第四部分：体系文件编写课件.ppt

1、ISMSISMS内审员培训课程内审员培训课程SGS-CSTC通标标准技术服务有限公司通标标准技术服务有限公司2u第一部分第一部分 信息安全基础知识及案例介绍信息安全基础知识及案例介绍u第二部分第二部分 ISO27001ISO27001标准正文部分详解标准正文部分详解 ISO27001ISO27001标准附录标准附录A A详解详解u第三部分第三部分 信息安全风险评估与管理信息安全风险评估与管理u第四部分第四部分 体系文件编写体系文件编写u第五部分第五部分 信息安全管理体系内部审核信息安全管理体系内部审核3 n 要收集问题n 要评估风险n 要学习标准n 要改进技术n 要增加投资n 要增加人员44

2、信息安全管理体系 （ISMS）4.1 总要求4.2 建立和管理 ISMS4.2.1 建立 ISMS4.2.2 实施和动作 ISMS4.2.3 监视和评审 ISMS4.2.4 保持和改进 ISMS4.3 文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制5 管理职责5.1 管理承诺5.2 资源管理5.2.1 资源提供5.2.2 培训、意识和能力8 ISMS 改进8.1 持续改进8.2 纠正措施8.3 预防措施 6 内部 ISMS 审核7 ISMS 管理评审7.1 总则7.2 评审输入7.3 评审输出5n 组织应做以下方面的工作： 根据业务、组织、位置、资产和技术等方面的特性，确定I

3、SMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。 （见 1.2 ） 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：包括设定目标的框架和建立信息安全工作的总方向和原则；考虑业务和法律法规的要求，及合同中的安全义务；在组织的战略性风险管理环境下，建立和保持ISMS；建立风险评价的准则（见 4.2.1 c）；获得管理者批准。注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。6 确定组织的风险评估方法：识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；制定接受风险的准则，识别可接受的

4、风险级别（见 5.1 f）。 选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。 识别风险识别ISMS范围内的资产及其责任人；识别资产所面临的威胁；识别可能被威胁利用的脆弱性；识别丧失保密性、完整性和可用性可能对资产造成的影响。7 8n 准备适用性声明（SoA） 应从以下几方面准备适用性声明： 从4.2.1 g）选择的控制目标和控制措施，以及选择的理由； 当前实施的控制目标和控制措施（见4.2.1e）2）； 对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。9n 10n 文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的

5、。n 重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。11n ISMSISMS文件文件应包括应包括： 形成文件的ISMS方针见4.2.1b）和目标； ISMS的范围见4.2.la）； 支持ISMS的规程和控制措施； 风险评估方法的描述见4.2.1c）； 风险评估报告 见4.2.1c）到4.2.1g）； 风险处理计划见4.2.2b）； 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c）； 本标准所要求的记录（见4.3.3）； 适用性声明。12n ISMS所要求的文件

6、应予以保护和控制。应编制形成形成文件文件的规程，以规定以下方面所需的管理措施： 在文件发布前得到批准，以确保文件是适当的； 必要时对文件进行评审、更新并再次批准； 确保文件的更改和现行修订状态得到识别； 确保在使用处可获得适用文件的有关版本； 确保文件保持清晰且易于识别； 确保文件对需要的人员可用，并依照文件适用的类别规程进行传输、贮存和最终销毁； 确保外来文件得到识别； 确保文件分发得到控制； 防止作废文件的非预期使用； 若因任何目的而保留作废文件时，对这些文件进行适当的标识。13n 应建立记录并加以保持，以提供符合ISMS要求和有效运行的证据。n 应对记录加以保护和控制。n ISMS的记录

7、应考虑相关的法律法规要求和合同义务。n 记录应保持清晰，易于识别及检索。n 记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。n 应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。14n 管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据： 制定ISMS方针； 确保ISMS目标和计划得以制定； 建立信息安全的角色和职责； 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性； 提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS （见5.2.1）； 决定接受风险的准则

8、和风险的可接受级别； 确保ISMS内部审核的执行（见第6章）； 实施ISMS的管理评审（见第7章）。15n 组织应确定和提供所需资源，以： 建立、实施、运行、监视、评审、保持和改进ISMS； 确保信息安全规程支持业务要求； 识别和满足法律法规要求、以及合同中的安全义务； 通过正确实施所有的控制措施保持适当的安全； 必要时，进行评审，并适当响应评审的结果； 在需要时，改进ISMS的有效性。16n 组织应通过以下方式，确保所有分配有ISMS 职责的人员具有执行所要求任务的能力： 确定从事影响ISMS工作的人员所必要的能力； 提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求； 评价采取的措

9、施的有效性； 保持教育、培训、技能、经历和资格的记录（见4.3.3）。n 组织也要确保所有相关人员意识到他们信息安全活动的相关性和重要性，以及如何为达到ISMS目标做出贡献。17内部内部ISMSISMS审核审核n 组织应按照计划的时间间隔进行ISMS内部审核，以确定其ISMS的控制目标、控制措施、过程和规程是否： 符合此标准和有关法律法规的要求； 符合已确定的信息安全要求； 得到有效地实施和保持； 按预期执行。n 应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。n 方案应规定审核的准则、范围、频次和方法。18内部内部ISMSISMS审核审核n 审核员的选择和审

10、核的实施应确保审核的客观性和公正性。审核员不应审核自己的工作。n 策划和实施审核、报告结果和保持记录（见4.3.3）的职责和要求应在形成文件形成文件的规程中做出规定。n 负责受审区域的管理者应确保及时采取措施，以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告（见第8章）。19n 管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS以确保其持续的适宜性、充分性和有效性。n 评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。n 评审的结果应清晰地形成文件形成文件，记录应加以保持（见4.3.3）。20n 评审的输入应包括： ISM

11、S审核和评审的结果； 相关方的反馈； 组织用于改进ISMS执行情况和有效性的技术、产品或规程； 预防和纠正措施的状况； 以往风险评估没有充分强调的脆弱点或威胁； 有效性测量的结果； 以往管理评审的跟踪措施； 可能影响ISMS的任何变更； 改进的建议。21n 管理评审的输出应包括与以下方面有关的任何决定和措施： ISMS有效性的改进。 风险评估和风险管理计划的更新。 必要时修改影响信息安全的规程和控制措施，以响应内部或外部可能影响ISMS的事态，包括以下的变更：业务要求；安全要求；影响现有业务要求的业务过程；法律法规要求；合同要求；风险级别和/或接受风险的准则。 资源需求。 控制措施有效性测量方

12、法的改进。22n 组织应利用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评审（见第7章），持续改进ISMS的有效性。23n 组织应采取措施，以消除与ISMS要求不符合的原因，以防止再发生。形成文件形成文件的纠正措施规程，应规定以下方面的要求： 识别不符合； 确定不符合的原因； 评价确保不符合不再发生的措施需求； 确定和实施所需要的纠正措施； 记录所采取措施的结果（见4.3.3）； 评审所采取的纠正措施。24n 组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件形成文件的预防措施规程，应规定以下方面的要求： 识别潜在的不

13、符合及其原因； 评价防止不符合发生的措施需求； 确定和实施所需要的预防措施； 记录所采取措施的结果（见4.3.3）； 评审所采取的预防措施。n 组织应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。n 预防措施的优先级要根据风险评估的结果确定。n 第四章 第八章 不允许删减25n 文件控制 4.3.2 n 记录控制 4.3.3 n 内审 6.0 n 纠正措施 8.2 n 预防措施 8.3 n 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c）；4.3.1g 26n 影响ISMS有效性或执行情况的措施和事态的记录 4.2

14、.3 hn 培训记录 5.2.2 dn 内审记录 6.0n 管理评审记录 7.1n 纠正措施 8.2 en 预防措施 8.3 dn 4.3.1h：本标准所要求的记录27安全方针安全方针人力资源安全人力资源安全资产管理资产管理访问控制访问控制信息系统信息系统获取、开发和维护获取、开发和维护信息安全事件管理信息安全事件管理业务连续性管理业务连续性管理信息安全组织信息安全组织物理和环境安全物理和环境安全通信和操作管理通信和操作管理符合性符合性28n 5.0 安全方针 信息安全方针信息安全方针文件信息安全方针文件信息安全策略评审n 6.0信息安全组织 内部组织信息安全的管理承诺信息安全协调信息安全职责

15、的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系 信息安全的独立评审 外部各方与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题29n 7.0资产管理 资产的责任资产清单资产清单资产责任人资产的可接受使用 信息分类分类指分类指南南信息的标记和处理n 8.0人力资源安全 任用之前角色和职责审查任用条款和条件 任用中管理职责信息安全意识、教育和培训纪律处过程 任用的终止或变化终止职责资产的归还撤销访问权30n 9.0 物理和环境安全 安全区域物理安全周边物理入口控制办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安

16、全 设备安全设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全安全的安全处置和再利用资产的移动31n 10.0 通信和操作管理 操作规程和职责文件化的操作文件化的操作规程规程变更管理责任分割开发、测试及运行设施分离 第三方服务交付管理服务交付第三方服务的监视和评审第三方服务的变更管理 系统规划和验收容量管理系统验收 防范恶意和移动代码控制恶意代码控制移动代码 备份信息备份 网络安全管理网络控制网络服务安全 介质处置可移动介质的管理介质的处置信息处理规程信息处理规程系统文件安全32 信息交换信息交换策略和规程信息交换策略和规程 交换协议 运输中的物理介质 电子消息发送 业务信息系统 电

17、子商务服务 电子商务 在线交易 公共可用信息 监视审计记录审计记录 监视系统的使用 日志信息的保护 管理员和操作员日志 故障日志 时钟同步 33n 11.0 访问控制 访问控制的业务需求访问控制策略访问控制策略 用户访问管理用户注册特殊权限管理用户口令管理用户访问权复查 用户职责口令使用无人值守的用户设备清空桌面和屏幕策略清空桌面和屏幕策略 网络访问控制使用网络服务的策略使用网络服务的策略 外部连接的用户鉴别 网络上的设备标识 远程诊断和配置端口的保护 网络隔离 网络连接控制 网络路由控制 操作系统访问控制安全的登录规程安全的登录规程 用户标识和鉴别 口令管理系统 系统系统工具的使用 会话超时

18、 联机时间的限定34 应用和信息访问控制 信息访问限制 敏感系统隔离 移动计算及过程工作 移动计算和通信 远程工作35n 12.0信息系统获取、开发及维护 信息系统的安全要求安全要求分析和说明安全要求分析和说明 应用中正确的处理 输入数据确认 内部处理的控制 消息完整性 输出数据确认 密码控制使用密码控制的策略使用密码控制的策略密钥管理 系统文件的安全运行软件的控制系统测试数据的保护对程序源代码的访问控制 开发和支持过程的安全变更控制规程变更控制规程操作系统变更后应用的技术评审软件包变更的限制信息泄漏外包软件开发 技术脆弱性管理 技术脆弱性的控制36n 13.0信息安全事件和改进的管理 报告信

19、息安全事态及弱点报告信息安全事态报告信息安全弱点 报告安全事件及改善职责与职责与规程规程对信息安全事件的总结证据的收集n 14.0业务连续性管理 业务连续性管理的信息安全方面在业务连续性管理过程中包含信息安全业务连续性和风险评估制定和实施包含信息安全的连续信息安全的连续性计划性计划业务连续性计划框架测试、维护和再评估业务连续性计划37n 15.0符合性 符合法律要求可用法律的识别可用法律的识别知识产权知识产权 (IPR) (IPR)保护组织的记录数据保护和个人信息的隐私防止滥用信息处理设施密码控制措施的规则 符合安全策略和标准以及技术符合性 符合安全策略和标准技术符合性核查 信息系统审计考虑

20、信息系统审计控制措施 信息系统审计工具的保护38n 从法律的观点看，对某个组织重要的控制措施包括，根据适用的法律： 数据保护和个人信息的隐私（见 A.15.1.4）； 保护组织的记录（见 A.15.1.3）； 知识产权（见 A.15.1.2）。n 被认为是信息安全的常用惯例的控制措施包括： 信息安全方针文件（见 A.5.1.1）； 信息安全职责的分配（见 A.6.1.3）； 信息安全意识、教育和培训（见 A.8.2.2）； 应用中的正确处理（见 A.12.2）； 技术脆弱性管理（见 A.12.6）； 业务连续性管理（见 A.14）； 信息安全事件和改进的管理（见A.13.2）。39n PDCA

21、方法“策划控制监控改善”方法n 其它要求相似： 文件控制 记录控制 内审 纠正措施 预防措施n ISMS与EMS可以作为全面质量管理系统的一部分进行实施4041本标准本标准ISO 9001:2000ISO 9001:2000ISO 14001:2004ISO 14001:20044 信息安全管理体4.1 总要求4.2 建立和管理ISMS4.2.1 建立ISMS4.2.2 实施和运行ISMS4.2.3 监视和评审ISMS4.2.4 保持和改进ISMS4.3 文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制4 质量管理体系4.1 总要求8.2.3 过程的监视和测量8.2.4 产品的

22、监视和测量4.2 文件要求4.2.1 总则4.2.2 质量手册4.2.3 文件控制4.2.4 记录控制4 EMS 要求4.1 总要求4.4 实施和运行4.5.1 监视和测量4.5.2 不合格和纠正与预防措施4.4.5 文件控制4.5.4 记录控制424344Integrated Assessment Service(IAS)Integrated Management Registration (IMR)Combined Audit Service(CAS)9001140012700190011400127001IMR45法规及其他要求客户需求环境因素及影响信息安全风险识别评估方针目标计划程序/

23、 WI实施检查/检验/审核纠正与预防措施管理评审改进计划整合管理体系的思维模式整合管理体系的思维模式46技术要求：ISO9001顾客的需求（产品质量标准）ISO14001法律、法规及其他要求是组织管理体系的组成部分具有相同的管理思想过程控制文件化15ISO27001信息安全风险47都是自愿性的国际标准遵循相同的管理系统原理，要求文件化体系通过体系建立、运行和改进实现方针和目标体系结构和模式接近，PDCA循环实现改进部分要素相同都可能成为贸易的条件，消除贸易壁垒1648必要性一体化减少工作量，重复和矛盾，提高管理效能同时审核降低审核成本，提高企业申请积极性为新的管理体系提供兼容经验，实现一体化管

24、理可行性符合企业愿望和要求符合技术委员会制定标准的指导思想ISO正在制定共同的审核标准具有相似的结构1749角色权责明确划分单一系统较易被员工接受使用共通程序，简化作业共用系统资源，提高效率整合验证，节省认证时间与经费1950n 1. 1. 风险评估相关文件风险评估相关文件 风险评估程序风险评估程序 范围、方针、目标、处理计划范围、方针、目标、处理计划n 2. 2. 适用性声明适用性声明n 3. 3. 哪些文件可直接使用哪些文件可直接使用n 4. 4. 哪些文件可修改后使用哪些文件可修改后使用( (如与其它管理体系共用如与其它管理体系共用) )n 5. 5. 哪些文件需要编写，结构是怎么样的？

25、哪些文件需要编写，结构是怎么样的？n 6. 6. 编写计划是怎么样的？编写计划是怎么样的？n 7. 7. 检查是否符合检查是否符合SOASOA和风险处理计划和风险处理计划编写前准备编写前准备-确定编写人员及总协调人员确定编写人员及总协调人员 -分配职能权限，确定部门关系分配职能权限，确定部门关系 组织编写组织编写-拟定文件清单拟定文件清单 -确定文件格式，统一风格确定文件格式，统一风格 -制定编写进度表制定编写进度表 -原有资料的收集和分析原有资料的收集和分析 -现状的了解和分析编写现状的了解和分析编写审查批准审查批准-格式审查格式审查 -内容审查内容审查 -会议评审会议评审51编写前准备编写

26、前准备-确定编写人员及总协调人员确定编写人员及总协调人员 -分配职能权限，确定部门关系分配职能权限，确定部门关系 组织编写组织编写-拟定文件清单拟定文件清单 -确定文件格式，统一风格确定文件格式，统一风格 -制定编写进度表制定编写进度表 -原有资料的收集和分析原有资料的收集和分析 -现状的了解和分析编写现状的了解和分析编写审查批准审查批准-格式审查格式审查 -内容审查内容审查 -会议评审会议评审52对我们公司，文件编写的顺序应该是怎么样的？请举例说明各步骤的内容。1. 设施维护管理程序编写步骤2. 信息安全事件管理程序53方针范围方针范围风险评价风险评价适用性声明适用性声明描述过程：描述过程：

27、5W1H描述任务及具体的活动如何描述任务及具体的活动如何完成完成提供符合提供符合ISMS条款条款4.3.3要求的客观证据要求的客观证据第一层次第一层次第二层次第二层次第三层次第三层次第四层次第四层次安全手册安全手册程程 序序作业指导书作业指导书 检查表、表格检查表、表格记记 录录54n 第一层次（安全手册）：管理框架概要，包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件n 第二层次（程序）：采用的程序，规定实施要求的控制方法。描述安全过程的“WHO、WHY、WHAT、WHEN、WHERE、HOW”以及部门间的控制方法；可以按照ISO27001顺序，也可按照

28、过程顺序；引用下一层次文件55n 第三层次：解释具体任务或活动的细节如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册，等等。n 第四层次（记录）：按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的，或者是各个ISO27001条款隐含的要求。例如：访问者登记簿、审核记录、访问的授权。56对外n 增强顾客信心和满意n 改善对安全方针及要求的符合性n 提高竞争优势对内n 改善总体安全n 管理并减少安全事件的影响n 便利持续改进n 提高员工动力与参与n 提高盈利能力57n 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例n 计算机信息

29、网络国际联网安全管理办法计算机信息网络国际联网安全管理办法n 互联网信息服务管理办法互联网信息服务管理办法n 互联网上网服务营业场所管理条例互联网上网服务营业场所管理条例n 计算机病毒防治管理办法计算机病毒防治管理办法n 互联网电子邮件服务管理办法互联网电子邮件服务管理办法n http:/ n http:/ 58n 计算机信息安全保护等级划分准则(GB 17859-1999)n 计算站场地安全要求(GB 9361-1988)n 信息系统安全等级保护定级指南n 计算机信息系统安全等级保护通用技术要求(GA/T 390-2002)n 计算机信息系统安全等级保护操作系统技术要求(GA/T 388-2

30、002)n 计算机信息系统安全等级保护数据库管理系统技术要求(GA/T 389-2002)n 计算机信息系统安全等级保护网络技术要求(GA/T 387-2002)59nGB/T 20269-2006 GB/T 20269-2006 信息安全技术信息安全技术 信息系统安全管理要求信息系统安全管理要求nGB/T 20270-2006 GB/T 20270-2006 信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求nGB/T 20271-2006 GB/T 20271-2006 信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求nGB/T 20272-200

31、6 GB/T 20272-2006 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求nGB/T 20273-2006 GB/T 20273-2006 信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求nGB/T 20274.1-2006 GB/T 20274.1-2006 信息安全技术信息安全技术 信息系统安全保障评估框架信息系统安全保障评估框架nGB/T 20275-2006 GB/T 20275-2006 信息安全技术信息安全技术 入侵检测系统技术要求和测试评价方法入侵检测系统技术要求和测试评价方法nGB/T 20276-2006 GB/T 2

32、0276-2006 信息安全技术信息安全技术 智能卡嵌入式软件安全技术要求（智能卡嵌入式软件安全技术要求（EAL4EAL4增强级）增强级）nGB/T 20277-2006 GB/T 20277-2006 信息安全技术信息安全技术 网络和终端设备隔离部件测试评价方法网络和终端设备隔离部件测试评价方法nGB/T 20278-2006 GB/T 20278-2006 信息安全技术信息安全技术 网络脆弱性扫描产品技术要求网络脆弱性扫描产品技术要求nGB/T 20279-2006 GB/T 20279-2006 信息安全技术信息安全技术 网络和终端设备隔离部件安全技术要求网络和终端设备隔离部件安全技术要

33、求nGB/T 20280-2006 GB/T 20280-2006 信息安全技术信息安全技术 网络脆弱性扫描产品测试评价方法网络脆弱性扫描产品测试评价方法nGB/T 20281-2006 GB/T 20281-2006 信息安全技术信息安全技术 防火墙技术要求和测试评价方法防火墙技术要求和测试评价方法nGB/T 20282-2006 GB/T 20282-2006 信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求nGB/Z 20283-2006 GB/Z 20283-2006 信息安全技术信息安全技术 保护轮廓和安全目标的产生指南保护轮廓和安全目标的产生指南60如何在

34、信息安全体系建设时体现：n 上兵伐谋，其次伐交，其次伐兵，其下攻城n 知彼知己；因敌制胜n 以逸待劳；无中生有n 抛砖引玉；借刀杀人61n 目标：目标：为保护本公司的相关信息资产，包括软硬件设施、数据、信息的安全，免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失等风险，特制订本政策，以供全体员工共同遵循。n 宣传口号：宣传口号：“信息安全是赢得客户的基础，无破坏零损失是我们的终极目标” “信息安全，人人有责”n 信息安全要求：信息安全要求：信息安全管理委员会是公司信息安全管理的最高机构信息资产应受适当的保护，以防止未经授权的不当存取；应适当保护信息的机密性；确保信息不会在传递的过程中，

35、或因无意间的行为透露给未经授权的第三者；应适当确保信息的完整性，以防止未经授权的窜改；应适当确保信息的可用性，以确保使用者需求可以得到满足；相关的信息安全措施或规范应符合现行法令的要求；尽可能维护、测试企业的灾难恢复与业务持续性计划的可行性；应依其职务、责任对全体员工进行信息安全适当的教育与培训；所有信息安全意外事故或可疑的安全弱点，都应依循适当回报系统向上反应，予以适当调查、处理。621信息资产与风险评估管理要点2信息作业人员安全管理要点3安全区域管理要点4信息设备授权及保护管理要点5资料备份与媒体管理要点6网络与通讯安全管理要点7信息安全文件及记录管理要点8系统开发与维护管理要点9信息安全

36、事件管理要点10信息中心业务持续运营管理要点11第三方信息作业管理要点12办公室信息作业环境管理要点13信息安全自行检查作业实施要点14变更管理要点15信息交换作业管理要点16信息安全组织设置要点17信息策略委员会设置要点18部门电脑作业管理要点19带出/远程电脑作业管理要点20个人资料档案安全维护计划63n 业务持续性管理程序n 事故、薄弱点与故障管理程序n 企业商业技术秘密管理程序n 信息处理设施引进实施管理程序n 信息处理设施维护管理程序n 信息安全人员考察与保密管理程序n 信息安全奖励、惩戒管理规定n 信息安全适用性声明n 信息安全风险评估管理程序n 内部审核管理程序n 恶意软件控制程

37、序信息安全管理体系程序文件n 更改控制程序n 物理访问程序n 用户访问控制程序n 管理评审控制程序n 系统开发与维护控制程序n 系统访问与使用监控管理程序n 计算机应用管理岗位工作标准n 计算机管理程序n 记录控制程序n 重要信息备份管理程序n 预防措施程序64n 令牌(Token)管理规定n 产品运输保密方法管理规定n 介质销毁办法n 保安业务管理规定n 信息中心主机房管理制度n 信息中心信息安全处罚规定n 信息中心密码管理规定n 信息安全人员考察与保密管理程序n 信息开发岗位工作标准n 信息系统访问权限说明信息安全管理体系作业文件n 信息销毁制度(档案室）n 可移动媒体使用与处置管理规定n

38、 各部门微机专责人工作标准n 复印室管理规定n 工程师室和电子间管理规定n 数据加密管理规定n 文件审批表n 机房安全管理规定n 档案室信息安全职责n 法律法规与符合性评估程序65n 生产经营持续性管理战略计划n 监视系统管理规定n 系统分析员岗位工作标准n 经营部信息事故处理规定n 经营部信息安全岗位职责规定n 经营部计算机机房管理规定n 经营部访问权限说明n 网站信息发布管理程序n 网络中间设备安全配置管理规定n 网络通信岗位工作标准信息安全管理体系作业文件n 计算机硬件管理维护规定n 财务管理系统访问权限说明n 远程工作控制程序66n 上级单位领导来访登记表n 事故调查分析及处理报告n

39、信息发布审查表n 信息处理设施使用情况检查表n 信息安全内部顾问名单n 信息安全外部专家名单n 信息安全故障处理记录n 信息安全法律、法规清单n 信息安全法律、法规符合性评价报告n 信息安全薄弱点报告常见信息安全管理体系记录n 信息安全记录一览表n 信息安全重要岗位评定表n 信息设备转交使用记录n 信息设备转移单n 信息设备（设施）软件采购申请n 信息资产识别表n 内部员工访问特别安全区域审批表n 外部网络访问授权登记表n 应用软件开发任务书n 应用软件测试报告67n 操作系统更改技术评审报告n 敏感重要信息媒体处置申请表n 文件修改通知单n 文件借阅登记表n 文件发放回收登记表n 文件销毁记

40、录表n 时钟校准记录n 机房值班日志n 机房出入登记表n 生产经营持续性管理战略计划常见信息安全管理体系记录n 生产经营持续性管理计划n 生产经营持续性计划测试报告n 生产经营持续性计划评审报告n 用户设备使用申请单n 用户访问授权登记表an 用户访问授权登记表bn 监控活动评审报告n 私人信息设备使用申请单n 第三方访问申请授权表an 第三方访问申请授权表b68n 系统测试计划n 网络打印机清单n 计算机信息网络系统容量规划n 记录借阅登记表n 记录销毁记录表n 设备处置再利用记录n 设施系统更改报告n 访问权限评审记录n 软件安装升级申请表n 软件设计开发方案常见信息安全管理体系记录n 软

41、件设计开发计划n 软件验收报告n 远程工作申请表n 重要信息备份周期一览表69n 安全监控策略n 安全培训策略n 备份安全策略n 便携式计算机安全策略n 病毒检测策略n 电子邮件策略n 服务器加强策略n 更改管理安策略n 互联网使用策略n 口令策略n 卖方访问策略n 入侵检测策略n 软件注册策略n 事故管理策略n 特权访问管理策略n 网络访问策略n 网络配置安全策略n 物理访问策略n 系统开发策略n 信息资源保密策略n 信息资源使用策略n 帐号管理策略70编写前准备编写前准备-确定编写人员及总协调人员确定编写人员及总协调人员 -分配职能权限，确定部门关系分配职能权限，确定部门关系 责任部门责任

42、部门 协助部门协助部门总经理管理者代表管理部技术部生产部4.14.2/4.35.15.2671组织编写组织编写-拟定文件清单拟定文件清单列出文件清单及相应的拟制列出文件清单及相应的拟制, ,审核审核, ,批准责任人批准责任人 序号标准条款文件名称拟制审核批准14.3.3文件控制程序管理部管理者代表总经理72序号 标准条款二层文件名称三层文件相关记录14.3.3文件控制程序文件编号规定文件清单文件分发、回收记录文件修改单文件审批单73整合体系中可以合并的程序文件整合体系中可以合并的程序文件文件控制文件控制记录控制记录控制内审内审不合格（品）控制不合格（品）控制纠正措施纠正措施预防措施预防措施管理

43、评审管理评审人力资源人力资源目标指标管理办法目标指标管理办法设施维护设施维护采购过程采购过程与客户相关的过程与客户相关的过程74体系文件的审核应注意以下内容：体系文件的审核应注意以下内容：1 各层次文件之间的有关规定和要求应一致；各层次文件之间的有关规定和要求应一致；2 活动的接口应适当、明确、衔接合理；活动的接口应适当、明确、衔接合理；3 活动描述应具有可操作性，切实可行；活动描述应具有可操作性，切实可行；4 文字表述应准确，有无含糊不清之处；文字表述应准确，有无含糊不清之处；5 相关体系文件之间的规定、描述应一致；相关体系文件之间的规定、描述应一致；6 文件格式应符合要求，文件之间应统一。文件格式应符合要求，文件之间应统一。