返回
ISMS-3012信息安全方针信息安全策略管理制度

ISMS-3012信息安全方针信息安全策略管理制度

ID:40272490

大小:89.01 KB

页数:6页

时间:2019-07-30

ISMS-3012信息安全方针信息安全策略管理制度_第1页
ISMS-3012信息安全方针信息安全策略管理制度_第2页
ISMS-3012信息安全方针信息安全策略管理制度_第3页
ISMS-3012信息安全方针信息安全策略管理制度_第4页
ISMS-3012信息安全方针信息安全策略管理制度_第5页
资源描述:

《ISMS-3012信息安全方针信息安全策略管理制度》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息技术-安全技术-信息安全作业文件深圳市首品精密模型有限公司信息安全方针信息安全策略管理制度文件编号:ISMS-3012编制审核批准6/6信息技术-安全技术-信息安全作业文件变更履历序序号版本编号或更改记录编号简要说明(变更内容、变更位置、变更原因和变更范围)变更日期变更人审核人批准人批准日期1A/0初始发行----2016-8-56/6信息技术-安全技术-信息安全作业文件第一章总则第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行ISO27001:2013《信息技术安全技术信息安全管理体系·要求》,保障公司信息系统

2、业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。第四条本制度适用于公司所属各单位。第二章职责分工第五条公司信息安全管理工作由

3、信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。第八条信息安全工作推进组职责(一)建立信息安全管理方针、目标和策略;(二)评估信息安全顾问组意见的可用性;(三)确定公司信息资产风险准则和信息安全事件处置措施;(四)组织并确保全公司信息安全教育活动的落实;(五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信息安全委员会汇报;(六)向

4、两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要,推行各项信息安全策略要求和控制措施;(七)负责公司信息安全内部、外部评估的具体安排;6/6信息技术-安全技术-信息安全作业文件(一)推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。第一条信息安全顾问组职责(一)提供信息安全相关产品的使用帮助和更新;(二)负责为公司提供完整的信息安全管理咨询服务;(三)提供信息安全管理方面的相关培训

5、。第一章信息安全方针和目标第二条公司信息安全方针为:满足客户要求,实施风险管理,确保信息安全,实现持续改进。在此方针下应坚持的基本原则(一)基本安全需求原则:信息安全工作推进组根据公司信息系统担负的使命和信息资产重要程度等,按照等级保护要求确定相应的信息安全保护措施,从全局恰当地平衡信息安全投入和安全状态;(二)全员参与原则:所有从事信息安全相关工作的人员应普遍参与信息安全活动,保证自身信息安全素质,提高安全意识,共同保护公司信息安全;(三)管理与技术并重原则:坚持积极防御和综合防范,全面提高信息安全防护能力,结合公司实际情况,采用管理科

6、学性和技术前瞻性相辅相成的方法,达到信息安全管理的目的;(四)持续改进原则:信息安全管理是动态的,贯穿整个企业管理的生命周期,随着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等,应及时地将现有的安全策略和保护措施进行检查、修改和调整,以提升安全管理水平,持续维护信息安全管理体系的有效性。(五)遵循PDCA(Plan、Do、Check、Action计划、实施、检查、改进)模型原则:运用ISO27001的PDCA模型建立信息安全管理体系。第三条公司信息安全目标(一)商业秘密信息泄露事故为零;(二)造成公司生产中

7、断时间累计不能超过2小时/年;(三)造成公司生产中断事故发生次数不超过2次/年。第二章总体信息安全策略6/6信息技术-安全技术-信息安全作业文件第一条本公司安全策略应满足国家信息安全等级保护制度相关要求。第二条物理安全策略(一)机房、数据中心等物理位置的选择应选在防震、防潮防水、防火的建筑内;(二)机房、数据中心等的入出口应采取访问控制措施,安排值守、控制、鉴别和记录工作;(三)机房内部署基础的防护系统和设备,如防火系统、环境控制系统、UPS供电系统、消防灭火系统、防雷系统、监控系统;(四)网络通信线缆布置于安全隐蔽处(地下、管道);(五

8、)机房部署防盗报警系统。第三条网络安全策略(一)网络核心设备部署要求性能良好,设备和链路有冗余,保证业务高峰期需求;(二)绘制与实际相符的网络拓扑结构图;(三)强化对终端的控制,并强制终端使用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。