信息安全管理體系文件樣式編號ISMS-A-2015編制審核批準密級內(nèi)部版本V1.0發(fā)布日期2015年8月目錄1 信息安全方針 41.1 總體方針 41.2 信息安全管理機制 41.3 信息安全小組 41.4 識別法律、法規(guī)、合同中的安全 51.5 風險評估 51.6 報告安全事件 51.7 監(jiān)督檢查 51.8 信息安全的獎懲 52 信息安全管理手冊 52.1 目的和范圍 52.1.1 總則 52.1.2 范圍 52.2 術語和定義 62.3 引用文件 62.4 信息安全管理體系 62.4.1 總要求 62.4.2 建立和管理ISMS 72.4.3 資源管理 212.5 ISMS內(nèi)部審核 222.5.1 總則 222.5.2 內(nèi)審策劃 222.5.3 內(nèi)審實施 222.6 ISMS 管理評審 222.6.1 總則 232.6.2 評審輸入 232.6.3 評審輸出 232.7 ISMS改進 242.7.1 持續(xù)改進 242.7.2 糾正措施 243 信息安全規(guī)范 253.1 總則 253.2 環(huán)境管理 253.3 資產(chǎn)管理 283.4 介質(zhì)管理 283.5 設備管理 283.5.1 總則 283.5.2 系統(tǒng)主機維護管理辦法 293.5.3 涉密計算機安全管理辦法 313.6 系統(tǒng)安全管理 313.7 惡意代碼防范管理 333.8 變更管理 333.9 安全事件處置 333.10 監(jiān)控管理和安全管理中心 343.11 數(shù)據(jù)安全管理 343.12 網(wǎng)絡安全管理 353.13 操作管理 373.14 安全審計管理辦法 383.15 信息系統(tǒng)應急預案 383.16 附表 391 信息安全方針1.1 總體方針滿足客戶要求，實施風險管理，確保信息安全，實現(xiàn)持續(xù)改進。

1.2 信息安全管理機制公司為客戶提供智能用電及能源管理的服務，信息資產(chǎn)的安全性對公司及客戶非常重要為了保證各種信息資產(chǎn)的保密性、完整性、可用性，給客戶提供更加安心的服務，公司依據(jù)ISO/IEC 27001:2005標準，建立信息安全管理體系，全面保護公司及客戶的信息安全 1.3 信息安全小組1) 負責信息安全管理體系的建立、實施和日常運行，起草信息安全政策，確定信息安全管理標準，督促各信息安全執(zhí)行單位對于信息安全政策、措施的實施；2) 負責定期召開信息安全管理工作會議，定期總結(jié)運行情況以及安全事件記錄，并向信息安全管理委員會匯報；3) 對員工和客戶進行信息安全意識教育和安全技能培訓；4) 協(xié)助人力資源部對員工的聘前、聘中及解聘過程中涉及的人員信息安全進行有效管理；5) 協(xié)調(diào)各部門以及與外部組織間有關的信息安全工作，負責建立各部門、客戶的定期聯(lián)系和溝通機制；6) 負責對ISMS體系進行審核，以驗證體系的健全性和有效性，并對發(fā)現(xiàn)的問題提出內(nèi)部審核建議；7) 負責對ISMS體系的具體實施、各部門的信息安全運行狀況進行定期審計或?qū)ｍ棇徲嫞?) 負責匯報審計結(jié)果，并督促審計整改工作的進行，落實糾正措施(包括內(nèi)部審核整改意見)和預防措施；9) 負責制定違反安全政策行為的標準，并對違反安全政策的人員和事件進行確認；10) 負責調(diào)查安全事件，并維護安全事件的記錄報告(包括調(diào)查結(jié)果和解決方法) ，定期總結(jié)安全事件記錄報告；11) 負責管理體系文件的控制；12) 負責保存內(nèi)部審核和管理評審的有關記錄；13) 識別適用于公司的所有法律、法規(guī)，行業(yè)主管部門頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性。

1.4 識別法律、法規(guī)、合同中的安全1) 及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求1.5 風險評估1) 根據(jù)公司業(yè)務信息安全的特點、法律法規(guī)的要求，建立風險評估程序，確定風險接受準則2) 定期進行風險評估，以識別公司風險的變化公司或環(huán)境發(fā)生重大變化時，隨時評估3) 應根據(jù)風險評估的結(jié)果，采取相應措施，降低風險1.6 報告安全事件1) 公司建立報告安全事件的渠道和相應機構(gòu)2) 全體員工有報告安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)安全事件，應立即按照規(guī)定的途徑進行報告3) 接受報告的相應部門/機構(gòu)應記錄所有報告，及時做相應處理，并向報告人員反饋處理結(jié)果1.7 監(jiān)督檢查1) 對信息安全進行定期或不定期的監(jiān)督檢查，包括：日常檢查、專項檢查、技術性檢查、內(nèi)部審核等2) 對信息安全方針及其他信息安全政策進行定期管理評審（至少一年一次）或不定期管理評審1.8 信息安全的獎懲1) 對公司信息安全做出貢獻的人員，按規(guī)定進行獎勵2) 對違反安全方針、職責、程序和措施的人員，按規(guī)定進行處罰2 信息安全管理手冊2.1 目的和范圍2.1.1 總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡稱ISMS），確定信息安全方針和目標，對信息安全風險進行有效管理，確保員工理解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本手冊。

2.1.2 范圍本手冊適用于ISO/IEC 27001:2005　4.2.1　a)條款規(guī)定范圍內(nèi)的信息安全管理活動業(yè)務范圍：開發(fā)、生產(chǎn)、銷售電力的保護、監(jiān)控、計量裝置和應用在現(xiàn)場的智能用電、能源管理系統(tǒng)2.2 術語和定義ISO/IEC 27001:2005《信息技術-安全技術-信息安全管理體系要求》和ISO/IEC 27002:2005《信息技術-安全技術-信息安全管理實施細則》規(guī)定的術語適用于本標準2.3 引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本凡是不注日期的引用文件，其最新版本適用于本標準ISO/IEC 27001:2005 信息技術-安全技術-信息安全管理體系要求ISO/IEC 27002:2005 信息技術-安全技術-信息安全管理實施細則2.4 信息安全管理體系2.4.1 總要求公司依據(jù)ISO/IEC 27001:2005標準的要求，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進有效性，對過程的應用和管理詳見《信息安全管理體系過程模式圖》（圖1）。

輸入輸出相關方信息安全的要求和期望相關方管理的信息安全建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMSPlanDoCheckAction圖1. 信息安全管理體系過程模式圖2.4.2 建立和管理ISMS2.4.2.1 建設思路分析企業(yè)信息安全的實際情況，通過制定企業(yè)的信息安全目標、提出信息安全要求、制定信息安全措施，通過組織體系、運作體系、技術體系、策略體系的支持，按照PDCA流程，先計劃，再執(zhí)行，而后對其運行結(jié)果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結(jié)果偏差，最后制定出符合企業(yè)的信息安全管理體系，并進行建立、實施和維護信息安全管理體系，最終為客戶實現(xiàn)的目標是：1） 對信息系統(tǒng)的信息進行保護，減少來自內(nèi)外部的各種威脅；2） 確保業(yè)務連續(xù)性，確保網(wǎng)絡暢通、各業(yè)務應用系統(tǒng)高效動作，避免業(yè)務發(fā)生中斷；3） 業(yè)務風險最小化，避免信息系統(tǒng)事故可能引起的業(yè)務風險，減少商業(yè)秘密的泄露；2.4.2.2 建設步驟 1、準備工作，通過領導決策，進行安全組織和人員的配備，并進行相關的培訓和宣傳，從而為后期信息安全管理體系的建設和推廣提供相關支持; 2、框架建立，參考信息安全體系框架，進行管理體系和技術體系框架的分析，著重對信息安全管理體系進行研究，得出研究的基礎理論支持; 3、評估風險，按照信息安全評估流程的方法，通過資產(chǎn)的分類和風險的分類得出風險評估的結(jié)果，作為信息安全改善的依據(jù); 4、改善安全，通過風險評估和差距的分析，結(jié)合管理和技術的手段，按照風險改善的方法，得出信息安全改善的措施; 5、實施運行，按照前面評估的風險和安全改善的措施，對已建立好的信息安全管理體系進行實施和運行，并制定相關的信息安全制度細則和技術管控措施; 6、檢查改進，通過體系的實施和運行，檢查存在的信息安全風險，并針對風險點進行管理和技術上的安全改善;7、持續(xù)運行，通過不斷的檢查和改進，保證信息安全管理體系能夠持續(xù)的運行，為企業(yè)的業(yè)務提供更全面更可靠的信息系統(tǒng).2.4.2.3 風險評估信息安全的風險管理是把風險管理的思想納入到整個信息安全管理的過程中來，基于風險的信息安全管理體系在分析風險后，就會利用一系列的安全技術措施來控制風險，以達到信息安全的目標，依據(jù)風險評估結(jié)果制訂的信息安全解決方案，可以最大限度的避免盲目的追求而浪費相關資源，同時還造成對業(yè)務的影響，最終使企業(yè)在信息安全方面的投資收益最大化。

風險評估一般的工作流程包括九個步驟，具體如下:按照以上的風險評估步驟，對企業(yè)的信息安全風險進行評估，其風險評估的對象主要是企業(yè)的信息資產(chǎn)，包括數(shù)據(jù)、軟硬件、人員等，具體說明如下:信息資產(chǎn)分類分類具體內(nèi)容數(shù)據(jù) 存在于信息介質(zhì)上的各種數(shù)據(jù)資料:包括數(shù)據(jù)庫、系統(tǒng)文檔、計劃、報告、用戶手冊等軟件 系統(tǒng)軟件:操作系統(tǒng)、工具軟件等 應用軟件:外部購買的應用軟件，外包開發(fā)的應用軟件等硬件 網(wǎng)絡設備:防火墻、路由器、交換機等 計算機設備:服務器、臺式機、筆記本等 移動存儲設備:光盤、U盤、移動硬盤等 傳輸路線:光纖、雙絞線等 保障設備:UPS、空調(diào)、門禁、消防設施等 其他電子設備:打印機、復印機、掃描儀、傳真機等服務 辦公服務:為提高工作效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)置配置管理、文件流轉(zhuǎn)管理等服務 網(wǎng)絡服務:為各種網(wǎng)絡設備、設施提供的網(wǎng)絡連接服務 信息服務:對外依賴該系統(tǒng)開展服務而獲得業(yè)務收入的服務文檔 紙質(zhì)的各種文檔、傳真、財務報表、發(fā)展計劃等人員 掌握重要信息和核心業(yè)務的人員，如機房的管理人員、主機的維護工程師、網(wǎng)絡維護工程師及應用系統(tǒng)項目經(jīng)理等人員在確定了風險評估的對象之后，即開始對風險評估對象所面臨的風險進行識別、分析和評價，具體的風險評估內(nèi)容和過程如下:按照以上所示的風險評估內(nèi)容和過程，對企業(yè)的信息安全風險進行評估，所評估的風險分類如下:信息安全風險分類種類 描述軟、硬件故障由于設備的硬件故障、通信鏈路中斷、系統(tǒng)本身或軟件BUG導致對業(yè)務高效穩(wěn)定運行的影響 無作為或操作失誤由于應該執(zhí)行而沒有執(zhí)行相應的操作或無意執(zhí)行錯誤操作對系統(tǒng)造成的影響管理不到位安全管理無法落實、不到位、造成安全管理不規(guī)范或者混亂，從而破壞信息系統(tǒng)正常有序的運行惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的代碼越權和濫用通過采用一些措施、超越自己的權限訪問了本來無法訪問的資源，或者濫用自己的職權，做出破壞信息系統(tǒng)的行為 黑客攻擊技術利用黑客工具和技術，如偵查、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服。