您的位置:360文档中心› 信息安全管理策略

信息安全管理策略

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

XXXX公司

信息安全管理策略

制度编号:

0 一五年六月

目录

第一章总则 (4)

第二章适用范围 (4)

第三章术语定义 (4)

第四章职责定义 (5)

第五章管理要求 (8)

第一节信息安全管理体系 (8)

第二节风险管理策略 (8)

第三节组织安全管理策略 (9)

第四节人力资源安全管理策略 (11)

第五节信息资产管理策略 (14)

第六节访问控制管理策略 (16)

第七节密码管理策略 (21)

第八节物理和环境安全管理策略 (22)

第一章总则

第一条为明确XXXX公司(以下简称“ XX')的信息安全管理职责和管理策略,依据《管理体系总纲》和《信息科技风险管理策略》,特制定本办法。

第二条信息安全管理的主要目标是控制信息安全风险,确保XX信息的保密性、完整性和可用性。

第二章适用范围

第三条本策略适用于XX组织安全、人力资源安全、信息资产、访问控制、密码、物理和环境安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规等方面的管理。

第四条本策略适用于XX各部门,以及与XX合作的商业伙伴、为XX提供服务的服务提供商及人员等。

第三章术语定义

第五条本办法涉及的术语包括:信息、信息安全、信息安全管理体系、风险、保密性、完整性、可用性、风险评估、风险处置、访问控制、信息安全事态、信息安全事件、业务连续性。

第六条本办法涉及到术语定义,参见《术语表》。

第四章职责定义

第七条XX负责本管理领域规章制度的设计、推广、监督

和改进。

第八条本办法涉及的角色包括:信息安全保护领导小组

(以下简称“领导小组”)、信息安全保护工作小组(以下简称“工作小组”)、安全管理员、安全员、信息资产责任人、全体人员(包括公司员工,和相关外部人员)。

第九条信息安全保护领导小组作为信息安全决策执行机构,

主要职责包括:

(一)负责分配和落实信息安全方面的角色和职责;

(二)负责根据国家信息安全的有关法律、法规、制度、规范及XX

信息安全管理策略,组织、制定、落实XX信息安全方面的各项规章制度、实施细则、安全目标及岗位安全责任;

(三)负责批准实施信息安全的相关具体流程和方法;

(四)负责审批信息安全目标的执行情况;

(五)负责审定XX风险接受准则,组织信息安全风险评估和处置的

开展;

(六)负责决策信息安全风险是否要采取安全措施或增加安全措施;

(七)负责评估新系统或服务的安全性并监督上线实施;

(八)负责审批调查信息安全事件报告;

(九)负责确定信息安全方面的提议;

(十)负责推动XX信息安全的各项工作。

第十条信息安全保护工作小组是信息安全保护领导小组的下设机构,工作小组由安全管理员和各部门安全员组成,负责信

息安全日常工作的具体执行,对领导小组负责,主要职责包括:

(一)负责领导小组指定日常事务的具体执行;

(二)负责根据信息安全的有关法律、法规、制度、规范

及XX信息安全管理规范,组织、协调、落实XX的信息安全工

作;

(三)负责落实执行信息安全相关的具体制度;

(四)负责提交信息系统和信息资产需要采取的安全措施

或增加安全措施建议;

(五)负责根据领导小组的意见和建议及相关的流程,落实新系统或服务的安全保护措施并执行上线实施工作;

(六)负责调查信息安全事件,并向领导小组提交相关书面调查报告;

(七)负责抽查并监督安全措施的落实工作,及时汇总相关安全问题上报领导小组。

第十一条安全管理员作为工作小组的负责人,由信息安全保护领导小组任命和指导,直接对信息安全保护领导小组负责,主要职责包括:(一)负责组织XX内部信息安全意识和信息安全技术培

训;

(二)负责组织检查具体信息安全工作的执行情况,形成汇总分析并上报领导小组;

(三)负责上报并调查信息安全事件,收集汇总信息安全事件报告;

(四)负责收集汇总安全建设规划和改进意见。

第十二条安全员作为各部门具体信息安全日常工作的组

织者和检查者,由信息安全保护领导小组任命和指导,其主要职

责包括:

(一)负责本部门内的信息安全意识培训;

(二)负责本部门具体信息安全工作的检查,形成汇总分析并上报安全管理员;

(三)负责上报并调查本部门内信息安全事件,提出安全建设规划和改进意见等;

第十三条信息资产责任人作为信息资产的负责人,主要职责包括:

(一)对所承担的信息资产的信息安全负主要责任,负责该项信息资产的日常保护;

(二)负责识别所承担信息资产的信息安全风险。

第十四条全体人员作为信息安全管理工作的具体执行者,其主要职责包括:

(一)了解并执行信息安全方针,履行信息安全职责;

(二)协助识别信息资产,执行相关信息资产的信息安全

要求;

(三)识别信息安全违规和信息安全事态,按要求及时上报并协助处理。

第五章管理要求

第一节信息安全管理体系

第十五条信息安全管理体系的适用范围为:

(一)管理范围:适用于XX的信息安全管理;

(二)组织范围:适用于XX所有部门。

第十六条信息安全管理体系策划、实施、检查和改进的相关要求,详见《管理体系总纲》。

第十七条应根据《信息科技风险管理策略》的相关要求,对信息安全管理的风险进行评估。

第十八条应根据信息安全管理体系制度和该体系制订依据标准的对应关系,编写适用性声明。

第二节风险管理策略

第十九条组织应定义并应用风险评估过程,以确定需要应对的风险和机会。

(一)应根据XX风险管理策略,制定风险管理制度,明确

风险评估的过程和方法;

(二)实施风险评估时,应识别与信息保密性、完整性和可用性有关的风险;

(三)针对信息安全风险评估,应定义风险接受准则;

(四)风险评估的方法和要求,详见《信息科技风险管理策略》。

第二十条组织应定义并应用风险处置过程。

(一)应针对风险评估的结果,确定风险级别;

相关文档
最新文档