信息安全管理机制报告
————————————————————————————————作者:————————————————————————————————日期:
XX村镇银行信息安全管理机制报告
根据中国人民银行有关文件要求,我行严格执行科技信息安全管理的有关制度,认真履行信息安全工作,部署我行上下积极开展信息安全管理工作,我行高度重视此项工作,认真学习相关文件内容,结合我行实际现将我行信息安全管理机制报告如下:
一、信息安全标准
在我行信息科技制度体系框架和制度名录基础上,对全行的信息科技流程进行梳理,借鉴科学的、国际通用的方法、模型和工具,找出管理流程中存在的风险点,从防范风险、提高效率的角度优化、完善信息科技管理制度,并建立相应的信息安全技术管理标准。信息科技管理制度的内容涵盖信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计9 个方面,具体内容包括信息科技组织管理、培训、报告、风险管理、风险评估管理、风险计量监测、信息安全管理、信息系统检查管理、用户认证和访问控制、网络安全、操作系统管理、生产系统日志管理、加密管理、设备管理、数据安全、项目管理、规划管理、需求管理、软件开发管理、测试管理、变更管理、问题缺陷管理、版本管理、质量管理、运行管理、机房管理、软硬件运行维护、网络运行维护、监控、应急管理及处置、外包管理、审计管理等内容。信息安全技术管理标准的内容包括物理安全、网络安全、
主机安全、应用安全、数据安全等方面的内容。
二、信息科技风险管理实施策略
按照银行信息科技风险应对策略的四个维度,在治理上,落实信息科技风险管理模型;在流程上,对现有信息科技制度体系进行梳理、完善,并根据本策略要求更新、补充;在人员上,充实信息技术人员,加强人员专业技能和信息科技风险管理知识培训,防范关键人员流失风险;在技术上,通过信息安全技术手段和措施,从物理安全、网络安全、应用安全、数据安全等方面出发,强化信息科技风险管控。
(一)信息科技风险管理体系
通过进一步完善我行的信息科技风险管理体系,了解和分析全行信息科技风险情况、全面展开信息科技风险管理工作,初步实现信息科技风险全周期管理,逐步将信息科技风险管理纳入银行全面风险管理中。在全行信息科技风险管理策略的基础上,信息科技风险管理体系重点包括落实信息科技风险治理模型、信息科技战略规划审核与修订、建立信息科技风险监测机制、完善风险监督和报告制度,并评估《指引》在我行的贯彻落实情况等方面。
(二)落实信息科技风险治理模型
按照《指引》要求,“设立或指派一个特定部门负责信息科技风险管理工作”,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构,由科技信息部
门具体负责信息科技风险管理,合规风险部(信息科技风险管理部门)负责信息科技风险管理工作的统筹、支持和督促工作,审计部门负责对信息科技风险管理体系运行的有效性进行评估,构建信息科技风险管理“三道防线”,满足监管部门的要求。
(三)信息科技战略规划审核与修订
信息科技管理委员会对银行信息科技战略规划进行审核,重点关注信息科技战略与全行业务战略的一致性,信息科技战略与目前全行信息科技化建设情况和发展方向一致性,配置足够人力、财力资源,保持稳定、安全的信息科技环境。相关部门根据审核意见对信息科技战略规划进行修订。修订后的信息科技战略规划内容至少应包括:
1. 信息科技管理组织和制度建设规划;
2. 信息科技基础架构规划;
3. 信息科技应用架构规划;
4. 信息科技人力资源配置规划;
5. 信息科技产品开发计划;
6. 信息科技服务水平建设计划;
7. 信息科技风险管理政策。
(四)建立信息科技风险评价指标体系
依据监管机构要求,以《指引》为主,同时借鉴ISO27001、COBIT、COSO、ITIL、等级保护、五部委《企业内部控制规
范》等国内外相关标准与金融业最佳实践,结合我行实际,形成我行信息科技风险评价指标体系。信息科技风险评价指标体系涵盖以下方面:信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包、审计(内部审计和外部审计)。
(五)完善风险报告和监督机制
完善全行信息科技风险报告体系,明确全行信息科技风险事件汇报、响应和处置机制,加强业务管理部门、科技信息部门、信息科技风险管理部门、管理层、董事会之间的沟通和协调,规范、统一与监管机构、外部其它方面(如媒体)的沟通机制,建立清晰的与内、外部沟通(或报告)路线。建立以风险控制、风险评估、风险审计三个层面的全行信息科技风险报告和监督机制,即:
风险控制:科技信息部门应定期(至少每年一次)负责本行数据中心信息科技风险的自我评估,并将评估结果上报信息科技风险管理部门;在发生重要或重大事件时,必须根据相关规定及时上报;
风险管理:合规风险部(信息科技风险管理部门)负责组织和实施全行信息科技风险总体评估和监控,并负责总结全行年度信息科技风险管理情况,形成《年度信息科技风险管理报告》报董事会。年度报告同时作为《年度风险管理情况报告》组成部分之一;
风险审计:审计部门在信息科技风险评估的基础上,至少每三年进行一次全面地信息科技审计,形成《银行信息科技风险管理审计报告》报董事会或监事会审定。同时,对于信息科技管理的特殊或重大事件(或事故),审计部门应当进行不定期的专项审计或提出
专项意见。
(六)评估《指引》在我行的贯彻落实情况
根据我行信息科技风险管理体系建设情况,以《指引》为准绳,以信息科技风险管理体系为基础,利用信息科技风险监测指标体系,全面评估《指引》在银行的贯彻落实情况,并形成《<指引>落实情况报告》。评估对象包括全行信息科技风险管理开展的主要工作、各工作的分类描述、工作标准、计划时限的实现情况(包括已落实项、部分落实项及跟进计划、未落实项及原因)等。
三、信息分类及保护体系方面
(一)网络安全方面
1. 物理和环境安全:加强支撑性基础设施、数据中心等的安全管理;对机房的物理环境和数据保存环境控制进行检查和评估,包括:温湿度控制、UPS、门禁控制、消防、防水、防磁、防雷、防盗、防鼠、逃生通道、抗震能力等;所有生产设备、开发设备、测试设备之间相互物理或逻辑分离;所有机房设立门禁系统;进一步加强数据中心机房进出
ISMS信息安全管理体系文件(全面)4第2页 2.2 术语和定义 下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。 ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇 2.3引用文件 ISO/IEC 27001中的术语和定义适用于本手册。 本公司:上海海湃计算机科技有限公司 信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉
密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。 相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。主要为:政府、上级部门、供方、用户等。 2.3.1组织环境,理解组织及其环境 本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。 2.3.2 理解相关方的需求和期望 组织应确定: 1)与信息安全管理体系有关的相关方 2)这些相关方与信息安全有关的要求。 2.3.3 确定信息安全管理体系的范围 本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括: 1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。 2)与所述信息系统有关的活动 3)与所述信息系统有关的部门和所有员工;
ISO27001-2013管理评审输入报告汇总 拟定参与人:行政部、研发部、管代、总经理 拟定时间:2017年1月15日 拟定地点:公司会议室 管理层: 1安全方针和目标是正在实现过程中,考虑到刚刚实行体系暂不作调整。过去3个月中所取得的业绩比较良好,目标经考核基本能实现; 2管理人员和监督人员过去3个月中管理与监督的状况基本达到预期要求; 3管理体系运行受控 a. 最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识,能履行 其承诺,管理职责明确,重视并参与对信息安全管理体系的建立、保持和推动持续 改进活动。员工能准确答出公司信息安全方针和目标,体现了全员参与。但个别职 能部门信息安全活动和人员中有责任不到位的情况。 b. 建立的信息安全方针和信息安全目标适合于组织的特点,在组织内得到沟通和理解, 信息安全目标基本有可测量性;但部分信息安全分目标的适宜性需进一步修改,并 应对测算方法作进一步改善。 行政部: 1、员工培训教育在本年度进行了5次培训,培训结果基本满意。 2、需要不断提高员工的信息安全意识。 3、畅通顾客意见的渠道,加强收集顾客意见,增强重点项目、重点客户的意见反馈。 4、物理防范措施受条件所限只能满足最低要求,控制还算得当,未出现严重违反公司相关制度情况。
5、内外部员工的保密协议已经签署完毕,第三方的保密合同正在落实完善过程中。 6、体系组织结构合理,能覆盖全公司各个部门,岗位职责明确,相关书面材料尚在进一步调整过程。 研发部: 1尽快完成支持业务可持续性设备的科学演练,在演练过程中需要考虑信息安全。 2加强人员对纠正预防措施处理意见的学习,提高本公司纠正预防能力 3风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁得到减缓和消除现状均能接受。 4其他部门对网络部的安全服务设置基本满意。 5针对信息实时备份需求,需要安排一定时间建设实时备份系统。 6需加强员工对软件及应用专业知识和相关法律法规的学习, 7完善应急预案编制,加强对威胁的认识。 8提高数据存储机房的管理水平。 9细化日常检测工作,提高工作效率。 管理者代表: 1、纠正措施和预防措施针对2个不符合项制定了纠正措施,纠正措施实施经跟踪证明有效。 2、法律法规收集齐备,经验证,均能得到满足,相关控制目标的完成情况良好,经考评也能达标,未发生客户投诉。 汇总人:__________________ 汇总日期:2017年1月15日
ISO27001-2013管理评审报告 评审日期:2017年1月15日 评审目的:验证体系运行的有效性,寻找改进点。 分析2016-2017年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。 一、评审内容: ①安全方针和目标是否正在实现,过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求; ②管理人员和监督人员过去3个月中管理与监督的状况,法律法规的满足程度、以及是否达到预期要求; ③管理体系运行是否受控、是否有效(近期内审结果),体系文件的事宜性; ④纠正措施和预防措施执行情况如何; ⑤听取资源充分性报告; ⑥风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁; ⑦客户反馈意见的汇总分析; ⑧员工培训教育情况分析报告; ⑨客户投诉及其处理情况汇总; ⑩改进的建议;
?其他日常管理议题。 二、评审组成员: 总经理、管代、各部门经理、内审员。 三、评审意见和结论: 1、本公司按照ISO27001:2013的要求建立的管理体系,全面覆盖了的业务活动。从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。 2、ISMS-1001《信息安全管理手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。 3、ISMS-1001《信息安全管理手册》中所列的控制项是真实的。与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。 4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。 共进行了1次内审,内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动,内审共发现2个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。 硬件、采用附录A中的11类控制方式,130个控制点得到了满意的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。
XXXXXXXXX 管理评审报告(编号:XXXXXX) 编制:XXXXX 批准:XXXX 2020年XX月XX日
为验证公司体系文件的适宜性、充分性和有效性,评价和寻求信息安全和服务管理体系改进的机会和变更的需要(包括管理方针和管理目标),公司在2020年01月17日下午13点-16点在公司会议室召开2019年管理评审会议。本次会议由管理者代表主持,管理者代表、各部门代表、内审员参加。本次管理评审的内容包括: 1.以往内部审核的结果; 2.相关方的反馈; 3.现行信息安全管理体系的整体有效性、适应性和充分性。 4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序; 5.预防和纠正措施的状况; 6.风险评估没有充分强调的脆弱性或威胁; 7.有效性测量的结果; 8.任何可能影响信息安全管理体系的变更; 9.改进的建议。 管理评审会议上,管理者代表以及各部门负责人将信息安全和服务管理体系的建立以及实施情况进行总结,并对下阶段工作提出要求。 管理评审内容具体如下: 一、信息安全和服务管理体系审核和评审以及外审的结果 管理者代表在会上对管理体系的建立和运行情况进行了分析: (一)体系运行情况 1.我公司自体系运行以来,人员组成和职责得以实现。 2.运行期间,公司进一步完善了现有信息资产状况及风险管理要求,现有的信息安全和服务管理文件及执行情况,收集相关的信息,明确信息安全和服务管理体系目前存在的问题和需要改进的方向。 3.公司在运行期间,在参加外部培训的同时,针对体系运行的不同阶段,制定2019年度本公司内部培训计划,组成本公司管理体系的内部专家和内部审核员队伍,并按计划进行了内审。 4.根据公司体系文件要求,2019年度核定了《信息安全风险评估计划》,由公司内部风险评估小组,对公司现行的业务进行系统分析,并独立完成信息安全风险
管理评审报告 评审会议时间、地点:公司办公室 评审目的: 一.对质量管理体系的适宜性、充分性和有效性等进行评价。 二.对是否需要更改企业的质量管理体系质量方针和目标做出评价。三.对质量管理体系的现行状况和改进机会进行评价。 四.对申请认证审核的可行性提供依据 参加评审部门、人员:总经理;信息安全管理者代表;信息安全小组 本次评审输入信息1 信息安全管理体系方针的适宜性、充分性和有效性,目标、指标的完成情况; 2 内、外部审核结果和合规性评价的结果; 4 预防措施与纠正措施实施状况; 5 风险评估未考虑的威胁和薄弱点; 8 可能影响信息安全管理体系的变更的情况 9 信息安全管理体系变更和改进的建议 公司安全目标落实、执行和实现情况: 部门目标值考核办法考核频次 达成情况 生产部1、废票及时销毁率≥97%。 以每月生产的合格数量计 以相关检验记录为依据 1次/月 达成 2、保密纸丢失不超过1 起。 以每月成品批数量计 以相关检验记录为依据 达成 3、确保检测设备使用在有 效期内, 按时校准率为100%。 依据检测仪器台帐、检定计 划表及相关的检定合格证 书 1次/半 年 达成 4、产品按规定的抽样规则 检验,漏检率为0。 依据相关检验记录1次/月 达成
办公室1、IT设备大面积病毒爆 发不超过2起。 以办公室收集的数据为准 1次/半 年 达成 2、员工培训合格率达 100%。 根据所制定的培训计划及 考核结果情况进行测量 1次/半 年 达成 财务室 重要设备盘点范围达到 100%。 以财务系统中的数据为准1次/年 达成 财务数据泄密不超过1 起 以办公室收集的数据为准 1次/半 年 达成 体系总体评价: 信息安全管理体系持续适宜性:?适宜□基本适宜□不适宜 信息安全管理体系持续充分性:□充分?比较充分□不充分 信息安全管理体系持续有效性:□有效?基本有效□无效 公司安全方针的评价:?适宜□基本适宜□不适宜 公司安全目标的评价:?全部适宜□基本适宜□部分需修改 信息安全管理体系运行状况 内审状况及其整改结果:目前未发现失效 管理评审输出(改进计划) 加强正版化软件;落实信息安全奖罚; 机房的断电风险依然存在,需要考虑添加相应设备;增加信息安全方面的员工培训. 编制:信息安全小组审核: 批准: 日期:日期:日期:
ISMS管理评审程序 (ISO27001-2013) 1目的 为确保信息安全管理体系持续的适宜性、充分性、有效性,对信息安全管理体系、信息安全方针/服务方针和信息安全管理目标/服务目标进行定期评审,并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。信息安全体系: ISO27001体系 2适用范围 本程序适用于最高管理者对信息安全管理体系的评审。 3职责与权限 3.1 公司高管 ●主持召开管理评审大会; ●批准《管理评审报告》 3.2 管理者代表 ●批准《管理评审计划》; ●组织召开管理评审会; ●组织撰写《管理评审报告》
3.3 主管体系建设部门(人事部) ●制定《管理评审计划》; ●负责搜集并提供管理评审资料; ●负责对评审后的纠正、预防措施进行跟踪和验证 3.4 各部门 ●准备、提供与本部门工作相关的评审所需资料; ●负责实施管理评审中提出的相关的纠正、预防措施 4程序和工作流程 4.1 制定年度管理评审计划 4.1.1 年度管理评审计划 ●组织主管部门根据信息安全管理体系/IT服务管理体系的运营情况,根据 《信息安全管理手册》以及ISO27001的标准要求,于每年年初制定《年度管理评审计划》。 ●管理评审计划由管理者代表审批后方可生效。 4.1.2 年度管理评审计划的内容 管理评审计划的主要内容包括:审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。 4.1.3 管理评审的频次
管理评审一般每年进行一次,一般在同一年度最后一次内部审核完成后进行。也可根据需要安排。 当出现下列情况之一时可适当增加管理评审频次: ①公司组织机构、服务范围、资源配置发生重大变化时; ②发生重大信息安全事故或关于信息安全有严重投诉或投诉连续发生时; ③当法律、法规、标准及其他要求有变化时; ④市场需求发生重大变化时; ⑤即将进行第二、三方审核时; ⑥审核中发现严重不合格时。 4.2 管理评审的准备 4.2.1《管理评审计划》 管理评审实施计划由主管体系建设部门组织制定。 主管体系建设的部门于每次管理评审前一个月编制《管理评审计划》,报管理者代表审批。计划主要内容包括: ①评审时间; ②评审目的; ③评审依据; ④评审内容;
XXX系统 管理平台 信息安全管理制度- 信息安全管理评审规定
目录 第一章总则 (3) 第二章人员和职责 (3) 第三章内容 (4) 第四章检查表 (6) 第五章相关文件 (7) 第六章相关记录 (7) 第七章附则 (7) 附件一管理评审执行情况检查表 (7)
第一章总则 第一条目的 本制度旨在对XXX系统平台信息安全体系的适宜性、充分性、有效性进行评审,使XXX 系统平台信息安全管理体系不断地完善并持续有效的运行,不断满足XXX系统平台信息安全方针要求,实现XXX信息安全体系目标。 第二条范围 本制度适用于XXX管理部最高管理者对信息安全体系适宜性、充分性和有效性的审核和评价活动。 第三条定义 ISMS:Information Security Management System ,信息安全管理体系 第二章人员和职责 第四条XXX管理部 (一)批准发布本制度; (二)领导ISMS管理评审; 第五条信息安全管理组 (一)组织编写并控制本制度; (二)引导相关部门及人员落实本制度之要求。 第六条信息安全审核组 负责对实施效果进行验证。 第七条XXX管理部全体员工
遵守本制度。 第三章内容 第八条评审频次 通常情况下管理评审每年一次。如遇重大信息安全问题、XXX系统平台组织架构变更、XXX业务发生重大调整,信息技术的重大变革、威胁源显著变化等情况则适当调整管理评审的次数。 第九条评审内容 管理评审应包括或涉及以下内容: (一)体系建立前或体系上次修订前的综合情况; (二)体系运行(修订)后的变化,包括体系运行效果与不足; (三)信息安全方针、目标是否适应外部市场及内部环境的变化,实现情况如何,是 否需要调整和修订; (四)信息安全体系文件是否满足实际需要,是否需要修订; (五)组织结构、资源(人员、技术、设备等)是否满足信息安全体系有效运行的需 要,是否需要调整和增加资源投入; (六)各项活动是否受控,是否需要改进。 (七)必要时,可以聘请外部信息安全专家参与。参看信息安全聘请表及记录 第十条评审输入 信息安全管理体系管理评审输入包括但不限于: (一)ISMS审核和评审的结果; (二)相关方的反馈; (三)组织用于改进ISMS业绩和有效性的技术、产品或程序; (四)纠正和预防措施的实施情况; (五)上次风险评估未充分指出的脆弱性或威胁;
2020年度ISO 27001:2013信息安全管理体系内部审核资料汇编 编制:XXX 审核:XXX 批准:XXX XXX网络科技有限公司 2020年5月
目录 信息安全管理体系内审年度计划 (2) 内部审核实施计划 (2) 关于开展管理体系内部审核通知 (4) 内审员委派通知书 (5) 内部审核首次会议记录 (6) 首次会议签到表 (7) 内部审核检查表 (8) 不符合报告 (12) 内部审核末次会议记录 (13) 末次会议签到表 (14) 内审报告 (15) 不符合工作及纠正措施跟踪表 (16)
信息安全管理体系内审年度计划
内审实施计划 编制:综合部
XXX网络科技有限公司文件 XX发[2020]14号 关于开展管理体系内部审核通知 公司各部门: 为确保本公司建立的信息安全管理体系能够持续有效的运行,经公司会议研究,总经理批准,公司决定于2020年5月11日对公司的信息安全管理体系开展一次年度内审活动,以便及时查找出在信息安全管理体系运行中的不符合工作情况。 请各部门接到通知后做好准备工作,确保通过内部审核的检查工作,争取取得良好的效果。 XXX网络科技有限公司 2020年4月20日
内审员委派通知书 根据公司本年度的内部审核计划,现委派XXX为内审组组长,成员XX、XXX、XXX、XX。内审组按照GB/T 22080-2016/ISO/IEC 27001:2013《信息技术安全技术信息安全管理体系要求》中要素要求对公司信息安全管理体系进行审核。 内审时间:2020年5月11日 管理者代表:XX 2020年4月20日
ISMS-4044-管理评审报告 (2012年外审前) ●评审日期:2013年1月15日 ●评审目的:验证体系运行的有效性,寻找改进点。 分析2011-2013年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。 一、评审内容: ①安全方针和目标是否正在实现,过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求; ②管理人员和监督人员过去3个月中管理与监督的状况,法律法规的满足程度、以及是否达到预期要求; ③管理体系运行是否受控、是否有效(近期内审结果),体系文件的事宜性; ④纠正措施和预防措施执行情况如何; ⑤听取资源充分性报告; ⑥风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁; ⑦客户反馈意见的汇总分析; ⑧员工培训教育情况分析报告; ⑨客户投诉及其处理情况汇总; ⑩改进的建议; ?其他日常管理议题。 二、评审组成员: 总经理、管代、各部门经理、内审员。 三、评审意见和结论: 1、本公司按照ISO27001:2008的要求建立的管理体系,全面覆盖了的业务活动。从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。
2、ISMS-1001《信息安全管理手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。 3、ISMS-1001《信息安全管理手册》中所列的控制项是真实的。与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。 4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。 共进行了1次内审,内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动,内审共发现2个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。 硬件、采用附录A中的11类控制方式,130个控制点得到了满意的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。 硬件、我司开展的风险评估活动,识别了公司各类信息资产,并进行风险评价。本公司规定风险评估结果中风险等级≥4定义为不可接受风险,需要对信息资产采取一定控制措施进行处置,本次风险评估识别出高风险,并就高风险资产识别对应的脆弱性和威胁值。具体对其处置见ISMS-402硬件《信息安全不可接受风险处理计划》。公司组织召开信息安全管理委员会,大会决议接受风险处置后的残余风险。 硬件、客户反馈的意见,如对信息安全的信心保证;体系运行至今未接到客户投诉,但通过认证是增加信心的有效手段,顾客意见将得到满足。 硬件、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的氛围还没有形成,培训的方式要不断改进。 9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。 10、员工信息安全意识需要加强、培训的力度要加大。可预见的,我公司近年工作类型不会发生重大变化,工作量将会进一步增加。计算机系统的点检监督监测频次可以根据病毒的爆发情况及相关法律法规、战略目标的调整再次增加;为了进一步加强为客户的服务,提高自己的竞争能力,对控制措施的考评方法可进一步完善。 11、公司各方面日常管理需要进一步规范,保证信息安全管理体系有效稳定运行。 综上所述,本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件;并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员,其机构、岗位和人员的职责明确,
报告期间报告人报告日期 方针和目标适用性和执行情况1、目前的信息安全方针能够反映出本公司管理层对信息安全方面的总要 求,满足客户和相关方的要求。 2、目前的信息安全服务目标均能达成,具体见目标完成情况表。 审核和评审的结果1、体系自运行起通过了1次内审、1次管理评审(本次管理评审)。 2、对于内审中开具的不符合报告(6个问题),均已进行原因分析并制定 纠正和预防措施落实整改,其中5个已整改完毕,验证有效。1个按纠正和预防措施正在落实中。 相关方的 反馈1、顾客满意度较高,达100 % 2、未接到客户针对信息安全事件的投诉,未发生信息泄露事件及重要信息 设备丢失事件。 绩效和符合性1、公司制定了信息安全保护工作的总体目标和总体策略,并且根据信息安 全管理系统要求、运行环境的变化,以及系统本身的变化,及时更新信息安全保护工作的总体目标、策略、规划、技术标准和管理制度。 2、组织开展了公司信息安全等级保护工作,并进行公司信息安全评估和风 险管理工作。 3、公司信息安全管理体系在各部门运行情况良好,各部门岗位职责分工明 确,切实可行。 4、人力资源和设备资源配置是充分的、合理的。 5、建立及完善公司财务管理制度,认真做好资金管理工作及财务核算、财 务报告编制和信息披露工作;定期进行财务分析,做好财务风险管控工作。 6、经营活动中认真贯彻公司信息安全方针,制定目标并确保其实现;建立 并保持与顾客的联络,充分了解顾客的要求、期望、报怨,及时向有关部门反馈;做好每个客户的合同签订工作,并按照合同评审流程,对合同有效的管理,同时签订有关保密协议。 7、认真做好信息相关设施、设备的维护工作,信息安全相关设备及系统(包 括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等)运行正常,信息安全目标均已达成。 8、建立了来访管理制度,外来及未经授权人员进入本公司,登记访客相关 信息。
2016信息安全管理体系(ISMS)审核知识试卷 2016年6月 一、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由()方法及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是()保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以()系统安全策略的方式传输信息的通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的() A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是() A、a8mom9y5fub33 B、1234 C、Cnas D、Password 9、开发、测试和()设施应分离、以减少未授权访问或改变运行系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、()或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部
11、包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件已被删 除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和()的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在()合同 中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于() A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全,设备、信息和软件在()之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时,应考虑() A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C 18、ISMS管理评审的输出应包括: A、可能影响ISMS的任何变更 B、以往风险评估没有充分强调的薄弱点或威胁 C、风险评估和风险处理计划的更新 D、改进的建议 19、在信息安全管理中进行(),可以有效解决人员安全意识薄弱问题。 A、内容监控 B、安全教育和培训 C、责任追查和惩处 D、访问控制 20、经过风险处理后遗留的风险是() A、重大风险 B、有条件的接受风险 C、不可接受的风险 D、残余风险 21、()是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反 或防护措施的失效,或是和安全关联的一个先前未知的状态。 A、信息安全事态 B、信息安全事件 C、信息安全事故 D、信息安全故障 22、系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应 用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。 A、恢复全部程序 B、回复网络设置 C、回复所有数据 D、恢复整个系统 23、不属于计算机病毒防治的策略的是()。
信息安全管理体系管理评审报告 评审日期:2009 年 4 月 1 日 评审目的:分析2009 年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标 的实现和满足法律法规和客户的需求。 评审内容: ①安全方针和目标是否正在实现,过去 4 个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求; ②管理人员和监督人员过去 4 个月中管理与监督的状况,是否达到预期要求; ③管理体系运行是否受控、是否有效(近期内审结果); ④纠正措施和预防措施执行情况如何; ⑤听取资源充分性报告; ⑥风险评估中提出的薄弱点或威胁; ⑦客户反馈意见的汇总分析; ⑧员工培训教育情况分析报告; ⑨客户投诉及其处理情况汇总; ⑩改进的建议; ?其他日常管理议题。 评审组成员: 评审意见和结论: 1、本公司按照ISO27001:2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动;从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。 2、《ISMS 手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。 3、《ISMS 手册》中所列的控制项(133 项参数或指标)是真实的。与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、
各个程序和各个环节之间的衔接循环是封闭的。 4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动,内审共发现9 个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。 5、采用附录A 中的11 类控制方式,其中其中删减了8 处,其余125 个控制点得到了满意的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。 6、我公司2009 年度工作类型不会发生重大变化,工作量将会进一步增加。计算机系统的点检监督监测频次可以再次增加;为了进一步加强为客户的服务,提高自己的竞争能力,委托监测软件的测量也可进一步增加 7、客户反馈的意见,如对信息安全的信心保证;2008 年未接到客户投诉,但通过认证是增加信心的有效手段,顾客意见将得到满足。 8、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的氛围还没有形成,培训的方式要不断改进。 9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。综上所述,本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件;并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员,其机构、岗位和人员的职责明确,配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有效服务。由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系,对本公司开展数据存储、培训等活动是适宜的、充分的和有效的。 会议作出以下决议: 1、现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。 2、本公司各部门和全体人员、外包方都必须按照体系文件的规定,指导、约束自己的行为,履行自己的岗位职责;应注意利用日常点检,不断确定持续改进的措施,实现本公司的信息安全方针和目标。 3、本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化,保证管理体系的有效运行。 4、由总经理及时完成本次管理评审报告;技术服务部负责整理本次管理评审记录并归档,同时传递给其他部门,输入下一年度计划。 5、管理评审报告分发范围:各部门负责人和内审员。
XX X有限公司管理评审报告 编制:XX 批准:XX 20XX年X月X日
为验证公司体系文件的适宜性、充分性和有效性,评价和寻求信息安全和服务管理体系改进的机会和变更的需要(包括管理方针和管理目标),根据《管理手册》和XX年管理评审计划的要求,公司在20XX年X月X日下午13点-15点在公司会议室召开20XX年管理评审会议。本次会议由管理者代表主持,公司管理委员会成员、管理者代表、各部门代表、内审员参加。本次管理评审的内容包括:信息安全体系 1.以往内部审核的结果; 2.相关方的反馈; 3.现行信息安全管理体系的整体有效性、适应性和充分性。 4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序; 5.预防和纠正措施的状况; 6.风险评估没有充分强调的脆弱性或威胁; 7.有效性测量的结果; 8.任何可能影响信息安全管理体系的变更; 9.改进的建议。 服务管理体系: 1.年度公司服务体系运行情况; 2.客户满意度调查/投诉/服务质量分析报告; 3.人力资源提供情况分析; 4.预结算执行情况分析; 5.采购及供应商管理情况分析; 6.服务管理体系的方针和目标的适宜性和符合性分析; 7.服务管理体系的持续改进需求。 管理评审会议上,管理者代表以及各部门负责人将信息安全和服务管理体系的建立以及实施情况进行总结,并对下阶段工作提出要求。 管理评审内容具体如下: 一、信息安全和服务管理体系审核和评审以及外审的结果 管理者代表在会上对管理体系的建立和运行情况进行了分析:
(一)体系建设和运行情况 1.我公司自成立管理体系贯标领导机构以来,人员组成和职责得以实现。 2.贯标期间,配合咨询公司对我公司进行书面调查,现场了解现有信息资产状况及风险管理要求,现有的信息安全和服务管理文件及执行情况,收集相关的信息,明确信息安全和服务管理体系目前存在的问题和需要改进的方向。 3.公司在贯标期间,在参加外部培训的同时,针对体系运行的不同阶段,制定有本公司内部培训计划,组成本公司管理体系的内部专家和内部审核员队伍,并按计划进行了内审。 4.根据公司体系文件要求,制定了《信息安全风险评估计划》,成立了公司内部风险评估小组,对公司现行的业务进行系统分析,并独立完成信息安全风险评估报告。 5.针对高风险制定的控制措施进行了验证。 6.完成了体系文件的编写审核和发布,形成完善的信息安全和服务管理体系。 7.贯标内审与管理评审均能正常开展,体系执行的符合性得以验证,并对文件的有效性进行验证。根据标准的要求,建立了公司完整的信息安全和服务管理体系,确定有效的信息安全和服务的方针和管理手册。 8.完成了体系合并后的残余风险的分析,通过有效控制,所有风险均得到控制,达到可接受的风险等级。 9.在贯标过程中,公司通过会议等方式进行信息沟通交流。 (二)内部审核的情况 为验证公司信息安全和服务活动符合性和有效性,组织了信息安全和服务管理体系内审,也是体系文件发布后第一次内审。内审中共发现3个不符合项,没有发现严重不符合项存在,一些安全隐患均得以控制和改善。审核发现问题主要有以下几个方面: 1.信息安全管理意识仍需加强。 2.由于公司在体系运行实施虽有一段时间,但有关记录的填写仍存在不完善现象。 针对上述问题,我们按照“贯标是手段、是载体而不是目的,体系文件写到要
管理评审报告 一、评审目的 结合公司的管理方针和目标对管理体系的现状和适宜性、充分性进行系统全面的综合评价,以寻求管理体系的不断改进和持续完善。 二、评审组织 主持人: 总经理 参加人员:公司领导、各部门主要负责人、内审员 三、评审实施 2010年2月5日公司总经理王辉主持召开了2009年度管理评审会议,具体情况如下: (一)管理者代表刘德功及相关部门负责人报告了公司管理体系运行情况,包括对管理体系审核结果分析,管理方针和管理目标实施情况,纠正、预防措施实施情况以及上次管理评审所确定的改进措施落实情况。 1、内外审核情况
本评审期内,公司管理体系共接受了2次内部全过程审核,3次外部审核(其中2次第二方审核、1次第三方审核)。审核共开列24个不符合项(其中内审15个、外审9个),根据公司内审从严的要求,对发现的问题和建议均按不符合项对待,针对不符合项和提出的问题、建议,国标办组织相关部门进行了认真整改,并对整改落实情况进行了验证,为公司管理体系的持续改进提供了充分的信息,达到了审核的目标。 2、客户反馈信息处理情况 本评审期内2份《质量信息处置程序表》均为客户反馈的问题,针对存在的问题,责任部门都制定了整改措施,国标办对措施的实施情况进行跟踪验证,经验证,整改措施都得到了落实。 3、上次管理评审提出问题整改情况 (1)本评审期内,共提出15个改进措施,13个改进措施按计划得到落实。 (2)2个改进措施未按原计划完全落实: 问题1:有的部门纠正(预防)措施制定不及时、原因分析不透彻问题。
落实情况:各部在纠正(预防)措施制定及时性和问题分析虽整体情况有很大好转,但个别部门仍存在制定纠正(预防)措施不及时现象。 问题2:法律法规未识别到相应条款,法律法规培训重点不突出。 落实情况:消防安全部和各部门虽对法律法规进行识别,但未能在培训中突出重点。 4、管理目标达成情况 (1)质量目标达成情况 2009年叶片含水率合格率、大中片率合格率、叶中含梗率合格率分别为99.42%、99.66%和98.66%,叶片含水率和大中片率合格率均超过99%,达到目标,叶中含梗率合格率较99%低0.34%,基本达到目标。 公司严格落实客户经理负责制,新建12000平方米分级备料车间并投入使用,不断满足重点卷烟工业企业个性化需求,打造了华环服务品牌。评审期间在公司加工的客户有12家,全部纳入《客户满意程度年度调查表》调查范围。回收调查表12份,回收率为100%,经测算,满意率为100%,其中:“很满意”10家,“满
管理评审程序 1目的 为确保信息安全管理体系/IT服务管理体系持续的适宜性、充分性、有效性,对信息安全管理体系/IT服务管理体系、信息安全方针/服务方针和信息安全管理目标/服务目标进行定期评审,并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。 信息安全体系: ISO27001体系 IT服务管理体系:ISO20000体系 2适用范围 本程序适用于最高管理者对信息安全管理体系/IT服务管理体系的评审。 3职责与权限 3.1 公司高管 主持召开管理评审大会; 批准《管理评审报告》 3.2 管理者代表 批准《管理评审计划》; 组织召开管理评审会; 组织撰写《管理评审报告》 3.3 主管体系建设部门 制定《管理评审计划》; 负责搜集并提供管理评审资料; 负责对评审后的纠正、预防措施进行跟踪和验证 3.4 各部门 准备、提供与本部门工作相关的评审所需资料; 负责实施管理评审中提出的相关的纠正、预防措施 4程序和工作流程
4.1 制定年度管理评审计划 4.1.1 年度管理评审计划 组织主管部门根据信息安全管理体系/IT服务管理体系的运营情况,根据《IT服务管理手册》、《信息安全管理手册》以及ISO20000、ISO27001的标准要求,于每年年初(1月底之前)制定《年度管理评审计划》。 管理评审计划由管理者代表审批后方可生效。 4.1.2 年度管理评审计划的内容 管理评审计划的主要内容包括:审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。 4.1.3 管理评审的频次 管理评审一般每年进行一次,一般在同一年度最后一次内部审核完成后进行。也可根据需要安排。 当出现下列情况之一时可适当增加管理评审频次: ①公司组织机构、服务范围、资源配置发生重大变化时; ②发生重大IT服务事故/安全事故或用户关于IT服务/信息安全有严重投诉或投诉连 续发生时; ③当法律、法规、标准及其他要求有变化时; ④市场需求发生重大变化时; ⑤即将进行第二、三方审核时; ⑥审核中发现严重不合格时。 4.2 管理评审的准备 4.2.1《管理评审计划》 管理评审实施计划由主管体系建设部门组织制定。 主管体系建设的部门于每次管理评审前一个月编制《管理评审计划》,报管理者代表审批。计划主要内容包括: ①评审时间; ②评审目的; ③评审依据;