信息风险评估相关制度-信息安全管理相关制度

信息风险评估相关制度

信息安全管理相关制度

1总则

第1条为规范信息安全管理工作,加强过程管理和基础设施管理的风险分析及防范,建立安全责任制,健全安全内控制度,保证信息系统的机密性、完整性、可用性，特制定本规定。

2适用范围

第2条本规定适用于。

3管理对象

第3条管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要范围包括：人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、机密资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。

4第四章术语定义

DMＺ:用于隔离内网和外网的区域，此区域不属于可信任的内网，也不是完全开放给因特网。

容量:分为系统容量和环境容量两方面。系统容量包括CPＵ、内存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。

安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。

安全边界:用以明确划分安全区域，如围墙、大厦接待处、网段等。

恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。

备份周期：根据备份管理办法制定的备份循环的周期，一个备份周期的内容相当于一个完整的全备份。

系统工具：能够更改系统及应用配置的程序被定义为系统工具，如系统管理、维护工具、调试程序等。

消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。

数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内容是否被更改。

信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、