ISO27001事故事件薄弱点与故障管理程序.doc

ISO27001事故事件薄弱点与故障管理程序1 适用本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。2 目的为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。3 职责3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。4 程序4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规； e) 未产生事故的未加控制的系统变更； f) 策略、指南和绩效的不符合； g) 可恢复的软件、硬件故障； h) 未产生恶劣后果的非法访问。4.2 故障与事故的报告渠道与处理4.2.1 故障、事故报告要求故障、事故的发现者应按照以下要求履行报告任务： a) 各个信息管理系统使用者，在使用过程中如果发现软硬件故障、事故，应该向该系统归口管理部门报告；如故障、事故会影响或已经影响线上生产，必须立即报告相关部门，采取必要措施，保证对生产的影响降至最低； b) 发生火灾应立即触发火警并向安全监督部报告，启动消防应急预案； c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告； d) 发生重大信息安全事故，事故受理部门应向信息安全管理者代表和有关公司领导报告。4.2.2 故障、事故的响应故障、事故处理部门接到报告以后，应立即进行迅速、有效和有序的响应，包括采取以下适当措施： a) 报告者应保护好故障、事故的现场，并采取适当的应急措施，防止事态的进一步扩大； b) 按照有关的故障、事故处理文件（程序、作业手册）排除故障，恢复系统或服务，必要时，启动业务持续性管理计划。5 相关/支持性文件5.1 ISMS-2007预防措施控制程序5.2 ISMS-2020信息密级划分、标注及处理控制程序5.3 ISMS-3321信息安全奖励、惩戒规定5.4 ISMS-2015法律法规与符合性评估程序6 记录保存期限ISMS-4021信息安全风险评估报告保存部门行政部，保管期限为3 年ISMS-4071纠正/预防措施申请书保存部门为事件直接相关职能部门，保管期限为3 年ISMS-4331信息安全事故调查处理报告保存部门为行政部，保管期限为3 年ISMS-4332信息安全薄弱点报告保存部门为行政部，保管期限为3 年ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”