ISO27000前期准备
作者: 日期:2017-02-09 来源: 关注:558
前期准备
一、 设立领导小组
-信息安全管理委员会:
1、建立信息安全管理体系的策略;
2、负责信息安全方针和目标的建立;
3、负责分配信息安全的角色的相关职责;
4、负责公司信息安全组织结构的批准;
5、负责信息安全管理体系管理者代表的任命;
6、确保信息安全管理体系内部审核的实施;
7、定期对信息安全管理体系进行管理评审;
8、确保公司信息安全教育的落实;
9、决定接受风险准则和风险的可接受的等级;
-管理者代表(分管副总/安委会副主任):
1、监督信息安全管理体系的实施,并定期向最高管理者汇报;
2、向公司传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要
3、负责信息安全管理体系内审员的批准;
4、负责程序文件的审批,包括修改的审批;
5、确认信息安全管理手册内容,并负责后期工作的监督;
6、审核批准内部审核计划,主持、监督信息安全内部审核,批复内审报告;
7、负责审核管理评审计划和管理评审报告,监督管理评审措施的落实;
8、负责组织和确认公司信息安全教育;
-信息安全执行代表:
1、在信息安全管理组确定的实施范围内,具体推广并落实各项策略要求和控制措施;
2、负责本部门信息安全的日常工作,负责本部门人员的信息安全意识提升;
3、对本部门信息资产进行风险评估,根据公司的实情,讨论风险的可接受标准,对不能接受的风险进行处置;
4、负责本部门信息安全事件的应急处理;
-信息安全内审小组:
1、负责对各部门信息安全管理体系的实施运行情况进行监督和检查;
2、负责内部审核和外部审核的具体工作;
3、负责组织对信息安全管理体系文件的评审,并提出文件评审意见;
4、负责有效性测量工作的计划和实施;
-各部门:
1、负责收集与本部门相关的信息安全方面的法规及其他要求,并及时上报信息安全委员会,同时负责在本部门内传达、贯彻和实施与部门相2、关的法规及其他要求;
3、协助在本部门内宣传公司的信息安全管理体系文件的要求,提高本部门员工的信息安全意识;
4、按照信息安全体系文件的要求,在本部门遵照执行;
5、发生信息安全事故后负责配合信息安全委员会工作,并协助制定、实施处置措施;
6、协助信息安全审计小组进行体系的内部审查与外部评审;
7、对信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用 性,防范对信息的未授权访问;
8、负责本部门信息安全管理体系文件和记录的接收、编写、修改与保存;
9、处理本部门与信息安全相关的事宜,向信息安全委员会反馈本部门在信息安全方面的要求和建议;
10、在第三方或对外联络中积极宣传本公司的信息安全目标和方针;
11、在与第三方或外界进行信息交流、接触时,保证信息的安全;
二、定义各职能岗位信息安全角色和职责
三、硬件防护措施完善(机房、门禁、计算机、打印/复印等设备的物理防范措施等)
四、补充、完善现有管理规范性文件(附相关文件清单)
《信息安全适用法律法规清单》 |
《员工招聘及录用管理制度》 |
《办公软件管理规范》 |
《机房管理规范》 |
《软件管理规范》 |
《OA系统操作规范》 |
《路由器操作规范》 |
《门禁系统操作规范》 |
《一体机操作规范》 |
《UPS电源操作规范》 |
《IT操作手册》 |
《物理和环境安全管理制度》 |
《信息安全事故管理规程》 |
《存储介质管理规范》 |
《员工惩戒管理制度》 |
《保密管理制度》 |
《交换机操作规范》 |
《360杀毒规范》 |
《消防应急预案》 |
《信息交换管理规范》 |
《机房管理规范》 |
《服务器管理规范》 |
《服务器操作规范》 |
《信息安全设备设施管理规范》 |
《信息交换管理规范》 |
《信息沟通管理规范》 |
《网络安全管理规范》 |
《保密管理制度》 |
《备份管理规范》 |
《打印机、复印机、传真机、电话使用管理规范》 |
《防范恶意和移动代码管理规范》 |
《计算机及网络管理规定》 |
《计算机设备操作规程》 |
《网站管理有关规定》 |
《物理和环境安全管理制度》 |
《系统规划和验收管理规范》 |
《信息安全监视管理规范》 |
《信息系统管理规范》 |
五、制定:信息安全适用性声明
1、目的与范围
2、职责
3、声明
六、资产设备识别、清理
对资产的定义 |
分类 | 示例 |
|
数据 | 保存在信息媒介上的各种电子数据资料,包括:源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等 |
|
软件 | 系统软件:操作系统、语言包、工具软件、各种数据库等 |
应用软件:外部购买的应用软件、包括开发的应用软件等 |
源程序:各种共享资源代码、自行或合作开发的各种代码等 |
硬件 | 网络设备:路由器、网管、交换机等 |
计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等 |
存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘 |
传输线路:光钎、双绞线、光端机、光钎收发器等 |
保障设备:动力保障设备(UPS、变电设备等)机房空调、保险柜、文件柜、门禁、消防设施等 |
安全保障设备:防火墙、入侵检测系统、身份验证等 |
其它:打印机、复印机、扫描机、传真机等 |
服务 | 办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务 |
网络服务:各种网络设备、设施提供的网络连接服务 |
信息服务:对外依赖该系统开展的各类服务 |
文档 | 纸质的各种文件,如传真、电报、财务报告、发展计划等 |
人员 | 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项日目经理等 |
其它 | 企业形象,客户关系等 |