信息风险评估相关制度_信息安全管理相关制度汇编

信息风险评估相关制度_信息安全管理相关制度汇编

ID:28810092

大小:56.57 KB

页数:23页

时间:2018-12-14

信息风险评估相关制度_信息安全管理相关制度汇编_第1页
信息风险评估相关制度_信息安全管理相关制度汇编_第2页
信息风险评估相关制度_信息安全管理相关制度汇编_第3页
信息风险评估相关制度_信息安全管理相关制度汇编_第4页
信息风险评估相关制度_信息安全管理相关制度汇编_第5页
资源描述:

《信息风险评估相关制度_信息安全管理相关制度汇编》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、范文范例指导学习信息风险评估相关制度信息安全管理相关制度1总则第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性,特制定本规定。2适用范围第2条本规定适用于。3管理对象第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准

2、的符合性、项目与工程安全控制、安全检查与审计等。4第四章术语定义DMZ:用于隔离内网和外网的区域,此区域不属于可信任的内网,也不是完全开放给因特网。容量:分为系统容量和环境容量两方面。系统容量包括CPU、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段等。恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的内容相当于一个完整的全

3、备份。系统工具:能够更改系统及应用配臵的程序被定义为系统工具,如系统管理、维护工具、调试程序等。消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、服务器、个人电脑和笔记本电脑等。不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。电子化办公系统:包括电子邮件、KOA系统以及用于业务信息传送及共享的企业内部网。5安全制度

4、方面5.1安全制度要求5.1.1本制度的诠释第4条所有带有“必须”的条款都是强制性的。除非事先得到安全管理委员会的认可,否则都要坚决执行。其它的条款则是强烈建议的,只要实际可行就应该被采用。第5条所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。第6条各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以及日常的信息安全管理。第7条安全管理代表,或其指派的人员,将审核各部门安全控制措施实施的准确性和完整性,word版本整理分享范文范例指导学习此过程是公司例行内部审计的一部分。5.1.

5、2制度发布第8条所有制度在创建和更新后,必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。5.1.3制度复审第9条当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。第10条安全管理委员会必须定期对本管理办法进行正式的复审,并根据复审所作的修正,指导相关员工采取相应的行动。6组织安全方面6.1组织内部安全6.1.1信息安全体系管理第11条公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管IT领导、公司安全

6、审计负责人、公司法律负责人等。第12条信息安全管理代表由信息安全管理委员会指定,一般应包含稽核部IT稽核岗、信息管理部信息安全相关岗位及分公司IT岗。第13条安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面:1)确定信息安全的目标符合公司的要求和相关制度,2)阐明、复查和批准信息安全管理制度,3)复查信息安全管理制度执行的有效性,4)为信息安全的执行提供明确的指导和有效的支持,5)提供信息安全体系运作所需要的资源6)为信息安全在公司执行定义明确的角色和职责,7)批准信息安全推广和培训的计划和程序,

7、8)确保信息安全控制措施在公司内被有效的执行。第14条安全管理委员会需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。第15条必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。第16条信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具体包括以下内容1)复审本管理制度的有效性2)复审技术变更带来的影响3)复审安全风险4)审批信息安全措施及程序5)审批信息安全建议6)确保任何新项目规划已考虑信息安全的需求7)复审安全检查结果和安全事故报告8)复审安全控制实施的

8、效果和影响9)宣导和推行公司高层对信息安全管理的指示6.1.2信息安全职责分配第17条信息管理部门作为信息安全管理部门,负责信息安全管理策略制定及实施

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。