改进 ISMS 本公司开展以下活动，以确保 ISMS的持续改进： a) 实施已识别的 ISMS改进措施。 b) 采取适当的纠正和预防措施。 吸取从其他公司的安全经验以及组织自身安全实践中得到的教训。 c) 与所有相关方沟通措施和改进。 沟通的详细程度应与环境相适宜，必要时，应约定如何进行。 d) 确保改进达到其预期的目标。 文件要求 总则 本公司 信息安全管理体系文件包括： a)文件化的信息安全方针、控制目标； b)信息安全管理体系手册（本手册，包括信息安全适用范围及引用的标准）； c)本手册要求的《信息安全风险评估管理程序》、《业务持续性管理程序》、《 纠正和预防措施程序 》、《管理评审程序》等支持性程序； d)ISMS引用质量管理体系的支持性程序。 如：《文件控制程序》、《记录控制程序》、《内部审核控制程序》等； e)为确保有效策划、运作和控制信息安全过程所制定的文件化操作程序； f)《风险评估报告》、《风险处理计划》以及 ISMS要求的记录类； g)相关的法律、法规和信息安全标准； h)适应性声明。 信息安全管理手册 a)编写目的：向公司内部或外部提供关于信息安全管理体系的基本信息，用于对公司的信息安全管理体系做纲领性和概括性的描述。 b)信息安全管理手册的编写：由管理者代表负责组织编写，总经理批准后发布实施。 c)信息安全管理手册的管理： 信息安全工作小组 负责保管及发放管理。 d)信息安全管理手册的发放：手册分“受控”和 “非受控”两种。 受控手册在封面上加盖红色“受控文件 ”章，仅限于公司内部使用，当修订或换版时进 行相应控制，且人员调离时应予归还；非受控手 册不盖任何印章，发放对象为认证机构、客户等，在修订和换版时不予控制。 文件控制 公司制定并实施《文件控制程序》，对信息安全管理体系所要求的文件进行管理。 对信息安全管理手册、程序文件、管理规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件的编制、评审、批准、标识、发放、使用、修订、作废、回收等管理工作作出规定，以确保在使用场所能够及时获得适用文件的有效版本。 文件控制应保证： a) 文件在发放前应按规定的审核和批准权限进行批准后才能 发布； b) 必要时对文件进行评审与更新，并按规定的权限重新批准； c) 由信息安全工作小组对文件的现行修订状态进行标识，文件更改由相应更改部门进行标识，确保文件的更改状态清晰明了； d) 信息安全工作小组应确保所有使用文件的场所能够获得有关文件的有效的 最新版本； e) 确保文件保持清晰、易于识别； f) 确保文件可以为需要者所获得，并根据适用于他们类别的程序进。