ISMS信息安全建立說明綱要(基礎(chǔ)知識)

2023/1/31楊興文2012年8月15日ISO/IEC27001重要項提示與案例說明地址：深圳市福田區(qū)深南大道6006號人民大廈華豐樓五樓郵編：518063電話真：0755-8308860683088619E-Mail：yang_xinwen@163.com手機圳市康達信管理顧問有限公司2信息安全的建立介紹與說明1．確立信息安全組織2．信息資產(chǎn)的機密管理3．人的對策4．信息安全事件事故處理5．信息安全的PDCA確定須進行機密管理的信息，實施機密管理所必要的規(guī)則。建立可有組織地推進信息安全的組織。實施保密的誓約等的防止信息泄露的人的對策。明確發(fā)生事故時的處理方法，并加以實施。實施可推進持續(xù)改善活動的信息安全管理。信息安全建立工作的整體情況如下：31．確立信息安全組織組織1-1.

建立信息安全管理相關(guān)組織組織。

組織的例子：?設(shè)置信息安全的最高責任人（CSO）。?基于經(jīng)營方針，設(shè)置決定和推進全公司的安全方針的營運委員會、推進責任人

和專家（責任人）等。?設(shè)置進行信息安全相關(guān)事項的審議和認可的職能部門（人事、總務(wù)、技術(shù)管理

部門等）的代表委員會。?在各工作部門設(shè)置工作部門的推進責任人（組織責任人等）。工作部門推進主管（由工作部門的組織

責任人委任）作為經(jīng)營責任的一個環(huán)節(jié)進行推進信息安全委員會信息安全推進責任人信息安全推進專家工作

現(xiàn)場作為業(yè)務(wù)管理的一個環(huán)節(jié)進行推進員工41．確立信息安全組織組織1-2．制定信息安全相關(guān)規(guī)則的書面文件。

1-3．對于組織內(nèi)的信息安全實施項目，要明確責任人及其相關(guān)任務(wù)和責任。1-3參考資料：推進組織組織表將信息安全的確保作為經(jīng)營課題，由領(lǐng)導人宣布實施。要建立可有組織地決定和推進的組織。作為組織整體，為了有效地推進信息安全對策的要點：

1．可在公司內(nèi)部統(tǒng)一意識并實行的組織組織

2．明確實施責任人及其任務(wù)和責任

3．制定明文化的信息安全方針和規(guī)則并貫徹周知（培訓）1-2參考資料：XX電器的信息安全方針52．信息資產(chǎn)的機密管理2-1．機密信息的明確化

2-1-1．制作由本公司指定的機密信息以及利用該信息創(chuàng)造出的機密信息的管理列表，并加以明確。

在推進信息安全的過程中，

要明確須保護的是什么，這一點很重要。

通過明確應(yīng)保護的信息，可確定處理信息的人員和場所、工作程序。由此，可設(shè)置對信息的威脅，選擇必要的管理對策并能夠確認脆弱性和有無風險。2-1-1參考資料：盤點表適用于供應(yīng)商信息安全基準的信息由本公司指定的“機密信息”和由指定“機密信息”所創(chuàng)造出的信息。（參見“基準附則2.”

）盤點表中，將1．本公司指定的機密信息（文件、電子數(shù)據(jù)、化體品（技術(shù)載體）等）2．創(chuàng)造出的機密信息（文件、電子數(shù)據(jù)、化體品（技術(shù)載體）等）按照各管理單位制作列表。創(chuàng)造出的機密信息的例子：模具、試制品、軟件、CAD圖紙、電路圖、失敗產(chǎn)品、測試數(shù)據(jù)等對于列表中的機密信息，適用供應(yīng)商信息安全基準的管理對策，確保安全。盤點表的編制我把組織里

的盤點表都

匯總好了。

我們的組織里居然有這么多的機密信息，真應(yīng)該好好地加以管理。

實行組織責任人應(yīng)編制盤點表。組織責任人應(yīng)按秘密信息和絕密信息分別編制包括其記錄在內(nèi)的盤點表。62．信息資產(chǎn)的機密管理

2-1-2．對管理列表中的機密信息進行適當?shù)陌踩芾怼?/p>

制定標示、保管和訪問等相關(guān)信息保護的管理規(guī)則。

※關(guān)于業(yè)務(wù)區(qū)域，參見“項目2-3”を參照機密標示廢棄訪問加密保管復制/復印責任人

認可分發(fā)/通信方法向他人公開帶出加密＆責任人認可打印復印郵寄發(fā)傳真利用網(wǎng)絡(luò)上鎖秘Confidential訪問權(quán)限權(quán)限者一覽表訪問記錄碎紙機內(nèi)容

加密保存至硬盤必要時業(yè)務(wù)區(qū)域以上保密合同要要i4rjjg/hw?o3//h7t要帶條件可以必要范例：直接當面交付責任人管理要責任人

認可確認收件人MEIConfidential機密信息業(yè)務(wù)區(qū)域以上定期檢查※即使在集團，對于不執(zhí)行該信息相關(guān)業(yè)務(wù)的部門以及成員，也要作為其他人員看待。確認收件人責任人管理72．信息資產(chǎn)的機密管理

2-1-3．由責任人定期地對管理列表以及管理的實際狀況進行重審。

根據(jù)交接記錄和業(yè)務(wù)結(jié)果，評價符合基準的機密信息是否被列入列表中。信息的機密性會發(fā)生變化。例如，新商品的設(shè)計相關(guān)信息，在發(fā)售前為機密信息，在發(fā)售后，機密性將不存在。還要通過定期的重新確認，重審適用基準的機密信息是否被適當?shù)刈芳雍蛣h除。該信息已返還給松下，故從列表中刪除??盤點表的重審對盤點表定期地進行盤點表核查。對于秘密信息，至少要每年進行一次重審；對于絕密信息，至少要每季度進行一次重審。

實行盤點表82．信息資產(chǎn)的機密管理

2-2

物理管理與IT技術(shù)的應(yīng)用為了能夠限制無關(guān)人員進入公司區(qū)域、建筑物以及房間內(nèi)而進行了區(qū)域區(qū)分。

業(yè)務(wù)區(qū)域重要區(qū)域共用區(qū)域CRCR監(jiān)視攝像機監(jiān)視攝像機電鎖等電鎖等監(jiān)視攝像機CR

CR為了限制對物理信息的訪問，須對區(qū)域進行劃分。?共用區(qū)域：

該區(qū)域用于與外來人員進行商洽和接收貨物等，不保管一般的公開信息以外的信息。?業(yè)務(wù)區(qū)域：

是員工進行日常業(yè)務(wù)的區(qū)域。公司內(nèi)部的信息（包括由本公司交付的機密信息要保管于該區(qū)域以上級別區(qū)域，限制無關(guān)人員進入，即使是公司員工，與本業(yè)務(wù)無關(guān)的人員也不得進入。?重要區(qū)域：

該區(qū)域用于進行特別重要的業(yè)務(wù)，保管重要信息以及服務(wù)器等。從共用區(qū)域進入時須通過業(yè)務(wù)區(qū)域才能進入。要實施嚴格的出入管理。92．信息資產(chǎn)的機密管理

2-3必要措施：須設(shè)置圍墻、ID卡認證、監(jiān)視攝像機、傳感器等。

※制作圍墻、ID卡認證、監(jiān)視攝像機、傳感器等的設(shè)置圖等，并加以管理。

例如：重要區(qū)域：以監(jiān)視攝像機監(jiān)視入口處，出入室管理則通過ID卡認證取得日志

業(yè)務(wù)區(qū)域：入室的管理應(yīng)通過ID卡認證取得日志公司區(qū)域/停車場/外圍部分員工通行門辦公室/放映室重要區(qū)域保安室/物理安全責任人室外監(jiān)視攝像機

紅外線傳感器監(jiān)視攝像機

非接觸式IC讀卡器

門非接觸式IC讀卡器監(jiān)視攝像機

非接觸式IC讀卡器服務(wù)器室監(jiān)視攝像機

非接觸式IC讀卡器

人體認證（虹彩）公司區(qū)域/外圍部分室外監(jiān)視攝像機

紅外線傳感器監(jiān)視攝像機

人體感知傳感器樓梯監(jiān)視控制裝置正門門廳監(jiān)視攝像機

非接觸式IC讀卡器監(jiān)視攝像機

人體感知傳感器大廳非接觸式IC讀卡器監(jiān)視攝像機工廠/實驗樓模具/重要資料管理室非接觸式IC讀卡器監(jiān)視攝像機102．信息資產(chǎn)的機密管理

如：IT系統(tǒng)的使用者ID和密碼的管理訪問電子化信息時，每個人要使用自己的ID和密碼，并記錄誰訪問了與本

公司共享的機密信息。每個人應(yīng)使用自己的ID和密碼，并保留訪問日志，這樣，在出現(xiàn)對電子化信息的異常訪問時，可以確定原因和訪問者。也有可自動取得文件訪問日志的應(yīng)用程序。好，那就用責任人的ID訪問這份機密

信息吧??禁止非法訪問禁止訪問沒有訪問權(quán)限的信息和使用他人的ID。

112．信息資產(chǎn)的機密管理

如：非法程序的對策

由系統(tǒng)管理單位（或提供單位）指定防病毒軟件（殺毒軟件）的種類和版本等，進行導入使用。在公司內(nèi)部使用的防病毒對策軟件，應(yīng)決定它的種類和版本，使所有的電腦能夠適時地實施相同的必要對策，并加以管理。病毒對策軟件的常年使用電腦和服務(wù)器上，應(yīng)常年安裝有著防病毒軟件。因為安裝了防病毒對策軟件，所以放心了。

實行應(yīng)根據(jù)信息管理者指定的必要事項，在所有的信息系統(tǒng)設(shè)備上，安裝防病毒對策軟件的最新版本。123．人的對策

即使是由于洽談、休息、其它的事情而需暫時離開座位，也應(yīng)注意不要讓信息泄露給不應(yīng)知道的人員。例如，即使是2、3分鐘，也可用記錄媒體等復制大量的數(shù)據(jù)。離開座位時的應(yīng)對我去取一下追加的文件。我原來還打算偷看一眼呢。注銷在離開座位時，要進行注銷或?qū)Ξ嬅孢M行鎖定。

實行在A、B、C所有的區(qū)域里，在離開座位時，要進行注銷或?qū)Ξ嬅孢M行鎖定。畫面的鎖定設(shè)置啊，我原來想偷看一眼，卻被鎖定了。畫面鎖定嗯。所以說，關(guān)于這件事情，它現(xiàn)在是這樣的…應(yīng)進行相應(yīng)設(shè)置，使得無輸入狀態(tài)最多持續(xù)5分鐘，畫面就會被鎖定。實行禁止隨意放置機密信息好極了，好極了，趁著這個時機…好，那就去吃午飯吧。

不得將機密信息、絕密信息放置在桌面上。除了使用時之外，平時應(yīng)放在桌子的抽屜里或帶鎖柜子里上鎖保管。不得將它放置在桌面上而離開座位。3-1

信息安全的啟蒙、培訓以及訓練

新老員工，基本知識和常識性培訓必不可少。133．人的對策

3-2．與員工等簽訂保密合同

3-2-1．就業(yè)規(guī)則中含有保密項目，取得員工簽署的保密合同。

3-2-2．派遣員工上崗前，應(yīng)取得其簽署的保密合同。

a）進行與公司員工同等的保密管理，并管理保密合同。

3-2-3．委托業(yè)務(wù)時，委托對象要取得員工簽署的保密合同。

a）進行與公司員工同等的保密管理，并管理保密合同。

應(yīng)確認接觸信息資產(chǎn)的所有人員是否履行了保密的任務(wù)和責任。3-2參考資料：保密相關(guān)保密合同（例子）保密義務(wù)你以前在本公司集團干過，對吧？能告訴我一些你在本公司時知道的信息嗎？對于業(yè)務(wù)上知道的信息，必須予以保密。實行員工等在職時，當然不用說要保密；即使在離職之后，對于業(yè)務(wù)上知道的信息，也有保密的義務(wù)。離職后的保密責任關(guān)于那些信息，我負有保密義務(wù)，所以什么都不能說。

請在保密合同上簽字，保證在離職后也將保守機密。在員工等離職后，應(yīng)對離職后的保密責任，再次予以確認。而且，要讓即將離職的員工歸還或刪除其所持有的信息。錄用時對保密義務(wù)的確認明白了。正如在關(guān)于錄用的事項中明確記載的那樣，你今后將對信息安全負有責任。

對員工等采取的措施實行實行在錄用時，應(yīng)對保密義務(wù)進行確認。在錄用時，作為雇用條件，應(yīng)明確員工負有信息安全方面的責任。

對于中途錄用者，應(yīng)確認該員工對以前的任職公司的保密義務(wù)。項目會議如果大家不提交這份保密合同的話，就不能參加這個項目，因此，請大家合作。

對于參加需要高度保密的項目成員，應(yīng)讓他們提交保密合同。組織責任人應(yīng)讓參加的成員提交保密合同，保證徹底地貫徹嚴格的機密管理。離職后的

保密相關(guān)

保密合同144．信息安全事件事故處理4-1．設(shè)置了事故發(fā)生時的聯(lián)絡(luò)/應(yīng)對的責任人，建立事故報告組織。

a)

要建立相關(guān)組織，使當發(fā)現(xiàn)信息安全上的問題或感覺到發(fā)生的危險時，或目擊了事件事故、發(fā)現(xiàn)了事件事故的痕跡時，能夠迅速向貴公司的信息管理責任人報告。

※信息安全事故的例子：

信息的泄露、非法訪問、非法獲取、病毒事故、可用性的喪失（系統(tǒng)停止、數(shù)據(jù)被

破壞等）完整性的喪失（數(shù)據(jù)的篡改、刪除）

當存在事故的征兆時，應(yīng)防患事故于未然；當發(fā)生事故時，為了抑制受害程度的擴大，須迅速與相關(guān)人員聯(lián)絡(luò)。通過所在組織的責任人或信息安全責任人等，與信息安全部門聯(lián)系，根據(jù)需要，還應(yīng)與其他相關(guān)人員聯(lián)系。重要輸出：事故緊急聯(lián)絡(luò)組織表我把保存有本公司信息的電腦忘在電車上了。問題或事件事故的發(fā)生實行在發(fā)生有關(guān)信息安全的問題或事件事故時，應(yīng)立即進行報告。員工等，應(yīng)按照規(guī)定的程序進行報告154．信息安全事件事故處理

4-2．對于與本公司共享的機密信息，在發(fā)現(xiàn)了上述問題以及事件事故或感覺到發(fā)生的危險時，要迅速向公司主管負責人通報。

a)規(guī)定了報告渠道、從事故發(fā)生到通報為止的時間等，并加以貫徹周知。

4-3．完備發(fā)生了信息安全事故時的應(yīng)對手冊，明確處理步驟。

a)把握受害狀況和使受害影響最小化的緊急處理

b)查明原因和暫定措施

c)采取措施，規(guī)定信息泄露時向該第三方報告等，可使相關(guān)人員能夠進行自衛(wèi)以及相關(guān)處理

d)必要時，應(yīng)進行宣傳處理，向相關(guān)政府機關(guān)報告處理得越晚，受害程度越會被擴大。為了在事故發(fā)生時能夠迅速應(yīng)對，而且，為了防止處理遺漏，應(yīng)完善手冊。應(yīng)決定供應(yīng)商、本公司雙方的事故聯(lián)絡(luò)窗口，將從事故發(fā)生到通報為止的時間規(guī)定在48小時以內(nèi)（例子），并貫徹周知。對事故的緊急應(yīng)對處理實行●●，你馬上和相關(guān)部門聯(lián)系?！鳌飨壬?小姐，你去確認一下事故的詳細情況。應(yīng)進行緊急應(yīng)對處理，將事故所造成的受害程度限制在最小限度。對信息安全事故進行處理的責任，由事業(yè)領(lǐng)域公司及下屬的事業(yè)部門的事業(yè)責任人承擔。164．信息安全事件事故處理

4-4．記錄事故的經(jīng)過和處理的經(jīng)過。

4-5．要迅速實施防止事故再次發(fā)生的對策，并貫徹周知。若不查明事故的原因，不及時對策，則有可能再次發(fā)生同樣的事故。特別是要提高員工對事故原因和結(jié)果、采取對策的意識，這是非常重要的。4-4參考資料：事故報告書查明事故的原因我們認為，原因在于將●●，當成了△△。因此，為了防止再次發(fā)生…實行應(yīng)查明事故的原因，采取旨在防止再次發(fā)生的對策。175．信息安全的PDCA5-1．規(guī)定了有組織的信息安全活動的自主檢查內(nèi)容。建立可定期地檢查信息安全的實際情況的組織。實