DB21 ICS35.020
L 70
辽宁省地方标准
DB 21/ T 1628.5—2014
信息安全第5部分:个人信息安全风险管
理指南
Information Security-Part5:Personal information security risk management
guidelines
2014-07-15发布2014-09-15实施
目次
前言................................................................................III 引言.................................................................................IV
1 范围 (1)
2 规范性引用文件 (1)
3 术语和定义 (1)
4 要求 (2)
5 风险管理概述 (3)
5.1 风险因素 (3)
5.2 风险类别 (3)
5.3 风险管理职责 (4)
5.4 风险管理实施 (4)
5.4.1 过程 (4)
6 个人信息安全风险管理过程 (5)
7 风险管理范围 (6)
7.1 资源 (6)
7.2 范围界定 (7)
8 风险评估 (7)
8.1 原则 (7)
8.2 风险识别 (7)
8.2.1 资源识别 (7)
8.2.1.1 资源风险 (7)
8.2.1.2 资源风险确认 (7)
8.2.1.3 资源风险描述 (7)
8.2.1.4 资源风险跟踪 (8)
8.2.2 管理体系风险识别 (8)
8.2.3 识别约束 (8)
8.3 风险分析 (8)
8.4 风险判定 (10)
8.4.1 判定原则 (10)
8.4.2 风险影响 (10)
9 风险处理 (10)
9.1 风险处理原则 (10)
9.2 风险接受原则 (11)
9.2.1 风险接受基准 (11)
9.2.2 风险接受区别 (11)
9.3 风险处理方式 (11)
9.4 残余风险 (11)
10 风险控制 (12)
10.1 要求 (12)
10.2 风险监控 (12)
10.3 个人信息安全管理体系内审 (12)
10.4 文档管理 (12)
参考文献 (14)
前言
DB21/T1628分为7部分:
——信息安全第1部分:个人信息保护规范
——信息安全第2部分:个人信息安全管理体系实施指南
——信息安全第3部分:个人信息数据库管理指南
——信息安全第4部分:个人信息管理文档管理指南
——信息安全第5部分:个人信息安全风险管理指南
——信息安全第6部分:个人信息安全管理体系安全技术实施指南
——信息安全第7部分:个人信息安全管理体系内审实施指南。
本标准是DB21/T 1628的第5部分。
本标准依据GB/T1.1—2009《标准化工作导则第1部分:标准的结构与编写》制定。本标准由大连市经济和信息化委员会提出。
本标准由辽宁省经济和信息化委员会归口。
本标准主要起草单位:大连软件行业协会、大连交通大学。
本标准主要起草人:郎庆斌、孙鹏、张剑平、尹宏、杨万清、曹剑、王开红。
引言
0.1 综述
风险是“不确定性对目标的影响”。即“风险是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务的损失、自然破坏或损伤的可能性”(美国Cooper D.F和Chapman C.B《大项目风险分析》)。
由于个人信息处于复杂、多变的环境中,呈现出多样性,因而,个人信息安全风险发生的可能性,随环境的变化、个人信息多样态的变化,风险因素亦随之增加或减少,风险事件发生的可能性亦随之增大或减小,可能产生不同的风险影响。
个人信息安全风险管理就是识别、分析、评估个人信息管理者运营中,各种可能危害个人信息和个人信息主体权益的风险,并在此基础上,采取适当的措施有效处置风险。是以可确定的管理成本替代不确定的风险成本,以最小的经济代价,实现最大安全保障的科学管理方法。
0.2 个人信息安全风险管理的必要性
在个人信息生命周期内,个人信息以不同的样态存在,既依存于业务亦依存于管理,具有不同的风险因素。涉及个人信息安全风险的来源是多样的,依个人信息生命周期:
a)个人信息获取过程:
1)个人信息收集风险(收集目的、收集技术、方式和手段等);
2)个人信息间接收集风险(收集目的、来源、第三方背景、安全承诺等);
b)个人信息处理过程:
1)个人信息使用风险(使用目的、使用方法和范围、使用背景等);
2)个人信息提供风险(使用目的、使用方法和手段、接受者背景、安全承诺等);
3)个人信息处理风险(处理目的、处理方式、处理方法和手段、后处理方式等);
4)个人信息委托风险(委托目的、委托接受人、委托回收、安全承诺、回收方式等);
5)个人信息传输风险(传输方式和手段、传输的安全措施等);
c)基于生命周期的过程管理:
1)个人信息管理风险(个人信息管理者的素质、权利和义务、管理方式等);
2)个人信息安全管理体系风险(体系缺陷、漏洞等);
等等。所有个人信息收集、处理、使用等行为,也都存在个人信息正确性、完整性和最新状态的风险。识别、评估、判断个人信息的潜在价值、安全威胁,是个人信息管理的基础,也是个人信息安全管理体系构建、实施、运行的安全基础。
0.3 个人信息安全风险管理评估
评估个人信息安全风险管理,包括:
a)资源的影响:资源以多种形式存在,其所依存的管理、业务关联不同,具有不同的安全属性和价值,因而存在不同的安全风险;
b)管理脆弱性:在个人信息管理者的管理体系、机制中,行政管理、员工管理、业务持续性等多
方面存在固有的缺陷,因而存在某一特定环境、特定时间段发生风险的可能性;
c)技术脆弱性:由于资源存在缺陷或漏洞,因而,所采取的技术管理措施存在必然的风险;
d)个人信息安全管理体系的影响:个人信息安全管理体系(包括管理机制、内审机制、安全机制、过程改进、认证机制等)及标准、规范等存在设计缺陷,可能引发不同的安全风险。
0.4 风险管理基准
本指南为个人信息安全管理体系提供个人信息安全风险管理的基准和支持。但是,本指南并不提供任何特定的个人信息安全风险管理方法。个人信息管理者应根据管理及业务特点、环境因素、特定的个人信息安全管理体系及风险管理范围等,确定适合自身的风险管理方式。
依据本指南的规则,实施个人信息安全风险管理存在多种方式。
0.5 与其它标准体系的兼容性
本指南支持其它国际、国内信息安全标准、风险管理标准及相关标准的一般概念和规则,并与其协调一致,相互配合或相互整合实施和运行。
0.6 规定
本指南各条款所指“风险管理”、“风险评估”、“风险处理”、“风险应对”及其它“风险XX”等,均指“个人信息安全风险XX”。如“风险管理”即为“个人信息安全风险管理”等。
个人信息安全风险管理指南
1 范围
本指南为个人信息安全管理体系构建、实施、运行中实施风险管理提供指导和帮助。
本指南适用于个人信息管理者内关注个人信息安全的各级管理者和员工,及为个人信息安全管理体系构建、实施和运行提供支持的相关组织。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
DB21/T 1628.1-2012《信息安全-个人信息保护规范》
DB21/T 1628.2-2013《信息安全-个人信息安全管理体系实施指南》
DB21/T 1628.4《个人信息安全-个人信息安全管理体系文档管理指南》
DB21/T 1628.6《个人信息安全管理体系安全技术实施指南》
3 术语和定义
DB21/T 1628.1界定的以及下列术语和定义适用于本标准。
3.1
风险risk
从事某项特定活动中存在的不确定性对活动目标的影响。
3.2
资源resources
信息、信息系统、生产、服务、人员、信誉等有价值的资产。
3.3
个人信息安全风险personal information security risk
个人信息收集、管理、处理、使用存在的缺陷和漏洞导致安全事件发生并产生相应影响。
注:本指南所指“风险”均为“个人信息安全风险”。
3.4
风险管理risk management
评估各种可能危害个人信息和个人信息主体权益的风险,采取适当的措施有效处置风险。以最小的经济代价,实现最大安全保障的科学管理方法。
3.5
风险识别risk identification
发现、记录、描述危害个人信息和个人信息主体权益的风险因素的过程。
3.6
风险评估risk assessment
识别风险因素,分析风险因素的危害,判断风险因素导致安全事件的可能性和可能产生的影响。
3.7
风险规避risk avoidance
采取有效的管理、技术措施,或更改风险管理计划,消除风险或风险发生的条件。
3.8
风险弱化risk mitigation
采取有效的管理、技术措施,将风险和可能的影响降低到可以接受的水平。
3.9
风险转移risk transfer
与其它管理体系、或与其它相关组织分担风险损失和影响。
3.10
风险接受risk acceptance
接受可能的风险损失和影响。
3.11
残余风险residual risk
实施风险管理,采取安全措施后,仍然可能存在的风险。
4 要求
本指南遵循DB21/T 1628.1《信息安全个人信息保护规范》确立的个人信息安全原则和要求,亦遵循DB21/T 1628.2《信息安全个人信息安全管理体系实施指南》确立的实施细则,重点描述和指导个人信息安全管理体系构建、实施、运行中个人信息安全风险的评估、处理、监控和持续的过程改进。
实施个人信息安全风险管理,应同时使用DB21/T 1628.1《信息安全个人信息保护规范》、DB21/T 1628.2《信息安全个人信息安全管理体系实施指南》和本指南,并参照DB21/T 1628系列其它标准。
5 风险管理概述
5.1 风险因素
风险因素包括
a)危险因素:存在可能突发或瞬时发生个人信息危害的因素;
b)危害因素:逐渐累积形成个人信息危害的因素。
示例:危险因素的事例:
a)自然灾害;
b)载有个人信息的介质突然丢失;
c)IT设施突然受到攻击等。
危险因素分为可以预测的和不可预知的,可预测的应有必要的预防措施;不可预测的应有应急机制。
注:危险因素和危害因素是相对的,在一定条件下可能转化。当弱化个人信息安全管理时,危害因素逐渐累积,可能转变为危险因素;如果重视个人信息安全管理,则有可能规避、弱化可能存在的危险因素,并逐步降低风险等级,直至消弭。
5.2 风险类别
根据危险或危害因素分类,便于识别和分析个人信息安全风险。按照风险发生的直接原因,个人信息安全风险宜分为5类:
a)业务性的:涉及个人信息的业务流程中存在的风险,如:
1)业务流程的安全模式;
2)业务团队的管理模式;
3)业务管理方式;
4)IT基础设施的管理模式等。
b)管理性的:涉及个人信息的经营管理中存在的风险,如:
1)关键部门的管理方式;
2)个人信息的管理模式;
3)网络应用方式;
4)管理人员的职责
5)个人信息安全管理体系设计缺陷等。
c)环境性的:个人信息管理者的运营场所与个人信息安全相关的环境及个人工作位置与个人信息安全相关的环境存在的风险,如:
1)环境管理(自然状况);
2)出入管理;
3)关键部门(核心区域)管理方式;
4)相关信息(文档等)的管理方式;
5)个人终端及周边环境的管理等。
d)行为性的:与个人信息相关个人的行为可能存在的安全风险,如:
1)管理人员行为规范;
2)业务人员的行为规范;
3)IT 基础设施管理人员的行为规范; 4)个人信息管理相关负责人的行为规范;
5)个人信息安全管理体系内审人员的行为规范; 6)其他人员应遵循的行为准则等。
e )心理性的:基于人性弱点可能产生的个人信息安全风险,如:
1)电话交谈; 2)诱使开门; 3)垃圾; 4)闲谈;
5)可能的网络聊天
6)可能的网络技术欺骗等。
注:任何类型的个人信息安全风险,均与资源管理、技术策略相关。
5.3 风险管理职责
风险管理过程应是针对个人信息管理者整体,包括各部门、物理区域、环境、业务及所有资源。 实施风险管理人员应包括最高管理者、各级管理人员、个人信息管理相关负责人及其他与个人信息相关人员。其责任如表1所示。
表1 个人信息管理相关人员的责任
5.4 风险管理实施 5.4.1 过程
风险管理的实施过程,应包括:
a )个人信息管理者代表应制定适宜、充分、有效的风险管理计划、风险管理流程和风险管理策略;
b )确定所有相关人员的责任;
c )全体员工的培训;
d )实施风险管理过程;
相关人员 责任
最高管理者 1 实施风险管理的决策者 2 管理者的决心和意识 各级管理人员
1 自身的行为和意识
2 本部门风险的理解和认识
3 风险管理过程的组织和协调
个人信息管理相关负责人
1 岗位职责的履行
2 所在部门的监督和沟通
3 风险应对措施
4 跟踪和监控
其他相关人员
1 自身的行为和意识
2 岗位职责的履行
e)跟踪、监控风险变化;
f)过程改进。
6 个人信息安全风险管理过程
风险管理是动态、持续的,风险管理过程是可控的。风险管理过程如图1所示。
图1 风险管理过程
风险管理过程如图1:
a)确定风险管理范围:确认个人信息相关资源,资源优先级,评估损失及影响程度,以确定风险管理边界;
b)风险评估:如果风险评估充分、有效,可以采取有效的风险应对措施;否则,重新确定范围,进入新的循环;
c)如果风险应对措施合理、有效,残余风险降低到可接受水平;否则:
1)重新进行风险处理;
2)重新确定风险范围,进入新的循环;
d)风险处理、风险接受后,应持续跟踪、监控风险变化。
风险管理应采用PDCA模式,改进过程如图2 所示。
图2 适于风险管理过程的PDCA模式表2描述了PDCA四个阶段的风险管理活动:
表2 PDCA四个阶段的风险管理活动PDCA 风险管理活动
计划风险管理范围风险评估
风险处理
风险接受
实施实施风险应对措施
检查持续跟踪、监控风险变化
改进完善、改进风险管理过程
7 风险管理范围
7.1 资源
应识别与管理、业务涉及个人信息部分关联的各种资源。(参见DB21/T1628.2第8章)。
注:风险管理范围涵盖了个人信息管理者所有与个人信息相关的资源。
7.2 范围界定
确定风险管理的范围,应考虑:
a)个人信息管理者的运营战略、管理结构、业务模式;
b)个人信息管理机构的职能;
c)个人信息管理方针;
d)资源管理(参见DB21/T1628.2第8章);
e)依据风险类别确定风险管理的边界;
f)影响风险管理的约束条件等。
8 风险评估
8.1 原则
风险评估是在风险管理范围内,识别与个人信息相关联的资源,识别个人信息的安全风险,分析、判断风险发生的可能性和可能的影响。
风险评估的原则,宜遵循:
a)个人信息安全相关法规、规范的要求;
b)个人信息管理者的管理、业务模式和发展战略;
c)与个人信息相关资源的重要程度;
d)风险等级;
e)与所涉及个人信息相关各方的权益。
8.2 风险识别
8.2.1 资源识别
8.2.1.1 资源风险
资源风险主要表现为:
a)资源依赖度:涉及个人信息的管理、业务对各类资源的依赖程度,依赖度越高,风险越大;
b)资源价值:与管理、业务涉及个人信息部分关联的各种资源,依赖程度越高,价值越大,风险越大;
c)资源管理者、使用者:个人责任;自然的或人为的、意外的或故意的行为等对资源的潜在风险;
d)环境因素:资源所处环境的安全。
8.2.1.2 资源风险确认
应对每一项可识别的需要保护的资源,确认:
a)关键的、需重点防护的:资源依赖度高、价值高的资源;
b)次要的但也需保护的:资源依赖度相对较高,具有较高的价值的资源;
c)暂不需专门关注的:资源依赖度相对较低,资源价值较低。
8.2.1.3 资源风险描述
在风险管理范围内,应识别、描述与管理、业务涉及个人信息部分关联的各种资源:
a)该类资源的详细信息;
b)资源与个人信息的关联度;
c)资源的责任者和职能等。
8.2.1.4 资源风险跟踪
a)资源识别是个人信息生命周期存续期间相关资源的识别。应关注资源与个人信息安全的关联,在资源识别中,应注重威胁个人信息生命周期各个环节的风险;
b)个人信息安全风险发生的可能性因环境、管理、业务及个人信息多样态等的变化动态变化,因而对资源的关注度也随之变化。跟踪、监控风险变化,亦应识别资源的重要程度。
示例:典型实例,如表3。
表3 资源识别典型实例
资源识别风险描述应对措施复印机打印机、
所涉及个人信息泄露、丢失强化管理:如权限、责任人职能等传真机输出资料
员工门禁卡丢失、转借强化管理措施、宣传和教育
泄露复印件被盗取或者丢失强化管理措施、宣传和教育身份证、护照、驾
驶证等
网络受到攻击个人信息泄露加强技术和管理措施
个人信息泄露禁止或采取技术和管理措施笔记本无线网卡
上网
8.2.2 管理体系风险识别
个人信息安全管理体系构建、实施、运行过程中的风险识别,是体系持续改进和完善的保证。个人信息安全管理体系安全风险主要表现为:
a)最高管理者的意志和意识:如果最高管理者仅仅选择形式,则体系形同虚设。
b)个人信息管理机制的设计:管理机制设计不合理,将造成管理机构职责不清、管理制度生搬硬套、员工个人信息安全意识不清等;
c)技术管理:保障个人信息安全的信息安全技术,如网络安全、存储安全、环境安全、传输安全等,应与整体信息安全统一规划、设计,并考虑个人信息安全的特殊性;
d)业务流程管理:应充分考虑业务流程中与个人信息关联的风险因素的管理策略;
e)过程改进缺陷:应注意个人信息安全管理体系在过程改进中可能引发的潜在威胁;
8.2.3 识别约束
在风险识别中,应确定个人信息安全风险源及如何发生、以什么方式发生、发生位置、发生原因等。
8.3 风险分析
基于风险管理范围,在风险分类并识别后,定性描述分析和确认的各类风险的特征、发生的可能性、频度、显性或潜在的影响的风险等级,如表4—表8示例。
表4 业务性风险等级描述
风险等级
风险因素
1 2 3 4 5
业务性的风险因素不涉及
个人信
息
极少涉及个
人信息,风
险发生的可
能性极小
涉及少量个
人信息,存在
风险但发生
的可能性较
小
涉及个人信
息,存在较大
风险且发生
的可能性较
大
涉及个人信
息,发生个人
信息安全风险
的可能性很大表5 管理性风险等级描述(1)
风险等级
风险因素
1 2 3 4 5
管理性的风险因素不涉及极少涉及个
人信息,风
险发生的可
能性极小
涉及部分个
人信息,存在
风险但发生
的可能性较
小
涉及个人信
息,存在较大
风险且发生
的可能性较
大
发生个人信息
安全风险的可
能性很大
表6 管理性风险等级描述(2)
风险等级
风险因素
1 2 3 4 5
管理性的风险因素(技术管理)不涉及相应技术措
施相对完
善,缺陷被
使用的可能
性极小
相应技术措
施存在一般
性的缺陷,被
使用的可能
性较大
相应技术措
施存在严重
缺陷,易于被
使用
未采取或仅采
取少部分技术
措施,风险极
大
表7 环境性风险等级描述
风险等级
风险因素
1 2 3 4 5
环境性的危险或危害因素无风险在整体环境
或个人工作
环境中极少
存在个人信
息安全隐
患,风险发
生的可能性
极小
在整体环境
或个人工作
环境中存在
部分个人信
息安全隐患,
存在风险但
发生的可能
性较小
在整体环境
或个人工作
环境中存在
个人信息安
全隐患,存在
较大风险且
发生的可能
性较大
在整体环境或
个人工作环境
中存在很大的
个人信息安全
隐患,极易发
生风险
表8 行为性风险等级描述
1 2 3 4 5
等级
风险因素
行为性的风险因素无行为
危险
员工行为存
在极少个人
信息安全隐
患,风险发
生的可能性
极小
员工行为存
在发生个人
信息安全隐
患的可能,存
在风险但发
生的可能性
较小
员工行为存
在个人信息
安全隐患,存
在较大风险
且发生的可
能性较大
员工行为存在
很大的个人信
息安全隐患,
极易发生风险
且发生的可能
性较大
注:通常采用定性描述,获得一般性的风险描述,并可发现重大安全隐患。对发现的重大安全隐患可以采用更准确或定量的分析。
8.4 风险判定
8.4.1 判定原则
风险影响判定,宜遵循以下原则:
a)违背个人信息安全相关法规、规范的情况;
b)个人信息主体权益损失程度;
c)个人信息准确性、完整性和时效性的确定;
d)资源风险的确定;
e)风险等级确定
f)经营损失的确定;
g)声誉损失。
8.4.2 风险影响
根据风险等级和风险判定原则,可判定风险可能产生的影响。影响可以分为3级,如表9所示。
表9 风险影响
影响
风险等级
1 2 3
几乎无影响不构成严重事故,
但仍造成一定损
失:业务受到一定
影响;有一定经济
和声誉损失
严重损害个人信息
主体权益,影响极
大:业务受到极大影
响;经济和声誉有很
大损失
9 风险处理
9.1 风险处理原则
应根据风险评估的结果,选择、实施适宜的风险应对措施,将风险控制在可接受的范围内。风险处理原则包括:
a)可能完全消除的风险,应完全消除;
b)不可能完全消除的风险,应尽可能采用技术和管理措施,规避、弱化或转移风险;
c)应考虑人的心理承受和行为能力;
d)应通过内审检测风险是否得到控制;
e)应通过技术、管理改进风险应对措施;
f)应制定应急计划和应急处理流程。
注:可能采用的安全技术,参见DB21/T1628.6《信息安全个人信息安全管理体系安全技术实施指南》。
9.2 风险接受原则
9.2.1 风险接受基准
个人信息管理者应根据自身的管理和业务运行目标、特点及可接受风险能力,基于多方面情况考虑,将风险控制在可接受范围内:
a)个人信息安全相关法规、规范;
b)管理、业务模式;
c)运行模式;
d)技术管理;
e)环境因素;
f)人为因素;
g)其它因素。
9.2.2 风险接受区别
风险接受可以因下列情况不同而接受:
a)风险保持时间不同:例如,某项业务活动中风险存在时间不同,采取不同的风险应对方式,将风险降低到可接受程度;
b)各类管理者对风险的理解不同,形成风险评估差异,而采取不同的风险应对措施,但残余风险是可接受的;
c)风险是不可接受的,但承诺并确认在确定时间内将风险降低到可接受程度。
9.3 风险处理方式
一般宜采用风险规避、风险弱化、风险转移和风险接受方式处理风险:
a)风险规避:如果通过风险评估,个人信息安全风险是不可接受的,可以采用避免使用资源风险高的资源;改变运行环境;停止或取消业务、管理计划或活动(如果可能)等方式规避风险;
b)风险弱化:对高资源风险采取适宜的保护措施避免或降低风险。如IT基础设施的防护、个人信息数据库的防护、备份容灾、应急处理等。风险弱化应考虑:
1)注意管理、技术、环境等因素,考虑成本控制,选择适宜的措施;
2)注意安全防护措施的约束条件,如技术条件、管理成本、员工能力、环境因素等;
3)应在风险弱化后,重新实施风险评估,确定保护措施是适宜、充分、有效的。
c)风险转移:鉴于在个人信息安全管理中,风险转移的复杂性,不建议采用。
d)风险接受:通过评估,可以不采取进一步的风险处理措施,接受风险可能带来的影响。
9.4 残余风险
残余风险是采取风险处理措施后,仍然存在的风险,包括:
a)可以接受的风险;
b)风险评估中遗漏的风险,仍存在发生的可能性。
应在个人信息安全管理体系运行中跟踪、监控残余风险,随时采取相应的应对措施。
10 风险控制
10.1 要求
风险是普遍、动态存在的,在某一特定环境、特定时间段存在发生的可能性。因此,应随时跟踪、监控风险的变化。
10.2 风险监控
动态跟踪、监控风险发展和变化,是实施风险评估和处理后,应采取的必要的措施,包括:
a)跟踪、监控已识别风险的变化。已处理的已识别风险,其存在的环境、条件和影响等,是否会发生变化,风险应对措施是否合理、适宜,是否存在残余风险等;
b)管理或业务变更后的风险监控。当管理机制、业务(流程、处理等)、技术手段等及相应资源增加、变更后,可能产生新的风险,或引发已识别风险、残余风险发生的可能性。应重新识别、评估可能的风险,并采取相应的应对措施。
10.3 个人信息安全管理体系内审
风险控制,是易于遗漏的风险管理过程,个人信息安全管理体系内审是保证风险控制的重要机制(参见DB21/T1628.5第14章》)。
10.4 文档管理
应重视风险管理过程中文档的形成和管理,包括:
a)风险管理计划和方案:
1)风险管理目标;
2)风险管理范围;
3)风险管理周期;
4)风险管理责任人职能;
5)风险管理实施安排等。
c)风险评估流程:
1)风险评估目标;
2)风险评估方法;
3)风险评估过程;
3)风险评估依据;
4)风险评估职责等。
d)资源风险识别清单:
1)资源名称、描述、类型、管理部门/责任人;
2)风险类型、描述、来源、等级和影响;
3)风险应对措施等。
e)风险管理报告:总结风险评估和风险处理情况;报告风险管理结果。
f)风险监控报告:
1)已识别风险、残余风险的跟踪、监控情况;
2)资源、业务增加、变更的风险监控;
3)风险监控周期;
4)风险监控处理结果等。
注1:文档管理,参见DB21/T1628.4《信息安全个人信息管理文档管理指南》。
参考文献
[1]GB/T 23694-2009 风险管理术语
[2]GB/T 24353-2009 风险管理原则与实施指南
_________________________________
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
中 国 认 证 认 可 协 会 信息安全管理体系审核员 注册准则 第1版 文件编号:CCAA-141 发布日期:2012年6月19日 ?版权2012-中国认证认可协会
信息安全管理体系审核员注册准则 类别 本准则为中国认证认可协会(CCAA)人员注册规范类文件。 本准则规定了CCAA运作其信息安全管理体系审核员注册项目时遵循的原则。 本准则经CCAA批准发布。 批准 编制:CCAA日期:2012年5月10日 批准:CCAA日期:2012年6月19日 实施:CCAA 日期:2012年6月19日 信息 所有CCAA文件都用中文发布。标有最新发布日期的中文版CCAA文件是有效的版本。CCAA将在其网站上公布所有CCAA相关准则的最新版本。 关于CCAA或CCAA人员注册的更多信息,请与CCAA人员注册部联系,联络地址如下: 地址:北京市朝阳区朝外大街甲10号中认大厦13层 邮编:100020 https://www.doczj.com/doc/732421772.html, email:pcc@https://www.doczj.com/doc/732421772.html, 版权 ?版权2012-中国认证认可协会
前 言 中国认证认可协会(CCAA)是国家认证认可监督管理委员会(CNCA)唯一授权的依法从事认证人员认证(注册)的机构,开展管理体系审核员、认证咨询师、产品认证检查员和认证培训教师等的认证(注册)工作。CCAA是国际人员认证协会(IPC)的全权成员,加入了IPC-QMS/EMS审核员培训与注册国际互认协议,人员注册结果在世界范围内得到普遍承认。 本准则由CCAA依据《中华人民共和国认证认可条例》、国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(质检总局令第61号)、国家认监委《关于正式开展信息安全管理体系认证工作的公告》(2009年第47号公告)制定,考虑了中国的国情及认证/认可机构的要求,是建立信息安全管理体系(ISMS)审核员国家注册制度的基础性文件。 CCAA ISMS审核员注册仅表明注册人员具备了从事ISMS审核的个人素质和相应的知识与能力。尽管CCAA已尽力保证评价过程和注册制度的科学性、有效性和完整性,但如果某一注册人员提供的审核或其它服务未能满足顾客或聘用机构的所有要求,CCAA对此不承担责任。
CCAA信息安全风险管理(继续教育考试试题) 1、下列关于“风险管理过程”描述最准确的是(C )。 A. 风险管理过程由风险评估、风险处置、以及监测与评审等子过程构成; B.风险管理过程由建立环境、风险评估、风险处置、以及监测与评审等子过程构成; C.风险管理过程由沟通与咨询、建立环境、风险评估、风险处置、以及监测与评审等子过程构成; D.风险管理过程是一个完整的过程,独立与组织的其他过程。 2以下关于信息安全目的描述错误的是(D )。 A.保护信息 B.以争取不出事 C.让信息拥有者没有出事的感觉 D.消除导致出事的所不确定性 3、对风险术语的理解不准确的是(C )。 A.风险是遭受损害或损失的可能性 B.风险是对目标产生影响的某种事件发生的机会 C.风险可以用后果和可能性来衡量 D.风险是由偏离期望的结果或事件的可能性引起的 4、以下关于风险管理说法错误的是(A )。 A.风险管理是指如何在一个肯定有风险的环境里把风险消除的管理过程 B.风险管理包括了风险的量度、评估和应变策略 C.理想的风险管理,正是希望能够花最少的资源去尽可能化解最大的危机 D.理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最大可能发生的事情优先处理、而相对风险较低的事情则压后处理。 5、下列哪项不在风险评估之列(D ) A.风险识别 B.风险分析 C.风险评价 D.风险处置 6、对风险管理与组织其它活动的关系,以下陈述正确的是(B )。 A.风险管理与组织的其它活动可以分离 B.风险管理构成组织所有过程整体所必需的一部分 D.相对于组织的其它活动,风险管理是附加的一项活动 7、对于“利益相关方”的概念,以下陈述错误的是(D )。 A.对于一项决策活动,可以影响它的个人或组织 B. 对于一项决策活动,可以被它影响的个人或组织 C. 对于一项决策活动,可以感知被它影响的个人或组织 D.决策者自己不属于利益相关方
1目的 为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。 2范围 本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。 3职责 3.1研发中心 负责牵头成立信息安全管理委员会。 3.2信息安全管理委员会 负责编制《信息安全风险评估计划》,确认评估结果,形成《风险评估报告》及《风险处理计划》。 3.3各部门 负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。 4相关文件 《信息安全管理手册》 《GB-T20984-2007信息安全风险评估规范》 《信息技术安全技术信息技术安全管理指南第3部分:IT安全管理技术》 5程序 5.1风险评估前准备 ①研发中心牵头成立信息安全管理委员会,委员会成员应包含信息安全重要责任部门的成员。 ②信息安全管理委员会制定《信息安全风险评估计划》,下发各部门。 ③风险评估方法-定性综合风险评估方法 本项目采用的是定性的风险评估方法。定性风险评估并不强求对构成风险的各个要素(特别是资产)进行精确的量化评价,它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出风险处理的优先顺序即可。 综合评估是先识别资产并对资产进行赋值评估,得出重要资产,然后对重要资产进行详细的风险评估。
5.2资产赋值 ①各部门信息安全管理委员会成员对本部门资产进行识别,并进行资产赋值。 资产价值计算方法:资产价值= 保密性赋值+完整性赋值+可用性赋值 ②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估,并在此基础上 得出综合结果的过程。 ③确定信息类别 信息分类按“资产识别参考(资产类别)”进行,信息分类不适用时,可不填写。 ④机密性(C)赋值 根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上的 应达成的不同程度或者机密性缺失时对整个组织的影响。 ⑤完整性(I)赋值 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的 达成的不同程度或者完整性缺失时对整个组织的影响。 ⑥可用性(A)赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的 达成的不同程度。
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
信息安全管理体系认证实施规则 ISCCC-ISMS-001:2016 中国信息安全认证中心
目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (2) 7.1.初次认证 (2) 7.2.监督审核 (6) 7.3.再认证 (8) 7.4.管理体系结合审核 (8) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (9) 8.认证证书 (10) 8.1.证书内容 (10) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (11) 9.对获证组织的信息通报要求及响应 (11) 10.附录A:审核时间 (11)
1.适用范围 本规则用于规范中国信息安全认证中心(简称中心)开展信息安全管理体系(ISMS)认证活动。 2.认证依据 以国家标准ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核 中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 4.认证类别 认证类型分为初次认证,监督审核和再认证。为满足认证的需要,中心可以实施特殊审核,特殊审核采取现场审核方式进行。 5.审核人员及审核组要求 认证审核人员必须取得其他管理体系认证注册资格,并得到中心的专业能力评价,以确定其能够胜任所安排的审核任务。 审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。 具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作,可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议,但技术专家不能作为审核员。 6.认证信息公开 中心应向申请认证的社会组织(以下称申请组织)至少公开以下信息: 1)认证服务项目; 2)认证工作程序; 3)认证依据; 4)证书有效期; 5)认证收费标准。 7.认证程序 7.1.初次认证
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
信息安全管理体系认证合同 1 甲方: 乙方:中国电子技术标准化研究所体系认证中心 2 容和围 乙方根据甲方的申请,通过对甲方信息安全管理体系的审核,确认甲方的信息安全管理体系是否符合所选定的标准,从而决定是否批准甲方获得或保持注册资格。 2.1 认证所依据的信息安全管理体系标准:ISO/IEC27001或等同采用的标准文件 2.2.1 甲方信息安全管理体系覆盖的产品类别、过程及主要活动: 2.2.2 删减说明: 2.3 甲方信息安全管理体系所覆盖的地点(含安装、维修/服务、活动地点): 注:如多现场可另页详细描述 2.4 审核时间安排 初访/预审时间计划于年月进行,现场审核时间计划于年月进行,最终审核时间由双方具体商定。 2.5 认证证书有效期为三年,甲方获得认证注册资格后,在有效期,乙方对初次通过认证的甲方共进行四次监督审核。前两次的监督审核在获证后每半年进行一次,以后的监督审核为每年一次。对复评后的甲方每年进行一次监督审核。如有特殊情况,将酌情增加监督审核频次。证书有效期满前三个月向乙方提出申请进行复评。
3 费用 3.1审核费用: □申请费1000元 □注册费1000元 □证书费1000元 □年金2000元 □审核费: 3.2 初访/预审费用¥元(整)。 3.3 证书副本费用:中文副本元(50元/);英文副本,元(50元/); 加印分、子证书套元(3000元/套)。 3.4 以上费用共计:¥(整)。 上述3.1和3.2费用自合同生效之日起10日先交纳30%,其余费用在现场审核后15日一次付清。3.5 监督审核费(在组织体系不发生重大变化的情况下)包括: □监督审核费(每次)¥元□年金(每年)2000元 监督审核费在每次审核前支付。 3.6 乙方派出审核人员的食、宿、交通等费用按实际支出由甲方负担。 3.7 因甲方自身原因(不符合标准要求,严重不符合等)而导致的不能注册时,由甲方支付乙方现场审核实际发生的费用。 4 甲方的权利和义务 4.1 甲方的权利 4.1.1 甲方对乙方的现场审核、审核结论、审核人员的行为、审核的公正性及泄露甲方、认证证书的暂停、注销和撤销等有权向乙方提出申诉/投诉,如对处理结果持有异议,可向乙方的管理委员会直至中国合格评定国家认可委员会(CNAS)提出申诉/投诉。 4.1.2 通过认证后,甲方享有按规定正确使用其管理体系认证证书和标志以及正确对外广告宣传其获得管理体系认证注册资格的权利。 4.2 甲方的义务 4.2.1 甲方在认证审核之前管理体系至少已运行三个月。
信息安全演讲稿 篇一:信息安全演讲稿 呵呵,前面都是文科生的演讲,下面是理科生的。尊敬的各位领导、同事们:大家好,很高兴能参加这次演讲,生命是如此的精彩,生命是如此的辉煌,不过今天我演讲的内容里没有生死间的大悲恸,也没有平平仄平平的华丽辞藻,我演讲题目是:互联, 精彩而危险的世界。 XX年,中国开发联盟csdn,中国最大的开发者技术社区,密码泄漏,超1亿用户密码 被泄,黑客在上公开了一部分用户信息数据库,导致600余万个注册邮箱账号和与之对应的 明文密码泄露。这次事件以后,又陆续曝出了多玩、人人、搜狗浏览器等安全事件。唔前面的案例大家没有亲身体会,说个大家接触过的,考过职称考试的人都知道,有时候会被杂志社打电话问到要不要发表职称论文,呵呵,这个大家都有经验吧,恩,很明显你 的电话信息泄露了呀,怎么泄露的呢,考职称考试要上注册报名缴费吧?报名时电话号码 是必填选项,呃,基本就是这么泄露的。当然很可能其他信息也泄露了。下面进入正题,我的演讲的内容分为四个版块:什么叫络安全、络安全的重要性、
络安全的现状、如何防范络安全、打造一个和谐络。首先讲一下什么是我们这里所讲的“络安全”,络安全呢,就是指络系统的硬件、 软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露, 系统连续可靠正常地运行,络服务不中断。络安全是一门涉及计算机科学、络技术、通信技术、密码技术、信息安全技术、应 用数学、数论、信息论等多种学科的综合性学科。是个高难度的行业啊。有人说过,“谁掌握领了信息,控制了络,谁将拥有整个世界。”这句话不完全对啊。 不过这点在股市里体现的挺好。从此可见掌握络是何等的重要,络安全的重要性也从中 体现出来。 在大量络应用中,安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。 在一个开放的络环境中,大量信息在上流动,这为不法分子提供了攻击目标。他们利用 不同的攻击手段,获得访问或修改在中流动的敏感信息,闯入用户或政府部门的计算机系 统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的络诈骗,其“低成本和高
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责:
a) 建立服务管理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
如何建立信息安全管理体系1 如何建立信息安全管理体系 信息安全管理体系ISMS(Information Securitry Management Systems)是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它基于业务风险方法,用来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统,其目的是保障组织的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、检查表等要素的集合,涉及到人、程序和技术。 建立健全信息安全管理体系对组织的安全管理工作和组织的发展意义重大。参照信息安全管理模型,按照先进的信息安全管理标准建立的全面规划、明确目的、正确部署的、组织完整的信息安全管理体系,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,实现用最低的成本,保障信息安全合理水平,从而保证业务的有效性与连续性。组织建立、实施与保持信息安全管理体系的好处主要有下几点: 1.引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。 2.可以增进组织间电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。 3.通过认证能保证和证明组织所有的部门对信息安全的承
诺。 4.通过认证可改善全体的业绩、消除不信任感。 5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。 6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。信息安全管理体系是一个系统化、程序化和文件化的管理体系,属于风险管理的范畴,体系的建立需要基于系统、全面和科学的风险评估。ISMS 体现预防为主的思想,强调遵守国家有关信息安全的法律法规,强调全过程和动态控制,本着控制成本与风险平衡的原则,合理选择安全控制方式保护组织所拥有的关键信息资产,确保信息的保密性、完整性和可用性,从而保持组织的竞争优势和业务运作的持续性。 构建信息安全管理体系不是一蹴而就的,欲速则不达,每家组织都是不同的,不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤: 1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围
信息安全管理体系认证的基本 知识(通用版) Enterprises should establish and improve various safety production rules and regulations in accordance with national safety production laws and regulations. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0261
信息安全管理体系认证的基本知识(通用 版) 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的IT类企业专项的认证。ISO27001是在世界上公认解决信息安全的有效方法之一。由1998年英国发起的信息安全管理体系制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。企业通过了ISO27001认证,即表示企业的信息安全管理已建立了一套科学有效的管理体系作为保障。 信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 二、ISO27001认证适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
ISO/IEC27001:2013信息安全管理体系管理手册 ISMS-M-2019 版本号:A/1 受控状态:■受控□非受控 编制审核批准 编写组审核人总经理 XXX XXX XXX 日期: 2019年1月8日实施日期: 2019年1月8日
修改履历 版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人A同意 A/1编写组2017-1-15定版审核人B同意
00 目录 00 目录 (3) 01 颁布令 (5) 02 管理者代表授权书 (6) 03 企业概况 (7) 04 信息安全管理方针目标 (8) 05 手册的管理 (10) 06 信息安全管理手册 (11) 1 范围 (11) 1.1 总则 (11) 1.2 应用 (11) 2 规范性引用文件 (11) 3 术语和定义 (11) 3.1 本公司 (12) 3.2 信息系统 (12) 3.3 计算机病毒 (12) 3.4 信息安全事件 (12) 3.5 相关方 (12) 4 组织环境 (12) 4.1 组织及其环境 (12) 4.2 相关方的需求和期望 (12) 4.3 确定信息安全管理体系的范围 (13) 4.4 信息安全管理体系 (13) 5 领导力 (14) 5.1 领导和承诺 (14) 5.2 方针 (14) 5.3 组织角色、职责和权限 (14) 6 规划 (14) 6.1 应对风险和机会的措施 (15) 6.2 信息安全目标和规划实现 (17) 7 支持 (18) 7.1 资源 (18) 7.2 能力 (18) 7.3 意识 (18) 7.4 沟通 (18) 7.5 文件化信息 (19) 8 运行 (20) 8.1 运行的规划和控制 (20) 8.2 信息安全风险评估 (20) 8.3 信息安全风险处置 (20) 9 绩效评价 (21) 9.1 监视、测量、分析和评价 (21) 9.2 内部审核 (22) 9.3 管理评审 (22)
信息安全管理体系认证的基本知识参考文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
信息安全管理体系认证的基本知识参考 文本 使用指引:此安全管理资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 一、ISO27001认证的概况 ISO27001认证,即“信息安全管理体系”,是标准的 IT类企业专项的认证。ISO27001是在世界上公认解决信 息安全的有效方法之一。由1998年英国发起的信息安全管 理体系制定信息安全管理方针和策略,采用风险管理的方 法进行信息安全管理计划、实施、评审检查、改进的信息 安全管理执行的工作体系。企业通过了ISO27001认证, 即表示企业的信息安全管理已建立了一套科学有效的管理 体系作为保障。 信息安全管理体系的建立和健全,目的就是降低信息 风险对经营带来的危害,并将其投资和商业利益最大化。
二、ISO27001认证适用范围 信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 三、ISO27001认证证书的有效期 ISO27001信息安全管理体系的认证证书有效期是三年。 期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。 四、信息安全管理体系认证的作用 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有
网络与信息安全管理工作体系制度 总则 依据《网络信息机构业务活动管理暂行办法》第十八条、第二十一条、第二十二条、第二十三条的相关规定,规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全以及客户信息、项目信息的保护,特制订本制度。 本管理办法适用于公司所有涉及信息、安全与重要岗位的管理。 信息安全领导小组 1,公司成立信息安全领导小组,就是信息安全的最高决策机构。 2,信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: (1)根据国家与行业有关信息安全的策略、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; (2)监督、督导公司整体信息安全工作的落实与执行情况; (3)制订相关信息安全、网络安全、以及信息、网络的应急管理的制度; 3,信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组,作为日常工作执行机构。 4,信息安全领导小组组长由公司负责人担任,副组长由公司科技部门领导担任,各部门负责人自动成为信息安全领导小组成员。 信息安全工作组 1,信息安全工作组由信息技术部门负责人担任组长,成员由信息安全
2,信息安全工作组的主要职责包括: (一)、贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; (二)、根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; (三)、组织对重大的信息安全工作制度与技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; (四)、负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; (五)、组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安全风险的防范对策; (六)、负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; (七)、及时向信息安全工作领导小组与上级有关部门、单位报告信息安全时间。 (八)、跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 (九)、信息安全领导小组授权开展的其她信息安全工作。 应急处理工作组 1,应急处理工作组组长由信息技术部门负责人担任,成员由信息安全
信息安全管理手册 (一)发布说明 为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。 信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。 信息安全管理手册于发布之日起正式实施。 XXXX 局长 _________________ 年月日 (二)授权书 为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX 管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
?负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系; ?负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础; ?负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识; ?负责XXXX信息安全管理体系对外联络工作。 (三)信息安全要求 1.具体阐述如下: (1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX内建立可持续改进的信息安全管理体系。 (2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。 (3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。 (4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。 (5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。 (6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。 2.信息安全总体要求 (1)建立XXXX信息化资产(软件、硬件、数据库等)目录。
信息安全体系认证是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 它是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。信息安全管理体系是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。 信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理
体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 企业如果进行这个体系的认证,会具有这些好处:1..符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 3.履行信息安全管理责任 证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 4.增强员工的意识、责任感和相关技能 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少
企业内部信息安全管理体系 建议书 太极英泰信息科技XX
目录 1理昌科技网络现状和安全需求分析:2 1.1概述2 1.2网络现状:3 1.3安全需求:3 2解决方案:4 2.1 总体思路:4 2.2TO-KEY主动反泄密系统:5 2.2.1系统结构:5 2.2.2系统功能:6 2.2.3主要算法:6 2.2.4问题?7 2.3打印机管理错误!未定义书签。 2.3.1打印机管理员碰到的问题错误!未定义书签。 2.3.2产品定位错误!未定义书签。 2.3.3产品目标错误!未定义书签。 2.3.4概念—TO-KEY电子钥匙预付费错误!未定义书签。 2.3.5功能错误!未定义书签。 3方案实施与成本分析错误!未定义书签。 1企业网络现状和安全需求分析: 1.1 概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要
解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2 网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3 安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求,和目前的网络现状,我们可以从下面几个方面去考虑信息泄露的途径: ●通过网络方式将信息发送出去,包括MAIL、QQ、MSN、FTP等多种文件传输方 式。 ●通过对内部网络的窃听来非法获取信息 ●内部人员在其他人的计算机上种植木马,引导外部人员获取XX信息。可以有效逃 避网络督察的监控。 ●内部人员将文件以密文方式发送出去,也能逃避网络督察的监控,网络上的加密工 具太多了。 ●通过COPY方式将文件传送出去。 ●非法获取内部非自己权限内的信息,包括获取他人计算机上的信息以及越权访问服 务器上的信息等。 ●网络管理人员将服务器上的信息复制出去。 ●制造计算机硬盘故障,将硬盘以维修的理由携带出去。 ●制造计算机故障,以维修的理由,将计算机带出公司 ●内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。