体系前期准备工作.docx
- 文档编号:7603702
- 上传时间:2023-05-11
- 格式:DOCX
- 页数:14
- 大小:29.98KB
体系前期准备工作.docx
《体系前期准备工作.docx》由会员分享,可在线阅读,更多相关《体系前期准备工作.docx(14页珍藏版)》请在冰点文库上搜索。
体系前期准备工作
四川博源科技有限责任公司ISO27000体系
前期准备
一、设立领导小组
信息安全管理组织结构图
建议:
信息安全实施小组成立后,设QQ群便于文件编写、评审和咨询沟通交流。
-信息安全管理委员会:
1、建立信息安全管理体系的策略;
2、负责信息安全方针和目标的建立;
3、负责分配信息安全的角色的相关职责;
4、负责公司信息安全组织结构的批准;
5、负责信息安全管理体系管理者代表的任命;
6、确保信息安全管理体系内部审核的实施;
7、定期对信息安全管理体系进行管理评审;
8、确保公司信息安全教育的落实;
9、决定接受风险准则和风险的可接受的等级;
-管理者代表(分管副总/安委会副主任):
1、监督信息安全管理体系的实施,并定期向最高管理者汇报;
2、向公司传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要
3、负责信息安全管理体系内审员的批准;
4、负责程序文件的审批,包括修改的审批;
5、确认信息安全管理手册内容,并负责后期工作的监督;
6、审核批准内部审核计划,主持、监督信息安全内部审核,批复内审报告;
7、负责审核管理评审计划和管理评审报告,监督管理评审措施的落实;
8、负责组织和确认公司信息安全教育;
-信息安全执行代表:
1、在信息安全管理组确定的实施范围内,具体推广并落实各项策略要求和控制措施;
2、负责本部门信息安全的日常工作,负责本部门人员的信息安全意识提升;
3、对本部门信息资产进行风险评估,根据公司的实情,讨论风险的可接受标准,对不能接受的风险进行处置;
4、负责本部门信息安全事件的应急处理;
-信息安全内审小组:
1、负责对各部门信息安全管理体系的实施运行情况进行监督和检查;
2、负责内部审核和外部审核的具体工作;
3、负责组织对信息安全管理体系文件的评审,并提出文件评审意见;
4、负责有效性测量工作的计划和实施;
-各部门:
1、负责收集与本部门相关的信息安全方面的法规及其他要求,并及时上报信息安全委员会,同时负责在本部门内传达、贯彻和实施与部门相2、关的法规及其他要求;
3、协助在本部门内宣传公司的信息安全管理体系文件的要求,提高本部门员工的信息安全意识;
4、按照信息安全体系文件的要求,在本部门遵照执行;
5、发生信息安全事故后负责配合信息安全委员会工作,并协助制定、实施处置措施;
6、协助信息安全审计小组进行体系的内部审查与外部评审;
7、对信息资产实行有效管理,确保信息的机密性,维持信息的完整性和可用性,防范对信息的未授权访问;
8、负责本部门信息安全管理体系文件和记录的接收、编写、修改与保存;
9、处理本部门与信息安全相关的事宜,向信息安全委员会反馈本部门在信息安全方面的要求和建议;
10、在第三方或对外联络中积极宣传本公司的信息安全目标和方针;
11、在与第三方或外界进行信息交流、接触时,保证信息的安全;
二、定义各职能岗位信息安全角色和职责
三、硬件防护措施完善(机房、门禁、计算机、打印/复印等设备的物理防范措施等)
四、补充、完善现有管理规范性文件(附相关文件清单)
《信息安全适用法律法规清单》
《员工招聘及录用管理制度》
《办公软件管理规范》
《机房管理规范》
《软件管理规范》
《OA系统操作规范》
《路由器操作规范》
《门禁系统操作规范》
《一体机操作规范》
《UPS电源操作规范》
《IT操作手册》
《物理和环境安全管理制度》
《信息安全事故管理规程》
《存储介质管理规范》
《员工惩戒管理制度》
《保密管理制度》
《交换机操作规范》
《360杀毒规范》
《消防应急预案》
《信息交换管理规范》
《机房管理规范》
《服务器管理规范》
《服务器操作规范》
《信息安全设备设施管理规范》
《信息交换管理规范》
《信息沟通管理规范》
《网络安全管理规范》
《保密管理制度》
《备份管理规范》
《打印机、复印机、传真机、电话使用管理规范》
《防范恶意和移动代码管理规范》
《计算机及网络管理规定》
《计算机设备操作规程》
《网站管理有关规定》
《物理和环境安全管理制度》
《系统规划和验收管理规范》
《信息安全监视管理规范》
《信息系统管理规范》
五、制定:
信息安全适用性声明
1、目的与范围
2、职责
3、声明
六、资产设备识别、清理
对资产的定义
分类
示例
数据
保存在信息媒介上的各种电子数据资料,包括:
源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等
软件
系统软件:
操作系统、语言包、工具软件、各种数据库等
应用软件:
外部购买的应用软件、包括开发的应用软件等
源程序:
各种共享资源代码、自行或合作开发的各种代码等
硬件
网络设备:
路由器、网管、交换机等
计算机设备:
大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备:
磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘
传输线路:
光钎、双绞线、光端机、光钎收发器等
保障设备:
动力保障设备(UPS、变电设备等)机房空调、保险柜、文件柜、门禁、消防设施等
安全保障设备:
防火墙、入侵检测系统、身份验证等
其它:
打印机、复印机、扫描机、传真机等
服务
办公服务:
为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务
网络服务:
各种网络设备、设施提供的网络连接服务
信息服务:
对外依赖该系统开展的各类服务
文档
纸质的各种文件,如传真、电报、财务报告、发展计划等
人员
掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项日目经理等
其它
企业形象,客户关系等
-按部门建立资产清单:
部资产清单
资产类别
资产名称
资产责任人或责任岗位
资产价值
保密性
完整性
可用性
资产等级
(1-5)
(1-5)
(1-5)
(1-5)
数据资产
硬件资产
软件资产
服务资产
文档资产
人员资产
拟制:
审核:
批准:
时间:
时间:
时间:
部重要资产清单
资产类别
资产名称
资产责任人或责任岗位
资产价值等级
备注
(3-5)
数据资产
硬件资产
软件资产
服务资产
文档资产
人员资产
拟制:
审核:
批准:
时间:
时间:
时间:
示例如:
营销部门:
资产名称
资产责任人或责任岗位
数据资产
市场调研报告
市场策划师
行业分析报告
行业分析师
市场策划方案
市场策划师
营销计划、方案
营销中心销售部经理、大区总监
产品宣传手册
平面设计师
客户档案资料
营销中心销售部经理助理
招标文件
标书主管
投标文件
标书主管
技术方案
标书主管
合同、协议
内务主管
数据统计表
内务主管
工作联系单
内务主管
工作质量报告
营销中心商务部经理助理
工作周报、总结
营销中心商务部经理助理
制度体系文件
营销中心商务部经理助理
内审资料
内务主管
硬件资产
笔记本电脑
部门所有人员
台式机
部门所有人员
文件柜
部门所有人员
U盘
部门所有员工
打印机
内务主管
软件资产
Windows操作系统
部门所有员工
office应用软件
部门所有员工
文档资产
市场调研报告
市场策划师
行业分析报告
行业分析师
市场策划方案
市场策划师
营销计划、方案
营销中心销售部经理助理、大区总监
产品宣传手册
平面设计师
招标文件
标书主管
投标文件
标书主管
技术方案
标书主管
凭证资料(保函、保证金收据等)
内务主管
合同、协议
内务主管
数据统计表
内务主管
工作联系单
内务主管
工作质量报告
营销中心商务部经理助理
制度体系文件
营销中心商务部经理助理
内审资料
内务主管
人员资产
总监
总经理
副总监
总经理
部门经理
总经理
部门经理助理
部门经理
大区总监
部门经理
内务主管
部门经理
标书主管
部门经理
标书专员
部门经理
内务专员
部门经理
平面设计师
部门经理
行业分析师
部门经理
市场策划师
部门经理
区域销售经理
部门经理
部门秘书
部门经理
财务示例
资产名称
资产责任人或责任岗位
资产价值
保密性
完整性
可用性
资产等级
(1-5)
(1-5)
(1-5)
(1-5)
数据资产
账套电子数据
所有财务人员
4
4
4
4
账套纸质数据
所有财务人员
4
4
4
4
报表
所有财务人员
4
4
4
4
涉税数据
所有财务人员
4
4
4
4
统计报表数据
所有财务人员
4
4
4
4
合同数据
所有财务人员
4
4
4
4
硬件资产
操作电脑(台式机)
各使用人员
4
4
4
4
笔记本电脑(经理)
经理
4
4
4
4
服务器
所有财务人员
4
4
4
4
打印机(带复印)
所有财务人员
4
4
4
4
点钞机
出纳
4
4
4
4
支票打印机
出纳
4
4
4
4
发票打印机
销售会计
4
4
4
4
专用发票认证机
成本会计
4
4
4
4
装订机
所有财务人员
4
4
4
4
移动硬盘
总账会计
4
4
4
4
软件资产
用友财务软件
所有财务人员
4
4
4
4
账套局域网系统
所有财务人员
4
4
4
4
发票认证系统
成本会计
4
4
4
4
开票系统
销售会计
4
4
4
4
纳税申报系统
总账会计
4
4
4
4
川投集团预算系统
总账会计
4
4
4
4
国资委快报系统
总账会计
4
4
4
4
EAS账套传送系统
总账会计
4
4
4
4
政府统计报表系统
总账会计
4
4
4
4
网银系统
经理、出纳
4
4
4
4
文档资产
财务报表
所有财务人员
4
4
4
4
合同
所有财务人员
4
4
4
4
税务申报表
经理、总账会计
4
4
4
4
人员资产
财务部所有人员
4
4
4
4
七、风险评估(现场指导实施)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 体系 前期 准备工作