XXX公司信息安全管理手册
XXXXXX科技有限公司
变更记录
前言
颁布令
颁布令
本手册依据ISO/IEC 27001:2013《信息安全管理体系—要求》和ISO/IEC 20000-1:2018《信息技术 服务管理 要求》标准, 结合公司相关业务及公司的实际情况,建立信息安全和信息技术服务一体化管理体系,编制完成了《管理手册》V3.0版,经审定符合国家、地方及行业的有关法律规定和本公司的实际情况,现予以批准颁布,它阐述了我公司的管理方针、管理目标,并对公司的管理体系提出了具体要求。本手册适用于公司应用软件的设计开发和技术服务;信息系统的安装、运行维护;计算机系统集成等业务的管理。
本手册自2020年1月1日起正式实施。
本手册是公司管理的基本法规,是信息安全管理及信息技术服务管理体系运行的准则,也是公司对所有顾客的承诺。自本手册实施之日起,公司的所有员工必须遵照执行。
公司任命张经理担任管理者代表,代表公司总经理负责公司信息安全管理及信息技术服务管理体系的建立、实施和改进,以及贯彻管理方针和目标、落实管理工作。
本手册可以作为对外提供信息安全及信息技术服务保证和第三方认证使用。
企业概况
XXXXXX科技有限公司是股份制企业,成立于2002年3月,最大股东是OOOOOO研究院有限责任公司。公司的前身是MMMMMM科贸发展公司,是专门从事电力行业信息系统技术服务的高新技术企业。公司本部的办公地点在丰台区南。
XXXXXX科技有限公司主要从事电力行业信息治理系统的开发、系统集成、信息咨询和技术服务等。公司现有专业技术人员若干,90%具有大学本科及以上学历,知识结构和年龄层次分布比较合理。智能电网技术应用事业部、综合管理部、人力资源部、投资发展部及财务资产部。制订有比较全面的各类管理制度,形成了合作、求实、创新的公司文化,锻炼出了一支技术先进、治理科学、具有团队精神的队伍。
XXXXXX科技有限公司是北京市高新技术企业和中国软件协会认证的软件企业。公司具有丰富的信息系统集成及运行维护、软件开发、数据分析和硬件开发经验,是专业化的信息运维公司。建设多元化经营企业集团是公司的发展战略。公司在新能源建设和运营,智能电网技术研发和应用领域加大投资力度,取得了良好的经济效益和研发成果。智能电网技术应用事业部致力于为智能电网提供整体技术与产品解决方案,通过在智能用电和智能配电领域关键技术研发、技术合作、产品代理等多元化创新机制,积极拓展产品、迎接挑战、为用户提供高效、可靠的智能电力设备,满足未来智能电网发展的需求。
XXXXXX公司一直致力于面向电力行业提供整体解决方案,拥有深厚的行业知识、丰富的实施经验、领先的专业技术、周到的实施服务理念,在信息咨询、系统集成、软件开发、技术服务等多个领域为电厂、供电公司提供全面信息技术服务。
XXXXXX公司本着源于电力、面向电力、服务电力的服务宗旨,愿与全国电力企业共同发展,共创美好的明天。
公司名称:XXXXXX科技有限公司
地 址: 北京市台区南
邮 编: 100070
电 话:010-855o55oo
管理手册说明与管理
一、本《管理手册》依据ISO/IEC 27001:2013信息安全管理体系和ISO/IEC 20000-1:2018 信息技术服务管理体系要求编制。在《管理手册》中对信息安全和信息技术服务管理体系条款做了概括性叙述,是本公司对外实施信息安全和信息技术服务管理体系的承诺、对内进行信息安全和信息技术服务管理的纲领性文件。
二、本《管理手册》所采用的信息安全和信息技术服务条款与ISO/IEC 27001:2013和ISO/IEC 20000-1:2018标准中的条款编写保持一致,并结合本公司特点编写了程序文件、形成本公司的信息安全管理和信息技术服务标准,使信息安全和信息技术服务管理体系有章可循、有法可依。
三、本《管理手册》适用于本公司所有的应用软件的设计开发和技术服务;信息系统的安装、运行维护;计算机系统集成。
四、手册的管理
- 《管理手册》的编写由总经理授权管理者代表全权负责,并指定专门工作组进行手册的编写工作。
- 《管理手册》的管理,执行《文件控制程序》。
- 《管理手册》由总经理批准、签署发布和规定实施日期。
- 《管理手册》的发放和回收工作由公司的体系管理小组负责。体系文件的分发,在公司的服务器中进行受控版本的分发。回收时,进行版本标识,在服务器中进行替换,并在公司内部发布文件更换通知。
- 受控手册发放需填写“发放清单”记录,由管理者代表批准。经批准的手册持有者或部门,不得擅自对外交流,发放和外送。
- 非受控手册,可发给招标单位、审核咨询单位,其它公共关系及对外交流单位或个人,但须由使用部门申请,管理者代表批准,体系管理小组登记造册,方可发放。
- 受控《管理手册》的持有者若调离公司或不再从事相关工作时,体系管理小组应及时关闭该手册的阅读权限。
- 手册的持有者,应爱护并妥善保管好《管理手册》,保证其完整、清晰、不得损坏、遗失。
- 手册更改程序和更改方法按《文件控制程序》执行。
管理方针
根据ISO/IEC 27001:2013《信息安全管理体系—要求》和ISO/IEC 20000-1:2018《信息技术 服务管理 要求》标准要求,并结合本公司生产和服务活动特点,特制定我公司信息安全和信息技术服务管理体系方针,现发布如下:
品质至上,提升品牌价值;
综合防御,提高竞争能力;
诚信经营,追求服务共赢;
持续改进,超越顾客期望。
管理方针的实现
上述方针体现了本公司在信息安全管理及信息技术服务体系方面的总的宗旨和方向,也体现了顾客和相关方的要求与期望:
信息安全方面:加强过程控制,采取预防措施,确保信息安全的完整性、保密性及可用性,提高公司在市场核心竞争力;
信息技术服务方面:定义公司服务级别协议,运用系统管理方法,达到与客户服务共赢的目的,通过IT服务提升公司品牌价值;
方针是纲,纲举目张,管理方针以及以其为基础制定的管理目标要根据过程控制、测量分析、不断变化的顾客需求和技术状态,定期对管理方针和目标进行评审,以期持续满足顾客和相关方的要求,公司各部门以管理方针为框架,制定管理目标和指标。
批准人:赵总
日期: 2020年1月1日
管理目标
- 信息安全管理目标:
- 重大信息安全事故≦1次/年;
- 秘密级以上信息泄露事故为零;
- 一般信息安全事故≦3次/年;
- 不可接受风险处理率100%。
- 信息技术服务管理目标:
- 顾客对服务的满意度95%;
- 在服务级别协议约定的响应时间内,客户热and线及时处理率达到90%以上;
- 在服务级别协议约定的响应时间内,客户投诉及时处理率达到
- 在服务级别协议约定的响应时间内,事件处理率达到
- 全年客户信息泄露事件发生率为0。
- 范围本手册根据公司的管理方针、管理目标及ISO/IEC27001:2013和ISO/IEC 20000-1:2018标准要求规定了信息安全和信息技术服务管理体系各过程和活动的要求,通过信息安全和信息技术服务管理体系的有效运行的不断改进,达到持续提供顾客满意产品的目的。
- 规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 - 术语和定义本手册所使用的术语全部按照ISO/IEC 27000:2013、ISO/IEC 20000-1:2018的术语和定义。公司的信息安全管理体系、信息技术服务管理体系以下简称一体化管理体系。
- 公司环境
- 公司的背景环境公司确定与公司业务目标相关并影响实现一体化管理体系预期结果的能力的外部和内部问题,并定期更新。需从以下几方面考虑内外部状况:
明确外部状况:
- 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;
- 影响组织目标的主要动力和趋势;
- 与外部利益相关方的关系,外部利益相关方的观点和价值观。
明确内部状况:
- 治理、组织结构、作用和责任;
- 方针、目标,为实现方针和目标制定的战略;
- 基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
- 与内部利益相关方的关系,内部利益相关方的观点和价值观;
- 组织的文化;
- 信息系统、信息流和决策过程(正式与非正式);
- 组织所采用的标准、指南和模式;
- 合同关系的形式与范围。明确风险管理过程状况:
- 确定风险管理活动的目标;
- 确定风险管理过程的职责;
- 确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延;
- 以时间和地点,界定活动、过程、职能、项目、产品、服务或资产;
- 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系;
- 确定风险评价的方法;
- 确定评价风险管理的绩效和有效性的方法;
- 识别和规定所必须要做出的决策;
- 确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。确定风险准则:
- 可以出现的致因和后果的性质和类别,以及如何予以测量;
- 可能性如何确定;
- 可能性和(或)后果的时间范围;
- 风险程度如何确定;
- 利益相关方的观点;
- 风险可接受或可容许的程度;
- 多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。
- 理解相关方的需求和期望体系管理小组应确定一体化管理体系的相关方及其信息安全和信息技术服务的要求,相关的管理要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。公司应考虑以下相关方:
- 直接顾客
- 最终使用者
- 供应链中的供方和代理商
- 立法机构
- 公司内部相关管理部门、股东等
- 确定一体化管理体系范围本公司一体化管理的范围包括
- 物理范围:北京市丰台区南
- 业务范围:应用软件的设计开发和技术服务;信息系统的安装、运行维护;计算机系统集成
- 内部管理结构:财务资产部、人力资源部、投资发展部、综合管理部、电力信息技术事业部、信息通信事业部
- 外部接口:向公司提供各种服务的第三方
- 一体化管理体系公司从自身的实际情况出发,按照ISO/IEC27001:2013和ISO/IEC 20000-1:2018标准要求,建立系统化、结构化、文件化的一体化管理体系(以ISO/IEC27001:2013标准为主线,以“过程方法”为基础,融入ISO/IEC 20000-1:2018标准要素要求,称为一体化管理体系)。明确了文件的范围以及对文件和记录的控制;明确了我公司内部组织结构以及各部门的职责和权限,确定了一体化管理体系所需的过程、活动及相互关系,确定了过程的顺序和相互作用(接口关系)以及过程有效运作和控制所需的准则和方法。这些过程包括与管理活动、资源提供、产品测量、分析和改进等有关的过程。通过在运行过程中持续改进,从而使一体化管理体系得到有效实施和保持。
公司采用P-D-C-A 循环的方法识别和控制过程的有效性,使每一个过程都可以通过“策划、实施、检查、提高”达到持续改进体系有效性的目的。
为了达到上述的目的,公司建立的一体化管理体系必须做到如下几点:
- 通过对一体化管理体系的策划,确定本公司所要控制的过程和过程之间的相互关系及其在一体化管理体系中的作用。
- 通过管理方针的制定和目标管理,明确各部门在各过程中的职责和控制要求。
- 为了确保这些过程的有效运行,公司必须制定相关程序,作业指导书和管理制度。
- 公司提供充足的人力资源、办公环境、测试工具或测试设备,并通过顾客满意度调查、市场调研、内部沟通等方式,保证一体化管理体系运行所需资源和信息。
- 公司通过内审、管理评审、过程和服务质量的监测、控制措施有效性检查、顾客满意度调查等手段,监视和测量管理体系运行实施的有效性。
- 公司通对监测数据的分析,对不合格采取纠正措施,以不断改进公司的一体化管理体系,不断满足顾客的需求。
- 领导力和承诺总经理应通过以下方式证明信息安全管理体系的领导力和承诺:
- 确保管理方针和管理目标已建立,并与公司战略方向一致;
- 确保将一体化管理体系要求融合到日常管理过程中;
- 确保一体化管理体系所需资源可用;
- 向公司内部传达有效的一体化管理及符合一体化管理体系要求的重要性;
- 确保一体化管理体系达到预期结果;
- 指导并支持相关人员为一体化管理体系有效性做出贡献;
- 促进持续改进;
- 支持各部门的负责人,在其职责范围内展现领导力。
- 方针根据公司业务管理的需要,建立了一体化管理方针,见0.4管理方针。
本公司承诺提供一切可能的资源与先进的技术,保证公司有效管理,并提供优质高效的产品和服务。在日常管理过程中,通过有效的风险识别和风险控制手段,降低管理过程中意外情况的发生,并使用有效的风险评估的工具和方法,严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练,关键信息数据异地备份,制订业务连续性计划,以确保业务的持续进行。
管理方针的批准、发布及修订由公司最高责任者负责;通过培训、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保密意识及服务水平;并定期通过《管理评审控制程序》评审其适用性、充分性,必要时予以修订。 - 组织的角色,职责和权限公司建立了与信息安全和信息技术服务管理体系相适应的组织机构,对与产品信息安全和信息技术服务有关的各部门明确其职责、权限和相互关系,并传达到全体员工,确保信息安全和信息技术服务管理体系有效运行。
公司信息安全和信息技术服务管理体系结构图见附录A;
公司信息安全和信息技术服务管理体系职能分配表见附录B;
各部门信息安全管理和信息技术服务职责和权限见附录C;
- 应对风险和机会的措施
- 总则公司针对公司内部和公司外部的实际情况、相关方的要求,确定公司所需应对的一体化管理方面的风险。编制并执行《信息安全风险评估管理程序》,规定了由体系管理小组根据信息安全管理体系的要求,建立有效的风险评估方法,用于信息安全管理过程的风险管理。以便:
- 确保一体化管理体系能够实现其期望的结果;
- 增强有利影响;
- 避免或减少不利影响;
- 实现改进。
- 信息安全风险评估
- 风险评估的系统方法体系管理小组制定信息安全风险评估管理程序,经管理者代表审核,总经理批准后组织实施。风险评估管理程序包括可接受风险准则和可接受水平。该程序的详细内容适用于《信息安全风险评估管理程序》。
- 资产识别在已确定的ISMS范围内,对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产,根据信息资产判断依据确定信息资产的重要性等级并对其重要度赋值。
- 评估风险
- 针对每一项信息资产、记录、信息资产所处的环境等因素,识别出所有信息资产所面临的威胁;
- 针对每一项威胁,识别出被该威胁可能利用的薄弱点;
- 针对每一项薄弱点,列出现有的控制措施,并对控制措施有效性赋值;同时考虑威胁利用脆弱性的容易程度,并对容易度赋值;
- 判断一个威胁发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害,计算信息资产的安全事件的可能性和损失程度。
- 考虑安全事件的可能性和损失程度两者的结合,计算信息资产的风险值。
- 根据《信息安全风险评估管理程序》的要求确定资产的风险等级。
- 对于信息安全风险,在考虑控制措施与费用平衡的原则下制定风险接受准则,按照该准则确定何种等级的风险为不可接受风险,该准则在《信息安全风险评估管理程序》有详细规定,并在《信息安全风险评估报告》中进行系统汇报并针对结果处理意见获得最高管理者批准。
- 获得最高管理者对建议的残余风险的批准,残余风险应该在《信息安全残余风险评价报告》上留下记录,并记录残余风险处置批示报告。
- 获得管理者对实施和运行ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实施和运作ISMS的授权证据。
- 风险处理方法的识别与评价体系管理小组应组织有关部门根据风险评估的结果,形成《风险处置计划》,该计划应明确风险处理责任部门、方法及时间。
对于信息安全风险,应考虑控制措施与费用的平衡原则,选用以下适当的措施:
- 采用适当的内部控制措施;
- 接受某些风险(不可能将所有风险降低为零);
- 回避某些风险(如物理隔离);
- 转移某些风险(如将风险转移给保险者、供方、分包商)。
- 选择控制目标与控制措施体系管理小组根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定信息安全目标。信息安全目标应获得总经理的批准。
控制目标及控制措施的选择原则来源于附录A。本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。 - 适用性声明SoA体系管理小组编制《信息安全适用性声明》(SoA)。该声明包括以下方面的内容:
- 所选择控制目标与控制措施的概要描述;
- 对ISO/IEC 27001:2013附录A中未选用的控制目标及控制措施理由的说明。
- 残余风险对风险处理后的残余风险应形成《信息安全残余风险评价报告》并得到信息安全最高责任人的批准。体系管理小组应保留信息安全风险处置过程的文件化信息。
- 论任何相关方涉及到在支持服务生命周期中执行活动,公司应对本标准的要求和交付的服务负责。
公司应确认和应用本标准评估和选择服务生命周期中的其它相关方。其它相关方可以是外部供应商、内部供应商和客户充当的供应商。
其它相关方不应提供和运行服务管理体系范围内所有的服务、服务组件或流程。公司应确认和文件化下列内容:
- 其它相关方提供和运行的服务;
- 其它相关方提供和运行的服务组件;
- 其它扪关方运行的服务管理体系范围内的流程或部分流程。
公司应集成公司自身或其它相关方提供和运行的服务管理体系范围内的服务、服务组件和流程。以满足服务要求。公司应进行协调包括服务生命周期中,策划、设计、转换、交付和改进活动的其它相关方。
- 论任何相关方涉及到在支持服务生命周期中执行活动,公司应对本标准的要求和交付的服务负责。
公司应对其它相关方定义和应用下列控制措施:
- 测量和评估过程绩效;
- 测量和评估服务、服务组件满足服务要求的有效性。
注:150/IEC20000-3提供了服务生命周期中控制其它相关方的指南。
- 管理外部供应商采购部负责管理与外部供应商的关系、合同和绩效。
公司和外部供应商应协商形成成文的合同。合同中应包含或引用以下内容:
- 外部供应商提供或者运行的服务范围、服务组件、流程或部分流程;
- 外部供应商需要满足的要求;
- 服务等级目标或其它合同义务;
- 公司外部供应商的职责马权限。
公司应评估外部供应商的服务等级目标或若其它合同义务与客户的服务等级目标保持
一致,和管理己识别的风险。
公司应按照策划的时间间隔监视外部供应商的绩效。服务等级目标和其他合同义务未满
足的场合,公司应确保识别改进机会。
公司应按照策划的时间间隔依据当前的服务要求评审合同。变更授权前,合同的变更对
服务管理体系和服务的影响应予以评估。
组织和外部供应商的争议应予以记录、管理直至关闭。
详细过程参见《供方管理程序》、《外包方控制办法》。
- 管理内部供应商和充当供应商的客户对于每一个内部供应商和充当供应商的客户,公司应开发、协商和维护成文的协议,以
定义服务等级目标、其它承诺、活动和相互间的接口。
公司应按照策划的时间间隔监视内部供应商和充当供应商的客户的绩效。服务等级目标
和其它约定的承诺未满足的情况,公司应确保识别改进机会。
- 变更管理方针变更管理方针应予以制定和保留成文信息,以定义:
- 在变更管理控制下的服务组件和其它事项;
- 变更类别,包拈紧急变更,以及如何进行管理;
- 对客户或服务有潜在重大影响变更的确定标准。
- 变更管理启动变更请求,包括增加、移除或转移服务,应予以记录和分类。
公司应在下列情况使用8.5.2条款的服务设计和转换流程:
- 由变更管理方针确定的,对客户或其它服务有潜在重大影响的新服务;
- 由变更管理方针确定的,对客户或其它服务有潜在重大影响的服务变更;
- 依据变更管理方针,通过服务设计和转换管理的变更类别;
- 移除服务;
- 转移己存在的服务至客户或其他方;
- 从客户或其他方转移己存在的服务至公司。
评估、授权、调度和评审条款8.5.2范围内的新服务或变更的服务应通过条款8.5.1.3
的“变更管理活动”进行管理。
不在条款8.5.2范围内的变更请求应通过条款8.5.1.3的“变更管理活动”进行管理。
- 变更管理活动公司和相关方应就变更请求的授权和优先级做出决策。决策应考虑风险、业务收益、可
行性和财务影响。决策也应考虑变更的潜在影响:
- 己存在服务;
- 客户、用户和其它相关方;
- 本标准要来的方针和计划;
- 能力、服务可用性、服务连续性和信息安全;
- 其它变更请求、发布和部署计划。
授权的变更应予以准备、确认,可行的情况下,进行测试。授权变更的建议发布日期和
其它细节应和相关方沟通。
回退或补救不成功变更的活动应予以策划,可行的情况下,进行测试。不成功的变更应
予以调查和采取约定的措施。
公司应评审变更的有效性,与相关方采取约定的措施。
应按照策划的时间间隔分析变更请求记录以识别趋势。分析所得的结果和结论应予以记
录和评审以识别改进机会。
详细过程参见《IT服务变更管理程序》。
- 策划新的或变更的服务策划应使用条款8.2.2确定的新的或者变更的服务的要求,应包括或引用下列内容:
- 设计、构建和转换活动的权限和职责;
- 公司以及其他相关方拟执行的活动,包括时间跨度;
- 人员、技术、信息和财务资源;
- 与其它服务的依赖关系;
- 新的服务或变更的服务需要的测试;
- 服务验收标准;
- 以可测量的术语表述的交付新的或变更的服务的预期结果;
- 对服务管理体系、其它服务、计划的变更、客户、用户和其它相关方的影响。
针对将要被移除的服务,公司应进行服务移除的策划。策划额外应包括移除归档、数据
的废弃与转移、文档信息以及服务组件。
受新的或变更的服务影响的配置项应通过配置管理控制。
- 设计新的或变更的服务应予以设计和保留成文信息以满足条款8.2.2确定的服务要求。设计
应包括下列内容:
- 交付新的或变更的服务时的各方权限和职责;
- 对人员、技术、信息和财务资源变更的要求;
- 对适当的教育、培训和经验的要求;
- 支持服务的新的或变更的服务等级协议、合同和其他形成文件的协议;
- 变更对服务管理体系的影响,包括新的或变更的方针、计划、过程、程序、测量或知识;
- 对其它服务的影响;
- 更新服务目录。
- 构建与转换新的或变更的服务应被构建和测试,以验证其能否满足服务要求,设计文件的要求,以
及约定的验收标准。如果不符合服务验收标准,组织和相关方应就必要的措施和部署进行决策。
发布和部署管理应被用于部署己批准的新的或变更的服务到实际运行环境中。转换活动
完成后,组织应向相关方报告所实现的结果,并与预期结果进行对比。
详细过程参见《设计和开发新的或变更的服务管理程序》。
- 信息安全风险处置
- 总则公司的管理体系应包括:
- 本标准要求的文件化信息;
- 体系管理小组确保一体化管理体系的有效运行,需编制《文件控制程序》用以管理公司一体化管理体系的相关文件。
- 创建和更新创建和更新文件化信息时,体系管理小组应确保适当的:
- 标识和描述(例如标题、日期、作者或编号);
- 格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);
- 对适宜性和充分性的评审和批准。
- 文件化信息的控制一体化管理体系及本标准所要求的文件化信息应予以控制,以确保:
- 在需要的地点和时间,是可用和适宜的;
- 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
- 为控制文件化信息,适用时,运营管理部应开展以下活动:
- 分发,访问,检索和使用;
- 存储和保护,包括保持可读性;
- 控制变更(例如版本控制);
- 保留和处置。
体系管理小组需在《文件控制程序》中规划和运行一体化管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。
- 信息安全风险评估公司按照组织《信息安全风险评估管理程序》的要求,每年定期或当重大变更提出或发生时,执行信息安全风险评估。每次风险评估的过程均需形成记录,并由体系管理小组保留每次风险评估的记录,如:信息安全风险评估报告、风险处理计划等。
- 信息安全风险处置为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
- 形成《风险处置计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级;
- 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
- 实施所选择的控制措施,以实现控制目标的要求;
- 进行信息安全培训,提高全员信息安全意识和能力;
- 对信息安全体系的运作进行管理;
- 对信息安全所需资源进行管理;
体系管理小组负责组织相关人员,定期检查风险处理计划的执行情况,并保留信息安全风险处置结果的文件化信息。
- 服务交付公司应运行服务管理体系,确保协作活动和资源,公司应执行交付服务所需要的活动。
注:服务组合通常管理服务生命周期中的所有服务,包括提议的、开发中的、服务目录中的在线服务和即将停止的服务。服务组合管理确保服务提供者有正确的服务构成。服务组合管理活动包括服务策划,控制服务生命周期的相关方、服务目录管理、资产管理和配置管理。 - 策划服务己存在服务、新服务、服务变更的要求应确认和保留成文信息。
公司应基于组织、客户、用户和相关方的需求确认服务的关键性。公司应确认和管理服务间的依赖关系和复制关系。
考虑己知限制和风险,公司应提议服务变更,以便服务与服务管理方针、服务管理目标和服务要求保持一致。
考虑可用资源,公司应对服务变更进行优先排序和提议新服务、服务变更,以便服务管理目标和业务目标保持一致。 - 控制服务生命周期的相关方
- 服务目录管理公司应创建和维护一个或多个服务服务目录。服务目录应包括描述服务的公司、客户、用户和其它相关方的信息、它们预期的结果和服务间的依赖关系。
公司应对客户、用户和其它相关方提供合适的访问(部分)服务目录的渠道。 - 资产管理公司应确保管理用于交付服务的资产以满足服务要求和标准条款6.3c)规定的义务。
注:ISO 55001和150/IEC 19770-1确定了支持实施、运营资产和IT资产管理的要求。
注:另外,资产作为配置项时,参考配置管理。 - 配置管理配置项的类型应定义,服务应分类为配置项。
配置信息应记录到适合服务关键性和类型的详细程度,访问配置信息应受控。每个配置项的配置信息应包括:
- 唯一性标识;
- 配置项类型;
- 配置项描述;
- 与其它配置项的关系;
- 状态。
配置项应受控,配置项的变更应可追溯和可审计的,以维护配置信息的完整性。配置项的变更发布后,配置项应更新。
适用时,配置信息应对其它服务管理活动可用。
详细过程参见《配置管理程序》。
- 总则公司使用供应商以:
- 提供和运行服务;
- 提供和运行服务组件;
- 运行服务管理体系范围内的流程或部分流程。
注:150/IEC 20000-3包括潜在场景和范围的供应链关系的示例。
注:本标准的供应商管理不包括供应商的采购过程。
- 业务关系管理服务的客户、用户和相关方应予以识别,并保留成文信息。
公司应指定一个或多个专人负责管理客户关系和维护客户满意度。
公司应与确定客户和相关方沟通的安排,沟通应促进对不断进化的服务运行的业务环境的理解,应使公司能够响应新的或变更的服务的要求。
公司应与客户按策划的时间间隔评审服务绩效趋势和结果。
公司应按照策划的时间间隔,基于对服务的客户进行抽样,调查客户满意度。应对结果进行分析和评审以识别改进机会。
服务投诉应予以记录、管理直至关闭和报告。当服务投诉通过正常渠道得不到解决,应升级处理。
详细过程参见《业务关系管理程序》。 - 服务级别管理公司应与客户约定交付的服务。
对于所交付的每项服务,公司应基于服务要求与客户协商确定一个或多个服务级别协议SLAs。服务级别协议应包括服务级别目标,工作量和例外情况。
公司应按照策划的时间间隔监控、评审和汇报:
- 服务级别目标的绩效;
- 与服务级别目标的工作量比较,实际和周期性的工作量的变更。
服务级别目标未满足时,公司应识别改进机会。
注:公司和客户交付服务的协议可以以多种形式存在,如成文的协议,会议中的口头协定,电子邮件形式的协议或同意服务许可协议的形式。
详细过程参见《服务级别管理程序》。
- 供应商管理
- 服务预算与核算公司应在保持与财务管理方针和流程一致的情况下进行单个服务或一组服务的预算和核算。
应对服务成本进行预算,使提供的服务能有效地进行财务控制和决策。
按照策划的时间间隔,公司应依据预算来监视和报告实际成本,审核财务预测并管理成本。
注:很多情况下,不是所有公司会对服务进行计费。服务的预算和核算过程不包括计费,以确保适用于所有公司。
详细过程参见《IT服务的预算与核算管理程序》。 - 需求管理按照策划的时间间隔,公司应:
a)确定服务当前需求和预测未来需求;
b)监视和评审需求与服务使用情况。
注:需求管理负责理解客户当前和未来的需求。能力管理与需求管理配合,策划和提供充足的能力以满足需求。 - 能力管理考虑服务和性能要求,人员、技术、信息和财务资源的能力要求应予以确定、保留成文信息和维护。公司应对能为进行策划,包括:
- 基于服务需求,当前和预测的能力;
- 对约定的服务等级目标、服务可用性、服务连续性要求的预期影响;
- 能力变更的时间跨度和阀值。
公司应提供充分的容量满足商定的容量和性能要求。公司应监视能力的使用,分析能力和性能数据和识别改进机会。
详细过程参见《容量管理程序》。
- 变更管理
- 服务设计与转换
- 发布与部署管理公司应定义发布类型,包括紧急发布,发布频率和如何管理。
公司应与对新的或变更的服务和服务组件部署到实际运行环境进行策划。策划应与变更
管理过程协调一致,并包含对相关的变更请求、己知错误和通过该发布所关闭问题的引用。策划应包括每个发布的部署日期、交付物和部署方法。
公司应依据成文的验收准则对发布进行验证,并在部署前被授权。如果未能满足验收准
则,公司相关方应就采取必要的措施和部署进行决策。
发布部署到实际运行环境前,应建立受影响的配置项的基线。
发布应部署到实际运行环境中,以使服务和服务组件的完整性得到保持。
应监视和分析发布的成功或失败。测量内容应包括发布在部署之后至随后的发布中的事
件。分析的结果和结论应予以记录和评审以识别改进机会。
适用时,发布成功成者失败、未来发布日期的信息应对其它服务管理活动可用。
详细过程参见《发布和部署管理程序》。
- 事件管理事件应:
- 记录和分类;
- 考虑影响和紧急性,进行优先排序;
- 需要时升级;
- 解决;
- 关闭。
事件记录应根据采取的措施进行更新。
公司应确定识别重大事件的标准。重大事件依据成文的程序进行分类和管理。重大事件
的信息应通知最高管理者。公司应分配管理重大事件的责任人。事件解决后,重大事件应予以汇报和评审,以识别改进机会。
详细过程参见《事件与服务请求管理程序》。
- 服务请求管理服务请求应:
- 记录和分类;
- 优先排序;
- 完成;
- 关闭。
服务请求应根据采取的措施进行更新。
服务请求完成的指南应对服务请求完成的有关人员可用。
详细过程参见《事件与服务请求管理程序》。
- 问题管理公司应分析事件数据和趋势,以识别问题。公司应进行根本原因分析和确定潜在的措施,
以阻止事件的重复发生。
问题应:
- 记录和分类:
- 优先排序;
- 需要时升级:
- 可能时进行解决:
- 关闭。
问题记录应根据采取的措施进行更新,问题解决的变更应依据变更管理方针进行管理。
根本原因己经识别,但问题没有永久解决时,公司应确认降低和消除问题对服务影响的
措施,根本原因己经识别,但问题没有永久解决时,公司应确认降低和消除问题对服务影响的措施,己知错误应予以记录。适用时,己知错误的最新信息和问题解决方案应对其它服务管理活动可用。
按照策划的时间间隔,问题解决方案的有效性应予以监视、评审和报告。
详细过程参见《问题管理程序》。
- 服务可用性管理按策划的时间间隔,与服务可用性有关的风险应予以评估和保留成文信息。公司应确定
服务可用性要求和目标。协定的要求应考虑相关的业务要求、服务要求、SLA和风险。
服务可用性的要求和目标应保留成文信息并维护。
服务可用性应予以监控、记录结果和目标作比较。非计划的不可用应予以调查和采取必
要的措施。
注:条款6.1识别的风险为服务可用性、连续性和信息安全提供输入。
详细过程参见《服务持续性和可用性管理程序》。 - 服务连续性管理按策划的时间间隔,与服务连续性有关的风险应予以评估并保留成文信息。组织应确定
服务连续性要求。协定的要求应考虑相关的业务要求、服务要求、SLA和风险。
组织应建立、实施和维护一个或多个业务连续性计划。业务连续性计划应包括或引用下
列内容:
- 激活服务连续性计划的标准和职责:
- 在重大服务中断时实施的程序;
- 激活服务连续性计划时的可用性目标:
- 服务恢复要求:
- 返回正常工作条件的程序。
正常服务位置访问被阻止时,服务连续性计划和联系人清单应有可访问的渠道。
按策划的时间间隔,服务连续性计划应按照服务要求进行测试。服务环境有重大变更后,
服务连续性计划应重新测试。测试的结果应予以记录。每次测试后和服务连续计划激活后,发现有缺陷或不足时,组织应采取必要的措施。
服务连续性计划己经激活时,组织应报告原因、影响和恢复活动。
详细过程参见《服务持续性和可用性管理程序》。
- 组织审核
- 公司统一组织、管理内部管理体系审核工作,体系管理小组负责制定《内部审核控制程序》并贯彻执行;
- 管理者代表负责领导和策划内部审核工作,批准年度内审计划和追加审核计划,批准审核组成员,批准审核实施计划,审批年度内审报告;
- 体系管理小组负责对审核组长及成员提名,编制年度审核计划和追加审核计划,报管理者代表批准后执行。
- 审核组长组织和管理内部审核工作,根据实际情况和重要性安排审核顺序实施审核。
- 审核员不应审核自己的工作。
- 实施审核
- 审核组长编制的审核计划,经管理者代表批准后,负责在实施审核前5天向被审核方发出书面审核通知;
- 审核小组按《内部审核控制程序》实施审核;
- 审核员收集客观证据,通过分析整理做出公正判断,填写内审《不合格报告》提交审核组长,并请被审核部门经理在报告上签字认可。
- 审核报告审核组长应在完成全部审核后,按规定格式编写《内部信息安全和信息技术服务管理体系审核报告》提交体系管理小组,经其审阅后报管理者代表,《内部信息安全和信息技术服务管理体系审核报告》作为管理评审的输入证据。
- 纠正措施和跟踪验证
- 被审核部门经理制定纠正措施,填写在内审《不合格报告》中。
- 纠正措施完成后后,应将纠正措施完成情况填写到内审《不合格报告》相应栏内,然后将内审《不合格报告》交到审核组长。
- 审核组长视具体情况通知审核组复查,跟踪验证纠正措施实施情况,并将验证结果填写在内审《不合格报告》中。
- 审核记录审核组长应收集所有内部管理体系审核中发生的计划通知、内部审核检查表、记录、审核报告、总结等原始资料,整理后由体系管理小组负责保管内审相关记录。
- 总则公司最高责任者为确认一体化管理体系的适宜性、充分性和有效性,每年对一体化管理体系进行一次全面评审。该管理评审应包括对一体化管理体系是否需改进或变更的评价,以及对管理方针和管理目标的评价。管理评审的结果应形成书面记录,并至少保存3年,按照《文件控制程序》的要求进行受控访问。
- 管理评审的输入在管理评审时,体系管理小组应组织相关部门提供以下资料,供最高责任者和各部门负责人进行评审:
- 管理体系内、外部审核的结果;
- 相关方的反馈(投诉、抱怨、建议);
- 可以用来改进管理体系业绩和有效性的新技术、产品或程序;
- 管理目标达成情况,纠正措施的实施情况;
- 信息安全、信息技术服务事故或征兆,以往风险评估时未充分考虑到的薄弱点或威胁;
- 上次管理评审时决定事项的实施情况;
- 可能影响管理体系变更的事项(标准、法律法规、相关方要求);
- 对管理体系改进的建议;
- 有效性测量结果。
- 管理评审的输出最高责任者对以下事项做出必要的指示:
- 管理体系有效性的改善事项;
- 管理方针适宜性的评价;
- 必要时,对影响管理体系控制流程进行变更,以应对包括以下变化的内外部事件对管理体系的影响:
- 业务发展要求;
- 管理体系要求;
- 业务流程;
- 法律法规要求;
- 风险水平/可接受风险水平。
- 对资源的需求。
以上内容的详细规定见《管理评审控制程序》。
- 管理目标和实现规划根据公司的一体化管理方针,经过最高管理者确认,制定了公司的一体化管理目标,见0.5管理目标。通过宣传在组织内部达到沟通和理解并认真贯彻实施。管理者代表负责在一体化管理方针的基础上建立必要的运行过程及各部门一体化管理目标的分解,并对实施情况进行监督检查。各部门负责人负责本部门的一体化管理策划。由体系管理小组组织通过定期的内审、控制措施目标测量及管理评审活动评价公司一体化管理目标的完成情况。
- 变更的策划当公司确定需要对管理体系进行变更时,变更应按所策划的方式实施(见4.4)。
体系管理小组应考虑:
- 变更目的及其潜在后果;
- 管理体系的完整性;
- 资源的可获得性;
- 职责和权限的分配或再分配。
体系管理小组应及时下发有关目标分解、考核、变更的信息。
公司应制定、实施和维护服务管理计划。计划应考虑到服务管理方针、服务管理目标、风险与机遇、服务要求和标准的要求。
服务管理计划应包含或引用以下内容:
- 服务清单;
- 影响服务管理体系和服务的己知限制;
- 有关的方针、标准和法律法规要求、合同的义务;
- 服务管理体系和服务的权限、职责;
- 运行服务管理体系和服务所需要的人员、技术、信息和财务资源;
- 服务生命周期中和相关方采取的工作方法;
- 支持服务管理体系的技术;
- 如何测量、审核、报告和改进服务管理体系和服务的有效性。
- 其它的计划应与服务管理计划相一致。
- 资源总经理负责确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。
- 能力人力资源部:
- 根据方针目标要求,职能平台根据公司的《人力资源管理程序》编制《培训计划》。有组织、有计划地对相关人员进行培训,保证从事特殊作业人员、主要岗位人员持证上岗,满足工作要求。确保全体员工意识到自身贡献的重要性及其在组织中的角色。;
- 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
- 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
- 保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,对新入职员工进行的管理意识教育;定期对公司员工进行的业务实施过程中管理知识相关的培训等。
- 意识公司全体员工应了解:
- 公司的管理安全方针;
- 个人其对公司一体化管理体系有效性的贡献,包括改进管理绩效带来的益处;
- 不符合一体化管理体系要求带来的影响。
- 沟通体系管理小组负责确定与一体化管理体系相关的内部和外部的沟通需求,需形成《内外部沟通策略表》,包括:
- 沟通内容;
- 沟通时间;
- 沟通对象;
- 谁应负责沟通;
- 影响沟通的过程。
- 文件化信息
- 知识公司应确定和保持必要的知识,以运行服务管理体系和服务。
这些知识对适用的人员应是相关的、可用的、有用的。
注:知识是与服务管理体系、服务和相关方有关的,使用和共享知识以实现预期结果和运行服务管理体系及服务。 - 运行规划和控制为确保ISMS有效实施,对已识别的风险进行有效处理,本公司开展以下活动:
- 形成《信息安全风险评估管理计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级,应特别注意公司外包过程的确定和控制;对于系统集成和IT外包运维服务项目,项目经理应在项目策划阶段识别所面临的信息安全风险,并在项目全过程中对信息安全风险进行监控和更新。
- 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
- 实施所选择的控制措施,以实现控制目标的要求;
- 进行信息安全培训,提高全员信息安全意识和能力;
- 对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响;
- 对信息安全所需资源进行管理;
- 实施控制程序,对信息安全事故(或事件)进行迅速反应。
总经理为本公司信息安全最高责任者。
人力资源部制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
体系管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理体系的运行情况和必要的改善措施向信息安全最高责任者报告。
各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施,并形成文件;全体员工都应按保密承诺的要求自觉履行信息安全义务。
各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施。
体系管理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现6.2中确定的信息安全目标。
体系管理小组应保持文件化信息达到必要的程度,以确信过程按计划得到执行。
体系管理小组应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
各部门确定本部门业务过程中的外包活动,并对外包过程进行必要的控制。
为确保公司一体化管理有效实施,应用软件的设计开发和技术服务;信息系统的安装、运行维护;计算机系统集成的实施由电力信息技术事业部和综合管理部负责。根据服务的特点,由电力信息技术事业部和综合管理部分别负责相关服务的策划、设计、测试等工作,公司其他各相关部门配合,依据合同/国家标准要求,对服务实现过程进行策划,并形成文件。
- 信息安全运行和控制(此章节适用于信息安全管理体系)各部门根据风险评估的结果,形成《风险处置计划》,以确定适当的管理措施、职责及安全保密控制措施的优先级,应特别注意公司外包过程的确定和控制;对于公司在对外提供应用软件的设计开发和技术服务;信息系统的安装、运行维护;计算机系统集成过程中,相关负责人需根据项目的不同阶段,进行项目风险点监控,并保留相关的证据。
- 为实现已确定的安全保密目标、实施风险处理计划,明确各岗位的信息安全职责;
- 实施所选择的控制措施,以实现控制目标的要求;
- 进行信息安全培训,提高全员信息安全意识和能力;
- 对信息安全体系的运作进行管理,控制计划了的变更,评审非预期变更的后果,必要时采取措施减缓负面影响;
- 对信息安全所需资源进行管理;
- 实施控制程序,对信息安全事故(或事件)进行迅速反应。
总经理为本公司信息安全最高责任者。
人力资源部制定全公司的组织机构和各部门的职责(包括信息安全职责),并形成文件。
体系管理小组成员负责完成信息安全管理体系运行时必须的任务;对信息安全管理体系的运行情况和必要的改善措施向信息安全最高责任者报告。
各部门负责人作为本部门信息安全的主要责任人,信息安全内审员负责指导和监督本部门信息安全管理体系的运行与实施,并形成文件;全体员工都应按保密承诺的要求自觉履行信息安全义务。
各部门应按照《信息安全适用性声明》中规定的安全保密目标、控制措施(包括安全保密运行的各种控制程序)的要求实施信息安全控制措施。
体系管理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制,同时应实施计划以实现6.2中确定的信息安全目标。
体系管理小组应保持文件化信息达到必要的程度,以确信过程按计划得到执行。
体系管理小组应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
各部门确定本部门业务过程中的外包活动,并对外包过程进行必要的控制。
- 服务组合
- 关系与协议
- 供应与需求
- 服务设计、构建与转换
- 解决与完成
- 服务保障
- 监视、测量、分析和评价本公司通过实施定期的控制措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息安全管理体系运行的情况,并报告结果以实现:
- 及时发现信息安全体系的事故和隐患;
- 及时了解信息处理系统遭受的各类攻 and 击;
- 使管理者掌握信息安全活动是否有效,并根据优先级别确定所要采取的措施;
- 积累信息安全方面的经验。
按照计划的时间间隔(不超过一年)进行管理体系内部审核,内部审核的具体要求,见本手册9.2要求。
根据控制措施有效性检查和内审检查的结果以及来自相关方的建议和反馈,由最高责任者主持,每年对管理体系的有效性进行评审,其中包括范围、方针、目标及控制措施有效性的评审。管理评审的具体要求,见本手册9.3要求。
管理者代表应组织有关部门按照《信息安全风险评估管理程序》的要求对风险处理后的残余风险进行定期评审,以验证残余风险是否达到可接受的水平,对以下方面变更情况应及时进行风险评估:
- 组织机构发生重大变更;
- 信息处理技术发生重大变更;
- 公司业务目标及流程发生重大变更;
- 发现信息资产面临重大威胁;
- 外部环境,如法律法规或信息安全标准发生重大变更。
保持上述活动和措施的记录。
以上活动的详细程序规定于以下文件中:
- 《控制措施有效性的测量程序》
- 《信息安全风险评估管理程序》
- 《内部审核控制程序》
- 内部审核内部管理体系审核,其目的是验证公司一体化管理体系运行的符合性和有效性并不断改进和完善公司的一体化管理体系。
- 管理评审
- 服务报告公司应确定服务报告的要求和用途。
关于服务管理体系和服务绩效有效性的服务报告应使用服务管理体系和服务交付活动产生的信息。服务报告应包括趋势。
公司应基于服务报告的发现决策和采取措施,己协定的措施应和其他相关方沟通。
注:需要的报告在本标准的相关条款要求,也可以生成额外的报告。
以上内容的详细规定见《服务报告管理程序》。 - 不符合和纠正措施发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和的原因,防止不符合事项再次发生。
体系管理小组负责制定《纠正和预防措施控制程序》,组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施,以消除不符合,并防止不符合的再次发生。
对纠正措施的实施和验证规定以下步骤:
- 识别不符合;
- 确定不符合的原因;
- 评价确保不符合不再发生的措施要求;
- 确定和实施所需的纠正措施;
- 记录所采取措施的结果;
- 评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。
- 持续改进
- 领导作用
- 规划
- 支持
- 运行
- 绩效评价
- 改进
公司的持续改进是一体化管理体系得以持续保持其有效性的保证,公司在其一体化体系管理方针、管理目标、审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进一体化管理体系的有效性。
本公司开展以下活动,以确保一体化管理体系的持续改进:
- 实施每年管理评审、内部审核、安全检查等活动以确定需改进的项目;
- 按照《内部审核管理程序》、《纠正和预防措施控制程序》的要求采取适当的纠正措施;
- 吸取其他组织及本公司信息安全/信息技术服务事故的经验教训,不断改进安全措施的有效性;
- 对管理目标分解进行适当的管理,确保改进达到预期的效果;
为了确保一体化管理体系的持续有效,各级管理者应通过适当的手段保持在公司内部对管理措施的执行情况与结果进行有效的沟通。包括获取外部专家的建议、相关政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如:管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等。