编 号: /ISMSP
版次/修订号: A
编 制: 信息安全小组
审 核:
批 准:
发布日期:
生效日期:
程序文件目录
序号 程序文件名称 文件编号 页码
1 公司环境分析管理程序 /ISMSP-01A 1
2 法律法规与其他要求程序 /ISMSP-02A 4
3 信息安全风险管理程序 /ISMSP-03A 6
4 信息安全指南管理程序 /ISMSP-04A 18
5 移动计算和远程工作管理程序 /ISMSP-05A 26
6 信息安全惩戒奖励管理程序 /ISMSP-06A 28
7 用户访问管理程序 /ISMSP-07A 31
8 物理安全区域安全管理程序 /ISMSP-08A 34
9 信息处理设施管理程序 /ISMSP-09A 36
10 变更管理程序 /ISMSP-10A 39
11 业务数据备份管理程序 /ISMSP-11A 42
12 信息系统监控管理程序 /ISMSP-12A 45
13 病毒(恶意代码)和可移动代码
防范管理程序 /ISMSP-13A 47
14 网络安全管理程序 /ISMSP-14A 50
15 信息安全事件管理程序 /ISMSP-15A 53
16 业务连续性管理程序 /ISMSP-16A 56
17 人力资源管理程序 /ISMSP-17A 59
18 文件管理程序 /ISMSP-18A 62
19 记录管理程序 /ISMSP-19A 67
20 内部审核管理程序 /ISMSP-20A 69
21 管理评审程序 /ISMSP-21A 72
22 不符合和纠正措施管理程序 /ISMSP-22A 75
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★
1.公司环境分析管理程序
编号:/ISMSP-01A 修改状态:0
1 目的
为满足ISO27001标准的要求,确定与本公司目标和战略方向相关并影响实现管理体系预期结果的各种内部和外部因素,对其进行有效控制。
2 适用范围
适用于对本公司经营环境内外部因素识别、评价。
3 职责
3.1综合管理中心为本程序的归口管理部门,负责组织本公司的内外部环境分析与评价。
3.2软件产品中心负责软件开发技术风险分析、质量风险分析,工程技术中心负责系统集成和运维服务技术风险分析、质量风险分析。
3.3 市场中心负责市场风险分析及经营风险分析。
3.4 财务投资中心负责财务风险分析。
4 工作程序
4.1 风险识别时机:管理体系策划、企业宗旨变化、战略变化、内外部环境变化、组织及其背景、相关方的需求和期望变化。
4.2 参与风险管理的人员应经过综合管理中心组织风险管理知识的培训,合格后方可进行。
4.3 需考虑的风险有:
4.3.1质量风险
a直接质量风险:服务质量问题,导致退货、换货、修理等风险。
b间接质量风险:服务过程,损坏了顾客的其它财产权或人身权,应负民事赔偿责任。
4.3.2环境风险
A服务淡季与旺季,影响顾客的采购,也间接影响公司服务。
b人文环境:主要体现在不同时间、不同地区、不同民族的人消费习惯不同。
c政策环境:国家宏观经济政策、经济环境的变动,以及个地方的相关政策的变动会间接的影响到企业资金融入以及企业运营的必要条件。
d经济环境:利率的变动、汇率的变动、通货膨胀或通货紧缩等。
4.3.3经营风险
a员工风险:服务人员,技术人员和其他管理人员,由于他们的疏忽导致的风险,以及各岗位主要人员的离职等风险。
c设备:服务设备出现意外的故障,甚至损坏等。
d供销链风险:主要包括供应商及顾客违约,以及供应或销售渠道不畅通等风险。
e法律纠纷:消费者投诉等潜在的法律纠纷。
4.3.4市场风险
a市场容量:对市场容量的调查所采用的方法不合适,没有准确的弄清市场对象对服务的需求,而增加公司的投资风险。
b市场竞争力:对竞争对手的错误分析可能导致对我们的服务市场的竞争力高估或低估,引发期望值风险。
c价格风险:产品的价格风险受服务的成本、质量和声誉、顾客消费等的影响。
促销风险:促销风险包括促销活动的成本的控制、效果预测失误以及对品质的怀疑等。
4.3.5财务风险
a融资/筹资过程中的风险:比如风险筹资的费用很高, 而且受到政策限制较多,加大了筹资的不确定性。
b资金偿还过程中的风险:主要受到利率的影响,有极大的不稳定性,增加偿还风险。
c资金使用过程中的风险:主要表现为短期资金风险和长期资金投资风险。
d资金回收过程中的风险:应收款无法及时到位,增加了坏账的出现率。
e收益分配过程中的风险:主要表现在确认风险和对投资者进行收益分配不当而产生的风险。
4.4 环境因素分析、评价
SWOT分析法是用来确定企业自身的竞争优势、竞争劣势、机会和威胁,从而将公司的战略与公司内部资源、外部环境有机地结合起来的一种科学的分析方法。
SWOT分析,即基于内外部竞争环境和竞争条件下的态势分析,就是将与研究对象密切相关的各种主要内部优势、劣势和外部的机会和威胁等,通过调查列举出来,并依照矩阵形式排列,然后用系统分析的思想,把各种因素相互匹配起来加以分析。
优势,是组织机构的内部因素,具体包括:有利的竞争态势;充足的财政来源;良好的企业形象;技术力量;规模经济;产品质量;市场份额;成本优势;广告攻势等。
劣势,也是组织机构的内部因素,具体包括:设备老化;管理混乱;缺少关键技术;研究开发落后;资金短缺;经营不善;产品积压;竞争力差等。
机会,是组织机构的外部因素,具体包括:新产品;新市场;新需求;外国市场壁垒解除;竞争对手失误等。
威胁,也是组织机构的外部因素,具体包括:新的竞争对手;替代服务增多;市场紧缩;行业政策变化;经济衰退;客户偏好改变;突发事件等。
4.5构造SWOT矩阵
将调查得出的各种因素根据轻重缓急或影响程度等排序方式,构造SWOT矩阵。在此过程中,将那些对公司发展有直接的、重要的、大量的、迫切的、久远的影响因素优先排列出来,而将那些间接的、次要的、少许的、不急的、短暂的影响因素排列在后面。
4.6制定行动计划
在完成环境因素分析和SWOT矩阵的构造后,便可以制定出相应的行动计划。制定计划的基本思路是:发挥优势因素,克服弱点因素,利用机会因素,化解威胁因素;考虑过去,立足当前,着眼未来。运用系统分析的综合分析方法,将排列与考虑的各种环境因素相互匹配起来加以组合,得出一系列公司未来发展的可选择对策。
5 相关文件
无
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★
2.法律法规与其他要求程序
编号:/ISMSP-02A 修改状态:0
1. 目的
为了及时获取、识别、传递和更新适用于本公司的法律法规,确保信息安全、信息技术服务管理体系的正常运行,以保证公司生产、经营、服务等管理活动符合相关的法律法规,公司制定《法律法规与其他要求程序》。
2. 适用范围
本程序适用于公司范围内法律、法规的获取、识别、传递和更新;
本程序适用于公司信息安全、信息技术服务管理体系。
3. 术语和定义
本程序引用ISO27001中的相关术语和定义。的相关术语和定义。
4. 职责
4.1管理者代表负责批准公司《法律法规总清单》,并传达满足法律法规的重要性。
4.2综合管理中心负责制定和贯彻实施本程序,负责管理和定期公布公司有效的《法律法规总清单》。综合管理中心负责接收上级下发的法律法规文件,并转发给公司相关职能部门。
4.3公司各职能部门负责获取的法律法规适用性的确认,经公司领导审批后发布,报综合管理中心汇总备案。
5. 工作程序
5.1获取范围
a)国家有关的法律、法规、条例、规范;
b)省(市)地方法规和相关部委的规章;
c)国家、行业和地方的标准;
d)适用的国际公约、国际条约及国际惯例;
e)其他要求。
5.2获取途径
5.2.1法律法规由综合管理中心负责接收并及时转发给公司相关职能部门。
5.2.2公司各职能部门获取的法律法规确认其适用性,经公司领导批示后,传阅相关职能部门。
5.2.3公司各相关职能部门要通过报刊、杂志、互联网站、出版社、行业协会等途径及时获取与本公司相关的国家与地方性的法律法规,并确认其适用性,报公司领导批示后,转发给各相关职能部门。
5.3确认适用性
5.3.1公司各职能部门对于获取的法律法规,由本部门负责人对其版本、有效性及与公司产品、服务活动的适用性进行识别确认,经领导审批后,确认为公司和本部门适用的法律、法规,填入部门法律法规清单,并填写《法律法规获取(更新)登记表》,一式两份,报综合管理中心备案。
5.3.2当现行的法律法规更新时,公司各相关职能部门应重新对其适用性予以确认,及时发放更改通知,并传递到综合管理中心,填写《法律法规获取(更新)登记表》,一式两份,报综合管理中心一份留存,并更改《法律法规总清单》。
5.3.3综合管理中心根据确认后的法律法规填写公司《法律法规总清单》,经公司总经理批准后,向有关单位发放。
5.3.4综合管理中心每年更新《法律法规总清单》。
5.4对法律、法规及其他要求的符合性评价
综合管理中心每次在管理评审时负责组织对公司的法律法规符合性进行一次评价。
5.5法律法规的管理
5.5.1综合管理中心负责建立确认适用的《法律法规总清单》,并对总清单和留存的法律法规妥善保管,防止丢失。
5.5.2公司各职能部门对公司适用的法律法规进行归档管理,并根据适用和更新的情况随时予以更新。公司各职能部门将适用的法律法规原文发放给管理体系覆盖的各部门。
5.5.3公司各相关职能部门负责对本部门适用的法律法规,按国家、地方、行业分别建立清单,对获取或更新的法律法规如实填入清单,妥善保管并负责跟踪其变化。
5.5.4公司各职能部门应结合自己所承担的生产、经营、服务等管理活动的职责和内容组织对相应法律法规标准的学习、宣传或培训,培训工作具体执行公司《人力资源管理程序》。
6. 标准表格
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★
3.信息安全风险管理程序
编号:/ISMSP-03A 修改状态:0
1 目的
本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产及其脆弱性与漏洞、认知公司经营管理各环节存在的信息安全风险,综合考虑控制成本与代价、选择合适的控制目标与方式,将信息安全风险控制在可接受的水平,满足本公司信息安全管理方针的要求,确保公司经营管理活动相关的信息资产安全。
2 范围
本程序适用于公司在信息安全管理体系(ISMS)范围内开展的信息安全风险评估活动。
3 职责
3.1 综合管理中心门归口管理本过程,负责组织相关领导、各部门负责人、各部门业务骨干、IT技术人员进行信息安全资产识别、风险评估、确定风险处置计划、并进行残余风险评估。
3.2 各部门负责部门内部信息资产的识别和风险评估,并负责实施批准的《风险处置计划》。
3.3 管理者代表负责批准各部门的《信息安全资产清单》、《重要信息安全资产清单》、《信息安全风险评估表》、《风险处置计划》、对残余风险进行批准。负责协调并为风险处置提供适当的资源。
4 风险评估的实施频率及评审
风险评估活动应定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。遇到以下情况,公司也将启动风险评估:
——增加了大量新的信息资产;
——业务环境发生了重大的变化;
——发生了重大信息安全事件。
5 程序
5.1 风险评估流程
5.1.1. 信息安全风险评估管理流程
5.1.2. 信息安全风险评估管理流程说明
编号 流程步骤 主责部门/岗位 流程说明 相关文档
01 制定评估计划 综合管理中心门/部门负责人 综合管理中心负责人负责组织制定“风险评估计划”,发送各部门。“风险评估计划”包括:评估时间要求、评估人员组成、各部门工作要求等内容。 信息安全风险评估计划
02 信息安全资产识别 各部门 各部门负责人组织本部门员工按照本文件要求进行本部门信息安全资产的识别,形成《信息安全资产清单》,和《重要信息安全资产清单》,经部门负责人审核确认后,提交管理者代表批准。 信息安全资产清单、
重要信息安全资产清单
03 风险识别、分析 各部门 各部门负责人组织本部门信息安全资产威胁、脆弱性识别,及风险分析,并填写在《信息安全风险评估表》中,经部门负责人审核确认后提交管理者代表批准。 信息安全风险评估表
04 制定风险处置计划 综合管理中心 综合管理中心根据各部门提交的审批通过的《风险评估表》,对不可接受的风险组织制定《信息安全风险处置计划》,《信息安全风险处置计划》中应明确为弥补弱点所采取的安全措施、责任部门等。安全措施的选择应从管理与技术两个方面考虑。
《信息安全风险处置计划》由综合管理中心编制后,经管理者代表审核,最高管理者批准后实施。 信息安全风险处置计划
05 实施 各部门 各部门负责按照《信息安全风险处置计划》要求实施。
各部门应将风险处置计划的完成情况于规定的时间汇总,对风险处理过程中所提出的资源上的需求和出现的问题报最高管理者,确保风险处置计划的有效执行。 信息安全风险处置计划
06 残余风险评估 各部门 综合管理中心组织各部门对《信息安全风险处置计划》实施后的风险进行再评估,填写《信息安全风险评估表》,看残余风险是否降低到了可接受范围内,如果没有,则需要重新制定《信息安全风险处置计划》或获得管理者对残余风险的批准。 信息安全风险评估表
07 形成风险评估报告 综合管理中心 综合管理中心负责编制《信息安全风险评估报告》,陈述公司信息安全管理现状,分析存在的信息安全风险,提出信息安全管理的建议和措施,以及仍存在的残余风险,提交管理层审核,最高管理者批准。 信息安全风险评估报告
5.2 资产识别
5.2.1. 信息资产分类
资产分类 代号 示例
文档和数据 D 1)保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等(项目开发过程中产生的过程文档)
2)纸质的各种文件,如传真、电报、财务报告、发展计划等(公司经营中产生的行政文档)
软件和系统 R 系统软件:操作系统、语言包、工具软件、各种库等
应用软件:外部购买的应用软件,外包开发的应用软件等
源程序:各种共享源代码、自行或合作开发的各种代码等开发工具
硬件和设施 H 网络设备:路由器、网关、交换机等
计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
传输线路:光纤、双绞线等
保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等
安全保障设备:防火墙、入侵检测系统、身份验证等
其他:打印机、复印机、扫描仪、传真机等
服务 S 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务
网络服务:各种网络设备、设施提供的网络连接服务
信息服务:对外依赖该系统开展的各类服务
人员 P 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
其他 O
5.3 资产赋值
5.3.1. 机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响,见下表:
赋值 标识 定义
5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2 低 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等
5.3.2. 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响,见下表:
赋值 标识 定义
5 很高
完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。
3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。
2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补。
1 很低 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略。
5.3.3. 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度,见下表:
赋值 标识 定义
5 很高 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断。
4 高 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟。
3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。
2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟。
1 很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%。
5.3.4. 资产重要性
资产重要性(价值)应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出,本公司资产重要性评价计算模型如下:
资产价值重要性=(机密性*0.5+完整性*0.3+可用性*0.2)四舍五入取整
根据资产在重要性上的不同赋值结果,将其分为五个不同的等级,3级以上属本公司重要信息资产,评估工作以重要信息资产为主,见下表:
等级 标识 描述
5 很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失。
4 高 重要,其安全属性破坏后可能对组织造成比较严重的损失。
3 中 比较重要,其安全属性破坏后可能对组织造成中等程度的损失。
2 低 不太重要,其安全属性破坏后可能对组织造成较低的损失。
1 很低 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计。
5.4 威胁识别
5.4.1. 威胁分类
按威胁来源分类,见下表:
来源 描述
环境因素 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通讯线路方面的故障。
人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。
非恶意人员 内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
按威胁的表现形式分类,见下表:
种类 描述 威胁子类
软硬件故障 由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。
物理环境影响 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害。
无作为或操作失误 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响。 维护错误、操作失误
管理不到位 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。
恶意代码和病毒 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。 恶意代码、木马后门、网络病毒、间谍软件、窃听软件
越权或滥用 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为。 未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息
网络攻击 利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段,对信息系统进行攻击和入侵。 网络探测和信息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏
物理攻击 通过物理的接触造成对软件、硬件、数据的破坏。 物理接触、物理破坏、盗窃
泄密 信息泄露给不应了解的他人。 内部信息泄露、外部信息泄露
篡改 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用。 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息
抵赖 不承认收到的信息和所作的操作和交易。 原发抵赖、接收抵赖、第三方抵赖
5.4.2. 威胁赋值
评估组综合评价威胁出现的频率,包括:
以往安全事件(事故)报告(记录)中出现过的威胁及其频率的统计;
实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
近一两年来国际、国内权威安全机构发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
通过威胁发生的频率将威胁划分为5个等级,等级数值越大,威胁出现的频率越高,见下表:
等级 标识 定义
5 很高 出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。
4 高 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。
3 中 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。
2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过。
1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
5.5 脆弱性识别
脆弱性是对一个或多个资产弱点的总称,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点,威胁总是要利用资产的弱点才可能造成危害。
评估组针对每一项需要保护的重要资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;
5.5.1. 脆弱性识别内容
脆弱性识别的主要内容见下表:
类型 识别对象 识别内容
技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。
网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
系统软件(含操作系统及系统服务) 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。
数据库软�