isms-a-信息安全管理体系文件

信息安全管理体系文件
目录
1信息安全方针............................
总体方针.......................... 错误!未定义书签。

错误!未定
信息安全小组 ......................... 错误!未定义书签。

识别法律、法规、合同中的安全................. 错误!未定义书签。

风险评估........................... 错误!未定义书签。

报告安全事件 ......................... 错误!未定义书签。

监督检查........................... 错误!未定义书签。

信息安全的奖惩 ....................... 错误!未定义书签。

2信息安全管理手册. ..................... 错误! 未定义书签。

目的和范围......................... 错误!未定义书签。

总则. ...................... 错误!未定义书签。

范围. ...................... 错误!未定义书签。

术语和定义......................... 错误!未定义书签。

引用文件........................... 错误!未定义书签。

信息安全管理体系 ....................... 错误!未定义书签。

总要求. ..................... 错误!未定义书签。

建立和管理ISMS ................. 错误!未定义书签。

资源管理. ................... 错误!未定义书签。

ISMS内部审核........................ 错误!未定义书签。

总则. ...................... 错误!未定义书签。

内审策划. ................... 错误!未定义书签。

内审实施. ................... 错误!未定义书签。

ISMS 管理评审........................ 错误!未定义书签。

总则. ...................... 错误!未定义书签。

评审输入. ................... 错误!未定义书签。

评审输出. ................... 错误!未定义书签。

ISMS改进.......................... 错误!未定义书签。

持续改进. ................... 错误!未定义书签。

纠正措施. ................... 错误!未定义书签。

3信息安全规范............................. 错误! 未定义书签。

总则............................. 错误!未定义书签。

环境管理........................... 错误!未定义书签。

资产管理........................... 错误!未定义书签。

介质管理........................... 错误!未定义书签。

设备管理........................... 错误!未定义书签。

总则. ...................... 错误!未定义书签。

系统主机维护管理办法. ............... 错误!未定义书签。

涉密计算机安全管理办法. ............. 错误!未定义书签。

系统安全管理 ......................... 错误!未定义书签。

恶意代码防范管理 ....................... 错误!未定义书签。

变更管理........................... 错误!未定义书签。

安全事件处置 ......................... 错误!未定义书签。

监控管理和安全管理中心 .................... 错误!未定义书签。

网络安全管理 ......................... 错误!未定义书签。

错误 !未定义书签。

错误 !未定义书签。

错误 !未定义书签。

错误 !未定义书签。

操作管理 .....
安全审计管理办法
信息系统应急预案
附表 .........
1信息安全方针
1.1总体方针满足客户要求，实施风险管理，确保信息安全，实现持续改进。

1.2信息安全管理机制公司为客户提供智能用电及能源管理的服务，信息资产的安全性对公司及客户非常重
要。

为了保证
各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，公司依据ISO/IEC
27001:2005
标准，建立信息安全管理体系，全面保护公司及客户的信息安全。

1.3信息安全小组
1)负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，
督促各信息安全执行单位对于信息安全政策、措施的实施；
2)负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理
委员会汇报；
3)对员工和客户进行信息安全意识教育和安全技能培训；
4)协助人力资源部对员工的聘前、聘中及解聘过程中涉及的人员信息安全进行有效管理；
5)协调各部门以及与外部组织间有关的信息安全工作，负责建立各部门、客户的定期联系和沟通机
制；
6)负责对ISMS体系进行审核，以验证体系的健全性和有效性，并对发现的问题提出内部审核建
议；
7)负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计；
8)负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施(包括内部审核整改意见) 和预
防措施；
9)负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；
10)负责调查安全事件，并维护安全事件的记录报告( 包括调查结果和解决方法) ，定期总结安全
事件记录报告；
11)负责管理体系文件的控制；
12)负责保存内部审核和管理评审的有关记录；
13)识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度，审核ISMS 体系文档的合规
性。

1.4识别法律、法规、合同中的安全
1)及时识别顾客、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。

1.5风险评估
1)根据公司业务信息安全的特点、法律法规的要求，建立风险评估程序，确定风险接受准则。

2)定期进行风险评估，以识别公司风险的变化。

公司或环境发生重大变化时，随时评估。

3)应根据风险评估的结果，采取相应措施，降低风险。

1.6报告安全事件
1)公司建立报告安全事件的渠道和相应机构。

2)全体员工有报告安全隐患、威胁、薄弱点、事故的责任，一旦发现安全事件，应立即按照规定的途径进行报告。

3)接受报告的相应部门/ 机构应记录所有报告，及时做相应处理，并向报告人员反馈处理结果。

1.7监督检查
1) 对信息安全进行定期或不定期的监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。

2)对信息安全方针及其他信息安全政策进行定期管理评审(至少一年一次)或不定期管理评审。

1.8信息安全的奖惩
1) 对公司信息安全做出贡献的人员，按规定进行奖励。

2) 对违反安全方针、职责、程序和措施的人员，按规定进行处罚。

2信息安全管理手册
2.1目的和范围
2.1.1总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(简称ISMS)，确定信息安全方针和目标，对信息安全风险进行有效管理，确保员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。

2.1.2范围
本手册适用于ISO/IEC 27001:2005 4.2.1 a) 条款规定范围内的信息安全管理活动。

业务范围：开发、生产、销售电力的保护、监控、计量装置和应用在现场的智能用电、能源管理系统。

2.2术语和定义
ISO/IEC 27001:2005 《信息技术-安全技术- 信息安全管理体系要求》和ISO/IEC 27002:2005 《信息技术- 安全技术- 信息安全管理实施细则》规定的术语适用于本标准。

2.3引用文件
下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

ISO/IEC 27001:2005 信息技术-安全技术- 信息安全管理体系要求
ISO/IEC 27002:2005 信息技术-安全技术- 信息安全管理实施细则
2.4信息安全管理体系
2.4.1总要求
公司依据ISO/IEC 27001:2005 标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全
管理体系，形成文件；本公司全体员工将有效地贯彻执行并持续改进有效性，对过程的应用和管理详见《信息安全管理体系过程模式图》（图1）。

2.4.2.1建设思路分析企业信息安全的实际情况，通过制定企业的信息安全目标、提出信息安全要求、制
定信息安全
措施，通过组织体系、运作体系、技术体系、策略体系的支持，按照PDCA流程，先计划，再执行，而后对其运行结果进行评估，紧接着按照计划的具体要求对该评估进行复查，而后寻找到任何与计划不符的结果偏差，最后制定出符合企业的信息安全管理体系，并进行建立、实施和维护信息安全管理体系，最终为客户实现的目标是：
1) 对信息系统的信息进行保护，减少来自内外部的各种威胁；
2) 确保业务连续性，确保网络畅通、各业务应用系统高效动作，避免业务发生中断；
3)业务风险最小化，避免信息系统事故可能引起的业务风险，减少商业秘密的泄露；
2.4.2.2建设步骤
1 、准备工作，通过领导决策，进行安全组织和人员的配备，并进行相关的培训和宣传，从而为后期信息安全管理体系的建设和推广提供相关支持;
2 、框架建立，参考信息安全体系框架，进行管理体系和技术体系框架的分析，着重对信息安全管理体系进行研究，得出研究的基础理论支持;
3、评估风险，按照信息安全评估流程的方法，通过资产的分类和风险的分类得出风险评估的结果，作为信息安全改善的依据;
4、改善安全，通过风险评估和差距的分析，结合管理和技术的手段，按照风险改善的方法，得出信息安全改善的措施;
5、实施运行，按照前面评估的风险和安全改善的措施，对已建立好的信息安全管理体系进行实施和运行，并制定相关的信息安全制度细则和技术管控措施;
6、检查改进，通过体系的实施和运行，检查存在的信息安全风险，并针对风险点进行管理和技术上的安全改善;
7、持续运行，通过不断的检查和改进，保证信息安全管理体系能够持续的运行，为企业的业务提供更全面更可靠的信息系统.
2.4.2.3风险评估
信息安全的风险管理是把风险管理的思想纳入到整个信息安全管理的过程中来，基于风险的信息安全管理体系在分析风险后，就会利用一系列的安全技术措施来控制风险，以达到信息安全的目标，依据风险评估结果制订的信息安全解决方案，可以最大限度的避免盲目的追求而浪费相关资源，同时还造成对业务的影响，最终使企业在信息安全方面的投资收益最大化。

风险评估一般的工作流程包括九个步骤，具体如下:
按照以上的风险评估步骤，对企业的信息安全风险进行评估，其风险评估的对象主要是企业的信息
资产，包括数据、软硬件、人员等，具体说明如下
的风险评估内容和过程如下:
按照以上所示的风险评估内容和过程，对企业的信息安全风险进行评估，所评估的风险分类如下
针对以上所列的信息安全风险，为了更好的进行管理和控制，从风险对业务的影响来进行定义等级，以下主要是按照风险出现的频率来进行定义（风险等级评估的方法有定量和定性两种方法，在此我们按照定量的方法分析），具体如下:
结合企业目前的信息安全现状，参照IS027001 的标准，整理出企业的风险评估结果，具体如下
信息安全风险评估结果
2.4.2.4 安全改善
对于基于风险的信息安全理论来说，信息安全建设的宗旨就是评估信息系统面临的安全风险，并在综合考虑成本与效益的前提下，通过综合的安全措施来控制风险，风险控制的手段一般包括: 策略、保护、检测、响应和恢复等方法，具体说明如下:
信息安全风险改善方法
信息安全管理措施的实现依据于各种具体的安全控制技术和管理措施，以上安全改善就可以归纳为两个方面，即管理方面和技术方面，通过管理和技术的双方面进行控制和管理来改善信息安全。

2.4.2.5技术的信息安全
从技术角度考虑，企业信息安全管理体系中所需采取的安全技术体系包括:
1、物理环境安全信息系统硬件安全，在公司的信息系统硬件管理上，首先对机房的硬件环境进行安全管理，包括温度、湿度、消防、电力等安全管理，对关键的应用需要采取UPS供电，同时采取相应的备份，对硬件的
使用率进行实时的监控，避免硬件的使用率过高造成业务持续性的影响，另外需要对硬件的物理环境进行监控，避免非法人员的进入，同时也是对管理员的日常行动进行监控，最后需要对机房的人员和物品的出入进行权限的管理和等级制度;
2、信息资产管理
1)、操作系统安全，操作系统安全除了进行必要的补丁和漏洞的管理和更新外，最主要的是进行防病毒管理，通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响;
2)、应用程序安全，应用程序的安全直接关系信息系统的安全性，通过硬件、软件的安全保护来保证应用程序的安全;
3、运行维护安全
1) 、安全传输技术，对于重要的系统和对外的访问，进行安全的传输技术，目前使用主要的HTTPS 和SSL 的安全传输技术，以此来保证信息在传输过程中的安全，避免被非法用户窃取、篡改和利用;
2) 、入侵检测技术和防火墙技术等，对于系统和用户对内对外的访问进行控制和管理，采用相应的入侵检测技术和防火墙技术，来保证系统的信息安全;
4、访问控制安全
1)、密码算法技术，密码算法技术应用主要是确保信息在传送的过程中不被非法的人员窃取、篡改和利用，同时接收方能够完整无误的解读发送者发送的原始信息，此密码算法技术目前在公司没有进行应用;
2)、安全协议技术，安全协议技术主要是指身份认证功能，目前企业系统的安全保护主要都是依赖于操作系统的安全，这样入侵系统就非常容易，因此需要建立一套完善的身份认证系统，其目的是保证信息系统能确认系统访问者的真正身份，身份认证协议都是使用数据加密或数字签名等方法来确认消息发送方的身份。

3)、访问控制，访问控制主要是用户在访问系统或者是互联网时进行相关的控制策略，从而来保证信息系统环境的安全，同时避免数据的泄漏，目前使用的技术主要是上网行为管理，来管理和控制用户的上网行为，在保证安全的同时提高工作效率和美化网络环境;
4)、身份识别与权限管理技术，对不同的系统、不同的用户、不同的业务采取不同的身份识别和权限管理，从而从身份和权限上来保证系统和用户的信息安全;
2.4.2.6管理的信息安全
从管理角度考虑，企业信息安全管理体系中所需采取的安全管理方面的措施主要包括: 物理安全管理、数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理，具体说明如下:
所有的这些安全管理措施都是关注信息系统不同方面的保护需求，在信息安全工作中，风险管理与控制需要有一种综合的分层多点的深度防御体系方案，综合使用这些控制为企业的所有信息系统和信息提供必要的保护。

通过对风险的技术性控制和管理的实施、部署后，在风险控制管理中能保证防御大量存在的威胁，
技术性的控制管理手段不仅包括从简单直至复杂的各种具体的技术手段，还包括系统架构、系统培训、以及一系列的软件、硬件的安全设备，这些措施和方式应该配套使用，从而保护关键数据、敏感信息及信息系统的功
能，技术性安全控制管理的方式主要包括:
1、支撑性的技术控制，包括身份鉴别、密码管理、安全日志管理、系统保护等;
2、预防性的技术控制，包括身份认证、授权控制、访问控制、抗抵赖机制、通讯环境安全、传输安全等;
3、监测、恢复性的技术控制，包括审计、入侵监测和控制、完整性验证机制、恢复安全状态、病毒监测和查杀等;
这三种控制所包括的具体机制及他们之间的关系如下:
在选择和应用这些信息安全技术时，应按照目标一策略一机制/ 手段的顺序执行，首先了解企业的具体需求、目标、及需要解决的风险，然后选择对应的风险管理策略，最后选择使用的安全控制手段和具体的安全技术措施。

2.4.2.7实施并运作ISMS
为确保ISMS 有效实施，对已识别的风险进行有效处理，本公司开展以下活动：
a)制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及优先权。

b)为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色和职责的分配，明确各岗位的信息安全职责；
c)实施所选的控制措施，以满足控制目标。

d)确定如何测量所选择的一个组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。

注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的控制目标的程度。

e)实施培训和意识计划。

f)对ISMS 的运作进行管理。

g)对ISMS 的资源进行管理。

h)实施能够快速检测安全事件、响应安全事件的程序和其它控制。

首先按照企业的实际业务情况，参考信息安全管理体系标准，从管理的角度制订了以下的相关制度、细则和办法，具体如下:
管理制度的制订是进行了规则的定制，但执行起来需要技术上的配合和实施，为了更好的管理信息安全，进行了以下相关的技术措施:
信息安全技术措施
详细的技术管理措施还有很多，以上列出的几条，在管理制度的配合下，实施相应的技术管理措施，
从而为企业的信息安全提供技术和管理上的保障。

2.4.2.8监控并评审ISMS
a)本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、定期技术检查等控制措施并报告结果以实现：
1)快速检测处理结果中的错误；
2)快速识别失败的和成功的安全破坏和事件；
3)能使管理者确认人工或自动执行的安全活动达到预期的结果；
4)帮助检测安全事件，并利用指标预防安全事件；
5)确定解决安全破坏所采取的措施是否有效。

b)定期评审ISMS的有效性(包括安全方针和目标的符合性，对安全控制措施的评审) ，考虑安全审核、安全事件、有效性测量的结果，以及所有相关方的建议和反馈。

c)测量控制措施的有效性，以证实安全要求已得到满足。

d)按照计划的时间间隔，评审风险评估，评审残余风险以及可接受风险的等级，考虑到下列变化：
1)组织机构和职责；
2)技术；
3)业务目标和过程；
4)已识别的威胁；
5)实施控制的有效性；
6)外部事件，例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。

7)按照计划的时间间隔(不超过一年)进行ISMS 内部审核。

注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司的名义进行的审核。

8)定期对ISMS进行管理评审，以确保范围的充分性，并识别ISMS 过程的改进。

9)考虑监视和评审活动的发现，更新安全计划。

10)记录可能对ISMS 有效性或业绩有影响的活动和事情。

2.4.2.9保持并持续改进ISMS
本公司开展以下活动，以确保ISMS的持续改进：
a)实施已识别的ISMS 改进措施。

b)采取适当的纠正和预防措施。

吸取从其他公司的安全经验以及组织自身安全实践中得到的教训。

c)与所有相关方沟通措施和改进。

沟通的详细程度应与环境相适宜，必要时，应约定如何进行。

d)确保改进达到其预期的目标。

2.4.3资源管理
2.4.
3.1资源的提供公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安
全管理体系
工作的员工的能力是胜任的，以保证：
a)建立、实施、运作、监视、评审、保持和改进信息安全管理体系；
b)确保信息安全程序支持业务要求；
c)识别并指出法律法规要求和合同安全责任；
d)通过正确应用所实施的所有控制来保持充分的安全；
e)必要时进行评审，并对评审的结果采取适当措施；
f)需要时，改进信息安全管理体系的有效性。

2.4.
3.2培训、意识和能力公司制定并实施《内部人力资源管理办法》文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。

可以通过：
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力。

通过《岗位说明书》的任职要求来确定，并在招聘活动中确认相关信息安全的任职要求；
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求；
c)评价所采取措施及培训的有效性；
d)保留教育、培训、技能、经验和资历的记录。

公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。

2.5ISMS 内部审核
2.5.1总则
公司建立并实施《内部审核管理程序》，《内部审核管理程序》应包括策划和实施审核以及报告结果和保持记录的职责和要求。

并按照策划的时间间隔进行内部信息安全管理体系审核，以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否符合如下四点：
a)符合本标准的要求和相关法律法规的要求；
b)符合已识别的信息安全要求；
c)得到有效地实施和维护；
d)按预期执行。

2.5.2内审策划
1)信息安全工作小组应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果，对审核方案
进行策划。

应编制内审年度计划，确定审核的准则、范围、频次和方法。

公司每年最少应组织一次内部审核。

2）每次审核前，信息安全工作小组应编制内审计划，确定审核的准则、范围、日程和审核组。

审核
员的选择和审核的实施应确保审核过程的客观性和公正性。

审核员不应审核自己的工作。

2.5.3内审实施
1）应按审核计划的要求实施审核，包括：
a）进行首次会议，明确审核的目的和范围，采用的方法和程序；
b）实施现场审核，检查相关文件、记录和凭证，与相关人员进行交流，按照检查的情况填写检查表；
c）进行对检查内容进行分析，召开内审小组首次会议、末次会议，宣布审核意见和不符合报告；
d）审核组长编制审核报告。

2）对审核中提出的不符合项报告，责任部门应编制纠正措施，由办公室组织对受审部门的纠正措施的实施情况进行跟踪、验证；
3）按照《记录控制程序》的要求，保存审核记录。

2.6ISMS 管理评审
2.6.1总则
1）公司建立并实施《管理评审程序》，管理者应按《管理评审程序》规定的时间间隔评审信息安全管理体系，每年最少进行一次，以确保其持续的适宜性、充分性和有效性。

2）管理评审应包括评价信息安全管理体系改进的机会和变更的需要，包括安全方针和安全目标。

3）管理评审的结果应清晰地形成文件，记录应加以保持。

2.6.2评审输入
管理评审的输入要包括以下信息：
a）信息安全管理体系审核和评审的结果；
b）相关方的反馈；
c）用于改进信息安全管理体系业绩和有效性的技术、产品或程序；
d）预防和纠正措施的状况；
e）以往风险评估没有充分强调的脆弱性或威胁；
f）有效性测量的结果；
g）以往管理评审的跟踪措施；
h）任何可能影响信息安全管理体系的变更；
i）改进的建议。

2.6.3评审输出
管理评审的输出应包括与下列内容相关的任何决定和措施：
a)信息安全管理体系有效性的改进；
b)更新风险评估和风险处理计划；。