ISMS信息安全管理体系文件

ISMS-01-01

ISMS信息安全管理体系文件

样式编号ISMS-A-2019

编制高珊珊

审核

密级内部

版本V0.5

编写日期2019年1月15日

目录

一、信息安全方针---------------------------------------------------------------------03

1.1总体方针--------------------------------------------------------------------------03

1.2信息安全管理机制-----------------------------------------------------------------03

1.2.1目标量化-------------------------------------------------------------------04

L3信息安全小组---------------------------------------------------------------------03

1.4识别法律、法规、合同中的安全----------------------------------------------------04

1.b风险评估--------------------------------------------------------------------------04

1.6报告安全事件---------------------------------------------------------------------04

1.7监督检查-------------------------------------------------------------------------04

L8信息安全的奖惩-------------------------------------------------------------------04

1.9手册的管理------------------------------------------------------------------------工

1.9.1信息安全管理手册的批准--------------------------------------------------运

1.9.2信息安全管理手册的发放、更改、作废与销毁---------------------------------04

L9.3信息安全管理手册的换版----------------------------------------------------05

1.9.4信息安全管理手册的控制---------------------------------------------------布

二、信息安全管理手册-----------------------------------------------------------------05

2.1目的和范围------------------------------------------------------------------------05

2.1.1总则------------------------------------------------------------------------05

2.1.2范围------------------------------------------------------------------------05

2.2术语和定义------------------------------------------------------------------------06

2.3引用文件--------------------------------------------------------------------------06

2.3.1组织环境，理解组织及其环境-------------------------------------------------06

2.3.2理解相关方的需求和期望------------------------------------------------------06

2.3.3确定信息安全管理体系的范围--------------------------------------------------06

2.4信息安全管理体系-----------------------------------------------------------------07

2.4.1总要求----------------------------------------------------------------------07

2.4.2建立和管理ISMS---------------------------------------------------------------------------------------------------()9

2.4.3资源管理--------------------------------------------------------------------20

2.5ISMS内部审核----------------------------------------------------------------------22

2.5.1总则------------------------------------------------------------------------22

2.5.2内审策戈ij---------------------------------------------------------------------------------------------------------------22

2.5.3|为--------------------------------------------------------------------22

2.6ISMS管理评审---------------------------------------------------------------------22

2.6.1总则-----------------------------------------------------------------------药

2.6.2评审输入-------------------------------------------------------------------23

2.6.3评审输出-------------------------------------------------------------------23

2.7ISMS改进--------------------------------------------------------------------------迈

2.7.1持续改进------------------------------------------------------------------23

2.7.2纠正措施------------------------------------------------------------------24

三、信息安全规范------------------------------------------------------------------24

3.1总则-----------------------------------------------------------------------------24

3.2环境管理-------------------------------------------------------------------------以

3.3资产管理-------------------------------------------------------------------------26

3.4介质管理-------------------------------------------------------------------------隔

3.5设备管理-----------------------------------------------------------------------27

3.5.1总则------------------------------------------------------------------------27

3.5.2系统主机维护管理办法-----------------------------------------------------27

3.5.3涉密计算机安全管理办法---------------------------------------------------29

3.6系统安全管理--------------------------------------------------------------------29

3.7恶意代码防范管理----------------------------------------------------------------30

3.8变更管理-------------------------------------------------------------------------30

3.9安全事件处置---------------------------------------------------------------------30

3.1()监控管理和安全管理中心----------------------------------------------------------31

3.11数据安全管理--------------------------------------------------------------------31

3.12网络安全管理---------------------------------------------------------------------32

3.12.1网络系统运行维护管理办法--------------------------------------------------32

3.12.2网络病毒入侵防范管理办法--------------------------------------------------32

3.12.3网络信息安全策略管理办法--------------------------------------------------33

3.12.4网络信息系统安全检查管理办法---------------------------------------------33

3.13操作管理-------------------------------------------------------------------------33

3.14安全审计管理办法---------------------------------------------------------------33

3.15信息系统应急预案---------------------------------------------------------------34

3.16附表--------------------------------------------------------------------------34/55

一、信息安全方针

L1总体方针

满足用户要求，实施风险管理，确保信息安全，实现持续改进。

1.2信息安全管理机制和目标

公司为用户提供智能登陆及加密会员信息管理的服务，信息资产的安全性对公司及用户非常重要。为了

保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务，公司依据ISO/IEC27001:2013

标准，建立信息安全管理体系，全面保护公司及用户的信息安全。

1.2.1目标量化：

保密性目标：确保小公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。

1）顾客保密性抱怨/投诉的次数不xeg超过1起/年。

2）受控信息泄露的事态发生不超过3起/年。

3）秘密信息泄露的事态不得发生。

完整性目标：确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据；

1）非授权方式更改数据导致业务系统出现故障而影响正常工作的事态不超过2起/年。

可用性目标：确保本公司业务系统能有效率地运转并使所有授权用户得到所需信息服务。

1）得到授权的用户执行数据操作，出现服务拒绝或者数据拒绝的次数不得高于10起/年；

2）得到授权的用户超越其自身权限，越权使用系统、使用数据的次数不超过10起/生。

1.3信息安全小组

负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各

信息安全执行单位对于信息安全政策、措施的实施；

负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理委员会

汇报；

对员工进行信息安全意识教育和安全技能培训；

协助人力资源部对外部组织有关的信息安全工作，负责建立各部门定期沟通机制；

负责对ISMS体系进行审核，以验证体系的健全性和有效性，并对发现的问题提出内部审核建议；

负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计：

负责汇报审计结果，并督促审计整改工作的进行，落实纠正措施（包括内部审核整改意见）和预防措施；

负责制定违反安全政策行为的标准，并对违反安全政策的人员和事件进行确认；

负货管理体系文件的控制；

负责保存内部审核和管理评审的有关记录；

识别适用于公司的所有法律、法规，行业主管部门颁布的规章制度，审核ISMS体系文档的合规性。

L4识别法律、法规、合同中的安全

及时识别用户、合作方、相关方、法律法规对信息安全的要求，采取措施，保证满足安全要求。

1.5风险评估

根据公司业务信息安全的特点、法律法规的要求，建立风险评估程序，确定风险接受准则。

定期进行风险评估，以识别公司风险的变化。公司或环境发生重大变化时，随时评价。

应根据风险评估的结果，采取相应措施，降低风险。

1.6报告安全事件

公司建立报告安全事件的渠道和相应机构。

全体员工有报告安全隐患、威胁、薄弱点、事故的责任，一旦发现安全事件，应立即按照规定的途径进

行报告。

接受报告的相应部门/机构应记录所有的报告，及时做相应处理，井向报告人员反馈处理结果。

1.7监督检查

对信息安全进行定期或不定期的监督检查，包括：日常检查、专项检查、技术性检查、内部审核等。

对信息安全方针及其他信息安全政策进行定期管理评审（至少一年一次）或不定期管理评审。

L8信息安全的奖惩

对公司信息安全做出贡献的人员，按规定进行奖励。

对违反安全方针、职责、程序和措施的人员，按规定进行处罚。

1.9手册的管理

1.9.1信息安全管理手册的批准

管理者代表负责组织编制《ISMS信息安全管理体系文件》，总经理负责批准。

1.9.2信息安全管理手册的发放、更改、作废与销毁

1）行政部负责按《文件控制程序》的要求，进行《ISMS信息安全管理体系文件》的登记、发放、回收、

更改、归档、作废与销毁工作；

2）各相关部门按照受控文件的管理要求对收到的《1SMS信息安全管理体系文件》进行使用和保管；

3）行政部按照规定发放修改后的《ISMS信息安全管理体系文件》，并收回失效的文件作出标识统一处理，

确保有效文件的唯一性；

4）管理者代表保留《ISMS信息安全管理体系文件》修改内容的记录。

1.9.3信息安全管理手册的换版

当依据的ISO/IEC27001:2013或IS0/IEC27002:2013标准有生大变化、组织的结构、内外部环境、生产

技术、信息安全风险等发生重大改变及《ISMS信息安全管理体系文件》发生需修改部分超过1/3时，应对《ISMS

信息安全管理体系文件》进行换版。换版应在管理评审时形成决议，重新实施编、审、批工作。

1.9.4信息安全管理手册的控制

1）本《ISMS信息安全管理体系文件》标识分受控文件和非受控文件两种：

一一受控文件发放范围为公司领导、各相关部门的负责人、内审员；

-非受控文件指印制成单行本，作为投标书的资料或为生产、销售目的等发给受控范围以外的其

他相关人员。

2）《ISMS信息安全管理体系文件》有书面文件和电子文件，电子版本文件的有效格式为PDF文档。

二、信息安全管理手册

2.1目的和范围

2.L1总则

为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简称IS.MS）,确定

信息安全方针和目标，对信息安全风险进行有限管理，确保员工理解并遵照执行信息安全管理体系文件、持

续改进信息安全管理体系的有效性，特制定本手册。

2.L2范围

本手册适用于ISO/IEC27001:2013条款规定范围内的信息安全管理活动。

1）业务范围：开发、运营、维护信息技术产业管理系统。

2）组织范围：全公司上下各部门与业务有直接相关的正式员工，共12人；

3）物理范围：上海市浦东新区博霞路50号203室

4）资产范围：与业务范围、组织范围、物理范围内相关的硬件、软件、数据•、文档、人员及支持性

服务等全部信息资产和相关技术手段。

5）IS0/IEC27001:2013条款的适用性与公司最新版本的适用性声明一致。

2.2术语和定义

下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》

的条款。凡是注日期的引用文件，其随后所有的修改单或修订版均不适用于本体系文件，然而，信息安全管

理委员会应研究是否可使用这些文件的最新版本。凡是不注口期的引用文件、其最新版本适用于本信息安全

管理手册。

ISO/IEC27001,信息技术-安全技术-信息安全管理体系-概述和词汇

2.3引用文件

1SO/IEC27001中的术语和定义适用于本手册。

本公司：上海海湃计算机科技有限公司

信息系统：指由计算机及其相关的和配套的设备、设施（含网络）构成的，且按照一定的应用目标和规

则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能

自我复制的一组计算机指令或者程序代码。

信息安全事件：指导致信息系统不能提供正常服务或服务质廉下降的技术故障事件、利用信息系统从事

的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。

相关方：关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。主要为：政府、上级部

门、供方、用户等。

2.3.1组织环境，理解组织及其环境

本公司在系统开发、经营、服务和日常管理活动中，确定与其目标相关并影响其实现信息安全管理体系

预期结果的能力的外部和内部问题。

2.3.2理解相关方的需求和期望

组织应确定：

1）与信息安全管理体系有关的相关方

2）这些相关方与信息安全有关的要求。

2.3.3确定信息安全管理体系的范围

本公司应确定信息安全管理体系的边界和适用性，本公司信息安全管理体系的范围包括：

1）本公司的认证范围为：防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。

2）与所述信息系统有关的活动

3）与所述信息系统有关的部门和所有员工；

4）所述活动、系统及支夺性系统包含的全部信息资产。

确定该范围后，本公司应考虑：

1）在2.3.1中提及的外部和内部问题；

2）在2.3.2中提及的要求；

3）本公司所执行的活动之间以及与其它组织的活动之间的接口和依赖性范围应文件化并保持可用性。

组织范围：本公司根据组织业务特征和组织结构定义了信息安全管理体系的信息安全职责《信息安全职

责说明书》（见表二十二）

物理范围：上海市浦东新区博霞路50号203室

本公司根据组织的业务特征、组织结构、地理位置.、资产和技术定义了信息安全管理体系的物理范围和

信息安全边界。

2.4信息安全管理体系

2.4.1总要求

公司依据【SO/IEC27001:2013标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全管理

体系形成文件；本公司全体员工将有效地贯彻执行并持续改进有效性，对过程的应用和管理详见《信息安全

管理体系过程模式图》（图1）

2.4.1.1领导和承诺

高层管理者通过下列方式展示其关于信息安全管理体系的领导力和承诺：

1）确保建立信息安全方针和信息安全目标，并与组织的战略方向保持•致;

2）确保将信息安全管理体系要求整合到组织的业务过程中；

3）确保信息安全管理体系所需资源可用；

4）传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；

5）确保信息安全管理体系实现其预期结果；

6）指挥并支持人员为信息安全管理体系的有效实施作出贡献；

7）促进持续改进

8）支持其他相关管理角色在其职责范围内展示他们的领导力。

2.4.1.2方针

高层管理者应建立信息安全方针，具体见以下：

1）适用于组织的目标；

2）包含信息安全目标或设置信息安全目标提供框架；

3）包含满足适用的信息安全相关要求的承诺；

4）包含信息安全管理体系持续改进的承诺：

2.4.1.3信息安全方针

1）文件化并保持可用性；

2）在组织内部进行传达；

3）适当时，对相关方可用。

2.4.L4组织角色、职责和权限

1）高层管理者应确保分配并传达了信息安全相关角色的职责和权限。应分配下列职责和权限：

a）信息安全管理体系符合本手册的要求；

b）将信息安全管理体系的绩效报告给高层管理者。

2）高层管理者还要分配在组织内部报告信息安全管理体系绩效的职责和权限。明确信息安全的管理职责,

详见《信息安全管理职责明细表》（表二十三）。

2.4.1.5规划应对风险和机会的措施

当规划信息安全管理体系时，本公司考虑2.3.1中提及的问题和2.3.2中提及的要求，确定需要应对的

风险和机会，以：

1）确保信息安全管理体系能实现其预期结果；

2）防止或减少意外的影响；

3）实现持续改进。

4）本公司应规划应对这些风险和机会的措施：

5）如何整合和实施这些措施并将其纳入信息安全管理体系过程；

6）如何评价这些措施的有效性。

2.4.2建立和管理ISMS

2.4.2.1建立思路

分析企业信息安全的实际情况，通过制定企业的信息安全目标、提出信息安全要求、制定信息安全措施，通

过组织体系、运作体系、技术体系、策略体系的支持，按照PDCA流程，先计划，再执行，而后对其运行结果

进行评估，紧接着按照计划的具体要求对该评估进行复杳，而后寻找到任何与计划不符的结果偏差，最后制

定出符合企业的信息安全管理体系，并进行建立、实施和维护信息安全管理体系，最终为实现的目标是：

1）对信息系统的信息进行保护，减少来自内外的各种威胁：

2）确保业务连续性，确俣网络畅通、各业务应用系统高效动作，避免业务发生中断；

3）业务风险最小化，避免信息系统事故可能引起的业务风险，减少商业秘密的泄露。

2.4.2.2建设步骤

1、准备工作，通过领导决策，进行安全组织和人员的配备，并进行相关的培训和宣传，从而为后期信息

安全管理体系的建设和推广提供相关支持；

2、框架建立，参考信息安全体系框架，进行管理体系和技术体系框架的分析，着重对信息安全管理体系

进行研究，得出研究的基础理论支持；

3、评估风险，按照信息安全评估流程的方法，通过资产的分类和风险的分类得出风险评估的结果，作为

信息安全改善的依据；

4、改善安全，通过风险评估和差距的分析，结合管理和技术的手段，按照风险改善的方法，得出信息

安全改善的措施；

5、实施运行:，按照前面评估的风险和安全改善的措施，对已建立好的信息安全管理体系进行实施和运行，

并制定相关的信息安全制度细则和技术管控措施：

6、检查改进，通过不断的检查和改进，检查存在的信息安全风险，并针对风险点进行管理和技术上的安

全改善；

7、持续运行，通过不断的检查和改进，保证信息安全管理体系能够持续的运行，为企业的业务提供更全

面更可靠的信息系统。

2.4.2.3风险评估

信息安全的风险管理是把风险管理的思想纳入到整个信息安全管理的过程中来,基于风险的信息安全管

理体系在分析风险后，就会利用一系列的安全技术措施来控制风险，以达到信息安全的目标，依据风险评估

结果制订的信息安全解决方案，可以最大限度的避免盲目的追求而浪费相关资源，同时还造成对业务的影响，

最终使企业在信息安全方面的投资收益最大化。

本公司定义并应用风险评估过程，风险评估小组负责制定《信息安全风险评估管理程序》以建立并保持

信息安全风险准则，包括：

1）风险接受准则；

2）执行信息安全风险评估的准则，根据《信息安全风险评估管理程序》确保重复性的信息安全风险评估

可产生一致的、有效的和可比较的结果；

3）识别信息安全风险，应用《信息安全风险评估管理程序》识别信息安全管理体系范围内的信息丧失保

密性、完整性和可用性的相关风险；

4）识别风险负责人；

5）分析信息安全风险；评估2.4.2.3>3）中所识别风险发生后将导致的潜在影响；

6）分析信息安全风险；评估2.4.2.3>3）中所识别风险发生的现实可能性；

7）确定风险级别；

8）评价信息安全风险；将风险分析结果同2.4.2.3>1）建立的风险准则进行比较；

9）评价信息安全风险；为实施风险处置确定已分析风险的优先级。

本公司《信息安全风险评估管理程序》定义并应用风险评估过程，并保留信息安全风险评估过程的文

件记录信息，风险评沽一般的工作流程包括九个步骤，具休如下：

输入风险评估活动输出

按照以上的风险评估步骤，对企业的信息安全风险进行评估，其风险评估的对象主要是企业的信息资产，包

括数据、软硬件、人员等，具体说明如下：

信息资产分类

分类具体内容

数据存在于信息介质上的各种数据资料：包括数据库、系统文档、计划、报告、用

户手册等

软件系统软件：操作系统、工具软件等

应用软件；外部购买的应用软件，自主研发的应用软件等

硬件网络设备：防火墙、路由器、交换机等

计算机设备：服务器、台式机、笔记本等

移动存储设备：u盘、移动硬盘、网络云盘等

传输路线：光纤、双绞线等

保障设备：UPS、空调、门禁、消防设施等

其他电子设备：打印机、复印机、扫描仪、传真机等

服务办公服务：为提高工作效率而开发的管理信息系统，包括各种内置配置管理、

文件流转管理等服务

网络服务：为各种网络设备、设施提供的网络连接服务

信息服务：对外依赖该系统开展服务而获得业务收入的服务

文档纸质的各种文档、传真、财务报表、发展计划等

人员掌握重要信息和核心业务的人员，如机房的管理人员、主机的维护工程师、网

络维护工程师及应用系统项n经理人员

在确定了风险评估的对你之后，即开始对风险评估对象所面临的风险进行识别、分析和评价，具体的风险评

估内容和过程如下：

风险评估的沟通与咨询

风险评估的监控与亩查

风险

对象确立

控制

端

识

确

分

识

分

脆

别

析

识

分

^分

别

析

评

给

弱

需

威

别

析

析

存

威

价

出

推

要

胁

面

资

k影

分

在

如

风

的

保

临

产

晌

行

斯

析

险

的

源

的

的

的

护

这

报

安

结

等

脆

的

威

价

程

的

的

全

利

果

级

弱

动

胁

值

度

资

措

能

用

性

机

产

施

力

性

按照以上所示的风险评估内容和过程，对企业的信息安全风险进行评估，所评估的风险分类如下:

信息安全风险分类

种类描述

软、硬件故障由于设备的硬件故障、通信链路中断、系统本身或软件BUG导致对业务

高效稳定运行的影响

无作为或操作失由于应该执行而没有执行生意人操作或无意执行借识操作对系统造成

误的影响

管理不到位安全管理无法落实、不到位、造成安全管理不规范或者混乱，从而破坏

信息系统正常有序的运行

恶意代码和病毒具有自我复制、自我传播能力，对信息系统构成破坏的代码

越权和滥用通过采用一些措施、超越自已的权限访问了本来无法访问的资源，或者

滥用自己的职权，做出破坏信息系统的行为

黑客攻击技术利用黑客工具和技术，如侦查、密码猜测攻击、缓冲区溢出攻击、安装

后门、嗅探、伪造和欺骗、拒绝服务攻云对系统进行攻击和入侵

物理攻击物理接触、物理破坏、盗窃

泄密机密泄露、机密信息泄露给他人

篡改非法修改信息、破坏信息的完整性

抵赖不承认收到的信息和所做的操作和交易

针对以上所列的信息安全风险，为了更好的进行管理和控制，从风险对业务的影响来进行定义等级，以

下主要是按照风险出现的频率来进行定义（风险等级评估的方法有定量和定性两种方法，在此我们按照定量

的方法分析）具体如下：

信息安全风险等级

等级标识描述

5很高出现的频率很高（如＞1次/周），或在大多数情况下几乎不可避免，或可

以证实经常发生过

4高出现的频率较高（如＞1次/月），或在大多数情况下很有可能会发生，或

可以证实多次发生过

3中出现的频率中等（如＞1次/半年），或在某种情况下可能会发生，或可以

证实多次发生过

2低出现的频率较小，或一般不太可能会发生，或没有被证实发生过

1很低威胁几乎不可能生发，仅可能在非常罕见和例外的情况下发生

结合企业目前的信息安全现状，参照IS027001的标准，整理出企业的风险评估结果，具体如卜，

信息安全风险评估结果

控制领域说明等级描述

物理环境安全物理环境威胁4断电、静电等问题一直存在

信息资产管理软、硬故障3经常性出现各种软件、硬件的故障或是

链路的中断等问题

物理攻击2物理接触和物理破坏的可能性较低

无作为或操作失误5时常会出现人为操作对系统造成的影响

越权和滥用3系统和终端的权限管理不规范，存在越

运行和维护安全

权和滥用的风险，有破坏信息系统的行

为风险

篡改2非法修改信息和破坏信息的完整性较少

信息安全方针管理不到位5信息安全的管理还不银剑，同时管理不

规范，从而破坏信息系统正'首有序的运

行

人员安全管理泄密4出现过机密泄露和机密信息泄露给他人

抵赖4有出现过不承认收到的信息和所做的操

作

安全事件管理恶意代码和病毒4内部病毒的控制和管理还是有待提高

黑客攻击技术4出现过利用黑客攻击的现象，影响到了

系统和终端的日常使用

2.4.2.4安全改善

对于基于风险的信息安全理论来说，信息安全建设的宗旨就是评估信息系统面临的安全风险，并在综合

考虑成本与效益的前提卜，通过综合的安全措施来控制风险，风险控制的手段一般包括：策略、保护、检测、

响应和恢复等方法，具体说明如下：

信息安全风险改善方法

说明风险改善需求风险改善措施

设备管理制度

机房进出制度

系统安全管理制度

系统安全配置制度

网络安全管理制度建立完善的各种安全相关制度和规范，使得保护、检

策略

网络安全配置制度测和各个安全管理环节有据可依、切实有效

应用安全管理制度

应用安全配置制度

应急响应计划

安全事件处理准则

保护机房严格按照国家相关计算机机房的设计规范和安全要

求建设和维护计算机机房

门禁安装相应的门禁控制系统，并能够进行有效管理

病毒防护全面部署防病毒系统

漏洞补丁及时下载和安装最新的漏洞补丁

安全配置严格遵守各安全配置明细，避免漏洞的出现

身份认证根据不同的安全要求，进行设置相应的身份认证系统

访问控制根据不同的安全要求，分别采用自主型强，强制型笔

级别的访问控制系统对设备、用户等主体访问客体的

权限进行控制

数据加密根据不同的安全要求，采用绝密、机密、秘密等级别

的数据

边界控制在网络边界布置防火墙，阻止外来的非法访问

监视、报警在适当的位置安装监视器和报警器，在各系统单元中

配置检测系统和报警系统，以实时发现安全事件并及

时报警

数据校验通过数据校验技术，发现数据篡改

主机入侵检测实施主机入侵检测系统，发现主机入侵行为

检测主机状态监测实施主机状态监测系统，随时掌握主机运行状态

网络入侵检测实施网络入侵检测系统，发现网络入侵行为

网络状态检测实施网络状态监测系统，随时掌握网络运行状态

安全审计在各系统单元中配置安全审计，以发现深层安全漏洞

和安全事件

安全监督、检查实现持续有效的安全监督，预演应急响应计划

故障修复、事故排除保证能够随时获得故障修复和事故排除的工程技术

人员和软件、硬件工具

设施备份、恢免针对关键设施,配置设施备份和恢免系统

系统备份、恢复针对关键系统，配置系统备份和恢复系统

数据备份、恢复针对关键数据，配置数据备份和恢复系统

响应

网络备份、恢复针对关键网络，配置网络备份和恢爱系统

应用备份、恢复针对关键应用，配置应用备份和恢复系统

应急响应按照应急响应计划处理应急事件

安全事件处理按照应急事件处理，找出事故原因、追究责任、总结

经验教训、提出改善建议

信息安全管理措施的实现依据于各种具体的安全控制技术和管理措施，以上安全改善就可以归纳为两个

方面，即管理方面和技术方面，通过管理和技术的双方面进行控制和管理改善信息安全。

2.4.2.5信息安全目标和规划实现

本公司在相关职能和层次上建立信息安全目标，风险评估小组根据信息安全方针、业务发展要求及风险

评估的结果，组织有关部门制定了信息安全目标，并将目标分解到有关部门（见《信息安全适用性声明》）。

信息安全目标应：

1）与信息安全方针致；

2）可测量（如可行）；

3）考虑适用的信息安全要求以及风险评估和风险处置结果;

4）被传达;

5）适当时进行更新。

本公司应保留关于信息安全目标的文件记录信息。

当规划如何实现其信息安全目标时，本公司确定：

6）要做什么;

7）需要什么资源：

8）由认证负责；

9）什么时候完成；

10）如何评价结果。

2.4.2.6技术的信息安全

从技术角度考虑，企业信息安全管理体系中所需采取的安全技术体系包括：

1、物理环境安全

信息系统硬件安全，在公司的信息系统硬件管理上，首先对机房的硬件环境进行安全管理，包括温度、

温度、消防、电力等安全管理，对关键的应用需要采取UPS供电，同时采取相应的备份，对硬件的使

用率进行实时监控，避免硬件的使用率过高造成业务持续性的影响，另外需要对硬件的物理环境进行

监控，避免非法人员的进入，同时也是对•管理员的日常行动进行监控，最后需要对机房的人员和物品

的出入进行权限的管理和等级制度；

2、信息资产管理

a）操作系统安全，操作系统安全除了进行必要的补丁和漏洞的管理和更新外，最主要的是进行防

病毒管理，通过杀毒软件来防止非法的木马、恶意代码、软件对操作系统的安全影响；

b）应用程序安全，应用程序的安全直接关系信息系统的安全性，通过硬件、软件的安全保护来保

证应用程序的安全；

3、运行维护安全

a）安全传输技术，对于重要的系统和对外的访问，进行安全的传输技术，目前使用主要的HTTPS

和SSL的安全传输技术，以此来保证信息在传输过程中的安全，避免被非法用户窃取、篡改和

利用;

b）入侵检测技术和防火墙技术等，对于系统和用户对内对外的访问进行控制和管理，采用相应的

入侵检测技术和防火墙技术，来保证系统的信息安全；

4、访问控制安全

a）密码算法技术，密码算法技术应用主要是确保信息在传送过程中不被非法的人员窃取、篡改和

利用，同时接收方能够完整无误的解读发送者发送的原始信息，此密码算法技术忖前在公司没

有进行应用；

b）安全协议技术，安全协议技术主要是指身份认证功能，目前企业系统的安全保护主要都是依赖

于操作系统的安全，这样入侵系统就非常容易，因此需要建立一套完善的身份认证系统，其目

的是保证信息系统能够确认系统访问者的真正身份，身份认证协议都是使用数据加密或数字签

名等方法来确认消息发送方的身份。

c）访问控制，访问控制主要是用户在访问系统或者是互联网时进行相关的控制策略，从而来保证

信息系统环境的安全，同时避免数据的泄露，目前使用的技术主要是上网行为管理，来管理和

控制用户的上网行为，在保证安全的同时提高工作效率和美化网络环境；

d）身份识别与权限管理技术，对不同的系统、不同的用户、不同的业务采取不同的身份识别和权

限管理，从而从身份和权限上来保证系统和用户的信息安全；

2.4.2.7管理的信息安全

从管理的角度考虑，企业信息安全管理体系中所需采取的安全管理方面的措施主要包括：物理安全管理、

数据安全管理、人员安全管理、软件安全管理、运行安全管理、系统安全管理、技术文档安全管理，具体说

明如下：

信息安全改善在管理方面的方法

控制领域分类说明

机房与设施安全对放置计算机系统的空间进行周密规划、对物理设

物理环境

备进行保护、提供相应的安全保护系统

技术控制设置相应的技术控制，如门禁系统、访问控制等

环境和人身安全进行环境和人身的安全保证，如设置防火、防水、

安全

异地灾备等

电磁泄漏按业务需求，进行设置相关的电磁泄漏装置

数据载体安全管理对数据载体进行统一管理和保护，从而保护数据

数据密级标签管理对不同类别和级别的数据采取不同的保护措施

数据存储管理数据存储的管理，避免外界原因造成数据的毁坏

数据访问控制管理对数据采取自我保护，防止数据的非法使用

数据备份管理为防止数据丢失或系统瘫痪的风险，进行数据备份

应用系统的安全问题对应用系统在使用中存在的一些社会问题和道德问

题进行管理，如计算机浪费和失误、计算机犯罪等

系统的安全管理实现对运行系统的安全管理、软件的安全管理、关键技

信息资产管理术管理和人员的安全管理

文档密级管理对文档进行定密，并按照密级进行管理

文档借阅管理对文档的借阅进行必要的等级、审批手续等管理

电子文档安全管理在电子文档的形成、处理、收集、积累、整理、归

档、保管、利用等环节进行安全管理

技术文档备份对技术文档的复制、备份等进行统