信息安全总体方针

信息安全总体方针

ID:28385305

大小:66.50 KB

页数:7页

时间:2018-12-09

信息安全总体方针_第1页
信息安全总体方针_第2页
信息安全总体方针_第3页
信息安全总体方针_第4页
信息安全总体方针_第5页
资源描述:

《信息安全总体方针》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、XXX单位信息安全总体方针制定:审核:批准:XXX单位信息中心二O—五年三月第一章总则第一条为规范XXX单位信息系统的信息安全管理,促进信息安全工作体系化、规范化,提高信息和网络服务质量,提高信息系统管理人员、使用人员的整体安全素质和水平,特制定本方针。本方针目标是为XXX单位信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全建设和管理所需的支持和承诺。第二条本方针是指导XXX单位信息安全工作的基本依据,信息安全相关人员依据本方针,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全

2、制度及其实施细则,做好信息安全管理工作。第三条信息安全是XXX单位信息系统管理工作的重要内容。XXX单位管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。第四条木方针的适用人员包括所有与XXX单位信息系统各方面相关联的人员,它适用于全部员工,集成商,软件开发商,产品提供商,顾问,临时工和使用XXX单位信息系统的其他第三方。第五条木方针适用范围包括XXX单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境。第六条本方针主要依据国际标准TS017799,并遵照我国信息安全有关法律法规和相关标准。

3、第二章信息安全管理的主要原则第七条管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断完善信息安全管理制度与管理规程,全面提高信息安全管理水平。第八条全过程原则:信息安全是一个系统工程,应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中,信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则。第九条风险管理和风险控制原则:应进行信息安全风险管理和风险控制,将信息安全风险减低、控制在可以接受的程度内,并将其带来的危害最小化。

4、第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素确定各类信息资产的安全保护级别。第十一条统一规划、分级管理原则:信息安全管理遵循统一规划、分级管理的原则。上级主管部门信息安全领导小组负责对XXX单位信息安全管理工作进行统一规划,各级单位(部门)在上级主管部门信息安全领导小组的领导与监督下,负责本单位(部门)的信息安全管理工作。第十二条平衡原则:在XXX单位信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。第十三条动态管理原则:在XXX单位信息安全管理过程中,应遵循

5、动态管理原则,针对信息系统环境的变动情况及时调整管理办法。第三章信息安全管理组织与职责第十四条建立和健全信息安全管理组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,支持并推动信息安全管理工作在整个XXX单位范围内的实施。第十五条XXX单位信息系统应该设置相应的信息安全管理机构,在信息安全领导小组的领导下,负责XXX单位的信息安全管理工作。第十六条XXX单位信息安全管理机构职责如下:1)根据本方针制定信息系统的信息安全管理制度、管理标准规范和执行程序;2)组织和监督信息安全工作的贯彻和

6、实施;3)考核和检查信息系统的安全管理情况,定期进行安全风险评估,并对出现的安全问题提出解决方案;4)负责安全管理员的选用和监督;5)参与信息系统新工程建设和新业务开展的方案论证,并提出相应的安全方而的建议;6)在信息系统工程验收时,对信息安全方面的验收测试方案进行审查并参与验收。第四章信息系统安全运行管理第十七条信息资产鉴别和分类是整个XXX单位信息安全管理工作的基础。第十八条制定信息资产鉴别和分类制度,鉴别信息资产的价值和等级,建立并维护信息资产清单。第十九条建立机密信息分类方法和制度,根据机密程度和重要程度对

7、数据和信息进行分类管理。第二十条安全运行管理是整个信息安全管理工作的日常体现和执行环节。应该在本方针的指导下,建立并执行信息安全管理制度与信息安全操作规程。第二十一条定期开展信息安全风险评估工作,通过对整个信息系统进行信息安全风险评估,确定信息系统所存在的安全隐患和安全风险,了解信息系统安全现状与信息系统安全需求Z间的差异。第二十二条进行物理安全和环境安全的管理,建立机房管理制度。第二十三条对于XXX单位信息系统中重要业务系统、服务器和网络、安全设备,制定安全配置标准及规定,规范安全配置管理工作,建立系统变更管理制

8、度,并进行定期的审计和检查。第二十四条对于外包开发的业务系统软件,应制定业务软件安全标准来进行规范,要求有完善的鉴别和认证、访问控制、日志审计功能和数据验证功能,杜绝木马和后门。建立源代码控制和软件版本控制机制。第二十五条建立第三方安全管理的制度和规范,严格控制第三方对XXX单位信息系统的访问,并在合同中规定其安全责任和安全控制要求,以维护第三方访问的安全性

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。