信息安全风险管理程序文件

合集下载

ISO22301：2019程序文件-核心信息安全管理程序

文件编号版本号修改号核心信息安全管理程序BCM7.5-02A01.目的为控制公司的核心信息安全，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机等核心信息安全，特制订本办法。

2.适用范围在企业中组织建立、实施、运行、监视、评审、保持和改进文件化的核心信息安全管理程序，提供必要的技术条件和设备设施保障，识别和管理可能存在的信息安全风险，确保信息安全事件的有效处理。

3.职责信息中心负责公司核心信息安全管理工作，核心信息安全主要包括网络安全、终端安全、数据安全、机房安全和第三方人员管理。

3.1负责公司网络安全和运维工作，对公司信息网络的运行管理进行维护和检查。

3.2负责公司终端安全管理，为公司终端安全管理建设提供指导，提高对于分散终端的安全管理能力，规范系统中终端用户的行为，降低来自终端的安全威胁。

3.3负责公司电子数据安全管理，其中特指对主要信息系统相关的重要数据，采取适当的保护措施。

3.4负责机房安全管理，对可能影响机房安全的各种因素进行控制，确保机房内计算机系统、网络设备以及其他设施的正常运行，保障机房工作人员的人身安全。

3.5负责第三方人员安全管理，减少第三方人员对信息系统带来的安全风险。

4.工作内容4.1 运行4.1.1信息安全风险评估计划和控制信息中心对信息安全风险评估工作进行规划和控制，并实施风险处置计划，确保信息安全目标的达成。

4.1.2 信息安全风险评估实施公司每年开展1次信息资产识别和信息安全风险评估的工作，当出现下列情况时，管理者代表可以决定增加风险评估的次数：公司的信息安全风险评估工作在公司整体风险管理的框架下进行，与公司整体风险管理的年度工作同步进行，评估所发现的风险作为公司整体风险的一部分。

4.1.3 信息安全风险控制措施实施公司针对评估出的信息安全风险应制定并实施信息安全风险处置计划，并保留信息安全风险处置结果文档化信息以作为证据。

4.2安全管控4.2.1网络安全管理信息网络指公司的网络系统和网络应用系统等，包括网络服务系统、网络安全设施、网络存储系统等。

中国人民银行关于印发《中国人民银行信息安全管理规定》的通知

中国人民银行关于印发《中国人民银行信息安全管理规定》的通知文章属性•【制定机关】中国人民银行•【公布日期】2005.08.19•【文号】银发[2005]211号•【施行日期】2005.08.19•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国人民银行关于印发《中国人民银行信息安全管理规定》的通知(2005年8月19日银发[2005]211号) 人民银行各分行、营业管理部，省会(首府)城市中心支行：现将修订后的《中国人民银行信息安全管理规定》印发你们，请遵照执行。

执行中存在的问题，请及时向总行反馈。

《中国人民银行办公厅关于印发(中国人民银行计算机安全管理暂行规定)的通知》(试行)(银办发[2000]338号)同时废止。

附件中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决定本单位及辖内信息安全重大事宜。

ISO27001-2022程序文件之信息安全事件管理程序

14、信息安全事件管理程序###-ISMS-0108-20231 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。

2 范围适用于对信息安全的事件管理。

3 职责3.1 综合部负责信息安全的事件的收集、响应、处置和调查处理。

3.2 相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。

4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

4.2信息安全弱点报告信息安全弱点的发现者（包括使用公司信息系统和服务的员工和合同方）应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。

4.3信息安全弱点处理流程1信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。

信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于异常情况。

对达到一定严重程度，或造成一定损失的信息安全事件，本程序定义为严重事件。

5.2信息安全事态的定义信息安全事态：已识别的一种系统、服务或网络状态的发生，指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。

5.3信息安全事件分级5.4信息安全事件处理流程5.4.1信息安全事件的报告事件的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事件，应该向该系统管理部门和信息安全管理小组报告；如故障、事件会影响或已经影响业务运行，必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b) 发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案； c) 涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告； d) 发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。

信息保密管理程序文件

信息保密管理程序文件1. 文件目的本程序文件的目的是为了确保公司内部所有的信息都能够得到有效的保护和管理。

在信息时代，信息的保密性对于企业来说至关重要。

信息的泄露可能导致财务损失、商业机密的流失以及声誉受损。

因此，本程序文件旨在确保信息在存储、传输和使用过程中都能够得到恰当的保护。

2. 适用范围本程序文件适用于公司内部所有人员，包括员工、临时工和承包商等。

所有人员在处理和使用公司的机密信息时都必须遵守本程序文件的规定。

3. 信息分类公司内部的信息将根据其重要性和保密级别进行分类。

根据保密级别的不同，信息将被分为以下级别：- 机密信息：涉及公司资产、商业计划、战略等的高度敏感信息。

- 私密信息：包括个人隐私、薪资信息等需要保密的信息。

- 内部信息：公司的内部操作信息和非公开资料。

- 息：可以公开对外的信息。

4. 信息保护措施为了保护公司内部的信息不被泄露，以下措施将被采取：- 访问控制：只有经过授权的人员才能够访问和处理机密信息。

- 密码保护：所有重要的信息系统和应用都需要密码保护，并且密码需要定期更换。

- 信息传输加密：对于机密信息的传输，要采用加密的方式，以防止信息在传输过程中被窃取。

- 文件彻底删除：当机密信息不再需要时，必须使用安全的方式将其彻底删除，以防止信息被恶意恢复。

- 安全培训：公司将定期组织员工参加信息安全培训，提高员工对信息安全的意识和技能。

5. 违规处理对于违反本程序文件的人员，将采取以下措施：- 首次违规：口头警告，并要求重新培训和签署承诺书。

- 重复违规：书面警告，并加强监管和限制权限。

- 严重违规：停职、降级或解雇，并保留追究法律责任的权利。

6. 制度监督为了保证本程序文件的执行和有效性，公司将设立信息保密管理部门，并配备专职人员负责监督和管理信息的保护工作。

此外，员工可以向该部门举报任何关于信息泄露或违规行为的情况，并将对举报者进行保密处理。

7. 文件变更和审批本程序文件的变更和修订必须经过相关部门的审批，并及时通知全体员工。

ISO27001文件-(风险管理过程文件)

风险管理过程文件（版本号：V1.1）更改控制页目录1目的 (1)2范围 (1)3术语定义 (1)4职责 (1)4.1管理者代表 (1)4.2质量管理部 (2)4.3风险管理者 (2)5裁剪指南 (2)5.1风险评估的时机 (2)5.2风险评估的内容 (3)6过程 (3)6.1风险评估处理过程维护 (3)6.2风险评估处理过程 (3)6.2.1过程概要图 (3)6.2.2启动条件 (3)6.2.3输入 (4)6.2.4活动 (4)6.2.4.1确定业务流程 (4)6.2.4.2识别资产、任务 (4)6.2.4.3评价资产、任务 (4)6.2.4.4识别并评价弱点 (5)6.2.4.5识别并评价威胁 (6)6.2.4.6计算风险值 (6)6.2.4.7选择控制目标和措施 (7)6.2.4.8制定风险处理计划 (7)6.2.4.9评价残留风险 (8)6.2.4.10向管理者代表汇报 (8)6.2.4.11风险处理措施的落实与检查 (8)6.2.5输出 (8)6.2.6关闭标准 (9)7审核 (9)8度量 (9)9技能要求 (9)10相关文件 (9)1目的本文件旨在规定风险评估管理相关人员的职责、风险评估管理的方法和流程。

2范围适用于XXX科技股份有限公司体系运行和软件开发过程中的风险管理。

3术语定义RA（Risk Analysis）：风险分析SoA(Statement of Availability)：适用性声明ISMS(Information Security Management System)：信息安全管理体系资产：任何对组织具有价值的东西，包括计算机硬件、通信设施、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。

C.I.A：各类信息资产价值确定等级的三个属性：保密性Confidentiality、完整性Integrity和可用性Availability。

I.E：任务的两个属性：重要性Essentiality、紧急度Instancy威胁：能对资产或组织造成损害的某种安全事件发生的潜在原因。

信息安全控制程序文件

信息安全控制程序文件---摘要本文档旨在制定一套完善的信息安全控制程序，以确保组织内部信息的机密性、完整性和可用性。

通过明确的政策、流程和控制措施，帮助组织有效保护敏感信息，降低信息泄露和丢失的风险。

目录- [引言](#引言)- [信息安全政策](#信息安全政策)- [信息分类与标记](#信息分类与标记)- [访问控制](#访问控制)- [网络安全](#网络安全)- [物理安全](#物理安全)- [应急响应](#应急响应)- [培训与意识](#培训与意识)- [评估与持续改进](#评估与持续改进)- [结论](#结论)引言信息安全控制程序的目标是确保组织内部的信息安全，防止未经授权的访问、修改、泄露和破坏。

本程序文件对信息安全建立了一套标准化的流程和控制措施，旨在帮助组织有效应对信息安全风险。

信息安全政策1. 确立和发布组织的信息安全政策，规定概括的信息安全目标和原则。

2. 安排专门的信息安全管理团队负责制定、执行和监督信息安全政策。

3. 定期审查和更新信息安全政策，确保其与组织的变化保持一致。

信息分类与标记1. 根据信息的敏感程度和重要性，对信息进行分类，并按照不同等级进行标记。

2. 制定明确的信息分类和标记的准则，指导员工正确识别和处理不同级别的信息。

访问控制1. 建立适当的身份验证和授权机制，确保只有经过授权的人员可以访问敏感信息。

2. 实施最小权限原则，将每个员工的访问权限限制在必要的范围内。

3. 定期审查和更新用户账户，及时删除不再需要的账户和权限。

网络安全1. 建立防火墙、入侵防御系统和入侵检测系统，保护组织内部网络免受网络攻击。

2. 加密网络通信，防止敏感信息在传输过程中被窃听和篡改。

3. 定期进行漏洞扫描和安全评估，及时修补系统和应用程序的安全漏洞。

物理安全1. 控制进入组织内部的人员和访客，确保物理资产的安全。

2. 采用视频监控、入侵报警系统等设备，监测和记录物理环境的安全状态。

ISO27001信息安全管理体系全套程序文件

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

信息安全风险评估控制程序

信息科技部信息安全风险评估控制程序A版2011年6月1日发布 2011年6月1日实施目录1 目的 32 范围 33 相关文件 34 职责 35 程序 36 记录 5附表1 信息资产分类参考目录 6附表2 重要信息资产判断准则 10附表3 信息安全威胁参考表 12附表4 信息安全薄弱点参考表（按ISO/IEC17799分类） 13 附表5 事件发生可能性等级对照表 16附表6 事件可能影响程度等级对照表 17附表7 信息安全风险矩阵计算表 18附表8 信息安全风险接受准则 19文件修订历史记录1 目的本程序规定了信息科技部所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估认知信息科技部的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持信息科技部持续性发展，以满足信息科技部信息安全管理方针的要求。

2 范围本程序适用于信息科技部信息安全管理体系(ISMS)范围内信息安全风险评估活动。

3 相关文件4 职责4.1 管理者代表负责组织成立风险评估小组。

4.2 风险评估小组负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

5 程序5.1 风险评估前准备5.1.1 管理者代表牵头成立风险评估小组,小组成员至少应该包含：负责信息安全管理体系的成员。

5.1.2 风险评估小组制定信息安全风险评估计划,下发各内审员。

5.1.3 必要时应对各内审员进行风险评估相关知识和表格填写的培训。

5.2信息资产的识别5.2.1风险评估小组通过电子邮件向各内审员发放《信息资产分类参考目录》、《重要信息资产判断准则》、《信息资产识别表》，同时提出信息资产识别的要求。

5.2.2 各内审员参考《信息资产分类参考目录》识别信息科技部信息资产，并填写《信息资产识别表》，根据《重要信息资产判断准则》判断其是否是重要信息资产，经该区域负责人审核确认后，在风险评估计划规定的时间内提交风险评估小组审核汇总。

信息安全风险评估管理程序

文件制修订记录1、目的本程序规定了本公司信息安全风险管理的内容和过程。

2、范围本指南适用于信息系统风险的初始评估与风险处置、变更评估与变更后的风险处置、定期的风险再评估与风险处置。

3、参考文件3.1ISO/IEC27001:2022《信息安全管理体系要求》3.2ISO/IEC27002:2022《信息技术网络安全与隐私保护信息安全控制》4、定义4.1资产通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

4.2资产价值资产是有价值的，资产价值可通过资产的敏感程度、重要程度和关键程度来表示。

4.3威胁一个单位的信息资产的安全可能受到的侵害。

威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。

4.4脆弱性信息资产及其安全措施在安全方面的不足和弱点。

脆弱性也常常被称为漏洞。

4.5事件如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为事件。

4.6风险由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

风险由安全事件发生的可能性及其造成的影响这两种指标来衡量。

4.7残余风险采取安全措施对风险进行处理，提高了信息安全保障能力后，仍然可能存在的风险。

4.8安全需求为保证单位的使命能够正常行使，在信息安全保障措施方面提出的要求。

4.9措施对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

4.10风险评估通过一定的步骤和技术手段来评估信息系统安全风险的过程，并判断风险的优先级，建议处理风险的措施。

风险评估也称为风险分析，是风险管理的一部分。

XX信息安全风险识别与评价学习管理程序

题目：编号信息安全风险辨别与评论管理程序版本号奏效日期GM-III-B00500草拟部门信息中心颁发部门总经理办公室一、目的：经过风险评估，采纳有效举措，降低威迫事件发生的可能性，或许减少威迫事件造成的影响，进而将风险消减到可接受的水平。

二、范围：合用于对信息安全管理系统信息安全风险的辨别、评论、控制等管理。

三、责任：管理者代表信息中心履行信息安全风险的辨别与评论；审查并同意重要信息安全风险，并负责编制《信息财产风险评估准则》，履行信息安全风险检查与评论，提出重要信息安全风险报告。

各部门辅助信息中心的检查，参加议论重要信息安全风险的管理方法。

四、内容：财产辨别保密性、完好性和可用性是评论财产的三个安全属性。

风险评估中财产的价值不是以财产的经济价值来权衡，而是由财产在这三个安全属性上的达成程度或许其安全属性未达成时所造成的影响程度来决定的。

安全属性达成程度的不同将使财产拥有不同的价值，而财产面对的威迫、存在的柔弱性、以及已采纳的安全举措都将对财产安全属性的达成程度产生影响。

为此，应付组织中的财产进行辨别。

在一个组织中，财产有多种表现形式；相同的两个财产也因属于不同的信息系统而重要性不同，并且关于供给多种业务的组织，其支持业务连续运转的系统数目可能更多。

这时第一需要将信息系统及有关的财产进行适合的分类，以此为基础进行下一步的风险评估。

在实质工作中，详细的财产分类方法能够依据详细的评估对象和要求，由评估者灵巧掌握。

依据财产的表现形式，可将财产分为数据、软件、硬件、服务、人员等种类。

表1 列出了一种财产分类方法。

表1 一种鉴于表现形式的财产分类方法类型简称解说 / 示例数据Data 存在电子媒介的各样数据资料，包含源代码、数据库数据，各样数据资料、系统文档、运转管理过程、计划、报告、题目：编号信息安全风险辨别与评论管理程序版本号奏效日期用户手册等。

GM-III-B00500软件Software应用软件、系统软件、开发工具和资源库等。

信息安全管理体系文件清单

员工离职审批表
第三方服务提供商清单
第三方服务风险评估表
第三份保护能力核查计划
第三方保护能力核查表
信息设备转移单
信息设备转交使用记录
信息资产识别表
计算机配置说明书
计算机配置清单
涉密计算设备审批表
涉密计算机安全保密责任书
信息设备软件采购申请表
信息处理设备使用情况检查表
应用软件测试报告
外部网络访问授权登记表
合法软件清单
敏感重要信息媒体处置申请表
涉密文件复印登记表
文章保密审查单
6
信息安全管理体系记录
对外提交涉密信息审批表机房值班日志
机房人员出入登记
机房设备出入登记
系统时钟校准记录
用户设备使用申请表
用户访问授权登记表
用户访问授权评审记录
远程工作申请表
远程工作登记表
电子邮箱申请表
电子邮箱清单电子邮箱使用情况检查表业务连续性管理战略计划业务连续性计划业务连续性计划测试报告业务连续性计划评审报告私人信息设备使用申请表计算机信息网络系统容量规划软件安装升级申请表监控活动评审报告信息安全故障处理记录系统测试计划网络打印机清单设备处置再利用记录设施系统更改报告软件设计开发方案软件设计开发计划软件验收报告重要信息备份周期清单操作系统变更技术评审报告事故调查分析及处理报告第三方物理访问申请授权表第三方逻辑访问申请授权表重要安全区域访问审批表重要安全区域控制清单重要区域检查表人工查杀病毒记录服务器巡检记录网络设备巡检记录个人电脑抽查记录设施报废记录变更跟踪表日志审核记录信息安全分析报告备品备件及常用资料登记表政府机构联系通讯录
涉密计算机管理规定

信息安全风险识别与评价管理程序

通过风险评估，采取有效措施，降低威胁事件发生的可能性，或者减少威胁事件造成的影响，从而将风险消减到可接受的水平。

二、范围：适用于对信息安全管理体系信息安全风险的识别、评价、控制等管理。

三、责任：3.1 管理者代表信息中心执行信息安全风险的识别与评价；审核并批准重大信息安全风险，并负责编制《信息资产风险评估准则》，执行信息安全风险调查与评价，提出重大信息安全风险报告。

3.2 各部门协助信息中心的调查，参与讨论重大信息安全风险的管理办法。

四、内容：4.1 资产识别保密性、完整性和可用性是评价资产的三个安全属性。

风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

为此，应对组织中的资产进行识别。

在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。

这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。

在实资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。

表1 列出了一种资产分类方法。

表1 一种基于表现形式的资产分类方法4.2.1信息分类的重要度分为5类:国家秘密事项、企业秘密事项、敏感信息事项、一般事项和公开事项。

4.2.2 信息分类定义：b)“企业秘密事项”：不可对外公开、若泄露或被篡改会对本公司的生产经营造成损害，或者由于业务上的需要仅限有关人员知道的商业秘密事项；c)“敏感信息事项”：为了日常的业务能顺利进行而向公司员工公司开、但不可向公司以外人员随意公开的内部控制事项；d)“一般事项”：秘密事项以外，仅用来传递信息、昭示承诺或对外宣传所涉及的事项；e)“公开事项”：其他可以完全公开的事项。

ISO27001-2022程序文件之组织环境及相关方信息安全管理程序

11、组织环境及相关方信息安全管理程序###-ISMS-0105-2023 1 目的为保证公司信息安全管理体系的策划能实现预期的结果，识别、监视并评审与公司的宗旨、战略方向、信息安全管理相关的内外部环境要素；为加强对相关方的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 范围适用于公司对内外部环境要素、相关方需求及信息安全的管理活动。

3 职责3.1 综合部负责统一管理内外部环境要素、相关方需求及信息安全的管理活动。

3.2 相关部门a. 负责识别本部门的内外部环境要素、相关方，并与相关方签订保密协议；b. 负责对相关方的服务进行信息安全控制；c. 负责定期对相关方进行监督和评审；d. 负责做好相关方的变更管理。

4 程序4.1组织所处环境管理4.1.1在建立与持续改进信息安全管理体系时，公司将充分识别理解并考虑那些与公司的宗旨、战略方向相关，并影响公司实现信息安全管理体系预期结果能力的内部和外部环境。

4.1.2 管理层可以通过SWOT分析(优势、劣势、机会、威胁）对公司的战略及内外部环境进行全局分析。

4.1.3内外部环境要素识别与评估：在每年的管理评审前，由各部门负责人进行识别并评估其适用性,汇总上报给公司的管理层，具体识别项目可以包括如下：外部环境要素识别包括政治环境、法律环境、经济环境、社会文化环境、技术环境、自然环境、竞争力；内部环境要素识别包括企业文化、公司价值观、知识积累、绩效、财务因素、资源因素、人力因素、运营因素。

各部门负责人识别内外部要素的现状，并进行SWOT分析。

4.1.4各部门进行组织内外部环境要素识别需要涉及信息安全管理体系。

4.1.5总经理汇总各部门识别及评估内外部环境要素，形成《组织信息安全内外部环境要素识别与评估表》。

4.1.6 内外部环境要素监测与更新：总经理每年在管理评审前组织一次全面的内外部环境要素识别与评审。

另外各部门在获得内外部环境要素信息变化时，对《组织信息安全内外部环境要素识别与评估表》进行修订与更新。

2018最新ISO27001信息安全管理体系全套程序文件

最新ISO27001信息安全管理体系全套程序文件信息安全管理体系程序文件目录1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。

2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。

4 程序4.1 信息安全事故定义与分类：4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故：a) 企业秘密、机密及国家秘密泄露或丢失；b) 服务器停运4 小时以上；c) 造成信息资产损失的火灾、洪水、雷击等灾害；d) 损失在十万元以上的故障/事件。

4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故：a) 企业机密及国家秘密泄露；b) 服务器停运8 小时以上；c) 造成机房设备毁灭的火灾、洪水、雷击等灾害；d) 损失在一百万元以上的故障/事件。

4.1.3 信息安全事件包括：a) 未产生恶劣影响的服务、设备或者实施的遗失；b) 未产生事故的系统故障或超载；c) 未产生不良结果的人为误操作；d) 未产生恶劣影响的物理进入的违规e) 未产生事故的未加控制的系统变更；f) 策略、指南和绩效的不符合；g) 可恢复的软件、硬件故障；h) 未产生恶劣后果的非法访问。

4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务：a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低；b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案；c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告；d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。

ITSMS信息安全IT服务管理体系一整套程序文件

2.2 过程负责人
事件管理负责人
2.3 主要输入
输入
服务热线、CRM、邮件、即时通讯工具（QQ、MSN）
来源客户
2.4 主要输出
输出服务报告日常工作记录表
技术部技术部
去向
2.5 职责权限
事件管理负责人主要具有以下职责： 1) 定义并维护事件管理流程文件及所需要的记录模板； 2) 管理事件管理流程的实施的执行情况； 3) 确保事件管理流程目标的实现； 4) 识别事件管理过程中存在的问题并及时向部门经理提出； 5) 定期向部门经理汇报实施过程中存在的问题；定义并维护发布管理流程文件及所需要的
2.1 范围
1.操作系统损坏，需要重新安排软件 2.软件服务到期 3.由于本机硬件问题导致系统无法正常工作 4.需要把原来的数据库导入新系统中 5.不会使用软件，需要上门指导学习使用 6.操作使用软件不当，软件文件损坏导致软件系统无法正常工作
7.本身电脑因为中病毒、误操作、重新安装操作系统，软件无法启动
18
ITSMS-QP-18
19
ITSMS-QP-19
20
ITSMS-QP-20
21
ITSMS-QP-21
22
ITSMS-QP-22
23
ITSMS-QP-23
24
ITSMS-QP-24
25
ITSMS-QP-25
26
ITSMS-QP-26
27
ITSMS-QP-27
目录
文件名称
服务请求及事件管理程序问题管理程序变更管理程序配置管理程序发布管理程序客户投诉处理程序客户满意度调查程序可用性管理程序持续性管理程序能力管理程序内部审核程序管理评审程序服务改进管理程序服务级别管理程序服务报告管理程序服务组合管理程序供应商管理程序服务预算及核算管理程序客户关系管理程序信息安全管理程序文件控制程序记录控制程序人力资源管理程序知识管理程序相关方服务管理程序信息安全风险评估控制程序软件开发控制程序

信息安全管理体系程序文件

信息安全管理体系程序文件一、引言信息安全是当前社会中不可忽视的重要议题之一。

随着信息技术的飞速发展，各种信息泄露和网络攻击事件层出不穷，使得信息安全管理成为组织中至关重要的事务。

为了确保组织内部信息的机密性、完整性和可用性，以及保护客户和合作伙伴的利益，我们制定了本信息安全管理体系程序文件。

二、目的与范围本文件的主要目的是为了确保组织内部的信息安全得到充分的重视和保护，为组织信息的安全管理提供指导和规范。

本文件适用于所有与组织相关的信息和信息系统。

三、信息安全管理体系的框架本信息安全管理体系遵循以下框架：1. 领导承诺：组织领导层要高度重视信息安全，确保资源的充分配置，制定明确的信息安全策略，并将其落实到行动中。

2. 风险评估与管理：对组织内部的信息安全威胁进行全面评估，并制定相应的风险管理策略，包括隐私保护、数据备份与恢复、网络安全、系统访问控制等。

3. 资源分配与保护：确保组织内部的信息资源能够得到适当的保护，包括物理访问控制、网络安全防护、系统漏洞修复等。

4. 员工培训与意识提升：通过定期培训与教育，提高员工的信息安全意识，教授相关的安全政策和操作规范。

5. 安全监控与响应：建立完善的安全监控体系，对异常活动进行及时响应，并积极采取应对措施，防止信息安全事故的发生和蔓延。

6. 定期审查与改进：定期对信息安全管理体系进行审查，发现问题并及时改进，确保一直保持有效性和适应性。

四、信息安全管理的具体流程1. 风险评估与管理流程：1.1 识别信息安全威胁：通过分析组织内部和外部环境，识别可能对信息安全造成威胁的因素。

1.2 评估风险等级：根据威胁的重要性和潜在影响，评估风险等级，确定优先处理的风险。

1.3 制定风险管理策略：根据评估结果，制定相应的风险管理策略和措施，并明确责任人和实施时间。

1.4 监控与评估：定期监控和评估风险管理策略的实施效果，及时调整和改进。

2. 资源分配与保护流程：2.1 确定信息资源：对组织内部的信息资源进行定义和分类，明确其重要性和敏感程度。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

1目的
为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2范围
本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3职责
3.1研发中心
负责牵头成立信息安全管理委员会。

3.2信息安全管理委员会
负责编制《信息安全风险评估计划》，确认评估结果，形成《风险评估报告》及《风险处理计划》。

3.3各部门
负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4相关文件
《信息安全管理手册》
《GB-T20984-2007信息安全风险评估规范》
《信息技术安全技术信息技术安全管理指南第3部分：IT安全管理技术》
5程序
5.1风险评估前准备
①研发中心牵头成立信息安全管理委员会，委员会成员应包含信息安全重要责任部门的成员。

②信息安全管理委员会制定《信息安全风险评估计划》，下发各部门。

③风险评估方法-定性综合风险评估方法
本项目采用的是定性的风险评估方法。

定性风险评估并不强求对构成风险的各个要素（特别是资产）进行精确的量化评价，它有赖于评估者的经验判断、业界惯例以及组织自身定义的标准，来对风险要素进行相对的等级分化，最终得出的风险大小，只需要通过等级差别来分出风险处理的优先顺序即可。

综合评估是先识别资产并对资产进行赋值评估，得出重要资产，然后对重要资产进行详细的风险评估。

5.2资产赋值
①各部门信息安全管理委员会成员对本部门资产进行识别，并进行资产赋值。

资产价值计算方法：资产价值= 保密性赋值＋完整性赋值＋可用性赋值
②资产赋值的过程是对资产在信息分类、机密性、完整性、可用性进行分析评估，并在此基础上
得出综合结果的过程。

③确定信息类别
信息分类按“5.9 资产识别参考（资产类别）”进行，信息分类不适用时，可不填写。

④机密性(C)赋值
➢根据资产在机密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上的应达成的不同程度或者机密性缺失时对整个组织的影响。

⑤完整性(I)赋值
➢根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

⑥可用性(A)赋值
➢根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的达成的不同程度。

资产价值判断标准
形成资产清单
各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表确认。

5.3判定重要资产
①根据前面的资产机密性、完整性、可用性的赋值相加得到资产的价值，资产价值越高表示资产
要素标识相对价值范围等级
资产等级很高15,14,13 4 高12,11,10 3 一般9,8,7,6 2 低5,4,3 1
②按资产价值得出重要资产，资产价值为4，3的是重要资产，资产价值为2，1的是非重要资
产。

③信息安全管理委员会对各部门资产识别情况进行审核，确保没有遗漏重要资产，形成各部门的
《资产识别清单》。

④各部门的《资产识别清单》经本部门负责人审核，报管理者代表确认，并分发各部门存档。

5.4重要资产风险评估
①应对所有的重要资产进行风险评估，评估应考虑威胁、脆弱性、威胁事件发生的可能性、威胁
事件发生后对资产造成的影响程度、风险的等级、风险是否在可接受范围内及已采取的措施等
方面因素。

②识别威胁
➢威胁是对组织及其资产构成潜在破坏的可能性因素，造成威胁的因素可分为人为因素和环境因素。

威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、
删除等，在保密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。

➢威胁可基于表现形式分类，基于表现形式的威胁分类标准可参考下表：
威胁分类表
➢各部门根据资产本身所处的环境条件，识别每个资产所面临的威胁。

③识别脆弱性
➢脆弱性是对一个或多个资产弱点的总称。

脆弱性是资产本身存在的，如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害。

而且如果系统足够强健，再严重的威胁
也不会导致安全事件，并造成损失。

即，威胁总是要利用资产的脆弱性才可能造成危害。

➢资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。

需要注意的是，不正确的、起不到应有作用的或没有正确实施的
安全措施本身就可能是一个脆弱性。

➢脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估。

脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业
务领域的专家和软硬件方面的专业人员。

➢脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。

管理脆弱性又可分为技术管理和组织管理两方面，前者
与具体技术活动相关，后者与管理环境相关。

常见脆弱性
脆弱性识别内容表
④威胁利用脆弱性发生风险之后的影响后果描述
⑤风险描述
⑥识别现有控制措施
⑦评估威胁发生的可能性
➢分析威胁利用脆弱性给资产造成损害的可能性。

➢确定各个威胁利用脆弱性造成损害的可能性。

➢判断每项重要资产所面临威胁发生的可能性时应注意：
✧威胁事件本身发生的可能性；
✧现有的安全控制措施；
⑧影响程度分析
➢影响程度指一旦威胁事件实际发生时，将给资产带来多大程度的损失。

➢在分析时，可以从影响相关方和影响业务连续性两个不同维度方面来评估打分。

➢如果改风险可能引起法律起诉，则影响程度值为最高5分。

⑨风险的等级
➢风险值由威胁发生的可能性、影响程度和资产价值这三个因素共同决定。

➢风险值计算方法：风险值= 威胁发生可能性* （威胁发生对保密性的影响+威胁发生对完整性的影响+威胁发生对可用性的影响）
⑩建议控制措施
➢安全措施可以分为预防性安全措施和保护性安全措施两种。

预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因
安全事件发生对信息系统造成的影响，如业务持续性计划。

➢建议控制措施的确认与脆弱性识别存在一定的联系。

一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产、组件的脆弱
性，而是一类具体措施的集合。

5.5不可接受风险的确定
①通过预制的风险的可接受准则，进行风险可接受性判定（是否高风险），并生成各部门的《重
要资产调查与风险评估表》表单。

②各部门的《重要资产调查与风险评估表》经本部门负责人审核，报管理者代表批准。

5.6风险处理
①对风险应进行处理。

对可接受风险，可保持已有的安全措施；如果是不可接受风险（高风险），
则需要采取安全措施以降低、控制风险。

②对不可接受风险，应采取新的风险处理的措施，规定风险处理方式、责任部门和时间进度，高
风险应得到优先的考虑。

③信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险处置计划》。

④信息安全管理委员会根据《重要资产调查与风险评估表》编制《风险评估报告》，陈述信息安
全管理现状，分析存在的信息安全风险，提出信息安全管理（控制）的建议与措施。

⑤管理者代表考虑成本与风险的关系，对《风险评估报告》及《风险处理计划》的相关内容审核，
对认为不合适的控制或风险处理方式等提出说明，由信息安全管理委员会协同相关部门重新考
虑管理者代表的意见，选择其他的控制或风险处理方式，并重新提交管理者代表审核批准实施。

⑥各责任部门按照批准后的《风险处理计划》的要求采取有效安全控制措施，确保所采取的控制
措施是有效的。

⑦如果降低风险所付出的成本大于风险所造成的损失，则选择接受风险。

5.7剩余风险评估
①对采取安全措施处理后的风险，信息安全管理委员会进行再评估，以判断实施安全措施后的残
余风险是否已经降低到可接受的水平。

②某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风
险或进一步增加相应的安全措施。

③剩余风险评估完成后，剩余风险报管理者代表审核、总经理批准。

5.8信息安全风险的连续评估
①信息安全管理委员会每年应组织对信息安全风险重新评估一次，以适应信息资产的变化，确定
是否存在新的威胁或脆弱性及是否需要增加新的控制措施。

②当企业发生以下情况时需及时进行风险评估：
➢当发生重大信息安全事故时；
➢当信息网络系统发生重大更改时；
➢信息安全管理委员会确定有必要时。

③各部门对新增加、转移的或授权销毁的资产应及时在《重要信息资产识别表》及《风险评估表》
中予以添加或变更。

5.9资产识别参考
◎资产类别
6记录
《信息安全风险评估计划》ECP-ISMS-JL-03-01
《风险评估报告》ECP-ISMS-JL-03-02
《资产识别清单》ECP-ISMS-JL-03-03
《重要资产调查与风险评估表》ECP-ISMS-JL-03-04 《风险处置计划》ECP-ISMS-JL-03-05。