ISO27001：2013信息安全管理體系一整套程序

ISO27001：2013信息安全管理體系一整套程序第第頁目錄TOC\o"1-3"\h\z1. 目的和范圍 42. 引用文件 43. 職責(zé)和權(quán)限 44. 符合法律要求 45. 符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性 76. 信息系統(tǒng)審核考慮 87. 附件 10

目的和范圍本策略規(guī)定如何避免違反刑法、民法、法令、法規(guī)或合同義務(wù)以及信息系統(tǒng)設(shè)計、運行、使用和管理的安全需求。本制度適用于信息安全管理體系要求的法律法規(guī)和其他要求的收集、評價、確定等活動的控制。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則《軟件管理規(guī)定》職責(zé)和權(quán)限行政部：負(fù)責(zé)組織有關(guān)信息安全管理體系的法律法規(guī)和其他要求的收集、更新、審核、評價，并提出專項建議使公司的日常運營滿足法律法規(guī)的要求。各部門：協(xié)助做好與本部門業(yè)務(wù)有關(guān)的相應(yīng)法律法規(guī)和其它要求的收集、更新和合規(guī)性評價工作。符合法律要求確定使用法律識別需要遵守的法律法規(guī)，并制定《適用法律法規(guī)和其它要求清單》；信息安全管理工作小組會就有關(guān)法規(guī)影響，在每年的信息安全管理體系審核里面報告中進(jìn)行說明；遵守對第三方的知識產(chǎn)權(quán)保護（如商標(biāo)、版權(quán)和圖像、文字、音頻、軟件、信息和發(fā)明等其它權(quán)利）；未經(jīng)授權(quán)，不擅自復(fù)制、使用或轉(zhuǎn)送屬于第三方的資料。知識產(chǎn)權(quán)（IPR）對第三方知識產(chǎn)權(quán)的保護包括但不限于商標(biāo)、版權(quán)、品牌以及圖像、文字、音頻、軟件、信息和發(fā)明等其它權(quán)利。對版權(quán)的保護需遵照實施如下制度：不得通過擅自復(fù)制、使用或轉(zhuǎn)讓第三方資料獲取利益；員工應(yīng)向綜合管理部咨詢有關(guān)知識產(chǎn)權(quán)或合同義務(wù)和軟件許可證限制方面的問題。軟件版權(quán) 員工應(yīng)遵守或授權(quán)的軟件策略，合法使用軟件、信息產(chǎn)品和保持許可證的有效性；對軟件的版權(quán)保護方面應(yīng)遵照以下制度：為保證軟件產(chǎn)品用戶不超過允許最大數(shù)量，應(yīng)保證按照軟件許可證規(guī)定條件安裝軟件；信息安全小組應(yīng)在需要時檢查公司的辦公設(shè)備，確保只用授權(quán)和注冊的軟件；應(yīng)保存以下信息：許可證類型如授權(quán)公司的軟件、免費軟件、共享軟件和評估版軟件；購買/獲取日期；許可證期滿/重認(rèn)證日期；授權(quán)許可證用戶/連接的編號；許可安裝的編號；其它執(zhí)照條件。應(yīng)將軟件許可文件原件、正版軟件盤和手冊放在安全位置；對獲得的服務(wù)軟件的保存條件采用下列制度：應(yīng)對照軟件資產(chǎn)每年的注冊，檢查每次軟件安裝的許可證條件；發(fā)現(xiàn)某些軟件不再需要時，應(yīng)安排卸載該軟件并在許可證到期之前處理掉；發(fā)現(xiàn)某些軟件仍需要時，應(yīng)在許可證到期之前發(fā)采購單延長軟件使用權(quán)的期限；需要時，應(yīng)發(fā)出購買評估版軟件的采購單。處理所使用的軟件時應(yīng)采用以下方針：處理掉的軟件或軟件包應(yīng)該是系統(tǒng)信息所有者批準(zhǔn)后不再需要的舊版本；軟件需要換版本時，可在許可證允許的前提下將舊版本連同手冊、軟件和許可協(xié)議一同轉(zhuǎn)存到其它區(qū)域；如果軟件不能轉(zhuǎn)到其它區(qū)域，則需將軟件從所有安裝系統(tǒng)上卸下。在卸載所有者不再需要的軟件包后，記錄表需要更新并隨后隨同材料一起轉(zhuǎn)到安全保管處。保護組織的記錄所有的合同文件必須做如下保管：正版文件存檔保存在安全區(qū)域；保存到文件所有者不用時為止。對重要網(wǎng)絡(luò)設(shè)備和服務(wù)器上的數(shù)據(jù)進(jìn)行備份。為防止公司的重要記錄丟失、毀壞和被篡改。這些記錄必須妥善保管，以符合法律法規(guī)要求，有利于重要的業(yè)務(wù)活動。此類記錄包括但不限如下：可以作為證據(jù)證明運作符合法律法規(guī)規(guī)定的記錄；可以確保能充分防范發(fā)生潛在的民事訴訟或刑事訴訟的記錄；可以向主管部門、合作方和審計人員證實財務(wù)狀況的記錄。信息保管的時間和數(shù)據(jù)內(nèi)容根據(jù)國家法律法規(guī)而定。存儲和處理系統(tǒng)應(yīng)該確保能夠清楚識別記錄以及法律法規(guī)規(guī)定的保管期。在保管期滿后如果不再需要記錄，則可以采用適當(dāng)?shù)姆绞接枰凿N毀。數(shù)據(jù)保護和個人信息的隱私謹(jǐn)慎遵守國家法律法規(guī)有關(guān)個人資料保密和隱私的規(guī)定，保護處理個人信息和數(shù)據(jù)安全。防止濫用信息處理設(shè)施防止任何在受到管理的信息處理實施受到濫用。密碼控制措施的規(guī)則遵照《訪問控制制度》執(zhí)行密碼策略。如果需要加密措施，必須從法律顧問獲取專家建議以保證需要時符合有關(guān)政府規(guī)定。為保證遵照有關(guān)規(guī)定需要采取以下控制措施：在獲取加密技術(shù)前，要向?qū)＜易稍儾⒃u估密碼控制措施和要求；使用正式授權(quán)、購置和初始程序，保證遵照有關(guān)加密技術(shù)的法律；對受控加密項目與有關(guān)的執(zhí)法機構(gòu)(如國家商業(yè)密碼辦公室)進(jìn)行合作。符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性符合安全策略和標(biāo)準(zhǔn)定期進(jìn)行內(nèi)部審核，以檢查公司的策略是否符合安全標(biāo)準(zhǔn)，具體的內(nèi)審方法可參考《內(nèi)部審核管理制度》。技術(shù)符合性檢查要求獨立方定期檢查公司的工作環(huán)境，確認(rèn)整個公司的信息系統(tǒng)和網(wǎng)絡(luò)內(nèi)的信息安全控制措施是否充足以及這些措施的執(zhí)行情況。技術(shù)符合性檢查必須檢查受影響的信息處理系統(tǒng)，保證所有的軟件、硬件和過程控制措施得到適當(dāng)?shù)呐渲煤透隆Ｐ姓勘仨毎凑丈鲜龅募夹g(shù)符合性檢查后的報告中提出的問題進(jìn)行跟蹤。信息系統(tǒng)審核考慮信息系統(tǒng)審核控制措施任何技術(shù)符合性審核都必須經(jīng)過認(rèn)真策劃，最大程度地減少中斷工作的風(fēng)險并保護公司的工作環(huán)境的數(shù)據(jù)完整性不會受到破壞。確定最適合的方法，保證技術(shù)符合性審核取得圓滿。獲取信息安全管理工作小組對既定審核方法的書面批準(zhǔn)。判定每個系統(tǒng)的訪問級別并從相關(guān)負(fù)責(zé)人獲取書面批準(zhǔn)。只獲取審核活動范圍內(nèi)的IT硬件、軟件和系統(tǒng)的訪問權(quán)。確保技術(shù)符合性審核后刪除或處理掉系統(tǒng)審核工具和殘余數(shù)據(jù)。確保所有的系統(tǒng)審核都按照《變更管理辦法》中的說明進(jìn)行。確保系統(tǒng)審核的所有活動按照商定的審核計劃進(jìn)行。信息系統(tǒng)審核工具的保護對于信息系統(tǒng)審核工具的訪問應(yīng)加以保護，以防止任何可能的濫用或損害。信息系統(tǒng)審核工具（如軟件和數(shù)據(jù)文件）應(yīng)與開發(fā)和運行系統(tǒng)分開，并且不能保存在磁帶（程序）庫或用戶區(qū)域內(nèi)，除非給予合適級別的附加保護。信息系統(tǒng)審核工具的使用必須事先獲得信息安全管理工作小組的批準(zhǔn)。活動描述信息安全管理工作小組根據(jù)情況，對于自管服務(wù)器制定出在策略、用戶管理、權(quán)限管理、VLAN管理、漏洞掃描、滲透測試等方面的審核策略。管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有安全程序被正確地執(zhí)行，以確保符合安全策略及標(biāo)準(zhǔn)。管理人員應(yīng)對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其它安全要求進(jìn)行定期評審。任何技術(shù)符合性檢查應(yīng)僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。涉及對運行系統(tǒng)檢查的審核要求和活動，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批準(zhǔn)，以便最小化造成業(yè)務(wù)過程中斷的風(fēng)險。漏洞掃描管理：管理員應(yīng)定期進(jìn)行漏洞掃描，客戶端和服務(wù)器可使用相關(guān)工具進(jìn)行漏洞掃描。根據(jù)漏洞掃描結(jié)果，管理員應(yīng)及時修補系統(tǒng)漏洞。滲透測試管理：技術(shù)符合性檢查應(yīng)由有經(jīng)驗的系統(tǒng)工程師手動執(zhí)行（如需要，利用合適的軟件工具支持），或者由技術(shù)專家用自動工具來執(zhí)行，此工具可生成供后續(xù)解釋的技術(shù)報告。如果使用滲透測試或脆弱性評估，則應(yīng)格外小心，因為這些活動可能導(dǎo)致系統(tǒng)安全的損害。這樣的測試應(yīng)預(yù)先計劃，形成文件，且重復(fù)執(zhí)行。審核注意事項：應(yīng)與合適的管理者商定審核要求；應(yīng)商定和控制檢查范圍；檢查應(yīng)限于對軟件和數(shù)據(jù)的只讀訪問；非只讀的訪問應(yīng)僅用于對系統(tǒng)文件的單獨拷貝，當(dāng)審核完成時，應(yīng)擦除這些拷貝，或者按照審核文件要求，具有保留這些文件的義務(wù)，則要給予適當(dāng)?shù)谋Ｗo；應(yīng)明確地識別和提供執(zhí)行檢查所需的資源；應(yīng)識別和商定特定的或另外的處理要求；應(yīng)監(jiān)視和記錄所有訪問，以產(chǎn)生參照蹤跡；對關(guān)鍵數(shù)據(jù)或系統(tǒng)，應(yīng)考慮使用時間戳參照蹤跡；應(yīng)將所有的制度、要求和職責(zé)形成文件；執(zhí)行審核的人員應(yīng)獨立于審核活動附件無信息安全目標(biāo)及有效性測量制度目錄TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 信息安全總目標(biāo) 24.1.信息保密性目標(biāo)(C) 34.2.信息完整性目標(biāo)(I) 34.3.業(yè)務(wù)系統(tǒng)可用性(A) 34.4.信息安全風(fēng)險管理度總目標(biāo) 35. 信息安全目標(biāo)有效性測量方法 45.1.關(guān)鍵目標(biāo)指標(biāo) 45.2.關(guān)鍵性能指標(biāo) 46. 相關(guān)記錄 5

目的和范圍確保信息安全管理體系的有效實施,根據(jù)本公司信息安全方針制定信息安全目標(biāo)，并規(guī)定信息安全目標(biāo)的測量方法，以便于目標(biāo)達(dá)成情況的考核。適用于信息安全目標(biāo)的制定、檢查、測量。引用文件《信息安全管理手冊》職責(zé)和權(quán)限信息安全領(lǐng)導(dǎo)小組：批準(zhǔn)公司的信息安全目標(biāo)；體系負(fù)責(zé)人：負(fù)責(zé)制定信息安全目標(biāo)；信息安全工作小組：提出公司信息安全目標(biāo)建議。定期組織相關(guān)部門對信息安全目標(biāo)進(jìn)行檢查、統(tǒng)計、分析和測量；行政部：有效性測量記錄的歸檔；各部門：負(fù)責(zé)與本部門相關(guān)的信息安全目標(biāo)的檢查、統(tǒng)計、分析和測量，當(dāng)目標(biāo)不能達(dá)標(biāo)時，進(jìn)行原因分析并進(jìn)行改進(jìn)。信息安全總目標(biāo)為確保信息安全管理體系(ISMS)的有效實施,根據(jù)公司信息安全方針制定信息安全總目標(biāo)，將保證公司客戶信息安全和公司內(nèi)部信息安全的整體目標(biāo)分解為信息安全的保密性（C）目標(biāo)、完整性目標(biāo)（I)、可用性目標(biāo)（A），并規(guī)定這些信息安全目標(biāo)C、I、A的計算方法，以便于目標(biāo)達(dá)成情況的考核。信息保密性目標(biāo)(C)保證各種需要保密的資料（包括電子文檔、磁帶等）不被泄密，確保絕密、機密信息不泄漏給非授權(quán)人員。公司通過各種控制方式，確保數(shù)據(jù)不泄密，機密性總目標(biāo)為公司可接受程度。保密性指標(biāo)在整體信息安全中的權(quán)重為60%；信息完整性目標(biāo)(I)信息系統(tǒng)完整性總目標(biāo)為可接受程度。完整性指標(biāo)在整體信息安全中的權(quán)重為10%；業(yè)務(wù)系統(tǒng)可用性(A)保證業(yè)務(wù)系統(tǒng)正常運行，避免各種非故意的錯誤與損壞，業(yè)務(wù)系統(tǒng)可用性總目標(biāo)為公司可接受程度。可用性指標(biāo)在整體信息安全中的權(quán)重為30%；信息安全風(fēng)險管理度總目標(biāo)風(fēng)險管理度（R）=(C*60%+I*10%+A*30%)風(fēng)險管理度R年度測量結(jié)果必須為可接受以上。R:100-98：好R:97-90：可接受R≤90：需要改進(jìn)信息安全目標(biāo)有效性測量方法信息安全工作小組根據(jù)信息安全管理體系和公司及客戶的要求，組織編制《信息安全目標(biāo)及風(fēng)險管理度有效性測量表》，經(jīng)體系負(fù)責(zé)人審批后發(fā)布實施。在信息安全管理體系有效性的測量中，使用基于信息安全管理體系控制的關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵性能指標(biāo)的測量方法。關(guān)鍵目標(biāo)指標(biāo)識別測定信息安全管理體系控制的結(jié)果，控制的輸出，關(guān)鍵目標(biāo)指標(biāo)體現(xiàn)的是控制的目標(biāo)，指出哪些是必須做的，是控制實現(xiàn)其目標(biāo)的可測指標(biāo)，并且通常定義為需要實現(xiàn)的目標(biāo)。關(guān)鍵目標(biāo)指標(biāo)是控制目標(biāo)的一種表達(dá)，明確要取得什么目標(biāo)，并描繪控制的結(jié)果，進(jìn)行事后評判，即時體現(xiàn)控制的完成即成功與否。信息安全工作小組分析確定信息安全的14個領(lǐng)域中關(guān)鍵的測量目標(biāo)。關(guān)鍵性能指標(biāo)通過監(jiān)測某控制的執(zhí)行情況，告訴管理者該控制是否滿足標(biāo)準(zhǔn)、信息安全管理體系和管理者的要求。關(guān)鍵性能指標(biāo)是控制的性能指標(biāo)，表現(xiàn)為控制的實際表現(xiàn)。通過測定，評價控制執(zhí)行的好壞，通過有效性、效率、保密性、完整性、可用性、一致性、可靠性等指標(biāo)來測定控制的性能，關(guān)鍵性能指標(biāo)是控制執(zhí)行程度的測定，預(yù)期將來成敗的可能性，是先導(dǎo)性目標(biāo)，面向控制過程，關(guān)注對于控制至關(guān)重要的資源。關(guān)鍵性能指標(biāo)指出控制要完成到怎樣的程度。信息安全工作小組分析確定每個測量子類中的測量方法和關(guān)鍵性指標(biāo)。相關(guān)記錄編號記錄編號記錄名稱保管場所保存期限保存形式備注1F4-D-總經(jīng)辦-023-V1.0信息安全目標(biāo)及風(fēng)險管理度有效性測量表總經(jīng)辦3年電子/紙質(zhì)糾正和預(yù)防措施控制制度目錄TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 持續(xù)改進(jìn) 35. 糾正措施制度 35.1.信息的收集和匯總分析 35.2.下達(dá)任務(wù) 45.3.糾正措施的實施 45.4.監(jiān)督和效果驗證 46. 預(yù)防措施制度 56.1.分析潛在不符合項的原因 56.2.預(yù)防措施的實施 56.3.監(jiān)督和驗證 67. 實施策略 68. 相關(guān)記錄 7

目的和范圍為了對信息安全管理體系運行出現(xiàn)的不符合事項（信息安全事故、審核中出現(xiàn)的不符合等）或潛在不符合事項進(jìn)行分析、糾正，并為防止?jié)撛诓环享椀陌l(fā)生，采取預(yù)防措施，以消除造成實際或潛在的不符合項的原因，持續(xù)改進(jìn)信息安全管理體系，特制定糾正和預(yù)防措施管理制度。本制度適用于信息安全管理體系各項活動中發(fā)生或可能發(fā)生的所有不符合項的糾正和預(yù)防措施的管理。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細(xì)則《文件控制制度》《信息安全交流控制制度》職責(zé)和權(quán)限信息安全工作小組：負(fù)責(zé)選派一名糾正和預(yù)防措施監(jiān)督員負(fù)責(zé)收集信息并組織責(zé)任部門分析原因，并跟蹤驗證糾正預(yù)防措施實施情況；負(fù)責(zé)與相關(guān)部門共同制定糾正預(yù)防措施。各部門：負(fù)責(zé)本部門的不符合原因分析及糾正、預(yù)防措施的制定和實施。持續(xù)改進(jìn)為了消除不符合項或潛在的不符合項的產(chǎn)生，所采取的糾正、預(yù)防措施應(yīng)與問題大小和風(fēng)險程度相適應(yīng)，以最佳的成本獲得滿足信息安全管理體系的要求。通過應(yīng)用信息安全管理方針、目標(biāo)及其有效性測量、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施和管理評審，持續(xù)改進(jìn)信息安全管理體系的有效性。信息安全工作小組負(fù)責(zé)組織將證實有效的糾正、預(yù)防措施納入有關(guān)的管理和技術(shù)文件中去，使其成為正式的方法，有效地防止不符合項的發(fā)生。所引起的信息安全管理管理體系文件的更改和補充按《文件控制制度》進(jìn)行。糾正措施制度信息的收集和匯總分析不符合的信息可能來自：法律法規(guī)的變更產(chǎn)生的不符合；員工、顧客及相鄰部門和群眾的意見和投訴；資產(chǎn)識別及評價發(fā)現(xiàn)的不符合；內(nèi)部和外部審核及管理評審發(fā)現(xiàn)的不符合；體系運行中發(fā)現(xiàn)的問題；檢查與監(jiān)督過程中發(fā)現(xiàn)的不符合；事故調(diào)查時發(fā)現(xiàn)的不符合問題；信息交流發(fā)現(xiàn)的不符合；其它途徑發(fā)現(xiàn)的不符合。信息安全工作小組對管理體系實施運行情況，尤其對內(nèi)審、外審、管理評審以及有效性測量中的《審核、檢查發(fā)現(xiàn)事項通知單》和信息安全事件，進(jìn)行收集匯總。信息安全工作小組對所有的不符合項，進(jìn)行原因分析，找出主要原因，確定需要采取糾正措施的不符合項，并填入《審核、檢查發(fā)現(xiàn)事項通知單》。下達(dá)任務(wù)在明確責(zé)任部門后，信息安全工作小組給相關(guān)責(zé)任部門下達(dá)《審核、檢查發(fā)現(xiàn)事項通知單》。糾正措施的實施不符合項的責(zé)任部門根據(jù)《審核、檢查發(fā)現(xiàn)事項通知單》的要求，在規(guī)定的期限內(nèi)組織相關(guān)人員進(jìn)行實施。對于需要跨部門協(xié)調(diào)解決糾正和預(yù)防措施由體系負(fù)責(zé)人組織召開工作會議討論并明確相關(guān)改進(jìn)責(zé)任部門及改進(jìn)職責(zé)，確保按期完成。監(jiān)督和效果驗證糾正措施完成后，責(zé)任部門通知信息安全工作小組對糾正措施進(jìn)行驗證，信息安全工作小組組織有關(guān)人員進(jìn)行驗證，并記錄在《體系改進(jìn)記錄表》上，并提報給信息安全委員會；信息安全工作小組對糾正措施的實施結(jié)果和效果作最終的確認(rèn)。預(yù)防措施制度分析潛在不符合項的原因信息安全工作小組利用對潛在不符合項情況以及各部門日常發(fā)現(xiàn)報告的重大安全隱患（安全薄弱點)，確定可能需要采取預(yù)防措施的問題和需求，組織相關(guān)部門進(jìn)行原因分析，分析確定潛在不符合及其原因，評價防止不符合發(fā)生的措施的需求。采取預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)，對于以下情況的潛在不符合應(yīng)采取預(yù)防措施：可能造成信息安