I或SCCC教程-案不例练习册.doc

专业最好文档，专业为你服务，急你所急，供你所需 文档下载最佳的地方 PAGE  专业最好文档，专业为你服务，急你所急，供你所需 文档下载最佳的地方 中国信息安全认证中心 ISMS审核员培训教程 目 录  TOC \o 1-1 \h \z \u  HYPERLINK \l _Toc208021244 第一部分 案例  PAGEREF _Toc208021244 \h 2  HYPERLINK \l _Toc208021245 1 博文公司介绍  PAGEREF _Toc208021245 \h 2  HYPERLINK \l _Toc208021246 2 博文公司ISMS文件  PAGEREF _Toc208021246 \h 3  HYPERLINK \l _Toc208021266 第二部分 练习  PAGEREF _Toc208021266 \h 27  HYPERLINK \l _Toc208021267 1 练习一：确定审核范围  PAGEREF _Toc208021267 \h 27  HYPERLINK \l _Toc208021268 2 练习二：编制审核方案和审核计划  PAGEREF _Toc208021268 \h 28  HYPERLINK \l _Toc208021269 3 练习三：风险评估评审  PAGEREF _Toc208021269 \h 29  HYPERLINK \l _Toc208021270 4 练习四：编制检查表  PAGEREF _Toc208021270 \h 30  HYPERLINK \l _Toc208021271 5 练习五：判断不符合项  PAGEREF _Toc208021271 \h 31  第一部分 案例 博文公司介绍 位于北京上地信息产业园区的博文数据科技有限公司成立于2000年8月，总投资3000万元人民币。公司主要业务是为行业用户提供数据加工服务，包括： 大批量纸介质数据的电子化 加工制作数字化报刊和电子图书 大批量电子数据的格式转换 定制开发电子数据阅读器 博文公司凭借自主知识产权的OCR、数据格式化等核心技术，已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。 公司现有员工1200人，设有7个职能部门，实行董事会领导的总经理负责制。各职能部门主要职责如下： 生产部：按照客户要求，负责数据加工生产，是公司核心业务部门。 质量保证部：负责数据加工生产过程中的品质保证，ISO9001质量管理体系和GB/T22080-2008/ISO/IEC27001:2005信息安全管理体系的运行。 IT部：负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。 市场营销部：制定和实施营销策略，开发客户，实现销售。 财务部：财务计划的制定和实施，日常结算、税务等会计业务。 行政部：负责公司后勤保障和日常运行事务。 人力资源部：制定和实施人力资源计划，包括人员招聘、绩效考核、岗位职责定义。 博文公司ISMS文件 部分博文公司ISMS文件如下。 ISMS方针 信息安全管理体系方针 目的和适用范围 信息安全管理体系方针指明了公司的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。 此外，本文件还描述了公司的信息安全管理体系的范围。 本文件适用于公司信息安全管理体系涉及的所有人员和过程。 信息安全定义 公司对信息安全的定义是：保证公司业务所依赖的信息和信息系统的必威体育官网网址性，完整性，可用性； 信息安全方针和目标 公司信息安全方针为：积极预防、及时发现、快速响应、确保安全。 公司的信息安全目标是：满足已识别的信息安全要求，包括法律法规、客户与相关方和公司业务要求，具体目标包括： 商业秘密信息泄漏事故为零。 引起公司主要产品研发与生产中断时间累计不能超过1小时/年。 引起公司主要产品研发与生产中断事故发生次数小于3次/年。 信息安全管理机构 为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持，公司设立信息安全领导小组，负责： 制定信息安全方针和目标； 建立公司信息安全角色和职责 提供公司ISMS所需要的资源； 领导建立和实施公司ISMS； 监督和检查公司信息安全工作； 制定和实施信息安全工作的奖惩政策。 职责 公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其合约供货商必须按照相应的程序，维护此方针，所有员工有责任报告信息安全事件，以及识别信息安全风险