信息风险评估相关制度-信息安全管理相关制度

信息风险评估相关制度

信息安全管理相关制度

1 总则

第1条为规范信息安全管理工作，加强过程管理和基础设施管理的风险分析及防范，建立安全责任制，健全安全内控制度，保证信息系统的机密性、完整性、可用性，特制定本规定。

2 适用范围

第2条本规定适用于。

3 管理对象

第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。

4 第四章术语定义

DMZ:用于隔离内网和外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。

安全制度:与信息安全相关的制度文档，包括安全管理办法、标准、指引和程序等。

安全边界:用以明确划分安全区域，如围墙、大厦接待处、网段等。

恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。

备份周期:根据备份管理办法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。

系统工具:能够更改系统及应用配臵的程序被定义为系统工具，如系统管理、维护工具、调试程序等。

消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术，它可以在硬件或软件上实施。

数字签名:一种保护电子文档真实性和完整性的方法。例如，在电子商务中可以使用它验证谁签署电子文档，并检查已签署文档的内容是否被更改。

信息处理设备:泛指处理信息的所有设备和信息系统，包括网络、服务器、个人电脑和笔记本电脑等。

不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。

电子化办公系统:包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。

5 安全制度方面

5.1 安全制度要求

5.1.1 本制度的诠释

第4条所有带有“必须”的条款都是强制性的。除非事先得到安全管理委员会的认可，否则都要坚决执行。其它的条款则是强烈建议的，只要实际可行就应该被采用。

第5条所有员工都受本制度的约束，各部门领导有责任确保其部门已实施足够的安全控制措施，以保护信息安全。

第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。

第7条安全管理代表,或其指派的人员,将审核各部门安全控制措施实施的准确性和完整性，

此过程是公司例行内部审计的一部分。

5.1.2 制度发布

第8条所有制度在创建和更新后，必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。

5.1.3 制度复审

第9条当环境改变、技术更新或者业务本身发生变化时，必须对安全制度重新进行评审，并作出相应的修正，以确保能有效地保护公司的信息资产。

第10条安全管理委员会必须定期对本管理办法进行正式的复审，并根据复审所作的修正，指导相关员工采取相应的行动。

6 组织安全方面

6.1 组织内部安全

6.1.1 信息安全体系管理

第11条公司成立安全管理委员会，安全管理委员会是公司信息安全管理的最高决策机构，安全管理委员会的成员应包括总裁室主管IT领导、公司安全审计负责人、公司法律负责人等。

第12条信息安全管理代表由信息安全管理委员会指定，一般应包含稽核部IT稽核岗、信息管理部信息安全相关岗位及分公司IT岗。

第13条安全管理委员会通过清晰的方向、可见的承诺、详细的分工，积极地支持信息安全工作，主要包括以下几方面:

1)确定信息安全的目标符合公司的要求和相关制度,

2)阐明、复查和批准信息安全管理制度,

3)复查信息安全管理制度执行的有效性,

4)为信息安全的执行提供明确的指导和有效的支持,

5)提供信息安全体系运作所需要的资源

6)为信息安全在公司执行定义明确的角色和职责,

7)批准信息安全推广和培训的计划和程序,

8)确保信息安全控制措施在公司内被有效的执行。

第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估，并检查和调整建议在公司内执行的结果。

第15条必须举行信息安全管理会议，会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。

第16条信息安全管理会议必须每年定期举行，讨论和审批信息安全相关事宜，具体包括以下内容

1)复审本管理制度的有效性

2)复审技术变更带来的影响

3)复审安全风险

4)审批信息安全措施及程序

5)审批信息安全建议

6)确保任何新项目规划已考虑信息安全的需求

7)复审安全检查结果和安全事故报告

8)复审安全控制实施的效果和影响

9)宣导和推行公司高层对信息安全管理的指示

6.1.2 信息安全职责分配

第17条信息管理部门作为信息安全管理部门，负责信息安全管理策略制定及实施，其主要

职责:

（一）负责全公司信息安全管理和指导,

（二）牵头制订全公司信息安全体系规范、标准和检查指引，参与我司信息系统工程建设的安全规划,

（三）组织全公司安全检查,

（四）配合全公司安全审计工作的开展,

（五）牵头组织全公司安全管理培训,

（六）负责全公司安全方案的审核和安全产品的选型、购臵。

（七）依据本规定、安全规范、技术标准、操作手册实施各类安全策略。

（八）负责各类安全策略的日常维护和管理。

第18条各分公司信息管理部门作为信息安全管理部门，其主要职责:

（一）根据本规定、信息安全体系规范、标准和检查指引，组织建立安全管理流程、手册, （二）组织实施内部安全检查,

（三）组织安全培训,

（四）负责机密信息和机密资源的安全管理,

（五）负责安全技术产品的使用、维护、升级,

（六）配合安全审计工作的开展,

（七）定期上报本单位信息系统安全情况，反馈安全技术和管理的意见和建议。

（八）依据本规定、安全规范、技术标准、操作手册实施各类安全策略。

（九）负责各类安全策略的日常维护和管理。

6.1.3 信息处理设备的授权

第19条新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。

第20条新设备在部署和使用之前，必须明确其用途和使用范围，并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查，以确保它们的安全性和兼容性。

第21条除非获得安全管理委员会的授权，否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。

6.1.4 独立的信息安全审核

第22条必须对公司信息安全控制措施的实施情况进行独立地审核，确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。

第23条独立的信息安全审核必须每年至少进行一次。

6.2 第三方访问的安全性

6.2.1 明确第三方访问的风险

第24条必须对第三方对公司信息或信息系统的访问进行风险评估，并进行严格控制，相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。

第25条第三方包括但不限于:

1) 硬件和软件厂商的支持人员和其他外包商

2) 监管机构、外部顾问、外部审计机构和合作伙伴

3) 临时员工、实习生

4) 清洁工和保安

5) 公司的客户

第26条第三方对公司信息或信息系统的访问类型包括但不限于:

1) 物理的访问，例如:访问公司大厦、职场、数据中心等,