《ISCCC-ISMS审核员教程-案例练习册.doc》由会员分享,可在线阅读,更多相关《ISCCC-ISMS审核员教程-案例练习册.doc(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流ISCCC-ISMS审核员教程-案例练习册.精品文档.中国信息安全认证中心ISMS审核员培训教程学员案例练习册(v1.0)2008年8月目 录第一部分 案例21 博文公司介绍22 博文公司ISMS文件3第二部分 练习271 练习一:确定审核范围272 练习二:编制审核方案和审核计划283 练习三:风险评估评审294 练习四:编制检查表305 练习五:判断不符合项31第一部分 案例1 博文公司介绍位于北京上地信息产业园区的博文数据科技有限公司成立于2000年8月,总投资3000万元人民币。公司主要业务是为行业用户提供数据加工服务,包括:l 大批
2、量纸介质数据的电子化l 加工制作数字化报刊和电子图书l 大批量电子数据的格式转换l 定制开发电子数据阅读器博文公司凭借自主知识产权的OCR、数据格式化等核心技术,已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。公司现有员工1200人,设有7个职能部门,实行董事会领导的总经理负责制。各职能部门主要职责如下:1) 生产部:按照客户要求,负责数据加工生产,是公司核心业务部门。2) 质量保证部:负责数据加工生产过程中的品质保证,ISO9001质量管理体系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的
3、运行。3) IT部:负责研发生产部所需的数据加工工具,为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。4) 市场营销部:制定和实施营销策略,开发客户,实现销售。5) 财务部:财务计划的制定和实施,日常结算、税务等会计业务。6) 行政部:负责公司后勤保障和日常运行事务。7) 人力资源部:制定和实施人力资源计划,包括人员招聘、绩效考核、岗位职责定义。2 博文公司ISMS文件部分博文公司ISMS文件如下。2.1 ISMS方针信息安全管理体系方针1 目的和适用范围信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。此外,本文件还描述了公司的信
4、息安全管理体系的范围。本文件适用于公司信息安全管理体系涉及的所有人员和过程。2 信息安全定义公司对信息安全的定义是:保证公司业务所依赖的信息和信息系统的保密性,完整性,可用性;3 信息安全方针和目标公司信息安全方针为:积极预防、及时发现、快速响应、确保安全。公司的信息安全目标是:满足已识别的信息安全要求,包括法律法规、客户与相关方和公司业务要求,具体目标包括: 商业秘密信息泄漏事故为零。 引起公司主要产品研发与生产中断时间累计不能超过1小时/年。 引起公司主要产品研发与生产中断事故发生次数小于3次/年。4 信息安全管理机构为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立
5、信息安全领导小组,负责: 制定信息安全方针和目标; 建立公司信息安全角色和职责 提供公司ISMS所需要的资源; 领导建立和实施公司ISMS; 监督和检查公司信息安全工作; 制定和实施信息安全工作的奖惩政策。5 职责公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其合约供货商必须按照相应的程序,维护此方针,所有员工有责任报告信息安全事件,以及识别信息安全风险。6 重要原则和符合性要求公司所有员工应明确,在信息安全方面满足以下原则和符合以下要求是必须的:1) 法律法规和合同要求的符合性2) 信息安全安全意识3) 遵守公司所有信息安全
6、策略和操作规程7 评审本文件需要定期被评审,12个月内评审一次,当信息安全管理体系发生重大变化时,也应评审,以维持其适用性。信息安全领导小组负责本文件的评审。8 实施 本方针自2006年5月15日由公司总经理签署并颁布实施。 2.2 适用声明(SOA)适用性声明 1 目的为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。2 范围本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。3 适用性声明条款目标控制措施是否选择/及理由A.5 安全方针A.5.1 信息安全方针A.5.1.1信息安全方针文件依据业务要求和相关法律法规提供管理指导并支持信息安全。信息安全方针
7、文件应由管理者批准、发布并传达给所有员工和外部相关方。选择信息安全工作要求所确定,见信息安全管理体系方针。A.5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效性。选择信息安全工作要求所确定,见信息安全管理体系方针。A.6信息安全组织A.6.1内部组织A.6.1.1 信息安全的管理承诺在组织内管理信息安全。管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认,来积极支持组织内的安全。选择?A.6.1.2信息安全协调信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。选择,风险评估结果所确定,
8、见信息安全管理体系方针。A.6.1.3信息安全职责的分配所有的信息安全职责应予以清晰地定义。选择,?,见信息安全岗位职责描述。A.6.1.4信息处理设施的授权过程新信息处理设施应定义和实施一个管理授权过程。选择,(写进信息安全策略)A.6.1.5保密性协议应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。选择,满足客户合同和公司的要求,见保密制度。A.6.1.6与政府部门的联系应保持与政府相关部门的适当联系。选择,?,见对外联络表。A.6.1.7与特定权益团体的联系应保持与特定权益团体、其他安全专家组和专业协会的适当联系。选择,获取行业信息,见对外联络表。A.6.1.8信息安全的
9、独立评审组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)应按计划的时间间隔进行独立评审,当安全实施发生重大变化时,也要进行独立评审。选择,根据业务需要适时进行安全机构的第三方独立评审,见信息安全策略。A.6.2外部各方A.6.2.1 与外部各方相关风险的识别保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险,并在允许访问前实施适当的控制措施。选择,见信息安全策略。A.6.2.2 处理与顾客有关的安全问题应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。选择,见信息
10、安全策略。A.6.2.3处理第三方协议中的安全问题涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议,或在信息处理设施中增加产品或服务的第三方协议,应涵盖所有相关的安全要求。选择,见信息安全策略。A.7资产管理A.7.1资产责任实现和保持对组织资产的适当保护。A.7.1.1资产清单应清晰的识别所有资产,编制并维护所有重要资产的清单。选择,见重要信息资产清单。A.7.1.2资产责任人与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任 解释:术语“责任人”是被认可,具有控制生产、开发、保持、使用和资产安全的个人或实体。术语“责任人”不指实际上对资产具有财产权的人。
11、选择,见重要信息资产清单。A.7.1.3资产的允许使用与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。选择,见管理手册。A.7.2信息分类A.7.2.1 分类指南确保信息受到适当级别的保护。信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。选择,见重要信息资产清单见风险评估。A.7.2.2信息的标记和处理应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。选择,见信息安全策略。A.8 人力资源安全A.8.1任用之前A.8.1.1角色和职责确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。雇员
12、、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。选择,见信息安全岗位职责描述。A.8.1.2审查关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。选择,见人员情况调查表。A.8.1.3任用条款和条件作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。选择,见人员招聘简章。A.8.2 任用中A.8.2.1管理职责确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和
13、义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。选择,见信息安全管理体系方针与信息安全管理体系职责描述。A.8.2.2信息安全意识、教育和培训组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。选择,见信息安全管理体系方针。A.8.2.3纪律处理过程对于安全违规的雇员,应有一个正式的纪律处理过程。选择,见管理手册。A.8.3 任用的终止或变化A.8.3.1终止职责确保雇员、承包方人员和第三方人员以一个规范的方式
14、退出一个组织或改变其任用关系。任用终止或任用变化的职责应清晰的定义和分配。选择,见管理手册。A.8.3.2资产的归还所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时,应归还他们使用的所有组织资产。选择,见管理手册。A.8.3.3撤销访问权所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除,或在变化时调整。选择,见管理手册。A.9 物理和环境安全A.9.1安全区域A.9.1.1物理安全边界防止对组织场所和信息的未授权物理访问、损坏和干扰。应使用安全边界(诸如墙、卡控制的入口或有人管理的接待台等屏障)来保护包含信息和信息处理设施的区域。选择,见工作
15、场所出入管理规定。A.9.1.2物理入口控制安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。选择,见工作场所出入管理规定。A.9.1.3办公室、房间和设施的安全保护应为办公室、房间和设施设计并采取物理安全措施。选择,见工作场所出入管理规定。A.9.1.4外部和环境威胁的安全防护为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏,应设计和采取物理保护措施。选择,见突发情况应急方案(管理手册)。A.9.1.5在安全区域工作应设计和运用用于安全区域工作的物理保护和指南。选择,见机房管理规定。A.9.1.6公共访问、交接区安全访问点(例如交接区)和未授权人员可
16、进入办公场所的其他点应加以控制,如果可能,要与信息处理设施隔离,以避免未授权访问。选择,见工作场所出入管理规定。A.9.2 设备安全A.9.2.1设备安置和保护防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断。应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。选择,见设备管理规定。A.9.2.2支持性设施应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。选择,见突发情况应急方案(管理手册)。A.9.2.3布缆安全应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或损坏。选择,见机房管理规定。A.9.2.4设备维护设备应予以正确地维护,以
17、确保其持续的可用性和完整性。选择,见设备管理规定。A.9.2.5组织场所外的设备安全不选择,没有组织场所外的设备A.9.2.6设备的安全处置或再利用包含储存介质的设备的所有项目应进行检查,以确保在销毁之前,任何敏感信息和注册软件已被删除或安全重写。选择,见信息安全策略。A.9.2.7资产的移动设备、信息或软件在授权之前不应带出组织场所。选择,见机房管理规定。A.10通信和操作管理A.10.1操作程序和职责A.10.1.1文件化的操作程序确保正确、安全的操作信息处理设施。操作程序应形成文件、保持并对所有需要的用户可用。选择,见设备管理规定、服务器管理规定、邮件使用安全管理规定、备份管理程序、网络
18、安全管理规定。A.10.1.2变更管理对信息处理设施和系统的变更应加以控制。选择,见设备管理规定、服务器管理规定。A.10.1.3责任分离各类责任及职责范围应加以分割,以降低未授权或无意识的修改或者不当使用组织资产的机会。选择,见用户管理规定(管理手册)。A.10.1.4开发、测试和运行设施分离开发、测试和运行设施应分离,以减少未授权访问或改变运行系统的风险。选择,见技术部工作规范(自主开发软件管理规定)。A.10.2 第三方服务交付管理A.10.2.1服务交付实施和保持符合第三方服务交付协议的信息安全和服务交付的适当水准。应确保第三方实施、运行和保持包含在第三方服务交付协议中的安全控制措施、
19、服务定义和交付水准。选择,见信息安全策略。A.10.2.2第三方服务的监视和评审应定期监视和评审由第三方提供的服务、报告和记录,审核也应定期执行。选择,见信息安全策略。A.10.2.3第三方服务的变更管理应管理服务提供的变更,包括保持和改进现有的信息安全方针策略、程序和控制措施,要考虑业务系统和涉及过程的关键程度及风险的再评估。选择,见信息安全策略。A.10.3 系统规划和验收A.10.3.1容量管理将系统失效的风险降至最小。资源的使用应加以监视、调整,并应作出对于未来容量要求的预测,以确保拥有所需的系统性能。选择,根据业务需要适时调整,见信息安全策略。A.10.3.2系统验收应建立对新信息系
20、统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。选择,根据业务需要适时调整,见信息安全策略。A.10.4 防范恶意和移动代码A.10.4.1控制恶意代码保护软件和信息的完整性。应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。选择,风险评估结果所确定,见网络安全管理规定(病毒、木马、僵尸程序等)。A.10.4.2控制移动代码当授权使用移动代码时,其配置应确保授权的移动代码按照清晰定义的安全策略运行,应阻止执行未授权的移动代码。选择,风险评估结果所确定,见网络安全管理规定(病毒、木马、僵尸程序等)。A.10.5 备份A.10.5.1信息备份保持信
21、息和信息处理设施的完整性和可用性。应按照已设的备份策略,定期备份和测试信息和软件。选择,风险评估结果所确定,见备份管理规定。A.10.6 网络安全管理A.10.6.1网络控制确保网络中信息的安全性并保护支持性的基础设施。应充分管理和控制网络,以防止威胁的发生,维护系统和使用网络的应用程序的安全,包括传输中的信息。选择,风险评估结果所确定,见网络安全管理规定。A.10.6.2网络服务的安全安全特性、服务级别以及所有网络服务的管理要求应予以确定并包括在所有网络服务协议中,无论这些服务是由内部提供的还是外包的。选择,风险评估结果所确定,见网络安全管理规定。A.10.7 介质处置A.10.7.1可移动
22、介质的管理防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。应有适当的可移动介质的管理程序。选择,风险评估结果所确定,见设备管理规定(移动存储介质)。A.10.7.2介质的处置不再需要的介质,应使用正式的程序可靠并安全地处置。选择,风险评估结果所确定,见设备管理规定(移动存储介质)。A.10.7.3信息处理程序应建立信息的处理及贮存程序,以防止信息的未授权的泄漏或不当使用。选择,风险评估结果所确定,见信息安全策略。A.10.7.4系统文件安全应保护系统文件以防止未授权的访问。选择,风险评估结果所确定,见技术部工作规范。A.10.8 信息的交换A.10.8.1信息交换策略和程序保持组织
23、内信息和软件交换及与外部组织信息和软件交换的安全。应有正式的交换策略、程序和控制措施,以保护通过使用各种类型通信设施的信息交换。选择,风险评估结果所确定,见邮件管理规定(包括上传下载自动收发等)。A.10.8.2交换协议应建立组织与外部团体交换信息和软件的协议。选择,风险评估结果所确定,邮件管理规定(包括上传下载自动收发等)。A.10.8.3运输中的物理介质包含信息的介质在组织的物理边界以外运送时,应防止未授权的访问、不当使用或毁坏。选择,风险评估结果所确定,见信息安全策略(邮寄快递)A.10.8.4电子消息发送包含在电子消息发送中的信息应给予适当的保护。选择,风险评估结果所确定,见邮件管理规
24、定。A.10.8.5业务信息系统应建立和实施策略和程序以保护与业务信息系统互联的信息。选择,风险评估结果所确定,见技术部工作规范。A.10.9 电子商务服务A.10.9.1电子商务确保电子商务服务的安全及其安全使用。不选择公司没有电子商务业务。A.10.9.2在线交易不选择公司没有电子商务业务。A.10.9.3公共可用信息在公共可用系统中可用信息的完整性应受保护,以防止未授权的修改。选择,风险评估结果所确定,见信息管理策略(网站内容授权)。A.10.10 监视A.10.10.1审计日志的记录检测未授权的信息处理活动。应产生记录用户活动、异常和信息安全事件的审计日志,并要保持一个已设的周期以支持
25、将来的调查和访问控制监视。选择,风险评估结果所确定,见网络安全管理规定。A.10.10.2监视系统的使用应建立信息处理设施的监视使用程序,监视活动的结果要经常评审选择,风险评估结果所确定,见网络安全管理规定。A.10.10.3日志信息的保护记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。选择,风险评估结果所确定,见网络安全管理规定。A.10.10.4管理员和操作员日志系统管理员和系统操作员活动应记入日志。选择,风险评估结果所确定,见网络安全管理规定。A.10.10.5故障日志的记录故障应被记录、分析,并采取适当的措施。选择,风险评估结果所确定,见网络安全管理规定。A.10.10.
26、6时钟同步一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的精确时间源进行同步。选择,风险评估结果所确定,见网络安全管理规定。A.11 访问控制A.11.1访问控制的业务要求A.11.1.1访问控制策略控制对信息的访问。访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。选择,风险评估结果所确定,见网络安全管理规定。A.11.2用户访问管理A.11.2.1 用户注册确保授权用户访问信息系统,并防止未授权的访问。应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。选择,风险评估结果所确定,见网络安全管理规定。A.11.2.2特权管理应限制和控制特殊权限的分
27、配及使用。选择,风险评估结果所确定,见网络安全管理规定。A.11.2.3用户口令管理应通过正式的管理过程控制口令的分配。选择,风险评估结果所确定,见网络安全管理规定。A.11.2.4用户访问权的评审管理者应定期使用正式过程对用户的访问权进行复查。选择,风险评估结果所确定,见网络安全管理规定。A.11.3 用户职责A.11.3.1口令使用防止未授权用户对信息和信息处理设施的访问、危害或窃取。应要求用户在选择及使用口令时,遵循良好的安全习惯。选择,风险评估结果所确定,见网络安全管理规定。A.11.3.2无人值守的用户设备用户应确保无人值守的用户设备有适当的保护。选择,风险评估结果所确定,见网络安全
28、管理规定。A.11.3.3清空桌面和屏幕策略应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略。选择,风险评估结果所确定,见网络安全管理规定(清空桌面和屏幕策略)。A.11.4 网络访问控制A.11.4.1使用网络服务的策略防止对网络服务的未授权访问。用户应仅能访问已获专门授权使用的服务。选择,风险评估结果所确定,见网络安全管理规定。A.11.4.2外部连接的用户鉴别应使用适当的鉴别方法以控制远程用户的访问。选择,风险评估结果所确定,见网络安全管理规定。A.11.4.3网络上的设备标识应考虑自动设备标识,将其作为鉴别特定位置和设备连接的方法。选择,风险评估结果所确定,见网络
29、安全管理规定。A.11.4.4远程诊断和配置端口的保护对于诊断和配置端口的物理和逻辑访问应加以控制。选择,风险评估结果所确定,见网络安全管理规定(路由器的访问端口控制)。A.11.4.5网络隔离应在网络中隔离信息服务、用户及信息系统。选择,风险评估结果所确定,见网络安全管理规定。A.11.4.6网络连接控制对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见11.1)。选择,风险评估结果所确定,见网络安全管理规定。A.11.4.7网络路由控制应在网络中实施路由控制,以确保计算机连接和信息流不违反业务应用的访问控制策略。选择,风险评估结果所确定,见
30、网络安全管理规定。A.11.5 操作系统访问控制A.11.5.1安全登录程序防止对操作系统的未授权访问。访问操作系统应通过安全登录程序加以控制。选择,风险评估结果所确定,见网络安全管理规定。A.11.5.2用户标识和鉴别所有用户应有唯一的、专供其个人使用的识别码(用户ID),应选择一种适当的认证技术证实用户所宣称的身份。选择,风险评估结果所确定,见网络安全管理规定。A.11.5.3口令管理系统口令管理系统应是交互式的,并应确保优质的口令。选择,风险评估结果所确定,见网络安全管理规定。A.11.5.4系统实用工具的使用可能超越系统和应用程序控制的实用工具的使用应加以限制并严格控制。选择,风险评估
31、结果所确定,见网络安全管理规定(越过访问控制进入系统的工具)。A.11.5.5对话超时不活动会话应在一个设定的休止期后关闭。选择,风险评估结果所确定,见网络安全管理规定。A.11.5.6联机时间的限定应使用联机时间的限制,为高风险应用程序提供额外的安全。选择,风险评估结果所确定,见网络安全管理规定(30分钟空闲自动断开)。A.11.6 应用和信息访问控制A.11.6.1信息访问限制防止对应用系统中信息的未授权访问。用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。选择,风险评估结果所确定,见技术部工作规范。A.11.6.2敏感系统隔离不选择,目前没有专用的敏感系统。A
32、.11.7 移动计算和远程工作A.11.7.1移动计算和通信确保使用可移动计算和远程工作设施时的信息安全。选择,见信息安全策略。A.11.7.2远程工作不选择,目前没有远程工作。A.12信息系统获取、开发和维护A.12.1信息系统的安全要求A.12.1.1安全要求分析和说明确保安全是信息系统的一个有机组成部分。在新的信息系统或增强已有信息系统的业务要求陈述中,应规定对安全控制措施的要求。选择,风险评估结果所确定,见技术部工作规范(应用系统安全需求分析)。A.12.2应用中的正确处理A.12.2.1输入数据的验证防止应用系统中的信息的错误、遗失、未授权的修改及误用。输入应用系统的数据应加以验证,
33、以确保数据是正确且恰当的。选择,风险评估结果所确定,见技术部工作规范。A.12.2.2内部处理的控制验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。选择,风险评估结果所确定,见技术部工作规范。A.12.2.3消息完整性应用中的确保真实性和保护消息完整性的要求应得到识别,适当的控制措施也应得到识别并实施。选择,风险评估结果所确定,见技术部工作规范。A.12.2.4输出数据的验证从应用系统输出的数据应加以验证,以确保对所存储信息的处理是正确的且适于环境的。选择,风险评估结果所确定,见技术部工作规范。A.12.3密码控制A.12.3.1使用密码控制的策略通过密码方法保护信息
34、的保密性、真实性或完整性。不选择,没有密码要求。A.12.3.2密钥管理不选择,没有密码要求。A.12.4系统文件的安全A.12.4.1运行软件的控制确保系统文件的安全应有程序来控制在运行系统上安装软件。选择,风险评估结果所确定,见技术部工作规范。A.12.4.2系统测试数据的保护测试数据应认真地加以选择、保护和控制。选择,风险评估结果所确定,见技术部工作规范。A.12.4.3对程序源代码的访问控制应限制访问程序源代码。选择,风险评估结果所确定,见技术部工作规范。A.12.5开发和支持过程中的安全A.12.5.1变更控制程序维护应用系统软件和信息的安全。应使用正式的变更控制程序控制变更的实施。
35、选择,风险评估结果所确定,见技术部工作规范。A.12.5.2操作系统变更后应用的技术评审当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。选择,风险评估结果所确定,见技术部工作规范。A.12.5.3软件包变更的限制应对软件包的修改进行劝阻,限制必要的变更,且对所有的变更加以严格控制。选择,风险评估结果所确定,见技术部工作规范。A.12.5.4信息泄露应防止信息泄露的可能性。选择,风险评估结果所确定,见技术部工作规范。A.12.5.5外包软件开发不选择,没有外包软件开发。A.12.6 技术脆弱点管理A.12.6.1技术脆弱点的控制降低利用公布的技术脆弱
36、性导致的风险。应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。选择,风险评估结果所确定,见技术部工作规范。A.13信息安全事故管理A.13.1报告信息安全事件和弱点A.13.1.1报告信息安全事件确保与信息系统有关的信息安全事件和弱点能够以某种方式传达,以便及时采取纠正措施。信息安全事件应该尽可能快地通过适当的管理渠道进行报告。选择,风险评估结果所确定,见信息安全事故管理程序。A.13.1.2报告安全弱点应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。选择,风险评估结果所确定
37、,见信息安全事故管理程序。A.13.2 信息安全事故和改进的管理A.13.2.1职责和程序确保采用一致和有效的方法对信息安全事故进行管理。应建立管理职责和程序,以确保能对信息安全事故做出快速、有效和有序的响应。选择,风险评估结果所确定,见信息安全事故管理程序。A.13.2.2对信息安全事故的总结应有一套机制量化和监视信息安全事故的类型、数量和代价。选择,风险评估结果所确定,见信息安全事故管理程序。A.13.2.3证据的收集当一个信息安全事故涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。选择,风险评估结果所确定,见信息安全事故
38、管理程序。A.14业务连续性管理A.14.1业务连续性管理的信息安全方面A.14.1.1业务连续性管理过程中包含的信息安全防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。应为贯穿于组织的业务连续性开发和保持一个管理过程,以解决组织的业务连续性所需的信息安全要求。选择,风险评估结果所确定,见业务连续性管理程序。A.14.1.2业务连续性和风险评估应识别能引起业务过程中断的事件,这种中断发生的概率和影响,以及它们对信息安全所造成的后果。选择,风险评估结果所确定,见业务连续性管理程序。A.14.1.3制定和实施包含信息安全的连续性计划应制定和实施计划来保持或
39、恢复运行,以在关键业务过程中断或失败后能够在要求的水平和时间内确保信息的可用性。选择,风险评估结果所确定,见业务连续性管理程序。A.14.1.4业务连续性计划框架应保持一个唯一的业务连续性计划框架,以确保所有计划是一致的,能够协调地解决信息安全要求,并为测试和维护确定优先级。选择,风险评估结果所确定,见业务连续性管理程序。A.14.1.5测试、保持和再评估业务连续性计划业务连续性计划应定期测试和更新,以确保其及时性和有效性。选择,风险评估结果所确定,见业务连续性管理程序。A.15符合性A.15.1符合法律要求A.15.1.1可用法律的标识避免违反任何法律、法令、法规或合同义务,以及任何安全要求
40、。对每一个信息系统和组织而言,所有相关的法令、法规和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新。选择,风险评估结果所确定,见法律法规与合同符合程序。A.15.1.2知识产权(IPR)应实施适当的程序,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求。选择,风险评估结果所确定,见知识产权管理规定。A.15.1.3保护组织的记录应防止重要的记录遗失、毁坏和伪造,以满足法令、法规、合同和业务的要求。选择,风险评估结果所确定,见网络安全管理规定。A.15.1.4数据保护和个人信息的隐私依照相关的法律、法规和合同条款保护数据保护和
41、隐私。选择,风险评估结果所确定,见信息安全策略。A.15.1.5防止滥用信息处理设施应禁止用户使用信息处理设施用于未授权的目的。选择,风险评估结果所确定,见网络安全管理规定。A.15.1.6密码控制措施的规则不选择,没有密码要求。A.15.2符合安全策略和标准,以及技术符合性A.15.2.1符合安全策略和标准确保系统符合组织的安全策略及标准。管理者应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。选择,风险评估结果所确定,见信息安全策略。A.15.2.2技术符合性检查信息系统应被定期检查是否符合安全实施标准。选择,风险评估结果所确定,见信息安全策略。A.15.3信息系统
42、审核考虑A.15.3.1信息系统审核控制将信息系统审核过程的有效性最大化,干扰最小化。涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便最小化造成业务过程中断的风险。选择,风险评估结果所确定,见技术部工作规范。A.15.3.2信息系统审核工具的保护对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。选择,风险评估结果所确定,见技术部工作规范。2.3 信息安全风险评估程序信息安全风险评估程序1. 目的本文件为公司执行信息安全风险评估提供指导和规范。本程序的运行结果产生风险评估报告-(加注日期)。公司依据风险评估报告编制风险处理计划。2. 适用范围本程序适用风险评估
43、所涉及的所有部门。风险评估工作组成员据此执行风险评估活动。其他相应员工据此理解风险评估的过程,完成自己职责范围内风险评估相关工作。3. 风险评估的实施频率及评审公司规定风险评估活动要定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。遇到以下情况,公司也将启动风险评估: 增加了大量新的信息资产; 业务环境发生了重大的变化; 发生了重大信息安全事件。4. 风险评估方法根据GB/T22080-2008/ISO/IEC27001:2005和ISO/IEC TR 13335-3,公司采用“详细风险分析方法(Detailed Risk Approach)”来实施风险评估,该方法主要包括:风险分析:识别资产、威胁、脆弱性、影响和可能性风险评价:风险影响可能性5. 风险评估流程公司风险评估流程如下图所示:欣博友风险评估流程编制风险评估报告分析和评价风险识别风险建立风险评估工作组确定风险评估范围5.1. 确定风险评估范围在执行风险评估前,由信息安全领导小组负责,确定本次风险评估的范围,并明确传达给风险评估工作组。5.2. 建立风险评估工作组在执行风险评估前,由信息安全领导小组负责,建立风险评估工作组,并明确工作组成员职责。5.3. 识别风险5.3.1. 识别资产及其责任人,建