设为首页 | 加入收藏
认证专家 当前您的位置:软件信息产品认证>>认证专家
重庆CMMI认证---程序管理文件

 

程序文件

目录
一、公用部分 5
1.文件控制程序 5
2.记录控制程序 9
3.法律法规与其他要求程序 11
4.管理评审控制程序 13
5.公司环境分析控制程序 16
6.人力资源管理程序 19
7.内部审核控制程序 22
8.不符合、纠正与预防措施管理程序 25
二、信息安全 27
9.信息安全风险管理程序 28
10.用户访问控制程序 41
11.信息安全惩戒奖励管理程序 44
12.信息安全指南管理程序 47
13.移动计算和远程工作管理程序 55
14.物理安全区域安全管理程序 57
15. 信息处理设施管理程序 59
16. 变更管理程序 62
17. 信息系统监控管理程序 66
18. 病毒(恶意代码)和可移动代码防范管理程序 68
19. 业务数据备份管理程序 71
20.网络安全管理程序 75
21. 信息安全事件管理程序 78
22. 业务连续性管理程序 81
三、信息技术服务 84
23. 服务级别管理程序 84
24. 服务报告管理程序 93
25. 持续性管理程序 97
26. 可用性管理程序 1
27. 服务的预算和核算管理程序 8
28. 服务的策划与实施管理程序 14
29. 能力管理程序 23
30. 客户关系管理程序 28
31.供应商管理程序 33
32.事件管理程序 38
33.问题管理程序 47
34.配置管理程序 53
35.发布管理程序 58

 


一、公用部分
1.文件控制程序
   编号:ISMSP-01-1                                             修改状态:A/0

1 目的
为了对本公司ISMS要求的文件、资料进行有效控制,确保各相关场所使用现行有效版本的文件,保证其信息安全的保密性、完整性、可用性,特制定本程序。

2 范围
本程序适用于ISMS文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的控制要求。
3 职责与权限
3.1 总经理负责信息安全适用性声明、信息安全管理手册和信息安全政策的批准颁布。
3.2 管理者代表负责信息安全程序文件的批准颁布。
3.3 综合管理部负责外来文件的收录、批转和发放。
3.4体系管理部组织对信息安全管理手册、程序文件的制(修)订和管理控制。
3.5 其他部门
负责主管业务范围内ISMS文件的编制、修订并执行相关的保密规定。
4 程序
4.1 文件和资料的分类及标识
4.1.1 按来源分内部文件、外来文件。
4.1.2 按类别分:信息安全管理手册、程序文件、作业文件(包括操作规程、实施细则等)、相关方提出要求的文件、法律、法规性文件,其他管理制度、通知、计划等。
4.1.3 按受控状态分:受控文件、非受控文件。
4.1.4 按信息敏感性分:商业秘密、一般信息。

 

信息资产密级
商业
秘密 公司部门经理级以上人员可以访问的文件或数据,或只有某个/某些部门可以访问的文件或数据
一般信 息 对内对外全部可公开的信息
对于哪些文件或记录属于商业秘密在《资产识别清单》中识别,商业秘密文件或记录只有经授权的人员才能访问。
4.1.5 按呈现媒体形式分:书面、电子媒体。
4.2 内部文件
4.2.1 文件的编写
  信息安全适用性声明、信息安全管理手册、政策性文件由ISMS编写。
  信息安全程序文件由管理者代表组织各部门编写。
  技术规范文件、管理规定等文件由各部门收集或组织编写。
4.2.2 文件的编号
4.2.2.1信息安全管理手册编号:
ISMS-□□-□

 版本号
手册、适用性声明文件的顺序号
 信息安全管理手册/适用性声明的英文缩写
4.2.2.2 信息安全程序文件编号:
ISMSP-□□-□

 版本号
程序文件顺序号
 信息安全管理体系程序文件代号

 

4.2.2.3 (作业指导书)技术规范文件、管理规定文件等编号:
ISMSD-□□-□□-□
 版本号
 作业文件顺序号
部门拼音代码
 信息安全管理体系作业文件代号
4.2.3文件的批准
  信息安全适用性声明、信息安全管理手册和政策文件由ISMG审核、总经理批准;信息安全程序文件由各部门经理审核后,管理者代表批准。
作业文件由各部门负责人批准。
各文件管理部门应保存本部门所负责组织编写文件中的编写人、审核人、批准人签字的原始记录。
4.2.4 文件的发放
信息安全管理手册和程序文件由综合管理部统一编号发放,发布的文件存放在公司的文件服务器上,并根据信息安全管理体系确认体系覆盖的部门和人员确定管理手册和程序文件的发放范围,给相关人员阅读权限。
作业文件由综合管理部统一编号发放,发布的文件存放在公司的文件服务器上,并授予对应部门的阅读编辑权限。
对于发送给第三方的文件,需要经过管理者代表批准,并填写《文件发送(回收)清单》
4.2.5 文件的修改
文件内容需修改时,应由文件修改提出人或文件管理部门的工作人员填写《文件更改申请(通知)单》,提出更改意见并说明原因,在文件原审批人同意后,由综合管理部门工作人员负责修改。
文件修改后,文件修改人按原批准手续,重新审批。
电子版本文件的修改,需履行以上书面修改审批手续,由综合管理权限部门对其文件进行修改更新。
文件如有修订文件,首先将原文件转移到文件工作目录对应版本号的目录中,将新发布的文件放到对应的文件发布目录中。其中发布版本格式为:1.0、2.0、3.0……修订版本格式为:0.1、0.2……1.1、1.2……
4.2.6 文件的换版与作废
当上一个版本中的文件修订数量超过总数的一半时,将全部文件发布成新版本。
文件经过多次修改需要换版时,原版文件作废,换成新版的同时履行原批准手续。
4.2.7 文件的归档和借阅
信息安全管理手册和程序文件经审核、批准后,由综合管理部统一编号、登记,并应填写《文件和记录一览表》。
因工作需要临时访问文件资料的人员,经综合管理部负责人批准后方可阅读。
4.2.8 记录的保护
各部门应按照有关法律、法规要求和公司的《记录管理程序》明确规定重要记录的保存期限并提供适当的保护,防止丢失、损坏和伪造。
数据保护和个人信息隐私:
对处理与个人数据与信息有关的部门应按照国家法律法规的有关规定及相关方合同的约定,对其个人信息进行妥善管理与保护,防止丢失或泄漏个人秘密。
5 外来文件
对外来的文件由综合管理部负责收录、转发到相应的使用部门;需经公司最高管理层阅批的,由综合管理部统一办理后转发到相应的部门使用和管理。
6 文件的受控管理
发布文件放入对应的文件发布目录,未发布及历史文件存放在文件工作目录对应版本号的目录中。
受控文件不得随意自行打印、复印;如需要时,使用人可向文件归口部门申请阅读。
7 文件的保密管理
各部门存放电子媒体中需要保密的文件资料,应给文档加上6位数字以上的密码。根据本部门的需要可在安全的异地存有备份。
信息安全管理体系文件未经信息安全管理者代表授权,任何人不得采取任何形式将体系文件转给其他组织或人员使用,一经发现按《安全惩戒奖励管理程序》予以惩戒。
8 文件的评审
体系管理部在每年年底管理评审会议前组织各部门负责人及信息安全员对信息安全适用性声明、信息安全管理手册和程序文件进行一次评审。
当公司的组织机构发生重大的变化时,由体系管理部及时组织各部门负责人及信息安全员对信息安全管理手册和程序文件进行评审。
其他各部门的文件由各部门根据工作自行组织对文件进行评审。
9 相关文件
《信息安全惩戒奖励管理程序》
《记录管理程序》
10 记录
《文件更改申请(通知)单》
《文件发送(回收)单》
《文件和记录一览表》
 

2.记录控制程序
   编号:ISMSP-02-1                                                      修改状态:A/0

1.  目的
    为了建立健全管理体系记录,使记录的标识、收集、编目、查阅、归档、贮存、保存期限和处置处于受控状态,以提供符合要求和管理体系有效运行的客观证据,公司制定《记录控制程序》。
2.  适用范围
本程序适用于公司各职能部门记录的实施控制;  
本程序适用于公司信息安全管理体系/信息技术服务管理体系。
3. 术语和定义
    本程序引用ISO27001中的相关术语和定义。
4. 职责
4.1 公司综合管理部负责制定并监督实施本程序。负责记录的标识及对公司各部门记录控制工作进行监督检查。
4.2综合管理部负责管理体系文件的存档管理。
4.3公司各职能部门负责本部门记录的控制工作。
5. 工作程序
5.1记录的类别
公司各职能部门在管理体系运行过程中形成的各种记录表格、图片、录音等证据均为记录。记录包括:
    a)管理体系运行记录;
b)业务实现过程记录。
记录名称详见公司《记录清单》。
5.2记录的编制
5.2.1 综合管理部负责编制公司《记录清单》
5.2.2 公司各职能部门根据公司《记录清单》,编制本部门、本单位的《记录清单》,明确各项记录的责任人。
5.2.3记录须按规定要求填写,内容完整、真实及时、字迹清晰,不得任意涂改。
5.3记录的收集
5.3.1记录形式可以是纸张、光盘、照片、磁带、样件等各种媒体形式。
5.3.2 公司各职能部门按照本部门正在使用的表格 建立《记录清单》,由责任人收集、保管各项记录,保证记录及时、完整、真实。
5.4 记录的编号
5.4.1国家、地方、行业标准要求的记录编号按原有编号;
5.4.2 本公司过程记录的编号具体执行公司《文件控制程序》的规定。
5.5 记录的检索
5.5.1 各部门编制记录清单,对管理体系文件及产品资料归类;保管方式要分类、分项易于查找,便于存取,为查阅提供方便。
5.6 记录的保管、贮存
公司各部门所有记录应有专人保管,放置在干燥之处,防止损坏、变质和丢失。记录的保存期限在公司《记录清单》中明确。
5.7 记录的借阅
    记录的借阅要经保管部门主管领导批准,按规定办理借阅手续,借阅后及时收回并填写《发放回收(借阅)登记表》。
5.8 记录的存档
5.8.1 项目资料的归档具体执行的公司《文件控制程序》。
5.8.2除项目资料以外记录的存档具体执行公司有关规定。
6. 相关表格
 《记录清单》
 

3.法律法规与其他要求程序

编号:ISMSP-03-1                                                       修改状态:A/0

1.  目的
为了及时获取、识别、传递和更新适用于本公司的法律法规,保信息安全、信息技术服务管理体系的正常运行,以保证公司生产、经营、服务等管理活动符合相关的法律法规,公司制定《法律法规与其他要求程序》。
2.  适用范围
本程序适用于公司范围内法律、法规的获取、识别、传递和更新;
本程序适用于公司信息安全、信息技术服务管理体系。
3.  术语和定义
本程序引用ISO27001中的相关术语和定义。的相关术语和定义。
4.  职责
4.1管理者代表负责批准公司《法律法规总清单》,并传达满足法律法规的重要性。
4.2综合管理部负责制定和贯彻实施本程序,负责管理和定期公布公司有效的《法律法规总清单》。综合管理部负责接收上级下发的法律法规文件,并转发给公司相关职能部门。
4.3公司各职能部门负责获取的法律法规适用性的确认,经公司领导审批后发布,报综合管理部汇总备案。
5.  工作程序
5.1获取范围
a)国家有关的法律、法规、条例、规范;
b)省(市)地方法规和相关部委的规章;
c)国家、行业和地方的标准;
d)适用的国际公约、国际条约及国际惯例;
e)其他要求。
5.2获取途径
5.2.1转发到综合管理部的法律法规由综合管理部负责接收并及时转发给公司相关职能部门。
5.2.2公司各职能部门获取的法律法规确认其适用性,经公司领导批示后,传阅相关职能部门。
5.2.3公司各相关职能部门要通过报刊、杂志、互联网站、出版社、行业协会等途径及时获取与本公司相关的国家与地方性的法律法规,并确认其适用性,报公司领导批示后,转发给各相关职能部门。
5.3确认适用性
5.3.1公司各职能部门对于获取的法律法规,由本部门负责人对其版本、有效性及与公司产品、服务活动的适用性进行识别确认,经领导审批后,确认为公司和本部门适用的法律、法规,填入部门法律法规清单,并填写《法律法规获取(更新)登记表》,一式两份,报综合管理部备案。
5.3.2当现行的法律法规更新时,公司各相关职能部门应重新对其适用性予以确认,及时发放更改通知,并传递到综合管理部,填写《法律法规更新登记表》,一式两份,报综合管理部一份留存,并更改《法律法规清单》。
5.3.3综合管理部根据确认后的法律法规填写公司《法律法规总清单》,经公司总经理批准后,向有关单位发放。
5.3.4综合管理部每年更新《法律法规总清单》。
5.4对法律、法规及其他要求的符合性评价
综合管理部每次在管理评审时负责组织对公司的法律法规符合性进行一次评价。
5.5法律法规的管理
5.5.1综合管理部负责建立确认适用的《法律法规总清单》,并对总清单和留存的法律法规妥善保管,防止丢失。
5.5.2公司各职能部门对公司适用的法律法规进行归档管理,并根据适用和更新的情况随时予以更新。公司各职能部门将适用的法律法规原文发放给管理体系覆盖的各部门。
5.5.3公司各相关职能部门负责对本部门适用的法律法规,按国家、地方、行业分别建立清单,对获取或更新的法律法规如实填入清单,妥善保管并负责跟踪其变化。
5.5.4公司各职能部门应结合自己所承担的生产、经营、服务等管理活动的职责和内容组织对相应法律法规标准的学习、宣传或培训,培训工作具体执行公司《人力资源控制程序》。
6.  标准表格
(1)法律法规更新登记表
(2)法律法规清单
(3)法律法规评
4.管理评审控制程序

编号:ISMSP-04-1                                               修改状态:A/0

1. 目的
    为确定保持信息安全、信息技术服务管理体系运行持续的适宜性、充分性和有效性,定期实施管理评审活动,公司制定《管理评审控制程序》。
2. 适用范围
本程序适用于公司内部进行管理体系的管理评审工作。
3. 术语和定义
本程序引用ISO27001中的相关术语和定义。
管理评审:由最高管理者主持的对体系有效性、充分性有适宜性进行评审的会议。
4. 职责
    4.1 公司总经理(最高管理者)主持管理评审工作,审批《管理评审报告》。
    4.2 管理者代表负责公司管理评审工作的策划,审批《管理评审改进措施》,向公司总经理报告体系的运行情况。
    4.3 综合管理部负责管理评审的输入和输出,以及管理评审资料的收集、整理和存档。
4.4 公司各职能部门应为管理评审提供本部门在体系运行中存在的问题,并做出有效的分析、评价和改进的建议;按照管理评审做出的改进决定,制定《管理评审改进措施》,并组织实施。
5.工作程序
5.1 管理评审的实施
  5.1.1在管理体系审核的基础上,公司管理评审每年进行一次,两次管理评审的时间间隔不能大于12个月,以确保及时评审管理体系的有效性、充分性和适宜性,逐步形成良性的自我改进体系。
  5.1.2在公司管理体系的内部或外部环境有重大变化时:如新的相关法律、法规出台;市场形式发生变化;产品的生产新技术出现;质量概念及顾客的要求和期望的变化;组织内部在产品、过程、资源管理方面的重大变化,或他们对方针及目标的实现有较大影响时;组织的机构、职责分配、最高管理者、运行机构出现重大变化,应由公司总经理决定及时增加管理评审的次数。
  5.1.3管理评审采用最高管理者主持、公司各职能部门参加的会议评审方式。评审组成员由公司各部门管理人员组成,管理者代表及评审主管部门协助实施。
  5.2 管理评审的输入
  5.2.1输入信息包括:
    a) 内审、外审的结论和应改进的问题;
    b)在投标、软件开发、系统集成、运维实施中客户及相关方对产品或服务质量的满意程度、意见、建议乃至抱怨的问题;
c)各种过程实施的业绩和项目的质量状况及存在的问题;
d)安全指标的完成情况;
e)预防措施及纠正措施的实施、验证状况及应讨论的问题;
f)公司遵规守法情况;
    g)以往管理评审提出的改进措施跟踪验证情况;
h)由于内外部管理环境的变化,可能影响管理体系变更的、应与研讨的问题;
i) 管理体系职能部门、管理者代表、各层次机构提出应与改进的建议。
  5.2.2输入的信息应来自规范化的信息渠道,除了管理体系职能部门及管理者代表以外还要听取其他部门和人员的信息,以保证信息的全面性和准确性。
  5.2.3输入信息的人员、部门应同时做出有效的分析、评价和建议,以供会议评审之用。
  5.2.4管理体系审核报告、纠正和预防措施报告、服务工作报告等是管理评审重要的信息输入。
  5.3管理评审的输出
  5.3.1管理评审的输出应包括管理体系和过程的有效性、产品质量等三方面持续改进的决定和措施,以及不断满足顾客要求的措施。
  5.3.2管理评审的输出也包括资源需求的相关决定和措施。资源分为人力资源、基础设施及工作环境等三方面。
  5.3.3管理评审的输出还应包括对管理体系适宜性、充分性、有效性的评审结论。
  5.4管理评审工作列入公司议事日程。评审会议召开前,管理者代表组织有关人员进行调查研究,由综合管理部起草管理评审会议议题,报公司总经理同意后,印发给评审组成员准备相关内容。
  5.5公司总经理主持评审会议,评审组成员对公司管理体系运行的适宜性、充分性和有效性进行正式评审。形成结论性意见,管理体系需进一步改进或完善时,评审会议要做出改进决定。评审会议情况应予以书面记录。
  5.6 评审会议后, 综合管理部根据评审意见起草《管理评审报告》。《管理评审报告》经公司总经理审批后,分发公司有关领导和各职能部门。
  5.7 公司各职能部门根据管理评审做出的改进决定,制定管理评审改进措施,经管理者代表审批后,组织实施并确保改进效果; 综合管理部对改进措施执行情况进行跟踪检查,对改进效果进行验证后,填写《管理评审改进措施实施记录》,报管理者代表审批。
  5.8 管理评审记录的存档
  5.8.1综合管理部对管理评审工作中形成的各种资料,包括评审计划、通知、评审记录、改进措施及验证记录应予以收集、存档。
  5.8.2公司管理评审工作结束后, 综合管理部按照公司《文件控制程序》和《记录控制程序》的有关规定,对全部资料进行汇总、整理,公司各相关职能部门保存相关管理评审记录。

   6.  附件和标准表格
    标准表格::
    (1)《管理评审报告》
(2)《管理评审计划》

 

5.公司环境分析控制程序
编号:ISMSP-05-1                                                   修改状态:A/0

1 目的
为满足ISO27001标准的要求,确定与本公司目标和战略方向相关并影响实现管理体系预期结果的各种内部和外部因素,对其进行有效控制。
2 适用范围
适用于对本公司经营环境内外部因素识别、评价。
3 职责
3.1综合管理部为本程序的归口管理部门,负责组织本公司的内外部环境分析与评价。
3.2软件开发部负责技术风险分析、质量风险分析。
3.3 销售部负责市场风险分析及经营风险分析。
3.4财务部负责财务风险分析。
4 工作程序
4.1 风险识别时机:管理体系策划、企业宗旨变化、战略变化、内外部环境变化、组织及其背景、相关方的需求和期望变化。
4.2 参与风险管理的人员应经过综合管理部组织风险管理知识的培训,合格后方可进行。
4.3 需考虑的风险有:
4.3.1质量风险
a直接质量风险:产品质量问题,导致退货、换货、修理等风险。
b间接质量风险:产品使用过程,损坏了顾客的其它财产权或人身权,应负民事赔偿责任。
4.3.2环境风险
a产品销售淡季与旺季,影响顾客的采购,也间接影响公司产品生产,考虑库存。
b人文环境:主要体现在不同时间、不同地区、不同民族的人消费习惯不同。
c政策环境:国家宏观经济政策、经济环境的变动,以及个地方的相关政策的变动会间接的影响到企业资金融入以及企业运营的必要条件。
d经济环境:利率的变动、汇率的变动、同伙膨胀或通货紧缩等。
4.3.3经营风险
a原材料供应:主要包括了原材料的价格、质量和送货时间的变化、采购过程的欺诈行为,采购人员的疏忽,导致原材料数量以及质量上的不达标等。
b员工风险:采购人员、服务人员,技术人员和其他生产管理人员,由于他们的疏忽导致的风险,以及各岗位主要人员的离职等风险。
c设备:生产设备出现意外的故障,甚至损坏等。
d供销链风险:主要包括供应商及顾客违约,以及供应或销售渠道不畅通等风险。
e法律纠纷:消费者投诉等潜在的法律纠纷。
4.3.4市场风险
a市场容量:对市场容量的调查所采用的方法不合适,没有准确的弄清市场对象对产品的用量,使得产品的产量大于实际需求,而增加公司的投资风险。
b市场竞争力:对竞争对手的错误分析可能导致对我们的产品市场的竞争力高估或低估,引发期望值风险。
c价格风险:产品的价格风险受产品的成本、质量和声誉、顾客消费等的影响。
促销风险:促销风险包括促销活动的成本的控制、效果预测失误以及对品质的怀疑等。
4.3.5财务风险
a融资/筹资过程中的风险:比如风险筹资的费用很高, 而且受到政策限制较多,加大了筹资的不确定性。
b资金偿还过程中的风险:主要受到利率的影响,有极大的不稳定性,增加偿还风险。
c资金使用过程中的风险:主要表现为短期资金风险和长期资金投资风险。
d资金回收过程中的风险:应收款无法及时到位,增加了坏账的出现率。
e收益分配过程中的风险:主要表现在确认风险和对投资者进行收益分配不当而产生的风险。
4.4 环境因素分析、评价
SWOT分析法是用来确定企业自身的竞争优势、竞争劣势、机会和威胁,从而将公司的战略与公司内部资源、外部环境有机地结合起来的一种科学的分析方法。
SWOT分析,即基于内外部竞争环境和竞争条件下的态势分析,就是将与研究对象密切相关的各种主要内部优势、劣势和外部的机会和威胁等,通过调查列举出来,并依照矩阵形式排列,然后用系统分析的思想,把各种因素相互匹配起来加以分析。
优势,是组织机构的内部因素,具体包括:有利的竞争态势;充足的财政来源;良好的企业形象;技术力量;规模经济;产品质量;市场份额;成本优势;广告攻势等。
劣势,也是组织机构的内部因素,具体包括:设备老化;管理混乱;缺少关键技术;研究开发落后;资金短缺;经营不善;产品积压;竞争力差等。
机会,是组织机构的外部因素,具体包括:新产品;新市场;新需求;外国市场壁垒解除;竞争对手失误等。
威胁,也是组织机构的外部因素,具体包括:新的竞争对手;替代产品增多;市场紧缩;行业政策变化;经济衰退;客户偏好改变;突发事件等。
4.5构造SWOT矩阵
将调查得出的各种因素根据轻重缓急或影响程度等排序方式,构造SWOT矩阵。在此过程中,将那些对公司发展有直接的、重要的、大量的、迫切的、久远的影响因素优先排列出来,而将那些间接的、次要的、少许的、不急的、短暂的影响因素排列在后面。
4.6制定行动计划
在完成环境因素分析和SWOT矩阵的构造后,便可以制定出相应的行动计划。制定计划的基本思路是:发挥优势因素,克服弱点因素,利用机会因素,化解威胁因素;考虑过去,立足当前,着眼未来。运用系统分析的综合分析方法,将排列与考虑的各种环境因素相互匹配起来加以组合,得出一系列公司未来发展的可选择对策。
5 相关文件

 

 

 


6.人力资源管理程序

编号:ISMSP-06-16                                          修改状态:A/0

1.  目的
为了合理确定公司从事与信息安全、信息技术服务管理工作有关的人员资格要求,通过岗位技能评价,采取适当的教育、培训,以满足体系对人员能力、意识的要求,公司制定《人力资源管理程序》。
2.  适用范围
本程序适用于公司范围内人员评价、选择、培训的控制;
本程序适用于公司信息安全、信息技术服务管理体系。
3.  术语和定义
本程序引用ISO27001中的相关术语和定义。
人力资源:指本公司人员配置和使用情况。
4.  职责
本公司综合管理部归口管理。
5.  控制内容
5.1 输入控制:
 人力资源管理的输入要求包括:
a) 适宜的机构和岗位设置的需求;
b) 各岗位人员的能力要求。
        综合管理部负责编制《岗位入职要求 》,管代审核后,总经理批准执行。
5.2 输出控制:
        人力资源管理的输出结果包括:
a) 岗位人员的能力满足要求的证据;
b) 提供信息安全、信息技术服务管理体系运行的人力资源保证;
c) 在持续改进方面取得的业绩。
5.3 活动控制:
5.3.1对现有岗位员工能力的评价
综合管理部负责制定《岗位入职要求 》,确保能力评价的客观性和公正性。
5.3.2采取措施
5.3.2.1综合管理部根据《岗位入职要求》及公司运行状况,确定满足岗位能力要求所需的招聘、培训、转岗等措施,经总经理批准后实施。
5.3.2.2对招聘、转岗、升职的员工,应按《岗位入职要求 》进行考评,取得满足要求的证据,保证人力资源的合理配置。
5.3.3营造信息安全、信息技术服务意识
5.3.3.1各部门根据本公司信息安全、信息技术服务方针和目标,在全体员工中营造以顾客为关注焦点,追求卓越服务的意识,服务意识的培训包括:
a) 把信息安全、信息技术服务意识的要求,作为各岗位的第一要求;
b) 把意识的培养,作为各部门负责人的首要职责;
c) 提高对各岗位工作的相关性和重要性的认识;
d) 努力为实现信息安全、信息技术服务目标做出贡献。
5.3.3.2综合管理部在岗位能力要求、能力评价、人员配置和员工培训中,应贯彻、营造质量/环境/安全意识原则。
5.3.4员工培训内容
5.3.4.1综合管理部负责确定培训课程,内容包括企业文化与职业道德、规章制度、方针和目标、本公司信息安全、信息技术服务管理体系基础知识,每年底根据各部门的培训情况制定下一年度的培训计划,报管理者代表批准,作为全年安排员工进行培训的依据。
5.3.4.2各部门负责将本部门所需的培训内容报综合管理部汇总,经领导审核,总经理批准后,作为各岗位人员上岗前培训的依据。
5.3.4.3培训内容应随着本公司的竞争发展的需求、知识和技能的更新作出及时的调整。
5.3.5培训计划
5.3.5.1各部门根据需要编制《培训需求申请表》,上报综合管理部,综合管理部汇总审核后编制《年度培训计划》,报总经理批准后实施。
5.3.5.2培训计划应确定培训的目的、方式、时间、地点、人员、内容等有关要求。
5.3.5.3临时增加的培训项目,需补办批准手续。
5.3.6培训实施
5.3.6.1综合管理部负责制定培训制度,以确保培训工作的有效性,并安排培训有关事宜,组织学员按时参加培训,各部门填写《培训记录》。
5.3.6.2新员工须进行入职培训和岗前培训,考核合格后方可上岗。
5.3.6.3转岗人员须按新岗位能力要求进行岗前培训,考核合格后方可上岗。
5.3.6.4外出培训填报外出培训申请,经部门负责人审核,总经理批准后实施,培训结束后向综合管理部报培训总结和合格证书的有效证明,批准报销培训费用。
5.3.6.3综合这理部组织对员工培训的效果进行评估,并将效果填写在《培训记录》上。
5.3.7培训记录
 综合管理部应对全体员工的有关教育、经历、培训、技能等方面的记录进行保存.
5.4所需资源
a) 人力资源管理所必须的信息;
b) 培训所需的设施;
c) 培训所需的教员、教材。
5.5 劳动合同管理
与公司建立劳动关系的职工应与企业签订劳动合同,劳动合同的期限由企业根据工作情况与职工协商确定,按照《重庆市劳动合同规定》、公司《劳动合同管理办法》执行,其中有可能产生职业病危害的岗位,应在劳动合同(含聘用合同)中注明其工作中可能产生的职业病危害极其后果、职业病防护设施和待遇。建立劳动合同管理信息系统,劳动合同期限实施预警制。
5.6 职工健康状况监测
综合管理部根据实际情况组织公司职工进行健康状况监测,特种作业人员每年进行一次体检,一般职工每两年进行一次体检,做好职工体检情况统计与分析。
     5.7 综合管理部理根据公司发展情况,制订中长期《人力资源规划》由总经理审批。
     5.8综合管理部根据公司实际情况,制订《员工绩效考核制度》由总经理审批。综合管理部至少每年组织一次员工绩效考核实施。
6. 附件及标准表格
(1)培训计划   
(2)培训记录
 

7.内部审核控制程序
编号:ISMSP-07-1                                      修改状态:A/0

1 目的
验证公司管理体系是否符合信息安全、信息技术服务管理体系标准要求,是否得到有效实施、保持,为持续改进提供依据。
2 适用范围
适用于公司管理体系覆盖的所有区域和人员的内部审核活动的控制。
3 管理职责
3.1 管理者代表负责本公司管理体系内部审核工作;负责内审策划,任命内审组长,批准《内审实施计划》和《内部审核报告》。
3.2 公司综合管理部是内审的归口管理部门,在管理者代表的领导下具体组织、实施和协调内审活动的开展并管理内审文件和记录。
3.3 内审组长负责编制、实施本次《内审实施计划》;并编写《内部审核报告》。
3.4 公司各部门积极配合内审活动的开展,对出现的不合格进行纠正,进行不合格原因分析并采取相应纠正措施。
4 工作程序
4.1 内审策划
4.1.1 根据拟审核的过程和区域的状况、重要程度及以往审核的结果,由管理者代表负责策划审核方案,每年内审至少一次,时间间隔不能超过12个月。要求覆盖本公司管理体系的所有活动、部门和场所。
4.1.2 当出现以下情况时,由公司及时组织进行内审:
a)  组织机构、管理体系发生重大变化;
b)  出现重大产品质量问题,或业主有严重投诉;
c)  法律、法规及其他外部要求的变更;
a)  在接受第二、第三方审核之前;
e)  在认证证书到期换证前。
4.1.3 管理者代表任命内审组长和内审组。内审员不能审核自己的工作。
4.1.4 由内审组长编制本次《审核实施计划》,报管理者代表批准。计划主要包括:
a) 审核目的、范围、依据;
b)内审日程安排;
c)审核组成员及分工;
d)受审核部门及审核要点等。
4.1.5 在了解受审核部门的具体情况后,内审组长组织内审员编写《内审检查表》,详细列出审核项目、方法、依据,确保审核要求无遗漏,审核能顺利进行。
4.1.6 内审前7天将内审计划发至各相关部门,受审核部门对内审日程安排如有异议,应在内审前三天通知内审组长,以便对内审计划作出调整。
4.2  内审实施
4.2.1  首次会议
a) 参加人员:公司领导、管理者代表、内审组成员及各部门负责人,与会者签到,综合管理部保存会议记录。内审组长主持会议;
b) 会议内容:内审组长介绍内审目的、范围、依据、方法、组员和内审日程安排及其他有关事项。
4.2.2  现场审核
a) 内审组根据《内审检查表》对受审核部门的管理体系运行情况进行现场审核,将实施效果及不符合项详细记录在检查表中;
b) 内审组长召开内审小结会议,全面了解内审情况,对《不符合项报告》进行核对;
c) 内审员始终要确保审核过程的客观性和公正性,内审员不能审核自己的工作。
4.2.3 现场审核结束后,由内审组长召开审核组会议,汇总分析审核结果。依据标准、体系文件及有关法律法规要求,必要时依据与顾客签订的合同要求,确认不合格项,并发出《不符合项报告》给相关部门负责人确认。
4.2.4 末次会议
a)参加人员:公司领导、管理者代表、内审组成员及各部门负责人,与会者签到,综合管理部保存会议记录。内审组长主持会议;
b)会议内容:内审组长重申审核目的、范围和依据,宣读《不符合项报告》,提出完成纠正措施的要求
4.3 内审报告
4.3.1 现场审核后一周内,审核组长完成《内部审核报告》,交管理者代表批准后发放至各相关部门。
4.3.2  内审报告内容:
a)审核目的、范围和依据;
b)审核组成员;
c)审核过程综述;
d)不合格项分布情况分析;
e)对质量管理体系有效性、符合性评价及今后应改进的地方。
4.4 跟踪验证
4.4.1 针对每一个《不符合项报告》,责任部门应分析原因,制定纠正措施,报管理者代表批准。
4.4.2 责任部门按批准后的纠正措施计划实施。
4.4.3 内审员负责对纠正措施及实施效果进行跟踪验证,并报告验证结果。
4.5 内审结束后,内审组长负责将内审的全部资料和记录移交综合管理部存档。本次内审结果应作为管理评审的输入之一。
5 相关文件
5.1 《纠正、预防措施控制程序》
5.2 《管理评审控制程序》
6  记录
6.1 《内审计划》
6.2 《内审检查表》
6.3 《会议签到表》
6.4《不符合项报告》
6.5 《不合格项分布表》
6.6 《内部审核报告》
 

8.不符合、纠正与预防措施管理程序
编号:ISMSP-08-1                                        修改状态:A/0

1 目的
为了从根本上消除管理体系运行中产生不符合的原因及潜在不符合,采取适当的纠正或预防措施,防止不符合的发生或再次发生,避免或减少由此产生的影响。
2 适用范围
适用于对管理体系运行中可能产生不符合项(包括潜在不符合,以下统称不符合)的原因调查,以及采取的纠正、预防措施的管理。
3. 职责与权限
3.1 综合管理部管理活动中不符合和纠正预防措施管理的归口部门,负责对所检查出的不符合的纠正或预防措施实施情况进行跟踪验证。
3.2 各部门、项目负责对不符合项的原因进行分析,采取纠正或预防措施并实施。
3.3 公司管理者代表负责组织实施重大以及涉及多个部门的纠正或预防措施,并验证实施效果。
4. 控制要求
4.1不符合项的来源
4.1.1 日常监督检查、监测时发现的不符合项以及发生事故时产生的不符合项,由发现部门或人员开具《不符合、纠正与预防措施实施单》。
4.1.2 内审中发现不符合项按《体系审核管理程序》的要求进行纠正。
4.1.3 管理评审提出的有关要求和问题,按《管理评审管理程序》的要求进行。
4.1.4 相关方的抱怨,由信息接收部门根据其内容向负责部门传递,负责部门对抱怨进行处理和答复。如果构成了不符合项,由负责部门制定纠正和预防措施进行纠正。
4.2不符合项的类型
4.2.1 按照造成不符合项的原因,分为体系性不符合项和实施性不符合项。
4.2.2体系性不符合项是由于管理体系与标准要求不一致或与公司实际情况不适应而造成的不符合。
4.2.3实施性不符合项是由于没有按体系要求实施或违反相关法律法规及其他要求而造成的不符合。
4.3纠正或预防措施实施步骤
4.3.1发生不符合项的部门、项目应对不符合项进行原因分析,并应制定预防与纠正措施,明确负责人,并填写《不符合、纠正与预防措施通知单》,该纠正与预防措施应得到部门或单位负责人的审批。
4.3.2发生不符合项的部门、项目应按审批后的预防、纠正措施实施。
4.3.3发现不符合项的部门、项目应对不符合项的预防、纠正措施的落实情况进行跟踪验证;并填写《不符合、纠正与预防措施通知单》。
4.3.4由几个部门配合进行预防、纠正的不符合项,应由不符合项的主要责任部门负责组织实施,综合管理部督促落实情况并进行验证。
4.3.5纠正与预防措施若涉及文件修改,应按《文件和资料管理程序》的有关规定执行。
4.4 不符合项产生的部门、项目对产生的不符合(潜在不符合)纠正完毕后,通知发现部门、项目对纠正效果进行验证,并将《不符合、纠正与预防措施通知单》反馈给发现部门、项目。
4.5 对不符合项的纠正效果达不到要求时,应重新制定新的纠正或预防措施,并组织实施和验证效果。
4.6 各部门、项目发生的不符合项应限期整改,若在期限内不能整改的,应制定实施计划并予以说明原因。
5. 术语和定义

6. 相关文件与资料
6.1  文件控制程序
6.2  内部审核控制程序
6.3  管理评审管理程序
7. 记录
7.1 不符合、纠正与预防措施通知单           
 
                 
二、信息安全


 

9.信息安全风险管理程序
编号:ISMSP-09-1                                       修改状态:A/0

1 目的
本程序规定了本公司所采用的信息安全风险评估方法。通过识别信息资产及其脆弱性与漏洞、认知公司经营管理各环节存在的信息安全风险,综合考虑控制成本与代价、选择合适的控制目标与方式,将信息安全风险控制在可接受的水平,满足本公司信息安全管理方针的要求,确保公司经营管理活动相关的信息资产安全。
2 范围
本程序适用于公司在信息安全管理体系(ISMS)范围内开展的信息安全风险评估活动。
3 职责
3.1 综合管理部门归口管理本过程,负责组织相关领导、各部门负责人、各部门业务骨干、IT技术人员进行信息安全资产识别、风险评估、确定风险处置计划、并进行残余风险评估。
3.2 各部门负责部门内部信息资产的识别和风险评估,并负责实施批准的《风险处置计划》。
3.3 管理者代表负责批准各部门的《信息安全资产清单》、《重要信息安全资产清单》、《信息安全风险评估表》、《风险处置计划》、对残余风险进行批准。负责协调并为风险处置提供适当的资源。
4 风险评估的实施频率及评审
风险评估活动应定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。遇到以下情况,公司也将启动风险评估:
——增加了大量新的信息资产;
——业务环境发生了重大的变化;
——发生了重大信息安全事件。
5 程序
5.1 风险评估流程
5.1.1.  信息安全风险评估管理流程
 
5.1.2.  信息安全风险评估管理流程说明
编号 流程步骤 主责部门/岗位 流程说明 相关文档
01 制定评估计划 综合管理部门/部门负责人 综合管理部负责人负责组织制定“风险评估计划”,发送各部门。“风险评估计划”包括:评估时间要求、评估人员组成、各部门工作要求等内容。 信息安全风险评估计划
02 信息安全资产识别 各部门 各部门负责人组织本部门员工按照本文件要求进行本部门信息安全资产的识别,形成《信息安全资产清单》,和《重要信息安全资产清单》,经部门负责人审核确认后,提交管理者代表批准。 信息安全资产清单
重要信息安全资产清单
03 风险识别、分析 各部门 各部门负责人组织本部门信息安全资产威胁、脆弱性识别,及风险分析,并填写在《风险评估表》中,经部门负责人审核确认后提交管理者代表批准。 风险评估表
04 制定风险处置计划 综合管理部 综合管理部根据各部门提交的审批通过的《风险评估表》,对不可接受的风险组织制定《风险处置计划》,《风险处置计划》中应明确为弥补弱点所采取的安全措施、责任部门等。安全措施的选择应从管理与技术两个方面考虑。
《风险处置计划》由综合管理部编制后,经管理者代表审核,最高管理者批准后实施。 风险处置计划
05 实施 各部门 各部门负责按照《信息安全风险处置计划》要求实施。
各部门应将风险处置计划的完成情况于规定的时间报行怎么部汇总,对风险处理过程中所提出的资源上的需求和出现的问题报最高管理者,确保风险处置计划的有效执行。 风险处置计划
06 残余风险评估 各部门 综合管理部组织各部门对《信息安全风险处置计划》实施后的风险进行再评估,填写《信息安全风险评估表》,看残余风险是否降低到了可接受范围内,如果没有,则需要重新制定《信息安全风险处置计划》或获得管理者对残余风险的批准。 风险评估表

07 形成风险评估报告 综合管理部 综合管理部负责编制《信息安全风险评估报告》,陈述公司信息安全管理现状,分析存在的信息安全风险,提出信息安全管理的建议和措施,以及仍存在的残余风险,提交管理层审核,最高管理者批准。 信息安全风险评估报告
5.2 资产识别
5.2.1. 信息资产分类
资产分类 代号 示例
文档和数据 D 1)保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等(项目开发过程中产生的过程文档)
2)纸质的各种文件,如传真、电报、财务报告、发展计划等(公司经营中产生的行政文档)
软件和系统 R 系统软件:操作系统、语言包、工具软件、各种库等
应用软件:外部购买的应用软件,外包开发的应用软件等
源程序:各种共享源代码、自行或合作开发的各种代码等开发工具
硬件和设施 H 网络设备:路由器、网关、交换机等
计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
传输线路:光纤、双绞线等
保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等
安全保障设备:防火墙、入侵检测系统、身份验证等
其他:打印机、复印机、扫描仪、传真机等
服务 S 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务
网络服务:各种网络设备、设施提供的网络连接服务
  信息服务:对外依赖该系统开展的各类服务
人员 P 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
其他 O  

5.3 资产赋值
5.3.1. 机密性赋值
根据资产在机密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响,见下表:
赋值 标识 定义
5 很高 包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
4 高 包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3 中等 组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2 低 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1 很低 可对社会公开的信息,公用的信息处理设备和系统资源等
5.3.2. 完整性赋值
根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响,见下表:
赋值 标识 定义
5 很高
 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。
4 高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。
3 中等 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补。
2 低 完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补。
1 很低 完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略。
5.3.3. 可用性赋值
根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度,见下表:
赋值 标识 定义
5 很高 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断。
4 高 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟。
3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。
2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟。
1 很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%。
5.3.4. 资产重要性
资产重要性(价值)应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出,本公司资产重要性评价计算模型如下:
资产价值重要性=(机密性*0.5+完整性*0.3+可用性*0.2)四舍五入取整
根据资产在重要性上的不同赋值结果,将其分为五个不同的等级,3级以上属本公司重要信息资产,评估工作以重要信息资产为主,见下表:

等级 标识 描述
5 很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失。
4 高 重要,其安全属性破坏后可能对组织造成比较严重的损失。
3 中 比较重要,其安全属性破坏后可能对组织造成中等程度的损失。
2 低 不太重要,其安全属性破坏后可能对组织造成较低的损失。
1 很低 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计。
5.4 威胁识别
5.4.1. 威胁分类
按威胁来源分类,见下表:
来源 描述
环境因素 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通讯线路方面的故障。
人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。
 非恶意人员 内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。
按威胁的表现形式分类,见下表:
种类 描述 威胁子类
软硬件故障 由于设备硬件故障、通讯链路中断、系统本身或软件缺陷造成对业务实施、系统稳定运行的影响。 设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障。
物理环境影响 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题或自然灾害。 
无作为或操作失误 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响。 维护错误、操作失误
管理不到位 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行。 
恶意代码和病毒 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码。 恶意代码、木马后门、网络病毒、间谍软件、窃听软件
越权或滥用 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为。 未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息

网络攻击 利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造和欺骗、拒绝服务等手段,对信息系统进行攻击和入侵。 网络探测和信息采集、漏洞探测、嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏
物理攻击 通过物理的接触造成对软件、硬件、数据的破坏。 物理接触、物理破坏、盗窃
泄密 信息泄露给不应了解的他人。 内部信息泄露、外部信息泄露
篡改 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用。 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息
抵赖 不承认收到的信息和所作的操作和交易。 原发抵赖、接收抵赖、第三方抵赖

5.4.2. 威胁赋值
评估组综合评价威胁出现的频率,包括:
 以往安全事件(事故)报告(记录)中出现过的威胁及其频率的统计;
 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
 近一两年来国际、国内权威安全机构发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警。
通过威胁发生的频率将威胁划分为5个等级,等级数值越大,威胁出现的频率越高,见下表:
等级 标识 定义
5 很高 出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。
4 高 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。
3 中 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。
2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过。
1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。

5.5 脆弱性识别
脆弱性是对一个或多个资产弱点的总称,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点,威胁总是要利用资产的弱点才可能造成危害。
评估组针对每一项需要保护的重要资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;
5.5.1. 脆弱性识别内容
脆弱性识别的主要内容见下表:
类型 识别对象 识别内容
技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。
 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
 系统软件(含操作系统及系统服务) 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别。
 数据库软件 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。
 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别。
 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。
管理脆弱性 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。
 组织管理 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。

5.5.2. 脆弱性赋值
根据对资产的损害程度、技术实现的难易程度、脆弱性的严重程度将脆弱性划分为5个定级,数值越大,脆弱性严重程度越高,见下表:
等级 标识 定义
5 很高 如果被威胁利用,将对资产造成完全损害。
4 高 如果被威胁利用,将对资产造成重大损害。
3 中 如果被威胁利用,将对资产造成一般损害 。
2 低 如果被威胁利用,将对资产造成较小损害。
1 很低 如果被威胁利用,将对资产造成的损害可以忽略。

5.6 现行安全措施确认
在识别脆弱性的同时,评估组应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响,如业务持续性计划。
5.7 风险分析
通过对信息资产机密性、完整性、可用性及资产重要度的识别,以及对威胁、脆弱性、现行安全措施的调查与数据收集,安全评估小组综合分析、评估信息资产的安全风险。
5.7.1. 风险计算
安全事件发生的可能性= (取整数)
安全事件的损失=  (取整数)
风险值= (取整数)
残余风险=按计划采取安全措施后的风险值
5.7.2. 风险结果判定
根据风险值对应风险等级见下表:
等级(风险值) 标识 描述
5 很高 一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。
4 高 一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。
3 中 一旦发

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8