信息安全管理体系

1、将90909090处理处理执行执行计划计划检查检查C CA AD DP P90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP P 一、目的：信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理， 二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视，一、安全方针（Security Policy）（1,2）（附注）二、安全组织（Security Organization）(3,10)三、资产分类与控制(Asset classificat

2、ion and Control)(2,3)四、人员安全(Personnel Security)(3,10)五、物理与环境安全(Physic and Environment Security)(3,13)六、通信与运行管理(Communication and Operation Management)(7,24)八、系统开发与维护(System develop and maintenance)(5,18)七、访问控制(Access control)(8,31)九、业务持续性管理(Business continuity management)(1,5)十、符合性(Compliance)(3,11)

3、附注：(m，n) m：执行目标的数目 n：控制方法的数目生 产客 户 满 意经 营储 存成 本 核 算服 务技 术 开 发I.T.设 备行 政人 力 资 源业 务 流 程销 售维 修客 户 需 求外 包相相 关关 部部 门门外外 围围 服服 务务范范 围围 覆覆 盖盖 区区 域域财 务生 产客 户 满 意经 营储 存成 本 核 算服 务技 术 开 发I.T.设 备行 政人 力 资 源业 务 流 程销 售维 修客 户 需 求外 包相相 关关 部部 门门外外 围围 服服 务务范范 围围 覆覆 盖盖 区区 域域财 务合 同 与 协 议变化？关关键键活活动动测 量拥有者资 源记 录标 准输入输出标标准

4、准 法律 规定 客户 集团 政治 标准 程序资资产产 信息输入 信息输出 信息记录 资源 人 环境 设备 工具 通讯 其它 拥有者 关键活动 输入 输出 测量 变化 资源 标准 记录信息系统使命类信息特征信息和信息系统价值机密性完整性可用性IBBB对信息保障策略的违犯造成的负面影响和结果可以忽略。IIBMM对信息保障策略的违犯会对安全、保险、金融状况、组织机构的基础设施造成不良影响和/或小的破坏。IIIBMH对信息保障策略的违犯会产生一定破坏IVBHH对信息保障策略的违犯会严重的破坏安全、保险、金融状况、组织机构的基础设施VMHH对信息保障策略的违犯会造成异常严重的破坏使命类威胁级别T1T2T

5、3T4T5T6ISAL1SAL1SAL1SAL2SAL2SAL2IISAL1SAL1SAL1SAL2SAL3SAL3IIISAL1SAL2SAL2SAL3SAL3SAL4IVSAL2SAL3SAL4SAL4SAL4SAL5信息系统安全保障级技术（主要安全产品EAL级）信息系统安全保障管理能力成熟度级别信息系统安全保障过程能力成熟度级别SAL 1EAL 1SAM-CML 1SAE-CML 1SAL2EAL 2SAM-CML 1SAE-CML 1SAL3EAL 3SAM-CML 2SAE-CML 2SAL4EAL 4SAM-CML 3SAE-CML 3SAL5EAL 5SAM-CML 4SAE-CML 4信息安全保障组织体系信息安全保障策略符合性业务持续性管理运行安全管理物理安全访问控制管理应急响应管理信息安全保障战略规划人事管理采购管理系统开发管理资产管理审计与监控管理变更控制管理0级1级2级3级4级5级MOA:信息安全组织体系MSP:信息安全保障策略MPS:人事管理MIP:信息安全保障战略规划MPB:投资和预算管