1、信信息息安安全全管管理理 ITIT 服服务务管管理理体系体系手册手册本公司按照 ISO20000:2005信息技术服务管理规范 和 ISO27001:2005信息安全管理体系要求以及本公司业务特点编制信息安全管理&IT 服务管理 体系手册,建立与本公司业务相一致的信息安全与 IT 服务管理体系,现予以 颁布实施。本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻 IT 服务管理理念方针和服务目标。为实现信息安全管理与 IT 服务管理,开展 持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文 件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过
2、有效的 PDCA 活动向顾客提供满足要求的信息安全管理和 IT 服务。本手册符合有关信息安全法律法规要求以及 ISO20000:2005信息技术服务 管理规范、ISO27001:2005信息安全管理体系要求和公司实际情况。为 能更好的贯彻公司管理层在信息安全与 IT 服务管理方面的策略和方针,根据 ISO20000:2005信息技术服务管理规范和 ISO27001:2005信息安全管 理体系要求的要求任命 XXXXX 为管理者代表,作为本公司组织和实施“信 息安全管理与 IT 服务管理体系”的负责人。直接向公司管理层报告。全体员工必须严格按照信息安全管理&IT 服务管理体系手册要求,自觉 遵守
3、本手册各项要求,努力实现公司的信息安全与 IT 服务的方针和目标。管理者代表职责:a)建立服务管理计划;b)向组织传达满足服务管理目标和持续改进的重要性;e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照 ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施 和保持信息安全管理体系;按照 ISO/IEC 20000 信息技术服务管理规范 的要求,组织相关资源,建立、实施和保持 IT 服务管理体系,不断改进 IT 服务管理体系,确 保其有效性、适宜性和符合性。2.负责与信息安全管理体系有关的协调和联络工作
4、;向公司管理层报告 IT 服务管理体 系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进 的要求和结果等。3.确保在整个组织内提高信息安全风险的意识;4.审核风险评估报告、风险处理计划;5.批准发布程序文件;6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告;向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情 况、内外部审核情况。7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标 所应做出的贡献。总经理:日期:信息安信息安全全方方
5、针针和信息安和信息安全全目目标标信信息息安安全全方方针针:信息安全人人有责本公司信息安全管理方针包括内容如下:一、信息安全管理机制1.公司采用系统的方法,按照 ISO/IEC 27001:2005 建立信息安全管理体系,全面保护 本公司的信息安全。二、信息安全管理组织2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证 信息安全管理体系的持续适宜性和有效性。4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保 证信息安全管理体系的有效运行。5.与上级部
6、门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发 展动态,获得对信息安全管理的支持。三、人员安全6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动 合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗 位调动或离职人员,应及时调整安全职责和权限。7.对本公司的相关方,要明确安全要求和安全职责。8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安全意 识。9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。四、识别法律、法规、合同中的安全10.及时识别顾客、合作方、相关方、法律法规对信息
7、安全的要求,采取措施,保证 满足安全要求。五、风险评估11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险 接受准则。12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。13.应根据风险评估的结果,采取相应措施,降低风险。六、报告安全事件14.公司建立报告信息安全事件的渠道和相应的主管部门。15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全 事件,应立即按照规定的途径进行报告。16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向 报告人员反馈处理结果。七、监
8、督检查17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部 审核等。八、业务持续性18.公司根据风险评估的结果,建立业务持续性计划,抵消信息系统的中断造成的影响,防止关键业务过程受严重的信息系统故障或者灾难的影响,并确保能够及时恢复。19.定期对业务持续性计划进行测试和更新。九、违反信息安全要求的惩罚20.对违反信息安全方针、职责、程序和措施的人员,按规定进行处理。信信息息安全目安全目标标:1.不可接受风险处理率:100%(所有不可接受风险应降低到可接受的程度)。2.重大顾客因信息安全事件投诉为 0 次(重大顾客投诉是指直接经济损失金额达 1 万元 以上)1 1信信息息
9、安安全全管理手管理手册册说说明明1.公司简介XX1.1.编编制制依依据据和目的和目的本手册在遵循 ISO9001:2005 信息安全管理体系要求与 ISO/IEC 20000 信息技术服 务管理规范 的要求编制而成,包括了 ISO27001:2005 的全部要求,对附录 A 的删减见 适 用性声明 SoA。手册描述公司的信息安全管理体系的总要求,以确保公司的信息安全管理体系能够达到ISO27001:2005 信息安全管理标准的要求;满足本公司向客户提供 IT 服务所需的 IT 基础设施 和 IT 技术支持服务,适用于向客户或认证机构证实,本公司具备提供符合客户需求的 IT 服务能力和服务质量。
10、本公司的体系程序是手册的支持性文件,是对体系运作的具体描述。2.2.适适用用范范围围信息安全管理&IT 服务管理体系手册适用于本公司提供安全管理体系认证服务与IT 服务 有关的所有部门和活动。3.术语和定义1.本手册应用 ISO/IEC 20000 中的术语及定义。2.本手册应用 ISO/IEC27001 中的术语及定义。2 信息安全管理&IT 服务管理手册的管理1.手册的编制、批准和发布1.按照公司业务发展战略和客户需求,经公司管理者代表批准,技术服务事业部组织相关人员,结 合本公司业务特点,根据 ISO/IEC 20000 标准的要求编写。2.IT 服务管理手册由公司管理者代表批准后发布。
11、2.手册的分发1.技术服务事业部负责手册的发放、更新、管理与存档。2.公司各部门负责手册的使用和保管。3.手册的受控状态1.书面形式的手册分“有效文件”和“保留文件”两种形式。作为公司日常运营的依据及提供给外 部认证机构的手册均为“有效文件”形式。2.当手册内容变更时,“有效文件”形式的手册应及时予以更新和发放。3.“有效文件”形式的文件在更新后,如需保存原来的版本,以便于追溯,则应当用“保留文件”的标识予以区分。234 电子形式的手册由技术服务事业部在工作流转系统中进行管理。4.手册的变更1.因公司战略调整、客户需求或改进活动等引起的手册内容的变更,按公司总经理指示,技术服务 事业部组织相关
12、部门对涉及变更的内容进行更新,并经公司总经理批准后发布。2.更新后的手册,应及时地发放给公司内部原手册持有者,并收回旧版的手册。对电子形式的手册,由技术服务事业部按工作流转系统中的管理规则进行更新和归档管理。5.公司内部手册持有者的责任1.与公司或部门内部的相关人员沟通、学习手册的要求并遵照执行。2.妥善保管,不得私自更改、曲解手册的内容。不得随意向其他与公司业务无关的第三方传播,如 需提供公司以外的第三方参考,应经技术服务事业部提交公司主管副总经理审核后,报公司总经理批准。3 3公公司司架架构构和安和安全全承承诺诺1.1.公公司司行行政政组织组织架架构构总 经 理商务部生技部综合管理部研发实
13、施质管部质 量 保 证测试市场销售物流财务人 力 资 源采购仓库培训文档3.23.2 公公司司信信息息安安全全管管理理体体系系组组织织架架构构图图注:每个虚线框内为一个信息安全小组,部门的负责人为安全组长,各岗位负责人为该岗位 的安全员。总 经 理 管理者代表商务部生技部综合管理部副管理者代表研发实施质管部质 量 保 证测试客 户 服 务销售物流财务人 力 资 源采购仓库培训文档安全委员会33 公司 IT 服务管理职能关系架构图4.4.信信息息安安全全承承诺诺公司成立安全管理委员会来领导信息安全工作,并确定相应的职责和作用。制订信息安全方针和信息安全目标,建立和完善公司的信息安全管理体系。提供
14、充分的资源以保证信息安全管理体系的制定、实施、运作、监控、维护和改善。对公司信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防 范对信息的未经授权访问。对公司信息资产进行风险评估,制定风险可接受标准,对公 司不能接受的风险进行处置。建立业务持续性管理流程。进行业务持续性风险评估,编写、测试并实施业务持续性 计划和灾难恢复计划,以保证公司关键业务的连续,不受重大故障和灾难的影响。确保公司所有员工都接受信息安全的教育培训,提高信息安全意识。保护公司、客户、相关合作方的信息安全。建立公司信息安全组织架构,明确信息安全责任,确定报告可疑的和发生的信息安全 事故及事件的流程,对违反安全
15、制度的人员进行惩罚。建立物理安全和网络安全管理制度,以确保信息的安全性。保护公司软件和信息的完整性,防止病毒与各种恶意软件的入侵。任何人在未经审批的情况下,禁止将信息资产带离公司。公司所有员工都要严格遵守公司的安全方针、程序和制度。控制对内外部网络服务的访问,保护网络服务的安全性与可用性。对用户账号、口令和权限进行严格管理,防止对信息系统的非授权访问。对重要信息进行备份保护,以保证信息的可用性。定期对信息安全管理体系进行内审和管理评审。3.5 信信息息安全管安全管理理委委员员会会为了加强对信息安全管理体系运作的管理,江苏金马扬名信息技术有限公司公司成立信 息安全管理委员会,其职责见下列明细表。
16、信息安全管理职责明细表序序号号单单位位/部部门门信息安信息安全全职职责责1信息安全 管理委员会信息安全管理委员会是我公司信息安全最高组织机构,负责本单位网 络与信息安全重大事项的决策和协调,并对全公司信息安全工作负责。2总经理信息安全第一责任人,制定信息安全方针,对信息安全全面负责。3管理者代表经总经理授权负责建立、实施、检查、改进信息安全管理体系。4综合管理部我公司信息安全管理体系的归口管理部门。1.负责管理体系的建立、实施、保持、测量和改进。2.负责文件控制、记录控制、内部审核的组织、管理评审的组织和 体系的改进。3.负责本公司保密工作的管理。4.安全区域的保卫管理部门,负责安全区域的管理
17、。5.负责全公司人员安全管理,包括人员聘用管理,保密协议签署,员工的能力、意识和培训,员工离职管理。6.负责涉密信息上网、涉密计算机运行、检修、报废的监督管理。7.对信息安全日常工作实施动态考核,将信息安全管理作为企业管 理的重要工作内容。8.参与涉密及司法介入的信息安全事件的调查。5生产技术部是我公司信息系统安全管理部门。负责局域网上所承担的各类信息系统的管理职能;负责我公司信息系统安全日常管理。6其他部门认真执行信息安全管理的方针、标准、安全策略和规范,做好内部培训。备注:以上职能划分,适用所有信息安全管理体系文件。信信息息安全管安全管理理委委员员会会组组成成人人员员:姓名部门职务备注6.
18、服务管理职能说明1.为保证 IT 服务管理体系的顺利实施,以及实施后得到持续的管理和维护,在现有的组织架构外 建立服务管理职能关系架构。IT 服务管理职能关系架构,并不替代现有的按技术类别进行的分工,现有的按技术类别进的分工,在将来的 IT 服务管理体系中仍将发挥其作用。服务部根据 IT 服务 管理程序要求对所有服务合同按照项目进行管理与运行,由项目经理按照服务管理职能关系架构 中的要求对项目执行管理。一个完整的服务项目必须包含服务台、事件管理、业务关系管理、信 息安全管理、供应商管理和 IT 财务管理。对于上图虚线框内的的问题管理、发布管理、配置管理、变更管理、可用性和连续性管理、容量管理、
19、服务级别管理以及服务报告可由服务部经理依照与 用户签署的服务合同进行选择裁剪。2.角色分配说明1.针对服务部当前组织架构及人员状况,将不再为每一具体流程分配流程经理。为此将 13 个 流程,按其必要程度分成必选流程和可裁剪流程两大模块。由项目经理负责相应流程的实施、管 理和控制。对项目组成员主要是组织、协调、安排相应工作任务的完成,可能并不是由自己去完 成。1.项目经理 职责说明:1)、负责 IT 服务项目的立项工作,按照服务合同要求负责相应流程的实施、管理和控制。组织、协调、安排项目组成员完成相应工作任务。2、负责从服务台接受事件报告开始,分配相应的职能小组进行事件处理,直至找到问题的根本原
20、因 的整个过程的管理和协调。3、负责各系统的配置管理、变更和发布控制。4、负责系统的可用性规划和管理、负责安排系统连续性的计划和演练,并负责系统容量的规划和监控。5、主要负责与用户的沟通,对供应商的管理,以及项目的预/决算的管理。36212 能力要求:熟悉服务部的各种服务管理流程,具有较强的内部协调能力。由管理者代表授权技术服务事业部总监,按 ISO/IEC 20000 的要求,负责协调和组织所有与 IT 服务有 关的活动,通过管理和实施各项活动,使 IT 服务业务的质量得到有效的保持和维护。技术服务事业部组织制订、批准和发布公司 IT 服务策略、服务目标,并使其成为公司关注的焦点,成 为公司
21、协调、统一、凝聚公司的所有活动和资源的准则,成为建立、实施、保持并改进 IT 服务管 理体系的宗旨。363公司 IT 服务策略:客户至上、全员参与、创新高效、系统管理、追求卓越公司 IT 服务目标:公司通过服务质量改进程序确定年度服务质量目标公司的 IT 服务目标按 ISO/IEC 20000 的要求,与公司的业务相结合,并通过流程绩效不断提高和改进。技术服务事业部负责组织相关部门,通过会议、评审、书面报告、培训等方式,及时有效沟通工作,达到 IT 服务管理目标和持续改进的需求,并在公司中积极贯彻实施 IT 服务管理的重要性。技术服务事业部负责组织相关部门按照 PDCA 的要求,通过对所属业务
22、的规划,适时优化和提供资源以 计划、实施、监控、评审和改进 IT 服务的交付和管理。管理者代表按照服务质量改进管理程序中的计划间隔,由技术服务事业部负责组织相关部门实施 IT服务管理体系的内部审核,确保 IT 服务管体系的有效性与符合性。管理者代表按照服务质量改进管理程序中的计划间隔,组织相关部门执行 IT 服务管理体系的管理评 审,确保 IT 服务管理体系持续的稳定、充分和有效。4.4.文件要文件要求求1.1.公司的公司的文文件管理体系件管理体系分分为为 A、B、C、D 四四层层,即即 A 层为层为管管理理手册手册、B 层为层为程程序序文文件件、C 层层为为 工作工作流流程程或或规规定定、D
23、 层为记层为记录录。2.管理手册 描述 IT 服务管理体系的文件,是全体员工必须长期遵循的法规性文件。3.程序文件 覆盖公司主要业务过程的流程文件,是管理手册的支撑性文件。4.工作流程或规定 是开展具体业务工作的规范类、指导性文件,是程序文件的支持性文件。5.记录 在开展具体业务工作过程中产生的记录类文件,主要是为具体工作结果提供各种可 追溯性证据。6.技术服务事业部负责组织制订文件和记录管理程序,明确文件的拟制、批准、发放、变更、存档等管理要求,并监控实施。7.技术服务事业部负责组织相关部门,根据公司的业务特点及标准的要求,制订相关的程序文 件,经公司管理者代表批准后实施。8.技术服务事业部
24、负责组织拟制与本部门业务相关的各类 C 层文件,并按文件和记录管理程 序的要求对文件和记录的有效性进行管理。4 4信信息息安安全全管管1.1.总总要要求求1.公司根据整体业务活动(软件开发、经营、服务和日常管理活动)和所面临的风险,按 ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求规定,参照 ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实用规则标准,建立、实施、运作、监控、维护并改进文件化的信息安全管理体系。2.本手册使用的过程基于 PDCA 模式。相相 关关 文文 件件:信息安全方针及目标2.2.建建立立和和管管理信理信息息安安全全管理
25、管理体体系(系(ISMS)1.建立 ISMS1.信息安全管理体系的范围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了范围和边界,本公司信 息安全管理体系的范围包括:a)本公司涉及软件开发、营销、服务和日常管理的业务系统;b)与所述信息系统有关的活动;c)与所述信息系统有关的部门和所有员工;d)所述活动、系统及支持性系统包含的全部信息资产。组组织织范范围围:本公司根据组织的业务特征和组织结构定义了信息安全管理体系的组织范围,见本手册JIN/QM3.2公司信息安全管理体系组织架构。物物理理范范围围:本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息安全管理体 系的物
26、理范围和信息安全边界。本公司 ISMS 的物理范围为本公司位于常州市常州市鹂欣丽都 2 幢乙单元 503 室的办公 场所,安全边界详见附录 A(规范性附录)办公场所平面图。2.信息安全管理体系的方针为了满足适用法律法规及相关方要求,维持软件开发和经营的正常进行,实现业务可持 续发展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产和技术定义了信息 安全管理体系方针,见本信息安全管理手册第 0.3 条款。该信息安全方针符合以下要求:a)为信息安全目标建立了框架,并为信息安全活动建立整体的方向和原则;b)考虑业务及法律或法规的要求,及合同的安全义务;c)与组织战略和风险管理相一致的环境下,
27、建立和保持信息安全管理体系;d)建立了风险评价的准则;e)经最高管理者批准。为实现信息安全管理体系方针,本公司承诺:a)在各层次建立完整的信息安全管理组织机构,确定信息安全目标和控制措施;明确 信息安全的管理职责,见本信息安全管理手册第 3.4 条款。;b)识别并满足适用法律、法规和相关方信息安全要求;c)定期进行信息安全风险评估,信息安全管理体系评审,采取纠正预防措施,保证体 系的持续有效性;d)采用先进有效的设施和技术,处理、传递、储存和保护各类信息,实现信息共享;e)对全体员工进行持续的信息安全教育和培训,不断增强员工的信息安全意识和能力;f)制定并保持完善的业务连续性计划,实现可持续发
28、展。3.风险评估的方法生技部负责制定信息安全风险管理程序,建立识别适用于信息安全管理体系和已经 识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的 可接受等级。信息安全风险评估采用信息安全风险管理软件(Info-riskmanager)进行,以保证所选择的风险评估方法应确保风险评估能产生可比 较的和可重复的结果。4.识别风险在已确定的信息安全管理体系范围内,本公司按信息安全风险管理程序,采用 Info-riskmanager 风险管理软件,对所有的资产进行了识别,并识别了这些资产的所有者。资产包括硬件、设施、软件与系统、数据、文档、服务及人力资源。对每一项资产按自
29、身价 值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值,根据重要资产判断 依据确定是否为重要资产,形成了重要资产清单。同时,根据信息安全风险管理程序,识别了对这些资产的威胁、可能被威胁利用的 脆弱性、识别资产价值、保密性、完整性和可用性、合规性损失可能对资产造成的影响。5.分析和评价风险本公司按信息安全风险管理程序,采用信息安全风险管理软件,分析和评价风险:a)针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋 值;b)针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失 效发生的可能性,并进行赋值;c)根据信息安全风险管理程序计算风险等
30、级;d)根据信息安全风险管理程序及风险接受准则,判断风险为可接受或需要处理。6.识别和评价风险处理的选择网络管理部组织有关部门根据风险评估的结果,形成风险处理计划,该计划明确了 风险处理责任部门、负责人、处理方法及起始、完成时间。对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:a)控制风险,采用适当的内部控制措施;b)接受风险(不可能将所有风险降低为零);c)避免风险(如物理隔离);d)转移风险(如将风险转移给保险者、供方、分包商)。7.选择控制目标与控制措施网络管理部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了 信息安全目标,并将目标分解到有关部门
31、(见信息安全适用性声明):a)信息安全控制目标获得了信息安全最高责任者的批准。b)控制目标及控制措施的选择原则来源于 ISO/IEC 27001:2005信息技术-安全技术-信息安全管理体系-要求附录 A,具体控制措施参考 ISO/IEC 27002:2005信息技术-安全 技术-信息安全管理实用规则。c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。8.对风险处理后的剩余风险,得到了公司最高管理者的批准。9.最高管理者通过本手册对实施和运行信息安全管理体系进行了授权。10.适用性声明生技部负责编制信息安全适用性声明(SoA)。该声明包括以下方面的内容:a)所选择控制目标与控制
32、措施的概要描述,以及选择的原因;b)对 ISO/IEC 27001:2005 附录 A 中未选用的控制目标及控制措施理由的说明。2.实施和运行 ISMS1.为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以 下活动:a)形成风险处理计划,以确定适当的管理措施、职责及安全控制措施的优先级;b)为实现已确定的安全目标、实施风险处理计划,明确各岗位的信息安全职责;c)实施所选择的控制措施,以实现控制目标的要求;d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的 有效性以得出可比较的、可重复的结果;e)进行信息安全培训,提高全员信息安全意识和能力;f)
33、对信息安全体系的运作进行管理;g)对信息安全所需资源进行管理;h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。4.2.2.2 信息安全组织机构本公司成立了的信息安全领导机构-信息安全委员会,其职责是实现信息安全管理体系 方针和本公司承诺。具体职责是:研究决定贯标工作涉及到的重大事项;审定公司信息安全 方针、目标、工作计划和重要文件;为贯标工作的有序推进和信息安全管理体系的有效运行 提供必要的资源。本公司由相关部门代表组成信息安全管理网络,采用联席会议(协调会)的方式,进行 信息安全协调和协作,以:a)确保安全活动的执行符合信息安全方针;b)确定怎样处理不符合;c)批准信息安全的方法和过
34、程,如风险评估、信息分类;d)识别重大的威胁变化,以及信息和相关的信息处理设施对威胁的暴露;e)评估信息安全控制措施实施的充分性和协调性;f)有效的推动组织内信息安全教育、培训和意识;g)评价根据信息安全事件监控和评审得出的信息,并根据识别的信息安全事件推荐适 当的措施。3.信息安全职责和权限本公司总经理为信息安全最高责任者。总经理指定了信息安全管理者代表。无论信息安 全管理者代表在其他方面的职责如何,对信息安全负有以下职责:a)建立并实施信息安全管理体系必要的程序并维持其有效运行;b)对信息安全管理体系的运行情况和必要的改善措施向信息安全领导小组或最高责任 者报告。各部门负责人为本部门信息安
35、全管理责任者,全体员工都应按保密承诺的要求自觉履行 信息安全保密义务;各部门、人员有关信息安全职责分配见本信息安全管理手册第 3.4 条款信息安全管理 职责明细表和相应的程序文件。4.2.2.4 各部门应按照信息安全适用性声明中规定的安全目标、控制措施(包括安全运行的各种控 制程序)的要求实施信息安全控制措施。3.监控和评审 ISMS1.本公司通过实施不定期安全检查、内部审核、事故(事件)报告调查处理、电子监 控、定期技术检查等控制措施并报告结果以实现:a)及时发现处理结果中的错误、信息安全体系的事故(事件)和隐患;b)及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击;c)
36、使管理者确认人工或自动执行的安全活动达到预期的结果;d)使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效;e)积累信息安全方面的经验;2.根据以上活动的结果以及来自相关方的建议和反馈,由总经理主持,每年至少一次 对信息安全管理体系的有效性进行评审,其中包括信息安全范围、方针、目标的符合性及控 制措施有效性的评审,考虑安全审核、事件、有效性测量的结果,以及所有相关方的建议和 反馈。管理评审的具体要求,见本手册第 7 章。3.网络管理部应组织有关部门按照信息安全风险管理程序的要求,采用信息安全 风险管理软件,对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的 水平,对以下
37、方面变更情况应及时进行风险评估:a)组织;b)技术;c)业务目标和过程;d)已识别的威胁;e)实施控制的有效性;f)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。4.按照计划的时间间隔进行信息安全管理体系内部审核,内部审核的具体要求,见本 手册第 6 章。5.定期对信息安全管理体系进行管理评审,以确保范围的充分性,并识别信息安全管 理体系过程的改进,管理评审的具体要求,见本手册第 7 章。6.考虑监视和评审活动的发现,更新安全计划。7.记录可能对信息安全管理体系有效性或业绩有影响的活动和事情。4.保持与持续改进 ISMS我公司开展以下活动,以确保信息安全管理体系的持续改
38、进:a)实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;b)按照内部审核管理程序、纠正措施管理程序、预防措施管理程序的要 求采取适当的纠正和预防措施;吸取其他组织及本公司安全事故(事件)的经验教训,不断 改进安全措施的有效性;c)通过适当的手段保持在内部对信息安全措施的执行情况与结果进行有效的沟通。包 括获取外部信息安全专家的建议、信息安全政府行政主管部门的联系及识别顾客对信息安全 的要求等;d)对信息安全目标及分解进行适当的管理,确保改进达到预期的效果。相相 关关 文文 件件:系统风险评估方法适用性声明管理评审程序内部审核控制程序纠正措施控制程序预防措施控制程序3.3.文文件件
39、要求要求1.总则ISMS文件应包括:a)形成文件的ISMS方针和控制目标;b)ISMS范围c)ISMS的支持性程序和控制措施;d)风险评估方法的描述;e)风险评估报告;f)风险处置计划;g)公司为确保其信息安全过程的有效策划、运行和控制以及规定如何测量控制措施有效性所需的程 序文件;h)标准所要求的记录;i)适用性声明。所有文件应按ISMS方针要求在需要时可获得。2.文件控制ISMS所要求的文件应予以保护和控制,应编制形成文件的程序以规定以下方面所需的管 理措施:a)文件发布前得到批准以确保文件是充分的;b)必要时对文件进行评审与更新并再次批准;c)确保文件的更改和现行修订状态得到识别;d)确
40、保在使用处可获得适用文件的适用版本;e)确保文件保持合法并易于识别;f)确保外来文件得到识别;g)确保文件的分发是受控的;h)防止作废文件的非预期使用;i)若因任何原因而保留作废文件时对这些文件进行适当的标识;4.3.3 记录控制应建立并保持记录,以提供符合要求和ISMS有效运行的证据。记录应得到保护并且受控。ISMS应考虑相关法律要求,记录应易于识别和检索。应编制形成文件的程序,以规定记录的 识别、贮存、保护、检索、保存期限和处置所需的控制,确定记录需要和程度的管理过程。保持过程业绩的记录以及与ISMS有关的安全事件的记录。例如,记录包括访问者登记审 核记录和访问授权。相相 关关 文文 件件
41、:文件控制程序记录控制程序5 5管管理理职责职责1.1.管管理理承承诺诺管理层应通过以下措施对其建立、实施、运行、监控、评审、维护和改进ISMS的承诺提 供证据。a)建立信息安全方针;b)确保信息安全目标和计划的建立;c)为信息安全分配角色和职责;d)向公司传达满足信息安全目标、符合信息安全方针、法律责任和持续改进的重要性;e)提供足够的资源以建立、实施、运行、监控、评审、维护和改进ISMS;f)决定可接受风险的标准和可接受风险的等级;g)确保ISMS内部审核的执行;h)进行ISMS管理评审。相相 关关 文文 件件:信息安全方针和目标部门职责管理评审程序系统风险评估方法2.2.资资源源管理管理
42、1.资源提供公司应确定和提供以下方面所需的资源a)建立建立、实施、运行、监控、维护和改进ISMSb)确保信息安全程序支持业务需求;c)识别并确定法律法规要求和合同安全责任;d)通过正确应用所有实施的控制措施的来维持足够的安全;e)必要时进行评估,并对评估结果采取适当的对应措施;f)必要时改进ISMS的有效性。2.培训、意识和能力公司应确保在ISMS中任命职责的人员应能够胜任要求的任务a)确定从事影响信息安全工作的人员所必需的能力;b)提供足够的能力培训或其它措施,必要时聘用有能力的人员满足这些要求;c)评估所提供的培训和采取措施的有效性;d)保持教育、培训、技能、经验和资质的适当记录。公司应确
43、保员工认识到所从事信息安全活动的相关性和重要性,以及如何为实现ISMS目 标作出贡献。相相 关关 文文 件件:人力资源管理控制程序6 6ISMS内内部部审审核核公司应按计划的时间间隔进行ISMS内部审核,以确定控制目标、控制措施、过程和程序 是否:a)符合标准及相关法律法规的要求;b)符合确定的信息安全要求;c)得到有效地实施和维护;d)按期望运行。内部审核程序应进行计划,并考虑受审核过程的状况、重要性和受审核的区域以及上次 审核结果,应规定审核准则、范围、频次和方式,审核员的选择和审核活动应保证审核过程 的客观和公正,审核员不能审核自己的工作。应建立形成文件的程序,以规定策划和实施审核的职责
44、和要求以及报告结果和保持记录。受审核区域的负责人应确保立即采取措施,以消除发现的不符合及其原因。改进措施包括所采取措施的验证并汇报验证结果。相相 关关 文文 件件:内部审核控制程序7ISMS 管管理理评审评审1.总则管理者应按策划的时间间隔评审公司的ISMS(至少一年一次),以确保其持续的适宜性、充分性和有效性。评审应包括评价ISMS改进的机会和变更的需要,包括安全方针和安全目 标的适宜性。评审结果应清楚地写入文件应保持记录。2.管理评审输入管理评审的输入应包括以下方面的信息:a)ISMS审核(包括内审和外审)和管理评审的结果;b)相关方(客户、供应商、内部员工等)的反馈;c)公司用于改进IS
45、MS业绩和有效性的技术、产品或程序的发展及变化;d)预防和纠正措施的实施情况;e)上次风险评估未充分指出的弱点或威胁;f)体系有效性测量的结果;g)上次管理评审所采取措施的跟踪验证;h)影响ISMS的变更,如信息安全组织架构变化等;i)改进的建议。3.管理评审输出管理评审的输出应包括与以下方面有关的任何决定和措施a)ISMS有效性的改进b)风险评估和风险处理计划的更新c)必要时修订影响信息安全的程序和控制措施,以反映可能影响ISMS的内外事件,包 括以下变化1业务需求;2安全需求;3影响已有业务需求的业务过程;4法律法规环境;5合同义务;6风险和/或风险接受准则。d)资源需求e)针对被测量的控
46、制措施有效性的改进相相 关关 文文 件件:管理评审程序8ISMS 的改改进进1.持续改进公司应通过应用信息安全方针、安全目标、审核结果、监控事件的分析、纠正和预防措 施和管理评审,持续改进ISMS的有效性。2.纠正措施公司应采取措施消除ISMS实施和运行的不符合原因,以防止其再发生。纠正措施文件程 序应规定以下方面的要求。a)识别ISMS实施和运行的不符合项;b)确定不符合的原因;c)评价确保不符合不再发生所需的措施;d)决定和实施所需的纠正措施;e)记录所采取措施的结果;f)评审所采取的纠正措施。3.预防措施公司应决定措施以防范未来的不符合,防止发生采取的预防措施应与潜在问题的影响相 匹配,
47、预防措施文件程序应规定以下方面的要求。a)确定潜在不符合及其原因;b)评价预防不符合发生所需的措施;c)决定实施所需的预防措施;d)记录所采取措施的结果;e)评审所采取的预防措施。公司应识别发生变化的风险,并通过关注变化显著的风险来识别预防措施要求。应根据风险评 估结果来确定预防措施的优先级。相相 关关 文文 件件:纠正措施控制程序预防措施控制程序IT 服服务务管理管理服务管理规划和实施在开展 IT 服务管理的活动中,PDCA 原理贯穿于 IT 服务管理体系的全部流程,其中:P(计划)根据客户要求和公司策略建立目标和流程。D(实施)实施流程。C(检查)根据策略、目标和要求对过程和服务进行监控、
48、测量,并报告结果。A(改进)采取措施以持续改进流程的性能。计划服务管理服务部向客户提供三大服务项目:常驻现场技术服务、定期巡检技术服务、咨询规划设计服务。甘肃 万维公司为不断满足市场需求和企业自身发展需要,将在未来将原有的三大技术服务内容重新规划和设 计,细化成六大服务内容:基础设施服务、运维服务、专业技术服务、IT 安全服务、咨询设计评估服务、培训服务。从而实现在坚持原有行业内的服务的基础上向行业外扩展的计划。服务部根据公司IT 服务管理职能关系架构图中的所分配的职责并依据条款4-9 中所规定的服务管理过 程向客户提供 IT 服务。相关部门根据管理评审的结果及结论,结合本部门的工作实际,由技
49、术服务事业部组织相关部门对当 前与本部门相关的 IT 服务工作的改进需求、以及公司业务发展策略、技术动态、政策法规要求、下一年 度 IT 服务工作的安排进行规划,制订本部门的年度工作计划,并按公司内控制度制订对应的部门年度费 用预算。实施 IT 服务技术服务事业部组织相关部门按批准后的公司年度计划,对计划周期内的工作任务、目标、绩效要求进 行分解,组织各部门制订各自的年度工作计划和费用预算,并进行跟踪、检查。相关部门年度工作计划、年度费用预算应与已批准的本部门年度工作计划、预算一致,如有变更,引起 预算的变化,应上报技术服务事业部按照相关流程审批、执行。技术服务事业部负责组织 IT 服务项目的
50、立项工作,并按照项目管理规定对项目计划周期内的工作任务、目标、绩效要求进行分解,制订项目实施计划和费用预算,并进行跟踪、检查。监视、测量和评审服务部负责收集、汇总、整理 IT 服务项目的日常服务数据。服务部经理负责组织 IT 服务项目,按各项目阶段性工作计划、费用预算的内容,以及 IT 服务管理的要求,收集与 IT 服务相关的信息,监控、测量和评审与本业务相关的服务规划要求、已有的 SLA 符合要求的程 度。IT 服务项目在运行中,应监控、测量和评审的内容为:既定的 IT 服务目标的达成程度。客户满意度。资源利用。服务实施的趋势。严重不符合。技术服务事业部按照服务质量改进管理程序的要求,组织