信息安全风险管理制度

信息安全风险管理办法

北京国都信业科技有限公司

2017年10月

前言

本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则，在具体实施过程中，各部门可结合本部门的实际情况，根据本程序的要求制定相应的文件，以便指导本部门的实施操作。

本制度自实施之日起，立即生效。

本制度由北京国都信业科技有限公司企业信息管理部起草。

本制度由北京国都信业科技有限公司企业信息管理部归口管理。

1目的

为规范北京国都信业科技有限公司企业（以下简称“本公司”）信息安全风险管理体系，建立、健全信息安全管理制度，确定信息安全方针和目标，全面覆盖信息安全风险点，对信息安全风险进行有效管理，并持续改进信息安全体系建设。

2范围

本制度适用于本公司信息管理部信息安全风险管理应用及活动。

3术语和定义

无。

4职责

信息管理部作为本公司信息安全管理的主管部门，负责实施信息安全管理体系必要的程序并维持其有效运行，制定信息安全相关策略、制度、规定，对信息管理活动各环节进行安全监督和检查，信息安全培训、宣传，信息安全事件的响应、处理及报告等工作。

信息安全管理人员负责全行信息安全策略的执行和推动。

5管理规定

5.1信息安全管理内容

信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点，包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。

5.2信息管理岗位设置

为保证本公司信息安全管理，设置信息管理部岗位分工及职责时，应全面考虑信息管理工作实际需要及责任划分，制定详细的岗位分工及职责说明，对信息

管理人员权限进行分级管理，信息管理关键岗位有设置AB 角。应配备专职安全管理员，关键区域或部位的安全管理员符合机要人员管理要求，对涉密人员签订了保密协议。

5.3信息安全人员管理

5.3.1人员雇佣安全管理

信息管理人员的雇佣符合如下要求：

信息管理人员的专业知识和业务水平达到本公司要求；

详细审核科技人员工作经历，信息管理人员应无不良记录；

针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问，采取

不同的管理措施。

5.3.2人员入职安全管理

在员工工作职责说明书中除了要说明岗位的一般职责和规范以外，还要加入与此岗位相关的信息安全管理规范，具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议，在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。

5.3.3人员安全培训

根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险，确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险，信息安全主管部门应该根据培训需求组织培训，制定培训计划，培训计划包括：培训项目、主要内容、主要负责人、培训日程安排、培训方式等，培训前要写好培训方案，并通知相关人员，培训后要进行考核。

5.3.4人员安全考核

人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。

5.3.5人员离职安全管理

本公司人员离职手续中应该包括如下安全相关的内容：

a)收回所有的密码，并确认密码的正确性；

b)收回所有的物理安全设备，包括钥匙和证件；

c)收回所有工作资料，包括纸介质和电子介质；

d)进行调离谈话，申明其调离后的保密义务；

e)离职后应该立刻更改所有此离职人员曾掌握过的密码或密钥。

对于本公司辞退人员，必须在第一时间完成上述工作，通知其辞退后，所有的工作交接内容必须有专人陪同，需填写《工作交接单》；对于辞退人员应该跟踪其工作动向，采取合理的手段阻止其就职于竞争对手组织，如保密协议中的条款。

5.3.6外部人员访问安全管理

外部人员访问要遵守本公司相关安全管理规定。对需要访问本公司的外部人员发放通行证，通行证应该针对访问地点的安全敏感度设置不同的安全级别。外部人员访问敏感地点应该有专人陪同。对于需要长时间访问的外部人员应该建立档案，档案应与通行证对应。

外来人员携带电脑要接入企业网，必须征得信息管理部允许方可接入。员工有义务向外来人员说明网络接入安全要求。

5.4信息资产风险评估

信息管理安全制度建设与信息管理安全风险相结合，信息管理安全制度全面涵盖了信息管理安全的风险点，包括：安全管理策略、制度、机房、软件、硬件、网络、数据、文档等方面，并针对信息资产进行了风险程度评估，生成了信息资产风险评估文件。

5.5信息管理制度密级管理

应根据制度的密级要求程度，对制度进行密级分级管理。

5.6信息管理安全分级

应根据信息管理的安全保护级别，对信息管理进行安全等级划分管理，根据安全保护等级对信息管理进行相应的管理措施。

5.7信息管理安全保护体系

为更好的贯彻应用系统的安全保护体系，建立了应用系统的分类及分级保护体系，根据系统类别及级别进行安全评估，制定不同的防范措施，对应用系统按照重要程度实行等级保护。

5.7.1信息管理分级

为了更好地规范应用系统保护措施，根据《信息管理安全等级保护实施指南》为本公司信息管理进行了分级。经过定级，并上报给公安部门共有一个三级系统，七个二级系统。

5.7.2分级保护措施

5.7.3安全设计与实施

在系统建设之初,根据该系统的安全保护定级,按照信息管理安全总体方案的要求，结合信息管理安全建设项目计划，分期分步落实安全措施,如下图1。

图1 安全设计与实施流程图

上图为安全设计与实施的流程图。对于系统的安全设计与实施流程，最重要的三个阶段为：

安全方案详细设计阶段、技术措施实现阶段和管理措施实现阶段。

对于安全保护等级为三级的信息管理,要求严格依据安全设计与实施流程,保证各阶段的输入和产出文件,保证系统的安全性。

5.7.4安全运行与维护

5.7.4.1安全运行与维护阶段工作流程

图2 安全运行与维护阶段工作流程

5.7.4.2运行管理控制

运行维护职责

对于信息安全保护等级为三级和二级的信息管理,信息管理部配备专门的人