ISO27001--信息安全策略

信息安全策略

目录

1. 目的 (3)

2. 范围 (3)

3. 职责与权限 (3)

4. 相关文件 (3)

5. 术语定义 (3)

6. 信息安全策略 (3)

6.1 信息安全组织策略 (3)

6.2 资产管理策略 (4)

6.3 人力资源安全策略 (6)

6.4 物理与环境安全策略 (8)

6.5 通信与操作管理策略 (9)

6.6 访问控制策略 (13)

6.7 信息系统获取开发与维护策略 (17)

6.8 信息安全事件管理策略 (19)

6.9 业务连续性管理策略 (20)

6.10 合规性策略 (21)

1. 目的

根据ISO/IEC27001:2013标准和公司实际管理需要，确定标准各条款对公司的适用性，特编制本程序。

2. 范围

适用于对ISO/IEC27001:2013标准于本公司的适用性管理。

3. 职责与权限

3.1最高管理者

负责信息安全策略的审批。

3.2综合部

负责信息安全策略的编制及修订。

4. 相关文件

a) 《信息安全管理手册》

b) 《信息安全适用性声明》

5. 术语定义

无

6. 信息安全策略

6.1 信息安全组织策略

6.1.1 综述

通过建立与本企业组织相关的以下二个安全策略，促进本企业建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与本企业组织有关的策略分内部组织和外部组织两部分来描述。

6.1.2策略一：在本企业建立信息安全管理架构

策略目标：

在本企业内有效地管理信息安全。

策略内容：

本企业应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。

本信息安全管理手册采用了ISO/IEC 27001:2013标准正文的全部内容，对附录A的删减见《适用性声明SOA》。

策略描述：

通过建立信息安全管理组织，启动和控制本企业范围内的信息安全工作的实施，批准信息安全方针与策略、确定安全工作分工和相应人员，以及协调和评审整个云南港电系统集成有限公司信息安全工作的实施。

根据需要，还可以在本企业范围内建立信息安全议题专家建议库，在本企业使用；建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。

6.1.3策略二：对外部组织访问本企业信息资产进行管理

策略目标：

确保被外部组织访问的信息资产得到了安全保护。

策略内容：

本企业的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低。当任何外部各方需要对本企业信息处理设施的进行访问、对信息资产的进行处理和通信时，本企业相关部门应当与外部各方签订协议，并采取有效的措施进行安全控制。

策略说明：

本企业不可避免地需要与外界进行业务往来与信息沟通，经常需要向外部组织开放其信息和信息处理设施。因此，需要对外部组织访问本企业信息资产带来的安全风险进行评估，并根据风险水平，在必要时与外部组织签订协议，向其声明本企业信息安全方针与策略，确定所需的安全控制措施。

6.2 资产管理策略

6.2.1 综述

本企业要有效地控制安全风险，首先要识别信息资产，并进行科学而有效的分类，然后在各个管理层面对资产落实责任，采用恰当的控制措施对信息资产进行风险管理，本章通过以下二个策略实施对信息资产的有效管理。

6.2.2策略一：为信息资产建立问责制

策略目标：

对本企业的信息资产建立问责制，为实施适当保护奠定基础。

策略内容：

应当对所有信息资产进行识别、建立资产清单和使用规则，明确定义信息资产责任人及其职责，为信息资产建立问责制。

策略说明：

对于本企业的所有资产要标识出责任人，通常可定义出信息资产的所有者、管理者和使用者，并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担，但所有者和使用者仍对资产承担一定的保护责任。

6.2.3策略二：对信息资产进行分类

策略目标：

通过对信息资产的分类，明确其可以得到适当程度的保护

策略内容：

应按照信息资产的价值、法律要求及对组织的敏感程度和关键程度进行分类和进行标识。

策略描述：

信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别，进行必要的标识，对其进行周期性评审，确保其与组织的内外环境的变化相适应，这些都应是资产所有者的职责。

本企业的信息资产分类基于业务相关性，从机密性、完整性和可用性三方面进行评估，其保护级别也根据这三个方面得出。

6.3 人力资源安全策略

6.3.1 综述

本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。

6.3.2策略一：在人员任用前进行恰当筛选

策略目标：

在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。

策略内容：

确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。

策略说明：

在新员工及其他外部人员正式进入本企业前，就应当明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为本企业的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。

本企业的第三方人员主要有：借调或借用外部人员、外部服务人员等。

6.3.3策略二：在人员任用中落实安全责任

策略目标：

落实信息安全管理职责，确保本企业的员工在整个任用期内的行为都符合组织信息安全政策的要求。

策略内容：

应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人