设为首页 | 加入收藏
认证中心 当前您的位置:软件信息产品认证>>认证中心
ISO27001信息安全程序文件

密级:内部公开

 

 

软件科技有限公司

 

ISO27001程序文件

 

 

 


编  号: /ISMSP
版次/修订号: A
编  制: 信息安全小组
审  核: 
批  准: 
发布日期: 
生效日期: 

 


 
 
程序文件目录
序号 程序文件名称 文件编号 页码
1  公司环境分析管理程序 /ISMSP-01A 1
2  法律法规与其他要求程序 /ISMSP-02A 4
3  信息安全风险管理程序 /ISMSP-03A 6
4  信息安全指南管理程序 /ISMSP-04A 18
5  移动计算和远程工作管理程序 /ISMSP-05A 26
6  信息安全惩戒奖励管理程序 /ISMSP-06A 28
7  用户访问管理程序 /ISMSP-07A 31
8  物理安全区域安全管理程序 /ISMSP-08A 34
9  信息处理设施管理程序 /ISMSP-09A 36
10  变更管理程序 /ISMSP-10A 39
11  业务数据备份管理程序 /ISMSP-11A 42
12  信息系统监控管理程序 /ISMSP-12A 45
13  病毒(恶意代码)和可移动代码
防范管理程序 /ISMSP-13A 47
14  网络安全管理程序 /ISMSP-14A 50
15  信息安全事件管理程序 /ISMSP-15A 53
16  业务连续性管理程序 /ISMSP-16A 56
17  人力资源管理程序 /ISMSP-17A 59
18  文件管理程序 /ISMSP-18A 62
19  记录管理程序 /ISMSP-19A 67
20  内部审核管理程序 /ISMSP-20A 69
21  管理评审程序 /ISMSP-21A 72
22  不符合和纠正措施管理程序 /ISMSP-22A 75


 ★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★
1.公司环境分析管理程序
编号:/ISMSP-01A                                                   修改状态:0

1 目的
为满足ISO27001标准的要求,确定与本公司目标和战略方向相关并影响实现管理体系预期结果的各种内部和外部因素,对其进行有效控制。
2 适用范围
适用于对本公司经营环境内外部因素识别、评价。
3 职责
3.1综合管理中心为本程序的归口管理部门,负责组织本公司的内外部环境分析与评价。
3.2软件产品中心负责软件开发技术风险分析、质量风险分析,工程技术中心负责系统集成和运维服务技术风险分析、质量风险分析。
3.3 市场中心负责市场风险分析及经营风险分析。
3.4 财务投资中心负责财务风险分析。
4 工作程序
4.1 风险识别时机:管理体系策划、企业宗旨变化、战略变化、内外部环境变化、组织及其背景、相关方的需求和期望变化。
4.2 参与风险管理的人员应经过综合管理中心组织风险管理知识的培训,合格后方可进行。
4.3 需考虑的风险有:
4.3.1质量风险
a直接质量风险:服务质量问题,导致退货、换货、修理等风险。
b间接质量风险:服务过程,损坏了顾客的其它财产权或人身权,应负民事赔偿责任。
4.3.2环境风险
A服务淡季与旺季,影响顾客的采购,也间接影响公司服务。
b人文环境:主要体现在不同时间、不同地区、不同民族的人消费习惯不同。
c政策环境:国家宏观经济政策、经济环境的变动,以及个地方的相关政策的变动会间接的影响到企业资金融入以及企业运营的必要条件。
d经济环境:利率的变动、汇率的变动、通货膨胀或通货紧缩等。
4.3.3经营风险
a员工风险:服务人员,技术人员和其他管理人员,由于他们的疏忽导致的风险,以及各岗位主要人员的离职等风险。
c设备:服务设备出现意外的故障,甚至损坏等。
d供销链风险:主要包括供应商及顾客违约,以及供应或销售渠道不畅通等风险。
e法律纠纷:消费者投诉等潜在的法律纠纷。
4.3.4市场风险
a市场容量:对市场容量的调查所采用的方法不合适,没有准确的弄清市场对象对服务的需求,而增加公司的投资风险。
b市场竞争力:对竞争对手的错误分析可能导致对我们的服务市场的竞争力高估或低估,引发期望值风险。
c价格风险:产品的价格风险受服务的成本、质量和声誉、顾客消费等的影响。
促销风险:促销风险包括促销活动的成本的控制、效果预测失误以及对品质的怀疑等。
4.3.5财务风险
a融资/筹资过程中的风险:比如风险筹资的费用很高, 而且受到政策限制较多,加大了筹资的不确定性。
b资金偿还过程中的风险:主要受到利率的影响,有极大的不稳定性,增加偿还风险。
c资金使用过程中的风险:主要表现为短期资金风险和长期资金投资风险。
d资金回收过程中的风险:应收款无法及时到位,增加了坏账的出现率。
e收益分配过程中的风险:主要表现在确认风险和对投资者进行收益分配不当而产生的风险。
4.4 环境因素分析、评价
SWOT分析法是用来确定企业自身的竞争优势、竞争劣势、机会和威胁,从而将公司的战略与公司内部资源、外部环境有机地结合起来的一种科学的分析方法。
SWOT分析,即基于内外部竞争环境和竞争条件下的态势分析,就是将与研究对象密切相关的各种主要内部优势、劣势和外部的机会和威胁等,通过调查列举出来,并依照矩阵形式排列,然后用系统分析的思想,把各种因素相互匹配起来加以分析。
优势,是组织机构的内部因素,具体包括:有利的竞争态势;充足的财政来源;良好的企业形象;技术力量;规模经济;产品质量;市场份额;成本优势;广告攻势等。
劣势,也是组织机构的内部因素,具体包括:设备老化;管理混乱;缺少关键技术;研究开发落后;资金短缺;经营不善;产品积压;竞争力差等。
机会,是组织机构的外部因素,具体包括:新产品;新市场;新需求;外国市场壁垒解除;竞争对手失误等。
威胁,也是组织机构的外部因素,具体包括:新的竞争对手;替代服务增多;市场紧缩;行业政策变化;经济衰退;客户偏好改变;突发事件等。
4.5构造SWOT矩阵
将调查得出的各种因素根据轻重缓急或影响程度等排序方式,构造SWOT矩阵。在此过程中,将那些对公司发展有直接的、重要的、大量的、迫切的、久远的影响因素优先排列出来,而将那些间接的、次要的、少许的、不急的、短暂的影响因素排列在后面。
4.6制定行动计划
在完成环境因素分析和SWOT矩阵的构造后,便可以制定出相应的行动计划。制定计划的基本思路是:发挥优势因素,克服弱点因素,利用机会因素,化解威胁因素;考虑过去,立足当前,着眼未来。运用系统分析的综合分析方法,将排列与考虑的各种环境因素相互匹配起来加以组合,得出一系列公司未来发展的可选择对策。
5 相关文件

★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 


2.法律法规与其他要求程序

编号:/ISMSP-02A                                                      修改状态:0

1.  目的
为了及时获取、识别、传递和更新适用于本公司的法律法规,确保信息安全、信息技术服务管理体系的正常运行,以保证公司生产、经营、服务等管理活动符合相关的法律法规,公司制定《法律法规与其他要求程序》。
2.  适用范围
本程序适用于公司范围内法律、法规的获取、识别、传递和更新;
本程序适用于公司信息安全、信息技术服务管理体系。
3.  术语和定义
本程序引用ISO27001中的相关术语和定义。的相关术语和定义。
4.  职责
4.1管理者代表负责批准公司《法律法规总清单》,并传达满足法律法规的重要性。
4.2综合管理中心负责制定和贯彻实施本程序,负责管理和定期公布公司有效的《法律法规总清单》。综合管理中心负责接收上级下发的法律法规文件,并转发给公司相关职能部门。
4.3公司各职能部门负责获取的法律法规适用性的确认,经公司领导审批后发布,报综合管理中心汇总备案。
5.  工作程序
5.1获取范围
a)国家有关的法律、法规、条例、规范;
b)省(市)地方法规和相关部委的规章;
c)国家、行业和地方的标准;
d)适用的国际公约、国际条约及国际惯例;
e)其他要求。
5.2获取途径
5.2.1法律法规由综合管理中心负责接收并及时转发给公司相关职能部门。
5.2.2公司各职能部门获取的法律法规确认其适用性,经公司领导批示后,传阅相关职能部门。
5.2.3公司各相关职能部门要通过报刊、杂志、互联网站、出版社、行业协会等途径及时获取与本公司相关的国家与地方性的法律法规,并确认其适用性,报公司领导批示后,转发给各相关职能部门。
5.3确认适用性
5.3.1公司各职能部门对于获取的法律法规,由本部门负责人对其版本、有效性及与公司产品、服务活动的适用性进行识别确认,经领导审批后,确认为公司和本部门适用的法律、法规,填入部门法律法规清单,并填写《法律法规获取(更新)登记表》,一式两份,报综合管理中心备案。
5.3.2当现行的法律法规更新时,公司各相关职能部门应重新对其适用性予以确认,及时发放更改通知,并传递到综合管理中心,填写《法律法规获取(更新)登记表》,一式两份,报综合管理中心一份留存,并更改《法律法规总清单》。
5.3.3综合管理中心根据确认后的法律法规填写公司《法律法规总清单》,经公司总经理批准后,向有关单位发放。
5.3.4综合管理中心每年更新《法律法规总清单》。
5.4对法律、法规及其他要求的符合性评价
综合管理中心每次在管理评审时负责组织对公司的法律法规符合性进行一次评价。
5.5法律法规的管理
5.5.1综合管理中心负责建立确认适用的《法律法规总清单》,并对总清单和留存的法律法规妥善保管,防止丢失。
5.5.2公司各职能部门对公司适用的法律法规进行归档管理,并根据适用和更新的情况随时予以更新。公司各职能部门将适用的法律法规原文发放给管理体系覆盖的各部门。
5.5.3公司各相关职能部门负责对本部门适用的法律法规,按国家、地方、行业分别建立清单,对获取或更新的法律法规如实填入清单,妥善保管并负责跟踪其变化。
5.5.4公司各职能部门应结合自己所承担的生产、经营、服务等管理活动的职责和内容组织对相应法律法规标准的学习、宣传或培训,培训工作具体执行公司《人力资源管理程序》。
6.  标准表格
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

3.信息安全风险管理程序
编号:/ISMSP-03A                                       修改状态:0

1 目的
本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产及其脆弱性与漏洞、认知公司经营管理各环节存在的信息安全风险,综合考虑控制成本与代价、选择合适的控制目标与方式,将信息安全风险控制在可接受的水平,满足本公司信息安全管理方针的要求,确保公司经营管理活动相关的信息资产安全。
2 范围
本程序适用于公司在信息安全管理体系(ISMS)范围内开展的信息安全风险评估活动。
3 职责
3.1 综合管理中心门归口管理本过程,负责组织相关领导、各部门负责人、各部门业务骨干、IT技术人员进行信息安全资产识别、风险评估、确定风险处置计划、并进行残余风险评估。
3.2 各部门负责部门内部信息资产的识别和风险评估,并负责实施批准的《风险处置计划》。
3.3 管理者代表负责批准各部门的《信息安全资产清单》、《重要信息安全资产清单》、《信息安全风险评估表》、《风险处置计划》、对残余风险进行批准。负责协调并为风险处置提供适当的资源。
4 风险评估的实施频率及评审
风险评估活动应定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。遇到以下情况,公司也将启动风险评估:
——增加了大量新的信息资产;
——业务环境发生了重大的变化;
——发生了重大信息安全事件。
5 程序
5.1 风险评估流程
5.1.1.  信息安全风险评估管理流程
 
5.1.2.  信息安全风险评估管理流程说明
编号 流程步骤 主责部门/岗位 流程说明 相关文档
01 制定评估计划 综合管理中心门/部门负责人 综合管理中心负责人负责组织制定“风险评估计划”,发送各部门。“风险评估计划”包括:评估时间要求、评估人员组成、各部门工作要求等内容。 信息安全风险评估计划
02 信息安全资产识别 各部门 各部门负责人组织本部门员工按照本文件要求进行本部门信息安全资产的识别,形成《信息安全资产清单》,和《重要信息安全资产清单》,经部门负责人审核确认后,提交管理者代表批准。 信息安全资产清单、
重要信息安全资产清单
03 风险识别、分析 各部门 各部门负责人组织本部门信息安全资产威胁、脆弱性识别,及风险分析,并填写在《信息安全风险评估表》中,经部门负责人审核确认后提交管理者代表批准。 信息安全风险评估表
04 制定风险处置计划 综合管理中心 综合管理中心根据各部门提交的审批通过的《风险评估表》,对不可接受的风险组织制定《信息安全风险处置计划》,《信息安全风险处置计划》中应明确为弥补弱点所采取的安全措施、责任部门等。安全措施的选择应从管理与技术两个方面考虑。
《信息安全风险处置计划》由综合管理中心编制后,经管理者代表审核,最高管理者批准后实施。 信息安全风险处置计划
05 实施 各部门 各部门负责按照《信息安全风险处置计划》要求实施。
各部门应将风险处置计划的完成情况于规定的时间汇总,对风险处理过程中所提出的资源上的需求和出现的问题报最高管理者,确保风险处置计划的有效执行。 信息安全风险处置计划
06 残余风险评估 各部门 综合管理中心组织各部门对《信息安全风险处置计划》实施后的风险进行再评估,填写《信息安全风险评估表》,看残余风险是否降低到了可接受范围内,如果没有,则需要重新制定《信息安全风险处置计划》或获得管理者对残余风险的批准。 信息安全风险评估表

07 形成风险评估报告 综合管理中心 综合管理中心负责编制《信息安全风险评估报告》,陈述公司信息安全管理现状,分析存在的信息安全风险,提出信息安全管理的建议和措施,以及仍存在的残余风险,提交管理层审核,最高管理者批准。 信息安全风险评估报告
5.2 资产识别
 
5.2.1. 信息资产分类
资产分类 代号 示例
文档和数据 D 1)保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等(项目开发过程中产生的过程文档)
2)纸质的各种文件,如传真、电报、财务报告、发展计划等(公司经营中产生的行政文档)
软件和系统 R 系统软件:操作系统、语言包、工具软件、各种库等
应用软件:外部购买的应用软件,外包开发的应用软件等
源程序:各种共享源代码、自行或合作开发的各种代码等开发工具
硬件和设施 H 网络设备:路由器、网关、交换机等
计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
传输线路:光纤、双绞线等
保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等
安全保障设备:防火墙、入侵检测系统、身份验证等
其他:打印机、复印机、扫描仪、传真机等
服务 S 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务
网络服务:各种网络设备、设施提供的网络连接服务
  信息服务:对外依赖该系统开展的各类服务
人员 P 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
其他 O  
 
5.3 资产赋值
5.3.1. 机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响,见下表:
赋值 标识 定义
5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2 低 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等
5.3.2. 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响,见下表:
赋值 标识 定义
5 很高
 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。
3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。
2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补。
1 很低 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略。
5.3.3. 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度,见下表:
赋值 标识 定义
5 很高 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断。
4 高 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟。
3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。
2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟。
1 很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%。
5.3.4. 资产重要性
资产重要性(价值)应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出,本公司资产重要性评价计算模型如下:
资产价值重要性=(机密性*0.5+完整性*0.3+可用性*0.2)四舍五入取整
根据资产在重要性上的不同赋值结果,将其分为五个不同的等级,3级以上属本公司重要信息资产,评估工作以重要信息资产为主,见下表:

等级 标识 描述
5 很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失。
4 高 重要,其安全属性破坏后可能对组织造成比较严重的损失。
3 中 比较重要,其安全属性破坏后可能对组织造成中等程度的损失。
2 低 不太重要,其安全属性破坏后可能对组织造成较低的损失。
1 很低 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计。
5.4 威胁识别
5.4.1. 威胁分类
按威胁来源分类,见下表:
来源 描述
环境因素 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通讯线路方面的故障。
人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。
 非恶意人员 内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
 
按威胁的表现形式分类,见下表:
种类 描述 威胁子类
软硬件故障 由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。
物理环境影响 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害。 
无作为或操作失误 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响。 维护错误、操作失误
管理不到位 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。 
恶意代码和病毒 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。 恶意代码、木马后门、网络病毒、间谍软件、窃听软件
越权或滥用 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为。 未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息
网络攻击 利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段,对信息系统进行攻击和入侵。 网络探测和信息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏
物理攻击 通过物理的接触造成对软件、硬件、数据的破坏。 物理接触、物理破坏、盗窃
泄密 信息泄露给不应了解的他人。 内部信息泄露、外部信息泄露
篡改 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用。 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息
抵赖 不承认收到的信息和所作的操作和交易。 原发抵赖、接收抵赖、第三方抵赖

5.4.2. 威胁赋值
评估组综合评价威胁出现的频率,包括:
 以往安全事件(事故)报告(记录)中出现过的威胁及其频率的统计;
 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
 近一两年来国际、国内权威安全机构发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
通过威胁发生的频率将威胁划分为5个等级,等级数值越大,威胁出现的频率越高,见下表:
等级 标识 定义
5 很高 出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。
4 高 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。
3 中 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。
2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过。
1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。

5.5 脆弱性识别
脆弱性是对一个或多个资产弱点的总称,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点,威胁总是要利用资产的弱点才可能造成危害。
评估组针对每一项需要保护的重要资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;
5.5.1. 脆弱性识别内容
 
脆弱性识别的主要内容见下表:
类型 识别对象 识别内容
技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。
 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
 系统软件(含操作系统及系统服务) 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。
 数据库软件 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。
 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别。
 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。
管理脆弱性 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。
 组织管理 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。

5.5.2. 脆弱性赋值
根据对资产的损害程度、技术实现的难易程度、脆弱性的严重程度将脆弱性划分为5个定级,数值越大,脆弱性严重程度越高,见下表:
等级 标识 定义
5 很高 如果被威胁利用,将对资产造成完全损害。
4 高 如果被威胁利用,将对资产造成重大损害。
3 中 如果被威胁利用,将对资产造成一般损害 。
2 低 如果被威胁利用,将对资产造成较小损害。
1 很低 如果被威胁利用,将对资产造成的损害可以忽略。

5.6 现行安全措施确认
在识别脆弱性的同时,评估组应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响,如业务持续性计划。
5.7 风险分析
通过对信息资产机密性、完整性、可用性及资产重要度的识别,以及对威胁、脆弱性、现行安全措施的调查与数据收集,安全评估小组综合分析、评估信息资产的安全风险。
5.7.1. 风险计算
安全事件发生的可能性= (取整数)
安全事件的损失=  (取整数)
风险值= (取整数)
残余风险=按计划采取安全措施后的风险值
5.7.2. 风险结果判定
根据风险值对应风险等级见下表:
等级
(风险值) 标识 描述
5 很高 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。
4 高 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。
3 中 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。
2 低 一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。
1 很低 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。
5.7.3. 风险控制措施
对于风险值或残余风险值小于等于3的,公司采取接受风险的策略,一般不采取降低风险的计划措施,但该信息资产相关责任部门应适当监视风险变化,避免风险等级增大;
对于风险值大于3的,公司采取降低风险的策略,安全评估小组应根据导致该风险的脆弱性制定风险处理计划,包括但不限于:
1) 风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等;
2) 安全措施的选择应从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。安全措施的选择与实施应参照信息安全的相关标准进行;
3) 高层经理审批风险处理计划,各相关责任部门贯彻执行;
4) 在选择并实施相关安全措施后,为确保安全措施的有效性,安全评估组可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
在选择并实施相关安全措施后,残余风险的结果仍处于不可接受的风险范围内,安全评估组应报高层领导决定是否接受此风险或进一步增加相应的安全措施。
5.8  实施和运行ISMS的批准
综合管理中心负责编制“信息安全风险评估报告”,陈述公司信息安全管理现状,分析存在的信息安全风险,提出信息安全管理的建议和措施,以及仍存在的残余风险,附信息安全风险处置计划一并提交管理层审核,由最高管理者批准后实施。
各部门应将风险处置计划的完成情况于规定的时间报综合管理中心门汇总,对风险处理过程中所提出的资源上的需求和出现的问题报最高管理者,确保风险处置计划的有效执行。
各部门对新增加、转移的或授权销毁的信息资产应及时按照本程序要求在资产清单和重要资产清单上予以添加或变更。
6 过程的输出与结束准则
6.1 结束准则
实施信息安全风险处置计划,残余风险达到可接受的水平
6.2 输出
《信息安全资产清单》
《信息安全重要资产清单》
《信息安全风险评估表》
《信息安全风险处置计划》
《信息安全风险评估报告》
 
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★


4.信息安全指南管理程序
编号:/ISMSP-04A                                       修改状态:0

1、目的
使公司员工清楚了解公司在信息安全方面的规定、流程,避免因为行为不当引起信息安全和保密方面的问题。
2、范围
公司所有员工。
3、职责
   综合管理中心负责编制信息安全指南管理程序;各部门执行。
4.1.信息安全须知
4.1.1新员工入职时应:
1) 签署劳动合同,明确保密职责;
2) 接受“信息安全与保密意识”培训;
3) 领取员工卡,获得网络及OA办公系统帐户;
4) 根据部门和岗位的需要签署保密协议。
4.1.2员工卡用于鉴别员工身份、进出授权的工作区域、记录考勤信息等,应:
1) 妥善保管,不得转借,若有遗失立即向综合管理中心行政中心挂失;
2) 在进入工作区域期间正确佩戴员工卡;
3) 不得尝试进入非授权的工作区域。
4.1.3员工在离职时有哪些注意事项
1) 清理个人物品及信息,接受安全检查,不得将公司敏感信息带离公司;
2) 办理工作交接,包括与工作相关的信息资料、应用系统帐号等;
3) 向公司交回工作计算机、磁介质记录、员工卡;
4) 离职员工应向公司提交离职交接资料光盘一张
5) 办理离职手续;
6) 离职后应遵守与公司签订的保密与竞业协议有关条款,否则公司将依法追究违约责任。
4.1.4公司信息安全方面的规定都有哪些?在哪里可以查到信息安全的有关管理规定
1) 公司通过贯彻ISO27001标准建立起信息安全管理体系,包括相关管理制度、工作流程、措施方法等,公司安全管理体系正在不断的修订和完善中;
2) 与广大员工工作关系密切的安全体系文件包括但不限于:《信息安全方针》、《信息安全规定》、《信息安全评估》、《物理访问管理程序》、《用户访问管理程序》、《恶意软件控制》、《移动计算管理》、《信息备份管理》、《软、硬件及网络管理程序》等。
3) 有关安全体系文件存放于公司“管理制度”中,有关执行问题可咨询本部门信息安全员。
4.1.5公司信息安全管理组织架构
1) 公司成立信息安全小组;
2) 信息安全管理者代表由公司副总担任; 
4.2.人员安全
4.2.1全员信息安全职责:
1) 保守工作秘密,保护个人隐私;
2) 积极学习和遵守公司各类信息安全管理规定,将各种相应的安全措施形成习惯,融入自己的日常工作行为中。
3) 有义务制止他人的违规行为和报告可能造成泄密、窃密或其他安全危机的隐患。
4) 在工作中,要有强烈的信息安全和保密意识,培养职业的敏感性。
4.2.2在日常工作中发现信息安全隐患或他人违犯信息安全规定,您应:
1) 向直接上级主管或公司高层领导报告 ;
2) 向信息安全职能部门(综合管理中心)报告。
4.2.3信息安全管理实行一把手负责制,(公司、部门、项目)各级一把手是各自管理范围信息安全的第一责任人,管理者的信息安全职责包括但不限于:
1) 负责信息安全管理规定及措施在责任管理范围内的推行和落实,
2) 组织员工信息安全培训、教育和宣传,树立信息安全意识;
3) 识别敏感信息,并贯彻执行安全措施;
4) 指派各类资产、各个应用系统的管理员,明确安全职责;
5) 监督并报告信息安全违规事件;
6) 对责任管理范围内人员的违规事件承担监督管理责任。
4.2.4员工外出时,若需携带保密资料,应注意哪些事项
1) 非因公外出时禁止随身携带涉及国家秘密、公司绝密、公司机密等资料,若需携带公司秘密文件,应妥善保管、避免遗失外泄;
2) 因公外出只允许携带工作相关文档,若文档涉及国家秘密、公司绝密信息的,应办理登记审批手续,并随身携带,妥善保管,防止遗失泄密;
3) 一般情况下,乘坐飞机、火车等公共交通工具时,应随身携带含有保密信息的笔记本计算机或移动存储设备,涉及国家秘密、公司机密信息的应采用加密安全措施。
4.2.5由于岗位变动,在进行工作交接时应注意哪些信息安全事项
1) 移交并清理保密信息资料及载体;
2) 移交并清理应用系统帐号、权限;
3) 工作交接完成后,应销毁与新岗位工作无关的电子及纸质涉密文件,涉及国家秘密及公司机密的应按公司规定的安全管理措施予以销毁。
4.3.信息保密
4.3.1信息安全及保密工作的一般性指导原则是:
1) 最小授权:就是授予的权限刚好满足员工的工作需要;
2) 审批受控:就是要严格控制信息的传递过程和扩散范围,保证做到“先审批,再获取;先登记,再传递。”;
3) 工作相关:员工只获取与本人工作有关的信息,不越权收集、保存与自己工作无关的信息。
4.3.2公司在经营管理活动中将涉及大量的信息,既包括公司内部业务运作过程中产生的信息,也包括客户、供应商、国家政府机关等相关方提供给公司的信息,公司将这些信息划分为两类:
1) 公开信息:指公司对外公开发布的信息,如:公司对外的相关宣传资料、产品介绍资料等;
2) 保密信息:指仅可在一定范围内发布的信息,如果泄漏,可能给公司或相关方造成损失和不良影响。
4.3.3公司根据保密信息的价值、敏感程度、影响及控制范围划分为三个密级:
1) “公司绝密”:指客户及公司开发的核心技术,如光盘刻录数据,测试程序及客户特别指定为绝密的信息等;
2) “公司机密”:指该信息的披露将对公司的经营、竞争地位和财务地位、公众形象、客户信心等产生严重影响,甚至可能导致公司在法律和合同上的相关责任,如财务数据,产品报价,客户指定的保密信息,技术信息等;
3) “公司秘密”:指该信息在公司内部公开,信息的披露不会对公司和客户产生不利影响,但未经授权不得提供给外来人员,如公司的程序文件,公司的规章制度等。
4.3.4如何识别保密信息并进行密级标识?
1) 公司各部门将不定期识别保密信息,并规定保密等级及安全措施,经审批后发布《敏感信息分级及安全策略》;
2) 当您初步完成一篇文档,并准备将文档传递给主管或同事进行评审、修订时,您应参考《敏感信息分级及安全策略》以确定文档的密级;
3) 对于Office文档,公司要求每位员工在页眉处添加正确的密级和文档标识;
4) 对于装订的资料,在装订的载体上要有密级标识;
5) 对于印刷的、手写的保密敏感信息需要在其上某个醒目位置设置保密标签。
4.3.5公司内部文档传递中有哪些保密要求和注意事项?
1) 公司要求在传递过程中,对绝密级电子文件采用压缩加密或文档工具加密,对于纸质绝密文件采用具有涉密权限的专人送达方式;
2) 机密级文件在传递过程中是否加密由各部门根据具体使用要求决定;
3) 不能使用手机短信发送机密或机密级以上的保密信息。
4.3.6我可以将经过正常授权获得的保密文档提供给其他同事吗?
1) 不可以。未经审核批准,员工无权将自己所获得的保密信息再授权或提供给他人。
4.3.7公司规定,对作废的或者已超过保存期限的保密信息应删除和销毁,删除和销毁原始保密信息应征得该信息的主管同意。对纸件、电子件、存储有保密信息的存储介质销毁时的注意事项如下:
1) 纸质销毁:含保密信息的纸质件必须用碎纸机销毁,而不能直接扔垃圾箱或用手撕毁,含机密级、绝密级信息的纸质件不能重复使用;
2) 电子件销毁:删除后应注意清空垃圾箱;
3) 存储有保密信息的存储介质:存储有绝密、机密信息的存储介质作废时,应采取不能恢复的物理性销毁,在计算机转移给公司其他员工前,应对硬盘进行格式化;在计算机转移到公司之外(如超过规定使用年限的笔记本计算机转移给个人)前,应对硬盘进行低级格式化。
4.4、计算机的安全
4.4.1公司对口令设置的要求是什么?
1) 口令长度不能少于6位;
2) 口令应采用数字与字母的组合方式;
3) 对于重要用户的口令要求采用字母大小写或特殊字符组合;
4) 要求不定期更换口令。
4.4.2弱口令或不设口令的危害:
5) 弱口令容易被试探、破解,如果被不怀好意的人冒用您的帐号登陆并进行非法操作,您将承担因此造成不良后果的责任及损失;
6) 不设开机口令,将导致他人可随意控制计算机启动、或重新启动系统,任意操作您的计算机,还可通过在CMOS中设置开机口令,让您无法使用计算机;
7) 不设屏幕保护口令,当您离开时,将导致其他人可以轻易地进入、使用您的计算机,将您的文件删除或发送出去;
8) 不设共享文件夹口令,将导致任何能够和您计算机相连的人不需授权,就可拿走您共享的资料。
4.4.3在个人工作计算机中安装、配置软件的注意事项:
1) 新安装完操作系统后应立即安装安全补丁,并定期更新;
2) 立即安装防病毒软件,并定期更新;
3) 设定屏幕保护程序,并启用密码保护, 等待时间设置不得大于10分钟;
4) 设置BIOS开机口令,操作系统(administrator)口令;
5) 取消文件夹共享设置,如有共享需要,应设置文件夹共享访问口令;
4.4.4计算机发生故障需要修理时,应该注意哪些事项?
1) 发生故障应首先交由公司内部工程师检修,如计算机中存有绝密、机密信息,报修人应监督维修过程,确保信息不被泄露;
2) 需要到公司外部维修的,公司内部工程师应拆下硬盘交由报修人保管,或由报修人物理删除硬盘上的全部公司保密信息。
4.4.5计算机使用方面应注意哪些事项?
1) 私自转借计算机可能造成泄密,因此未经批准,员工不得转借计算机;
2) 对特殊存储设备及其介质(如USB、刻录设备)的使用,应参照移动存储介质的使用规定,提出申请经本部门经理批准后,到市场中心信息安全管理人员处领用。
4.4.6个人工作计算机网络的配置要求:
1) 个人计算机的IP地址应设置为自动获取方式,不能擅自配置固定IP地址,否则可能引起网络冲突,影响公司网络的正常运行;
2) 公司的网络标准协议为TCP/IP
3) 未经批准,个人工作计算机不允许配置并启用DNS、Wins、DHCP、WWW、FTP、BBS、NEWS等网络服务或应用。
4) 未经批准,个人工作计算机不允许安装使用网络侦测、扫描等影响网络性能或安全的工具软件。
4.5、物理安全
4.5.1离开办公位置10分钟以上,应锁定个人工作计算机,不应将含有机密及绝密信息的文件遗留在办工桌上;
4.5.2离开会议室前应清理会议现场,避免泄露机密及绝密信息;
4.5.3下班离开前做好“五关”:关门、关窗、关空调、关灯、关计算机,做好“五关”是保证办公环境安全的基本要求之一;
4.5.4员工应注意不要在公共场所谈论、或用移动电话交流公司的保密信息,以免泄密;
4.5.5公司规定,外部人员来访,前台人员应主动询问事由、落实接待部门与人员并及时通知接待,若来访人员需进入公司重要安全区域的,前台人员应查验有效证件并登记进出时间;
4.5.6来访人员逗留公司期间,接待人员的安全注意事项:
1) 接待人员应全程陪同;
2) 未经许可,接待人员不得向来访人员透露公司保密信息,也不得带领来访人员进入特别重要区域;
3) 未经许可,来访人员不能使用便携计算机接入公司网络、不能拍照或摄像、不能使用公司的复印及打印设备,接待人员有责任提醒、劝阻。
4.6.网络安全
4.6.1网络安全措施:
1) 定期更换密码,保护各种网络账户安全;
2) 禁用远程桌面共享,禁用个人计算机guest账户;
3) 安装使用个人计算机防火墙工具;
4) 勤杀毒,及时更新病毒库及系统安全补丁;
5) 不上与工作无关的网站;
6) 涉及公司绝密、机密并存有大量重要数据的计算机禁止连接互联网。
4.6.2外出时需要与公司交换电子信息的安全措施:
1) 不得在网吧等不安全区域传送敏感电子信息;
2) 敏感电子信息应进行加密,密码以不同的方式传送.
4.7.互联网使用指南
4.7.1目的
为了建立公司的Internet使用规则,保证Internet的合理使用,防止非预期的信息安全事件。让每位员工知晓在使用Internet过程中的要求,明确Internet使用过程中的责任。
4.7.2策略所禁止的行为
1) 下载没有授权的任何形式的计算机软件、音像制品、电子书籍等;
2) 使用任何IM工具;
3) 使用任何P2P下载工具;
4) 传递公司秘密级别以上密级的信息;
5) 访问与工作无关的互联网服务,如股票信息;
6) 制作、复制、发布、传播含有下列内容的信息:
    a)反对宪法所确定的基本原则的;
b)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
    c)损害国家荣誉和利益的;
    d)煽动民族仇恨、民族歧视,破坏民族团结的;
    e)破坏国家宗教政策,宣扬邪教和封建迷信的;
    f)散布谣言,扰乱社会秩序,破坏社会稳定的;
g)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
    h)侮辱或者诽谤他人,侵害他人合法权益的;
    i)含有法律、行政法规禁止的其他内容的。
4.7.3 策略所要求的行为
1)   鼓励通过互联网获取知识,支持日常工作,进行信息的传递与沟通;
2)   互联网的使用应经过授权;
3)   生产网络、财务网络等有特殊安全要求的网段不能连接互联网。
4.7.4管理授权: 公司有权对员工的互联网使用进行监视和记录。
4.8传真机、复印机及长途电话使用指南
公司传真机、复印机及长途电话由综合管理中心负责管理,收发传真及复印文件时应由综合管理中心人员负责操作。
综合管理中心人员发送传真完毕后,应检查是否有文件遗漏在传真机旁;传真接收完毕后,应立即将传真文件交给发件人。
员工因为工作需要而发送传真的,对发送保密性高的文件,可由综合管理中心人员进行指导,由员工个人亲自发送,并提前以电话方式通知收件人现场接收。对涉及公司重大机密的文件不宜使用传真机发送,以免泄密。
员工不得利用公司传真机收发私人资料、文件。
普通传真由综合管理中心接收后送交相关部门。遇有重要传真,相关部门可提前通知综合管理中心注意接收,或与对方明确接收时间后在综合管理中心等待传真。
传真的接收及发送,文件的打印、复印使用原则上均需在综合管理中心保存记录。
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★


5.移动计算和远程工作管理程序
编号:/ISMSP-05A                                      修改状态:0

1.目的
确保在使用移动计算设备和员工远程工作设施时信息的安全。
2.范围
确因工作需要,需配置移动计算设备和远程工作的管理人员、技术人员。
3.职责
3.1项目负责人负责对移动计算设备的变更管理,移动计算和通讯设备的使用人应对物理设备和设备内数据的安全负责。
3.2技术研发部负责人负责对远程工作人员的访问权限进行设置以及提供技术支持,确保移动计算和远程访问的安全。
4.程序内容
4.1移动计算
4.1.1公司提供公用笔记本电脑作为项目会议和其他临时需要使用笔记本电脑的人员借用,借用人须填写《笔记本借出一览表》;
4.1.2所有笔记本电脑都要求设置登录账号和密码。公用笔记本电脑使用人必须用指定的账号密码进行登录,且不得擅自更改所使用的登录密码以及笔记本电脑的用户信息;
所有笔记本电脑必须安装病毒防护软件,并开启实时防护和自动升级功能。笔记本归还时,由笔记本归口管理负责人对其进行一次病毒扫描检查和硬件维护,确保设备处于良好的使用状态;
4.1.3笔记本借用人员须对笔记本电脑的物理安全负责,防止笔记本电脑的物理损坏和丢失;笔记本的重要目录应采用加密软件对其加密,以避免笔记本遗失导致公司的秘密泄露;
4.1.4及时对工作的笔记本电脑进行数据备份,以免发生意外事故时,重要数据资料的丢失;
4.1.5借用的笔记本期限不得超过一个星期,需要借用超过一周者要给出具体归还日期;
4.1.6归还笔记本时应自行保存好现有数据,归还后笔记本将由市场中心IT工程师做系统还原处理;同时检查并清理硬盘数据
4.2移动存储介质的使用
4.2.1只能使用公司购买的移动介质;
4.2.2如需要将移动存储设备带离公司,必须提出申请(在有移动介质的部门领《移动介质申请表》)经本部门经理批准后,方可领用;
4.2.3对于所有保存在移动存储设备上的信息资源,必须使用安全的加密保护措施,以确保信息资源的完整性及安全性;
4.2.4对于公司外存储设备的进入必须首先由项目负责人进行病毒及安全检查后,方可使用;
4.2.5对于公司内部存储设备,综合管理中心要定期进行检查,以避免病毒及其它安全问题出现。
4.3远程工作管理和访问授权
4.3.1技术研发部为需要远程工作的员工开通远程访问权限,员工需要填写《权限申请表》,取得所在部门经理同意后,软件产品中心、工程技术中心需要对远程访问权限进行严格管理,按最小权限原则进行设置;
4.3.2当员工的远程工作结束,须回软件产品中心、工程技术中心核销VPN登录权限,软件产品中心、工程技术中心注销账号远程访问权限;
4.3.3由于工作原因,公司客户或公司员工需要在公司外部访问公司FTP时,必须先填写《权限申请表》,专门申请外部FTP账号,经其部门经理及分管副总批准后,可对其开放外部FTP访问权限。
5、相关文件
   无
6、相关记录
《FTP权限申请表》
《笔记本借出一览表》
★重庆CMMI认证★重庆ISO27001认证★重庆ISO20000认证★重庆GJB5000A认证★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川GJB5000A认证★重庆CCRC认证★四川CCRC认证★

 

6.信息安全惩戒奖励管理程序
编号:/ISMSP-06A        &

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8