2引用文件 组织的信息安全管理手册。
3术语和定义 (此处略去) 4职责 4.1 信息安全管理委员会 a负责解释本方针,是本方针的归口管理部门;
b负责决定组织信息安全相关事项。
4.2信息安全部 负责协调推行信息安全管理委员会制定的方针政策。
4.3信息安全战略推进组 负责执行信息安全管理委员会下发、信息安全部督导的ISMS相关文档。
5 ISMS范围 组织信息安全管理体系的范围覆盖组织的所有业务,运行范围包括图1组织结构图中 所示的所有业务部门,该范围与适用性声明保持一致。
组织结构示意图(略去) 6信息安全基本策略 6.1 信息安全方针及信息安全目标 信息安全是保护信息免受各种威胁的损害,以确保业务连续性、业务风险最小化,投资回报和商业机遇最大化。
6.1.1 组织信息安全方针 积极预防、全面管理、控制风险、保障安全。信息安全方针应由CEO批准,发布并传达给全体员工和外部相关方。
6.1.2组织信息安全目标 使已识别的信息资产满足信息安全的各项要求,包括法律法规、客户与相关方和组织业务要求。具体目标包括 a信息泄漏事件为零;
b引起组织主要业务中断时间累计不能超过2 h/年;
c引起组织主要业务中断事件发生次数小于1次/年;
d严重影响网络与信息系统可用性的事件小于1次/年;
e信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标。
6.2信息安全管理体制 信息安全管理体制由以下人员组成CEO、信息安全官、信息安全战略推进组、信息安全部门主管、信息安全员和用户。
为了确保信息安全工作有一个明确的方向相获得CEO的支持,组织设立了三个不同级别的信息安全机构信息安全管理委员会、信息安全部和信息安全战略推进组。
6.3信息的分类和管理 根据信息的重要程度规定信息分类分级及管理方法。
6.3.1信息的分类分级 根据信息的保密性、完整性及可用性等安全属性,对信息进行分类分级。具体请参考信息资产分类/分级指南实施。
6.3.2信息的使用和管理 用户使用信息时,对不同重要度等级的信息资产按照相关程序使用和管理。具体请参考信息标识与处理程序实施。
6.4人力资源安全管理 人在信息安全活动中是最复杂、最难控制的,所有的管理活动都离不开人,因此必须对其进行合理管理,具体请参考人员信息安全管理指南实施。
此外,员工意识对ISMS的实施效果产生很大的影响,因此还需要提高员工的信息安全意识,具体请参考员工培训管理指南实施。
6.5物理和环境安全 6. 5.1 环境设施和安全区域 为了防止重要信息资产遭受不当访问、损坏和干扰等,应将其放入安全区域,进行重点管理,使用组织环境设施和安全区域时,必须遵守环境设施与物理设备管理规定中规定的事项。
6.5.2设备安全 设备在安装、布线、使用和维护时,应遵守相应的安全管理措施。此外,除了要保护设备本身的安全外,更重要的是要保护设备中所存储的信息,要防止信息未授权访问,具体内容请参见环境设施与物理设备管理规定、信息系统安全使用规定和信息系统安金操作规定。
6.6通信和操作管理 积极收集信息安全方面的信息,采取必要的措施,保证交换信息、操作信息处理设备和信息系统时的安全,具体请参考信息系统安全使用规定实施。
6.7访问控制 对信息、信息处理设备、信息系统的访问应在业务和安全要求的基础上进行控制,对信息系统的访问权应有正式的授权和撤销程序,具体请参考用户访问控制管理规定实施。
6.8信息系统的获取、开发和维护 对信息系统的购置、开发建设及系统运行维护过程的信息安全采取必要的控制措施,具体请参考信息系统安全使用规定、信息系统安全操作规定和信息系统安全设计规定实施。
6.9风险管理框架 组织根据所要实现的信息安全目标选取风险评估方法,说明风险接受准则和可接受的风险级别,具体请参考信息安全风险评估程序实施。
所有信息安全风险在被识别后,都应进行分析和评价,确定适当的风险处理选项,选取合适的控制措施,以满足风险评估和风险处理过程中所识别的安全要求。控制措施的选择还应考虑可接受风险的准则以及法律法规和合同要求。风险处理方法请参考信息安全风险处理程序实施。
6.10信息安全事件管理 当员工发现任何安全弱点或信息安全事件时,应按照相应的程序及时上报,以便尽早采取措施,降低信息安全事件发生的可能性或其带来的影响。具体请参考信息安全事件管理程序实施。
6. 11业务连续性管理 为防止组织业务活动中断,保护关键业务免受重大失误或灾难的影响,以及确保它们的及时恢复,组织要制定业务连续性计划。
业务连续性计划必须考虑信息和信息安全的需求。对可能引起业务中断的事件进行识别,并对这些中断发生的概率、影响以及对信息安全的后果进行预测,确保在关键业务中断后能够在要求的水平和要求的时间内恢复。
业务连续性管理的相关内容请参考业务连续性管理程序和业务连续性计划编写指南实施。
6. 12重要原则和符合性要求 6. 12.1 符合法律法规和合同要求 组织在建立和管理ISMS时,必须符合相关法律法规和合同的要求,包括 a法律国家所颁布的与信息安全相关的法律法规要求。
b合同与客户签订的信息安全楣关的合同要求。
具体请参考法律法规符合性规定实施。
6. 12.2安全教育、培训和意识要求 组织全体员工和外部相关方,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。具体请参考员工培训管理指南实施。
6. 12.3违反信息安全方针的后果 任何违反组织信息安全方针的人员,将受到相关惩罚和/或法律制裁,具体请参考信息安全奖惩管理规定实施。
6. 13方针评审 组织按计划的时间间隔或重大变化发生时进行信息安全方针评审修订,以确保方针持续的适宜性、充分性和有效性。
组织每年对本方针进行1次评审。评审的内容包括 a组织信息安全方针改进的机会;
b适应组织环境、业务状况、法律条件或技术环境变化时的信息安全管理方法。