ISCCCISMS审核员教程案例练习册.docx

ISCCCISMS审核员教程案例练习册.docx

《ISCCCISMS审核员教程案例练习册.docx》由会员分享，可在线阅读，更多相关《ISCCCISMS审核员教程案例练习册.docx（51页珍藏版）》请在冰豆网上搜索。

ISCCCISMS审核员教程案例练习册

中国信息安全认证中心

ISMS审核员培训教程

学员案例练习册

（v1.0）

2017年8月

目录

第一部分案例2

1某某公司介绍2

2某某公司ISMS文件3

第二部分练习27

1练习一：

确定审核范围27

2练习二：

编制审核方案和审核计划28

3练习三：

风险评估评审29

4练习四：

编制检查表30

5练习五：

判断不符合项31

第一部分案例

1某某公司介绍

位于北京上地信息产业园区的某某数据科技有限公司成立于2000年8月，总投资3000万元人民币。

公司主要业务是为行业用户提供数据加工服务，包括：

●大批量纸介质数据的电子化

●加工制作数字化报刊和电子图书

●大批量电子数据的格式转换

●定制开发电子数据阅读器

某某公司凭借自主知识产权的OCR、数据格式化等核心技术，已经成为国内外领先的的专业数据加工企业。

目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。

公司现有员工1200人，设有7个职能部门，实行董事会领导的总经理负责制。

各职能部门主要职责如下：

1）生产部：

按照客户要求，负责数据加工生产，是公司核心业务部门。

2）质量保证部：

负责数据加工生产过程中的品质保证，ISO9001质量管理体系和GB/T22080-2008/ISO/IEC27001:

2005信息安全管理体系的运行。

3）IT部：

负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。

公司IT系统的建设和运行维护。

4）市场营销部：

制定和实施营销策略，开发客户，实现销售。

5）财务部：

财务计划的制定和实施，日常结算、税务等会计业务。

6）行政部：

负责公司后勤保障和日常运行事务。

7）人力资源部：

制定和实施人力资源计划，包括人员招聘、绩效考核、岗位职责定义。

2某某公司ISMS文件

部分某某公司ISMS文件如下。

2.1ISMS方针

信息安全管理体系方针

1目的和适用范围

信息安全管理体系方针指明了公司的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。

此外，本文件还描述了公司的信息安全管理体系的范围。

本文件适用于公司信息安全管理体系涉及的所有人员和过程。

2信息安全定义

公司对信息安全的定义是：

保证公司业务所依赖的信息和信息系统的保密性，完整性，可用性；

3信息安全方针和目标

公司信息安全方针为：

积极预防、及时发现、快速响应、确保安全。

公司的信息安全目标是：

满足已识别的信息安全要求，包括法律法规、客户与相关方和公司业务要求，具体目标包括：

1商业秘密信息泄漏事故为零。

2引起公司主要产品研发与生产中断时间累计不能超过1小时/年。

3引起公司主要产品研发与生产中断事故发生次数小于3次/年。

4信息安全管理机构

为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持，公司设立信息安全领导小组，负责：

1制定信息安全方针和目标；

2建立公司信息安全角色和职责

3提供公司ISMS所需要的资源；

4领导建立和实施公司ISMS；

5监督和检查公司信息安全工作；

6制定和实施信息安全工作的奖惩政策。

5职责

公司的最高管理者负责建立和评审此文件。

公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。

公司所有员工及其合约供货商必须按照相应的程序，维护此方针，所有员工有责任报告信息安全事件，以及识别信息安全风险。

6重要原则和符合性要求

公司所有员工应明确，在信息安全方面满足以下原则和符合以下要求是必须的：

1）法律法规和合同要求的符合性

2）信息安全安全意识

3）遵守公司所有信息安全策略和操作规程

7评审

本文件需要定期被评审，12个月内评审一次，当信息安全管理体系发生重大变化时，也应评审，以维持其适用性。

信息安全领导小组负责本文件的评审。

8实施

本方针自2006年5月15日由公司总经理签署并颁布实施。

2.2适用声明（SOA）

适用性声明

1目的

为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档，制定此文件。

2范围

本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。

3适用性声明

条款

目标

控制措施

是否选择/及理由

A.5安全方针

A.5.1信息安全方针

A.5.1.1

信息安全方针文件

依据业务要求和相关法律法规提供管理指导并支持信息安全。

信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。

选择

信息安全工作要求所确定，见《信息安全管理体系方针》。

A.5.1.2

信息安全方针的评审

应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。

选择

信息安全工作要求所确定，见《信息安全管理体系方针》。

A.6信息安全组织

A.6.1内部组织

A.6.1.1

信息安全的管理承诺

在组织内管理信息安全。

管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责分配及确认，来积极支持组织内的安全。

选择

？

？

？

？

A.6.1.2

信息安全协调

信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行协调。

选择，风险评估结果所确定，见《信息安全管理体系方针》。

A.6.1.3

信息安全职责的分配

所有的信息安全职责应予以清晰地定义。

选择，？

？

，见《信息安全岗位职责描述》。

A.6.1.4

信息处理设施的授权过程

新信息处理设施应定义和实施一个管理授权过程。

选择，（写进信息安全策略）

A.6.1.5

保密性协议

应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的要求。

选择，满足客户合同和公司的要求，见《保密制度》。

A.6.1.6

与政府部门的联系

应保持与政府相关部门的适当联系。

选择，？

？

，见《对外联络表》。

A.6.1.7

与特定权益团体的联系

应保持与特定权益团体、其他安全专家组和专业协会的适当联系。

选择，获取行业信息，见《对外联络表》。

A.6.1.8

信息安全的独立评审

组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过程和程序）应按计划的时间间隔进行独立评审，当安全实施发生重大变化时，也要进行独立评审。

选择，根据业务需要适时进行安全机构的第三方独立评审，见《信息安全策略》。

A.6.2外部各方

A.6.2.1

与外部各方相关风险的识别

保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险，并在允许访问前实施适当的控制措施。

选择，，见《信息安全策略》。

A.6.2.2

处理与顾客有关的安全问题

应在允许顾客访问组织信息或资产之前处理所有确定的安全要求。

选择，，见《信息安全策略》。

A.6.2.3

处理第三方协议中的安全问题

涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第三方协议，或在信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求。

选择，，见《信息安全策略》。

A.7资产管理

A.7.1资产责任

实现和保持对组织资产的适当保护。

A.7.1.1

资产清单

应清晰的识别所有资产，编制并维护所有重要资产的清单。

选择，，见《重要信息资产清单》。

A.7.1.2

资产责任人

与信息处理设施有关的所有信息和资产应由组织的指定部门或人员承担责任。

选择，，见《重要信息资产清单》。

A.7.1.3

资产的允许使用

与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件并加以实施。

选择，，见《管理手册》。

A.7.2信息分类

A.7.2.1

分类指南

确保信息受到适当级别的保护。

信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。

选择，，见《重要信息资产清单》见《风险评估》。

A.7.2.2

信息的标记和处理

应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处理程序。

选择，，见《信息安全策略》。

A.8人力资源安全

A.8.1任用之前

A.8.1.1

角色和职责

确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降低设施被窃、欺诈和误用的风险。

雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。

选择，，见《信息安全岗位职责描述》。

A.8.1.2

审查

关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。

选择，，见《人员情况调查表》。

A.8.1.3

任用条款和条件

作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件，这些条款和条件要声明他们和组织的信息安全职责。

选择，，见《人员招聘简章》。

A.8.2任用中

A.8.2.1

管理职责

确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。

管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力。

选择，，见《信息安全管理体系方针》与《信息安全管理体系职责描述》。

A.8.2.2

信息安全意识、教育和培训

组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。

选择，，见《信息安全管理体系方针》。

A.8.2.3

纪律处理过程

对于安全违规的雇员，应有一个正式的纪律处理过程。

选择，，见《管理手册》。

A.8.3任用的终止或变化

A.8.3.1

终止职责

确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。

任用终止或任用变化的职责应清晰的定义和分配。

选择，，见《管理手册》。

A.8.3.2

资产的归还

所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产。

选择，，见《管理手册》。

A.8.3.3

撤销访问权

所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整。

选择，，见《管理手册》。

A.9物理和环境安全

A.9.1安全区域

A.9.1.1

物理安全边界

防止对组织场所和信息的未授权物理访问、损坏和干扰。

应使用安全边界（诸如墙、卡控制的入口或有人管理的接待台等屏障）来保护包含信息和信息处理设施的区域。

选择，，见《工作场所出入管理规定》。

A.9.1.2

物理入口控制

安全区域应由适合的入口控制所保护，以确保只有授权的人员才允许访问。

选择，，见《工作场所出入管理规定》。

A.9.1.3

办公室、房间和设施的安全保护

应为办公室、房间和设施设计并采取物理安全措施。

选择，见《工作场所出入管理规定》。

A.9.1.4

外部和环境威胁的安全防护

为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏，应设计和采取物理保护措施。

选择，见《突发情况应急方案（管理手册）》。

A.9.1.5

在安全区域工作

应设计和运用用于安全区域工作的物理保护和指南。

选择，，见《机房管理规定》。

A.9.1.6

公共访问、交接区安全

访问点（例如交接区）和未授权人员可进入