目录。第一部分案例 2
1 ida公司介绍 2
2 ida公司isms文件 3
位于广州科学城的ida数据科技****成立于2023年8月,总投资3000万元人民币。公司主要业务是为行业用户提供数据加工服务,包括:
大批量纸介质数据的电子化。
加工制作数字化报刊和电子图书。
大批量电子数据的格式转换。
定制开发电子数据阅读器。
ida公司凭借自主知识产权的ocr、数据格式化等核心技术,已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。
公司现有员工1200人,设有7个职能部门,实行董事会领导的总经理负责制。各职能部门主要职责如下:
1) 生产部:按照客户要求,负责数据加工生产,是公司核心业务部门。
2) 质量保证部:负责数据加工生产过程中的品质保证,iso9001质量管理体系和gb/t22080-2008/iso/iec27001:2005信息安全管理体系的运行。
3) it部:负责研发生产部所需的数据加工工具,为客户定制开发电子数据阅读器。公司it系统的建设和运行维护。
4) 市场营销部:制定和实施营销策略,开发客户,实现销售。
5) 财务部:财务计划的制定和实施,日常结算、税务等会计业务。
6) 行政部:负责公司后勤保障和日常运行事务。
7) 人力资源部:制定和实施人力资源计划,包括人员招聘、绩效考核、岗位职责定义。
部分ida公司isms文件如下。
信息安全管理体系方针。
1 目的和适用范围。
信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。
此外,本文件还描述了公司的信息安全管理体系的范围。
本文件适用于公司信息安全管理体系涉及的所有人员和过程。
2 信息安全定义。
公司对信息安全的定义是:保证公司业务所依赖的信息和信息系统的保密性,完整性,可用性;
3 信息安全方针和目标。
公司信息安全方针为:积极预防、及时发现、快速响应、确保安全。
公司的信息安全目标是:满足已识别的信息安全要求,包括法律法规、客户与相关方和公司业务要求,具体目标包括:
1 商业秘密信息泄漏事故为零。
2 引起公司主要产品研发与生产中断时间累计不能超过1小时/年。
3 引起公司主要产品研发与生产中断事故发生次数小于3次/年。
4 信息安全管理机构。
为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立信息安全领导小组,负责:
1 制定信息安全方针和目标;
2 建立公司信息安全角色和职责。
3 提供公司isms所需要的资源;
4 领导建立和实施公司isms;
5 监督和检查公司信息安全工作;
6 制定和实施信息安全工作的奖惩政策。
5 职责。公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。
公司所有员工及其合约供货商必须按照相应的程序,维护此方针,所有员工有责任报告信息安全事件,以及识别信息安全风险。
6 重要原则和符合性要求。
公司所有员工应明确,在信息安全方面满足以下原则和符合以下要求是必须的:
1) 法律法规和合同要求的符合性。
2) 信息安全安全意识。
3) 遵守公司所有信息安全策略和操作规程。
7 评审。本文件需要定期被评审,12个月内评审一次,当信息安全管理体系发生重大变化时,也应评审,以维持其适用性。
信息安全领导小组负责本文件的评审。
8 实施。本方针自2023年5月15日由公司总经理签署并颁布实施。
适用性声明
1 目的。为描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档,制定此文件。
2 范围。本文件适用于公司isms覆盖范围内的所有员工和所有活动。
3 适用性声明。
信息安全风险评估程序。
本文件为公司执行信息安全风险评估提供指导和规范。
本程序的运行结果产生《风险评估报告-(加注日期)》。
公司依据风险评估报告编制风险处理计划。
本程序适用风险评估所涉及的所有部门。
风险评估工作组成员据此执行风险评估活动。
其他相应员工据此理解风险评估的过程,完成自己职责范围内风险评估相关工作。
公司规定风险评估活动要定期进行,常规的风险评估每年执行一次,执行风险评估前应对本程序进行评审。
遇到以下情况,公司也将启动风险评估:
增加了大量新的信息资产;
业务环境发生了重大的变化;
发生了重大信息安全事件。
根据gb/t22080-2008/iso/iec27001:2005和iso/iec tr 13335-3,公司采用“详细风险分析方法(detailed risk approach)”来实施风险评估,该方法主要包括:
风险分析:识别资产、威胁、脆弱性、影响和可能性。
风险评价:风险=影响×可能性。
公司风险评估流程如下图所示:
在执行风险评估前,由信息安全领导小组负责,确定本次风险评估的范围,并明确传达给风险评估工作组。
在执行风险评估前,由信息安全领导小组负责,建立风险评估工作组,并明确工作组成员职责。
风险发生后对公司影响的赋值准则。
风险发生可能性的赋值准则。
风险计算公式:风险值=影响值×可能性值。
由风险评估工作组负责编制风险评估报告,风险评估报告内容应包括:
1) 风险评估起止日期。
2) 风险评估工作组组成。
3) 风险评估范围。
4) 资产、风险和风险值排序表。
《风险评估报告-(加日期)》
《风险处理计划-(加日期)》
信息安全事故管理程序。
1 目的和适用范围。
信息安全风险时刻存在,信息安全事故经常发生。为明确信息安全事故处理的责任和程序,有效处理信息安全事故,最大限度地减少和降低因事故给公司带来的损失,特制定本程序。
本程序适用于公司发生的各类信息安全事故的检测、报告和处理。
2 职责。公司任何员工有责任向信息安全领导小组报告其发现的信息安全弱点、信息安全事件和事故。
信息安全领导小组负责组织信息安全事故的处理、评审和改进。
3 定义。3.1 信息安全事件
信息安全事件是指被确定发生于系统、服务或网络中的一种状态,表明可能有人违反了信息安全策略或防护措施没有发挥效用,或者出现了可能与安全相关的、以前不为人知的一种情况。
3.2 信息安全事故。
信息安全事故由单个或一系列意外或有害信息安全事件组成,极有可能危害业务运行和威胁信息安全。信息安全事故可以是有意的或意外的(如因错误或者自然灾害导致的事故),也可以由技术或物理原因引起。
4 工作程序。
4.1 报告。
任何员工,一旦发现、检测或观察到实际发生或潜在信息安全事件或信息安全弱点,必须以**、邮件、面谈等方式立即报告给公司信息安全领导小组。
4.2 处理。
信息安全领导小组责任人评审报告事件的轻重缓急,组织资源处理事件:
如果仅是误报,则取消事件响应,恢复到正常状态;
如果确认信息安全事件是一个信息安全事故,则立即采取控制措施对信息安全事故进行处理,同时收集必要的证据,填写《信息安全事故报告表》。
如果信息安全事故已被控制,进行业务连续性的恢复工作,见《业务连续性管理程序》,并记录所有信息用于信息安全事故的评审,完善《信息安全事故报告表》。
如果信息安全事故失去控制,实施紧急救援,召集外部专业机构实施处理,见《对外联络表》,同时记录所有活动。
4.3 改进。
信息安全事故处理完毕后,信息安全领导小组应进行以下活动:
进一步收集相关事故信息;
从信息安全事故中总结教训,重点分析事故发展的趋势和模式;
确定新的或经过变化的控制措施并制定计划付诸实施;
5 相关记录。
信息安全事故报告表》
注:事件号应由信息安全领导小组负责分配。
岗位信息安全职责。
1. 目的和适用范围。
为使信息安全管理体系更加有序有效的实施,需规定在信息安全方面的所有职责,特制定本程序。
本文件适用于公司信息安全管理体系涉及的所有人员和过程。
2. 职责。
信息安全管理机构机制及职责参见《信息安全管理体系方针》。
1) 公司领导职责。
公司领导(包括总裁和信息安全管理委员会主任)应具有以下方面的职责:
1) 制定信息安全方针;
2) 向公司员工传达(或宣传)满足信息安全目标和符合信息安全方针、法律法规要求的重要性;
3) 主持isms的管理评审;
4) 提供开发、实施、运行和维护isms所需的足够资源(包括人员、时间、设备、软件和资金等);
综合部2023年终工作总结 定稿
董事长 总经理 辉煌而又不平凡的2011年即将过去,又迎来了充满期待和展望的2012年。回顾在过去的一年当中,我综合部在公司领导的正确领导下,在广大在职员工的大力支持和帮助下,总体而言,取得了很大的进步,所做的工作应该是值得公司期待和赞许的,其工作业绩也是有目共睹的。当然,在取得一些成就和业绩的同时...
2023年注册测绘师考试综合能力测试
2014年注册测绘师考试 综合能力 测试题 1 1.管道主点测设数据的采集方法,根据管道设计所给的条件和精度要求,可采用 法和 b a.模拟法。b.解析法。c.相似法。d.类推法。2.建筑场地的施 丁平面控制网的主要形式,有建筑方格网 导线和 a a.建筑基线。b.建筑红线。c.建筑轴线。1 建筑法...
2023年终盘点
作者 王喆张鹏。卫星电视与宽带多 2009年第24期。十四件大事影响未来广电走向。2009年即将结束,在本刊今年最后一期里,我们就产业政策 有线运营 下一代网络 新 地面电视 高清电视以及卫星电视这七个层面,梳理出十四件能够影响到未来广电产业格局 走向的大事件。在明年的杂志选题中,我们会逐一的对以下...