欢迎来到天天文库
浏览记录
ID:44749500
大小:33.00 KB
页数:6页
时间:2019-10-27
《信息安全总体 方针》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、xxx单位信息安全总体方针制定:审核:批准:xxx单位信息中心二〇一五年三月第6页共6页第一章总则第一条为规范xxx单位信息系统的信息安全管理,促进信息安全工作体系化、规范化,提高信息和网络服务质量,提高信息系统管理人员、使用人员的整体安全素质和水平,特制定本方针。本方针目标是为xxx单位信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全建设和管理所需的支持和承诺。第二条本方针是指导xxx单位信息安全工作的基本依据,信息安全相关人员依据本方针,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度及其实施细则,做好信息安全管理工作。第三条
2、信息安全是xxx单位信息系统管理工作的重要内容。xxx单位管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。第四条本方针的适用人员包括所有与xxx单位信息系统各方面相关联的人员,它适用于全部员工,集成商,软件开发商,产品提供商,顾问,临时工和使用xxx单位信息系统的其他第三方。第五条本方针适用范围包括xxx单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境。第六条本方针主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规和相关标准。第二章信息安全管理的主要原则第七条管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的
3、同时,应重视管理,不断完善信息安全管理制度与管理规程,全面提高信息安全管理水平。第八条全过程原则:信息安全是一个系统工程,应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中,信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则。第九条第6页共6页风险管理和风险控制原则:应进行信息安全风险管理和风险控制,将信息安全风险减低、控制在可以接受的程度内,并将其带来的危害最小化。第一条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素确定各类信息资产的安全保护级别。第二条统一规划、分级管理原则:信息安全管理遵循统一
4、规划、分级管理的原则。上级主管部门信息安全领导小组负责对xxx单位信息安全管理工作进行统一规划,各级单位(部门)在上级主管部门信息安全领导小组的领导与监督下,负责本单位(部门)的信息安全管理工作。第三条平衡原则:在xxx单位信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。第四条动态管理原则:在xxx单位信息安全管理过程中,应遵循动态管理原则,针对信息系统环境的变动情况及时调整管理办法。第三章信息安全管理组织与职责第五条建立和健全信息安全管理组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,支持并推动信息安全管
5、理工作在整个xxx单位范围内的实施。第六条xxx单位信息系统应该设置相应的信息安全管理机构,在信息安全领导小组的领导下,负责xxx单位的信息安全管理工作。第七条xxx单位信息安全管理机构职责如下:1)根据本方针制定信息系统的信息安全管理制度、管理标准规范和执行程序;2)组织和监督信息安全工作的贯彻和实施;3)考核和检查信息系统的安全管理情况,定期进行安全风险评估,并对出现的安全问题提出解决方案;4)负责安全管理员的选用和监督;5)第6页共6页参与信息系统新工程建设和新业务开展的方案论证,并提出相应的安全方面的建议;1)在信息系统工程验收时,对信息安全方面的验收测试方案进行
6、审查并参与验收。第四章信息系统安全运行管理第一条信息资产鉴别和分类是整个xxx单位信息安全管理工作的基础。第二条制定信息资产鉴别和分类制度,鉴别信息资产的价值和等级,建立并维护信息资产清单。第三条建立机密信息分类方法和制度,根据机密程度和重要程度对数据和信息进行分类管理。第四条安全运行管理是整个信息安全管理工作的日常体现和执行环节。应该在本方针的指导下,建立并执行信息安全管理制度与信息安全操作规程。第五条定期开展信息安全风险评估工作,通过对整个信息系统进行信息安全风险评估,确定信息系统所存在的安全隐患和安全风险,了解信息系统安全现状与信息系统安全需求之间的差异。第六条进行
7、物理安全和环境安全的管理,建立机房管理制度。第七条对于xxx单位信息系统中重要业务系统、服务器和网络、安全设备,制定安全配置标准及规定,规范安全配置管理工作,建立系统变更管理制度,并进行定期的审计和检查。第八条对于外包开发的业务系统软件,应制定业务软件安全标准来进行规范,要求有完善的鉴别和认证、访问控制、日志审计功能和数据验证功能,杜绝木马和后门。建立源代码控制和软件版本控制机制。第九条建立第三方安全管理的制度和规范,严格控制第三方对xxx单位信息系统的访问,并在合同中规定其安全责任和安全控制要求,以维护第三方访问的安全性。第
此文档下载收益归作者所有