返回
ISMS审核员案例学习

ISMS审核员案例学习

ID:47326872

大小:1.18 MB

页数:36页

时间:2020-01-10

ISMS审核员案例学习_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《ISMS审核员案例学习》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全管理体系审核员培训教程-学员案例练习册中国信息安全认证中心ISMS审核员培训教程学员案例练习册(v1.0)2008年8月35信息安全管理体系审核员培训教程-学员案例练习册目录第一部分案例21博文公司介绍22博文公司ISMS文件3第二部分练习271练习一:确定审核范围272练习二:编制审核方案和审核计划283练习三:风险评估评审294练习四:编制检查表305练习五:判断不符合项3135信息安全管理体系审核员培训教程-学员案例练习册第一部分案例1博文公司介绍位于北京上地信息产业园区的博文数据科技有限公司成立于2000年8月,总投资3000万元人民币。公

2、司主要业务是为行业用户提供数据加工服务,包括:l大批量纸介质数据的电子化l加工制作数字化报刊和电子图书l大批量电子数据的格式转换l定制开发电子数据阅读器博文公司凭借自主知识产权的OCR、数据格式化等核心技术,已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。公司现有员工1200人,设有7个职能部门,实行董事会领导的总经理负责制。各职能部门主要职责如下:1)生产部:按照客户要求,负责数据加工生产,是公司核心业务部门。2)质量保证部:负责数据加工生产过程中的品质保证,ISO9001质量管理体系和G

3、B/T22080-2008/ISO/IEC27001:2005信息安全管理体系的运行。3)IT部:负责研发生产部所需的数据加工工具,为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。4)市场营销部:制定和实施营销策略,开发客户,实现销售。5)财务部:财务计划的制定和实施,日常结算、税务等会计业务。6)行政部:负责公司后勤保障和日常运行事务。7)人力资源部:制定和实施人力资源计划,包括人员招聘、绩效考核、岗位职责定义。35信息安全管理体系审核员培训教程-学员案例练习册1博文公司ISMS文件部分博文公司ISMS文件如下。1.1ISMS方针信息安全管理

4、体系方针1目的和适用范围信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。此外,本文件还描述了公司的信息安全管理体系的范围。本文件适用于公司信息安全管理体系涉及的所有人员和过程。2信息安全定义公司对信息安全的定义是:保证公司业务所依赖的信息和信息系统的保密性,完整性,可用性;3信息安全方针和目标公司信息安全方针为:积极预防、及时发现、快速响应、确保安全。公司的信息安全目标是:满足已识别的信息安全要求,包括法律法规、客户与相关方和公司业务要求,具体目标包括:①商业秘密信息泄漏事故为零。②引起公司主要产品研发与

5、生产中断时间累计不能超过1小时/年。③引起公司主要产品研发与生产中断事故发生次数小于3次/年。4信息安全管理机构为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立信息安全领导小组,负责:①制定信息安全方针和目标;②建立公司信息安全角色和职责③提供公司ISMS所需要的资源;35信息安全管理体系审核员培训教程-学员案例练习册①领导建立和实施公司ISMS;②监督和检查公司信息安全工作;③制定和实施信息安全工作的奖惩政策。1职责公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其

6、合约供货商必须按照相应的程序,维护此方针,所有员工有责任报告信息安全事件,以及识别信息安全风险。2重要原则和符合性要求公司所有员工应明确,在信息安全方面满足以下原则和符合以下要求是必须的:1)法律法规和合同要求的符合性2)信息安全安全意识3)遵守公司所有信息安全策略和操作规程3评审本文件需要定期被评审,12个月内评审一次,当信息安全管理体系发生重大变化时,也应评审,以维持其适用性。信息安全领导小组负责本文件的评审。4实施本方针自2006年5月15日由公司总经理签署并颁布实施。1.1适用声明(SOA)适用性声明1目的为描述与组织的信息安全管理体系相关的和适用

7、的控制目标和控制措施的文档,制定此文件。35信息安全管理体系审核员培训教程-学员案例练习册1范围本文件适用于公司ISMS覆盖范围内的所有员工和所有活动。2适用性声明条款目标控制措施是否选择/及理由A.5安全方针A.5.1信息安全方针A.5.1.1信息安全方针文件依据业务要求和相关法律法规提供管理指导并支持信息安全。信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方。选择信息安全工作要求所确定,见《信息安全管理体系方针》。A.5.1.2信息安全方针的评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审,以确保它持续的适宜性、充分性和有效

8、性。选择信息安全工作要求所确定,见《信息安全管理体系方针》。A.6

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。