ISO27001信息安全管理体系实施方案.doc

27001实施方案首先，27001实施方案的第一步是确定信息安全管理体系的范围和目标。

组织需要明确确定信息安全管理体系所涵盖的范围，包括组织的整体范围、所涉及的部门和业务流程等。

同时，还需要确定信息安全管理体系的目标和目标，明确组织希望通过实施该体系达到的效果和改进目标。

其次，组织需要进行风险评估和风险处理。

风险评估是指组织对信息资产进行识别、价值评估和风险评估，以确定信息资产所面临的各种威胁和漏洞。

在完成风险评估后，组织需要采取相应的风险处理措施，包括风险规避、风险转移、风险减轻和风险接受等，以降低信息资产面临的风险。

然后，组织需要建立信息安全管理体系的文件和记录。

这包括编制信息安全管理手册、制定信息安全政策、建立信息安全程序和工作指导书等。

同时，还需要建立信息安全管理体系的记录，包括风险评估报告、内部审计报告、管理评审记录等。

接下来，组织需要进行内部审核和管理评审。

内部审核是指组织对信息安全管理体系的文件和记录进行审核，以确定其符合ISO/IEC 27001标准的要求。

管理评审是指组织对信息安全管理体系的运行情况进行定期评审，以确保其持续有效性和改进。

最后，组织需要进行认证审核和持续改进。

认证审核是指组织邀请认证机构对其信息安全管理体系进行审核，以确定其是否符合ISO/IEC 27001标准的要求。

持续改进是指组织不断监控和审查信息安全管理体系的运行情况，采取相应的措施和步骤，以不断改进信息安全管理体系的效果和绩效。

综上所述，27001实施方案是组织为了达到ISO/IEC 27001标准要求而采取的具体措施和步骤。

通过确定范围和目标、进行风险评估和风险处理、建立文件和记录、进行内部审核和管理评审、进行认证审核和持续改进等步骤，组织可以有效地实施信息安全管理体系，提高信息安全管理水平，确保信息资产的安全性和保密性。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

信息安全管理体系规范（Part I）（信息安全管理实施细则）目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全？对一个单位或组织来说，信息和其它商业资产一样有价值，因此要加以适当的保护。

信息安全就是保护信息免受来自各方面的众多威胁，从而使单位能够进行持续经营，使其对经营的危害降至最小程度，并将投资和商业机会得以最大化。

信息可以许多形式存在－可以印在或写在纸上，以电子方式进行储存，通过邮寄或电子方式传播，用影片显示或通过口头转述。

无论信息以何种方式存在，或以何种形式分享或储存，都要对其进行恰当保护。

信息安全的主要特征在于保护其－保密性：确保只有那些经过授权的人员可以接触信息－完整性：保护信息和信息处理办法的准确性和完整性－可得性：确保在需要时，经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现；此管制手段可为政策、行为规范、流程、组织结构和软件功能。

iso27001 信息安全管理体系
ISO 27001是一项关于信息安全管理体系（ISMS）的国际标准。

它为组织提供了一个框架，用于在管理信息安全风险方面进行规划、建立、实施、运行、监控、评审、维护和改进。

该标准的目标是确保组织能够合理地管理其信息资产，以防止信息泄露、数据丢失、未经授权的访问和其他与信息安全相关的风险。

在ISO 27001中，一些重要的方面包括：
1. 风险评估：组织需要确定其面临的信息安全风险，并确定适当的控制措施来减轻这些风险。

2. 安全策略和目标：组织需要制定明确的安全策略和目标，以确保信息安全的重要性在组织中得到适当的认可并得以实现。

3. 安全控制：组织需要实施一系列安全控制措施，以确保对信息资产的适当保护，包括访问控制、密码策略、物理安全等。

4. 管理体系：组织需要建立一个信息安全管理体系，包括定义职责和权限、确保员工培训、保持记录和进行内部审核等。

通过遵循ISO 27001的要求，组织可以建立一个有效的信息安
全管理体系，从而提高信息安全意识和能力，减少信息泄露和数据安全事故的风险。

这有助于组织保护其核心业务和客户利益，并维护其声誉和信誉。

最新ISO27001：2013信息安全管理体系一整套文件(手册+程序)1.信息安全管理手册2.信息安全管理程序文件XXXXXX技术服务有限公司版本：A/0受控状态：XXXXXX技术服务有限公司信息安全管理手册(依据GB/T22080-2016)编制：文件编写小组审批： XXX版本：A/0受控状态：受控文件编号：LHXR-ANSC-20182018年4月20日发布 2018年4月20日实施管理手册修改记录页：序号修改原因修改内容版本日期修改者审核者目录0.1 颁布令 (5)0.2 管理者代表任命书 (6)0.3关于成立管理体系工作小组的决定 (7)0.4 公司简介 (8)0.5 组织结构 (8)0.6 信息安全方针与目标 (9)1.0 信息安全方针 (9)2.0 信息安全目标 (9)1.0 范围 (9)1.1 总则 (9)1.2 适用范围 (10)1.3 删减说明 (10)2.0规范性引用文件 (10)3.0 术语与定义 (11)3.3计算机病毒 (11)3.15 相关方 (12)3.16本公司 (12)3.17管理体系 (12)4.0 组织环境 (12)4.1理解组织及其环境 (12)4.2利益相关方的需求和期望 (13)4.3确定信息安全管理体系范围 (13)4.4信息安全管理体系 (14)5.0 领导力 (14)5.1领导和承诺 (14)5.2方针 (15)5.3组织的角色、责任和权限 (15)6.0 规划 (18)6.1 应对风险和机会的措施 (18)6.2 信息安全目标及其实现规划 (20)7.0 支持 (20)7.1资源 (20)7.2能力 (21)7.3意识 (21)7.4沟通 (21)7.5文件化信息 (22)8.0 运行 (24)8.1运行规划和控制 (24)8.2信息安全风险评估 (25)8.3信息安全风险处置 (25)9.0 绩效评价 (25)9.1 监视、测量、分析和评价 (25)9.2 内部审核 (25)9.3 管理评审 (26)10.0 改进 (28)10.1不符合及纠正措施 (28)10.2 持续改进 (29)附1信息安全管理体系职责对照表 (30)0.1 颁布令为提高XXXXXX技术服务有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，我公司于2018年4月开展贯彻GB/T22080-2016《信息技术-安全技术-信息安全管理体系要求》国际标准工作，建立、实施和持续改进文件化的信息安全管理体系，制定了XXXXXX技术服务有限公司《信息安全管理手册》。

ISO27001--信息安全策略信息安全策略1.目的本文档旨在确立公司的信息安全策略，以保护公司的信息资产免受未经授权的访问、使用、泄露、破坏等风险。

2.范围该策略适用于公司的所有信息系统、网络、设备和人员，包括全职、兼职、临时员工、实生、合同工等。

3.职责与权限公司的信息安全由全体员工共同负责，但具体职责和权限如下：高层管理人员负责制定和审批信息安全政策，指导和监督信息安全工作。

信息安全管理员负责制定和实施信息安全管理制度，管理信息安全事件和漏洞。

各部门负责制定和执行本部门的信息安全管理制度，保障本部门的信息安全。

全体员工应当积极参与信息安全工作，遵守公司的信息安全规定，及时报告信息安全事件和漏洞。

4.相关文件公司的信息安全管理制度包括以下文件：信息安全政策信息安全管理手册信息安全事件管理办法信息安全培训计划5.术语定义信息资产：指公司拥有的任何形式的信息，包括但不限于文档、数据、软件、硬件、网络和设备。

信息安全：指保护信息资产免受未经授权的访问、使用、泄露、破坏等风险的措施和方法。

信息安全事件：指可能导致信息资产受到损失或泄露的事件，包括但不限于黑客攻击、病毒感染、数据丢失等。

信息安全漏洞：指可能导致信息资产受到损失或泄露的系统漏洞、软件漏洞、人员漏洞等。

6.信息安全策略公司的信息安全策略包括以下方面：确立信息安全管理制度，包括信息安全政策、信息安全管理手册等文件。

确保信息资产的机密性、完整性和可用性，采取相应的技术和管理措施。

加强对信息安全事件和漏洞的管理和应对，及时发现、报告和处理问题。

加强员工的信息安全意识和培训，提高员工的信息安全素质。

定期评估和改进信息安全管理制度和措施，确保其有效性和适应性。

6.1 信息安全组织策略信息安全组织策略是确保组织内部信息安全的基础。

该策略应该明确规定信息安全管理的组织结构、职责和权限，确保信息安全管理工作的顺利实施。

同时，该策略还应该制定信息安全管理的标准和规范，确保信息安全管理工作的合规性和规范性。

ISO20000信息技术管理体系与ISO27001信息安全管理体系认证整合实施方案一、概述：ISO20000与ISO27001多体系的整合会对企业组织来讲，无论在是战略规划上，还是日常操作中，都将产生重大的影响意义。

企业组织关心的是如何将多体系整合，下面着重介绍一下，ISO20000与ISO27001体系是如何进行整合的。

二、整合原则：为了能够更好的发挥两套体系整合所带来的企业价值，需要遵从体系整合原则，进而开展体系整合的建设与管理。

体系整合原则，是企业建设服务管理与信息安全管理的前提基础与保证依据，整合原则在体系整合构建与实施中将发挥其最大作用。

1、关注客户服务水平。

是以客户为中心，以流程为导向的IT 服务管理体系，旨在提高客户满意度水平。

而ISO27001 主要是对信息资产的风险控制，同样是为了保障企业内部整体服务能力，间接的保证了客户服务质量。

2、体系条款满足原则。

两套体系整合的条款应将共性要求条款融合为一体，不同的特定要求条款也应得到满足。

3、文件结构满足原则。

两套体系应采用一致性的文档层次结构，方便文件共享与统一搜索路径，更便于日常维护与参照。

4、职能一体化满足原则。

构建体系整合实施，应将管理职能的集中与分散进行结合，要充分考虑两套体系的标准差异，调整与优化组织结构，做到对标准的共性要求的集中管理与统一控制。

5、降本增效满足原则。

两套体系整合后应在时效性与成本控制方面有明显的改进。

6、风险控制满足原则。

确保在体系流程规划、实施与运行时，能够采取有效措施对各类风险进行有效控制。

7、全员参与满足原则。

要求在体系实施与执行过程中，组织全体人员都参与进来，从而保证大家在思路上的共识。

8、体系运行模式满足原则。

遵照PDCA 过程方法来对体系进行不间断的持续改进。

9、工具接口满足原则。

如要对IT 服务管理与信息安全，要建设两个系统时，要求两个系统要设计详细的接口，并有专门的文档来记录接口定义。

三、ISO20000与ISO27001管理体系整合内容：通过以往的项目经验及对两套体系的研究，归纳与总结ISO20000与ISO27001 的体系对比，两套体系整合的可行性可能会存在以下几个方面，包括：1、体系实施人员的整合。

修订日期：2019.12.18修订日期：2019.12.18信息安全风险评估管理程序1 适用本程序适用于本公司信息安全管理体系（ISMS）范围内信息安全风险评估活动。

2 目的本程序规定了本公司所采用的信息安全风险评估方法。

通过识别信息资产、风险等级评估，认知本公司的信息安全风险，在考虑控制成本与风险平衡的前提下选择合适控制目标和控制方式将信息安全风险控制在可接受的水平，保持本公司业务持续性发展，以满足本公司信息安全管理方针的要求。

3 范围本程序适用于第一次完整的风险评估和定期的再评估。

在辨识资产时，本着尽量细化的原则进行，但在评估时我司又会把资产按照系统进行规划。

辨识与评估的重点是信息资产，不区分物理资产、软件和硬件。

4 职责4.1 成立风险评估小组办公室负责牵头成立风险评估小组。

4.2 策划与实施风险评估小组每年至少一次，或当体系、组织、业务、技术、环境等影响企业的重大事项发生变更、重大事故事件发生后，负责编制信息安全风险评估计划，确认评估结果，形成《信息安全风险评估报告》。

4.3 信息资产识别与风险评估活动各部门负责本部门使用或管理的信息资产的识别，并负责本部门所涉及的信息资产的具体安全控制工作。

4.3.1 各部门负责人负责本部门的信息资产识别。

4.3.2 办公室经理负责汇总、校对全公司的信息资产。

修订日期：2019.12.184.3.3 办公室负责风险评估的策划。

4.3.4 信息安全小组负责进行第一次评估与定期的再评估。

5 程序5.1 风险评估前准备5.1.1 办公室牵头成立风险评估小组，小组成员至少应该包含：信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。

5.1.2风险评估小组制定信息安全风险评估计划，下发各部门内审员。

5.1.3必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。

5.2 信息资产的识别5.2.1 本公司的资产范围包括：5.2.1.1信息资产1)数据文档资产：客户和公司数据，各种介质的信息文件包括纸质文件。

iso27001推行计划ISO27001推行计划ISO27001是国际标准化组织（ISO）制定的信息安全管理体系标准，它为企业和组织提供了一套全面的信息安全管理框架，以确保其信息资产得到充分保护。

推行ISO27001的计划是企业建立和实施信息安全管理体系的关键步骤，本文将对ISO27001推行计划进行详细介绍。

一、制定推行计划的重要性推行ISO27001需要有一个详细的计划来指导整个过程。

制定推行计划的重要性体现在以下几个方面：1. 有计划地推行ISO27001可以确保推行过程的顺利进行，避免遗漏关键步骤。

2. 推行计划可以帮助企业合理安排资源，提高效率和效果。

3. 推行计划可以帮助企业制定明确的目标和时间表，从而更好地进行监控和评估。

二、推行计划的制定步骤1. 确定推行的范围：首先要确定推行ISO27001的范围，包括推行的部门、业务流程和信息系统等。

这有助于明确推行的重点和目标。

2. 进行风险评估：风险评估是推行ISO27001的基础，通过对信息资产进行风险评估，可以确定关键的风险和威胁，以便制定相应的控制措施。

3. 制定安全政策和目标：安全政策是信息安全管理的基础，它应该体现企业的管理意识和战略目标。

制定安全目标可以帮助企业明确推行的方向和目标。

4. 制定风险处理策略：根据风险评估的结果，制定相应的风险处理策略，包括风险的防范措施、应急响应和持续改进等。

5. 制定详细的工作计划：根据安全政策和目标，制定详细的工作计划，明确推行的具体步骤、时间和责任人等。

工作计划要具体可行，确保每个步骤都能得到有效执行。

6. 实施推行计划：按照工作计划的要求，组织推行ISO27001的工作。

在实施过程中，要注意及时解决问题和调整计划，确保推行的顺利进行。

7. 监控和评估：在推行过程中，要进行监控和评估，及时发现问题并采取措施加以解决。

同时，要定期进行内审和管理评审，确保信息安全管理体系的持续改进。

三、推行计划的关键要素推行ISO27001的计划要考虑以下几个关键要素：1. 高层支持：推行ISO27001需要得到企业高层的支持和重视，只有高层意识到信息安全的重要性，才能确保推行计划的顺利进行。

27001(信息安全管理体系)27001(信息安全管理体系)信息安全管理是现代社会重要的一部分，而ISO/IEC 27001国际标准则成为了信息安全管理体系最重要的标准之一。

本文将介绍ISO/IEC 27001标准的背景和重要性，以及实施该标准的好处和步骤。

一、背景和重要性ISO/IEC 27001是由国际标准化组织（ISO）和国际电工委员会（IEC）联合制定的信息安全管理体系国际标准。

该标准于2005年首次发布，为组织建立、实施、维护和持续改进信息安全管理体系提供了指南。

信息安全是指保护信息免受意外的、非法的或恶意的访问、使用、泄露、破坏、修改或泄露的措施。

随着信息技术的迅猛发展和互联网的普及应用，信息安全问题也变得日益严重。

信息安全管理的重要性仍然不可忽视。

二、实施ISO/IEC 27001的好处1. 增强组织的安全意识和文化：实施ISO/IEC 27001标准可以促进组织内部在信息安全意识和文化方面的提升。

员工将更加关注信息安全，并制定相应的安全措施。

2. 减少信息安全风险：通过ISO/IEC 27001标准的实施，组织可以识别和评估潜在的信息安全风险，并采取相应的控制措施，从而减少信息安全事件的发生。

3. 提升合作伙伴和客户的信任：ISO/IEC 27001认证是证明组织在信息安全管理方面具备专业能力的重要标志。

拥有ISO/IEC 27001认证将帮助组织提升合作伙伴和客户对其信息安全能力的信任度。

4. 符合法律法规要求：随着信息安全相关法律法规的不断完善，组织需要履行相应的法律责任。

ISO/IEC 27001标准的实施可以帮助组织确保其信息安全管理体系与法律法规要求相一致。

三、ISO/IEC 27001的实施步骤1. 制定信息安全政策：组织需制定明确的信息安全政策，并将该政策与组织的整体战略和目标相一致。

2. 进行信息安全风险评估：组织需要对其信息资产进行风险评估，识别潜在的信息安全风险，并确定相应的风险处理方案。

27001信息安全管理体系随着信息技术的飞速发展，信息安全问题也日益引起各界关注。

为了确保企业及个人的信息安全，国际上普遍采用了ISO/IEC 27001信息安全管理体系。

一、认识ISO/IEC 27001是由国际标准化组织（ISO）和国际电工委员会（IEC）联合开发的一项国际标准，旨在建立和维护企业信息安全管理体系。

该标准基于风险管理原则，涵盖了安全管理的各个方面，包括组织管理、人员安全、物理安全、通讯安全等。

二、建立信息安全政策在建立27001信息安全管理体系之前，企业首先需要制定信息安全政策。

信息安全政策是指企业对信息安全的整体目标及相关要求的说明。

通过明确政策，企业能够明确信息安全的重要性，并为后续的安全措施提供指导。

三、分析信息安全风险企业在建立信息安全管理体系之前，需要对现有的信息资产进行风险评估和管理。

风险评估是通过识别潜在的威胁、评估其潜在影响和可能性，为企业提供防范措施的基础。

企业可以根据评估结果，制定相应的风险应对策略，确保信息资产的安全。

四、制定信息安全控制措施27001信息安全管理体系要求企业制定一系列信息安全控制措施，以保护信息资产免于遭受威胁。

这些措施包括但不限于：访问控制、密码策略、备份和恢复、事件管理等。

企业需要根据自身的业务特点和风险评估结果，制定符合要求的信息安全控制措施。

五、实施信息安全培训和教育要确保信息安全管理体系的有效实施，企业需要进行相关的培训和教育。

这包括全员安全意识培训、专业技术培训等。

培训和教育可以提高员工对信息安全的认知，并帮助他们有效地应对各类安全威胁。

六、持续改进和监督信息安全管理体系并非一劳永逸的事情，而是一个持续改进的过程。

27001标准要求企业建立监督和评估机制，定期检查和评估信息安全管理体系的有效性。

通过持续改进，企业可以不断提升信息安全管理水平。

七、信息安全体系的好处采用27001信息安全管理体系，企业能够获得多方面的好处。

首先，有效的信息安全管理体系可以减少潜在的信息安全威胁，降低信息泄露和数据泄露的风险。

信息安全事件管理策略1目的 (1)2范围 (1)3职责 (1)4策略内容 (1)4.1信息安全事件 (1)4.2信息安全事件分类 (2)4.3信息安全事件分级 (3)4.4报告信息安全事件和弱点 (4)4.5信息安全违法事件 (4)4.6信息安全事件上报 (4)4.7信息安全事件的响应、处置及取证 (5)4.8信息安全事件回顾 (6)5相关文件 (6)6相关记录 (7)附件：信息安全事件处理流程 (8)1 目的为规范公司信息安全事件的报告、处理、回顾和改进机制，明确信息安全事件的管理职责和管理流程，确保信息安全事件发生后能得到及时处置，特制定本策略。

2 范围本策略适用于公司信息安全事件的处置活动。

3 职责4 策略内容4.1 信息安全事件信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件，详见《信息安全事件说明细则》。

信息安全事件的分类分级主要参照《GB/Z 20986—2007 信息安全事件分类分级指南》的要求进行。

一体化质量管理体系的《事件管理程序》中所描述的事件包含信息安全事件。

根据信息安全事件发生的原因、表现形式等，将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施安全故障、灾害性事件、其它事件，具体如下表所示：表1 信息安全事件分类说明根据各种信息安全事件对公司经营管理的影响范围、程度，以及可能造成的后果和损失，将信息安全事件划分为一般信息安全事件、较大信息安全事件、重大信息安全事件和特别重大信息安全事件四个级别，如下表所示：表2 信息安全事件分级描述按照信息安全事件的影响范围、程度可以确定信息安全事件级别，满足多个定级条件时按照最高级别定义，级别定义矩阵如下：表3 信息安全事件影响范围和影响程度矩阵4.4 报告信息安全事件和弱点1) 各部门可通过网络系统监控、日志审核、安全扫描、杀毒软件、风险评估等手段发现信息安全事件及系统和设备的安全弱点；2) 所有员工和第三方人员应接受培训，使之认识到有责任和义务发现并及时报告信息安全事件和弱点；3) 所有员工和第三方人员发现疑似信息安全事件和弱点后，应根据信息安全事件分类、分级的定义进行初步判断，按照本策略定义的信息安全事件上报流程进行报告和配合处理；4) 事件报告时应尽可能将事件描述清晰，报告内容应包括但不限于事件的性质、发生的时间、现象、影响范围、严重程度以及已经采取的措施和下一步计划；5) 任何企图或实施阻拦、干扰、报复事件报告者的行为都视为违反本策略，将给予相应的处罚；6) 所有员工不得以任何原因或借口延误信息安全事件的上报，更不能隐瞒不报，由于报告不及时而产生的一切后果由责任部门或个人承担；7) 重大级及以上信息安全事件处置策略需由管理者代表批准，若造成重要信息系统中断，则需由信息安全领导小组批准。

ISO27001信息安全管理体系实施方案7信息安全管理体系认证咨询项目实施方案目录1项目重点与体系设计(2)1.1评估现状与标准间的差异(2)1.2ISO/IEC27001：2013差距分析(2)1.3基于ISO/IEC27001：2013的管理体系设计(4)2建设与实施(6)2.1管理体系建设方法论(6)2.2实施计划(7)3交付物一览表(9)1项目重点与体系设计1.1评估现状与标准间的差异在正式开展信息安全管理体系建设项目之初，咨询顾问为了熟悉客户业务流程、组织架构以及信息安全管控现状，通过深入现场、人员访谈、发放问卷、文件审阅等途径，对客户业务状况以及由此引发的问题和需求进行全面了解，发掘潜在问题，并做分类描述和分析。

同时，将客户的现状和国际标准进行对比，找到现实差距。

差距分析的结果，将成为项目实施的主要依据，以及下阶段风险评估和体系建设的基础。

咨询顾问实施差距分析的方法，是借助咨询方开发的专用差距分析工具，在采集包括信息安全管理相关的信息之后，按照标准要求，全方位展示客户的差距，找到突出的问题所在。

差距分析的结果，可以让客户对自身现状有个直观判断，便于为将来的工作指出重点，也便于通过项目实施之后的再次评估看到项目的绩效。

1.2ISO/IEC27001：2013 差距分析此项差距分析是基于ISO27001:2013版正文条款和附录A的内容分别进行差距分析。

正文条款：差距分析的实质内容共计7章，主要说明了如何建立、实施、维护和持续改进信息安全管理体系（ISMS），以保证在制度层面对信息安全进行有效管理。

附录A：差距分析的内容包括具体的14个控制领域、35个控制目标和114个具体的控制措施，以保证在技术层面对信息安全的有效管理。

我们从体系的运行管理和114个控制项2个部分为客户进行差距分析。

体系的运行管理部分主要评估客户现有的组织架构、信息安全管理活动的成熟度与标准间的差异，此项评估结果会在项目实施阶段组织架构设计和体系运行管理活动设置过程中提供关键的信息。