返回
ISMS02-信息安全管理体系方针.docx

ISMS02-信息安全管理体系方针.docx

ID:57818001

大小:11.84 KB

页数:5页

时间:2020-03-30

ISMS02-信息安全管理体系方针.docx_第1页
ISMS02-信息安全管理体系方针.docx_第2页
ISMS02-信息安全管理体系方针.docx_第3页
ISMS02-信息安全管理体系方针.docx_第4页
ISMS02-信息安全管理体系方针.docx_第5页
资源描述:

《ISMS02-信息安全管理体系方针.docx》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息安全管理体系方针1适用范围为了对组织整体业务的信息安全活动进行指导,并表明组织管理层对信息安全的支持,特制定本方针。本方针适用于组织ISMS涉及的所有人员(以下简称“全体员工”)和组织的全部重要信息资产及过程。2引用文件组织的《信息安全管理手册》。3术语和定义(此处略去)4职责4.1信息安全管理委员会a)负责解释本方针,是本方针的归口管理部门;b)负责决定组织信息安全相关事项。4.2信息安全部负责协调推行信息安全管理委员会制定的方针政策。4.3信息安全战略推进组负责执行信息安全管理委员会下发、信息安全部督导的ISMS相关文档。5ISMS范围组织信息安全管理体系的范围覆盖

2、组织的所有业务,运行范围包括图1组织结构图中所示的所有业务部门,该范围与《适用性声明》保持一致。组织结构示意图(略去)6信息安全基本策略6.1信息安全方针及信息安全目标信息安全是保护信息免受各种威胁的损害,以确保业务连续性、业务风险最小化,投资回报和商业机遇最大化。6.1.1组织信息安全方针积极预防、全面管理、控制风险、保障安全。信息安全方针应由CEO批准,发布并传达给全体员工和外部相关方。6.1.2组织信息安全目标使已识别的信息资产满足信息安全的各项要求,包括法律法规、客户与相关方和组织业务要求。具体目标包括:a)信息泄漏事件为零;b)引起组织主要业务中断时间累计不能超过

3、2h/年;c)引起组织主要业务中断事件发生次数小于1次/年;d)严重影响网络与信息系统可用性的事件小于1次/年;e)信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标。6.2信息安全管理体制信息安全管理体制由以下人员组成:CEO、信息安全官、信息安全战略推进组、信息安全部门主管、信息安全员和用户。为了确保信息安全工作有一个明确的方向相获得CEO的支持,组织设立了三个不同级别的信息安全机构:信息安全管理委员会、信息安全部和信息安全战略推进组。6.3信息的分类和管理根据信息的重要程度规定信息分类分级及管理方法。6.3.1信息的分类分级根据信息的保密性、完整性及

4、可用性等安全属性,对信息进行分类分级。具体请参考《信息资产分类/分级指南》实施。6.3.2信息的使用和管理用户使用信息时,对不同重要度等级的信息资产按照相关程序使用和管理。具体请参考《信息标识与处理程序》实施。6.4人力资源安全管理人在信息安全活动中是最复杂、最难控制的,所有的管理活动都离不开人,因此必须对其进行合理管理,具体请参考《人员信息安全管理指南》实施。此外,员工意识对ISMS的实施效果产生很大的影响,因此还需要提高员工的信息安全意识,具体请参考《员工培训管理指南》实施。6.5物理和环境安全6.5.1环境设施和安全区域为了防止重要信息资产遭受不当访问、损坏和干扰等,

5、应将其放入安全区域,进行重点管理,使用组织环境设施和安全区域时,必须遵守《环境设施与物理设备管理规定》中规定的事项。6.5.2设备安全设备在安装、布线、使用和维护时,应遵守相应的安全管理措施。此外,除了要保护设备本身的安全外,更重要的是要保护设备中所存储的信息,要防止信息未授权访问,具体内容请参见《环境设施与物理设备管理规定》、《信息系统安全使用规定》和《信息系统安金操作规定》。6.6通信和操作管理积极收集信息安全方面的信息,采取必要的措施,保证交换信息、操作信息处理设备和信息系统时的安全,具体请参考《信息系统安全使用规定》实施。6.7访问控制对信息、信息处理设备、信息系统

6、的访问应在业务和安全要求的基础上进行控制,对信息系统的访问权应有正式的授权和撤销程序,具体请参考《用户访问控制管理规定》实施。6.8信息系统的获取、开发和维护对信息系统的购置、开发建设及系统运行维护过程的信息安全采取必要的控制措施,具体请参考《信息系统安全使用规定》、《信息系统安全操作规定》和《信息系统安全设计规定》实施。6.9风险管理框架组织根据所要实现的信息安全目标选取风险评估方法,说明风险接受准则和可接受的风险级别,具体请参考《信息安全风险评估程序》实施。所有信息安全风险在被识别后,都应进行分析和评价,确定适当的风险处理选项,选取合适的控制措施,以满足风险评估和风险处

7、理过程中所识别的安全要求。控制措施的选择还应考虑可接受风险的准则以及法律法规和合同要求。风险处理方法请参考《信息安全风险处理程序》实施。6.10信息安全事件管理当员工发现任何安全弱点或信息安全事件时,应按照相应的程序及时上报,以便尽早采取措施,降低信息安全事件发生的可能性或其带来的影响。具体请参考《信息安全事件管理程序》实施。6.11业务连续性管理为防止组织业务活动中断,保护关键业务免受重大失误或灾难的影响,以及确保它们的及时恢复,组织要制定《业务连续性计划》。《业务连续性计划》必须考虑信息和信息安全的需求。对可能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。