返回
企业信息安全等保管理策略.docx

企业信息安全等保管理策略.docx

ID:62505748

大小:18.96 KB

页数:11页

时间:2021-05-10

企业信息安全等保管理策略.docx_第1页
企业信息安全等保管理策略.docx_第2页
企业信息安全等保管理策略.docx_第3页
企业信息安全等保管理策略.docx_第4页
企业信息安全等保管理策略.docx_第5页
资源描述:

《企业信息安全等保管理策略.docx》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、企业信息安全等保管理策略第一章总则1第二章信息安全方针1第三章信息安全策略2第四章附则7第一章总则第一条为规范公司信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008).《金融行业信息系统信息安全等级保护实施指引》(JR/T0071—2012).《金融行业信息系统信息安全等级保护测评指南》(JR/T0072—2012),并结合实际情况,特制定本策略。第二条本策略为信息安全管理的纲领性文件,明确提出在信息安全管理

2、方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。第三条网络与信息安全工作领导小组负责制定信息安全管理策略。第二章信息安全方针第四条信息安全方针为:安全第一、综合防范、预防为主、持续改进。(一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务:(-)综合防范:管理措施和技术措施并重,建立有效的识别和预防信息安全风险机制,合理选择安全控制方式,使信息安全风险的发生概率降低到可接受水平:(三)预防为主:依据国家、行业监管机构相关规泄和信息安全管理最佳实践,根据信息

3、资产的重要性等级,对重要信息资产采取有效措施消除可能的隐患,降低信息安全事件的发生概率:(四)持续改进:建立全面覆盖信息安全各个管理域的,可度量的、可管理的管理机制,并在此基础上建立持续改进的体系框架,不断自我完善,为业务的平稳运行提供可靠的安全保障。第五条信息安全管理的总体目标包括:(-)信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门的相关强制性规定、规则及适用的相关惯例、准则和协议:(二)确保信息系统能够持续、可靠、正常地运行,为用户提供及时、稳泄和高质量的信息技术服务并不断改进;(三)保护信息系统及数据的机密性、完整性和可用性,保证其不因偶然或者恶意侵4

4、犯而遭受破坏、更改及泄露。第三章信息安全策略第六条安全管理制度(-)应形成由管理规龙、管理规范、操作流程等构成的全而的信息安全管理制度体系。(二)安全管理制度应具有统一的格式,并进行版本控制,通过正式有效的方式发布。(三)应过期对安全管理制度进行检查和审立,对存在不足或需要改进的安全管理制度进行修订。第七条安全管理机构(-)信息安全管理工作实行统一领导、分级管理,建立网络与信息安全工作领导小组,指导信息安全管理工作,决策信息安全重大事宜。(-)设立系统安全管理员、网络安全管理员、安全专员等岗位,并配备专职人员,实行A、B岗制度。(三)应加强内部之间,以及外部监管机构、公安机关

5、、供应商和安全组织的合作与沟通。第八条员工信息安全管理(-)公司应制泄安全用工原则,尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。(二)信息技术总部应立期组织针对员工的信息安全培训,以增强安全意识、提髙安全技能、明确安全职责,应对安全教育和培训的情况和结果进行记录并归档保存。(三)在岗位职责的描述中,应该阐明员工安全责任。(四)公司制左和落实并种有关信息系统安全的奖惩条例,处罚和奖励必须分明。第九条第三方信息安全管理(-)根据第三方所要访问的信息资产的等级及访问方式来进行风险评估,确定其安全风险。(-)根据风险评估的结果,采取适当的

6、控制方法对第三方访问进行安全控制,保护公司信息资产的安全。(三)第三方对敏感的信息资产进行访问时,应签订保密协议或正式的合同。在协议及合同中应该明确第三方的安全责任和必须遵守的安全要求。(四)明确外包系统/软件开发的安全要求。(五)必须确保与第三方信息交换中各环卩的安全。第十条信息系统建设安全管理(-)在项目立项前,必须明确信息系统的安全等级、安全目标及所有的安全需求并4文档化。安全需求的确左过程必须是成熟的、有效的。(-)必须通过对安全需求进行详细的分析,制立安全设汁方案,明确安全控制措施及所采取的安全技术。(三)根据设计方案的要求,对使用的软硬件产品进行选型和测试,最终确

7、左具体采用的产品。(四)根据设计方案和选泄的产品编制实施方案。在实施方案中必须考虑到实施过程中的风险,必须包含详细的项目实施计划、实施步骤、测试方案和风险应对措施。(五)应制述软件开发管理制度和代码编写安全规范,明确说明开发过程的控制方法和人员行为准则。(六)必须对实施过程进行安全管理,明确实施过程中各种活动的程序及职责,并形成文件。(七)应根据信息系统等级,在上线前完成信息系统安全防护措施的实施,包括基线设宜等。同时还应建立必要的机制,保证能够对投产后的信息系统进行更新升级。(八)必须根据验收流程,对

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。