項目信息安全管理制度-模板

#/6第一章總則第一條為規(guī)范公司項目管理過程的信息安全，明晰項目管理過程的信息安全中信息安全職責特制定本制度。第二條本制度適用于公司ISMS體系的項目管理過程中信息安全的管理。第二章項目管理中的安全職責第三條在項目管理中項目經(jīng)理應承擔如下責任：分析公司及與項目相關的法律法規(guī)的信息安全需求及項目信息安全風險，在此基礎上制定有針對性的風險處置計劃。對項目成員進行信息安全的培訓。對項目信息安全管理制度的執(zhí)行進行監(jiān)控并記錄。對安全問題進行定期匯報，并對信息安全事件進行及時上報。進行持續(xù)的風險識別過程，根據(jù)實施過程中識別出的新的風險、發(fā)現(xiàn)的問題或變更對風險處置計劃進行改進或更新。第四條網(wǎng)絡安全與信息化領導小組辦公室應對項目經(jīng)理擬定的風險處置計劃進行審批，確保計劃滿足公司信息安全的需求。對整個項目的信息安全管理工作進行監(jiān)控和指導。對安全事件及時上報，所有信息安全事件應第一時間上報到網(wǎng)絡安全與信息化領導小組。第三章項目啟動期信息安全第五條分析安全需求及識別風險項目經(jīng)理根據(jù)項目的具體情況，分析項目的安全要求及相關風險。項目經(jīng)理負責識別信息安全風險，識別風險時應考慮：?風險發(fā)生可能帶來的業(yè)務影響和后果。?風險發(fā)生的現(xiàn)實可能性。?資產(chǎn)的主要威脅、脆弱點和影響以及已經(jīng)實施的安全控制措施。通過風險識別，把相應風險記錄到《風險評估列表&風險處置》第六條制定風險處置計劃項目經(jīng)理根據(jù)可接受風險的準則判斷是否可以接受，針對不可接受的風險制訂相關的風險處置計劃，經(jīng)批準后執(zhí)行，風險處置計劃記錄到《風險評估列表&風險處置》中。處置措施應考慮技術(shù)措施和管理措施。第七條信息安全要求培訓項目經(jīng)理必須對項目成員進行項目信息安全要求的培訓，培訓內(nèi)容為項目的信息安全風險、注意事項及要求維護類項目如有責任工程師，責任工程師必須參加培訓。對于軟件實施類項目，項目實施組成員必須參加培訓。對于持續(xù)時間較長的項目，項目信息安全要求培訓至少每年一次。項目成員包括供應方的項目人員。第四章項目實施階段第八條運行、評估、改進項目組根據(jù)《信息安全風險評估與處置表》中風險處置措施內(nèi)容開展風險管理活動，以達到安全控制的目標。項目經(jīng)理定期進行信息安全管理評估活動，確保：?安全管理活動按期望實施。?及時發(fā)現(xiàn)過程中的問題。及時識別安全違規(guī)活動。識別安全管理活動的有效性。確定解決安全違規(guī)的行動是否有效。所有信息安全管理過程中的項目自身改進，由項目經(jīng)理具體實施，并監(jiān)控改進的實施。第九條信息安全事件的處置與上報項目經(jīng)理需定期向網(wǎng)絡安全與信息化領導小組辦公室匯報項目的信息安全管理情況（可單獨匯報，也可和其它項目管理問題一起匯報）。項目上一旦有信息安全事件的發(fā)生，除了通知網(wǎng)絡安全與信息化領導小組辦公室及相關責任人及時采取解決措施，盡量減少損失和降低影響外，必須上報網(wǎng)絡安全與信息化領導小組。對于重大信息安全事件，需網(wǎng)絡安全與信息化領導小組辦公室的調(diào)查工作，分析根本原因，并采取糾正措施，網(wǎng)絡安全與信息化領導小組辦公室對糾正措施進行監(jiān)控。關于信息安全事件的處置參考《信息安全事件管理規(guī)范》。第十條持續(xù)運行信息安全管理過程是在項目生命周期中持續(xù)運行的管理過程，項目組需要定期分析信息安全需求及識別風險，并對新的信息安全需求及風險進行評估，對不可接受風險制定風險處置措施。第五章項目結(jié)束階段第十一條項目結(jié)束階段應對供應商項目成員使用的資源（設備、信息、帳號、軟件）進行歸還，數(shù)據(jù)進行清理。在歸還資源時，確認對其中信息進行了清理。如使用公司帳號，項目經(jīng)理必須對帳號或密碼進行變更。第六章項目信息安全管理注意事項第十二條項目人員到場/離場管理人員到場、離場管理對于駐場項目尤為重要。項目經(jīng)理需要制定人員到場、離場的管理計劃，以下幾點需要注意：1)人員到場?盡快完成項目信息安全要求的培訓。?根據(jù)人員的角色及工作內(nèi)容申請帳號和權(quán)限。在申請帳號及權(quán)限時注意職責分離原則及最小權(quán)限原則。為到崗人員申請必須的資源，但需明確如何使用這些資源的要求，尤其是用到重要的設備和數(shù)據(jù)時。項目組成員到崗時應及時簽署保密協(xié)議。2)人員離場人員離場時，項目經(jīng)理必須確認所有使用的資源已經(jīng)歸還。確保帳號被及時刪除。第十三條帳號與權(quán)限管理帳號與權(quán)限管理適合各種類型項目。如果項目需要供應商人員使用帳號登陸系統(tǒng)，供應商人員的帳號與權(quán)限申請必須符合以下規(guī)則：1)根據(jù)人員的角色及工作內(nèi)容申請帳號和權(quán)限，不能因為方便給所有人都申請最大權(quán)限。2)申請帳號及權(quán)限時注意職責分離原則限制和控制特殊權(quán)限、特權(quán)帳號的使用。最小權(quán)限原則，能用更小的權(quán)限解決問題就不申請更大的權(quán)限。定期檢查原則，應