科技公司信息安全管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理制度
第一章总则
第一条为了建立、健全的信息安全管理制度,按照相关的标准,确定信息安全针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。
第二条本文档适用于公司信息安全管理活动。
第二章信息安全围
第三条信息安全策略涉及的围包括:
1.单位全体员工。
2.单位所有业务系统。
3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。
4.单位办公场所和上述信息资产所处的物理位置。
第三章信息安全总体目标
第一条通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。
第四章信息安全针
第一条单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。
第二条清晰识别所有资产,实施等级标记,对资产进行分级、分类
管理,并编制和维护所有重要资产的清单。
第三条综合使用访问控制、监测、审计和身份鉴别等法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。
第四条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录。
第五条明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。
第六条建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。
第七条对用户权限和口令进行格管理,防止对信息系统的非法访问。
第八条制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。第九条与外单位的外包(服务)合同应明确规定合同参与的安全要求、安全责任和安全规定等相关安全容,并采取相应措施格保证对协议安全容的执行。
第十条在开发新业务系统时,应充分考虑相关的安全需求,并格控制对项目相关文件和源代码等敏感数据的访问。
第十一条定期对信息系统进行风险评估,并根据风险评估的结果采取
相应措施进行风险控制。
第十二条上述针由单位主管领导批准发布,并定期评审其适用性和充分性,必要时予以修订。
第五章信息安全职责
第一条信息安全等缀保护工作领导小组负责批准信息安全策略文件并且保证本文件被单位的各部门执行,同时负责对公司信息系统信息安全面的指导向、安全建设等重大问题做出决策,协调各个部门之间的安全协同工作,支持和推动信息安全工作在整个单位围的实施。第二条信息安全等级保护工作小组负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。
第三条公司所有员工有责任了解自身在信息系统信息安全面的责任并认真执行。
第六章信息安全管理原则
第一条信息安全管理工作实行“积极防、突出重点、职责到位、保障业务”和“谁主管、谁负责”的管理原则。
第七章信息安全管理组织架构
第一条设立公司信息技术部,主要职责是:按照规化、标准化、统一化的指导思想,负责信息系统的统一规划、统一部署、统设和统一管理;负责制订和贯彻落实单位信息技术管理制度,并检查制度执行情况;负责对信息技术人员的管理、绩效考核、技术培训;做好信息系统运行维护和技术支持工作,保证信息系统的高效性、安全性、稳定性和高可用性;在业务开展和业务管理过程中,提供及时有效的技
术配合和技术支持;完成上级单位交办的其他任务。
第八章信息安全管理制度框架
第一条信息技术管理制度由信息技术部制订、修订和解释,并经公司部审核批准后执行,主要包括以下各项制度:
第二条《信息安全策略》:规定信息技术管理制度的指导思想、基本框架、管理架构;
第三条信息技术部根据监管机构相关法律法规的变更和单位管理流程的调整,不定期对信息技术管理制度进行修订或补充完善。
第四条信息技术部根据单位信息技术管理制度和上级相关规走制定的技术标准、技术规、操作流程、管理流程、实施细则、应急计划等,作为单位信息技术管理制度的有效补充。
第五条相关应用系统安装与配置文档、系统管理与操作应用手册、系统应急计划、系统权限管理等相关技术文档,作为单位信息技术管理制度的有效补充。
第九章信息安全策略
一、安全管理机构策略
第一条成立信息安全等级保护工作领导小组,全面负责信息安全工作。
第二条信息技术部作为信息安全管理工作的职能部门,并设立安全管理专员,并设立应用系统管理员、数据库管理员、网络管理员等岗位,并定义各岗位的职责。
第三条关键事务岗位应配备AB角。
第四条针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度,并定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息,并记录审批过程并保存审批文档。
第五条加强组织部的合作与沟通,定期召开协调会议,共同协作处理信息安全问题,并加强外联单位(电信、公安局、业界专家、专业安全单位、安全组织等)合作与沟通,并制定外联单位联系列表。第六条制定安全审核和安全检查制度,规安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
二、安全管理制度策略
第一条由公司部统一制定信息安全工作的总体针和安全策略,说明安全工作的总体目标、围、原则和安全框架,形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。
第二条信息安全等级保护工作领导小组负责定期组织相芙部门和相关人员对安全管理制度体系的合理性和适用性进行审定,对存在不足或需要改进的安全管理制度进行修订。
三、人员安全策略
第一条人力资源部负责员工录用,格规人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,并签署协议。
第二条员工应根据岗位职责要求格履行其安全角色和职责,主要包括:保护资产免受未授权的访问、泄漏、修改、销毁或干扰,执