信息安全管理政策 V1.docx
- 文档编号:7246511
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:17
- 大小:72.02KB
信息安全管理政策 V1.docx
《信息安全管理政策 V1.docx》由会员分享,可在线阅读,更多相关《信息安全管理政策 V1.docx(17页珍藏版)》请在冰豆网上搜索。
信息安全管理政策V1
信息安全政策
版本
日期
修改内容
制/修订者
核准者
1.
目的
确保本公司信息安全管理系统执行之有效性,使信息安全政策、信息安全目标与信息安全各流程清楚展现与说明。
2.适用范围
信息安全管理系统所涵盖范围:
XXXXX之所有部门均适用。
3.定义
无
4.权责
4.1信息安全管理会议主席:
资安总干事
4.2信息安全管理会议通知:
资安组组员
4.3信息安全管理会议纪录:
各组组员
4.4信息安全管理会议出席人员:
厂长与各部门主管
5.流程图
无
6.作业内容
6.1本公司简介
6.1.1组织名称:
XXX
6.1.2组织地址:
XXX
6.1.3连络电话:
XXX
6.1.4传真号码:
XXX
6.1.5员工人数:
XXX名
6.2范围:
本手册之内容与规定事项均适用于本公司信息部门所有服务(本公司排除电子商务及在线交易两项服务在ISMS系统范围内),从计算机机房之数据管理、网络资源服务、提供信息系统开发及办公室信息安全管理,均依循ISO27001:
2005年版之信息安全管理系统之标准要求。
6.3信息安全政策:
6.3.1公司信息部门(以下简称本部门)为强化信息安全管理、增进同仁对信息安全之认知,并确保数据、系统、设备与网络安全,特订定本政策:
透过全员持续不断的努力,展开信息安全的作为,确保在本公司营运范围中所涉及的信息资产得到有效的保护。
6.3.2为统筹信息安全管理等事项之协调及推动,成立信息安全工作小组,该小组之幕僚作业由资安组负责。
6.3.3依下列分工原则,配赋有关单位及人员权责:
6.3.3.1信息安全管理政策、计划及规范之研议、建置及评估等事项,由本公司资安组负责办理。
6.3.3.2数据及信息系统之安全需求研议、管理及保护等事项,由本公司各业务单位负责办理。
6.3.3.3信息机密维护及安全稽核等事项,由本公司资安组会同相关单位负责办理。
6.3.4本政策之范围如下,有关单位及人员应就下列事项订定相关管理规范或实施计划,并定期评估实施成效:
6.3.4.1信息安全本公司人员管理及信息安全教育训练。
6.3.4.2计算机系统安全管理。
6.3.4.3网络安全管理。
6.3.4.4系统存取控制。
6.3.4.5系统发展及维护安全管理。
6.3.4.6信息资产安全管理。
6.3.4.7实体及环境安全管理。
6.3.4.8信息安全事故管理。
6.3.4.9业务永续运作计划之规划与管理。
6.3.4.10信息安全政策之适用性。
6.3.5人员管理及信息安全教育训练
6.3.5.1对信息相关职务及工作,应进行安全评估,并于人员任用、工作及任务指派时,审慎评估人员之适任性,并进行必要的考核。
6.3.5.2管理、业务及信息等不同工作类别之需求,定期办理信息安全教育训练及倡导,建立同仁信息安全认知,提升信息安全水平。
6.3.6计算机系统安全管理
6.3.6.1办理信息业务委外作业,应于事前研提信息安全需求,明订厂商之信息安全责任及保密规定,并列入契约,要求厂商遵守并定期考核。
6.3.6.2依相关法规或契约规定复制及使用软件,并建立软件使用管理制度。
6.3.6.3实行必要的事前预防及保护措施,侦测及防止计算机病毒及其它恶意软件,确保系统正常运作。
6.3.7网络安全管理
6.3.7.1开放外界连线作业之信息系统,应视数据及系统之重要性及价值,采用数据加密、身分鉴别及防火墙等不同安全等级之技术或措施,防止数据及系统被侵入、破坏、窜改、删除及XX之存取。
6.3.7.2与外界网络连接之网点,应以防火墙及其它必要安全设施,控管外界与内部网络之数据传输与资源存取。
6.3.7.3利用因特网及全球信息网公布及流通信息,应实施数据安全监控,机密性、敏感性及未经当事人同意之个人隐私资料及文件,不得上网公布。
6.3.7.4订定电子邮件使用规定,机密性数据及文件不得以电子邮件或其它电子方式传送。
6.3.8系统存取控制
6.3.8.1系统存取应依人员职务或角色,订定相关权限。
6.3.8.2离(调)职人员,应取消各项信息资源之所有权限,并列入离(调)职之必要手续。
人员职务调整及调动,应依系统存取授权规定,限期调整其权限。
6.3.8.3建立系统使用者注册管理制度,加强使用者通行密码管理,使用者通行密码之更新周期,最长以不超过六个月为原则。
6.3.8.4对系统服务厂商以远程登入方式进行系统维修者,应加强安全控管,课其相关安全保密责任。
6.3.8.5建立信息安全稽核制度,定期或不定期进行信息安全稽核作业。
6.3.9系统发展及维护安全管理
6.3.9.1自行开发或委外发展系统,应在系统生命周期之初始阶段,即将信息安全需求纳入考虑;系统之维护、更新、上线执行及版本异动作业,应予安全管制,避免不当软件、暗门及计算机病毒等危害系统安全。
6.3.9.2对厂商之软硬件系统建置及维护人员,应规范及限制其可接触之系统与数据范围,并严禁核发长期性之系统辨识码及通行密码。
如基于实际作业需要,得核发短期性及临时性之系统辨识及通行密码供厂商使用,但使用完毕后应立即取消其使用权限。
6.3.9.3委托厂商建置及维护重要之软硬件设施,应在本公司相关人员同意后始得为之,并且会以监控系统监测委外厂商之行为。
6.3.10信息资产安全管理
6.3.10.1建立与信息系统有关的信息资产清册,订定信息资产的项目、拥有者及信息资产分类等。
6.3.10.2已列入信息资产安全分类的信息及系统之输出数据,应标示适当的安全等级以利使用者遵循。
6.3.11实体及环境安全管理:
就设备安置、周边环境及人员进出管制等,订定实体及环境安全管理措施。
6.3.12信息安全事故管理
6.3.12.1各项信息安全活动或服务过程之意外与紧急事故鉴定。
6.3.12.2信息安全紧急事故通报。
6.3.12.3信息安全意外与紧急事故应变之测试。
6.3.12.4持续监控、管理及改善信息安全。
6.3.13业务永续运作计划之规划与管理
6.3.13.1订定业务永续运作计划,评估各种人为及天然灾害对业务运作之影响,订定紧急应变及回复作业程序及相关人员之权责,并定期演练及调整更新计划。
6.3.13.2建立信息安全事件紧急处理机制,在发生信息安全事件时,应依规定之处理程序,立即向信息单位或人员通报,采取反应措施。
6.3.14本政策应至少每年评估一次,以反映政府法令、技术及业务等最新发展现况,确保信息安全实务作业之有效性。
6.3.15本信息安全管理政策由信息部门主管核可后实施,修正时亦同。
6.4本公司架构:
6.5信息安全政策制(修)订、废止、分发及管制规定:
6.5.1信息安全政策之制(修)订、废止流程依照「文件数据与纪录管理程序」规定办理。
6.5.1.1制(修)订、废止提案:
资安组组员。
6.5.1.2制(修)订、废止审查:
资安组组长
6.5.1.3制(修)订、废止核准:
主任委员。
6.5.2信息安全政策之分发及管制规定流程依照「文件数据与纪录管理程序」规定办理。
6.5.2.1信息安全政策采用电子发行,所以文件经核准后,文件管制人员应将电子文件转成PDF文件,上传到内部网站后,再以E-mail通知文件权责相关同仁,自行到内部网站确认文件内容。
6.5.2.2本手册不得任意影印,若因服务或倡导信息安全需求,需由主管核准发送。
6.6信息安全系统模式:
6.7信息安全管理系统文件展开表:
项目
文件名称
单位名称
文件编码
1
信息安全政策
6X1-001
2
存取控制管理程序
6X2-001
3
系统开发、验收与维护管理程序
6X2-002
4
账号及密码控制管理程序
6X2-003
5
信息委外服务管理程序
6X2-004
6
电子传输管理程序
6X2-005
7
网络安全管理程序
6X2-006
8
风险评鉴管理程序
6X2-007
9
法律法规评估管理程序
6X2-008
10
持续改善管理程序
6X2-009
11
信息资产管理程序
6X2-010
12
信息安全纠正与预防措施程序
6X2-011
13
资安事件通报及危机处理管理程序
6X2-012
14
实体与环境安全管理程序
6X2-013
15
合约审查程序
6X2-014
16
行动信息媒体管理程序
6X2-015
17
营运持续管理程序
6X2-016
18
信息安全管理审查程序
6X2-017
19
信息安全稽核管理程序
6X2-018
20
信息安全沟通管理程序
6X2-019
21
人员任用与解职管理程序
沿用以前
22
文件数据与记录管制程序
沿用以前
23
协力厂商管理程序
沿用以前
6.8信息安全管理系统叙述:
6.8.1简介
6.8.1.1概述
ISO27001之制定系为提供用以建立、实施、操作、监控、审查、维持及改进信息安全管理系统(InformationSecurityManagementSystem,ISMS)而准备。
采用ISMS宜为本公司的策略性决策(strategicdecision)。
本公司的ISMS之设计与实作受其需求、目标、安全标准、采用的过程,以及本公司规模与架构所影响。
ISO27001适用于有利益相关之内部与外部团体,藉以评鉴符合性。
6.8.1.2过程导向
ISO27001倡导采用过程导向(作法),以建立、实施、操作、监控、审查、维护及改进本公司的ISMS。
ISO27001所展现之信息安全管理的过程导向(作法),强调下列事项之重要性:
(a)了解本公司信息安全要求以及建立信息安全之政策与目标的需求。
(b)实行及操作管制以管理本公司整体商业风险中之信息安全风险。
(c)控管及审查ISMS绩效与有效性。
(d)根据目标之测量以持续改善。
6.8.1.3与其它管理系统之兼容性
ISO27001与ISO9001:
2008及ISO14001:
2004结合,并和其它管理标准有一致性的执行及操作过程。
6.8.2适用范围
6.8.2.1概述
ISO27001是建立、实施、操作、监控、审查、维持及改善ISMS要求的文件。
并规范针对个别组织或部分单位在施行量身打造安全管制时应有之要求。
ISMS是设计来确保已选择足够及相称的安全控管机制,以保护信息资产及巩固利益团体的信心。
6.8.2.2应用
ISO27001所设立之要求均为一般性,预期使用于所有不同种类、规模及性质的组织。
XX公司声明符合ISO27001时,排除任何在条文第4节至第8节之声明,将不被接受。
任何必须满足风险接受标准管制之排除,必须有合理理由并提供证据证明负责人员已可承受相关风险。
当排除任何控制措施时,这些排除应不会影响组织的能力及/或职责,并符合风险评估的标准及相关法令法规标准之信息安全,否则声明符合ISO27001时,均不被接受。
6.8.2.3引用标准
下列参考文件对ISO27001之应用是不可或缺的。
过期的参考文献,只可做为引用参考。
而更新的参考文献,需使用最新版本之参考文件(包含任何修改)。
6.8.3用语释义
6.8.3.1资产(asset)
对组织有价值的任何事物。
6.8.3.2可用性(availability)
在授权核可要求下,得以存取及使用之特性。
6.8.3.3机密性(confidentiality)
信息不可用或不揭露给XX之个人、个体或过程的性质。
6.8.3.4信息安全(informationsecurity)
信息的机密性、完整性及可用性的保存,也包含其它特性如确实性、责任区分、不可否认性及可信赖性。
6.8.3.5信息安全事件(informationsecurityevent)
一个确定发生的系统、服务或网络状态的事件,可能代表信息安全策略的违背、保护机制的失效或者可能是安全相关的一种以前未知的情势。
6.8.3.6信息安全事故(informationsecurityincident)
单一或一系列有害的及非预期的信息安全事件,有危及企业营运及威胁信息安全的重大事件。
6.8.3.7信息安全管理系统(InformationSecurityManagementSystem,ISMS)
整体管理系统的一部分,根据企业风险管理,用以建立、实施、操作、监控、审查、维持及改善信息安全。
备注:
管理系统包括组织架构、政策、计划活动、责任、实务、程序、过程及资源。
6.8.3.8完整性(integrity)
防护资产正确性与完整性的特性。
6.8.3.9残余风险(residualrisk)
风险处理后所剩余的风险。
6.8.3.10风险接受(riskacceptance)
决定接受某风险。
6.8.3.11风险分析(riskanalysis)
有系统的使用信息,以鉴别及预测风险。
6.8.3.12风险审查(riskassessment)
风险分析与评估的整体过程。
6.8.3.13风险评估(riskevaluation)
比较已评估之风险和已知风险评估参数的过程,以决定风险的严重程度。
6.8.3.14风险管理(riskmanagement)
管理和控制组织风险的协调活动。
6.8.3.15风险处理(risktreatment)
为改变风险,选择与实施有效控制之过程。
6.8.3.16适用性声明(statementofapplicability)
描述管制目标及可实行至组织ISMS之管制的书面化声明。
6.8.4信息安全管理系统
6.8.4.1一般要求
在营运风险背景里,本公司为达到ISMS要求,展开系统需要之文件架构,并在本公司建立、实施、操作、监控、审查、维持风险评估机制及改善文件化的ISMS架构。
6.8.4.2建立与管理ISMS
6.8.4.2.1建立ISMS
本公司有执行下列事项:
(a)就本公司服务特性、组织、地点、资产及技术,界定ISMS之范围和分界,包含范围外的细节和理由。
(b)就本公司服务特性、组织、地点、资产及技术,界定ISMS政策,如:
(1)基于信息安全,包含一个设定目标和建立整体方向的认知、行动之准则架构。
(2)需考虑组织与法律法规要求,以及合约的安全责任。
(3)和本公司策略面的风险管理背景结合,以建立和维持ISMS。
(4)建立标准以评估风险。
(5)已由管理阶层核准。
备注:
ISO27001之目的,ISMS政策被视为信息安全政策的超集。
这些政策可说明于文件中。
(c)辨识本公司的风险评估计划:
(参照:
信息安全风险评鉴管理程序)
(1)鉴别适合ISMS的风险评估方法及鉴别本公司信息安全、法律及法规要求。
(2)发展接受风险的标准及鉴别风险之可接受程度。
所选择的风险评估方法应确保风险评估会产生可比较及再制的结果。
(d)鉴别风险:
(参照:
信息安全风险评鉴管理程序)
(1)鉴别ISMS范围内之资产及资产拥有者。
(2)鉴别这些资产的威胁。
(3)鉴别可能被威胁所妨碍的弱点。
(4)鉴别资产机密性、完整性及可用性之损失所会造成的冲击。
备注:
「拥有者」表示单一个体或实体对于资产安管理责任,需管制资产的生产、发展、维护、使用及安全。
「拥有者」并不表示实际拥有资产财产权之人。
(e)风险的分析及评估:
(参照:
信息安全风险评鉴管理程序)
(1)取得可能会对组织造成安全失效的服务面冲击,包含资产的机密性、完整性及有效性的损失。
(2)评估因主要威胁及弱点所产生的安全失效实际的可能性、对相关资产的冲击及现行实施的管制措施。
(3)预估风险等级。
(4)判断风险是否可接受或是否需要接受其它标准来进行处理。
(f)鉴别及估算风险处理之选项。
可行的行动包括:
(参照:
信息安全风评鉴管理程序)
(1)应用适当的管制。
(2)明白及有目的接受风险,提供明确且符合组织政策及风险接受的标准。
(3)避免风险。
(4)将相关商业风险转嫁至另一方,例如:
保险公司或供货商。
(g)选择管制目标及风险处理管制:
(参照:
信息安全风险评鉴管理程序)应选择及执行管制目标及管制项目,以达到风险评估及风险处理过程中鉴别出的要求。
此选择应考虑到风险接受的标准,以及法律、法规与合约要求。
适用性声明书:
管制目标及控管项目应被选择为本过程的一部分,以符合并囊括鉴别控管项目。
适用性声明书:
管制目标及控管项目并非是完整的,可能需要选择其它管制目标及控管项目。
(h)对于所提出的残余风险须获得管理阶层核可。
(i)实行运作ISMS要获得管理阶层授权。
(j)需准备适用性声明:
适用性声明的准备应包括下列几项:
(1)现行的管制目标及控管项目
(2)附录A管制目标及控管项目之排除及排除理由。
(3)其它被选择的控制目标及控管项目,以及被选择的原因。
6.8.4.2.2实作与运作ISMS
本公司应执行以下事项:
(a)规划风险处理计划以鉴别适当的管理行动、资源、责任和优先权,以管理信息安全风险。
(b)为达到已鉴别的管制目标,实施风险处理计划,包含资金考虑及责任角色分配。
(c)实行其它所选择的控管项目,需符合管制目标。
(d)定义如何量测所选择的控管项目及控管项目群组的有效性,以及说明这些量测如何能达到管制效果,以产生可比较与可再制的结果。
(e)实作训练及认知相关课程。
(f)管理ISMS的运作。
(g)管理ISMS的资源。
(h)实行程序及其它管制方法,在侦测出安全事件时,提出警示及对重大安全事件做出响应。
6.8.4.2.3监视与审查ISMS
本公司应执行下列事项:
(a)执行监控、审查程序及其它控管:
(1)在程序结果中立即侦测错误。
(2)立即辨识出潜藏的及已发生的安全缺失及重大事件。
(3)让管理阶层能够了解,不论是由人员或由信息技术实施的安全活动是否有如预期的表现。
(4)借着指标的使用,帮助侦测安全事件并进一步防止重大安全事件的发生。
(5)确认解决安全缺失的行动是否有效。
(b)对ISMS有效性定期审查(包含达成ISMS政策及目标、安全管制的审查)需考虑到安全性稽核、安全性事件的结果、量测有效性的结果及所有利益相关团体的建议及反馈。
(c)测量控管项目的有效性以验证安全需求是否符合。
(d)在一定的期间内要审查风险评估、残余风险及可接受风险程度,包含以下的改变:
(1)组织。
(2)技术。
(3)服务目标与过程。
(4)已鉴别的威胁。
(5)实行之控管项目的有效性。
(6)外部情况,如:
法律法规环境的变化、契约责任的改变及社会风气的改变。
(e)在预计期间内执行内部ISMS稽核。
备注:
内部稽核(第一方稽核)是基于内部之目的,由组织本身所执行。
(f)以规律的方式进行ISMS的管理审查,以确保范围持续适当并使用ISMS过程中的改善能被辨识。
(g)更新安全计划,并将监控及审查活动发现列入考虑。
(h)针对会对ISMS有效性及绩效造成冲击的行动与事件,应予以记录。
6.8.4.2.4维护与改善ISMS
公司应定期执行下列事项:
(a)实行及辨别ISMS的改善。
(b)采取适当的矫正及预防措施。
应从其它组织或组织本身所学的安全经验。
(c)在外在环境和执行方法的考虑下,将详细至一定程度的活动及改善讯息传递给所有的利益团体。
(d)确保这些改善达到预期目标。
6.8.4.3文件化要求
6.8.4.3.1概述
文件应包含管理决策的纪录,确保对管理决策及政策的行动是可追溯的,并确保所纪录的结果是可再制的。
能够展示以下事项的关系是很重要的,从所选择的控管项目回溯到风险评估结果及风险处理过程,并继续回溯到ISMS政策及目标。
ISMS文件应包含:
(a)ISMS政策及目标的文件化声明。
(b)ISMS的范围。
(c)支持ISMS的过程及管控项目。
(d)风险评估方法的描述。
(e)风险评估报告。
(f)风险处理计划。
(g)组织需要的文件化程序以确保有效的计划、操作及控管其信息安全过程,并描述如何测量其有效性及控管项目。
(h)ISO27001要求之所需纪录。
(i)适用性声明。
6.8.4.3.2文件管制
本公司之信息安全管理系统所要求文件需加以管制,并明定其审查、审核、版本识别、分发、保存、取得、管制的权责、流程与方法(参照「文件数据与纪录管理程序」)。
6.8.4.3.3纪录管制
本公司规范信息安全管理系统数据以鉴别、储存、保护、调阅、保存期与处置纪录等权责、流程与方法,以提供信息安全管理系统符合要求与有效运作的证据。
(参阅「文件数据与纪录管理程序」)
6.8.4.4管理阶层责任
6.8.4.4.1管理阶层承诺
本主任委员藉由下列事项,提供证据其对ISMS之建立、实行、操作、监控、审查、维持与改善的承诺:
(a)建立ISMS政策。
(b)确保ISMS目标及计划已被建立。
(c)为信息安全建立其角色与责任。
(d)传达组织达到信息安全目标及符合信息安全政策、法律责任及持续改善需要的重要性。
(e)提供足够的资源以建立、实行、操作、监控、审查、维持与改善ISMS。
(f)决定接受风险的标准及风险的可接受等级。
(g)确认内部ISMS稽核已执行。
(h)施行ISMS管理阶层审查。
6.8.4.4.2资源的供应
本公司决定及提供所需之资源,以利完成下列事项:
(a)建立、实行、操作、监控、审查、维持及改善ISMS
(b)确保信息安全程序能支持营运要求。
(c)识别及提出法律法规要求及契约的安全责任。
(d)矫正所有已实行的控管项目以维持适当的安全性。
(e)必要时实施审查,并对这些审查结果作出适当的响应
(f)有需要时,改善ISMS之有效性。
6.8.4.4.3训练、认知及能力(参阅:
「人员任用与解职管理程序」)
本公司须藉由以下几点,以确保所有分配到ISMS相关责任的人员,有能力执行其规定之任务:
(a)会对ISMS产生影响相关工作人员,须决定其必需的能力。
(b)提供训练或采取其它措施(如:
雇用有能力之人员)以满足这些需求。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全管理政策 V1 信息 安全管理 政策