中小企业信息安全管理体系最佳实践

2010-8  

中国标准出版社  

刘小菌 编  

166  

随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、业务发展甚至生存带来严重的影响。在我们周围。信息安全威胁无处不在。有人认为，信息安全"不就是安装杀毒软件，在电脑上设设密码吗？"如果我们这样想，就和全世界959／6的人一样，都错估、低估了信息对公司的致命影响。下面看看几个日常工作中我们可能都会碰到但往往被忽视的例子：打印纸双面打印——好习惯换取的大损失。节约用纸是很多公司的好习惯，公司往往提倡纸张要充分利用，要尽量使用"废纸"的背面进行打印。其实，将拥有这种习惯公司的"废纸"收集在一起，我们会发现打印、复印造成的废纸有时候包含着公司的机密。白板一一公司研发信息泄露。公司在研发过程中，研发小组往往要经过多轮的研究、分析和评审。研发小组讨论的时候会在白板上列出一些产品的核心参数、使用的模型或方法等。在离开会议室的时候往往没有将白板上的信息擦掉。"有心人"非常轻易地就窥探到产品的机密。电脑易手一新员工真正的入职导师。很多员工可能都有过这样的经历：如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似"窥探"的状态下，公司里曾经发生过的事情"尽收眼底"，例如公司以往的客户记录、奖惩制度等。

本书以范例的形式，借助一个虚拟组织——创新科技发展有限公司，详细阐述了中小企业如何在组织内建立和有效实施信息安全管理体系，为中小企业建立和实施信息安全管理体系提供一个有益的思路及最佳实践路径。主要内容包括：ISMS的建立及实施、风险评估、ISMS管理手册、适用性声明、信息安全策略以及ISMS常见管理流程等。 本书对已建立和即将建立信息安全管理体系的中小企业极具参考和借鉴价值，适用于企业信息安全管理人员、实施人员以及信息安全研究、咨询、认证及测试人员。

第1章 实施企业背景 1.1 公司简介 1.2 组织结构及各部门职责 1.3 主要设备及拓扑结构 1.4 公司物理环境 1.5 安全要求 1.6 ISMS实施需求第2章 ISMS的建立及实施 2.1 建立及实施ISMS主要过程 2.2 各过程说明第3章 风险评估 3.1 相关概念 3.2 要素关系 3.3 实施流程 3.4 风险评估准备 3.5 资产识别 3.6 威胁识别 3.7 脆弱性识别及赋值 3.8 控制措施识别 3.9 风险分析 3.10 风险处理 3.11 风险评估报告第4章 ISMS管理手册 4.1 制定ISMS手册的必要性 4.2 确定ISMS的范围 4.3 定义ISMS的方针和目标 4.4 手册内容第5章 适用性声明(SoA) 5.1 概述 5.2 安全方针 5.3 信息安全组织 5.4 资产管理 5.5 人力资源安全 5.6 实物与环境安全 5.7 通信和操作管理 5.8 访问控制 5.9 信息系统获取、开发和维护 5.10 信息安全事件管理 5.11 业务持续性管理 5.12 符合性第6章 信息安全策略 6.1 概述 6.2 备份策略(A.10.5.1) 6.3 信息交换策略(A.10.8.1) 6.4 业务信息系统使用策略(A.10.8.5) 6.5 访问控制策略(A.11.1.1) 6.6 清除桌面及屏幕策略(A.11.3.3) 6.7 网络服务使用策略(A.11.4.1) 6.8 移动计算和通讯策略(A.11.7.1) 6.9 远程工作策略(A.11.7.2) 6.10 加密控制策略(A.12.3.1)第7章 ISMS常见管理流程 7.1 体系建立及持续改进涉及流程 7.2 资产管理涉及流程 7.3 人力资源涉及管理流程 7.4 物理和环境安全涉及管理流程 7.5 通信与操作安全涉及管理流程 7.6 访问控制涉及管理流程 7.7 信息系统的获取、开发和维护管理程序 7.8 信息安全事件管理涉及流程 7.9 业务持续性管理程序 7.10 法律法规、相关方要求识别与符合性评估管理程序参考文献

4.1 制定ISMS手册的必要性ISMS管理手册存在的两大理由：（1）是公司的正式声明，表明其如何开展与实现及保证信息安全有关的业务。从这个角度来说，管理手册是供外部机构如预期的客户或批准机构使用的。（2）是公司职员及工人内部使用的一套与信息安全事宜有关的管理方面的文件化指令。手册必须是具有公司权威的文件，也是管理控制文件。它表述了作为最终对公司业绩负责的公司领导，即首席执行官、总经理、主管或现场经理的指令。如果高层领导相信一个正式的信息安全管理体系是公司管理控制体系的关键所在，则手册会被当作证明公司高级管理者密切关注并一致批准的重要文件。当然，如果这些高级管理者普遍不支持建立一个正式的质量管理体系，则手册只是一个无意义的文件。4.2 确定ISMS的范围确定ISMS的范围对建立ISMS非常重要，ISMS范围是整个ISMS要管控的边界，企业在建立ISMS时，首先就要确定管理范围。企业需要根据自己的实际情况，根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界。

《中小企业信息安全管理体系最佳实践》是由中国标准出版社出版的。

中小企业信息安全管理体系最佳实践 PDF格式下载

体系模板很多，值得参考

简明易懂，没有太深奥原理，长知识！

yy