返回
IT-01-06-01信息系统安全风险管理细则

IT-01-06-01信息系统安全风险管理细则

ID:43032825

大小:43.50 KB

页数:4页

时间:2019-09-25

IT-01-06-01信息系统安全风险管理细则_第1页
IT-01-06-01信息系统安全风险管理细则_第2页
IT-01-06-01信息系统安全风险管理细则_第3页
IT-01-06-01信息系统安全风险管理细则_第4页
资源描述:

《IT-01-06-01信息系统安全风险管理细则》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息系统安全风险管理细则1目的明确信息系统安全风险工作的职责分工、管理内容和管理程序,提高信息系统安全保障能力和水平。2适用范围适用于中海化学海南基地暨海洋石油富岛有限公司(以下简称“海南基地”或“公司”)机关各部门、基地各单位。3编制依据《信息安全管理体系标准XIS0-27001,2005,国际标准化组织。4释义4.1信息系统4.1.1指由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的、以处理信息流为目的的人机一体化系统。4.1.2本件中是指机房、通信网络设备、安全设备、办公管理系统以及生产业务应用系统等。指化学公司海南基地已建成

2、或未来将要建成转交运维的系统,现有系统包括:基础网络、ERP、NOTESv0A、报表、WPKS、EAM、安全管理系统、INTERNET、VPN等所有的由海南基地信息职能管理部门管理的软硬件系统。4.2信息安全负责人主管单位信息安全管理工作的负责人。4.3信息系统安全管理员指具体负责信息系统运维的管理人员,包括机房管理员、网络管理员、数据库管理员、防病毒系统管理员和应用系统管理员等。4.4信息安全指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,涵盖人工和自动信息处理安全及网络

3、化与非网络化的信息系统安全。本件中是指以纸介质、磁介质、胶片、有线信道以及无线信道为媒体的信息,在获取(包括信息转换)、分类、排序、检索、传递和共享中的安全。4.5信息网络安全指确保信息机密性、完整性、可用性、可审查性和抗抵赖性的,与人、网络、环境有关的技术安全、结构安全和管理安全的总和。5职责分工5.1公司保密委员会a)负责领导公司信息安全管理工作;b)审查批准公司信息安全策略、体系文件和规划;c)负责研究、决策公司信息安全的重大事项;d)指导、监督处理公司的重大信息安全事故。5.2基地信息管理部a)负责指导、组织开展信息系统安全管理工作;b)负责监督和检查

4、信息系统安全策略及规划的执行情况;c)负责组织和处理基地的重大信息安全事故;d)制定并落实基地机关信息安全策略和规划;e)组织或参与信息系统的安全审查;f)配合化学公司开展基地范围内信息系统安全审查工作。5.3基地机关部门a)全面负责本部门的信息系统安全管理工作,制定相关管理细则;b)对木部门所拥有系统及系统使用人员进行安全管理监督;c)及时报告及处理出现的信息系统安全问题。5.4信息系统安全管理员a)提出信息系统的安全需求、信息系统安全风险及安全管理合理化建议,参与编制、修订所负责信息系统的安全管理细则;b)具体保障所负责信息系统的安全管理;c)配合对所负责

5、信息系统的安全检查。5.5海南基地各单位a)按照公司的要求,完善本单位信息系统安全管理组织建设;b)负责落实基地信息系统安全策略、各项信息系统安全规范和措施;c)负责建立和健全本单位相关信息系统安全操作规程;d)负责组织本单位的信息系统安全管理工作;e)负责组织开展本单位的信息系统安全教冇和检查;f)提出合理化信息系统安全管理需求;g)及时向基地报告及处理重大、突发信息安全风险或事件。6管理要求及内容6.1从信息系统安全管理制度体系、基础设施和技术手段上确保信息安全。6.2利用信息安全技术手段,监控并保证信息系统的平稳运行。6.3最高管理层对公司信息系统安全工

6、作提供一切必要支持。6.4各级单位应建立有效的审核机制,加强对信息系统安全各项工作的监督与审核。6.5各级单位应遵守各项法律法规要求,并利用法律法规来保护本单位的利益。6.6各级单位制订相应的信息安全体系文件,明确各项安全控制要求和程序并满足总公司对信息安全(包括信息系统安全)的管理要求。6.7信息系统安全风险内容包括但不限于:a)机房安全管理;b)计算机病毒防治管理;c)对外网站安全技术管理;d)网络H常安全监控管理;e)网络安全域划分管理;f)应用系统账户管理;g)办公场所安全管理;h)设备入网管理;i)系统获取安全管理;J)系统安全补丁管理;k)业务连续

7、性管理;l)信息安全事件管理;m)安全持续改进管理;n)安全审计管理;o)信息资产安全管理;P)信息系统安全管理;q)员工信息安全培训。6.8信息系统应根据其业务重要程度及系统重要程度进行等级划分。采用相应技术手段保障其正常运行。信息系统安全等级保护管理遵照《信息安全等级保护管理办法》(公通字[200刀43号)及总公司、海南基地信息安全等级保护相关规定执行。6.9员工信息系统使用安全管理原则是不单独原则、限制使用期限原则、责任分散原则和最小权限原则。海南基地各单位应制定员工信息系统使用安全管理细则,并加以落实。员工应签署信息系统使用安全保密责任书。7附则7.1

8、本规定由基地信息管理部负责解释和修订。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。