为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全总目标,将保证公司客户信息安全和公司内部信息安全的整体目标分解为信息安全的保密性(C)目标、完整性目标(I)、可用性目标(A),并规定这些信息安全目标C、I、A的计算方法,以便于目标达成情况的考核。
1.1. 信息保密性目标(C)
保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式,确保数据不泄密,机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%;
1.2. 信息完整性目标(I)
信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%;
1.3. 业务系统可用性(A)
保证业务系统正常运行,避免各种非故意的错误与损坏,业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%;
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 符合法律要求
5. 符合安全策略和标准以及技术符合性
6. 信息系统审核考虑
7. 附件
1. 目的和范围
本策略规定如何避免违反刑法、民法、法令、法规或合同义务以及信息系统设计、运行、使用和管理的安全需求。
本制度适用于信息安全管理体系要求的法律法规和其他要求的收集、评价、确定等活动的控制。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《软件管理规定》
3. 职责和权限
1) 行政部:负责组织有关信息安全管理体系的法律法规和其他要求的收集、更新、审核、评价,并提出专项建议使公司的日常运营满足法律法规的要求。
2) 各部门:协助做好与本部门业务有关的相应法律法规和其它要求的收集、更新和合规性评价工作。
1. 安全事件的发现
相关部门应建立监控措施和日志查看制度,采用必要的技术手段,确保及时发现安全事件;相关部门根据风险评估、安全事件和安全告警的内容,及时发现潜在安全事件;应向所有员工和第三方服务商提供培训,使之认识到发现并报告安全事件是其应尽的义务。
一般安全事件处理流程:
a) 相关工程师、管理人员、运营安全工作人员在日常维护、巡检、日志检查等过程中发现异常,或接到其他人员的异常报告,并判断为安全事件;
b) 事件发现者将事件发生时的情况,内容包括事件发生的时间、地点系统名称、现象描述、初步分析等,用邮件或电话报告给运营安全工作人员,并确认相关人员可立即收到和处理。
c) 运营安全工作人员判断事件安全级别,无法判断或非一般安全事件则上报运营安全组长按照严重安全事件处理;对于严重安全事件,启动相应级别事件响应流程;
d) 对于一般安全事件,运营安全工作人员应协助运营安全副组长直接处理解决问题。
e) 一般应在30分钟内查明原因,并且在60分钟内能够处理完成并解决了问题。
f) 如果在规定的时间范围内无法解决问题,运营安全工作人员应通过电话、传真等方式通知报告运营安全组长,并说明对处理情况的反馈要求,启动相应级别事件响应流程。
信息安全测量领域 信息安全测量类别
A.5 安全方针 1.方针及信息安全目标有效性测量
2.风险管理测量
A.6 信息安全组织 1.信息安全组织测量
A.7 人力资源安全 1.人力资源管理测量
2.信息安全培训测量
A.8 资产管理 1.资产识别表测量
2.数据和文档管理测量
3.设备管理测量
A.9 访问控制 1.访问控制有效性测量
A.10 密码学 1.密码管理
A.11 物理环境安全 1.物理环境测量
A.12 操作管理 1.系统监控测量
2.防病毒及恶意软件测量
3.备份管理测量
4.软件和系统管理测量
A.13 通信管理 1.保密协议测量
2.网络安全测量
3.电子消息测量
A.14 信息系统获取、开发和维护 1.信息系统开发过程测量
A.15 供应商管理 1.第三方服务管理测量
A.16 信息安全事件管理 1.信息安全事件管理测量
A.17 业务连续性管理 1.业务连续性计划有效性测量
A.18 符合性 1.合规性测量
-/gbacfji/-
http://lsjsqd.b2b168.com
