奔烁热线:152-2175-9315
首页 > ISO27000认证 > ISO27000认证体系信息安全方针制定策略ISO27000认证体系信息安全方针制定策略
文章来源:深圳华道咨询公司 添加时间:2018/9/4
1.目的
ISO27000信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。
2.范围
本文件适用于公司ISO27001信息安全管理体系涉及的所有人员和过程。
3.定义
信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性,不可否认性和可靠性等特性。
信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,使业务风险最小化,投资回报和商业机遇人性化。
4.信息安全方针
公司信息安全方针:
群策群力、共筑安全;坚持持续改进,完善安全措施,提高用户信任度
5.安全管理机构
根据ISO/IEC27001:2013的要求,为确保信息安全工作有一个明确的方向和获得管理者支持,公司设立信息安全管理小组,作为公司信息安全管理机构进行日常运作,信息安全管理小组是本公司信息安全管理工作的最高领导机构。
(1)信息安全管理小组的主要工作
信息安全管理小组主要工作为:在信息安全管理小组组长的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对员工进行培训。具体工作如下:
(2)信息安全管理小组的组织构成
信息安全管理小组组长由公司总经理任命,公司副总经理兼任;小组成员包括:
a.信息安全管理小组组长
b.管理者代表
c.公司各部门领导
d.IT服务部
e.公司各部门的信息安全员
6.职责
(1)信息安全管理小组组长职责
信息安全管理小组组长职责:
a.组织制定信息安全方针和总体职责,并进行审批
b.审批信息安全的特殊方法和进程,如风险评估方法等
c.审批加强信息安全的重大举措
d.向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性
e.授权管理者代表主持ISMS的管理评审
f.提供开发、实施、运行和维护ISMS所需的足够的资源
g.协调公司信息安全管理体系(ISMS)、公司质量管理体系和公司其他规章制度之间的关系
h.决定可接受的风险级别
(2)管理者代表职责
管理者代表职责:
a.协助最高管理者建立、维持和改进信息安全管理体系
b.具体组织实施信息安全管理工作计划的实施
c.向最高管理者报告信息安全管理工作,包括信息安全管理业绩以及改进的需要
d.确保在整个公司提高对顾客要求的认识
e.协助解决最高管理者交办的有关信息安全管理体系的重大事项
f.监督协调信息安全体系中各项工作
g.主持ISMS的管理评审,跟踪落实管理评审的结果
h.信息安全体系与外部的有关联络事宜
(3)各部门领导职责
各部门领导职责:
a.组织人员对本部门所管理的(包括本公司的和相关方提供的)信息资产的类型进行分类,并进行资产登记
b.组织人员对本部门所管理的关键信息资产进行风险评估,识别其所受的威胁、敏感级别(密级信息按其所受的危险程度,可依次分为:绝密→机密→秘密→敏感→一般)、风险级别(资产按其所受的危险程度,可依次分为:很高→高→较高→一般→低)、脆弱性和潜在的影响,并制定与其相适应的控制措施。
c.向部门员工说明本领域的信息安全管理要求
d.确保其所在部门的每一位员工都遵守公司信息安全管理规定
(4)IT服务部职责
IT服务部职责:
a.根据公司员工的IT保障,负责公司全体员工的桌面维护,实现为员工提供统一的服务台,为员工解答各类IT问题及处理各类IT故障及请求
b.依据公司的数据安全要求,负责公司重要数据的备份工作,实现保障公司重要数据的存储
c.依据公司的管理要求,负责各IT环境(如应用系统、公司网络、电话、会议室、打印机、复印机等)的维护,实现为员工提供一个稳定、便捷的工作环境
d.依据公司发展要求及各业务部门的需求,负责各IT资源需求调研,规划、环境搭建(如服务器、存储、操作系统、数据库的安装)及人员技能培训,实现满足各业务发展需要几生产环境的保障
e.依据公司各应用系统的权限要求,负责各应用系统的用户管理及权限管理,实现用户权限的有效控制,保障公司数据的保密性
(5)信息安全员职责
信息安全员职责:
a.按信息安全管理要求,保护所在部门的信息资产的安全
b.对本部门员工进行信息安全管理规定的培训和指导
c.联系相关技术人员对员工信息安全提供技术支持
d.对于信息安全被危及的任何迹象,或信息可能被泄露或损毁的任何可疑活动和行为,向信息安全管理小组报告
... ...
ISO27000信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。
2.范围
本文件适用于公司ISO27001信息安全管理体系涉及的所有人员和过程。
3.定义
信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性,不可否认性和可靠性等特性。
信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,使业务风险最小化,投资回报和商业机遇人性化。
4.信息安全方针
公司信息安全方针:
群策群力、共筑安全;坚持持续改进,完善安全措施,提高用户信任度
5.安全管理机构
根据ISO/IEC27001:2013的要求,为确保信息安全工作有一个明确的方向和获得管理者支持,公司设立信息安全管理小组,作为公司信息安全管理机构进行日常运作,信息安全管理小组是本公司信息安全管理工作的最高领导机构。
(1)信息安全管理小组的主要工作
信息安全管理小组主要工作为:在信息安全管理小组组长的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对员工进行培训。具体工作如下:
(2)信息安全管理小组的组织构成
信息安全管理小组组长由公司总经理任命,公司副总经理兼任;小组成员包括:
a.信息安全管理小组组长
b.管理者代表
c.公司各部门领导
d.IT服务部
e.公司各部门的信息安全员
6.职责
(1)信息安全管理小组组长职责
信息安全管理小组组长职责:
a.组织制定信息安全方针和总体职责,并进行审批
b.审批信息安全的特殊方法和进程,如风险评估方法等
c.审批加强信息安全的重大举措
d.向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性
e.授权管理者代表主持ISMS的管理评审
f.提供开发、实施、运行和维护ISMS所需的足够的资源
g.协调公司信息安全管理体系(ISMS)、公司质量管理体系和公司其他规章制度之间的关系
h.决定可接受的风险级别
(2)管理者代表职责
管理者代表职责:
a.协助最高管理者建立、维持和改进信息安全管理体系
b.具体组织实施信息安全管理工作计划的实施
c.向最高管理者报告信息安全管理工作,包括信息安全管理业绩以及改进的需要
d.确保在整个公司提高对顾客要求的认识
e.协助解决最高管理者交办的有关信息安全管理体系的重大事项
f.监督协调信息安全体系中各项工作
g.主持ISMS的管理评审,跟踪落实管理评审的结果
h.信息安全体系与外部的有关联络事宜
(3)各部门领导职责
各部门领导职责:
a.组织人员对本部门所管理的(包括本公司的和相关方提供的)信息资产的类型进行分类,并进行资产登记
b.组织人员对本部门所管理的关键信息资产进行风险评估,识别其所受的威胁、敏感级别(密级信息按其所受的危险程度,可依次分为:绝密→机密→秘密→敏感→一般)、风险级别(资产按其所受的危险程度,可依次分为:很高→高→较高→一般→低)、脆弱性和潜在的影响,并制定与其相适应的控制措施。
c.向部门员工说明本领域的信息安全管理要求
d.确保其所在部门的每一位员工都遵守公司信息安全管理规定
(4)IT服务部职责
IT服务部职责:
a.根据公司员工的IT保障,负责公司全体员工的桌面维护,实现为员工提供统一的服务台,为员工解答各类IT问题及处理各类IT故障及请求
b.依据公司的数据安全要求,负责公司重要数据的备份工作,实现保障公司重要数据的存储
c.依据公司的管理要求,负责各IT环境(如应用系统、公司网络、电话、会议室、打印机、复印机等)的维护,实现为员工提供一个稳定、便捷的工作环境
d.依据公司发展要求及各业务部门的需求,负责各IT资源需求调研,规划、环境搭建(如服务器、存储、操作系统、数据库的安装)及人员技能培训,实现满足各业务发展需要几生产环境的保障
e.依据公司各应用系统的权限要求,负责各应用系统的用户管理及权限管理,实现用户权限的有效控制,保障公司数据的保密性
(5)信息安全员职责
信息安全员职责:
a.按信息安全管理要求,保护所在部门的信息资产的安全
b.对本部门员工进行信息安全管理规定的培训和指导
c.联系相关技术人员对员工信息安全提供技术支持
d.对于信息安全被危及的任何迹象,或信息可能被泄露或损毁的任何可疑活动和行为,向信息安全管理小组报告
... ...
您可能还想看