欢迎来到天天文库
浏览记录
ID:22788643
大小:88.91 KB
页数:27页
时间:2018-10-31
《信息安全管理策略》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、XXXX公司信息安全管理策略制度编号:二0一五年六月属性内容用户名称:文档主标题:文档副标题:文档编号:版本日期:制度版本作者:密级:r文档变更历史版本修正日期修正人描述目录第一章总则4第二章适用范围4第三章术语定义4第四章职责定义5第五章管理要求8第一节信息安全管理体系8第二节风险管理策略8第三节组织安全管理策略9第四节人力资源安全管理策略11第五节信息资产管理策略14第六节访问控制管理策略16第七节密码管理策略21第八节物理和环境安全管理策略22信息安全管理策略第一章总则第一条为明确XXXX公司(以下简称“XX”)的信息安全管理职责和管理策略,依据《管理体系总纲》和
2、《信息科技风险管理策略》,特制定本办法。第二条信息安全管理的主要目标是控制信息安全风险,确保XX信息的保密性、完整性和可用性。第二章适用范围第三条本策略适用于XX组织安全、人力资源安全、信息资产、访问控制、密码、物理和环境安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规等方面的管理。第四条本策略适用于XX各部门,以及与XX合作的商业伙伴、为XX提供服务的服务提供商及人员等。第三章术语定义第五条本办法涉及的术语包括:信息、信息安全、信息安全管理体系、风险、保密性、完整性、可用性、风险评估、风险处置、访问控制
3、、信息安全事态、信息安全事件、业务连续性。第六条本办法涉及到术语定义,参见《术语表》。第27页/共27页信息安全管理策略第一章职责定义第一条XX负责本管理领域规章制度的设计、推广、监督和改进。第二条本办法涉及的角色包括:信息安全保护领导小组(以下简称“领导小组”)、信息安全保护工作小组(以下简称“工作小组”)、安全管理员、安全员、信息资产责任人、全体人员(包括公司员工,和相关外部人员)。第三条信息安全保护领导小组作为信息安全决策执行机构,主要职责包括:(一)负责分配和落实信息安全方面的角色和职责;(二)负责根据国家信息安全的有关法律、法规、制度、规范及XX信息安全管理策
4、略,组织、制定、落实XX信息安全方面的各项规章制度、实施细则、安全目标及岗位安全责任;(三)负责批准实施信息安全的相关具体流程和方法;(四)负责审批信息安全目标的执行情况;(五)负责审定XX风险接受准则,组织信息安全风险评估和处置的开展;(六)负责决策信息安全风险是否要采取安全措施或增加安全措施;(七)负责评估新系统或服务的安全性并监督上线实施;(八)负责审批调查信息安全事件报告;(九)负责确定信息安全方面的提议;第27页/共27页信息安全管理策略(一)负责推动XX信息安全的各项工作。第一条信息安全保护工作小组是信息安全保护领导小组的下设机构,工作小组由安全管理员和各部
5、门安全员组成,负责信息安全日常工作的具体执行,对领导小组负责,主要职责包括:(一)负责领导小组指定日常事务的具体执行;(二)负责根据信息安全的有关法律、法规、制度、规范及XX信息安全管理规范,组织、协调、落实XX的信息安全工作;(三)负责落实执行信息安全相关的具体制度;(四)负责提交信息系统和信息资产需要采取的安全措施或增加安全措施建议;(五)负责根据领导小组的意见和建议及相关的流程,落实新系统或服务的安全保护措施并执行上线实施工作;(六)负责调查信息安全事件,并向领导小组提交相关书面调查报告;(七)负责抽查并监督安全措施的落实工作,及时汇总相关安全问题上报领导小组。第
6、二条安全管理员作为工作小组的负责人,由信息安全保护领导小组任命和指导,直接对信息安全保护领导小组负责,主要职责包括:(一)负责组织XX内部信息安全意识和信息安全技术培训;(二)负责组织检查具体信息安全工作的执行情况,第27页/共27页信息安全管理策略形成汇总分析并上报领导小组;(一)负责上报并调查信息安全事件,收集汇总信息安全事件报告;(二)负责收集汇总安全建设规划和改进意见。第一条安全员作为各部门具体信息安全日常工作的组织者和检查者,由信息安全保护领导小组任命和指导,其主要职责包括:(一)负责本部门内的信息安全意识培训;(二)负责本部门具体信息安全工作的检查,形成汇总
7、分析并上报安全管理员;(三)负责上报并调查本部门内信息安全事件,提出安全建设规划和改进意见等;第二条信息资产责任人作为信息资产的负责人,主要职责包括:(一)对所承担的信息资产的信息安全负主要责任,负责该项信息资产的日常保护;(二)负责识别所承担信息资产的信息安全风险。第三条全体人员作为信息安全管理工作的具体执行者,其主要职责包括:(一)了解并执行信息安全方针,履行信息安全职责;(二)协助识别信息资产,执行相关信息资产的信息安全要求;第27页/共27页信息安全管理策略(一)识别信息安全违规和信息安全事态,按要求及时上报并协助处理。第一章管理
此文档下载收益归作者所有