《某有限公司信息安全管理手册17098.docx》由会员分享,可在线阅读,更多相关《某有限公司信息安全管理手册17098.docx(99页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 一级文件文件编号IT-IT-M-0003版 本V1.0保密等级内部使用标 题信息安全管理手册生效日期2011年01月01日Evaluation Warning: The document was created with Spire.Doc for .NET.xxxx有有限公司司信息安全管管理手册册密级机密 保密 内部使使用 公开信信息受控状态受控 非受控控2011-12-01颁布 封面 2011-01-01 实施 深圳市xxxx有限公司 信息中心 发布文件历史控控制记录录文件名称信息安全管管理手册册文件编号IT-ITT-M-00003对应OA文文号版次编制与修订订概要完成日期状态角色人员编
2、写初审会签审核批准第一章 前言随着xxxxx有限限公司业业务发展展日益增增长,信信息交换换互连面面也随之之增大,信息业务系统依赖性扩大,所带来的信息安全风险和信息脆弱点也逐渐呈现,原有信息安全技术和管理手段很难满足目前和未来信息化安全的需求,为确保xxxx有限公司信息及信息系统的安全,使之免受各种威胁和损害,保证各项信息系统业务的连续性,使信息安全风险最小化,xxxx有限公司每年开展网络与信息系统安全风险评估及等级保护测评,定期对等级保护测评与风险评估活动过程中的风险漏洞进行全面整改,分析了信息安全管理上的不足与缺陷,编制了差距测评报告。通过开展信息安全风险评估和等级保护测评,了解xxxx有限
3、公司信息安全现状和未来需求,为建立xxxx有限公司信息安全管理体系奠定了基础。2011年年7月开展展信息安安全管理理体系持持续改进进建设,依依据信息息安全现现状和未未来信息息安全需需求及GGB/TT220080-20008/IISO/IECC270001:20005信息息安全管管理体系系的标准准要求,建建立了符符合xxxxx有有限公司司信息安安全管理理现状和和管理需需求的信信息安全全管理体体系,该该体系覆覆盖了GGB/TT220080-20008/IISO/IECC270001:20005信息息安全管管理体系系的标准准要求112个控控制领域域、399个控制制目标和和133个控控制措施施。本手册
4、是xxxxxx有限公公司信息息安全管管理体系系的纲领领性文件件,由信信息中心心归口负负责解释释。第二章 信息安全管管理手册册颁布令令xxxx有有限公司司(以下下简称公公司)依依据GBB/T2220880-220088/ISSO/IIEC2270001:220055信息安安全管理理体系标标准要求求,结合合限公司司实际情情况,在在原有的的各项管管理制度度的基础础上编制制完成了了xxxxx有有限公司司信息安安全管理理体系手手册第第一版,现现予以批批准实施施。xxxxx有限公公司信息息安全管管理体系系手册是是公司在信信息及信信息系统统安全方方面的规规范性文文件,手手册阐述述了限公公司信息息安全服服务方
5、针针,信息息安全目目标及信信息安全全管理体体系的过过程方法法和策略略,是公司信息息安全管管理体系系建设实实施的纲纲领和行行动准则则,是公司开开展各项项服务活活动的基基本依据据;是对对社会各各界证实实我公司司有能力力稳定地地提供满满足国际际标准信信息安全全要求以以及客户户和法律律法规相相关要求求的有效效证据。适适合公司司信息化化目前发发展趋势势需求,且且内容充充分、表表达准确确,现予予颁布。本手册定于于20111年8月1日起实实施,属属强制性性文件,要要求各部部门所有有人员必须须正确理理解并严严格贯彻彻全面执执行。 xxxxx有限限公司总经理签名名:日期: 220111年01月01日第三章 公司
6、介绍1. 企业简介xxxx有有限公司司(以下下简称xxxxxx)始创创于20002年年4月,大大致经过过三个发发展阶段段:第一一阶段,2002年2004年,为创业期,全力开拓市场,实现在竞争激烈的行业中立足;第二阶段,20042006年,为整合期,整合一切有效资源,重力推出新产品,奠定以优质产品占据市场的方向,梳理并确立了经营理念、发展愿景、经营方针,完成了股份制改革;第三阶段,2006至今,为蜕变期,立足电气传动、工业控制领域,为全球用户提供专业化产品和服务,于2010年在深交所A股上市,股票代码:002334,步入不断提升企业核心竞争力,并实现飞跃的阶段。目前xxxxx设有有国内办办事处3
7、30多个个,海外外办事处处2个,拥拥有海内内外经销销合作伙伙伴上百百家,用用户遍布布全球550多个个国家和和地区。xxxx是是国家级级高新技技术企业业,拥有有深圳市市唯一的的“变频器器工程技技术研究究开发中中心”。在吸收国外外先进技技术的基基础上,结结合近十十年变频频推广应应用经验验和当今今电力电电子最新新控制技技术,研研制出高高、中、低低压通用用及各行行业专用用变频器器、交流流伺服系系统、制制动单元元、能量量回馈单单元等产产品。并并在市政政、建材材、塑胶胶、油田田、机械械、化工工、冶金金、纺织织、印刷刷、机床床、矿山山等行业业广泛应应用。xxxx变变频器产产品包括括低压CCHA/CHVV/C
8、HHE/CCHF/各行业业专用系系列、中中压6660V/11440V系系列、高高压CHHH(3KVV/6KKV/110KVV)系列列等,功功率范围围涵盖00.480000kWW,满足足不同行行业不同同场合的的各种变变频控制制应用需需求。成熟矢量控控制技术术、各行行业专用用变频控控制技术术的掌握握以及国国际领先先四象限限控制技技术的突突破使xxxxxx的发展展持续领领先,成成为中国国变频器器行业的的领导者者。高性性能交流流伺服系系统的开开发与成成功应用用标志着着xxxxx向运运动控制制领域的的拓展与与延伸。xxxx在在“众诚德德厚、业业精志远远”的经营营理念指指导下,坚坚持在不不断创新新、精益益
9、求精中中与包括括员工、股股东、供供应商、客客户等广广大合作作伙伴共共同发展展,公司司的自主主创新及及品牌美美誉度在在行业中中已经占占有重要要地位,并并得到社社会的广广泛认同同。2. 企业文化经营理念:众诚德德厚业业精志远远愿 景:成为为全球领领先、受受人尊敬敬的电气气传动、工工业控制制领域的的产品和和服务供供应商。使 命:竭尽尽全力提提供物超超所值的的产品和和服务,让让客户更更有竞争争力。经营方针:创新 品质 标准化化 共同发发展核心价值观观:众诚诚德厚拼搏创创新人才理念:人才是是企业第第一资本本 尊重人人才,经经营人才才质量方针:提供不不断优化化的产品品和服务务,提高高客户满满意度。3. 企
10、业标识:标识释义:xxxx企企业标徽徽有两种种色彩:xxxxx红(M1100 Y880)、xxxxx蓝蓝(C1100 M880 K440),红红色体现现进取和和活力,蓝蓝色象征征包容和和专注的的钻研精精神。字字体设计计简洁、凝凝聚、浑浑厚、扩扩张,传传达xxxxx通通过与合合作伙伴伴和员工工的合力力凝聚坚坚固产品品品质,厚厚重企业业诚信、拼拼搏创新新、走向向国际、再再创新高高的思想想。 “INVVT”是变频频器(iinveerteer),也也是创新新(innnovvatiion)和和美德(virtue)的结合,是xxxx核心价值观“众诚德厚,拼搏创新”的标识承载; 首字母“ii”色彩红红蓝结合
11、合,强调调xxxxx企业业个人人与团队队、个人人与公司司、xxxxx与与客户、供供应商的的相互信信赖,共共同发展展; 红色圆点是是旭日也也是星球球,蓝色色体现企企业所在在地域滨海海城市深深圳,体体现xxxxx电电气立足足本土,致致力于成成为全球球领先、受受人尊敬敬的电气气传动、工工业控制制领域产产品/服务供供应商的的远景目目标。第四章 信息安全管管理目标标根据国家信信息安全全等级保保护要求求、公司司下达的的目标与与指标、公司信息化发展战略目标、信息安全风险评估结果、信息用户的满意度,结合公司实现目标所需的资源,识别公司的信息安全目标与指标。公司每年年年底制定定下一年年度的信信息安全全目标与与指
12、标,公公司制定定完成信信息安全全目标与与指标的的工作计计划,将将目标、指指标的层层层分解解,并落落实完成成。下列列是详细细的信息息安全目目标:目标类别目标项目标值目标换算方方法统计周期信息安全目目标不可接受风风险处理理率100%(不可接受受风险数数处理数数/不可受受风险总总数)1000%年机密信息泄泄密事件件0次按实际发生生次数统统计年秘密信息泄泄密事件件0次按实际发生生次数统统计年特别重大突突发事件件(级)0次按实际发生生次数统统计年重大突发事事件(级)0次按实际发生生次数统统计年较大突发事事件(级)0次按实际发生生次数统统计年一般突发事事件(级)0次按实际发生生次数统统计年内部审核及及管理
13、评评审实施施及时率率100%按计划实施施年员工入职培培训完成成率100%(入职员工工参训人人数/入职员员工总数数)1000%年信息安全培培训计划划完成率率100%(实际培训训次数/计划培培训次数数)1000%年信息安全运运行指标标大面积感染染计算机机病毒次次数0次按实际发生生次数统统计年由于网络故故障导致致关键业业务中断断次数0次按实际发生生次数统统计年员工保密协协议签订订率100%(实际签订订人数/入职总总人数)100%年重要信息备备份及时时率100%(实际备份份数/计划备备份数)100%年内部审核不不符合项项整改率率90%(不符合项项整改完完成数/不符合合项总数数)1000%年计算机故障障
14、处理完完成率100%(实际处理理数/故障总总数)1000%年容量不足导导致业务务故障次次数3按实际发生生次数统统计年计算机口令令强度符符合率100%(帐号符合合数/帐号总总数)1000%年注:公司的的信息安安全目标标不限此此,可根根据各部部门的实实际业务务进行调调整或分分解。第五章 信息安全全会议1. 信息安全会会议要求求1.1. 公司应在每每年一次次的信息息化工作作会议上上,总结结汇报本本年度的的信息安安全工作作情况。1.2. 公司应在每每季度召召开的计计算机管管理会议议中,总总结本季季度的信信息安全全工作情情况。1.3. 公司信息中中心应在在每月召召开的信信息管理理工作例例会中,总总结本月
15、月的信息息安全工工作情况况。1.4. 公司应根据据风险变变化的需需要或在在重大活活动期间间,不定定期召开开信息安安全专题题会。2. 信息安全会会议记录录管理2. 信息安全管管理文件件与数据据的管控控2.1. 公司应及时时制定相相关的信信息安全全管理文文件、信信息安全全数据与与记录。2.2. 信息安全管管理数据据与记录录包括:1) 信息安全会会议纪要要2) 信息安全事事故调查查报告3) 信息安全事事件整改改报告4) 信息安全检检查整改改方案5) 信息安全审审计记录录6) 技术档案资资料7) 培训记录8) 信息安全作作业活动动数据与与记录9) 信息安全事事件通报报、整改改活动10) 信息安全检检查
16、活动动11) 应急演练活活动12) 信息系统定定级备案案活动13) 信息安全审审计活动动14) 信息安全风风险评估估活动15) 数据与记录录要求:真实、完完整、齐齐全、准准确、及及时。3. 信息文件的的管理3. 信息安全管管理流程程与变化化管理3.1. 根据精简、高高效的原原则,制制定公司司信息安安全工作作和管理理流程,包包括:1) 信息安全管管理流程程2) 信息安全事事件处理理流程3) 信息安全应应急流程程4) 其它相关流流程3.2. 每年回顾流流程的效效率,必必要时修修订、增增加或废废除不必必要的流流程或环环节。3.3. 信息安全管管理流程程和信息息安全事事件处理理流程纳纳入信息息安全管管
17、理体系系中管理理3.4. 信息安全应应急流程程纳入xxxx有限公司网络与信息安全专项应急预案中管理。3.5. 根据管理变变化、技技术变化化,公司司定期修修订如下下:1) 更新管理手手册、程程序文件件、作业业指导书书或管理理制度、办办法;2) 更新培训要要求;3) 更新应急处处置程序序;3.6. 对涉及到的的所有信信息安全全风险进进行回顾顾分析;3.7. 变化管理需需文件化化,并保保存变化化过程的的相关记记录。第六章 信息息安全管管理体系系1. 总则1.1. 为了加强xxxxxx有限公公司(以以下简称称“xxxxx有限限公司或或公司”)信息息安全管管理工作作,保护护信息系系统的安安全,促促进信息
18、息系统的的应用和和发展,根根据国家家有关法法律法规规,以及及变频器器行业的的管理规规范、行行业标准准,并遵遵照公司司信息系系统安全全的有关关规定,特特制定本本手册。1.2. 信息系统的的安全保保护范围围包括各各信息系系统相关关的和配配套的软软件、硬硬件、信信息、网网络和运运行环境境的安全全。1.3. xxxx有有限公司司信息系系统安全全管理应应遵循“统一规规划、预预防为主主、集中中管理、分分层保护护、明确确责任”的原则则。1.4. xxxx有有限公司司运行中中的信息息系统是是支撑生生产的运运行设备备,各级级安全生生产责任任人对其其职责范范围内的的信息系系统安全全运行负负有安全全管理责责任。1.
19、5. 任何人不得得利用信信息系统统从事危危害国家家利益、集集体利益益和其他他公民权权益的活活动,不不得从事事危害xxxxxx有限公公司信息息系统安安全的活活动。1.6. 本手册适用用于公司司本部、各各基层单单位的信信息系统统的安全全保护工工作。公公司多经经企业参参照执行行。2. 规范性引用用标准2.1. 信息安全全等级保保护管理理办法(公公通字20007443 号号)2.2. 信息安全全技术 信息系系统安全全等级保保护基本本要求(GB/T 22239-2008)2.3. 信息安全全技术 信息系系统安全全等级保保护定级级指南(GB/T 22240-2008)2.4. 信息安全全技术 信息安安全管
20、理理实用规规则(GB/T 22081-2008)2.5. 信息安全全技术 信息安安全风险险评估规规范(GB/T 20984-2007)2.6. 国家相关法法律、法法规及合合同的要要求。3. 术语与定义义3.1. 资产 asssett任何对组织织有价值值的东西西。3.2. 可用性 aavaiilabbiliity根据授权实实体的要要求可访访问和利利用的特特性。3.3. 保密性coonfiidenntiaalitty信息不能被被未授权权的个人人、实体体或者过过程利用用或知悉悉的特性性。3.4. 信息安全iinfoormaatioon ssecuuritty保证信息的的保密性性、完整整性、可可用性;
21、另外也也可包括括诸如真真实性,可可核查性性,不可可否认性性和可靠靠性等特特性。3.5. 信息安全事事态 iinfoormaatioon ssecuuritty eevennt信息安全事事态是指指系统、服服务或网网络的一一种可识识别的状状态的发发生,它它可能是是对信息息安全策策略的违违反或防防护措施施的失效效,或是是和安全全关联的的一个先先前未知知的状态态。3.6. 信息安全事事件 iinfoormaatioon ssecuuritty iinciidennt一个信息安安全事件件由单个个的或一一系列的的有害或或意外信信息安全全事态组组成,它它们具有有损害业业务运作作和威胁胁信息安安全的极极大的可
22、可能性。3.7. 信息安全管管理体系系 innforrmattionn seecurrityy maanaggemeent sysstemm是整个管理理体系的的一部分分。它是是基于业业务风险险方法,来来建立、实实施、运运行、监监视、评评审、保保持和改改进信息息安全的的。注:管理体体系包括括组织结结构、方方针策略略、规划划活动、职职责、实实践、程程序、过过程和资资源。3.8. 完整性innteggritty保护资产的的准确和和完整的的特性。3.9. 残余风险 ressiduual rissk经过风险处处理后遗遗留的风风险。3.10. 风险接受rriskk acccepptannce接受风险的的决
23、定。3.11. 风险分析rriskk annalyysiss系统地使用用信息来来识别风风险来源源和估计计风险。3.12. 风险评估rriskk asssesssmeent风险分析和和风险评评价的整整个过程程。3.13. 风险评价rriskk evvaluuatiion将估计的风风险与给给定的风风险准则则加以比比较以确确定风险险严重性性的过程程。3.14. 风险管理rriskk maanaggemeent指导和控制制一个组组织相关关风险的的协调活活动。3.15. 风险处理rriskk trreattmennt选择并且执执行措施施来更改改风险的的过程。注:在本标标准中,术术语“控制措措施”被用作作
24、“措施”的同义义词。3.16. 适用性声明明staatemmentt off apppliicabbiliity描述与组织织的信息息安全管管理体系系相关的的和适用用的控制制目标和和控制措措施的文文档。3.17. 信息系统是指由计算算机及其其相关配配套的设设备、设设施(含含网络)构构成的,按按照一定定的应用用目标和和规则对对信息进进行采集集、加工工、存储储、传输输、检索索等处理理的人机机系统,包包括管理理信息系系统和生生产控制制系统。3.18. 信息安全保持信息的的保密性性、完整整性和可可用性,另另外也可可包括诸诸如真实实性,可可核查性性,不可可否认性性和可靠靠性等。3.19. 信息系统运运行单
25、位位是指信息系系统资产产归属单单位,对对于托管管的信息息系统有有另行约约定的除除外。3.20. 信息安全工工作人员员是指包括信信息安全全管理人人员、信信息安全全技术人人员(包包括防火火墙、入入侵检测测系统、漏漏洞扫描描系统、防防病毒系系统等信信息安全全相关设设备的管管理员)和和信息安安全审计计员。3.21. 信息工作人人员是指与关键键信息系系统(涉涉及公司司生产、建建设与经经营、管管理等核核心业务务且有保保密要求求的信息息系统)直直接相关关的系统统管理人人员、网网络管理理人员、关关键业务务信息系系统开发发人员、系系统维护护人员、关关键业务务信息系系统操作作人员等等。3.22. 第三方是指软件开
26、开发商、硬硬件供应应商、系系统集成成商、设设备维护护商、服服务提供供商以及及其它外外协单位位。3.23. 第三方人员员是指包括软软件开发发商出、硬硬件供应应商、系系统集成成商、设设备维护护商、服服务提供供商及其其它外协协服务单单位的工工作人员员,以及及实习学学生和其其他临时时工作人人员。3.24. 信息资产是指公司在在生产、经经营和管管理过程程中,所所需要的的以及所所产生的的,用以以支持(或或指导、或或影响)公公司生产产、经营营和管理理的一切切有用的的数据和和资料等等非财务务的无形形资产,其其范围包包括现在在的和历历史的。3.25. 信息系统运运行维护护单位是指与信息息系统运运行单位位签订维维
27、护合同同的专业业服务提提供商。3.26. 信息安全等等级保护护是指根据国国家信息息安全等等级保护护相关管管理文件件,确定定信息系系统的安安全保护护等级,并并开展相相应的信信息系统统安全等等级保护护工作。3.27. 信息安全评评估是指,按照照管理理办法和和有关技技术标准准,开展展信息系系统安全全等级保保护的自自查自纠纠、差距距评测、安安全整改改等续工工作。3.28. 安全风险管管理是指采用风风险管理理的理念念与方法法来识别别、评估估信息系系统面临临的风险险,制定定风险控控制措施施,并将将风险降降低到可可接受的的程度,安安全风险险管理包包括风险险评估和和风险控控制。注:基于风风险评估估和风险险处理
28、过过程的结结果和结结论、法法律法规规的要求求、合同同义务以以及组织织对于信信息安全全的业务务要求,制制定控制制目标和和控制措措施。3.29. 标准缩写ISMS:信息安安全管理理体系(Information Security Management Systems);SoA:适适用性声声明(SStattemeent of Apppliccabiilitty);PDCA:建立、实实施和运运行、监监视和评评审、保保持和改改进(PPlann、Do、Cheeck、Actt)。4. 信息安全管管理体系系4.1. 总要求根据GB/T2220800-20008/ISOO/IEEC2770011:20005信信息
29、安全全管理体体系 要求标标准在整整体业务务活动和和所面临临风险的的环境下下建立、实实施、运运行、监监视、评评审、保保持和改改进文件件化的信信息安全全管理体体系。IISMSS所涉及及的过程程基于以以下PDDCA模模式:建立ISMS保持和改进ISMS实施和运作ISMS监控&评审 ISMS相关方已被管理的信息安全相关方信息安全要求&期望、法律法规策划(D)措施实施检查 图 4-11 PDDCA模模型规划(建立立ISMMS)建立与管理理风险和和改进信信息安全全有关的的ISMMS方针针、目标、过程和和程序,以以提供与与组织总总方针和和总目标相相一致的的结果。实施(实施施和运行行ISMMS)实施和运行行I
30、SMMS方针针、控制制措施、过过程和程程序。检查(监视视和评审审ISMMS)对照ISMMS方针针、目标标和实践践经验,评评估并在在适当时时,测量量过程的的执行情情况,并并将结果果报告管管理者以以供评审审。处置(保持持和改进进ISMMS)基于ISMMS内部部审核和和管理评评审的结结果或者者其他相相关信息息,采取取纠正和和预防措措施,以以持续改改进ISSMS。本手册中提提出的用用于信息息安全管管理的过过程方法法鼓励其其用户强强调以下下方面的的重要性性:a) 理解xxxxx有限限公司的的信息安安全要求求和建立立信息安安全方针针与目标标的需要要;b) 从组织整体体业务风风险的角角度,实实施和运运行控制
31、制措施,以以管理xxxxxx有限公公司的信信息安全全风险;c) 监视和评审审ISMMS的执执行情况况和有效效性;d) 基于客观测测量的持持续改进进。本标准采用用了“规划(PPlann)-实施(DDo)-检查(CChecck)-处置(AAct)”(PDCCA) 模型,该该模型可可应用于于所有的的ISMMS过程程。图11说明了了ISMMS如何何把相关关方的信信息安全全要求和和期望作作为输入入,并通通过必要要的行动动和过程程,产生生满足这这些要求求和期望望的信息息安全结结果。图图4-11描述了了4、5、6、7和8章所提提出的过过程间的的联系。采用PDCCA模型型还反映映了治理理信息系系统和网网络安全
32、全的OEECD指指南(220022版)中中所设置置的原则则。本标标准为实实施OEECD指指南中规规定的风风险评估估、安全全设计和和实施、安安全管理理和再评评估的原原则提供供了一个个强健的的模型。4.2. ISMS的的建立、实实施和运运作、监监督和评评审、保保持和改改进4.2.1. 建立ISMMS4.2.1.1. xxxx有有限公司司ISMMS的范范围和边边界根据业务、组组织、资资产、位位置等方方面的特特性,确确定ISSMS的的范围和和边界。xxxx有限公司信息安全管理体系的范围和边界包括:(1) 业务边界:xxxxx有限公公司为开开展供电电业务,在在管理信信息大区区范围内内实施的的信息安安全管
33、理理。(2) 组织边界:xxxxx有限限公司信信息中心心;(3) 资产边界:xxxxx有限限公司负负责管理理的信息息资产;(4) 物理边界:广东省省广州市市天河区区天南二二路2339号和和梅花路路机房4.2.1.2. 确定xxxxx有限限公司IISMSS方针应应满足以以下要求求(1) 确保为ISSMS方方针建立立一个框框架并为为信息安安全实施施和运作作、监督督和评审审、保持持和改进进的活动动建立系系统的方方向与原原则;(2) 确定业务发发展、法法律法规规要求及及其它相相关方合合同涉及及的信息息安全要要求;(3) 在组织的战战略和风风险管理理下,建建立和保保持ISSMS;(4) 建立风险评评价的
34、准准则和机机团队;(5) 获得信息安安全领导导小组批批准。4.2.1.3. 风险评估的的系统方方法xxxx有有限公司司信息中中心负责责建立信信息安全全风险评评估控制制程序并并组织实实施。风风险评估估控制程程序包括括可接受受风险准准则和可可接受水水平,所所选择的的评估方方法应确确保风险险评估能能产生可可比较的的和可重重复的结结果。具具体的风风险评估估过程控控制执行行信息息安全风风险评估估程序,以以下是风风险评估估流程图图;确定ISMS范围资产识别与重要信息资产确定威胁识别与评价已有控制措施确认薄弱点识别与评价风险评估(测量)是否接受保持已有的控制措施施 施选择安全目标及控制措施实 施残余风险评审
35、YESNO风险评估流流程图4.2.1.4. 风险识别在已确定的的ISMMS范围围内,对对所有的的信息资资产进行行列表识识别。信信息资产产包括软软件/系统、数数据/文档、硬硬件/设施、服服务、人人力资源源。对每每一项信信息资产产,根据据重要信信息资产产判断依依据确定定是否为为重要信信息资产产,形成成重要要信息资资产清单单。4.2.1.5. 评估风险(1) 针对每一项项重要信信息资产产,参考考信息息安全威威胁列表表及以以往的安安全事故故(事件件)记录录、信息息资产所所处的环环境等因因素,识识别出所所有重要要信息资资产所面面临的威威胁;(2) 针对每一项项威胁,考考虑现有有的控制制措施,参参考信信息
36、安全全薄弱点点列表识识别出可可能被该该威胁利利用的薄薄弱点;(3) 综合考虑以以上2点,按按照威威胁发生生可能性性等级表表中的的判定准准则对每每一个威威胁发生生的可能能性进行行赋值;(4) 根据威胁胁影响程程度判断断准则,判判断一个个威胁发发生后对对信息资资产在保保密性(C)、完完整性(I)和可用用性(AA)方面面的损害害及对公公司业务务的威胁胁影响程程度,对对其威胁胁影响程程度进行行赋值;(5) 进行风险大大小计算算时,考考虑威胁胁产生安安全故障障的可能能性及其其所造成成影响程程度两者者的结合合,根据据风险计计算公式式来计算算风险等等级;(6) 对于信息安安全风险险,在考考虑控制制措施与与费
37、用平平衡的原原则下制制定风险险接受准准则,按按照该准准则确定定何种等等级的风风险为不不可接受受风险。4.2.1.6. 风险处理方方法的识识别与评评价xxxx有有限公司司信息中中心组织织有关部部门根据据风险评评估的结结果,形形成风风险处理理计划,该该计划应应明确风风险处理理责任部部门、方方法及时时间。对对于信息息安全风风险,应应考虑控控制措施施与费用用的平衡衡原则,选选用以下下适当的的措施:(1) 采用适当的的内部控控制措施施;(2) 接受某些风风险(不不可能将将所有风风险降低低为零);(3) 规避某些风风险(如如物理隔隔离);(4) 转移某些风风险(如如将风险险转移给给保险公公司、供供应方)。
38、4.2.1.7. 选择控制目目标与控控制措施施(1) 信息中心根根据信息息安全方方针、业业务发展展要求及及风险评评估的结结果, 组织织有关部部门制定定信息安安全目标标,并将将目标分分解到有有关部门门。信息息安全目目标应获获得信息息安全领领导小组组的批准准。(2) 控制目标及及控制措措施的选选择原则则来源于于GB/T2220800-20008/ISOO/IEEC2770011:20005信信息安全全管理体体系 要求标标准附录录A,具体体控制措措施可以以参考GGB/TT220081-20008/IISO/IECC270002:20005信信息技术术安全技技术信息安安全管理理实施细细则。xxxx有限
39、公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。4.2.1.8. 适用性声明明信息中心负负责信信息安全全管理体体系适用用性声明明(SSoA)编编制,由由信息中中心归口口管理。该该声明包包括以下下方面的的内容:(1) 所选择控制制目标与与控制措措施的概概要描述述;(2) 当前已经实实施的控控制;(3) 对GB/TT220080-20008/IISO/IECC270001:20005信息息安全管管理体系系要求附附录A中未选选用的控控制目标标及控制制措施的的说明。注:该声明明的详细细内容见见信息息安全管管理体系系适用性性声明。4.2.2. ISMS实实施及运运行4.2.2.1. ISMS
40、岗岗位职责责和权限限(1) 信息安全领领导小组组组长为为公司信息息安全最最高管理理者。领领导小组组主要职职责:a) 国家有关信信息安全全的政策策、法律律和法规规,以及及南方电电网公司司和公司司的统一一部署要要求,审审查、批批准xxxxx有有限公司司信息安安全策略略、管理理规范和和技术标标准;b) 部署信息安安全总体体工作,审审定信息息安全投投资策略略,建立立工作考考评机制制;c) 指导信息安安全保障障体系建建设和应应急管理理。(2) 信息安全工工作小组组主要职职责:a) 根据信息安安全领导导小组的的工作部部署,对对信息安安全工作作进行具具体安排排、落实实;b) 贯彻执行信信息安全全领导小小组的
41、决决议,协协调、督督促各部部门、各各单位的的信息安安全工作作;c) 制订信信息安全全策略和和投资策策略,组组织对信信息安全全工作制制度和技技术操作作策略的的审查,并并监督执执行;d) 接受各单位位的紧急急信息安安全事件件报告,组组织信息息安全应应急处置置工作,并并开展事事件调查查、分析析原因、涉涉及范围围和评估估安全事事件的严严重程度度,提出出信息安安全事件件防范措措施;e) 及时向向信息安安全领导导小组和和上级有有关部门门、单位位报告信信息安全全事件;f) 跟进先先进的信信息安全全技术,组组织信息息安全知知识的培培训和宣宣传工作作。(3) 信息安全管管理体系系的管理理者代表表对公司司信息安安
42、全负有有以下职职责:a) 建立并实施施信息安安全管理理体系必必要的程程序并维维持其有有效运行行;b) 对信息安全全管理体体系的运运行情况况和必要要的改善善措施向向信息安安全领导导小组报报告。(4) 各部门负责责人为本本部门信信息安全全管理者者,全体体员工都都应按保保密承诺诺的要求求自觉履履行信息息安全保保密义务务;4.2.2.2. 各部门应按按照信信息安全全管理体体系适用用性声明明中选选择的控控制目标标与目标标的控制制措施,确确保ISSMS有有效实施施与运行行,并开开展以下下活动:(1) 确保信息安安全风险险的有效效管理,制制定风风险处理理计划,以以便明确确管理措措施、所所需资源源、工作作职责
43、及及识别活活动的优优先顺序序;保证证已识别别的控制制目标实实施风风险处理理计划;(2) 确保处理风风险所选选择的控控制措施施,以满满足控制制目标;(3) 确保所选控控制措施施有效测测量;(4) 制定信息息安全培培训计划划并加加以实施施,提高高全员信信息安全全意识和和能力;(5) 管理ISMMS的运运行;(6) 管理ISMMS的资资源;(7) 制定信息安安全事件件或事故故的程序序控制措措施,以以便迅速速的检测测安全事事件与安安全事故故的响应应。4.2.2.3. ISMS的的监督检检查与评评审通过实施不不定期安安全检查查、内部部审核、事事故报告告调查处处理、电电子监控控、定期期技术检检查(如如日志
44、审审核)等等控制措措施并报报告结果果以实现现:(1) 及时发现信信息安全全体系的的事故和和隐患;(2) 及时了解信信息处理理系统遭遭受的各各类攻击击;(3) 使管理者掌掌握信息息安全活活动是否否有效,并并根据优优先级别别确定所所要采取取的措施施;(4) 积累信息安安全方面面的经验验。4.2.2.4. 根据以上活活动的结结果以及及来自相相关方的的建议和和反馈,由由信息安安全工作作小组组组长主持持,定期期(每年年至少一一次)对对ISMMS的有有效性进进行评审审,其中中包括信信息安全全范围、方方针、目目标及控控制措施施有效性性的评审审。管理理评审的的具体要要求,见见本手册册第7章。4.2.2.5.
45、信息中心应应组织有有关部门门按照信信息安全全风险管管理程序序的要要求对风风险处理理后的残残余风险险进行定定期评审审,以验验证残余余风险是是否达到到可接受受的水平平,对以以下方面面变更情情况应及及时进行行风险评评估:(1) 组织机构发发生重大大变更时时;(2) 信息处理技技术发生生重大变变更时;(3) xxxx有有限公司司业务目目标及流流程发生生重大变变更时;(4) 发现信息资资产面临临重大威威胁时;(5) 外部环境,如如法律法法规或信信息安全全标准发发生重大大变更时时。4.2.2.6. 保持上述活活动和措措施的记记录。4.2.3. ISMS保保持与改改进xxxx有有限公司司开展以以下活动动,以确确保ISSMS的的持续改改进:4.2.3.1. 实施每年安安全检查查、内部部审核、管管理评审审等活动动以确定定需改进进的项目目;4.2.3.2. 按照内部部审核管管理程序序、纠纠正与预预防措施施控制程程序的的要求采采取适当当的纠正正和预防防措施;吸取其其他组织织及xxxxx有有限公司司安全事事故的经经验教训训,不断断改进现现有安全全措施。4.2.3.3. 对信息安全全目标及及分解进进行适当当的管理理,确保