北京联华中安信息安全管理策略.docxVIP

北京联华中安信息安全管理策略为满足北京联华中安信息技术有限公司信息安全管理、信息安全保障和合规的需要，根据《北京联华中安信息安全管理方针》，特制订本管理策略。目的是指导公司通过各项管理制度与措施，识别各方面的信息安全风险，并采取适当的补救措施，使风险水平降低到可以接受的程度。?一、安全管理制度的策略使信息安全管理的发展方向和相关工作能够满足公司业务要求、国家法律和规定的要求。安全制度管理应建立一套完善的、能够满足以上要求的文档体系，并定期更新，发布到公司信息安全所有相关单位中。策略一：建立和发布信息安全管理文档体系1、策略目标：?使相关单位人员了解到信息安全管理文档的内容，安全工作有据可依。?2、策略内容：?建立联华中安信息安全管理文档体系，发布到相关单位。?3、策略描述：根据《北京联华中安信息安全管理方针》中的方针、原则和公司特点，制订出一套文档体系，包括信息安全策略、制度和实施指南等，通过培训、会议、办公系统或电子邮件等方式向相关单位发布。?总体发布范围包括与以上信息资产相关的联华中安所有部门、联华中安下属机构和关联公司，以及与公司有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和其他等第三方机构或人员。策略二：更新安全制度1、策略目标：?安全制度能够适应我行信息安全管理因各方面情况变化而产生的变化，在长期满足要求。?2、策略内容：?定期和不定期审阅和更新安全制度。?3、策略描述：?由相关团队定期进行安全制度的检查、更新，或在信息系统与相关环境发生显著变化时进行检查、更新。二、信息安全组织管理策略通过建立与组织相关的以下二个安全策略，促进组织建立合理的信息安全管理组织结构与功能，以协调、监控安全目标的实现。与组织有关的策略分内部组织和外部组织两部分来描述。策略一：在组织内建立信息安全管理架构1、策略目标：?? 在组织内有效地管理信息安全。2、策略内容：?联华中安应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。?3、策略描述：?通过建立信息安全管理组织，启动和控制组织范围内的信息安全工作的实施，批准信息安全方针、确定安全工作分工和相应人员，以及协调和评审整个组织安全的实施。?根据需要，还可以建立与外部安全专家或组织（包括相关权威人士）的联系，以便跟踪行业趋势、各类标准和评估方法；当处理信息安全事故时，提供合适的联系人和联系方式，以快速及时地对安全事件进行响应；鼓励采用多学科方法来解决信息安全问题。策略二：管理外部组织对信息资产的访问1、策略目标：??确保被外部组织访问的信息资产得到了安全保护。?2、策略内容：?组织的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低，任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信，都应采取有效的措施进行安全控制。?3、策略说明：?任何一个组织都不避免与外界有业务往来与信息沟通，经常需要向外部用户开放其信息和信息处理设施，因此，需要对外部访问者给组织信息资产带来的安全风险进行评估，根据风险水平，确定所需的控制。必要时，需要与外部组织与个人签订协议，并向其声明组织的信息安全方针与策略。三、人员安全管理策略本节通过建立四个具体策略，以明确组织内与人员任用相关的安全控制，以便对人力资源进行有效的安全管理，包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。策略一：人员任用前的管理1、策略目标：?在对人员正式任用前，要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任，并进行相关背景调查，以减少对信息资产非授权使用和滥用的风险。?2、策略内容：?确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明，并对新员工、合同方的有关背景进行验证检查，对第三方的访问权限加以明确声明和严格管理。?3、策略说明：?在新员工及其他外部人员正式进入组织前，就明确其安全职责、强调安全责任、进行背景调查，这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选，对第三方用户加以限制，可以为组织的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责，要签署相关协议，以明确声明其对信息安全的职责。联华中安的第三方人员主要有：借调或借用外部人员、软件开发人员以及其他外部服务人员等。策略二：人员任用中的管理1、策略目标：?落实信息安全管理职责，确保我行的员工在整个任用期内的行为都符合信息安全政策的要求。?2、策略内容：?应通过建立管理职责、必要的培训和奖惩措施，使所有的员工、合同方人员和第三方人员了解工作中面临的信息安全风险、相关责任和义务，并在日常工作中遵循组织的信息安全政策的要求。?3、策略说明：?如果员工、合同方人员和第三方人员没有意