


下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、XXX公司信息安全總體方針和安全策略指引第一章總 則第一條為了進一步深入貫徹落實國家政策文件要求,加強公司信息 安全管理工作,切實提高公司信息系統(tǒng)安全保障能力,特制定本指引 第二條 本指引適合于公司。第三條公司信息安全管理遵循如下原則:(一)主要領(lǐng)導負責原則:公司主要領(lǐng)導負責信息安全管理工作,統(tǒng) 籌規(guī)劃信息安全管理目標和策略,建立信息安全保障隊伍并合理配置 資源;(二)全員參和原則:公司全員參和信息系統(tǒng)的安全管理工作,將信 息安全和本職工作相結(jié)合,相互協(xié)同工作,認真落實信息安全管理要 求,共同保障信息系統(tǒng)安全;(三)合規(guī)性原則:信息安全管理制度遵循國際信息安全管理標準, 以國家信息安全法律、法
2、規(guī)、標準、規(guī)范為根本依據(jù),全面符合相關(guān) 主管部門和公司的各類要求。(四)監(jiān)督制約原則:信息系統(tǒng)安全管理組織結(jié)構(gòu)、組織職責、崗位 職責、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機制,降低因缺乏 約束而產(chǎn)生的安全風險。(五)規(guī)范化原則:通過建立規(guī)范化的工作流程,在執(zhí)行層面對信息 系統(tǒng)安全工作進行合理控制,降低由于工作隨意性而產(chǎn)生的安全風W 險,同時提升信息安全管理制度的可操作性。(六)持續(xù)改進原則:通過不斷的持續(xù)改進,每年組織公司管理層對 制度的全面性、適用性和有效性進行論證和審定,并進行版本修訂。第四條 本指引適用于公司全體人員。第二章信息安全保障框架及目標第五條 參照國內(nèi)外相關(guān)標準,并結(jié)合公司已
3、有網(wǎng)絡(luò)和信息安全體系 建設(shè)的實際情況,最終形成依托于安全保護對象為基礎(chǔ), 縱向建立安 全管理體系、安全技術(shù)體系、安全運行體系和安全管理中心的“三個 體系,一個中心,三重防護”的安全保障體系框架。(一)“三個體系”:信息安全管理體系、信息安全技術(shù)體系和信息安 全運行體系,把信息安全標準的控制點和公司實際情況相結(jié)合形成相 適應(yīng)的體系結(jié)構(gòu)框架;(二)“一個中心”:信息安全管理中心,實現(xiàn)“自動、平臺化”的安 全工作管理、統(tǒng)一技術(shù)管理和安全運維管理;(三)“三重防護”:安全計算環(huán)境防護措施、安全區(qū)域邊界防護措施 和安全網(wǎng)絡(luò)通信防護措施,把安全技術(shù)控制措施和安全保護對象相結(jié) 合。第六條公司安全保障框架:(
4、一)安全管理體系:信息安全管理體系重點落實安全管理制度、安 全管理機構(gòu)和人員安全管理的相關(guān)控制要求,并結(jié)合公司的實際情況 形成符合行業(yè)和國家信息安全標準的信息安全管理體系框架。(二)安全技術(shù)體系:通過安全技術(shù)在物理、網(wǎng)絡(luò)、主機、使用和數(shù) 據(jù)各個層面的實施,建立和公司實際情況相結(jié)合的安全技術(shù)體系。 同時和“安全計算環(huán)境、安全區(qū)域邊界和安全網(wǎng)絡(luò)通信”的保護對象相 作用,形成依托于保護對象的安全技術(shù)體系控制措施。(三)安全運行體系:信息安全運行體系重點落實系統(tǒng)建設(shè)管理和系統(tǒng)運維管理的相關(guān)控制要求,并和公司實際情況相結(jié)合,形成符合行 業(yè)和國家信息安全標準的信息安全運行體系框架。(四)安全管理中心:根據(jù)
5、信息安全相關(guān)要求和安全設(shè)計技術(shù)要求的 相關(guān)內(nèi)容,信息安全管理中心通過“自動、平臺化”的方式,對信息 安全管理體系、信息安全技術(shù)體系以及信息安全運行體系的相關(guān)控制 內(nèi)容,結(jié)合公司的實際情況加以落實。第七條 公司信息安全總體目標是:依照業(yè)務(wù)信息系統(tǒng)的實際情況和 現(xiàn)實問題為基礎(chǔ),參照國內(nèi)、國際的安全標準和規(guī)范,充分利用成熟 的信息安全理論成果,設(shè)計出整體性好、可操作性強,并且融組織、 管理和技術(shù)為一體的設(shè)計方案,達到行業(yè)和國家信息安全標準的要 求。第三章安全策略第八條 建立信息安全領(lǐng)導小組,負責組織、落實國家信息安全相關(guān) 政策、法規(guī)和標準要求,審核并制定公司信息安全的發(fā)展戰(zhàn)略、規(guī)劃、 政策和管理制度
6、,落實公司信息安全組織及職責管理辦法。第九條 保持和國家信息安全主管機構(gòu)、監(jiān)管機構(gòu)、上級主管單位和 支撐企業(yè)信息安全建設(shè)、運營單位的聯(lián)絡(luò),制定完整的公司常用信 息安全組織機構(gòu)信息表,確保和外部機構(gòu)的溝通暢通。第十條 加強公司內(nèi)部人員在錄用前、工作期間、調(diào)崗和離崗的人員安全管理,確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的 安全性,要求信息安全人員簽署保密協(xié)議,落實公司內(nèi)部人員信息 安全管理辦法。第十一條 加強外部人員的安全管理,防范外部人員帶來的安全風險, 規(guī)范外部人員在公司各項和信息系統(tǒng)相關(guān)的活動所要遵守的行為準 則,嚴格落實公司外部人員信息安全管理辦法。第十二條 每年組織開展全員信息
7、安全教育或培訓,提升公司全員的 信息安全意識,確保公司信息安全目標和策略能夠得到必要的宣貫。第十三條 建立信息安全管理制度制定、發(fā)布、審核和修訂的管理要 求,并滿足國家法律、政策和規(guī)范的要求,確保信息安全管理制度持 續(xù)改進,落實公司信息安全制度管理辦法。第十四條 確保信息化建設(shè)的項目立項、設(shè)計、實施、驗收等各個環(huán) 節(jié)和信息安全管理控制機制的有機結(jié)合, 實現(xiàn)項目工程管理過程和內(nèi) 容安全可控,嚴格執(zhí)行公司信息系統(tǒng)建設(shè)安全管理辦法。第十五條加強公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性管 理工作,確保物理環(huán)境、設(shè)施設(shè)備和進出訪問控制安全,落實公司 機房環(huán)境安全管理辦法和公司辦公環(huán)境信息安全管理辦法
8、 。 第十六條加強對公司信息資產(chǎn)的安全管理,建立統(tǒng)一的信息資產(chǎn)分 類、責任、授權(quán)和配置管理,明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資 產(chǎn)的信息安全管理工作,落實公司信息資產(chǎn)安全管理辦法 。第十七條 加強信息資產(chǎn)的運行維護管理工作,對系統(tǒng)的工作環(huán)境、 安全運行、策略進行定期檢查,記錄信息系統(tǒng)運行的日志及狀態(tài),定期對信息資產(chǎn)進行清點,確保各系統(tǒng)的正常運行,落實公司信息安 全運行維護管理辦法。第十八條 加強信息系統(tǒng)運行維護過程中的變更管理,確保公司信息系統(tǒng)的可核查性和可追溯性,合理控制信息系統(tǒng)變更產(chǎn)生的信息安全 風險,結(jié)合日常信息系統(tǒng)的運行有關(guān)管理辦法,落實公司信息系統(tǒng) 變更管理辦法。第十九條 加強對信息
9、安全事件的監(jiān)控和管理,建立應(yīng)急事件的報告、 協(xié)調(diào)、處理機制。制定重要信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案,并進行演練和 定期更新,確保信息系統(tǒng)的連續(xù)穩(wěn)定運行,落實公司應(yīng)急管理辦法 和公司信息安全分類應(yīng)急預(yù)案。第二十條 對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動 存儲介質(zhì)進行的所有安全管理活動進行管理,介質(zhì)使用必須要有授 權(quán),保證介質(zhì)使用的安全。落實公司介質(zhì)安全管理辦法。第二條 為規(guī)范管理員對網(wǎng)絡(luò)設(shè)備的訪問及操作行為,降低由于 口令強度不夠和設(shè)置不完善等造成的安全隱患和風險,應(yīng)加強各信息 系統(tǒng)的口令管理,落實公司密碼管理辦法。第二十二條 加強對網(wǎng)絡(luò)系統(tǒng)的設(shè)計、規(guī)劃、變更審批和運維監(jiān)督, 定期對網(wǎng)絡(luò)中的系統(tǒng)進行漏洞掃描,對重要網(wǎng)段進行保護,落實公 司網(wǎng)絡(luò)安全管理辦法。第二十三條 規(guī)范系統(tǒng)的使用,對系統(tǒng)的賬戶權(quán)限進行有效控制,及時的更新系統(tǒng)的補丁,有效的保護系統(tǒng)中的文件,對重要系統(tǒng)的文件 進行保護,落實公司系統(tǒng)安全管理辦法。第二十四條 定期對網(wǎng)絡(luò)中的使用系統(tǒng)、數(shù)據(jù)庫進行備份,實現(xiàn)異地 備份的方式,同時每年需要進行一次數(shù)據(jù)恢復(fù)演練, 數(shù)據(jù)的保存周期 至少為五年,合理的根據(jù)情況進行調(diào)整備份時間,落實公司信息備 份和恢復(fù)管理制度。第四章獎懲第二十五條對長期認真貫徹公司信息安全管理辦法,并因此而取得 較好成績的組織和個
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年高考語文二輪復(fù)習專題2小說閱讀突破練9復(fù)合文本閱讀的考查方式
- 中國人的健康現(xiàn)狀
- 綠茶沖泡技術(shù)課件
- 井下透水安全培訓
- 重癥監(jiān)護室術(shù)后健康宣教指南
- 關(guān)于超額預(yù)定的培訓方案
- 【課件】+聲音的產(chǎn)生與傳播(教學課件)2024-2025學年初中物理人教版(2024)八年級上冊+
- 珠寶門店黃金培訓
- 學校領(lǐng)導安全培訓
- 2025年深遠海風電場建設(shè)規(guī)劃與海上風能資源評估報告
- GA/T 1067-2013基于拉曼光譜技術(shù)的液態(tài)物品安全檢查設(shè)備通用技術(shù)要求
- 小紅書運營方案
- 傳媒公司掛靠合同(樣本)
- 中藥奄包-外源性熱敷療法課件
- 七年級地理全冊知識點歸納匯總
- 工廠供電課程設(shè)計-某塑料制品廠全廠總配變電所及配電系統(tǒng)設(shè)計
- 商務(wù)禮儀3-2辦公室禮儀 中職高職《商務(wù)禮儀》教學教案
- 灌腸操作評分標準
- 員工獎懲簽認單
- 體能訓練概論(NSCA)
- 《羽毛球》課程思政教學案例(一等獎)
評論
0/150
提交評論