公司信息安全策略管理制度MicrosoftOfficeWord文档.docx

公司信息安全策略管理制度（试行）总则为提高公司信息安全管理水平，建立、健全信息安全管理体系，贯彻执行GB/T 22080-2008《信息安全管理体系·要求》(idt ISO/IEC27001:2005)，保障公司信息系统业务的正常进行，防止由于信息安全事件导致的公司损失，确保全体员工理解信息安全的重要性，执行信息安全管理体系文件的要求，特制定本制度。本制度是公司信息安全管理的纲领性文件，用于贯彻企业的信息安全管理方针、目标，是所有从事、涉及信息安全相关活动人员的行为准则，是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。运营改善部在得到两化融合管理委员会批准的前提下负责本制度的更改和建立，运营改善部定期对其适用性、持续性、有效性进行评审，汇总更改需求和建议并上报。本制度适用于公司所属各单位。职责分工公司信息安全管理工作由两化融合管理委员会指导和批准，委员会下设信息安全工作推进组，并设立信息安全顾问团。信息安全工作推进组由运营改善部信息安全专业人员和公司各部门主管任命的信息化专业员组成。信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。信息安全工作推进组职责建立信息安全管理方针、目标和策略；评估信息安全顾问组意见的可用性；确定公司信息资产风险准则和信息安全事件处置措施；组织并确保全公司信息安全教育活动的落实；监控公司的信息安全情况，监督检查信息安全活动的落实情况，并定期向两化融合管理委员会汇报；向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要，推行各项信息安全策略要求和控制措施；负责公司信息安全内部、外部评估的具体安排；推进组中各部门安全专员负责对本部门信息资产进行汇总上报，负责本部门信息安全事件的应急处理，收集、上报与本部门相关的信息安全管理方面的要求，同时负责在本部门内传达、落实公司信息安全管理策略的要求。信息安全顾问组职责提供信息安全相关产品的使用帮助和更新；负责为公司提供完整的信息安全管理咨询服务；提供信息安全管理方面的相关培训。信息安全方针和目标公司信息安全方针为：全员参与、强化意识、规范行为、积极预防、快速响应在此方针下应坚持的基本原则基本安全需求原则：信息安全工作推进组根据公司信息系统担负的使命和信息资产重要程度等，按照等级保护要求确定相应的信息安全保护措施，从全局恰当地平衡信息安全投入和安全状态；全员参与原则：所有从事信息安全相关工作的人员应普遍参与信息安全活动，保证自身信息安全素质，提高安全意识，共同保护公司信息安全；管理与技术并重原则：坚持积极防御和综合防范，全面提高信息安全防护能力，结合公司实际情况，采用管理科学性和技术前瞻性相辅相成的方法，达到信息安全管理的目的；持续改进原则：信息安全管理是动态的，贯穿整个企业管理的生命周期，随着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等，应及时地将现有的安全策略和保护措施进行检查、修改和调整，以提升安全管理水平，持续维护信息安全管理体系的有效性。遵循PDCA(Plan、Do、Check、Action 计划、实施、检查、改进)模型原则：运用GB/T22080规范的PDCA模型建立信息安全管理体系。公司信息安全目标商业秘密信息泄露事故为零；造成公司生产中断时间累计不能超过2小时/年；造成公司生产中断事故发生次数不超过2次/年。总体信息安全策略本公司安全策略应满足国家信息安全等级保护制度相关要求。物理安全策略机房、数据中心等物理位置的选择应选在防震、防潮防水、防火的建筑内；机房、数据中心等的入出口应采取访问控制措施，安排值守、控制、鉴别和记录工作；机房内部署基础的防护系统和设备，如防火系统、环境控制系统、UPS供电系统、消防灭火系统、防雷系统、监控系统；网络通信线缆布置于安全隐蔽处（地下、管道）；机房部署防盗报警系统。网络安全策略网络核心设备部署要求性能良好，设备和链路有冗余，保证业务高峰期需求；绘制与实际相符的网络拓扑结构图；强化对终端的控制，并强制终端使用防病毒系统；对于涉密终端强制安装数据防泄密软件；网络边界处部署防火墙、IPS等安全设备；按照网络内的不同区域，划分不同的VLAN；邮箱系统增加垃圾邮件检测功能；严格控制控制带宽设置优先级，限制上网权限。主机安全策略登陆操作系统和数据库系统的用户必须进行身份标识和鉴别；登陆操作系统和数据库系统管理用户身份标识不能出现同名用户，口令复杂程度高并定期更换；操作系统和数据库必须及时删除多余的、过期的账户，避免共享账户的存在；重要主机人机分离时，确保信息安全状态。数据安全策略业务数据及文档必须进行备份，以便发生安全事件时进行恢复；数据备份必须使用专用的备份设备和工具；重要数据在传递过程中，使用加密手段；备份的数据采用异地储存手段；保证数据库硬件