数据仓库信息安全管理体系说明.docx

供应商的信息安全管理体系说明 信息安全管理手册之信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》，并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标，引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用，对于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其必威体育精装版版本（包括任何修改）适用于本标准。 ISO/IEC 27000，信息技术——安全技术——信息安全管理体系——概述和词汇。 术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 公司环境 理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题，需考虑： 明确外部状况： 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，无论国际、国内、区域，还是本地的； 影响组织目标的主要动力和趋势； 与外部利益相关方的关系，外部利益相关方的观点和价值观。 明确内部状况： 治理、组织结构、作用和责任； 方针、目标，为实现方针和目标制定的战略； 基于资源和知识理解的能力（如：资金、时间、人员、过程、系统和技术）； 与内部利益相关方的关系，内部利益相关方的观点和价值观； 组织的文化； 信息系统、信息流和决策过程（正式与非正式）； 组织所采用的标准、指南和模式； 合同关系的形式与范围。 明确风险管理过程状况： 确定风险管理活动的目标； 确定风险管理过程的职责； 确定所要开展的风险管理活动的范围以及深度、广度，包括具体的内涵和外延； 以时间和地点，界定活动、过程、职能、项目、产品、服务或资产； 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系； 确定风险评价的方法； 确定评价风险管理的绩效和有效性的方法； 识别和规定所必须要做出的决策； 确定所需的范围或框架性研究，它们的程度和目标，以及此种研究所需资源。 确定风险准则： 可以出现的致因和后果的性质和类别，以及如???予以测量； 可能性如何确定； 可能性和（或）后果的时间范围； 风险程度如何确定； 利益相关方的观点； 风险可接受或可容许的程度； 多种风险的组合是否予以考虑，如果是，如何考虑及哪种风险组合宜予以考虑。 理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求，相关的信息安全要求。对于利益相关方，可作为信息资产识别，并根据风险评估的结果，制定相应的控制措施，实施必要的管理。相关方的要求可包括法律法规要求和合同义务。 确定信息安全管理体系范围 本公司ISMS的范围包括 物理范围： 业务范围：计算机软件开发，计算机系统集成相关信息安全管理活动。 内部管理结构：办公室、财务部、研发部、商务部、工程部、运维部。 外部接口：向公司提供各种服务的第三方。 信息安全管理体系 本公司按照ISO/IEC27001:2013标准的要求建立一个文件化的信息安全管理体系。同时考虑该体系的实施、维持、持续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA模式。 领导力 总经理应通过以下方式证明信息安全管理体系的领导力和承诺： 确保信息安全方针和信息安全目标已建立，并与公司战略方向一致； 确保将信息安全管理体系要求融合到日常管理过程中； 确保信息安全管理体系所需资源可用； 向公司内部传达有效的信息安全管理及符合信息安全管理体系要求的重要性； 确保信息安全管理体系达到预期结果； 指导并支持相关人员为信息安全管理体系有效性做出贡献； 促进持续改进； 支持信息安全管理小组及各部门的负责人，在其职责范围内展现领导力。 规划 应对风险和机会的措施 （一）总则 公司针对公司内部和公司外部的实际情况，和相关方的要求，确定公司所需应对的信息安全方面的风险。在已确定的ISMS范围内，针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。 信息安全管理小组制定信息安全风险评估管理程序，经信息安全管理小组组长批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容见《信息安全风险评估管理程序》。 1）信息安全风险评估 风险评估的系统方法 信息安全管理小组制定信息安全风险评估管理程序，经管理者代表审核，总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》。 资产识别 在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、