返回
公司信息安全策略管理制度 Microsoft Office Word 文档

公司信息安全策略管理制度 Microsoft Office Word 文档

ID:38760419

大小:24.93 KB

页数:8页

时间:2019-06-19

公司信息安全策略管理制度 Microsoft Office Word 文档_第1页
公司信息安全策略管理制度 Microsoft Office Word 文档_第2页
公司信息安全策略管理制度 Microsoft Office Word 文档_第3页
公司信息安全策略管理制度 Microsoft Office Word 文档_第4页
公司信息安全策略管理制度 Microsoft Office Word 文档_第5页
资源描述:

《公司信息安全策略管理制度 Microsoft Office Word 文档》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、公司信息安全策略管理制度(试行)第一章总则第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行GB/T22080-2008《信息安全管理体系·要求》(idtISO/IEC27001:2005),保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。第三条运营改善

2、部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立,运营改善部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。第四条本制度适用于公司所属各单位。第二章职责分工第五条公司信息安全管理工作由两化融合管理委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。第一条信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。第二条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。第三条信息安全工作推进组职责(一)建立信息安全管理方针、目标和策略;(二)评估信息安全顾问组意见的可用性;(

3、三)确定公司信息资产风险准则和信息安全事件处置措施;(四)组织并确保全公司信息安全教育活动的落实;(五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向两化融合管理委员会汇报;(六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施;(七)负责公司信息安全内部、外部评估的具体安排;(八)推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。第四条信息安全顾问组

4、职责(一)提供信息安全相关产品的使用帮助和更新;(一)负责为公司提供完整的信息安全管理咨询服务;(二)提供信息安全管理方面的相关培训。第一章信息安全方针和目标第一条公司信息安全方针为:全员参与、强化意识、规范行为、积极预防、快速响应第二条在此方针下应坚持的基本原则(一)基本安全需求原则:信息安全工作推进组根据公司信息系统担负的使命和信息资产重要程度等,按照等级保护要求确定相应的信息安全保护措施,从全局恰当地平衡信息安全投入和安全状态;(二)全员参与原则:所有从事信息安全相关工作的人员应普遍参与信息安全活动,保证自身信息安全素质,提高安全意识,共同保护公司信息安全;

5、(三)管理与技术并重原则:坚持积极防御和综合防范,全面提高信息安全防护能力,结合公司实际情况,采用管理科学性和技术前瞻性相辅相成的方法,达到信息安全管理的目的;(四)持续改进原则:信息安全管理是动态的,贯穿整个企业管理的生命周期,随着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等,应及时地将现有的安全策略和保护措施进行检查、修改和调整,以提升安全管理水平,持续维护信息安全管理体系的有效性。(一)遵循PDCA(Plan、Do、Check、Action计划、实施、检查、改进)模型原则:运用GB/T22080规范的PDCA模型建立信息安全

6、管理体系。第一条公司信息安全目标(一)商业秘密信息泄露事故为零;(二)造成公司生产中断时间累计不能超过2小时/年;(三)造成公司生产中断事故发生次数不超过2次/年。第一章总体信息安全策略第二条本公司安全策略应满足国家信息安全等级保护制度相关要求。第三条物理安全策略(一)机房、数据中心等物理位置的选择应选在防震、防潮防水、防火的建筑内;(二)机房、数据中心等的入出口应采取访问控制措施,安排值守、控制、鉴别和记录工作;(三)机房内部署基础的防护系统和设备,如防火系统、环境控制系统、UPS供电系统、消防灭火系统、防雷系统、监控系统;(四)网络通信线缆布置于安全隐蔽处(地

7、下、管道);(五)机房部署防盗报警系统。第一条网络安全策略(一)网络核心设备部署要求性能良好,设备和链路有冗余,保证业务高峰期需求;(二)绘制与实际相符的网络拓扑结构图;(三)强化对终端的控制,并强制终端使用防病毒系统;(四)对于涉密终端强制安装数据防泄密软件;(五)网络边界处部署防火墙、IPS等安全设备;(六)按照网络内的不同区域,划分不同的VLAN;(七)邮箱系统增加垃圾邮件检测功能;(八)严格控制控制带宽设置优先级,限制上网权限。第二条主机安全策略(一)登陆操作系统和数据库系统的用户必须进行身份标识和鉴别;(二)登陆操作系统和数据库系统管理用户身份标识不能出

8、现同名用户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。