信息安全管理系列課程案例練習冊{

1、信息安全管理系列課程案例練習冊信息安全管理系列課程案例練習冊(XXXX0406) 案例練習冊信息安全管理系列課程案例練習姓名： 于全河 學號： GS1221961 成績： 評閱教師簽名： 2013年4月目 錄第一部分 案例31A公司介紹32A公司ISMS文件41目的52范圍63適用性聲明61.目的192.適用范圍193.風險評估的實施頻率及評審194.風險評估方法195.風險評估流程206.相關文件221目的和適用范圍222職責233定義233.1信息安全事件233.2信息安全事故234工作程序234.1報告234.2處理234.3改進245相關記錄24第二部分 練習281練習一：風險評估28

2、2練習二：編制檢查表291練習三：判斷不符合項30第一部分 案例1 A公司介紹位于北京上地信息產業(yè)園區(qū)的A數據科技有限公司成立于2000年8月，總投資5000萬元人民幣。公司主要業(yè)務是為行業(yè)用戶提供數據加工服務，包括：l 大批量紙介質數據的電子化l 加工制作數字化報刊和電子圖書l 大批量電子數據的格式轉換l 定制開發(fā)電子數據閱讀器A公司憑借自主知識產權的OCR、數據格式化等核心技術，已經成為國內外領先的的專業(yè)數據加工企業(yè)。目前主要客戶來自國際、國內的銀行、保險公司、醫(yī)院、法院、檔案館、圖書館等。公司現有員工1200人，設有7個職能部門，實行董事會領導的總經理負責制。各職能部門主要職責如下：1)

3、 生產部：按照客戶要求，負責數據加工生產，是公司核心業(yè)務部門。2) 質量保證部：負責數據加工生產過程中的品質保證，ISO9001質量管理體系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理體系的運行。3) IT部：負責研發(fā)生產部所需的數據加工工具，為客戶定制開發(fā)電子數據閱讀器。公司IT系統(tǒng)的建設和運行維護。4) 市場營銷部：制定和實施營銷策略，開發(fā)客戶，實現銷售。5) 財務部：財務計劃的制定和實施，日常結算、稅務等會計業(yè)務。6) 行政部：負責公司后勤保障和日常運行事務。7) 人力資源部：制定和實施人力資源計劃，包括人員招聘、績效考核、崗位職責定義。2 A公司ISM

4、S文件部分A公司ISMS文件如下。2.1 ISMS方針信息安全管理體系方針1 目的和適用范圍信息安全管理體系方針指明了公司的信息安全目標和方向，并可以確保信息安全管理體系被充分理解和貫徹實施。此外，本文件還描述了公司的信息安全管理體系的范圍。本文件適用于公司信息安全管理體系涉及的所有人員和過程。2 信息安全定義公司對信息安全的定義是：保證公司業(yè)務所依賴的信息和信息系統(tǒng)的保密性，完整性，可用性；3 信息安全方針和目標公司信息安全方針為：積極預防、及時發(fā)現、快速響應、確保安全。公司的信息安全目標是：滿足已識別的信息安全要求，包括法律法規(guī)、客戶與相關方和公司業(yè)務要求，具體目標包括： 商業(yè)秘密信息泄漏

5、事故為零。 引起公司主要產品研發(fā)與生產中斷時間累計不能超過1小時/年。 引起公司主要產品研發(fā)與生產中斷事故發(fā)生次數小于3次/年。4 信息安全管理機構為了確保公司信息安全工作有一個明確的方向和獲得可見的管理者支持，公司設立信息安全領導小組，負責： 制定信息安全方針和目標； 建立公司信息安全角色和職責 提供公司ISMS所需要的資源； 領導建立和實施公司ISMS； 監(jiān)督和檢查公司信息安全工作； 制定和實施信息安全工作的獎懲政策。5 職責公司的最高管理者負責建立和評審此文件。公司的信息安全管理人員要通過適當的標準和程序實施信息安全方針。公司所有員工及其合約供貨商必須按照相應的程序，維護此方針，所有員工

6、有責任報告信息安全事件，以及識別信息安全風險。6 重要原則和符合性要求公司所有員工應明確，在信息安全方面滿足以下原則和符合以下要求是必須的：1) 法律法規(guī)和合同要求的符合性2) 信息安全安全意識3) 遵守公司所有信息安全策略和操作規(guī)程7 評審本文件需要定期被評審，12個月內評審一次，當信息安全管理體系發(fā)生重大變化時，也應評審，以維持其適用性。信息安全領導小組負責本文件的評審。8 實施 本方針自2006年5月15日由公司總經理簽署并頒布實施。 2.2 適用聲明（SOA）適用性聲明 1 目的為描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔，制定此文件。2 范圍本文件適用于公司I

7、SMS覆蓋范圍內的所有員工和所有活動。3 適用性聲明條款目標控制措施是否選擇/及理由A.5 安全方針A.5.1 信息安全方針A.5.1.1信息安全方針文件依據業(yè)務要求和相關法律法規(guī)提供管理指導并支持信息安全。信息安全方針文件應由管理者批準、發(fā)布并傳達給所有員工和外部相關方。選擇信息安全工作要求所確定，見信息安全管理體系方針。A.5.1.2信息安全方針的評審應按計劃的時間間隔或當重大變化發(fā)生時進行信息安全方針評審，以確保它持續(xù)的適宜性、充分性和有效性。選擇信息安全工作要求所確定，見信息安全管理體系方針。A.6信息安全組織A.6.1內部組織A.6.1.1 信息安全的管理承諾在組織內管理信息安全。管

8、理者應通過清晰的說明、可證實的承諾、明確的信息安全職責分配及確認，來積極支持組織內的安全。選擇？A.6.1.2信息安全協(xié)調信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行協(xié)調。選擇，風險評估結果所確定，見信息安全管理體系方針。A.6.1.3信息安全職責的分配所有的信息安全職責應予以清晰地定義。選擇，？，見信息安全崗位職責描述。A.6.1.4信息處理設施的授權過程新信息處理設施應定義和實施一個管理授權過程。選擇，（寫進信息安全策略）A.6.1.5保密性協(xié)議應識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的要求。選擇，滿足客戶合同和公司的要求，見保密制度。A.6.1.6與

9、政府部門的聯(lián)系應保持與政府相關部門的適當聯(lián)系。選擇，？，見對外聯(lián)絡表。A.6.1.7與特定權益團體的聯(lián)系應保持與特定權益團體、其他安全專家組和專業(yè)協(xié)會的適當聯(lián)系。選擇，獲取行業(yè)信息，見對外聯(lián)絡表。A.6.1.8信息安全的獨立評審組織管理信息安全的方法及其實施（例如信息安全的控制目標、控制措施、策略、過程和程序）應按計劃的時間間隔進行獨立評審，當安全實施發(fā)生重大變化時，也要進行獨立評審。選擇，根據業(yè)務需要適時進行安全機構的第三方獨立評審，見信息安全策略。A.6.2外部各方A.6.2.1 與外部各方相關風險的識別保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全。應識別

10、涉及外部各方業(yè)務過程中組織的信息和信息處理設施的風險，并在允許訪問前實施適當的控制措施。選擇，見信息安全策略。A.6.2.2 處理與顧客有關的安全問題應在允許顧客訪問組織信息或資產之前處理所有確定的安全要求。選擇，見信息安全策略。A.6.2.3處理第三方協(xié)議中的安全問題涉及訪問、處理或管理組織的信息或信息處理設施以及與之通信的第三方協(xié)議，或在信息處理設施中增加產品或服務的第三方協(xié)議，應涵蓋所有相關的安全要求。選擇，見信息安全策略。A.7資產管理A.7.1資產責任實現和保持對組織資產的適當保護。A.7.1.1資產清單應清晰的識別所有資產，編制并維護所有重要資產的清單。選擇，見重要信息資產清單。A

11、.7.1.2資產責任人與信息處理設施有關的所有信息和資產應由組織的指定部門或人員承擔責任0F 解釋：術語“責任人”是被認可，具有控制生產、開發(fā)、保持、使用和資產安全的個人或實體。術語“責任人”不指實際上對資產具有財產權的人。選擇，見重要信息資產清單。A.7.1.3資產的允許使用與信息處理設施有關的信息和資產使用允許規(guī)則應被確定、形成文件并加以實施。選擇，見管理手冊。A.7.2信息分類A.7.2.1 分類指南確保信息受到適當級別的保護。信息應按照它對組織的價值、法律要求、敏感性和關鍵性予以分類。選擇，見重要信息資產清單見風險評估。A.7.2.2信息的標記和處理應按照組織所采納的分類機制建立和實施

12、一組合適的信息標記和處理程序。選擇，見信息安全策略。A.8 人力資源安全A.8.1任用之前A.8.1.1角色和職責確保雇員、承包方人員和第三方人員理解其職責、考慮對其承擔的角色是適合的，以降低設施被竊、欺詐和誤用的風險。雇員、承包方人員和第三方人員的安全角色和職責應按照組織的信息安全方針定義并形成文件。選擇，見信息安全崗位職責描述。A.8.1.2審查關于所有任用的候選者、承包方人員和第三方人員的背景驗證檢查應按照相關法律法規(guī)、道德規(guī)范和對應的業(yè)務要求、被訪問信息的類別和察覺的風險來執(zhí)行。選擇，見人員情況調查表。A.8.1.3任用條款和條件作為他們合同義務的一部分，雇員、承包方人員和第三方人員應

13、同意并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他們和組織的信息安全職責。選擇，見人員招聘簡章。A.8.2 任用中A.8.2.1管理職責確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和程序對安全盡心盡力。選擇，見信息安全管理體系方針與信息安全管理體系職責描述。A.8.2.2信息安全意識、教育和培訓組織的所有雇員，適當時，包括承包方人員和第三方人員，應受到與其工作職能相關的適當的意識培訓和組織方針策略及程序的定期更新培

14、訓。選擇，見信息安全管理體系方針。A.8.2.3紀律處理過程對于安全違規(guī)的雇員，應有一個正式的紀律處理過程。選擇，見管理手冊。A.8.3 任用的終止或變化A.8.3.1終止職責確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關系。任用終止或任用變化的職責應清晰的定義和分配。選擇，見管理手冊。A.8.3.2資產的歸還所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時，應歸還他們使用的所有組織資產。選擇，見管理手冊。A.8.3.3撤銷訪問權所有雇員、承包方人員和第三方人員對信息和信息處理設施的訪問權應在任用、合同或協(xié)議終止時刪除，或在變化時調整。選擇，見管理手冊。A

15、.9 物理和環(huán)境安全A.9.1安全區(qū)域A.9.1.1物理安全邊界防止對組織場所和信息的未授權物理訪問、損壞和干擾。應使用安全邊界（諸如墻、卡控制的入口或有人管理的接待臺等屏障）來保護包含信息和信息處理設施的區(qū)域。選擇，見工作場所出入管理規(guī)定。A.9.1.2物理入口控制安全區(qū)域應由適合的入口控制所保護，以確保只有授權的人員才允許訪問。選擇，見工作場所出入管理規(guī)定。A.9.1.3辦公室、房間和設施的安全保護應為辦公室、房間和設施設計并采取物理安全措施。選擇，見工作場所出入管理規(guī)定。A.9.1.4外部和環(huán)境威脅的安全防護為防止火災、洪水、地震、爆炸、社會動蕩和其他形式的自然或人為災難引起的破壞，應設

16、計和采取物理保護措施。選擇，見突發(fā)情況應急方案（管理手冊）。A.9.1.5在安全區(qū)域工作應設計和運用用于安全區(qū)域工作的物理保護和指南。選擇，見機房管理規(guī)定。A.9.1.6公共訪問、交接區(qū)安全訪問點（例如交接區(qū)）和未授權人員可進入辦公場所的其他點應加以控制，如果可能，要與信息處理設施隔離，以避免未授權訪問。選擇，見工作場所出入管理規(guī)定。A.9.2 設備安全A.9.2.1設備安置和保護防止資產的丟失、損壞、失竊或危及資產安全以及組織活動的中斷。應安置或保護設備，以減少由環(huán)境威脅和危險所造成的各種風險以及未授權訪問的機會。選擇，見設備管理規(guī)定。A.9.2.2支持性設施應保護設備使其免于由支持性設施的

17、失效而引起的電源故障和其他中斷。選擇，見突發(fā)情況應急方案（管理手冊）。A.9.2.3布纜安全應保證傳輸數據或支持信息服務的電源布纜和通信布纜免受竊聽或損壞。選擇，見機房管理規(guī)定。A.9.2.4設備維護設備應予以正確地維護，以確保其持續(xù)的可用性和完整性。選擇，見設備管理規(guī)定。A.9.2.5組織場所外的設備安全不選擇，沒有組織場所外的設備A.9.2.6設備的安全處置或再利用包含儲存介質的設備的所有項目應進行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫。選擇，見信息安全策略。A.9.2.7資產的移動設備、信息或軟件在授權之前不應帶出組織場所。選擇，見機房管理規(guī)定。A.10通信和操

18、作管理A.10.1操作程序和職責A.10.1.1文件化的操作程序確保正確、安全的操作信息處理設施。操作程序應形成文件、保持并對所有需要的用戶可用。選擇，見設備管理規(guī)定、服務器管理規(guī)定、郵件使用安全管理規(guī)定、備份管理程序、網絡安全管理規(guī)定。A.10.1.2變更管理對信息處理設施和系統(tǒng)的變更應加以控制。選擇，見設備管理規(guī)定、服務器管理規(guī)定。A.10.1.3責任分離各類責任及職責范圍應加以分割，以降低未授權或無意識的修改或者不當使用組織資產的機會。選擇，見用戶管理規(guī)定（管理手冊）。A.10.1.4開發(fā)、測試和運行設施分離開發(fā)、測試和運行設施應分離，以減少未授權訪問或改變運行系統(tǒng)的風險。選擇，見技術部

19、工作規(guī)范（自主開發(fā)軟件管理規(guī)定）。A.10.2 第三方服務交付管理A.10.2.1服務交付實施和保持符合第三方服務交付協(xié)議的信息安全和服務交付的適當水準。應確保第三方實施、運行和保持包含在第三方服務交付協(xié)議中的安全控制措施、服務定義和交付水準。選擇，見信息安全策略。A.10.2.2第三方服務的監(jiān)視和評審應定期監(jiān)視和評審由第三方提供的服務、報告和記錄，審核也應定期執(zhí)行。選擇，見信息安全策略。A.10.2.3第三方服務的變更管理應管理服務提供的變更，包括保持和改進現有的信息安全方針策略、程序和控制措施，要考慮業(yè)務系統(tǒng)和涉及過程的關鍵程度及風險的再評估。選擇，見信息安全策略。A.10.3 系統(tǒng)規(guī)劃和

20、驗收A.10.3.1容量管理將系統(tǒng)失效的風險降至最小。資源的使用應加以監(jiān)視、調整，并應作出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。選擇，根據業(yè)務需要適時調整，見信息安全策略。A.10.3.2系統(tǒng)驗收應建立對新信息系統(tǒng)、升級及新版本的驗收準則，并且在開發(fā)中和驗收前對系統(tǒng)進行適當的測試。選擇，根據業(yè)務需要適時調整，見信息安全策略。A.10.4 防范惡意和移動代碼A.10.4.1控制惡意代碼保護軟件和信息的完整性。應實施惡意代碼的監(jiān)測、預防和恢復的控制措施，以及適當的提高用戶安全意識的程序。選擇，風險評估結果所確定，見網絡安全管理規(guī)定（病毒、木馬、僵尸程序等）。A.10.4.2控制移動代碼

21、當授權使用移動代碼時，其配置應確保授權的移動代碼按照清晰定義的安全策略運行，應阻止執(zhí)行未授權的移動代碼。選擇，風險評估結果所確定，見網絡安全管理規(guī)定（病毒、木馬、僵尸程序等）。A.10.5 備份A.10.5.1信息備份保持信息和信息處理設施的完整性和可用性。應按照已設的備份策略，定期備份和測試信息和軟件。選擇，風險評估結果所確定，見備份管理規(guī)定。A.10.6 網絡安全管理A.10.6.1網絡控制確保網絡中信息的安全性并保護支持性的基礎設施。應充分管理和控制網絡，以防止威脅的發(fā)生，維護系統(tǒng)和使用網絡的應用程序的安全，包括傳輸中的信息。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.6.2

22、網絡服務的安全安全特性、服務級別以及所有網絡服務的管理要求應予以確定并包括在所有網絡服務協(xié)議中，無論這些服務是由內部提供的還是外包的。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.7 介質處置A.10.7.1可移動介質的管理防止資產遭受未授權泄露、修改、移動或銷毀以及業(yè)務活動的中斷。應有適當的可移動介質的管理程序。選擇，風險評估結果所確定，見設備管理規(guī)定（移動存儲介質）。A.10.7.2介質的處置不再需要的介質，應使用正式的程序可靠并安全地處置。選擇，風險評估結果所確定，見設備管理規(guī)定（移動存儲介質）。A.10.7.3信息處理程序應建立信息的處理及貯存程序，以防止信息的未授權的泄漏或

23、不當使用。選擇，風險評估結果所確定，見信息安全策略。A.10.7.4系統(tǒng)文件安全應保護系統(tǒng)文件以防止未授權的訪問。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.10.8 信息的交換A.10.8.1信息交換策略和程序保持組織內信息和軟件交換及與外部組織信息和軟件交換的安全。應有正式的交換策略、程序和控制措施，以保護通過使用各種類型通信設施的信息交換。選擇，風險評估結果所確定，見郵件管理規(guī)定（包括上傳下載自動收發(fā)等）。A.10.8.2交換協(xié)議應建立組織與外部團體交換信息和軟件的協(xié)議。選擇，風險評估結果所確定，郵件管理規(guī)定（包括上傳下載自動收發(fā)等）。A.10.8.3運輸中的物理介質包含信息的介質在

24、組織的物理邊界以外運送時，應防止未授權的訪問、不當使用或毀壞。選擇，風險評估結果所確定，見信息安全策略（郵寄快遞）A.10.8.4電子消息發(fā)送包含在電子消息發(fā)送中的信息應給予適當的保護。選擇，風險評估結果所確定，見郵件管理規(guī)定。A.10.8.5業(yè)務信息系統(tǒng)應建立和實施策略和程序以保護與業(yè)務信息系統(tǒng)互聯(lián)的信息。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.10.9 電子商務服務A.10.9.1電子商務確保電子商務服務的安全及其安全使用。不選擇公司沒有電子商務業(yè)務。A.10.9.2在線交易不選擇公司沒有電子商務業(yè)務。A.10.9.3公共可用信息在公共可用系統(tǒng)中可用信息的完整性應受保護，以防止未授

25、權的修改。選擇，風險評估結果所確定，見信息管理策略（網站內容授權）。A.10.10 監(jiān)視A.10.10.1審計日志的記錄檢測未授權的信息處理活動。應產生記錄用戶活動、異常和信息安全事件的審計日志，并要保持一個已設的周期以支持將來的調查和訪問控制監(jiān)視。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.10.2監(jiān)視系統(tǒng)的使用應建立信息處理設施的監(jiān)視使用程序，監(jiān)視活動的結果要經常評審選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.10.3日志信息的保護記錄日志的設施和日志信息應加以保護，以防止篡改和未授權的訪問。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.10.4管理員和操

26、作員日志系統(tǒng)管理員和系統(tǒng)操作員活動應記入日志。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.10.5故障日志的記錄故障應被記錄、分析，并采取適當的措施。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.10.10.6時鐘同步一個組織或安全域內的所有相關信息處理設施的時鐘應使用已設的精確時間源進行同步。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11 訪問控制A.11.1訪問控制的業(yè)務要求A.11.1.1訪問控制策略控制對信息的訪問。訪問控制策略應建立、形成文件，并基于業(yè)務和訪問的安全要求進行評審。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.2用戶訪問管理A.11.2

27、.1 用戶注冊確保授權用戶訪問信息系統(tǒng)，并防止未授權的訪問。應有正式的用戶注冊及注銷程序，來授權和撤銷對所有信息系統(tǒng)及服務的訪問。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.2.2特權管理應限制和控制特殊權限的分配及使用。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.2.3用戶口令管理應通過正式的管理過程控制口令的分配。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.2.4用戶訪問權的評審管理者應定期使用正式過程對用戶的訪問權進行復查。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.3 用戶職責A.11.3.1口令使用防止未授權用戶對信息和信息處理設施的訪

28、問、危害或竊取。應要求用戶在選擇及使用口令時，遵循良好的安全習慣。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.3.2無人值守的用戶設備用戶應確保無人值守的用戶設備有適當的保護。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.3.3清空桌面和屏幕策略應采取清空桌面上文件、可移動存儲介質的策略和清空信息處理設施屏幕的策略。選擇，風險評估結果所確定，見網絡安全管理規(guī)定（清空桌面和屏幕策略）。A.11.4 網絡訪問控制A.11.4.1使用網絡服務的策略防止對網絡服務的未授權訪問。用戶應僅能訪問已獲專門授權使用的服務。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.4.2外部

29、連接的用戶鑒別應使用適當的鑒別方法以控制遠程用戶的訪問。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.4.3網絡上的設備標識應考慮自動設備標識，將其作為鑒別特定位置和設備連接的方法。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.4.4遠程診斷和配置端口的保護對于診斷和配置端口的物理和邏輯訪問應加以控制。選擇，風險評估結果所確定，見網絡安全管理規(guī)定（路由器的訪問端口控制）。A.11.4.5網絡隔離應在網絡中隔離信息服務、用戶及信息系統(tǒng)。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.4.6網絡連接控制對于共享的網絡，特別是越過組織邊界的網絡，用戶的聯(lián)網能力應按照訪問控

30、制策略和業(yè)務應用要求加以限制（見11.1）。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.4.7網絡路由控制應在網絡中實施路由控制，以確保計算機連接和信息流不違反業(yè)務應用的訪問控制策略。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.5 操作系統(tǒng)訪問控制A.11.5.1安全登錄程序防止對操作系統(tǒng)的未授權訪問。訪問操作系統(tǒng)應通過安全登錄程序加以控制。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.5.2用戶標識和鑒別所有用戶應有唯一的、專供其個人使用的識別碼（用戶ID），應選擇一種適當的認證技術證實用戶所宣稱的身份。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11

31、.5.3口令管理系統(tǒng)口令管理系統(tǒng)應是交互式的，并應確保優(yōu)質的口令。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.5.4系統(tǒng)實用工具的使用可能超越系統(tǒng)和應用程序控制的實用工具的使用應加以限制并嚴格控制。選擇，風險評估結果所確定，見網絡安全管理規(guī)定（越過訪問控制進入系統(tǒng)的工具）。A.11.5.5對話超時不活動會話應在一個設定的休止期后關閉。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.11.5.6聯(lián)機時間的限定應使用聯(lián)機時間的限制，為高風險應用程序提供額外的安全。選擇，風險評估結果所確定，見網絡安全管理規(guī)定（30分鐘空閑自動斷開）。A.11.6 應用和信息訪問控制A.11.6.1信息

32、訪問限制防止對應用系統(tǒng)中信息的未授權訪問。用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.11.6.2敏感系統(tǒng)隔離不選擇，目前沒有專用的敏感系統(tǒng)。A.11.7 移動計算和遠程工作A.11.7.1移動計算和通信確保使用可移動計算和遠程工作設施時的信息安全。×××××選擇，見信息安全策略。A.11.7.2遠程工作不選擇，目前沒有遠程工作。A.12信息系統(tǒng)獲取、開發(fā)和維護A.12.1信息系統(tǒng)的安全要求A.12.1.1安全要求分析和說明確保安全是信息系統(tǒng)的一個有機組成部分。在新

33、的信息系統(tǒng)或增強已有信息系統(tǒng)的業(yè)務要求陳述中，應規(guī)定對安全控制措施的要求。選擇，風險評估結果所確定，見技術部工作規(guī)范（應用系統(tǒng)安全需求分析）。A.12.2應用中的正確處理A.12.2.1輸入數據的驗證防止應用系統(tǒng)中的信息的錯誤、遺失、未授權的修改及誤用。輸入應用系統(tǒng)的數據應加以驗證，以確保數據是正確且恰當的。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.2.2內部處理的控制驗證檢查應整合到應用中，以檢查由于處理的錯誤或故意的行為造成的信息的訛誤。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.2.3消息完整性應用中的確保真實性和保護消息完整性的要求應得到識別，適當的控制措施也應得

34、到識別并實施。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.2.4輸出數據的驗證從應用系統(tǒng)輸出的數據應加以驗證，以確保對所存儲信息的處理是正確的且適于環(huán)境的。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.3密碼控制A.12.3.1使用密碼控制的策略通過密碼方法保護信息的保密性、真實性或完整性。不選擇，沒有密碼要求。A.12.3.2密鑰管理不選擇，沒有密碼要求。A.12.4系統(tǒng)文件的安全A.12.4.1運行軟件的控制確保系統(tǒng)文件的安全應有程序來控制在運行系統(tǒng)上安裝軟件。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.4.2系統(tǒng)測試數據的保護測試數據應認真地加以選擇、保護和控

35、制。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.4.3對程序源代碼的訪問控制應限制訪問程序源代碼。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.5開發(fā)和支持過程中的安全A.12.5.1變更控制程序維護應用系統(tǒng)軟件和信息的安全。應使用正式的變更控制程序控制變更的實施。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.5.2操作系統(tǒng)變更后應用的技術評審當操作系統(tǒng)發(fā)生變更后，應對業(yè)務的關鍵應用進行評審和測試，以確保對組織的運行和安全沒有負面影響。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.5.3軟件包變更的限制應對軟件包的修改進行勸阻，限制必要的變更，且對所有的變更加

36、以嚴格控制。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.5.4信息泄露應防止信息泄露的可能性。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.12.5.5外包軟件開發(fā)不選擇，沒有外包軟件開發(fā)。A.12.6 技術脆弱點管理A.12.6.1技術脆弱點的控制降低利用公布的技術脆弱性導致的風險。應及時得到現用信息系統(tǒng)技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當的措施來處理相關的風險。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.13信息安全事故管理A.13.1報告信息安全事件和弱點A.13.1.1報告信息安全事件確保與信息系統(tǒng)有關的信息安全事件和弱點能夠以某種方式傳達，以便

37、及時采取糾正措施。信息安全事件應該盡可能快地通過適當的管理渠道進行報告。選擇，風險評估結果所確定，見信息安全事故管理程序。A.13.1.2報告安全弱點應要求信息系統(tǒng)和服務的所有雇員、承包方人員和第三方人員記錄并報告他們觀察到的或懷疑的任何系統(tǒng)或服務的安全弱點。選擇，風險評估結果所確定，見信息安全事故管理程序。A.13.2 信息安全事故和改進的管理A.13.2.1職責和程序確保采用一致和有效的方法對信息安全事故進行管理。應建立管理職責和程序，以確保能對信息安全事故做出快速、有效和有序的響應。選擇，風險評估結果所確定，見信息安全事故管理程序。A.13.2.2對信息安全事故的總結應有一套機制量化和監(jiān)

38、視信息安全事故的類型、數量和代價。選擇，風險評估結果所確定，見信息安全事故管理程序。A.13.2.3證據的收集當一個信息安全事故涉及到訴訟（民事的或刑事的），需要進一步對個人或組織進行起訴時，應收集、保留和呈遞證據，以使證據符合相關訴訟管轄權。選擇，風險評估結果所確定，見信息安全事故管理程序。A.14業(yè)務連續(xù)性管理A.14.1業(yè)務連續(xù)性管理的信息安全方面A.14.1.1業(yè)務連續(xù)性管理過程中包含的信息安全防止業(yè)務活動中斷，保護關鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保它們的及時恢復。應為貫穿于組織的業(yè)務連續(xù)性開發(fā)和保持一個管理過程，以解決組織的業(yè)務連續(xù)性所需的信息安全要求。選擇，風險評

39、估結果所確定，見業(yè)務連續(xù)性管理程序。A.14.1.2業(yè)務連續(xù)性和風險評估應識別能引起業(yè)務過程中斷的事件，這種中斷發(fā)生的概率和影響，以及它們對信息安全所造成的后果。選擇，風險評估結果所確定，見業(yè)務連續(xù)性管理程序。A.14.1.3制定和實施包含信息安全的連續(xù)性計劃應制定和實施計劃來保持或恢復運行，以在關鍵業(yè)務過程中斷或失敗后能夠在要求的水平和時間內確保信息的可用性。選擇，風險評估結果所確定，見業(yè)務連續(xù)性管理程序。A.14.1.4業(yè)務連續(xù)性計劃框架應保持一個唯一的業(yè)務連續(xù)性計劃框架，以確保所有計劃是一致的，能夠協(xié)調地解決信息安全要求，并為測試和維護確定優(yōu)先級。選擇，風險評估結果所確定，見業(yè)務連續(xù)性管

40、理程序。A.14.1.5測試、保持和再評估業(yè)務連續(xù)性計劃業(yè)務連續(xù)性計劃應定期測試和更新，以確保其及時性和有效性。選擇，風險評估結果所確定，見業(yè)務連續(xù)性管理程序。A.15符合性A.15.1符合法律要求A.15.1.1可用法律的標識避免違反任何法律、法令、法規(guī)或合同義務，以及任何安全要求。對每一個信息系統(tǒng)和組織而言，所有相關的法令、法規(guī)和合同要求，以及為滿足這些要求組織所采用的方法，應加以明確地定義、形成文件并保持更新。選擇，風險評估結果所確定，見法律法規(guī)與合同符合程序。A.15.1.2知識產權（IPR）應實施適當的程序，以確保在使用具有知識產權的材料和具有所有權的軟件產品時，符合法律、法規(guī)和合同

41、的要求。選擇，風險評估結果所確定，見知識產權管理規(guī)定。A.15.1.3保護組織的記錄應防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè)務的要求。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.15.1.4數據保護和個人信息的隱私依照相關的法律、法規(guī)和合同條款保護數據保護和隱私。選擇，風險評估結果所確定，見信息安全策略。A.15.1.5防止濫用信息處理設施應禁止用戶使用信息處理設施用于未授權的目的。選擇，風險評估結果所確定，見網絡安全管理規(guī)定。A.15.1.6密碼控制措施的規(guī)則不選擇，沒有密碼要求。A.15.2符合安全策略和標準，以及技術符合性A.15.2.1符合安全策略和標準確保系

42、統(tǒng)符合組織的安全策略及標準。管理者應確保在其職責范圍內的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標準。選擇，風險評估結果所確定，見信息安全策略。A.15.2.2技術符合性檢查信息系統(tǒng)應被定期檢查是否符合安全實施標準。選擇，風險評估結果所確定，見信息安全策略。A.15.3信息系統(tǒng)審核考慮A.15.3.1信息系統(tǒng)審核控制將信息系統(tǒng)審核過程的有效性最大化，干擾最小化。涉及對運行系統(tǒng)檢查的審核要求和活動，應謹慎地加以規(guī)劃并取得批準，以便最小化造成業(yè)務過程中斷的風險。選擇，風險評估結果所確定，見技術部工作規(guī)范。A.15.3.2信息系統(tǒng)審核工具的保護對于信息系統(tǒng)審核工具的訪問應加以保護，以防止任何可

43、能的濫用或損害。選擇，風險評估結果所確定，見技術部工作規(guī)范。2.3 信息安全風險評估程序信息安全風險評估程序1. 目的本文件為公司執(zhí)行信息安全風險評估提供指導和規(guī)范。本程序的運行結果產生風險評估報告-（加注日期）。公司依據風險評估報告編制風險處理計劃。2. 適用范圍本程序適用風險評估所涉及的所有部門。風險評估工作組成員據此執(zhí)行風險評估活動。其他相應員工據此理解風險評估的過程，完成自己職責范圍內風險評估相關工作。3. 風險評估的實施頻率及評審公司規(guī)定風險評估活動要定期進行，常規(guī)的風險評估每年執(zhí)行一次，執(zhí)行風險評估前應對本程序進行評審。遇到以下情況，公司也將啟動風險評估：¡ 增加了大量新

44、的信息資產；¡ 業(yè)務環(huán)境發(fā)生了重大的變化；¡ 發(fā)生了重大信息安全事件。4. 風險評估方法根據GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3，公司采用“詳細風險分析方法（Detailed Risk Approach）”來實施風險評估，該方法主要包括：風險分析：識別資產、威脅、脆弱性、影響和可能性風險評價：風險影響×可能性5. 風險評估流程公司風險評估流程如下圖所示：A公司風險評估流程編制風險評估報告分析和評價風險識別風險建立風險評估工作組確定風險評估范圍5.1. 確定風險評估范圍在執(zhí)行風險評估前，由信息安全領導

45、小組負責，確定本次風險評估的范圍，并明確傳達給風險評估工作組。5.2. 建立風險評估工作組在執(zhí)行風險評估前，由信息安全領導小組負責，建立風險評估工作組，并明確工作組成員職責。5.3. 識別風險5.3.1. 識別資產及其責任人，建立信息資產清單（依下表）。序號資產名稱責任人位置相關說明5.3.2. 識別威脅及威脅可利用的脆弱性（依下表）。序號資產名稱威脅脆弱性風險5.4. 分析和評價風險5.4.1. 分析和評價風險發(fā)生后對公司的影響（依下表）。序號資產名稱風險影響風險發(fā)生后對公司影響的賦值準則影響的值描 述3（高）風險對該資產的保密性、完整性或可用性等的影響（即發(fā)生泄露、損壞、丟失或無法使用等）

46、，將對公司造成極嚴重的或災難性的損失，通常其直接或間接的影響范圍波及到公司整體。2（中）風險對該資產的保密性、完整性或可用性等安全屬性的影響（即發(fā)生泄露、損壞、丟失或無法使用等），將對公司造成較重要的損失，通常其直接或間接的影響范圍波及到公司局部。1（低）風險對該資產的保密性、完整性或可用性等安全屬性的影響（即發(fā)生泄露、損壞、丟失或無法使用等），將對公司造成一定的損失，通常其直接或間接的影響范圍僅波及到公司很少部門。5.4.2. 分析和評價風險發(fā)生的可能性（依下表）。序號資產名稱風險影響可能性風險發(fā)生可能性的賦值準則可能性的值描 述3（高）考慮公司以往發(fā)生的信息安全事件，以及社會上和其它組織的

47、經驗，該風險頻繁發(fā)生。2（中）考慮公司以往發(fā)生的信息安全事件，以及社會上和其它組織的經驗，該風險經常發(fā)生。1（低）考慮公司以往發(fā)生的信息安全事件，以及社會上和其它組織的經驗，該風險偶爾發(fā)生。5.4.3. 計算風險的大小并排序（依下表）。風險計算公式：風險值影響值×可能性值序號資產名稱風險風險值5.5. 編制風險評估報告由風險評估工作組負責編制風險評估報告，風險評估報告內容應包括：1) 風險評估起止日期2) 風險評估工作組組成3) 風險評估范圍4) 資產、風險和風險值排序表6. 相關文件¡ 風險評估報告-（加日期）¡ 風險處理計劃-（加日期）2.4 信息安全事件管理

48、程序信息安全事故管理程序1 目的和適用范圍信息安全風險時刻存在，信息安全事故經常發(fā)生。為明確信息安全事故處理的責任和程序，有效處理信息安全事故，最大限度地減少和降低因事故給公司帶來的損失，特制定本程序。本程序適用于公司發(fā)生的各類信息安全事故的檢測、報告和處理。2 職責公司任何員工有責任向信息安全領導小組報告其發(fā)現的信息安全弱點、信息安全事件和事故。信息安全領導小組負責組織信息安全事故的處理、評審和改進。3 定義3.1 信息安全事件信息安全事件是指被確定發(fā)生于系統(tǒng)、服務或網絡中的一種狀態(tài)，表明可能有人違反了信息安全策略或防護措施沒有發(fā)揮效用，或者出現了可能與安全相關的、以前不為人知的一種情況。3

49、.2 信息安全事故信息安全事故由單個或一系列意外或有害信息安全事件組成，極有可能危害業(yè)務運行和威脅信息安全。信息安全事故可以是有意的或意外的（如因錯誤或者自然災害導致的事故），也可以由技術或物理原因引起。4 工作程序4.1 報告任何員工，一旦發(fā)現、檢測或觀察到實際發(fā)生或潛在信息安全事件或信息安全弱點，必須以電話、郵件、面談等方式立即報告給公司信息安全領導小組。4.2 處理信息安全領導小組責任人評審報告事件的輕重緩急，組織資源處理事件：l 如果僅是誤報，則取消事件響應，恢復到正常狀態(tài)；l 如果確認信息安全事件是一個信息安全事故，則立即采取控制措施對信息安全事故進行處理，同時收集必要的證據，填寫信

50、息安全事故報告表。l 如果信息安全事故已被控制，進行業(yè)務連續(xù)性的恢復工作，見業(yè)務連續(xù)性管理程序，并記錄所有信息用于信息安全事故的評審，完善信息安全事故報告表。l 如果信息安全事故失去控制，實施緊急救援，召集外部專業(yè)機構實施處理，見對外聯(lián)絡表，同時記錄所有活動。4.3 改進信息安全事故處理完畢后，信息安全領導小組應進行以下活動：Ø 進一步收集相關事故信息；Ø 從信息安全事故中總結教訓，重點分析事故發(fā)展的趨勢和模式；Ø 確定新的或經過變化的控制措施并制定計劃付諸實施；5 相關記錄信息安全事故報告表事件發(fā)生日期相關事件/事故的識別號(如果可能)事件號報告人信息姓名電話組

51、織電子郵件地址信息安全事件描述 事件描述發(fā)生了什么怎樣發(fā)生的為什么發(fā)生受影響的組件業(yè)務影響任意已識別的脆弱點信息安全事件詳細信息事件發(fā)生的日期和時間事件被發(fā)現的日期和時間事件被記錄的日期和時間事件是否已經結束了？是 ¨ 否 ¨(如果選擇是)事件持續(xù)了多久(日/小時/分鐘)處理過程記錄填表人注：事件號應由信息安全領導小組負責分配。2.5 崗位信息安全職責崗位信息安全職責1. 目的和適用范圍為使信息安全管理體系更加有序有效的實施，需規(guī)定在信息安全方面的所有職責，特制定本程序。本文件適用于公司信息安全管理體系涉及的所有人員和過程。2. 職責信息安全管理機構機制及職責參見信息安全管

52、理體系方針。（1） 公司領導職責公司領導（包括總裁和信息安全管理委員會主任）應具有以下方面的職責：1) 制定信息安全方針；2) 向公司員工傳達（或宣傳）滿足信息安全目標和符合信息安全方針、法律法規(guī)要求的重要性;3) 主持ISMS的管理評審；4) 提供開發(fā)、實施、運行和維護ISMS所需的足夠資源（包括人員、時間、設備、軟件和資金等）；5) 決定可接受的風險水準。（2） 部門領導職責部門領導(主要是部門總經理，或部長）必須：1) 明確本部門所管理的（包括本公司的和相關方提供的）信息資產的類型，并進行資產登記和指定負責人。2) 對本部門所管理的關鍵信息資產進行風險評估，識別其所受的威脅、風險級別、脆弱性和潛在的影響，并制定與其相適應的控制措施。3) 編制支持達到信息機密性、完整性和可用性目標的控制程序，并確保這些控制程序獲得遵照執(zhí)行。4) 有效地把