有限公司信息安全管理手冊

年4月19日有限公司信息安全管理手冊文檔僅供參考xxxx有限公司信息安全管理手冊密級□機(jī)密□保密■內(nèi)部使用□公開信息受控狀態(tài)■受控□非受控-12-01-12-01頒布封面-01-01實施深圳市xxxx有限公司信息中心發(fā)布文件歷史控制記錄文件名稱信息安全管理手冊文件編號IT-IT-M-0003對應(yīng)OA文號版次編制與修訂概要完成日期狀態(tài)角色人員編寫初審會簽審核批準(zhǔn)前言隨著xxxx有限公司業(yè)務(wù)發(fā)展日益增長,信息交換互連面也隨之增大,信息業(yè)務(wù)系統(tǒng)依賴性擴(kuò)大,所帶來的信息安全風(fēng)險和信息脆弱點也逐漸呈現(xiàn),原有信息安全技術(shù)和管理手段很難滿足當(dāng)前和未來信息化安全的需求,為確保xxxx有限公司信息及信息系統(tǒng)的安全,使之免受各種威脅和損害,保證各項信息系統(tǒng)業(yè)務(wù)的連續(xù)性,使信息安全風(fēng)險最小化,xxxx有限公司每年開展網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險評估及等級保護(hù)測評,定期對等級保護(hù)測評與風(fēng)險評估活動過程中的風(fēng)險漏洞進(jìn)行全面整改,分析了信息安全管理上的不足與缺陷,編制了差距測評報告。經(jīng)過開展信息安全風(fēng)險評估和等級保護(hù)測評,了解xxxx有限公司信息安全現(xiàn)狀和未來需求,為建立xxxx有限公司信息安全管理體系奠定了基礎(chǔ)。7月開展信息安全管理體系持續(xù)改進(jìn)建設(shè),依據(jù)信息安全現(xiàn)狀和未來信息安全需求及GB/T22080-/ISO/IEC27001:信息安全管理體系的標(biāo)準(zhǔn)要求,建立了符合xxxx有限公司信息安全管理現(xiàn)狀和管理需求的信息安全管理體系,該體系覆蓋了GB/T22080-/ISO/IEC27001:信息安全管理體系的標(biāo)準(zhǔn)要求12個控制領(lǐng)域、39個控制目標(biāo)和133個控制措施。本手冊是xxxx有限公司信息安全管理體系的綱領(lǐng)性文件,由信息中心歸口負(fù)責(zé)解釋。信息安全管理手冊頒布令xxxx有限公司(以下簡稱公司)依據(jù)GB/T22080-/ISO/IEC27001:信息安全管理體系標(biāo)準(zhǔn)要求,結(jié)合限公司實際情況,在原有的各項管理制度的基礎(chǔ)上編制完成了<xxxx有限公司信息安全管理體系手冊>第一版,現(xiàn)予以批準(zhǔn)實施。<xxxx有限公司信息安全管理體系手冊>是公司在信息及信息系統(tǒng)安全方面的規(guī)范性文件,手冊闡述了限公司信息安全服務(wù)方針,信息安全目標(biāo)及信息安全管理體系的過程方法和策略,是公司信息安全管理體系建設(shè)實施的綱領(lǐng)和行動準(zhǔn)則,是公司開展各項服務(wù)活動的基本依據(jù);是對社會各界證實我公司有能力穩(wěn)定地提供滿足國際標(biāo)準(zhǔn)信息安全要求以及客戶和法律法規(guī)相關(guān)要求的有效證據(jù)。適合公司信息化當(dāng)前發(fā)展趨勢需求,且內(nèi)容充分、表示準(zhǔn)確,現(xiàn)予頒布。本手冊定于8月1日起實施,屬強(qiáng)制性文件,要求各部門所有人員必須正確理解并嚴(yán)格貫徹全面執(zhí)行。xxxx有限公司總經(jīng)理簽名:日期:01月01日公司介紹企業(yè)簡介xxxx有限公司(以下簡稱xxxx)始創(chuàng)于4月,大致經(jīng)過三個發(fā)展階段:第一階段,—,為創(chuàng)業(yè)期,全力開拓市場,實現(xiàn)在競爭激烈的行業(yè)中立足;第二階段,—,為整合期,整合一切有效資源,重力推出新產(chǎn)品,奠定以優(yōu)質(zhì)產(chǎn)品占據(jù)市場的方向,梳理并確立了經(jīng)營理念、發(fā)展愿景、經(jīng)營方針,完成了股份制改革;第三階段,—至今,為蛻變期,立足電氣傳動、工業(yè)控制領(lǐng)域,為全球用戶提供專業(yè)化產(chǎn)品和服務(wù),于在深交所A股上市,股票代碼:002334,步入不斷提升企業(yè)核心競爭力,并實現(xiàn)飛躍的階段。當(dāng)前xxxx設(shè)有國內(nèi)辦事處30多個,海外辦事處2個,擁有海內(nèi)外經(jīng)銷合作伙伴上百家,用戶遍布全球50多個國家和地區(qū)。xxxx是國家級高新技術(shù)企業(yè),擁有深圳市唯一的”變頻器工程技術(shù)研究開發(fā)中心”。在吸收國外先進(jìn)技術(shù)的基礎(chǔ)上,結(jié)合近十年變頻推廣應(yīng)用經(jīng)驗和當(dāng)今電力電子最新控制技術(shù),研制出高、中、低壓通用及各行業(yè)專用變頻器、交流伺服系統(tǒng)、制動單元、能量回饋單元等產(chǎn)品。并在市政、建材、塑膠、油田、機(jī)械、化工、冶金、紡織、印刷、機(jī)床、礦山等行業(yè)廣泛應(yīng)用。xxxx變頻器產(chǎn)品包括低壓CHA/CHV/CHE/CHF/各行業(yè)專用系列、中壓660V/1140V系列、高壓CHH(3KV/6KV/10KV)系列等,功率范圍涵蓋0.4～8000kW,滿足不同行業(yè)不同場合的各種變頻控制應(yīng)用需求。成熟矢量控制技術(shù)、各行業(yè)專用變頻控制技術(shù)的掌握以及國際領(lǐng)先四象限控制技術(shù)的突破使xxxx的發(fā)展持續(xù)領(lǐng)先,成為中國變頻器行業(yè)的領(lǐng)導(dǎo)者。高性能交流伺服系統(tǒng)的開發(fā)與成功應(yīng)用標(biāo)志著xxxx向運(yùn)動控制領(lǐng)域的拓展與延伸。xxxx在”眾誠德厚、業(yè)精志遠(yuǎn)”的經(jīng)營理念指導(dǎo)下,堅持在不斷創(chuàng)新、精益求精中與包括員工、股東、供應(yīng)商、客戶等廣大合作伙伴共同發(fā)展,公司的自主創(chuàng)新及品牌美譽(yù)度在行業(yè)中已經(jīng)占有重要地位,并得到社會的廣泛認(rèn)同。企業(yè)文化經(jīng)營理念:眾誠德厚業(yè)精志遠(yuǎn)愿景:成為全球領(lǐng)先、受人尊敬的電氣傳動、工業(yè)控制領(lǐng)域的產(chǎn)品和服務(wù)供應(yīng)商。使命:竭盡全力提供物超所值的產(chǎn)品和服務(wù),讓客戶更有競爭力。經(jīng)營方針:創(chuàng)新品質(zhì)標(biāo)準(zhǔn)化共同發(fā)展核心價值觀:眾誠德厚拼搏創(chuàng)新人才理念:人才是企業(yè)第一資本尊重人才,經(jīng)營人才質(zhì)量方針:提供不斷優(yōu)化的產(chǎn)品和服務(wù),提高客戶滿意度。企業(yè)標(biāo)識:標(biāo)識釋義:xxxx企業(yè)標(biāo)徽有兩種色彩:xxxx紅(M100Y80)、xxxx藍(lán)(C100M80K40),紅色體現(xiàn)進(jìn)取和活力,藍(lán)色象征包容和專注的鉆研精神。字體設(shè)計簡潔、凝聚、渾厚、擴(kuò)張,傳達(dá)xxxx經(jīng)過與合作伙伴和員工的合力凝聚堅固產(chǎn)品品質(zhì),厚重企業(yè)誠信、拼搏創(chuàng)新、走向國際、再創(chuàng)新高的思想。”INVT”是變頻器(inverter),也是創(chuàng)新(innovation)和美德(virtue)的結(jié)合,是xxxx核心價值觀”眾誠德厚,拼搏創(chuàng)新”的標(biāo)識承載;首字母”i”色彩紅藍(lán)結(jié)合,強(qiáng)調(diào)xxxx企業(yè)——個人與團(tuán)隊、個人與公司、xxxx與客戶、供應(yīng)商的相互信賴,共同發(fā)展;紅色圓點是旭日也是星球,藍(lán)色體現(xiàn)企業(yè)所在地域——濱海城市深圳,體現(xiàn)xxxx電氣立足本土,致力于成為全球領(lǐng)先、受人尊敬的電氣傳動、工業(yè)控制領(lǐng)域產(chǎn)品/服務(wù)供應(yīng)商的遠(yuǎn)景目標(biāo)。信息安全管理目標(biāo)根據(jù)國家信息安全等級保護(hù)要求、公司下達(dá)的目標(biāo)與指標(biāo)、公司信息化發(fā)展戰(zhàn)略目標(biāo)、信息安全風(fēng)險評估結(jié)果、信息用戶的滿意度,結(jié)合公司實現(xiàn)目標(biāo)所需的資源,識別公司的信息安全目標(biāo)與指標(biāo)。公司每年年底制定下一年度的信息安全目標(biāo)與指標(biāo),公司制定完成信息安全目標(biāo)與指標(biāo)的工作計劃,將目標(biāo)、指標(biāo)的層層分解,并落實完成。下列是詳細(xì)的信息安全目標(biāo):目標(biāo)類別目標(biāo)項目標(biāo)值目標(biāo)換算方法統(tǒng)計周期信息安全目標(biāo)不可接受風(fēng)險處理率100%(不可接受風(fēng)險數(shù)處理數(shù)/不可受風(fēng)險總數(shù))×100%年機(jī)密信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計年秘密信息泄密事件0次按實際發(fā)生次數(shù)統(tǒng)計年特別重大突發(fā)事件(Ⅰ級)0次按實際發(fā)生次數(shù)統(tǒng)計年重大突發(fā)事件(Ⅱ級)0次按實際發(fā)生次數(shù)統(tǒng)計年較大突發(fā)事件(Ⅲ級)0次按實際發(fā)生次數(shù)統(tǒng)計年一般突發(fā)事件(Ⅳ級)0次按實際發(fā)生次數(shù)統(tǒng)計年內(nèi)部審核及管理評審實施及時率100%按計劃實施年員工入職培訓(xùn)完成率100%(入職員工參訓(xùn)人數(shù)/入職員工總數(shù))×100%年信息安全培訓(xùn)計劃完成率100%(實際培訓(xùn)次數(shù)/計劃培訓(xùn)次數(shù))×100%年信息安全運(yùn)行指標(biāo)大面積感染計算機(jī)病毒次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計年由于網(wǎng)絡(luò)故障導(dǎo)致關(guān)鍵業(yè)務(wù)中斷次數(shù)0次按實際發(fā)生次數(shù)統(tǒng)計年員工保密協(xié)議簽訂率100%(實際簽訂人數(shù)/入職總?cè)藬?shù))×100%年重要信息備份及時率100%(實際備份數(shù)/計劃備份數(shù))×100%年內(nèi)部審核不符合項整改率≥90%(不符合項整改完成數(shù)/不符合項總數(shù))×100%年計算機(jī)故障處理完成率100%(實際處理數(shù)/故障總數(shù))×100%年容量不足導(dǎo)致業(yè)務(wù)故障次數(shù)≤3按實際發(fā)生次數(shù)統(tǒng)計年計算機(jī)口令強(qiáng)度符合率100%(帳號符合數(shù)/帳號總數(shù))×100%年注:公司的信息安全目標(biāo)不限此,可根據(jù)各部門的實際業(yè)務(wù)進(jìn)行調(diào)整或分解。信息安全會議信息安全會議要求公司應(yīng)在每年一次的信息化工作會議上,總結(jié)匯報本年度的信息安全工作情況。公司應(yīng)在每季度召開的計算機(jī)管理會議中,總結(jié)本季度的信息安全工作情況。公司信息中心應(yīng)在每月召開的信息管理工作例會中,總結(jié)本月的信息安全工作情況。公司應(yīng)根據(jù)風(fēng)險變化的需要或在重大活動期間,不定期召開信息安全專題會。信息安全會議記錄管理公司應(yīng)及時制定相關(guān)的信息安全管理文件、信息安全數(shù)據(jù)與記錄。信息安全管理數(shù)據(jù)與記錄包括:信息安全會議紀(jì)要信息安全事故調(diào)查報告信息安全事件整改報告信息安全檢查整改方案信息安全審計記錄技術(shù)檔案資料培訓(xùn)記錄信息安全作業(yè)活動數(shù)據(jù)與記錄信息安全事件通報、整改活動信息安全檢查活動應(yīng)急演練活動信息系統(tǒng)定級備案活動信息安全審計活動信息安全風(fēng)險評估活動數(shù)據(jù)與記錄要求:真實、完整、齊全、準(zhǔn)確、及時。信息文件的管理根據(jù)精簡、高效的原則,制定公司信息安全工作和管理流程,包括:信息安全管理流程信息安全事件處理流程信息安全應(yīng)急流程其它相關(guān)流程每年回顧流程的效率,必要時修訂、增加或廢除不必要的流程或環(huán)節(jié)。信息安全管理流程和信息安全事件處理流程納入信息安全管理體系中管理信息安全應(yīng)急流程納入<xxxx有限公司網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案>中管理。根據(jù)管理變化、技術(shù)變化,公司定期修訂如下:更新管理手冊、程序文件、作業(yè)指導(dǎo)書或管理制度、辦法;更新培訓(xùn)要求;更新應(yīng)急處理程序;對涉及到的所有信息安全風(fēng)險進(jìn)行回顧分析;變化管理需文件化,并保存變化過程的相關(guān)記錄。信息安全管理體系總則為了加強(qiáng)xxxx有限公司(以下簡稱”xxxx有限公司或公司”)信息安全管理工作,保護(hù)信息系統(tǒng)的安全,促進(jìn)信息系統(tǒng)的應(yīng)用和發(fā)展,根據(jù)國家有關(guān)法律法規(guī),以及變頻器行業(yè)的管理規(guī)范、行業(yè)標(biāo)準(zhǔn),并遵照公司信息系統(tǒng)安全的有關(guān)規(guī)定,特制定本手冊。信息系統(tǒng)的安全保護(hù)范圍包括各信息系統(tǒng)相關(guān)的和配套的軟件、硬件、信息、網(wǎng)絡(luò)和運(yùn)行環(huán)境的安全。xxxx有限公司信息系統(tǒng)安全管理應(yīng)遵循”統(tǒng)一規(guī)劃、預(yù)防為主、集中管理、分層保護(hù)、明確責(zé)任”的原則。xxxx有限公司運(yùn)行中的信息系統(tǒng)是支撐生產(chǎn)的運(yùn)行設(shè)備,各級安全生產(chǎn)責(zé)任人對其職責(zé)范圍內(nèi)的信息系統(tǒng)安全運(yùn)行負(fù)有安全管理責(zé)任。任何人不得利用信息系統(tǒng)從事危害國家利益、集體利益和其它公民權(quán)益的活動,不得從事危害xxxx有限公司信息系統(tǒng)安全的活動。本手冊適用于公司本部、各基層單位的信息系統(tǒng)的安全保護(hù)工作。公司多經(jīng)企業(yè)參照執(zhí)行。規(guī)范性引用標(biāo)準(zhǔn)<信息安全等級保護(hù)管理辦法>(公通字[]43號)<信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求>(GB/T22239-)<信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南>(GB/T22240-)<信息安全技術(shù)信息安全管理實用規(guī)則>(GB/T22081-)<信息安全技術(shù)信息安全風(fēng)險評估規(guī)范>(GB/T20984-)國家相關(guān)法律、法規(guī)及合同的要求。術(shù)語與定義資產(chǎn)asset任何對組織有價值的東西?？捎眯詀vailability根據(jù)授權(quán)實體的要求可訪問和利用的特性。保密性confidentiality信息不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。信息安全informationsecurity保證信息的保密性、完整性、可用性;另外也可包括諸如真實性,可核查性,不可否認(rèn)性和可靠性等特性。信息安全事態(tài)informationsecurityevent信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)。信息安全事件informationsecurityincident一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成,它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。信息安全管理體系informationsecuritymanagementsystem是整個管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法,來建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的。注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實踐、程序、過程和資源。完整性integrity保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。殘余風(fēng)險residualrisk經(jīng)過風(fēng)險處理后遺留的風(fēng)險。風(fēng)險接受riskacceptance接受風(fēng)險的決定。風(fēng)險分析riskanalysis系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險。風(fēng)險評估riskassessment風(fēng)險分析和風(fēng)險評價的整個過程。風(fēng)險評價riskevaluation將估計的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程。風(fēng)險管理riskmanagement指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動。風(fēng)險處理risktreatment選擇而且執(zhí)行措施來更改風(fēng)險的過程。注:在本標(biāo)準(zhǔn)中,術(shù)語”控制措施”被用作”措施”的同義詞。適用性聲明statementofapplicability描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。信息系統(tǒng)是指由計算機(jī)及其相關(guān)配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng),包括管理信息系統(tǒng)和生產(chǎn)控制系統(tǒng)。信息安全保持信息的保密性、完整性和可用性,另外也可包括諸如真實性,可核查性,不可否認(rèn)性和可靠性等。信息系統(tǒng)運(yùn)行單位是指信息系統(tǒng)資產(chǎn)歸屬單位,對于托管的信息系統(tǒng)有另行約定的除外。信息安全工作人員是指包括信息安全管理人員、信息安全技術(shù)人員(包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等信息安全相關(guān)設(shè)備的管理員)和信息安全審計員。信息工作人員是指與關(guān)鍵信息系統(tǒng)(涉及公司生產(chǎn)、建設(shè)與經(jīng)營、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng))直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員、關(guān)鍵業(yè)務(wù)信息系統(tǒng)操作人員等。第三方是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商以及其它外協(xié)單位。第三方人員是指包括軟件開發(fā)商出、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商、服務(wù)提供商及其它外協(xié)服務(wù)單位的工作人員,以及實習(xí)學(xué)生和其它臨時工作人員。信息資產(chǎn)是指公司在生產(chǎn)、經(jīng)營和管理過程中,所需要的以及所產(chǎn)生的,用以支持(或指導(dǎo)、或影響)公司生產(chǎn)、經(jīng)營和管理的一切有用的數(shù)據(jù)和資料等非財務(wù)的無形資產(chǎn),其范圍包括現(xiàn)在的和歷史的。信息系統(tǒng)運(yùn)行維護(hù)單位是指與信息系統(tǒng)運(yùn)行單位簽訂維護(hù)合同的專業(yè)服務(wù)提供商。信息安全等級保護(hù)是指根據(jù)國家信息安全等級保護(hù)相關(guān)管理文件,確定信息系統(tǒng)的安全保護(hù)等級,并開展相應(yīng)的信息系統(tǒng)安全等級保護(hù)工作。信息安全評估是指,按照<管理辦法>和有關(guān)技術(shù)標(biāo)準(zhǔn),開展信息系統(tǒng)安全等級保護(hù)的自查自糾、差距評測、安全整改等續(xù)工作。安全風(fēng)險管理是指采用風(fēng)險管理的理念與方法來識別、評估信息系統(tǒng)面臨的風(fēng)險,制定風(fēng)險控制措施,并將風(fēng)險降低到可接受的程度,安全風(fēng)險管理包括風(fēng)險評估和風(fēng)險控制。注:基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于信息安全的業(yè)務(wù)要求,制定控制目標(biāo)和控制措施。標(biāo)準(zhǔn)縮寫ISMS:信息安全管理體系(InformationSecurityManagementSystems);SoA:適用性聲明(StatementofApplicability);PDCA:建立、實施和運(yùn)行、監(jiān)視和評審、保持和改進(jìn)(Plan、Do、Check、Act)。信息安全管理體系總要求根據(jù)GB/T22080-/ISO/IEC27001:信息安全管理體系要求標(biāo)準(zhǔn)在整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系。ISMS所涉及的過程基于以下PDCA模式:建立建立ISMS保持和改進(jìn)ISMS實施和運(yùn)作ISMS監(jiān)控&評審ISMS相關(guān)方已被管理的信息安全相關(guān)方信息安全要求&期望、法律法規(guī)策劃(D)措施實施檢查圖4-1PDCA模型規(guī)劃(建立ISMS)建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序,以提供與組織總方針和總目標(biāo)相一致的結(jié)果。實施(實施和運(yùn)行ISMS)實施和運(yùn)行ISMS方針、控制措施、過程和程序。檢查(監(jiān)視和評審ISMS)對照ISMS方針、目標(biāo)和實踐經(jīng)驗,評估并在適當(dāng)時,測量過程的執(zhí)行情況,并將結(jié)果報告管理者以供評審。處理(保持和改進(jìn)ISMS)基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其它相關(guān)信息,采取糾正和預(yù)防措施,以持續(xù)改進(jìn)ISMS。本手冊中提出的用于信息安全管理的過程方法鼓勵其用戶強(qiáng)調(diào)以下方面的重要性:理解xxxx有限公司的信息安全要求和建立信息安全方針與目標(biāo)的需要;從組織整體業(yè)務(wù)風(fēng)險的角度,實施和運(yùn)行控制措施,以管理xxxx有限公司的信息安全風(fēng)險;監(jiān)視和評審ISMS的執(zhí)行情況和有效性;基于客觀測量的持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用了”規(guī)劃(Plan)-實施(Do)-檢查(Check)-處理(Act)”(PDCA)模型,該模型可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和期望作為輸入,并經(jīng)過必要的行動和過程,產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖4-1描述了4、5、6、7和8章所提出的過程間的聯(lián)系。采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南()中所設(shè)置的原則。本標(biāo)準(zhǔn)為實施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則提供了一個強(qiáng)健的模型。ISMS的建立、實施和運(yùn)作、監(jiān)督和評審、保持和改進(jìn)建立ISMSxxxx有限公司ISMS的范圍和邊界根據(jù)業(yè)務(wù)、組織、資產(chǎn)、位置等方面的特性,確定ISMS的范圍和邊界。xxxx有限公司信息安全管理體系的范圍和邊界包括:業(yè)務(wù)邊界:xxxx有限公司為開展供電業(yè)務(wù),在管理信息大區(qū)范圍內(nèi)實施的信息安全管理。組織邊界:xxxx有限公司信息中心;資產(chǎn)邊界:xxxx有限公司負(fù)責(zé)管理的信息資產(chǎn);物理邊界:廣東省廣州市天河區(qū)天南二路239號和梅花路機(jī)房確定xxxx有限公司ISMS方針應(yīng)滿足以下要求確保為ISMS方針建立一個框架并為信息安全實施和運(yùn)作、監(jiān)督和評審、保持和改進(jìn)的活動建立系統(tǒng)的方向與原則;確定業(yè)務(wù)發(fā)展、法律法規(guī)要求及其它相關(guān)方合同涉及的信息安全要求;在組織的戰(zhàn)略和風(fēng)險管理下,建立和保持ISMS;建立風(fēng)險評價的準(zhǔn)則和機(jī)團(tuán)隊;獲得信息安全領(lǐng)導(dǎo)小組批準(zhǔn)。風(fēng)險評估的系統(tǒng)方法xxxx有限公司信息中心負(fù)責(zé)建立信息安全風(fēng)險評估控制程序并組織實施。風(fēng)險評估控制程序包括可接受風(fēng)險準(zhǔn)則和可接受水平,所選擇的評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體的風(fēng)險評估過程控制執(zhí)行<信息安全風(fēng)險評估程序>,以下是風(fēng)險評估流程圖;確定確定ISMS范圍資產(chǎn)識別與重要信息資產(chǎn)確定威脅識別與評價已有控制措施確認(rèn)薄弱點識別與評價風(fēng)險評估(測量)是否接受保持已有的控制措施施施選擇安全目標(biāo)及控制措施實施殘余風(fēng)險評審YESNO風(fēng)險評估流程圖風(fēng)險識別在已確定的ISMS范圍內(nèi),對所有的信息資產(chǎn)進(jìn)行列表識別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、服務(wù)、人力資源。對每一項信息資產(chǎn),根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn),形成<重要信息資產(chǎn)清單>。評估風(fēng)險針對每一項重要信息資產(chǎn),參考<信息安全威脅列表>及以往的安全事故(事件)記錄、信息資產(chǎn)所處的環(huán)境等因素,識別出所有重要信息資產(chǎn)所面臨的威脅;針對每一項威脅,考慮現(xiàn)有的控制措施,參考<信息安全薄弱點列表>識別出可能被該威脅利用的薄弱點;綜合考慮以上2點,按照<威脅發(fā)生可能性等級表>中的判定準(zhǔn)則對每一個威脅發(fā)生的可能性進(jìn)行賦值;根據(jù)<威脅影響程度判斷準(zhǔn)則>,判斷一個威脅發(fā)生后對信息資產(chǎn)在保密性(C)、完整性(I)和可用性(A)方面的損害及對公司業(yè)務(wù)的威脅影響程度,對其威脅影響程度進(jìn)行賦值;進(jìn)行風(fēng)險大小計算時,考慮威脅產(chǎn)生安全故障的可能性及其所造成影響程度兩者的結(jié)合,根據(jù)風(fēng)險計算公式來計算風(fēng)險等級;對于信息安全風(fēng)險,在考慮控制措施與費(fèi)用平衡的原則下制定風(fēng)險接受準(zhǔn)則,按照該準(zhǔn)則確定何種等級的風(fēng)險為不可接受風(fēng)險。風(fēng)險處理方法的識別與評價xxxx有限公司信息中心組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果,形成<風(fēng)險處理計劃>,該計劃應(yīng)明確風(fēng)險處理責(zé)任部門、方法及時間。對于信息安全風(fēng)險,應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧?采用適當(dāng)?shù)膬?nèi)部控制措施;接受某些風(fēng)險(不可能將所有風(fēng)險降低為零);規(guī)避某些風(fēng)險(如物理隔離);轉(zhuǎn)移某些風(fēng)險(如將風(fēng)險轉(zhuǎn)移給保險公司、供應(yīng)方)。選擇控制目標(biāo)與控制措施信息中心根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果,組織有關(guān)部門制定信息安全目標(biāo),并將目標(biāo)分解到有關(guān)部門。信息安全目標(biāo)應(yīng)獲得信息安全領(lǐng)導(dǎo)小組的批準(zhǔn)?？刂颇繕?biāo)及控制措施的選擇原則來源于GB/T22080-/ISO/IEC27001:信息安全管理體系要求標(biāo)準(zhǔn)附錄A,具體控制措施能夠參考GB/T22081-/ISO/IEC27002:<信息技術(shù)—安全技術(shù)—信息安全管理實施細(xì)則>。xxxx有限公司根據(jù)信息安全管理的需要,能夠選擇標(biāo)準(zhǔn)之外的其它控制措施。適用性聲明信息中心負(fù)責(zé)<信息安全管理體系適用性聲明>(SoA)編制,由信息中心歸口管理。該聲明包括以下方面的內(nèi)容:所選擇控制目標(biāo)與控制措施的概要描述;當(dāng)前已經(jīng)實施的控制;對GB/T22080-/ISO/IEC27001:信息安全管理體系要求附錄A中未選用的控制目標(biāo)及控制措施的說明。注:該聲明的詳細(xì)內(nèi)容見<信息安全管理體系適用性聲明>。ISMS實施及運(yùn)行ISMS崗位職責(zé)和權(quán)限信息安全領(lǐng)導(dǎo)小組組長為公司信息安全最高管理者。領(lǐng)導(dǎo)小組主要職責(zé):國家有關(guān)信息安全的政策、法律和法規(guī),以及南方電網(wǎng)公司和公司的統(tǒng)一部署要求,審查、批準(zhǔn)xxxx有限公司信息安全策略、管理規(guī)范和技術(shù)標(biāo)準(zhǔn);部署信息安全總體工作,審定信息安全投資策略,建立工作考評機(jī)制;指導(dǎo)信息安全保障體系建設(shè)和應(yīng)急管理。信息安全工作小組主要職責(zé):根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署,對信息安全工作進(jìn)行具體安排、落實;貫徹執(zhí)行信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)、督促各部門、各單位的信息安全工作;制訂信息安全策略和投資策略,組織對信息安全工作制度和技術(shù)操作策略的審查,并監(jiān)督執(zhí)行;接受各單位的緊急信息安全事件報告,組織信息安全應(yīng)急處理工作,并開展事件調(diào)查、分析原因、涉及范圍和評估安全事件的嚴(yán)重程度,提出信息安全事件防范措施;及時向信息安全領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件;跟進(jìn)先進(jìn)的信息安全技術(shù),組織信息安全知識的培訓(xùn)和宣傳工作。信息安全管理體系的管理者代表對公司信息安全負(fù)有以下職責(zé):建立并實施信息安全管理體系必要的程序并維持其有效運(yùn)行;對信息安全管理體系的運(yùn)行情況和必要的改進(jìn)措施向信息安全領(lǐng)導(dǎo)小組報告。各部門負(fù)責(zé)人為本部門信息安全管理者,全體員工都應(yīng)按保密承諾的要求自覺履行信息安全保密義務(wù);各部門應(yīng)按照<信息安全管理體系適用性聲明>中選擇的控制目標(biāo)與目標(biāo)的控制措施,確保ISMS有效實施與運(yùn)行,并開展以下活動:確保信息安全風(fēng)險的有效管理,制定<風(fēng)險處理計劃>,以便明確管理措施、所需資源、工作職責(zé)及識別活動的優(yōu)先順序;保證已識別的控制目標(biāo)實施<風(fēng)險處理計劃>;確保處理風(fēng)險所選擇的控制措施,以滿足控制目標(biāo);確保所選控制措施有效測量;制定<信息安全培訓(xùn)計劃>并加以實施,提高全員信息安全意識和能力;管理ISMS的運(yùn)行;管理ISMS的資源;制定信息安全事件或事故的程序控制措施,以便迅速的檢測安全事件與安全事故的響應(yīng)。ISMS的監(jiān)督檢查與評審經(jīng)過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查(如日志審核)等控制措施并報告結(jié)果以實現(xiàn):及時發(fā)現(xiàn)信息安全體系的事故和隱患;及時了解信息處理系統(tǒng)遭受的各類攻擊;使管理者掌握信息安全活動是否有效,并根據(jù)優(yōu)先級別確定所要采取的措施;積累信息安全方面的經(jīng)驗。根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋,由信息安全工作小組組長主持,定期(每年至少一次)對ISMS的有效性進(jìn)行評審,其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評審。管理評審的具體要求,見本手冊第7章。信息中心應(yīng)組織有關(guān)部門按照<信息安全風(fēng)險管理程序>的要求對風(fēng)險處理后的殘余風(fēng)險進(jìn)行定期評審,以驗證殘余風(fēng)險是否達(dá)到可接受的水平,對以下方面變更情況應(yīng)及時進(jìn)行風(fēng)險評估:組織機(jī)構(gòu)發(fā)生重大變更時;信息處理技術(shù)發(fā)生重大變更時;xxxx有限公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更時;發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅時;外部環(huán)境,如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更時。保持上述活動和措施的記錄。ISMS保持與改進(jìn)xxxx有限公司開展以下活動,以確保ISMS的持續(xù)改進(jìn):實施每年安全檢查、內(nèi)部審核、管理評審等活動以確定需改進(jìn)的項目;按照<內(nèi)部審核管理程序>、<糾正與預(yù)防措施控制程序>的要求采取適當(dāng)?shù)募m正和預(yù)防措施;吸取其它組織及xxxx有限公司安全事故的經(jīng)驗教訓(xùn),不斷改進(jìn)現(xiàn)有安全措施。對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?確保改進(jìn)達(dá)到預(yù)期的效果。為了確保信息安全管理體系的持續(xù)有效,各級管理者應(yīng)經(jīng)過適當(dāng)?shù)氖侄螌π畔踩胧┑膱?zhí)行情況與結(jié)果進(jìn)行有效的交流與溝通。與外部信息安全專家、信息安全機(jī)構(gòu)、政府行政主管部門、電信運(yùn)營商等組織保持聯(lián)系。與外部專家、服務(wù)商等外部機(jī)構(gòu)的聯(lián)系方式見<對外聯(lián)系表>。文件要求總則根據(jù)GB/T22080-/ISO/IEC27001:信息安全管理體系標(biāo)準(zhǔn)要求并結(jié)合xxxx有限公司實際情況建立xxxx有限公司信息安全管理體系文件結(jié)構(gòu),體系文件分為四級,分別為一級文件、二級文件、三級文件及四級記錄性文件。一級文件為信息安全管理體系手冊(包含信息安全方針、目標(biāo))和適用性聲明等;二級文件為信息安全管理體系建立實施的相關(guān)程序文件;三級文件為信息安全管理體系建立實施的相關(guān)制度、辦法和規(guī)程等;四級文件為信息安全管理體系實施運(yùn)行過程中的記錄類文件。文件控制為確保文件的修訂得到控制,使用現(xiàn)場得到有效版本的文件,防止作廢文件的非預(yù)期使用,在<文件控制程序>中明確規(guī)定了文件的編制、評審、批準(zhǔn)、發(fā)放、使用、更改、再次批準(zhǔn)、標(biāo)識、回收、作廢和保存期限等管理。注:以上程序詳細(xì)內(nèi)容見<文件控制程序>。記錄控制為提供有效的信息安全管理體系運(yùn)行的符合性證據(jù),并具有追溯、證實和依據(jù)記錄采取糾正和預(yù)防措施的作用,在<記錄控制程序>中明確規(guī)定了記錄的填寫要求、標(biāo)識、收集、儲存、檢索、防護(hù)、保存期限和處理所需的控制。注:以上程序詳細(xì)內(nèi)容見<記錄控制程序>。管理職責(zé)管理承諾信息安全領(lǐng)導(dǎo)小組承諾按GB/T22080-/ISO/IEC27001:信息安全管理體系標(biāo)準(zhǔn)要求建立、實施、運(yùn)行、監(jiān)視和評審,并經(jīng)過持續(xù)保持和改進(jìn),使體系不斷發(fā)展和完善。經(jīng)過以下活動,確保上述承諾得以實現(xiàn):制定ISMS方針:制定ISMS目標(biāo)和實施計劃;建立信息安全組織機(jī)構(gòu)并明確職責(zé);經(jīng)過適當(dāng)?shù)臏贤ǚ绞?利用多種方式向全體員工傳達(dá)并使她們認(rèn)識到滿足信息安全目標(biāo)、符合信息安全方針以及法律、法規(guī)要求,持續(xù)改進(jìn)信息安全的重要性;提供適當(dāng)?shù)馁Y源以滿足信息安全管理體系建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)的需要;對可接受風(fēng)險的等級進(jìn)行判斷;組織實施ISMS內(nèi)部審核;組織實施ISMS管理評審。資源管理資源提供確保并提供實施、保持信息安全管理體系所需資源,并采取適當(dāng)措施,以保證:建立、實施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)ISMS;確保信息安全管理程序符合業(yè)務(wù)支持流程要求;識別和滿足法規(guī)要求以及合同中的安全義務(wù);經(jīng)過正確實施所有的控制措施保持適當(dāng)?shù)男畔踩?必要時,應(yīng)對資源提供進(jìn)行評審,并按評審結(jié)果執(zhí)行;在需要時,改進(jìn)ISMS資源的有效性。能力、意識和培訓(xùn)為提高全員信息安全的意識,確保相關(guān)人員履行信息安全職責(zé)所需的能力,應(yīng)采取并實施以下的管理活動:確保與ISMS有關(guān)工作人員具備必要的信息安全能力;實施信息安全意識和能力的教育及培訓(xùn)并評價其培訓(xùn)的有效性;經(jīng)過宣傳和其它活動使員工普遍認(rèn)識到信息安全職責(zé)的重要性,為實現(xiàn)信息安全目標(biāo)做出各自的貢獻(xiàn);保持教育、培訓(xùn)、技能、經(jīng)歷和資格或其它活動的記錄;注:以上程序詳細(xì)內(nèi)容見<教育培訓(xùn)控制程序>安全職責(zé)信息安全管理組織機(jī)構(gòu)和人員職責(zé)xxxx有限公司信息安全管理機(jī)構(gòu)有xxxx有限公司信息安全領(lǐng)導(dǎo)小組和xxxx有限公司信息安全工作小組,并配置相應(yīng)的信息安全工作人員,包括信息安全管理人員、信息安全技術(shù)人員、信息安全審計員。xxxx有限公司信息安全領(lǐng)導(dǎo)小組xxxx有限公司成立信息安全領(lǐng)導(dǎo)小組。xxxx有限公司信息安全領(lǐng)導(dǎo)小組是公司信息安全的最高決策機(jī)構(gòu)。xxxx有限公司信息安全領(lǐng)導(dǎo)小組組長由分管生產(chǎn)安全的公司領(lǐng)導(dǎo)擔(dān)任。信息安全領(lǐng)導(dǎo)小組主要職責(zé)如下:對公司信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)。根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī),批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。確定公司信息安全各有關(guān)部門工作職責(zé),指導(dǎo)、監(jiān)督信息安全工作。信息安全領(lǐng)導(dǎo)小組下設(shè)兩個信息安全工作小組(包括管理信息系統(tǒng)信息安全工作小組和生產(chǎn)控制系統(tǒng)信息安全工作小組)和應(yīng)急處理工作小組,并負(fù)責(zé)指導(dǎo)兩個工作組的工作。xxxx有限公司信息安全工作小組xxxx有限公司信息安全工作組隸屬xxxx有限公司信息安全領(lǐng)導(dǎo)小組,是領(lǐng)導(dǎo)小組決策的執(zhí)行機(jī)構(gòu),工作組的日常工作由xxxx有限公司信息中心承擔(dān)。xxxx有限公司信息安全工作組組長由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。xxxx有限公司信息安全工作組主要職責(zé)如下:貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署,對信息安全工作進(jìn)行具體安排、落實;組織對重大的信息安全工作制度和技術(shù)操作策略進(jìn)行審查,擬訂信息安全總體策略規(guī)劃,并監(jiān)督執(zhí)行;負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作,參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃,監(jiān)督安全措施的執(zhí)行;組織信息安全工作檢查,分析信息安全總體狀況,提出分析報告和安全風(fēng)險的防范對策;負(fù)責(zé)接受各單位的緊急信息安全事件報告,組織進(jìn)行事件調(diào)查,分析原因、涉及范圍,并評估安全事件的嚴(yán)重程度,提出信息安全事件防范措施;及時向信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報告信息安全事件。跟蹤先進(jìn)的信息安全技術(shù),組織信息安全知識的培訓(xùn)和宣傳工作。xxxx有限公司應(yīng)急處理工作小組xxxx有限公司應(yīng)急處理工作小組組長由xxxx有限公司信息中心領(lǐng)導(dǎo)擔(dān)任。xxxx有限公司應(yīng)急處理工作小組主要職責(zé)如下:審定公司信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案。決定相應(yīng)應(yīng)急預(yù)案的啟動,負(fù)責(zé)現(xiàn)場指揮,并組織相關(guān)人員排除故障,恢復(fù)系統(tǒng)。每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進(jìn)行測試和演練。應(yīng)對公司內(nèi)發(fā)生的大規(guī)模信息安全事件,協(xié)調(diào)指揮事故處理以及事故后系統(tǒng)恢復(fù)工作。xxxx有限公司信息中心xxxx有限公司信息中心是xxxx有限公司信息安全小組領(lǐng)導(dǎo)下的信息系統(tǒng)安全的職能和技術(shù)歸口管理部門,并直接負(fù)責(zé)管理信息系統(tǒng)的安全管理和技術(shù)監(jiān)督工作,其職責(zé)主要包括:組織制定xxxx有限公司信息安全保護(hù)工作的總體目標(biāo)和總體策略。而且根據(jù)信息系統(tǒng)管理要求、運(yùn)行環(huán)境的變化,以及系統(tǒng)本身的變化,及時更新信息安全保護(hù)工作的總體目標(biāo)、策略、規(guī)劃、技術(shù)標(biāo)準(zhǔn)和管理制度。不斷提高信息安全管理的技術(shù)水平和管理手段。組織開展xxxx有限公司的信息安全等級保護(hù)工作,并進(jìn)行xxxx有限公司信息安全評估和風(fēng)險管理工作,組織編寫信息安全保護(hù)工作的總體技術(shù)規(guī)范、管理制度、技術(shù)方案和實施計劃,并負(fù)責(zé)組織實施。負(fù)責(zé)接受各單位的緊急信息安全事件報告,組織進(jìn)行事件調(diào)查,分析原因、涉及范圍,并評估安全事件的嚴(yán)重程度,提出信息安全事件防范措施;跟蹤先進(jìn)的信息安全技術(shù),組織信息安全知識的培訓(xùn)和宣傳工作。監(jiān)督指導(dǎo)各管理信息系統(tǒng)的開發(fā)建設(shè)人員、運(yùn)行人員、維護(hù)人員、業(yè)務(wù)使用人員執(zhí)行信息系統(tǒng)安全保護(hù)的技術(shù)標(biāo)準(zhǔn)和管理制度。組織對信息安全事故的調(diào)查取證工作,對其中涉及違紀(jì)違法、嚴(yán)重違規(guī)的事故配合人力資源部進(jìn)行調(diào)查,并提出處理意見。負(fù)責(zé)監(jiān)督管理數(shù)據(jù)中心及公司本部網(wǎng)絡(luò)、設(shè)備、運(yùn)行環(huán)境,以及集中管理的信息系統(tǒng)的安全保護(hù)工作。完成其它上級信息安全管理機(jī)構(gòu)交辦的信息管理系統(tǒng)安全防護(hù)工作。各級安全責(zé)任人各級安全生產(chǎn)責(zé)任人是其職責(zé)范圍內(nèi)的信息系統(tǒng)安全運(yùn)行管理的責(zé)任人。各級安全生產(chǎn)責(zé)任人職責(zé):負(fù)責(zé)監(jiān)督執(zhí)行xxxx有限公司制定的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。負(fù)責(zé)監(jiān)督管理其職責(zé)范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。負(fù)責(zé)監(jiān)督執(zhí)行xxxx有限公司信息安全保護(hù)的其它工作?；鶎訂挝挥嬎銠C(jī)及網(wǎng)絡(luò)專責(zé)基層單位計算機(jī)及網(wǎng)絡(luò)專責(zé)是本單位范圍內(nèi)管理信息系統(tǒng)安全運(yùn)行工作的責(zé)任人兼信息安全員?；鶎訂挝蛔詣踊瘜Ｘ?zé)是本單位范圍內(nèi)生產(chǎn)控制系統(tǒng)信息安全運(yùn)行工作的責(zé)任人兼信息安全員。其安全職責(zé):負(fù)責(zé)執(zhí)行公司制定的信息安全策略、管理制度和技術(shù)標(biāo)準(zhǔn)。負(fù)責(zé)執(zhí)行責(zé)任范圍內(nèi)信息系統(tǒng)及其附屬網(wǎng)絡(luò)、設(shè)備、軟件、信息、運(yùn)行環(huán)境的安全保護(hù)工作。定期向技術(shù)監(jiān)督部門報告本單位的信息安全情況,對安全缺陷和事故應(yīng)及時匯報。管理信息系統(tǒng)類安全情況向信息中心匯報,生產(chǎn)控制系統(tǒng)類安全情況向調(diào)度中心匯報。組織本單位員工進(jìn)行信息安全知識的培訓(xùn)和宣傳工作。在職能管理部門指導(dǎo)下,完成xxxx有限公司信息安全等級保護(hù)、安全評估、風(fēng)險管理及其它工作。信息安全工作人員信息安全工作人員基本要求信息安全工作人員應(yīng)由政治可靠、業(yè)務(wù)素質(zhì)高、遵紀(jì)守法、恪盡職守的人員擔(dān)任。信息安全工作人員應(yīng)有計算機(jī)專業(yè)工作三年以上經(jīng)歷,及具備本科以上學(xué)歷。兼職信息安全人員應(yīng)有電力生產(chǎn)業(yè)務(wù)工作五年以上或?qū)Ｂ氂嬎銠C(jī)管理工作三年及以上經(jīng)歷,具備?？埔陨蠈W(xué)歷。違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員,不得從事信息安全相關(guān)工作。信息安全工作人員在行使職責(zé)時,確因工作需要,經(jīng)批準(zhǔn),可了解涉及電力生產(chǎn)、經(jīng)營與管理有關(guān)的信息系統(tǒng)的機(jī)密信息。信息安全工作人員基本職責(zé):信息安全工作人員發(fā)現(xiàn)本單位重大信息安全隱患,有權(quán)向公司信息中心報告。信息安全工作人員發(fā)現(xiàn)信息工作人員使用不當(dāng),應(yīng)及時建議有關(guān)單位、部門進(jìn)行調(diào)整。信息安全工作人員必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度,嚴(yán)守公司商業(yè)秘密。信息安全工作人員包括信息安全管理人員、信息安全技術(shù)人員、信息安全審計員,其相應(yīng)的職責(zé)分別如下:負(fù)責(zé)信息安全管理的日常工作。組織開展信息安全檢查,對信息工作人員安全工作進(jìn)行指導(dǎo)和監(jiān)督。組織開展信息安全知識的培訓(xùn)和宣傳工作。監(jiān)控信息安全總體狀況,提出信息安全分析報告。及時向信息安全領(lǐng)導(dǎo)小組和有關(guān)部門、單位報告信息安全事件。信息安全技術(shù)人員職責(zé)負(fù)責(zé)信息安全相關(guān)設(shè)備(包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)等)的日常運(yùn)行維護(hù)管理。負(fù)責(zé)防火墻系統(tǒng)策略的安全配置。負(fù)責(zé)定期查看入侵檢測系統(tǒng)日志,對入侵檢測系統(tǒng)發(fā)現(xiàn)的惡意攻擊行為進(jìn)行跟蹤處理。負(fù)責(zé)漏洞掃描軟件(包括漏洞庫)的管理、更新和公布。負(fù)責(zé)對網(wǎng)絡(luò)系統(tǒng)所有服務(wù)器和專用網(wǎng)絡(luò)設(shè)備的首次、周期性和緊急的漏洞掃描。負(fù)責(zé)設(shè)備、系統(tǒng)等補(bǔ)丁升級、安全加固。負(fù)責(zé)定期更新反病毒數(shù)據(jù)庫和程序模塊,定期執(zhí)行查殺病毒任務(wù)。負(fù)責(zé)定期升級垃圾郵件網(wǎng)關(guān)特征庫、定期維護(hù)垃圾郵件網(wǎng)關(guān)黑白名單和規(guī)則庫設(shè)置。負(fù)責(zé)密切注意最新網(wǎng)絡(luò)攻擊行為的發(fā)生、發(fā)展情況,關(guān)注和追蹤業(yè)界公布的攻擊事件。負(fù)責(zé)密切注意最新漏洞的發(fā)生、發(fā)展情況,關(guān)注和追蹤業(yè)界公布的漏洞疫情;負(fù)責(zé)密切關(guān)注權(quán)威機(jī)構(gòu)最近公布的病毒分析報告、最新惡性病毒的防范報警以及應(yīng)急處理辦法。信息安全審計員職責(zé)負(fù)責(zé)監(jiān)督檢查單位內(nèi)部信息安全審計制度及其實施情況。定期檢查信息系統(tǒng)的用戶權(quán)限設(shè)置及安全配置是否與信息系統(tǒng)安全策規(guī)定相符合,監(jiān)督檢查信息系統(tǒng)數(shù)據(jù)安全管理工作。監(jiān)督信息系統(tǒng)的運(yùn)行情況,定期查看日志記錄,對信息系統(tǒng)資源的各種非法訪問事件進(jìn)行分析、提出安全風(fēng)險防范對策。信息工作人員信息工作人員包括系統(tǒng)管理員、系統(tǒng)維護(hù)員、系統(tǒng)開發(fā)員、數(shù)據(jù)庫系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作員,其相應(yīng)的安全責(zé)任如下。系統(tǒng)管理員安全責(zé)任負(fù)責(zé)系統(tǒng)的運(yùn)行管理,實施系統(tǒng)安全運(yùn)行細(xì)則。嚴(yán)格用戶權(quán)限管理,維護(hù)系統(tǒng)安全正常運(yùn)行。負(fù)責(zé)對所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全配置,并定期對所管轄的服務(wù)器操作系統(tǒng)進(jìn)行安全檢查。認(rèn)真記錄系統(tǒng)安全事項,及時向信息安全人員報告安全事件。對進(jìn)行系統(tǒng)操作的其它人員予以安全監(jiān)督。系統(tǒng)維護(hù)員安全責(zé)任負(fù)責(zé)系統(tǒng)維護(hù),及時解除系統(tǒng)故障,確保系統(tǒng)正常運(yùn)行。不得擅自改變系統(tǒng)配置和功能。不得安裝與系統(tǒng)無關(guān)的計算機(jī)程序。維護(hù)過程中,發(fā)現(xiàn)安全漏洞應(yīng)及時報告信息安全工作人員。系統(tǒng)開發(fā)員安全責(zé)任系統(tǒng)開發(fā)建設(shè)中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)安全策略,保證系統(tǒng)安全功能的準(zhǔn)確實現(xiàn)。系統(tǒng)投產(chǎn)運(yùn)行前,應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料。不得對系統(tǒng)設(shè)置”后門”或添加”惡意代碼”。對系統(tǒng)核心技術(shù)保密。數(shù)據(jù)庫系統(tǒng)管理員安全責(zé)任負(fù)責(zé)數(shù)據(jù)庫管理系統(tǒng)的安裝、備份和維護(hù),保證系統(tǒng)的安全、正常運(yùn)行。負(fù)責(zé)對所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置,并定期對所管轄的數(shù)據(jù)庫系統(tǒng)進(jìn)行安全檢查。負(fù)責(zé)定期檢查數(shù)據(jù)庫數(shù)據(jù)的完整性和可用性,發(fā)現(xiàn)系統(tǒng)故障及時排除,做好系統(tǒng)恢復(fù)。應(yīng)用系統(tǒng)管理員安全責(zé)任應(yīng)根據(jù)應(yīng)用系統(tǒng)的安全策略,負(fù)責(zé)應(yīng)用系統(tǒng)的用戶權(quán)限設(shè)置以及系統(tǒng)安全配置。密切注意應(yīng)用系統(tǒng)運(yùn)行中發(fā)生的系統(tǒng)故障、安全事件,關(guān)注應(yīng)用系統(tǒng)存在的隱患,收集業(yè)務(wù)用戶的問題反映,及時報告信息管理部門和業(yè)務(wù)主管部門。應(yīng)根據(jù)應(yīng)用系統(tǒng)運(yùn)行的實際情況,制定應(yīng)急處理預(yù)案,提交信息管理部門審定。網(wǎng)絡(luò)管理員安全責(zé)任負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理,實施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則。負(fù)責(zé)安全配置網(wǎng)絡(luò)參數(shù),嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限,維護(hù)網(wǎng)絡(luò)安全正常運(yùn)行。負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路,防范黑客入侵,及時向信息安全工作人員報告安全事件。負(fù)責(zé)對操作網(wǎng)絡(luò)管理功能的其它人員進(jìn)行安全監(jiān)督。業(yè)務(wù)操作員安全責(zé)任嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度。不得向她人提供自己的操作口令,不得把PKI數(shù)字證書介質(zhì)借給她人使用。及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。普通員工普通員工的安全責(zé)任如下:每個員工須有責(zé)任保護(hù)本單位的計算機(jī)資源、設(shè)備及數(shù)據(jù)信息。每個員工有責(zé)任確保本機(jī)須符合信息安全措施要求,包括加入域、安裝統(tǒng)一的防病毒軟件、軟件補(bǔ)丁,并定期升級。因工作需要訪問互聯(lián)網(wǎng)的員工,經(jīng)審批后只能使用本單位互聯(lián)網(wǎng)出口。不得以任何設(shè)備(如手機(jī)、ADSL、MODEM等)私自將本單位計算機(jī)接入互聯(lián)網(wǎng)。離開辦公室或工作區(qū)域,須鎖定計算機(jī)屏幕或關(guān)閉計算機(jī)。在辦公室之外的地方工作,須將筆記本電腦置于控制之下。嚴(yán)格遵守”涉密信息不上網(wǎng),上網(wǎng)信息不涉密”的紀(jì)律。未經(jīng)授權(quán)不準(zhǔn)制作、復(fù)制、發(fā)布、傳播任何可能泄漏國家秘密、單位商業(yè)秘密、工作秘密的信息。禁止經(jīng)過本單位計算機(jī)及網(wǎng)絡(luò)訪問不良及政治敏感網(wǎng)站,禁止傳播、擴(kuò)散不良或政治敏感信息,嚴(yán)禁利用本單位計算機(jī)及網(wǎng)絡(luò)從事違法活動。發(fā)現(xiàn)緊急事件(如計算機(jī)感染病毒、非法入侵等)時,須首先斷開網(wǎng)絡(luò)連接,并及時報告信息服務(wù)中心或本單位信息安全人員處理。不得在單位瀏覽與工作無關(guān)的網(wǎng)站,不得運(yùn)行與工作無關(guān)的軟件,不得打開來歷不明的郵件,員工在單位網(wǎng)絡(luò)內(nèi)群發(fā)郵件僅能夠用于工作目的。未經(jīng)信息管理部門允許,員工不得監(jiān)控網(wǎng)絡(luò)流量,不得針對單位內(nèi)的網(wǎng)絡(luò)或服務(wù)器進(jìn)行安全掃描程序,不得增加網(wǎng)絡(luò)設(shè)備(如HUB、交換機(jī))到本單位內(nèi)的網(wǎng)絡(luò)架構(gòu)中。禁止員工在網(wǎng)絡(luò)上偽裝為她人身份,禁止利用連網(wǎng)計算機(jī)從事危害單位網(wǎng)絡(luò)與信息安全的行為,不得危害或侵入服務(wù)器、工作站,不得有網(wǎng)絡(luò)攻擊行為。禁止員工在網(wǎng)絡(luò)上傳播未經(jīng)證實信息、垃圾郵件和廣告等無關(guān)消息或在網(wǎng)絡(luò)上以單位的名義表示私人的意見或看法。員工應(yīng)妥善保管自身的帳號、口令、PKI數(shù)字證書介質(zhì)(如智能卡、USBKEY)等,口令安全符合相關(guān)規(guī)定,丟失時須及時報告信息服務(wù)中心。內(nèi)部ISMS審核信息中心按計劃的時間定期組織內(nèi)部ISMS審核,以確定其ISMS的控制目標(biāo)、控制措施、過程和程序是否:符合GB/T22080-/ISO/IEC27001:信息安全管理體系要求標(biāo)準(zhǔn)和相關(guān)法律法規(guī)要求;符合已識別確定的信息安全要求;有效實施和保持;完成預(yù)期的目標(biāo)。注:以上程序詳細(xì)內(nèi)容見<內(nèi)部審核控制程序>。ISMS管理評審總則信息安全管理體系管理者代表應(yīng)按計劃的時間間隔(原則上一年進(jìn)行一次評審,組織發(fā)生重大變更或信息安全出現(xiàn)重大事故后應(yīng)視影響情況來定),對組織的ISMS進(jìn)行評審,以確保其持續(xù)適宜性、充分性和有效性。評審包括評價改進(jìn)的機(jī)會和對體系進(jìn)行修改的需求,包括信息安全方針、目標(biāo)和指標(biāo)的修改需求。評審的結(jié)果應(yīng)清晰地形成文件,記錄應(yīng)加以保持,評審具體執(zhí)行<管理評審控制程序>。管理評審的輸入信息安全管理體系管理者代表應(yīng)組織相關(guān)部門按要求提供以下資料:ISMS審核結(jié)果,包括第一方[內(nèi)部審核]、第二方和第三方審核的結(jié)果;相關(guān)方的反饋(投訴、抱怨、建議);技術(shù)、產(chǎn)品和程序用于改進(jìn)ISMS執(zhí)行情況的有效性;糾正和預(yù)防措施的實施情況;以往信息安全風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點或威脅;信息安全目標(biāo)實現(xiàn)程度;以往管理評審的跟蹤措施的實施情況;可能影響信息安全管理體系變更的事項(標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求);對信息安全管理體系改進(jìn)的建議。管理評審的輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施:信息安全管理體系過程有效性的改進(jìn);風(fēng)險評估和風(fēng)險處理計劃的更新;以下內(nèi)內(nèi)容發(fā)生變更,必要時修改影響信息安全的程序和控制措施,以響應(yīng)業(yè)務(wù)發(fā)展要求;業(yè)務(wù)要求;信息安全要求;影響現(xiàn)有信息安全業(yè)務(wù)要求的業(yè)務(wù)過程;信息安全相關(guān)法律法規(guī)要求;風(fēng)險級別和風(fēng)險接收準(zhǔn)則;合同義務(wù);對資源的需求;評價控制措施的有效性。注:以上內(nèi)容的詳細(xì)要求見<管理評審控制程序>。ISMS持續(xù)改進(jìn)持續(xù)改進(jìn)xxxx有限公司經(jīng)過制定信息安全方針、安全目標(biāo),審核結(jié)果,監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理評審等活動,持續(xù)改進(jìn)ISMS的有效性。糾正措施不符合事項的責(zé)任部門在查明原因的基礎(chǔ)上制定并實施相應(yīng)的糾正措施,以消除不符合事項,防止不符合事項再次發(fā)生。在<糾正與預(yù)防措施控制程序>和其它控制、檢查文件中明確以下要求:識別不符合ISMS的事項(指明不符合事項的判斷依據(jù));確定不符合產(chǎn)生的原因;評價確保不符合不再發(fā)生的措施需求;確定和實施糾正措施的需求;針對記錄文件所采取措施的結(jié)果;評審對所采取的糾正措施。預(yù)防措施信息中心應(yīng)定期(原則上一年一次,特殊情況除外)組織有關(guān)部門分析信息安全方面的相關(guān)信息,如內(nèi)外審核報告、監(jiān)視記錄、相關(guān)方安全專家的建議、新反病毒技術(shù)等,以便采取措施,消除潛在不符合的原因,防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的要求在<糾正與預(yù)防措施控制程序>中作詳細(xì)規(guī)定。該程序包括了以下方面的要求:識別潛在不符合及其它原因所在;評價防止不符合發(fā)生的預(yù)防措施;確定實施所需要的預(yù)防措施;記錄所采取措施的結(jié)果;評價所采取的預(yù)防措施;識別已變更的風(fēng)險,并識別潛在的重大風(fēng)險的預(yù)防措施的要求,預(yù)防措施的優(yōu)先級要根據(jù)風(fēng)險評估的結(jié)果來確定。各責(zé)任部門應(yīng)對本部門預(yù)防措施的實施加以控制,確保預(yù)防措施的有效性。管理評審前,信息中心應(yīng)對以往管理評審后所實施的所有預(yù)防措施進(jìn)行匯總并提交評審。注:以上內(nèi)容詳細(xì)要求見<糾正與預(yù)防控制程序>。資產(chǎn)安全管理信息中心應(yīng)清晰的識別,編制并保存所有重要資產(chǎn)的清單,包括資產(chǎn)責(zé)任部門、重要程度和所處位置等內(nèi)容。信息中心應(yīng)建立資產(chǎn)安全管理制度,規(guī)定信息系統(tǒng)資產(chǎn)管理的責(zé)任人員或責(zé)任部門,并規(guī)范資產(chǎn)管理和使用的行為。信息中心應(yīng)根據(jù)資產(chǎn)的重要程度對資產(chǎn)進(jìn)行標(biāo)識管理,根據(jù)資產(chǎn)的價值選擇相應(yīng)的管理措施。信息中心應(yīng)根據(jù)公司<公司信息安全管理辦法>對信息進(jìn)行分級,對信息標(biāo)識方法做出規(guī)定,并對信息的使用、傳輸和存儲等進(jìn)行規(guī)范化管理。人員安全管理信息安全工作人員安全管理信息安全工作人員應(yīng)恪守職業(yè)道德,嚴(yán)守企業(yè)秘密,熟悉國家安全生產(chǎn)法以及有關(guān)信息安全管理的相關(guān)規(guī)程。信息安全工作人員應(yīng)在從事信息安全的相關(guān)工作前,須參與相關(guān)培訓(xùn)和考核,考核合格經(jīng)授權(quán)后,才能從事信息安全的相關(guān)工作。信息安全工作人員有責(zé)任保護(hù)公司信息秘密,必須遵守自己崗位各項管理制度,須簽訂保密協(xié)議書并作出安全承諾。信息安全工作人員工作性質(zhì)、工作崗位變動時,須報告公司信息中心,并重新進(jìn)行考核或者授權(quán)。信息安全工作人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)核心技術(shù)的信息安全工作人員調(diào)離單位,必須進(jìn)行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。信息安全工作人員的任期應(yīng)根據(jù)系統(tǒng)的安全性要求而定,最長為三年,期滿經(jīng)過考核后能夠續(xù)任。信息工作人員安全管理信息工作人員上崗前必須經(jīng)單位人力資源部進(jìn)行政治素質(zhì)審查,技術(shù)部門進(jìn)行業(yè)務(wù)技能考核,工作經(jīng)歷和工作經(jīng)驗考查等,合格者方可上崗。信息工作人員的任命應(yīng)遵循”權(quán)限分散、不得交叉覆蓋”的原則,系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員不得兼任業(yè)務(wù)操作員,系統(tǒng)開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員,在多個系統(tǒng)的環(huán)境下,管理員和審計員崗位可交叉擔(dān)任。對關(guān)鍵信息系統(tǒng)管理人員應(yīng)不定期地循環(huán)任職,實行定期考查制度,定期接受安全培訓(xùn),加強(qiáng)自身安全意識和風(fēng)險防范意識。對業(yè)務(wù)操作人員進(jìn)行輪流培訓(xùn)。信息工作人員有責(zé)任保護(hù)信息系統(tǒng)的秘密,必須簽訂保密協(xié)議書并做出安全承諾,必須遵守自己崗位各項管理制度。對信息工作人員實行定期考查制度,要害崗位人員應(yīng)定期接受安全培訓(xùn),加強(qiáng)自身安全意識和風(fēng)險防范意識。信息工作人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù);涉及公司業(yè)務(wù)保密信息的信息工作人員調(diào)離單位,必須進(jìn)行離崗審計,在規(guī)定的脫密期后,方可調(diào)離。信息工作人員離崗后,必須即刻更換該用戶賬號的操作口令或注銷該用戶賬號。第三方人員安全管理第三方人員是指軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù)商和服務(wù)提供商的工作人員,以及實習(xí)學(xué)生和臨時工作人員,對第三方人員安全管理要求如下:須對第三方人員的物理訪問和邏輯訪問實施訪問控制,提供專門的第三方人員安全工作區(qū)域。根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。第三方人員應(yīng)在合同中明確規(guī)定現(xiàn)場工作或遠(yuǎn)程維護(hù)工作內(nèi)容,如工作涉及機(jī)密或秘密信息內(nèi)容,應(yīng)要求其簽署保密協(xié)議。第三方人員應(yīng)在本單位信息中心門有關(guān)人員的陪同和監(jiān)督下開展現(xiàn)場工作。未經(jīng)批準(zhǔn),第三方人員不可使用單位內(nèi)部的設(shè)備、軟件、網(wǎng)絡(luò)資源等,不可更改單位內(nèi)部軟硬件的配置狀態(tài)。未經(jīng)批準(zhǔn),第三方人員攜帶的筆記本電腦、掌上電腦,不能夠接入公司內(nèi)部網(wǎng)絡(luò),若工作需要,第三方人員自帶設(shè)備接入單位內(nèi)部網(wǎng)絡(luò)和信息系統(tǒng)時,應(yīng)得到特別授權(quán),并在接入前,須經(jīng)過殺毒處理,而且必須在指定的區(qū)域、經(jīng)過指定的端口、指定的方式接入內(nèi)部網(wǎng)絡(luò),其操作應(yīng)受到審計。第三方人員的工作結(jié)束后,應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。普通員工安全管理嚴(yán)禁內(nèi)部員工利用單位內(nèi)的網(wǎng)絡(luò)設(shè)備、計算機(jī)設(shè)備、移動存儲設(shè)備及信息系統(tǒng)進(jìn)行以下活動:散播違反國家法律法規(guī)的信息。泄露國家機(jī)密、企業(yè)商業(yè)秘密。瀏覽、下載與本人工作無關(guān)的信息。安裝不符合公司信息安全技術(shù)要求的軟件、硬件。掃描、攻擊信息系統(tǒng)其它計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備。人員培訓(xùn)與教育管理應(yīng)定期對普通員工進(jìn)行信息安全意識教育和基本的信息安全知識培訓(xùn),可采用講座、培訓(xùn)班、員工信息安全手冊、EIP門戶專欄等各種形式開展。信息安全工作人員、信息工作人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。必須對信息安全工作人員、信息工作人員開展相關(guān)的技能培訓(xùn),并根據(jù)各個崗位的技能要求和培訓(xùn)需求,分層、分級編制年度培訓(xùn)計劃,培訓(xùn)內(nèi)容至少包括:信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn),信息安全意識教育;信息安全基礎(chǔ)知識、崗位操作規(guī)程與技能等培訓(xùn);網(wǎng)絡(luò)與信息安全風(fēng)險管理體系的技術(shù)培訓(xùn);工作中潛在的風(fēng)險與控制方法培訓(xùn);事件預(yù)防及響應(yīng)中的程序、角色和職責(zé)培訓(xùn);信息安全管理手冊與作業(yè)指導(dǎo)書培訓(xùn)。按計劃實施培訓(xùn),對教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄和歸檔保存。各相關(guān)人員每年累計參加培訓(xùn)的時間要求如下:信息中心門主任/主管不少于16學(xué)時。信息安全工作人員不少于40學(xué)時。信息工作人員不少于16學(xué)時。普通用戶不少于8學(xué)時。每年對培訓(xùn)計劃、執(zhí)行等情況進(jìn)行回顧、更新。評估內(nèi)容包括:培訓(xùn)對象、內(nèi)容和方法的適宜性計劃執(zhí)行與員工參與的依從性知識、技能、意識提高和應(yīng)用效果IT職業(yè)健康管理將IT職業(yè)健康統(tǒng)一納入xxxx有限公司職業(yè)健康管理中,每年對IT員工進(jìn)行常規(guī)體檢,對體檢結(jié)果進(jìn)行IT專項統(tǒng)計分析,確定IT人員健康狀況變化趨勢,關(guān)注IT職業(yè)危害內(nèi)容。開展IT職業(yè)健康風(fēng)險監(jiān)測工作,評估IT環(huán)境與健康風(fēng)險,并采取必要的控制措施。充分利用課堂教學(xué)、內(nèi)部會議、公司域網(wǎng)、板報、櫥窗和公告牌等多種形式進(jìn)行IT職業(yè)健康知識宣傳、教育工作。識別IT廢品種類、數(shù)量及相關(guān)風(fēng)險,制定廢料控制方案對IT廢品進(jìn)行有效管理,記錄并保存IT廢料處理信息。對生產(chǎn)及辦公場所提供必要的衛(wèi)生設(shè)施,并派專人管理,包括定期回收IT廢品、定期保持IT設(shè)備衛(wèi)生、定期對IT設(shè)備實施檢查維護(hù)。IT作業(yè)環(huán)境安全管理標(biāo)識管理xxxx有限公司應(yīng)對IT作業(yè)環(huán)境所識別的標(biāo)識需求,確定對應(yīng)的標(biāo)識類別:功能類禁止類警告類指令類提示類公告類xxxx有限公司應(yīng)按<xxxx有限公司IT服務(wù)管理體系>中的配置管理要求,對所有IT設(shè)備進(jìn)行配置標(biāo)識,要求如下:內(nèi)容準(zhǔn)確、符合標(biāo)準(zhǔn)及現(xiàn)場實際標(biāo)識清晰、位置明顯、對應(yīng)安裝(張貼)規(guī)范分區(qū)管理xxxx有限公司根據(jù)功能、類別及相關(guān)標(biāo)準(zhǔn)對IT作業(yè)場所進(jìn)行分區(qū)管理,區(qū)域間應(yīng)有明顯邊界。xxxx有限公司就分區(qū)的原則、目的和含義對員工進(jìn)行培訓(xùn)。xxxx有限公司應(yīng)對區(qū)域進(jìn)行檢查,并對分區(qū)及時進(jìn)行維護(hù)或調(diào)整,以保證分區(qū)的適用性。環(huán)境安全管理IDC信息監(jiān)控管理人員須每天對機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行維護(hù)管理。IDC信息監(jiān)控管理人員須對機(jī)房的出入、服務(wù)器的開機(jī)或關(guān)機(jī)等工作進(jìn)行管理。信息中心應(yīng)建立機(jī)房安全管理制度,對有關(guān)機(jī)房物理訪問,物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理作出規(guī)定。設(shè)備安全管理設(shè)備安全管理信息中心應(yīng)指定專門人員對信息系統(tǒng)相關(guān)的各種設(shè)備(包括備份和冗余設(shè)備)、線路等定期進(jìn)行維護(hù)管理。信息中心應(yīng)建立基于申報、審批和專人負(fù)責(zé)的設(shè)備安全管理制度,對信息系統(tǒng)的各種軟硬件設(shè)備的選型、采購、發(fā)放和領(lǐng)用等過程進(jìn)行規(guī)范化管理。信息中心應(yīng)對信息系統(tǒng)相關(guān)的各種設(shè)備的操作和使用進(jìn)行規(guī)范化管理,按操作規(guī)程實現(xiàn)主要設(shè)備(包括備份和冗余設(shè)備)的啟動/停止、加電/斷電等操作;信息中心應(yīng)確保信息處理設(shè)備必須經(jīng)過審批才能帶離機(jī)房或辦公地點。終端安全管理接入公司內(nèi)網(wǎng)的客戶端計算機(jī)(簡稱終端)應(yīng)納入AD域和桌面管理系統(tǒng)統(tǒng)一管理,及時安裝操作系統(tǒng)和主要辦公軟件的安全補(bǔ)丁。終端應(yīng)安裝信息中心部署的企業(yè)版防病毒軟件,并經(jīng)過公司防病毒系統(tǒng)定期(每天)升級病毒庫代碼。未經(jīng)信息中心或信息中心授權(quán)單位進(jìn)行安全審查和批準(zhǔn)的終端不準(zhǔn)接入到公司信息網(wǎng)絡(luò)中,嚴(yán)禁未經(jīng)信息中心批準(zhǔn)私自將終端接入國際互聯(lián)網(wǎng)。由信息中心建立網(wǎng)絡(luò)集中監(jiān)控系統(tǒng),對終端的物理連接、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)流量等情況進(jìn)行統(tǒng)一集中監(jiān)控對終端進(jìn)行標(biāo)準(zhǔn)化管理,提高終端安全,基本要求如下:建立域管理與桌面安全,對計算機(jī)終端實行統(tǒng)一管理。建立防病毒系統(tǒng),實現(xiàn)計算機(jī)終端統(tǒng)一的防病毒管理。建立IT服務(wù)管理系統(tǒng),實現(xiàn)計算機(jī)終端臺帳、變更等管理。建立終端網(wǎng)絡(luò)接入控制,對計算機(jī)終端接入內(nèi)網(wǎng)統(tǒng)一管理。建立終端軟件安裝許可清單,禁止安裝未經(jīng)許可的軟件,減少危險源。對終端的安全配置與維護(hù)要求:建立補(bǔ)丁升級管理制度,及時對操作系統(tǒng)進(jìn)行補(bǔ)丁、升級,減少漏洞。終端必須安裝信息中心部署的企業(yè)版防病毒軟件,并定期更新。定期對終端進(jìn)行病毒、木馬查殺。所有終端的IP必須由信息中心統(tǒng)一管理。所有終端必須納入網(wǎng)絡(luò)接入控制管理。定期檢查終端的口令安全性,減少弱口令的安全隱患。介質(zhì)管理信息中心應(yīng)根據(jù)介質(zhì)上承載的信息的安全級別對介質(zhì)進(jìn)行分級管理,信息分級引用公司<公司信息安全管理辦法>。信息中心應(yīng)指定專門的介質(zhì)管理人員,對介質(zhì)的存放環(huán)境、使用、維護(hù)和銷毀等進(jìn)行管理。信息中心應(yīng)確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì)進(jìn)行控制和保護(hù)。對實行了異地保存的介質(zhì),異地保存點的環(huán)境要求和管理方法應(yīng)與本地相同介質(zhì)管理人員應(yīng)對介質(zhì)的使用進(jìn)行登記,并定期進(jìn)行盤點在介質(zhì)使用、存儲和處理過程中,應(yīng)按照信息的分類級別,處理和標(biāo)記所有介質(zhì),并明確標(biāo)識未授權(quán)人員的訪問限制,保持授權(quán)訪問數(shù)據(jù)人員的正式記錄。當(dāng)介質(zhì)中包含敏感數(shù)據(jù)時,應(yīng)控制介質(zhì)的使用范圍,并對其實施適當(dāng)物理保護(hù)措施。信息中心對包含敏感信息的存儲介質(zhì)送出維修應(yīng)進(jìn)行嚴(yán)格的管理,對送出維修的介質(zhì)應(yīng)首先清除介質(zhì)中的敏感數(shù)據(jù)。電子化的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Ｗo(hù),對于復(fù)制到移動存儲介質(zhì)上的重要內(nèi)部數(shù)據(jù)的擴(kuò)散必須是受控的,其使用應(yīng)受到監(jiān)控和記錄,并能進(jìn)行審計。為最大限度地降低信息泄露的風(fēng)險,包含敏感信息的媒介應(yīng)被安全地處理,如粉碎、焚毀,或清空其中的數(shù)據(jù),以便重用。其中處理方法應(yīng)與信息分級相一致。當(dāng)無法確認(rèn)媒介中的信息級別,或確認(rèn)信息級別的代價較高時,應(yīng)統(tǒng)一按最嚴(yán)格的方式處理所有媒介。敏感媒介的處理過程應(yīng)當(dāng)記錄在案,以便審計跟蹤。包含重要數(shù)據(jù)的介質(zhì)應(yīng)放置在符合制造商要求的安全的環(huán)境中。密碼管理xxxx有限公司應(yīng)使用符合國家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品。安全工作人員應(yīng)對xxxx有限公司使用的密碼技術(shù)和產(chǎn)品進(jìn)行審核,確保密碼技術(shù)和產(chǎn)品的使用符合國家密碼主管部門的要求。本規(guī)定所稱密碼,是指對信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。系統(tǒng)運(yùn)行檔案系統(tǒng)管理員應(yīng)為每個系統(tǒng)建立系統(tǒng)運(yùn)行檔案,對每個系統(tǒng)的運(yùn)行進(jìn)行持續(xù)性安全跟蹤,從而形成系統(tǒng)運(yùn)行安全基準(zhǔn),以便于在系統(tǒng)出現(xiàn)安全問題或異常情況時進(jìn)行分析處理。系統(tǒng)運(yùn)行安全檔案中應(yīng)包括以下(但不限于)支持安全運(yùn)行管理所需要的信息,如系統(tǒng)運(yùn)行的操作系統(tǒng)和應(yīng)用軟件及版本號、安裝的補(bǔ)丁程序、系統(tǒng)的運(yùn)行狀態(tài)、存在的安全漏洞及控制措施、系統(tǒng)曾經(jīng)遭受攻擊的記錄等。系統(tǒng)管理員應(yīng)及時更新系統(tǒng)運(yùn)行檔案,確保系統(tǒng)運(yùn)行檔案的準(zhǔn)確性。信息安全工作小組應(yīng)定期對系統(tǒng)運(yùn)行檔案內(nèi)容的準(zhǔn)確性進(jìn)行檢查核實。維護(hù)作業(yè)計劃為保證系統(tǒng)維護(hù)的規(guī)范性與準(zhǔn)確性,系統(tǒng)管理員應(yīng)遵照系統(tǒng)安全要求,結(jié)合實際情況,編制系統(tǒng)維護(hù)作業(yè)計劃。系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營前,將系統(tǒng)維護(hù)作業(yè)計劃送信息安全工作小組審核備案,進(jìn)入服務(wù)流程。維護(hù)作業(yè)計劃應(yīng)明確規(guī)定維護(hù)活動的內(nèi)容和周期。系統(tǒng)管理員必須嚴(yán)格執(zhí)行維護(hù)作業(yè)計劃,未經(jīng)信息安全工作小組批準(zhǔn)不得隨意更改。維護(hù)作業(yè)計劃的執(zhí)行情況應(yīng)記錄在案,并接受信息安全工作小組的檢查。作業(yè)指導(dǎo)書系統(tǒng)管理員應(yīng)評估系統(tǒng)維護(hù)過程中存在的風(fēng)險,識別系統(tǒng)維護(hù)過程中存在的較大風(fēng)險的操作,并制定相應(yīng)的作業(yè)指導(dǎo)書,以控制系統(tǒng)維護(hù)操作風(fēng)險。系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營前,將作業(yè)指導(dǎo)書送安全管理組審核備案,進(jìn)入服務(wù)流程。系統(tǒng)管理員必須嚴(yán)格按作業(yè)指導(dǎo)書進(jìn)行系統(tǒng)維護(hù)操作,未經(jīng)安全管理組批準(zhǔn)不得隨意更改。作業(yè)指導(dǎo)書應(yīng)包含操作活動的資源要求、操作風(fēng)險與控制措施、作業(yè)程序、作業(yè)記錄等。維護(hù)操作細(xì)則系統(tǒng)管理員應(yīng)遵照系統(tǒng)安全要求,結(jié)合實際情況,制定系統(tǒng)維護(hù)操作細(xì)則。系統(tǒng)管理員應(yīng)在系統(tǒng)正式運(yùn)營前,將系統(tǒng)維護(hù)操作細(xì)則送信息安全工作小組審核備案,進(jìn)入服務(wù)流程。系統(tǒng)管理員必須嚴(yán)格按操作細(xì)則進(jìn)行系統(tǒng)維護(hù),未經(jīng)安全管理組批準(zhǔn)不得隨意更改。操作細(xì)則應(yīng)包含操作活動的職責(zé)、內(nèi)容、目的、時間、場所、方法等,并涵蓋系統(tǒng)維護(hù)的具體操作程序、系統(tǒng)維護(hù)時間進(jìn)度的要求,包括同其它系統(tǒng)的相關(guān)性、最早的開始時間與最晚的結(jié)束時間等。操作細(xì)則應(yīng)包含操作過程中發(fā)生非預(yù)期的錯誤或其它異常情況的指導(dǎo)說明。操作細(xì)則應(yīng)包含意外的操作困難或技術(shù)難題出現(xiàn)時的支持聯(lián)系人。操作細(xì)則應(yīng)包含故障情況下系統(tǒng)的重啟和恢復(fù)程序。故障管理系統(tǒng)管理員在處理故障后應(yīng)將系統(tǒng)的故障記錄在案,故障報告應(yīng)包括故障起止時間、故障現(xiàn)象、業(yè)務(wù)影響、故障原因分析、處理過程及結(jié)果、故障恢復(fù)證據(jù)、事后的補(bǔ)救措施等。信息安全工作小組應(yīng)審核故障報告,審核包括:故障已被正確解決;故障對系統(tǒng)安全造成的破壞已得到修補(bǔ)和恢復(fù);補(bǔ)救措施本身不會危及系統(tǒng)安全;具體的補(bǔ)救措施已經(jīng)過授權(quán);補(bǔ)救措施已得到有效實施。故障處理流程應(yīng)按照<xxxx有限公司IT服務(wù)管理體系>中”問題管理流程”進(jìn)行。機(jī)房安全管理xxxx有限公司建立規(guī)范的機(jī)房安全管理規(guī)定,加強(qiáng)機(jī)房安全管理,減少威脅來源。機(jī)房安全管理包括機(jī)房場地基本要求、機(jī)房場地檢查與維護(hù)、機(jī)房保安管理、機(jī)房消防管理、機(jī)房通風(fēng)與溫濕度控制、機(jī)房供電管理以及機(jī)房電磁防護(hù)、防靜電、防雷擊等要求,詳細(xì)管理要求參見<xxxx有限公司數(shù)據(jù)處理與存儲中心(IDC機(jī)房)運(yùn)行管理規(guī)定>。人機(jī)工效管理xxxx有限公司應(yīng)每年定期進(jìn)行人機(jī)工效的調(diào)查與評估,調(diào)查與評估包括作業(yè)的方式和方法包括、IT設(shè)備運(yùn)行環(huán)境等。人機(jī)工效的調(diào)查與評估的方式包括現(xiàn)場檢查、在線調(diào)查、收集員工的投訴與建議、借鑒同行業(yè)經(jīng)驗等xxxx有限公司應(yīng)對人機(jī)工效的調(diào)查和評估的結(jié)果分析,并制定措施加以改進(jìn)與優(yōu)化。xxxx有限公司建立機(jī)房KVM集中監(jiān)控系統(tǒng),將IDC機(jī)房內(nèi)的IT設(shè)備連入KVM系統(tǒng),實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控;xxxx有限公司將員工的人機(jī)工效的目的和作用培訓(xùn)納入年度培訓(xùn)計劃。網(wǎng)絡(luò)與信息安全設(shè)備管理網(wǎng)絡(luò)與信息安全設(shè)備管理包括基本的安全設(shè)備或用具及其管理。xxxx有限公司根據(jù)網(wǎng)絡(luò)與信息專業(yè)工作性質(zhì)與可能的危害,提供安全、適用的安全設(shè)備或用具,以提高信息安全技術(shù)裝備水平及管理水平,安全設(shè)備或用具至少包括:防火墻入侵保護(hù)系統(tǒng)(IPS)入侵檢測系統(tǒng)(IDS)漏洞掃描系統(tǒng)防病毒系統(tǒng)網(wǎng)絡(luò)分析儀xxxx有限公司每年制定信息安全設(shè)備或用具購置計劃,組織采購,并對安全工設(shè)備或用具需求計劃進(jìn)行評估、回顧和修訂建立信息安全設(shè)備或用具清單,記錄設(shè)備或用具信息,明確檢測、檢驗與維護(hù)周期和內(nèi)容,清單內(nèi)容包括:設(shè)備編號設(shè)備功能設(shè)備采購日期設(shè)備版本及更新情況設(shè)備保管人員建立信息安全設(shè)備或用具的發(fā)放、使用、借用記錄。對相關(guān)員工進(jìn)行設(shè)備或用具的的使用、檢查、維護(hù)和操作的培訓(xùn),確保所有安全設(shè)備或用具的操作人員具備相應(yīng)的技術(shù)水平。按照確定的頻率和內(nèi)容對安全設(shè)備或用具進(jìn)行檢測和檢查,未經(jīng)檢驗或檢驗不合格的設(shè)備或用具嚴(yán)禁使用并進(jìn)行標(biāo)識。檢驗后應(yīng)張貼標(biāo)識,標(biāo)明檢驗日期、有效期,保存相應(yīng)的記錄。信息安全保護(hù)等級管理系統(tǒng)定級與審批信息安全等級保護(hù)遵循”自主定級、自主保護(hù)”原則。經(jīng)過對信息系統(tǒng)的安全保護(hù)等級進(jìn)行定級、測評和落實防護(hù)措施,確保信息系統(tǒng)安全控制措施滿足相關(guān)要求。信息安全工作小組應(yīng)依據(jù)國家頒布的<信息安全等級保護(hù)管理辦法>、國家電力監(jiān)管委員會<電力行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指導(dǎo)意見>及南方電網(wǎng)公司的<信息安全等級保護(hù)定級規(guī)范>對信息系統(tǒng)安全進(jìn)行定級。對于已運(yùn)營(運(yùn)行)的第二級以上信息系統(tǒng),信息中心應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)到廣州公安公司辦理備案手續(xù)。對于新建安全保護(hù)等級為第二級及以上的系統(tǒng),信息中心應(yīng)當(dāng)在系統(tǒng)投入運(yùn)行后30日內(nèi)到深圳公安局辦理備案手續(xù)。對于第三級及以上信息系統(tǒng),信息中心報公司審核批準(zhǔn)后,到深圳公安局辦理備案手續(xù)。信息系統(tǒng)等級保護(hù)信息安全工作小組應(yīng)依據(jù)國家頒布的信息安全等級保護(hù)技術(shù)標(biāo)準(zhǔn)、技術(shù)規(guī)范要求,對信息系統(tǒng)安全進(jìn)行差距測評,并落實各信息系統(tǒng)的防護(hù)措施。信息系統(tǒng)等級測評等級測評工作應(yīng)由具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位承擔(dān)。對于新建、改建、擴(kuò)建的二級及以上信息系統(tǒng),應(yīng)經(jīng)測評機(jī)構(gòu)測評合格方可投入使用,安全測評和風(fēng)險評估要形成相關(guān)文檔,作為項目驗收的重要內(nèi)容。等級為三級的信息系統(tǒng)每年進(jìn)行一次等級測評,等級為四級的信息系統(tǒng)每半年進(jìn)行一次等級測評。系統(tǒng)安全建設(shè)管理系統(tǒng)安全方案設(shè)計要求信息中心負(fù)責(zé)對二級及以上的信息系統(tǒng)的安全建設(shè)進(jìn)行總體規(guī)劃,制定近期和遠(yuǎn)期的安全建設(shè)工作計劃。信息安全工作小組應(yīng)根據(jù)系統(tǒng)的風(fēng)險評估結(jié)果選擇安全措施,安全措施應(yīng)滿足系統(tǒng)安全保護(hù)等級基本安全措施的要求。信息安全工作小組應(yīng)根據(jù)信息系統(tǒng)安全評估的結(jié)果和安全等級劃分情況統(tǒng)一考慮安全保障體系的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃和詳細(xì)設(shè)計方案,并形成配套文件。對于二級及以上的信息系統(tǒng),信息中心應(yīng)組織相關(guān)部門和有關(guān)安全技術(shù)專家對信息系統(tǒng)的總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件的合理性和正確性進(jìn)行論證和審定。只有在經(jīng)過信息中心主管領(lǐng)導(dǎo)批準(zhǔn)后,才能正式實施。信息安全工作小組應(yīng)根據(jù)安全評估的結(jié)果定期調(diào)整和修訂總體安全策略、安全技術(shù)框架、安全管理策略、總體建設(shè)規(guī)劃、詳細(xì)設(shè)計方案等相關(guān)配套文件。通信和操作管理變更管理系統(tǒng)的任何變更必須受到嚴(yán)格控制,系統(tǒng)變更包括但不限于:網(wǎng)絡(luò)結(jié)構(gòu)與系統(tǒng)參數(shù)的調(diào)整、硬件的增減與更換、軟件版本與補(bǔ)丁的變更、維護(hù)計劃/操作細(xì)則/作業(yè)指導(dǎo)書的改變等。任何變更必須經(jīng)過授權(quán),記錄在案并接受測試。系統(tǒng)管理員應(yīng)識別并評估變更的潛在影響,并進(jìn)行相關(guān)測試;系統(tǒng)管理員應(yīng)制定變更失敗的恢復(fù)措施,并進(jìn)行失敗回退后的驗證測試,確保變更失敗回退成功;系統(tǒng)管理員應(yīng)將變更內(nèi)容及步驟書面化,向所有相關(guān)人員傳達(dá)變更細(xì)節(jié),明確各方的責(zé)任;系統(tǒng)管理員應(yīng)填寫系統(tǒng)變更申請表,并獲得信息中心平臺分部主管批準(zhǔn);變更實施時系統(tǒng)管理員應(yīng)記錄所有的變更過程和內(nèi)容;變更完成后系統(tǒng)管理員應(yīng)保留并歸檔所有的變更記錄,并更新相關(guān)的文檔,如安全策略文檔、系統(tǒng)運(yùn)行檔案等。第三方安全管理xxxx有限公司對第三方單位進(jìn)行風(fēng)險控制、資質(zhì)要求、服務(wù)質(zhì)量評價等方面管理。xxxx有限公司對第三方安全管理內(nèi)容包括:識別、評估第三方進(jìn)入xxxx有限公司帶來的風(fēng)險對第三方風(fēng)險控制要求第三方現(xiàn)場信息安全表現(xiàn)與服務(wù)質(zhì)量評價第三方自身信息安全管理情況評價信息安全保密管理要求xxxx有限公司應(yīng)對第三方進(jìn)行安全相關(guān)的資質(zhì)審查,審查內(nèi)容應(yīng)包括:許可的相關(guān)資質(zhì)質(zhì)量管理體系以往的信息安全服務(wù)表現(xiàn)和評價第三方員工培訓(xùn)與能力證明資料xxxx有限公司應(yīng)建立程序?qū)Φ谌竭M(jìn)行評價,評價內(nèi)容包括:第三方的服務(wù)和技術(shù)支持能力第三方提供產(chǎn)品的安全性及運(yùn)行情況第三方安全管理制度的執(zhí)行情況第三方合同管理與履約情況xxxx有限公司對第三方單位的安全管理按照<第三方單位及人員管理規(guī)定>執(zhí)行。信息安全科技與創(chuàng)新管理xxxx有限公司鼓勵開展信息安全方面技術(shù)應(yīng)用的研究。xxxx有限公司鼓勵開展信息安全方面管理提升的研究。信息安全技術(shù)應(yīng)用(包括新產(chǎn)品、新技術(shù)、新工藝、新設(shè)計等)前應(yīng)進(jìn)行風(fēng)險評估與分析,并制定其風(fēng)險的控制措施。信息安全管理制度(包括規(guī)范、制度等)在頒布前應(yīng)進(jìn)行評審,并采取相應(yīng)措施,保證貫徹執(zhí)行。xxxx有限公司定期對信息安全科技與創(chuàng)新應(yīng)用成果和效果進(jìn)行回顧。糾正與預(yù)防管理xxxx有限公司應(yīng)根據(jù)年度信息安全風(fēng)險評估、信息安全大檢查、信息安全等級保護(hù)及日常運(yùn)維工作中發(fā)現(xiàn)的信息安全問題,提出安全整改措施與計劃,并及時整改糾正。整改及糾正的要求至少包括:整改糾正行動應(yīng)書面化執(zhí)行整改糾正行動的責(zé)任部門、責(zé)任人、工作內(nèi)容、工作時間、工作地點及時反饋整改糾正行動的執(zhí)行情況責(zé)任部門應(yīng)審閱整改糾正行動的執(zhí)行情況報告,并對不符標(biāo)準(zhǔn)的提出處理意見經(jīng)過流程測試等方法檢驗整改糾正行動的效果應(yīng)評估整改糾正行動,以確保類似問題不會再次發(fā)生xxxx有限公司組織進(jìn)行整改糾正與預(yù)防效果評估,評估整改糾正與預(yù)防行動解決根本原因問題的有效性,并保持整改糾正和預(yù)防行動的記錄并隨時可用,評估方法包括:整改情況檢查信息安全事件統(tǒng)計風(fēng)險評估與控制管理信息安全風(fēng)險評估與控制遵循”誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”的工作原則。信息中心及系統(tǒng)運(yùn)營部門應(yīng)采用風(fēng)險管理的理念與方法來識別、評估信息系統(tǒng)面臨的風(fēng)險,制定風(fēng)險控制措施,把風(fēng)險降低到可接受的程度,實現(xiàn)風(fēng)險的超前控制,實現(xiàn)基于風(fēng)險的信息安全管理。風(fēng)險評估和控制應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中,包括規(guī)劃、設(shè)計、實施、運(yùn)行維護(hù)和廢棄等五個階段。風(fēng)險評估和控制應(yīng)涵蓋信息系統(tǒng)管理與技術(shù)方面的內(nèi)容,至少應(yīng)包括但不限于:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)安全建設(shè)、系統(tǒng)運(yùn)維等管理方面的內(nèi)容,以及信息及系統(tǒng)物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等技術(shù)方面的內(nèi)容。信息安全管理人員應(yīng)在與被評估系統(tǒng)的相關(guān)各方進(jìn)行充分協(xié)商的基礎(chǔ)上,選擇合適的風(fēng)險分析方法及風(fēng)險評價準(zhǔn)則,以確保風(fēng)險評估結(jié)果能夠被各方認(rèn)可。信息安全管理人員在進(jìn)行風(fēng)險評估時應(yīng)保持風(fēng)險分析方法及風(fēng)險評價準(zhǔn)則的一致性,以確保風(fēng)險評估的可重復(fù)性和可審核性。信息安全管理人員在制定措施時應(yīng)與被評估系統(tǒng)的相關(guān)各方進(jìn)行充分協(xié)商,制定措施時應(yīng)考慮控制措施的可行性、適用性、可操作性、經(jīng)濟(jì)性以及控制措施可能帶來的新風(fēng)險。信息中心應(yīng)每年對信息安全保護(hù)等級為二級及以上的信息系統(tǒng),以及包括在ITSM服務(wù)目錄中的信息系統(tǒng)每年進(jìn)行一次采用詳細(xì)風(fēng)險分析方法進(jìn)行的風(fēng)險評估。并在此基礎(chǔ)上采取相應(yīng)的控制措施,將風(fēng)險降低到可接受的程度。詳細(xì)風(fēng)險分析可參照國家標(biāo)準(zhǔn)GBT20984-<信息安全技術(shù)信息安全風(fēng)險評估規(guī)范>進(jìn)行。信息系統(tǒng)運(yùn)營部門或單位應(yīng)對自己管理的信息安全保護(hù)等級為二級以下的信息系統(tǒng)每年進(jìn)行一次采用基線風(fēng)險分析方法進(jìn)行的自評估,并在此基礎(chǔ)上采取相應(yīng)的控制措施,將風(fēng)險降低到可接受的程度。信息中心應(yīng)每年進(jìn)行一次檢查評估,以確保系統(tǒng)風(fēng)險處于可接受程度。信息安全管理人員應(yīng)根據(jù)國家、行業(yè)及上級單位法律法規(guī)要求、業(yè)界實踐經(jīng)驗、自身安全要求制定xxxx有限公司的信息系統(tǒng)安全基線。除定期進(jìn)行風(fēng)險評估外,在系統(tǒng)運(yùn)行中遇到下列情