第一篇:信息安全管理体系信息安全不可接受风险处理计划(本站推荐)
信息安全管理体系信息安全不可接受风险处理计划[
一、适用
本计划为按照程序文件 ISMS-2002《信息安全风险管理程序》 要求各部门对本部门不可接受风险做出处理计划,由行政部负责汇总,提交信息安全管理 委员会评审以获得管理层批准实施。
二、目的根据表 ISMS-4024《重要信息资产风险评估表》中风险等级≥4 以上的资产采取控制措施,保证降低其风险等级至可接受风险等级。
三、职责
针对某项不可接受风险的资产责任人即为此计划的编制人和负责人。
四、详细处理计划
对于上述不可接受风险的资产,处理准则为,对面临同样风险的资产采取一类管理方法,举例对技术部公积金扫描验印系统、票据防伪系统、电子 验印系统、票据影像系统、光盘缩微系统、一票一密系统、上门收款原代码的管理方式应考虑通用的控制措施。
处理计划要求包含以下内容:
a)针对不可接受风险资产的范围。
b)风险计划实施部门,编制人,批准人、实施人,编制时间,生效时间。c)对资产的脆弱性和威胁做详细分析和描述。d)权衡成本和收益提出处理策略。对于计划处理效果显著,可以转变为公司的统一管理制度。此次风险评估的处理计划如下:
部集编JC编刘健 制2009-1-1 门 成部 号-001 制人 表时间
风资产名称:交换机、UPS 电源、技术部路由器
险描资产风险:
述
1、交换机:本公司的机房环境差,没有温湿度控制,没有除尘设施,机房布线混乱,交换机没有定期检测。
2、UPS:UPS 使用的时间接近报废时间,若出现 UPS 失效,而不
及时更换,电力供应中断后服务器数据丢失,不可恢复。
3、技术部路由器:技术部每天产生的项目代码需要通过路由器传到
备份服务器,对技术部的路由器的维护措施没有,有 中断业务的风险 目
1、降低交换机发生故障的概率。的
2、保障服务器的电力供应。
3、确保技术部的持续工作。
适江苏万佳技术部项目组
用范
围
风置详细策略
险处 交换机:
(1)交换机等放到机房,机房有独立的物理空间。
(2)在机房中配备温湿度计,安装空调,对机房用门隔离,门上贴
警示标识,将机房规定为敏感区域,墙上贴有机房进 去登记表,编制机房管理规定。
(3)定期对交换机功能检查,周期为一周一次。UPS:
(1)向行政部申请购买 2 台全新 UPS,以防止此 UPS 失效。技
术部路由器:
(1)将此路由器放置有保护的装置中,将技术部的合理区域划为设备存放地,贴一标识以防设备被无意损坏。
(2)定期对路由器检查,周期为一周一次。
惩(1)对违反机房管理规定者,首次予以警告,第二次违规罚款 20 罚 元,通报批评教育。
(2)对损坏公司网络硬件设备者,提交行政部视情节予以处理。引
用标
准
第二篇:信息安全及信息技术服务管理体系
信息安全及信息技术服务管理体系
保
密
协
议
甲方:
乙方:
新纪源认证有限公司
依据工信部联协[2010]394号文《关于加强信息安全管理体系认证安全管理的通知》及各地方和有关主管部门/监管部门,认证认可相关规定对信息安全,信息技术服务管理体系认证的要求,为保证申请认证组织信息资产的安全,双方签订此保密协议。具体条款如下:
1、甲方应填写“保密和敏感信息资产和区域声明表”,明确甲方的重要敏感信息和区域,并明确乙方的接触要求;
2、乙方审核组将严格遵守保密承诺。审核组在现场审核过程中不以任何形式记录甲方的保密或敏感信息。审核组在离开审核现场前,接受甲方的检查和确认审核组携带的文件、资料和设备中未夹带甲方的任何保密或敏感信息;
3、未经甲方的书面授权,乙方及其审核组不得将甲方在经营、生产、技术、管理等方面的非公开信息以任何方式泄密给第三方但下列情况除外:
甲方已公开的信息,或在提供时已为公众所知的信息,或虽不为公众所知但已不再是秘密的信息;
得到甲方的书面同意;
应法律要求时,但发生该等情形时应及时通知甲方。
4、乙方所有保密义务及于乙方内部人员及为乙方工作的外部人员,上述人员已经与乙方签署了保密协议或具有保密条款的法律文件。如甲方要求,我方直接接触客户组织信息的认证人员(如审核组成员)可按照甲方的保密要求与甲方签署保密协议。
5、本协议作为认证合同的附件,与认证合同具有同等法律效力;
6、本协议一式两份,双方各执一份,经双方签章后生效,且不因认证协议的解除而失效。
甲方(名称加盖单位公章):
甲方 法定代表人 或授权人:
日
期 :
****年**月**日
乙方(名称加盖单位公章):新纪源认证有限公司 乙方 法定代表人或 授权人:
日
期:
****年**月**日
第三篇:信息安全管理体系记录控制程序
信息安全管理体系记录控制程序 1.适用
本程序适用于本公司产生的记录的管理。
2.目的为支持信息安全体系的运作而明确记录的管理。
3.管理方法
3-1保管方法
(1)记录由各保管部门在可快速检索的条件下,决定保管场所,放在箱子、柜子等适当 容器中保管。
(2)对保管场所的环境,本程序没有特别指定。由各保管部门考虑记录媒体的特性做适 当处理。
(3)以电子媒体保管的场合,为预防意外,需做适当的备份。备份的安全要求执行《信息备份管理程序》。
(4)记录保管部门应建立《记录清单》,明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求,保存期限参考本规格书第 4 条款。
(5)因工作需要,借阅其他部门的秘密记录,应获得记录保管部门负责人授权后方可借 阅,并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录,并按期归还;机 密记录只准在现场查阅。
(6)记录的字迹应清晰、真实、文字表达准确、简练,记录不得随意修改。确需修改时,必须在修改处作标识,并由修改人签名确认。
3-2废弃 超过保管期限的记录,由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置 方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。但若保管部门认为必要时,仍可继续保管超出保管期限的记录。
4.记录的分类和保存年限
记录类型 测试报告
关于合同内容确认的记录 购买管理
保管期限(年)3 年 合同
保管部门 技术部 行政部 集成部
行政部 集成部
质量保证书 定单
供应商变更申请书 供应商清单 购买需求单 购买合同
购买质量保证书 供应商评价表 供应商检查表 5 年
合同结束后 3 年
文件管理 内部审核 员工教育履历
信息安全管理评审会议记录以及纠正措施记录 信息安全目标以及分解 预防措施 影响分析报告业务持续性计划业务持续性计划测试报 业务持续管理 告
业务持续性计划评审报 告
信息资产识别表
重要信息资产清单重要信息资产评估表风险评估报告 资产识别和风险评估 风险处理计划
调查报告
信息事故、异常处理记纠正措施 录 信息设备更改申请书 变更管理 软件安装/升级申请书
采购记录
维护记录 授权记录 访问记录 访问保密协议 用户访问授权记录 用户访问权限评审记录
审核日志(电子媒体)参见档案 管理规程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部门 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年
设备使用期间保 管 2 年 2 年 3 年
保持至员工 离职 3 年 1 年 参见档案 管理规程 5 年
信息处理设备相关记录
集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部
集成部或技术部 集成部 集成部 集成部 技术部
系统开发相关记录
用户逻辑访问相关记录
技术部
技术部 集成部 集成部 行政部 行政部
人事相关记录 财务相关记录
第四篇:信息安全管理体系作业文件
信息安全管理体系作业文件 Token管理规定
产品运输保密方法管理规定 介质销毁办法
保安业务管理规定
信息中心主机房管理制度 信息中心信息安全处罚规定 信息中心密码管理规定
信息安全人员考察与保密规定 信息开发岗位工作标准 信息系统访问权限说明 信息销毁制度(档案室)
可移动媒体使用与处置管理规定 各部门微机专责人工作标准 复印室管理规定
工程师室和电子间管理规定 数据加密管理规定
文件审批表
机房安全管理规定
档案室信息安全职责
法律法规与符合性评估规定 生产经营持续性管理战略计划 监视系统管理规定
系统分析员岗位工作标准 经营部信息事故处理规定 经营部信息安全岗位职责规定 经营部计算机机房管理规定 经营部访问权限说明 网站信息发布管理规定
网络中间设备安全配置管理规定 网络通信岗位工作标准 计算机硬件管理维护规定 财务管理系统访问权限说明 远程工作控制规定
第五篇:公司的信息安全管理体系
公司的信息安全管理体系
信息安全通过人员安全、文档与数据安全,软件与系统安全、硬件与网络安全,区域安全实现对信心机密性,完整性,可用性的保护。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。信心安全管理体系是对系统地组织敏感信息进行管理,涉及到人,程序和信息技术(IT)系统。
Iso27001:2005是一套国际公认的信息安全管理体系标准,按照标准实施,可以帮助公司识别,管理和减少信息通常所面临的各种威胁。11个角度:
1. 安全方针:为信息安全提供管理指导和支持
2. 安全组织:在公司内管理信息安全
3. 资产分类与管理:对公司的信息资产采取适当的保护措施
4. 人员安全:减少人为错误,偷窃,欺诈或滥用信息及处理设施的风险
5. 实体和环境安全:防止对商业场所及信息未经授权的访问,损坏及干扰
6. 通讯与运作管理:确保信息处理设施正确和安全运行
7. 访问控制:管理对信息的访问
8. 系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期
9. 安全事件管理:确保安全事件发生后有正确的处理流程和报告方式
10. 商业活动的连续性管理:防止商业活动的中断,并保护关键的业务过程免收重大故
障或灾难的影响
11. 符合法律:避免违反任何刑法和民法,法律法规或合同义务以及任何安全要求。
信息安全建设的原则
领导重视,全民参与:信息安全不仅仅是发务部和IT中心的工作,需要各事业部,中心以及公司全体员工的共同参与
管理与技术结合:技术不是绝对的,信息安全管理遵循“七分管理,三分技术”管理原则。
“二八”原则:20%的信息安事件来自外部攻击,80%的信息安全事件发生在公司内部
管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
信息安全管理体系建设的目的1管理理解企业所拥有的信息资产的价值
2提高企业员工对安全的认识和对安全管理的参与
3提好企业用户及合作伙伴对企业的信心,信任,满意程度
4提高企业信息安全管理的只连年感和水平
5遵守相关法律法规的要求
6使企业更有效的管理和处理安全事件
7通过制定和实施符合国标标准的安全管理制度来提高企业的竞争优势和声誉
8为将来企业全面发展电子商务打下最重要的基础
计算机安全
1计算机密码设置要求
至少6位
包含下面4类字符组中的3类,数字,英文大小写字母和非字母数字字符
不包含用户名的全部或大部分
至少90天更换一次密码
新密码不能与旧密码相同
2开机密码
计算机必须设置开机密码,不设开机密码,那么他人可随意操作你的计算机
3登入密码
计算机必须设置登录密码,不设置登录密码,黑客将会很轻松的攻破你的计算机 操作系统,并且窃取重要资料,其他人也可以轻易的使用你的计算机
4屏幕保护密码
计算机必须设置屏幕保护密码,当你离开座位最少10分钟请及时激活屏幕保护,防止他人乘机使用你的电脑
4文件夹共巷享密码
计算机必须设置文件夹共享密码,禁止不带密码的共享方式
6硬盘加密密码
笔记本电脑必须要设置硬盘加密密码,7磁盘消磁
当计算机硬盘需要换厂更换或者报废时,必须通过硬盘消磁盘处理,消除存储数据,维护信息安全
8计算机软件安装
公司禁止员工私自安装有版权争议的软件
9usb监控
公司目前实施的usb安全策略分为两种:usb封闭和监控。
网络,邮件系统,文件安全
1公司内部网络安全注意事项:
禁止通过公司网络访问互联网,从事与工作无关的事情
禁止在网络上伪装为他人
禁止在公司网络上运行黑客工具
禁止在公司网络上使用非公司的电子邮件
禁止员工私自拨号上网
禁止未经批准增加网络设备到公司的网络架构中
2ip地址获得
公司的内部的ip地址设置为自动获取方式,禁止私自固定ip地址 禁止私自架设代理服务器上网