体系前期准备工作全解

四川博源科技有限公司ISO27000系统事前准备一、建立领导小组信息安全管理组织图信息安全管理委员会信息安全管理员代表信息安全实施小组部门经理信息安全内部审计师建议：配置信息安全实施小组后，设置QQ组可以方便文件创建、复查和咨询通信交换。-信息安全管理委员会：1、制定信息安全管理系统战略；2、负责信息安全准则和目标的制定。3、与信息安全的角色分配相关的责任；4、负责公司信息安全组织结构的审批。5、负责信息安全管理系统管理员代表的任命。6、确保信息安全管理系统内部审计的实施。7、定期审查信息安全管理系统管理；8、确保公司信息安全教育的实施。9、决定接受风险标准和风险的允许水平。-经理代表(副主任/安全理事会副主任):1、监督信息安全管理系统的实施，定期向最高管理者报告；2、向企业传达实现信息安全目标、遵守信息安全政策、承担法律责任的重要性和持续改进的需要3、负责信息安全管理系统内部审计员的审批。4、负责程序文件的批准，包括修改后的批准。5、负责信息安全管理手册内容的确认和工作后监督；6、批准内部审计计划审查，托管信息安全内部审查，监督，批准内部审计报告；7、审查管理审查计划和管理审查报告，监督管理审查措施的实施。8、负责组织和确认公司的信息安全培训。-信息安全执行人员：1、在信息安全管理组确定的实施范围内，具体推广和实施政策要求和控制措施。2、负责本部门信息安全的日常工作，提高本部门员工的信息安全意识。3、对本部门信息资产进行风险评估，根据公司实际情况讨论风险的可接受标准，处置不可接受的风险；4、负责本部门信息安全事故的应急处理。-信息安全内部审计组：1、负责各部门信息安全管理系统的实施监督检查。2、负责内部审计和外部审计的具体工作。3、负责组织信息安全管理系统文件的审查，提交文件审查意见。4、负责有效性测量的计划和实施。-部门：1.收集与本部门相关的信息安全相关的法规和其他要求，及时向信息安全委员会报告，同时负责在本部门内传达、实施和履行部门2、法规和其他要求。3、在有关部门内宣传公司信息安全管理系统文件的要求，帮助提高部门员工的信息安全意识；4、按照信息安全系统文件的要求，由本部门执行；5、在信息安全事故发生后，协助信息安全委员会工作，制定处置措施，协助执行；6、协助信息安全审计小组进行系统内部审查和外部审查；7、有效地管理信息资产，确保信息的机密性，维护信息的完整性和可用性，防止未经授权的信息访问。8、负责部门信息安全管理系统文件和记录的接收、创建、修改和存储。9、处理与信息安全相关的这个部门的问题，并将该部门关于信息安全的要求和建议反馈给信息安全委员会；10、在第三方或外部联系人中积极宣传公司的信息安全目标和准则。11、与第三方或外部世界交换信息，接触时保护安全信息：二、定义各种功能职务信息安全角色和责任第三，完善的硬件保护措施(计算机房、门禁、计算机、打印/复印等设备的物理预防措施等)四、补充和完善现有管理规范文件(附相关文件清单)信息安全适用法律法规清单员工招聘及录用管理制度办公软件管理规范机房管理规范软件管理规范OA系统操作规范路由器操作规范门禁系统操作规范一体机操作规范UPS电源操作规范IT操作手册物理和环境安全管理制度信息安全事故管理规程存储介质管理规范员工惩戒管理制度保密管理制度交换机操作规范360杀毒规范消防应急预案信息交换管理规范机房管理规范服务器管理规范服务器操作规范信息安全设备设施管理规范信息交换管理规范信息沟通管理规范网络安全管理规范保密管理制度备份管理规范打印机、复印机、传真机、电话使用管理规范防范恶意和移动代码管理规范计算机及网络管理规定计算机设备操作规程网站管理有关规定物理和环境安全管理制度系统规划和验收管理规范信息安全监视管理规范信息系统管理规范五、发展：信息安全适用性宣言1、目的和范围2、责任3、宣言六、资产设备识别、清理定义资产分类是数据存档在信息介质上的各种电子数据，包括源代码、数据库数据、系统文档、操作管理程序、计划、报告和用户指南软件系统软件：操作系统、语言包、工具软件、各种数据库等应用程序软件：外部购买的应用程序软件、开发的应用程序软件等源代码：各种共享资源代码、用于自身或协作开发的各种代码等硬件网络设备：路由器、网络管理、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、可移动硬盘传输线：光钎焊、双绞线、光收发器、光钎焊收发器等设备保护：电源保护设备(UPS、变电站设备等)房间空调、保险柜、柜、门禁、消防设施等安全设备：防火墙、入侵检测系统、身份验证等其他：打印机、复印机、扫描仪、传真机等服务办公室服务：为提高效率而开发的管理信息系统(MIS)，包括各种内部配置管理、文件流管理等服务网络服务：各种网络设备、设施提供的网络连接服务信息服务：外部依赖系统的任何类型的服务文件纸的各种文件，如传真、电报、财务报告、开发计划等人负责重要信息和核心工作的人，如主机维护主管、网络维护主管、应用程序负责日期经理等其他企业形象、客户关系等-按部门列出资产：部门资产列表资产类别资产名称资产所有者或责任职位资产价值机密性完整性可用性资产等级(1-5)(1-5)(1-5)(1-5)数据资产硬件资产软件资产服务资产文件资产个人资产准备：审阅：批准：时间：时间：时间：部门重要资产列表资产类别资产名称资产所有者或责任职位资产价值评级注释(3-5)数据资产硬件资产软件资产服务资产文件资产个人资产准备：审阅：批准：时间：时间：时间：示例：市场营销部门：资产名称资产所有者或责任职位数据资产市场调查报告市场策划人产业分析报告行业分析师市场规划方案市场策划人营销计划，计划营销中心销售经理，地区主管产品宣传指南图形设计师客户文件数据营销中心销售经理助理投标文件投标监督官投标文件投标监督官技术方案投标监督官合同，合同内政部长数据统计表内政部长工作联系人内政部长工作品质报表营销中心商务部经理助理工作周刊，摘要营销中心商务部经理助理制图系统文件营销中心商务部经理助理内申资料内政部长硬件资产笔记本电脑部门全体人员桌上型电脑部门全体人员档案柜部门全体人员Usb磁盘部门中的所有员工打印机内政部长软件资产Windows操作系统部门中的所有员工Office应用程序软件部门中的所有员工文件资产市场调查报告市场策划人产业分析报告行业分析师市场规划方案市场策划人营销计划，计划营销中心销售经理助理，地区主管产品宣传指南图形设计师投标文件投标监督官投标文件投标监督官技术方案投标监督官证明材料(保证书、保证金收据等)内政部长合同，合同内政部长数据统计表内政部长工作联系人内政部长工作品质报表营销中心商务部经理助理制图系统文件营销中心商务部经理助理内申资料内政部长个人资产理事长老板副局长老板部门经理老板部门经理助理部门经理地方主管部门经理内政部长部门经理投标监督官部门经理投标监督官部门经理内务委员部门经理图形设计师部门经理行业分析师部门经理市场策划人部门经理区域销售经理部门经理部门秘书部门经理财务范例资产名称资产所有者或责任职位资产价值机密性完整性可用性资产等级(1-5)(1-5)(1-5)(1-5)数据资产帐簿电子数据所有财务人员4444帐簿纸数据所有财务人员4444报告所有财务人员4444与税相关的数据所有财务人员4444统计报告数据所有财务人员4444合同数据所有财务人员4444硬件资产生产计算机(台式机)每个使用人员4444笔记本电脑(管理员)管理员4444服务器所有财务人员4444打印机(包括复印)所有财务人员4444纸币计数器出纳4444支票打印机出纳4444发票打印机销售会计4444专用发票验证器成本会计4444装订器所有财务人员4444可移动硬盘总帐会计4444软件资产朋友财务软件所有财务人员4444帐簿局域网系统所有财务人员4444发票认证系统成本会计4444开票系统销售会计4444纳税申报系统总帐