安全生产信息安全管理系列课程案例练习册.docxVIP

案例练习册

(安全生产)信息安全管理系列课程案例练习册

案例练习册

目录

第一部分案例31A公司介绍3

2A公司ISMS文件4

1目的5

2范围6

3适用性声明6

1.目的19

2.适用范围19

3.风险评估的实施频率及评审19

4.风险评估方法19

5.风险评估流程20

6.相关文件22

1目的和适用范围22

2职责23

3定义23

3.1信息安全事件23

3.2信息安全事故23

4工作程序23

4.1报告23

4.2处理23

4.3改进24

5相关记录24

第二部分练习28

1练习一：风险评估28

2练习二：编制检查表29

1练习三：判断不符合项30

案例练习册

案例练习册

第一部分案例

1A公司介绍

位于北京上地信息产业园区的A数据科技有限公司成立于2000年8月，总投资5000万元人民币。公司主要业务是为行业用户提供数据加工服务，包括：

l大批量纸介质数据的电子化

l加工制作数字化报刊和电子图书

l大批量电子数据的格式转换

l定制开发电子数据阅读器

A公司凭借自主知识产权的OCR、数据格式化等核心技术，已经成为国内外领先的的专业数据加工企业。目前主要客户来自国际、国内的银行、保险公司、医院、法院、档案馆、图书馆等。

公司现有员工1200人，设有7个职能部门，实行董事会领导的总经理负责制。各职能部门主要职责如下：

1)生产部：按照客户要求，负责数据加工生产，是公司核心业务部门。

2)质量保证部：负责数据加工生产过程中的品质保证，ISO9001质量管理体系和GBISO/IEC27001:2005信息安全管理体系的运行。

3)IT部：负责研发生产部所需的数据加工工具，为客户定制开发电子数据阅读器。公司IT系统的建设和运行维护。

4)市场营销部：制定和实施营销策略，开发客户，实现销售。

5)财务部：财务计划的制定和实施，日常结算、税务等会计业务。

6)行政部：负责公司后勤保障和日常运行事务。

7)人力资源部：制定和实施人力资源计划，包括人员招聘、绩效考核、岗位职责定义。

2A公司ISMS文件

部分A公司ISMS文件如下。

2.1ISMS方针

信息安全管理体系方针

1目的和适用范围

信息安全管理体系方针指明了公司的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。

案例练习册

此外，本文件还描述了公司的信息安全管理体系的范围。

本文件适用于公司信息安全管理体系涉及的所有人员和过程。

2信息安全定义

公司对信息安全的定义是：保证公司业务所依赖的信息和信息系统的必威体育官网网址性，完整性，可用性；

3信息安全方针和目标

公司信息安全方针为：积极预防、及时发现、快速响应、确保安全。

公司的信息安全目标是：满足已识别的信息安全要求，包括法律法规、客户与相关方和公司业务要求，具体目标包括：

①商业秘密信息泄漏事故为零。

②引起公司主要产品研发与生产中断时间累计不能超过1小时/年。

③引起公司主要产品研发与生产中断事故发生次数小于3次/年。

4信息安全管理机构

为了确保公司信息安全工作有一个明确的方向和获得可见的管理者支持，公司设立信息安全领导小组，负责：

①制定信息安全方针和目标；

②建立公司信息安全角色和职责

③提供公司ISMS所需要的资源；

④领导建立和实施公司ISMS；

⑤监督和检查公司信息安全工作；

⑥制定和实施信息安全工作的奖惩政策。

5职责

公司的最高管理者负责建立和评审此文件。公司的信息安全管理人员要通过适当的标准和程序实施信息安全方针。公司所有员工及其合约供货商必须按照相应的程序，维护此方针，所有员工有责任报告信息安全事件，以及识别信息安全风险。

6重要原则和符合性要求

公司所有员工应明确，在信息安全方面满足以下原则和符合以下要求是必须的：

1)法律法规和合同要求的符合性

2)信息安全安全意识

3)遵守公司所有信息安全策略和操作规程

案例练习册

7评审

本文件需要定期被评审，12个月内评审一次，当信息安全管理体系发生重大变化时，也应评审，以维持其适用性。

信息安全领导小组负责本文件的评审。

8实施

本方针自2006年5月15日由公司总经理签署并颁布实施。

2.2适用声明（SOA）

适用性声明

1目的

为描述与组织的信息安全管理体系相关的和适用