信息安全管理策略.docxVIP

PAGE SCCBA 信息管理类 数据中心机房管理条例 PAGE1 / NUMPAGES6 XXXX公司 信息安全管理策略 制度编号： 二0一五年六月 PAGE SCCBA 信息管理类 数据中心机房管理条例 PAGE1 / NUMPAGES6 属性 内容 用户名称： 文档主标题： 文档副标题： 文档编号： 版本日期： 制度版本 作者： 密级： 文档变更历史 版本 修正日期 修正人 描述 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc458592185 第一章 总则 PAGEREF _Toc458592185 \h 4 HYPERLINK \l _Toc458592186 第二章 适用范围 PAGEREF _Toc458592186 \h 4 HYPERLINK \l _Toc458592187 第三章 术语定义 PAGEREF _Toc458592187 \h 4 HYPERLINK \l _Toc458592188 第四章 职责定义 PAGEREF _Toc458592188 \h 5 HYPERLINK \l _Toc458592189 第五章 管理要求 PAGEREF _Toc458592189 \h 8 HYPERLINK \l _Toc458592190 第一节 信息安全管理体系 PAGEREF _Toc458592190 \h 8 HYPERLINK \l _Toc458592191 第二节 风险管理策略 PAGEREF _Toc458592191 \h 8 HYPERLINK \l _Toc458592192 第三节 组织安全管理策略 PAGEREF _Toc458592192 \h 9 HYPERLINK \l _Toc458592193 第四节 人力资源安全管理策略 PAGEREF _Toc458592193 \h 11 HYPERLINK \l _Toc458592194 第五节 信息资产管理策略 PAGEREF _Toc458592194 \h 14 HYPERLINK \l _Toc458592195 第六节 访问控制管理策略 PAGEREF _Toc458592195 \h 16 HYPERLINK \l _Toc458592196 第七节 密码管理策略 PAGEREF _Toc458592196 \h 21 HYPERLINK \l _Toc458592197 第八节 物理和环境安全管理策略 PAGEREF _Toc458592197 \h 22 信息安全管理策略 PAGE 第 PAGE 22页/共 NUMPAGES 27页 SCCBA内部规章制度 编号：商行XXIT第2011-05-03 总则 为明确XXXX公司（以下简称“XX”）的信息安全管理职责和管理策略，依据《管理体系总纲》和《信息科技风险管理策略》，特制定本办法。 信息安全管理的主要目标是控制信息安全风险，确保XX信息的保密性、完整性和可用性。 适用范围 本策略适用于XX组织安全、人力资源安全、信息资产、访问控制、密码、物理和环境安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规等方面的管理。 本策略适用于XX各部门，以及与XX合作的商业伙伴、为XX提供服务的服务提供商及人员等。 术语定义 本办法涉及的术语包括：信息、信息安全、信息安全管理体系、风险、保密性、完整性、可用性、风险评估、风险处置、访问控制、信息安全事态、信息安全事件、业务连续性。 本办法涉及到术语定义，参见《术语表》。 职责定义 XX负责本管理领域规章制度的设计、推广、监督和改进。 本办法涉及的角色包括：信息安全保护领导小组（以下简称“领导小组”）、信息安全保护工作小组（以下简称“工作小组”）、安全管理员、安全员、信息资产责任人、全体人员（包括公司员工，和相关外部人员）。 信息安全保护领导小组作为信息安全决策执行机构，主要职责包括： 负责分配和落实信息安全方面的角色和职责； 负责根据国家信息安全的有关法律、法规、制度、规范及XX信息安全管理策略，组织、制定、落实XX信息安全方面的各项规章制度、实施细则、安全目标及岗位安全责任； 负责批准实施信息安全的相关具体流程和方法； 负责审批信息安全目标的执行情况； 负责审定XX风险接受准则，组织信息安全风险评估和处置的开展； 负责决策信息安全风险是