返回
上海海关学院信息安全管理方针

上海海关学院信息安全管理方针

ID:18368884

大小:101.50 KB

页数:22页

时间:2018-09-16

上海海关学院信息安全管理方针_第1页
上海海关学院信息安全管理方针_第2页
上海海关学院信息安全管理方针_第3页
上海海关学院信息安全管理方针_第4页
上海海关学院信息安全管理方针_第5页
资源描述:

《上海海关学院信息安全管理方针》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、上海海关学院信息安全管理方针1总则第一条【目的】本文件为上海海关学院(以下简称:海关学院)信息安全管理的纲领性文件,明确提出海关学院在信息安全管理方面的工作要求,指导信息安全管理工作。信息安全管理方针是海关学院领导层对信息安全目标的具体表述,为信息安全管理制度文件提供指引,其它文件在制定时不得违背本文件中的规定或与信息安全策略发生抵触。以确保业务系统安全、稳定和可靠的运行,提升信息化服务质量,不断推动信息安全工作的健康发展。第二条【依据】结合和参考《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办

2、法试行》、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)等制定相关管理规范,并落实符合海关学院系统安全保护等级要求和管理方针。第三条【范围】本文件适用于海关学院与信息安全相关的各项活动。2信息安全组织策略—22—第一条建立针对内部组织和外部组织的安全策略,促进海关学院建立合理的信息安全管理组织机构与功能,以协调、监控信息安全目标的实现。第二条信息安全组织策略一(内部建立信息安全管理架构)。1.策略目标实现在海关学院内部有效地管理信息安全。2.策略内容建立专门的信息安全组织体系,以管理信息

3、安全事务,指导信息安全实践。3.策略描述通过建立信息安全管理组织,启动和控制海关学院范围内信息安全工作的实施,批准信息安全方针与策略,确定信息安全管理人员和职责分工,协调整个信息安全管理制度的推行和落实。根据需要,还应建立与外部安全专家或组织的联系,方便跟踪行业趋势,学习各类先进的标准和评估方法。第三条信息安全组织策略二(对访问海关学院信息资产的外部组织进行严格管理)。1.策略目标确保被外部组织访问的信息资产得到有效安全防护。2.策略内容—22—海关学院信息处理设施和信息资产的安全性不应由于客户、第三方等外部组织的访

4、问或由于引入外部产品或服务而降低。当任何外部组织需要对内部信息处理设施进行访问、对信息资产进行处理时,内部相应接口部门应与外部组织签订协议,并采取有效措施进行安全控制。1.策略描述将不可避免地需要与外界进行业务往来与信息沟通,经常需要向外部组织开放其信息资产和信息处理设施。因此,需要对由于外部组织访问而带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订协议,向其声明信息安全方针与策略,确定所需的安全控制措施。3资产安全管理策略第一条为有效地控制信息安全风险,首先需要识别信息资产。只有对资产进行科学而有效地

5、分类,并在各个管理层面落实对资产的保护责任,采用恰当的控制措施才能实现对信息资产的风险管理。本节通过以下两个策略进行对信息资产的有效管理。第二条资产管理策略一:对信息资产建立问责机制,为实施适当保护奠定基础。对所有信息资产进行识别,建立资产清单并说明使用规则,明确定义信息资产责任人及其职责,为信息资产建立问责机制。—22—第一条所有资产需标识出责任人,通常可定义为信息资产的所有者、保管者、维护者和使用者,同时需要明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的保管者或维护者来承担,但所有者和

6、使用者仍对资产承担一定的保护责任。第二条资产管理策略二:通过对信息资产的分类,明确其可以得到适当程度的保护。应按照信息资产的价值、法律要求及对组织的敏感程度和对业务支撑的关键程度来进行分类分级和资产表示。第三条信息资产的分类分级及相关保护控制需要考虑业务需求以及与其相关的业务影响。资产所有者的职责应包括确定资产的类别,进行必要的标识,并对其进行周期性评审,确保其与组织的内外环境变化相适应。第四条信息资产的分类分级基于业务相关性,从资产的机密性、完整性和可用性三方面进行分别进行评估,并根据这三个方面考虑资产的保护级别4

7、人员安全管理策略第五条网络与信息—22—安全领导小组的成员要明确并履行各自的安全职责,包括信息资产保护的责任、执行特定安全过程的责任及授权级别,保证单位的安全责任能有效落实。第一条保持与海关相关部门的及相关安全厂商的适当联系,并明确在发生重大信息安全事件后与相关部门进行联系,确保能及时得到相关部门组织的支持和帮助。第二条定期(或出现重大安全变化时)对我院的信息安全方法和实施进行评审,确保管理信息安全方法的持续适宜性、充分性和有效性。评审的对象包括控制目标、控制措施、安全策略、程序文件和作业指导书。评审信息安全领导小组

8、来启动,如果评审识别出信息安全方法和实施不符合当前的安全要求,信息安全领导小组要及时考虑纠正措施。评审的结果要记录成文件,并报告给学院领导,得到授权后发布至我院全体员工。第三条识别外部机构访问我院的信息和信息处理设施的风险,包括被访问的信息处理设施、访问类型、被访问信息的重要性、不被访问的信息需要的控制措施、外部访问的人员等,并在允许访问前实施

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。