您的位置:360文档中心› 01 XX公司信息安全总体方针和安全策略指引

01 XX公司信息安全总体方针和安全策略指引

01 XX公司信息安全总体方针和安全策略指引
01 XX公司信息安全总体方针和安全策略指引

XX公司

信息安全总体方针和安全策略指引

第一章总则

第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。

第三条公司信息安全管理遵循如下原则:

(一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源;

(二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全;

(三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。

(四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。

(五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风

险,同时提升信息安全管理制度的可操作性。

(六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。

第二章信息安全保障框架及目标

第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。

(一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架;

(二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理;

(三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。

第六条公司安全保障框架:

(一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。(二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数

据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安全计算环境、安全区域边界和安全网络通信”的保护对象相作用,形成依托于保护对象的安全技术体系控制措施。

(三) 安全运行体系:信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与公司实际情况相结合,形成符合行业和国家信息安全标准的信息安全运行体系框架。

(四) 安全管理中心:根据信息安全相关要求和安全设计技术要求的相关内容,信息安全管理中心通过“自动、平台化”的方式,对信息安全管理体系、信息安全技术体系以及信息安全运行体系的相关控制内容,结合公司的实际情况加以落实。

第七条公司信息安全总体目标是:依照业务信息系统的实际情况和现实问题为基础,参照国内、国际的安全标准和规范,充分利用成熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、管理和技术为一体的设计方案,达到行业和国家信息安全标准的要求。

第三章安全策略

第八条建立信息安全领导小组,负责组织、落实国家信息安全相关政策、法规和标准要求,审核并制定公司信息安全的发展战略、规划、政策和管理制度,落实《公司信息安全组织及职责管理办法》。

第九条保持与国家信息安全主管机构、监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络,制定完整的《公司常用信息安全组织机构信息表》,确保与外部机构的沟通畅通。

第十条加强公司内部人员在录用前、工作期间、调岗和离岗的人员安全管理,确保公司内部人员的背景、身份、专业资格和职能权限的安全性,要求信息安全人员签署保密协议,落实《公司内部人员信息安全管理办法》。

第十一条加强外部人员的安全管理,防范外部人员带来的安全风险,规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则,严格落实《公司外部人员信息安全管理办法》。

第十二条每年组织开展全员信息安全教育或培训,提升公司全员的信息安全意识,确保公司信息安全目标和策略能够得到必要的宣贯。第十三条建立信息安全管理制度制定、发布、审核和修订的管理要求,并满足国家法律、政策和规范的要求,确保信息安全管理制度持续改进,落实《公司信息安全制度管理办法》。

第十四条确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合,实现项目工程管理过程和内容安全可控,严格执行《公司信息系统建设安全管理办法》。

第十五条加强公司信息系统的物理环境和设施的信息安全规范性管理工作,确保物理环境、设施设备和进出访问控制安全,落实《公司机房环境安全管理办法》和《公司办公环境信息安全管理办法》。

第十六条加强对公司信息资产的安全管理,建立统一的信息资产分类、责任、授权和配置管理,明确公司硬件资产、软件资产和数据资产的信息安全管理工作,落实《公司信息资产安全管理办法》。

第十七条加强信息资产的运行维护管理工作,对系统的工作环境、

安全运行、策略进行定期检查,记录信息系统运行的日志及状态,定期对信息资产进行清点,确保各系统的正常运行,落实《公司信息安全运行维护管理办法》。

第十八条加强信息系统运行维护过程中的变更管理,确保公司信息系统的可核查性和可追溯性,合理控制信息系统变更产生的信息安全风险,结合日常信息系统的运行有关管理办法,落实《公司信息系统变更管理办法》。

第十九条加强对信息安全事件的监控和管理,建立应急事件的报告、协调、处理机制。制定重要信息系统的应急响应预案,并进行演练和定期更新,确保信息系统的连续稳定运行,落实《公司应急管理办法》和《公司信息安全分类应急预案》。

第二十条对磁带、磁盘、磁盘阵列、光盘、硬盘、纸质等各类移动存储介质进行的所有安全管理活动进行管理,介质使用必须要有授权,保证介质使用的安全。落实《公司介质安全管理办法》。

第二十一条为规范管理员对网络设备的访问及操作行为,降低由于口令强度不够和设置不完善等造成的安全隐患和风险,应加强各信息系统的口令管理,落实《公司密码管理办法》。

第二十二条加强对网络系统的设计、规划、变更审批和运维监督,定期对网络中的系统进行漏洞扫描,对重要网段进行保护,落实《公司网络安全管理办法》。

第二十三条规范系统的使用,对系统的账户权限进行有效控制,及时的更新系统的补丁,有效的保护系统中的文件,对重要系统的文件

进行保护,落实《公司系统安全管理办法》。

第二十四条定期对网络中的应用系统、数据库进行备份,实现异地备份的方式,同时每年需要进行一次数据恢复演练,数据的保存周期至少为五年,合理的根据情况进行调整备份时间,落实《公司信息备份与恢复管理制度》。

第四章奖惩

第二十五条对长期认真贯彻公司信息安全管理办法,并因此而取得较好成绩的组织和个人给予必要的鼓励、宣传和奖励。

第二十六条对违反公司信息安全管理办法的组织、人员,根据其对公司造成的损害程度,给予必要的批评教育、通报批评、经济处罚、行政处分等惩罚;构成犯罪的,移交司法机关依法处理。

第五章附则

第二十七条本指引由公司信息安全工作组制定,并负责解释和修订。

第二十八条本指引自发布之日起执行。

信息安全策略总纲

信息安全策略总纲 1.1.适用范围及依据 第一条XXXXXX信息系统包含非生产控制系统,非生产控制系统内包含生产管理系统、网站系统、管理信息系统三大类。本制度适用于XXXXXX所有信息系统。 第二条本制度根据《GB/T20269-2006 信息安全技术信息系统安全管理要求》、《GB/T20282-2006 信息安全技术信息系统安全工程管理要求》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》等有关法律、标准、政策,管理规范而制定。 1.2.信息安全工作总体方针 第一条XXXXXX信息系统的安全保护管理工作总体方针是“保持适度安全;管理与技术并重;全方位实施,全员参与;分权制衡,最小特权;尽量采用成熟的技术” 。“预防为主”是信息安全保护管理工作的基本方针。 第二条《总纲》规定了XXXXXX信息系统安全管理的体系、策 略和具体制度,为信息化安全管理工作提供监督依据。 第三条XXXXXX信息系统安全管理体系是由信息安全策略总纲、安全管理制度、安全技术标准以及安全工作流程和操作规程组成的。 (一)《总纲》是信息安全各个方面所应遵守的原则方法和指导性策略文件。

(二)《总纲》是制定XXXXXX信息安全管理制度和规定的依据 (三)信息安全管理制度和规范规定了信息安全管理活动中各项管理内容。 (四)信息安全技术标准和规范是根据《总纲》中对信息安全方面相关的规定所引出的,其规定了信息安全中的各项技术要求。 (五)信息安全工作流程和操作规程详细规定了主要应用和事件处理的流程、步骤以及相关注意事项,并且作为具体工作时的具体依照。 1.3.系统总体安全策略 第一条XXXXXX信息系统总体安全保护策略是:系统基础资源和信息资源的价值大小、用户访问权限的大小、系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好信息安全保护的前提。 第二条XXXXXX信息系统的安全保护策略由XXXXXX信息技术科负责制定与更新。 第三条信息技术科根据信息系统的保护等级、安全保护需求和安全目标,结合XXXXXX自身的实际情况,依据国家、监管部门有关安全法规和标准,授权制定信息系统的安全保护实施细则和具体管理办法;并根据环境、系统和威胁变化情况,及时调整和制定新的实施细则和具体管理办法。

信息安全管理方针和策略

1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);

?与内部利益相关方的关系,内部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间范围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。

信息安全总体方针和安全策略指引

信息安全总体方针和安全 策略指引 Last updated on the afternoon of January 3, 2021

X X X公司信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。 第二条本指引适合于公司。 第三条公司信息安全管理遵循如下原则: (一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源; (二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全; (三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。 (五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。

(六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。 第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。 (一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架; (二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; (三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。 第六条公司安全保障框架: (一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。 (二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安

XX公司信息安全管理制度

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。 1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P 盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不

1-信息安全工作总体方针和安全策略

信息安全工作 总体方针和安全策略

第一章总则 第一条为加强和规范技术部及各部门信息系统安全工作,提高技术部信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为技术部信息系统安全管理提供一个 总体的策略性架构文件。该文件将指导技术部信息系统的安全管理体系的建立。安全管理体系的建立是为技术部信息系统的安全管理工作提供参照,以实现技术部统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第二章适用范围 第三条本文档适用于技术部信息系统资产和信息技术人员的 安全管理和指导,适用于指导公司信息系统安全策略的制定、安全方案的规划和安全建设的实施,适用于公司安全管理体系中安全管理措施的选择。 第三章引用标准及参考文件 第四条本文档的编制参照了以下国家、中心的标准和文件 一 《中华人民共和国计算机信息系统安全保护条例》 二 《关于信息安全等级保护建设的实施指导意见》信息运安〔2009〕

27 号 三 《信息安全技术信息系统安全等级保护基本要求》 GB/T 22239-2008 四 《信息安全技术信息系统安全管理要求》 GB/T 20269—2006 五 《信息系统等级保护安全建设技术方案设计要求》 报批稿 六 《关于开展信息安全等级保护安全建设整改工作的指导意见》 公信安[2009]1429号 第四章总体方针 第五条企业信息服务平台系统安全坚持“安全第一、预防为主,管理和技术并重,综合防范”的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。 第五章总体目标 第六条信息系统安全总体目标是确保企业信息服务平台系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止中心对外服务中断和由此造成的系统运行事故。 第六章信息安全工作的总体原则

信息安全工作总体方针和安全策略

1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制

方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信

公司信息安全策略管理制度 Microsoft Office Word 文档

公司信息安全策略管理制度(试行) 第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005),保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立,运营改善部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由两化融合管理委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。

第六条信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向两化融合管理委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排; (八)推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。 第九条信息安全顾问组职责 (一)提供信息安全相关产品的使用帮助和更新;

信息安全工作总体方针

信息安全工作总体方针 第一章总则 第一条为加强和规范信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为本公司信息系统安全管理提供一个总体的策略性架构文件,该文件将指导信息系统的交全管理体系的建立。立全管理体系的建立是为信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三条本文档适用各单位信息系统资产和信息技术人员的安全管理和指导,适用于信息系统安全策略的制定、安全方案的规划和安全建设的实施、适用于安全管理体系中安全管理措施的选择。 第四条引用标准及参考文件 本文档的编制参照了以下国家的标准和文件: (一)《中华人民共和国计算机信息系统安全保护条例》 (二)《关于信息安全等级保护建设的实施指异意见》(信息运安

(2009)27号)

(三)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) (四)《信息安全技术信息系统安全管理要求》(GB/T 20269一 2006) (五)《信息系统等级保护交全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指异意见》(公信交[2009]1429号) 第二章方针、目标和原则 第五条信息系统安全坚持"安全第一、预防为主,管理和技术并重,综合防范“的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。 第六条信息系统安全总体目标是确保信息系统持续、隐定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统朋溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据云失和失密,防止有害信息在网上传播,防止对

信息安全策略模板

信息安全策略

变更履历

*变化状态:C——创建,A——增加,M——修改,D——删除

目录 1. 目的和范围......................... 错误!未指定书签。 2. 术语和定义......................... 错误!未指定书签。 3. 引用文件........................... 错误!未指定书签。 4. 职责和权限......................... 错误!未指定书签。 5. 信息安全策略....................... 错误!未指定书签。 5.1. 信息系统安全组织............. 错误!未指定书签。 5.2. 资产管理..................... 错误!未指定书签。 5.3. 人员信息安全管理............. 错误!未指定书签。 5.4. 物理和环境安全............... 错误!未指定书签。 5.5. 通信和操作管理............... 错误!未指定书签。 5.6. 信息系统访问控制............. 错误!未指定书签。 5.7. 信息系统的获取、开发和维护安全错误!未指定书签。 5.8. 信息安全事故处理............. 错误!未指定书签。 5.9. 业务连续性管理............... 错误!未指定书签。 5.10. 符合性要求.................. 错误!未指定书签。1附件............................... 错误!未指定书签。

(完整版)三级等保,安全管理制度,信息安全管理策略

* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部

目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)

第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;

ISMS-3012信息安全方针信息安全策略管理制度

深圳市首品精密模型有限公司 信息安全方针信息安全策略管理制度 文件编号:ISMS-3012

变更履历

第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行 £027001:2013《信息技术安全技术信息安全管理体系?要求》,保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组 成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信 息安全委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需 要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排;

科技公司信息安全管理制度

信息安全管理制度 第一章总则 第一条为了建立、健全的信息安全管理制度,按照相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。 第二条本文档适用于公司信息安全管理活动。 第二章信息安全范围 第三条信息安全策略涉及的范围包括: 1.单位全体员工。 2.单位所有业务系统。 3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。 4.单位办公场所和上述信息资产所处的物理位置。 第三章信息安全总体目标 第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。 第四章信息安全方针 第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。 第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类

管理,并编制和维护所有重要资产的清单。 第三条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。 第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。 第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。 第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。 第七条对用户权限和口令进行严格管理,防止对信息系统的非法访问。 第八条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。第九条与外单位的外包(服务)合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容,并采取相应措施严格保证对协议安全内容的执行。 第十条在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。 第十一条定期对信息系统进行风险评估,并根据风险评估的结果采取

信息安全方针和信息安全目标(参照模板)

信息安全方针和信息安全目标 信息安全方针:信息安全人人有责 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。 二、信息安全管理组织 2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。 3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。 5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。 三、人员安全 6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 7.对本公司的相关方,要明确安全要求和安全职责。 8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安

全意 9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 五、风险评估 11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。 13.应根据风险评估的结果,采取相应措施,降低风险。 六、报告安全事件 14.公司建立报告信息安全事件的渠道和相应的主管部门。 15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。 16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。

企业信息安全策略分析.

2010年4月刊 信息安全 信息与电脑 China Computer&Communication 前言 随着计算机技术和通讯技术的迅猛发展,使信息共享应用日益广泛与深入。计算机网络正在改变着学习和生活方式[1] 。但是,任何技术进步在促进社会发展的同时也会带来一些负面影响。信息在公共通信网络上存储、共享和传输,会被非法窃听、截取、篡改或毁坏,从而导致不可估量的损失。因此,如何提高企业信息安全是企业管理和发展面临的重大难题。 本文针对企业中存在的信息安全问题,从实体安全和信息安全两个方面出发,对现存的计算机网络安全进行基本的分析。重点在信息安全方面给出了企业网络的整体网络安全策略和解决方案。从防火墙、网络防病毒、入侵检测、虚拟专用网、数据存储与备份以及灾难恢复五个方面特别介绍了提高企业网络安全的有效方法。 1. 计算机网络安全的基本概述 计算机网络的安全主要包括实体安全和信息安全。实体安全是指具体的物理设备(线路的安全;信息安全就是指如何保证信息在存储和传输过程中不被未经授权的用户窃取、篡改、伪造或破坏,以保证其保密性、完整性。一个企业网络的整体网络安全解决方案,包括以下几个方面:实体安全(物理设备、防火墙、网络防病毒、入侵检测、虚拟专用网、数据存储与备份以及灾难恢复。 2. 网络安全解决方案

2.1入侵检测入侵是指一些人(称为“黑客”或“骇客”试图进入或者滥用其它人的系统[3],入侵检测系统(IDS是用来检测这些入侵的系统。其中,网络入侵检测系统(NIDS监视网线的数据包并试图检测是否有黑客试图进入系统或者进行服务攻击。一个NIDS 可以运行在目标主机上观察他自己的流量(通常集成在协议栈或服务本身,也可以运行在独立主机上观察整个网络的流量(集线器,路由器,探测器。值得注意的是一个NIDS 监视很多主机,而其他的只监视一个主机。所以,建议企业至少装有一套入侵检测软件监测防火墙的出口,监测通过防火墙的任何可疑活动。 2.2数据存储与备份及灾难恢复数据存储与备份及灾难恢复是指服务器内的数据通过某种周期(周、月等进行备份,在数据发生丢失与破坏的时候提供灾难恢复的帮助,从而最大限度的保证数据的安全。 在网络系统安全建设中必不可少的环节就是数据的常规备份和历史保存。一个完整的灾难备份及恢复方案应包括:备份硬件、备份软件、备份制度和灾难恢复计划四个部分。 2.3防火墙防火墙作为企业系统安全的第一道屏障,在企业系统安全方面起着关键性作用。防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统还决定了哪些内部服务可以被外部访问,外界的那些人可以访问内部的服务,以及哪些外部服务可以被内部人员访问。在选用防火墙时,需要对所安装的防火墙做一些攻击测试。 2.4防病毒计算机病毒历来是信息系统安全的主要问题之一。在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”[2]。 网络防病毒技术包括预防病毒、检测病毒和消除病毒等三方面的技术,主要在几个方面防范,如表1。

信息安全方针

密级:敏感 文档编号:ISMS-A-01信息安全方针 版本号:V1.0 --------------------------------------------------------------------- 保密说明:。

修订页

目录 1.目的和使用范围 (4) 2.信息安全定义 (4) 3.信息安全方针 (4) 4.安全管理机构 (4) 5.职责 (5) 6.信息安全管理体系实施框架 (6) 7.重要原则、标准和符合性要求 (6) 8.评审 (7) 9.相关文件 (7)

1.目的和适用范围 信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了公司的信息安全管理体系的范围。 本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。 2.信息安全定义 信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。 信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。 3.信息安全方针 公司信息安全方针为:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营。 4.安全管理机构 根据ISO/IEC 27001:2005的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立以下不同级别的信息安全管理机构。 信息安全管理委员会 信息安全管理委员会是本公司信息安全管理工作的最高领导机构,承担以下方面的工作: 1)审批信息安全方针和总体职责; 2)审批信息安全的特殊方法和过程,如风险评估等; 3)审批加强信息安全的重大举措; 4)提供所需要的足够的资源; 5)协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。 信息安全委员会主席由总经理担任,常务副主席由公司总经理任命(管理者代表);信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为:在信息安全管理委员会主席/副主席的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。 信息安全员 相关部门指定一位兼职的信息安全员,参与/配合信息安全委员会的活动,指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。

科技公司信息安全管理制度

信息安全管理制度第一章总则第一条为了建立、健全的信息安全管理制度,按照相关的标准,确定信息安全针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。 第二条本文档适用于公司信息安全管理活动。 第二章信息安全围第三条信息安全策略涉及的围包括: 1 .单位全体员工。 2. 单位所有业务系统。 3. 单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。 4. 单位办公场所和上述信息资产所处的物理位置。 第三章信息安全总体目标 第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。 第四章信息安全针第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。

第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类 管理,并编制和维护所有重要资产的清单。 第三条综合使用访问控制、监测、审计和身份鉴别等法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。 第四条启动服务器操作系统、网络设备、安全设备、应用软件的日 志功能,定期进行审计并作相应的记录。 第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。 第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。 第七条对用户权限和口令进行格管理,防止对信息系统的非法访问。第八条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。 第九条与外单位的外包(服务)合同应明确规定合同参与的安全要求、安全责任和安全规定等相关安全容,并采取相应措施格保证对协议安全容的执行。 第十条在开发新业务系统时,应充分考虑相关的安全需求,并格控制对项目相关文件和源代码等敏感数据的访问。

网络安全工作总体方针和安全策略

XXX单位网络安全工作 总体方针与安全策略 V1、0 目录 1总则?1 1、1目标?1 1、2适用范围?1 1、3建设思路 (1) 1、4建设原则 (3) 1、5建设目标 (4) 2?安全体系框架 (5) 2、1?安全模型 (5) 2、2?安全体系框架?7 3?建设内容?13 3、1?组织机构 (13) 3、2?人员管理................................................................................................ 13 3、3?物理管理 (13) 3、4?网络管理................................................................................................ 14 3、5?系统管理 (14) 14 3、6应用管理? 3、7数据管理?14 3、8?运维管理? 15 4总体安全策略 (15) 4、1物理环境安全策略?15 4、2通信网络安全策略? 16 4、3区域边界安全策略 (17)

4、4?计算环境安全策略................................................................................ 18 19 4、5安全管理中心策略? 20 5?附则?

1总则 为加强与规范XXX单位网络安全工作,提高网络安全防护水平,实现网络安全得可控、能控、在控,依据国家有关法律、法规得要求,制定本文档. 1.1目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保网络安全以及实现持续改进得目得等内容作为本单位网络安全工作得总体方针。以信息网络得硬件、软件及其系统中得数据受到保护,不受偶然得或者恶意得原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 1.2适用范围 本文档适用于网络安全方案规划、安全建设实施与安全策略得制定。在全单位范围内给予执行,由信息安全领导小组对该项工作得落实与执行进行监督,由技术部配合信息安全领导小组对本案得有效性进行持续改进。 1.3建设思路 XXX单位信息安全建设工作得总体思路如下图所示:

01 XX公司信息安全总体方针和安全策略指引

XX公司 信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。 第三条公司信息安全管理遵循如下原则: (一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源; (二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全; (三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。 (五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风

险,同时提升信息安全管理制度的可操作性。 (六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。 (一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架; (二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; (三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。 第六条公司安全保障框架: (一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。(二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数

公司信息安全策略管理制度.doc

公司信息安全策略管理制度Microsoft Office Word 文档 4 公司信息安全策略管理制度(试行) 第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005),保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立,运营改善部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由两化融合管理委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条信息安全工作推进组由运营改善部信息安全专业人员和公司各部门

主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向两化融合管理委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排; (八)推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。 第九条信息安全顾问组职责 (一)提供信息安全相关产品的使用帮助和更新; (二)负责为公司提供完整的信息安全管理咨询服务;

相关主题
相关文档
最新文档