信息安全管理策略教学讲义.docxVIP

SCCBA 信息管理类 数据中心机房管理条例 PAGE1 / NUMPAGES6 1 PAGE XXXX公司 信息安全管理策略 制度编号： 二0一五年六月 SCCBA 信息管理类 数据中心机房管理条例 PAGE1 / NUMPAGES6 1 PAGE 属性 内容 用户名称： 文档主标题： 文档副标题： 文档编号： 版本日期： 制度版本 作者： 密级： 文档变更历史 版本 修正日期 修正人 描述 目 录 TOC \o 1-3 \h \z \u 第一章 总则 4 第二章 适用范围 4 第三章 术语定义 4 第四章 职责定义 5 第五章 管理要求 8 第一节 信息安全管理体系 8 第二节 风险管理策略 8 第三节 组织安全管理策略 9 第四节 人力资源安全管理策略 11 第五节 信息资产管理策略 14 第六节 访问控制管理策略 16 第七节 密码管理策略 21 第八节 物理和环境安全管理策略 22 SCCBA内部规章制度 编号：商行XXIT第2011-05-03 信息安全管理策略 1 PAGE 总则 为明确XXXX公司（以下简称“XX”）的信息安全管理职责和管理策略，依据《管理体系总纲》和《信息科技风险管理策略》，特制定本办法。 信息安全管理的主要目标是控制信息安全风险，确保XX信息的保密性、完整性和可用性。 适用范围 本策略适用于XX组织安全、人力资源安全、信息资产、访问控制、密码、物理和环境安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规等方面的管理。 本策略适用于XX各部门，以及与XX合作的商业伙伴、为XX提供服务的服务提供商及人员等。 术语定义 本办法涉及的术语包括：信息、信息安全、信息安全管理体系、风险、保密性、完整性、可用性、风险评估、风险处置、访问控制、信息安全事态、信息安全事件、业务连续性。 本办法涉及到术语定义，参见《术语表》。 职责定义 XX负责本管理领域规章制度的设计、推广、监督和改进。 本办法涉及的角色包括：信息安全保护领导小组（以下简称“领导小组”）、信息安全保护工作小组（以下简称“工作小组”）、安全管理员、安全员、信息资产责任人、全体人员（包括公司员工，和相关外部人员）。 信息安全保护领导小组作为信息安全决策执行机构，主要职责包括： 负责分配和落实信息安全方面的角色和职责； 负责根据国家信息安全的有关法律、法规、制度、规范及XX信息安全管理策略，组织、制定、落实XX信息安全方面的各项规章制度、实施细则、安全目标及岗位安全责任； 负责批准实施信息安全的相关具体流程和方法； 负责审批信息安全目标的执行情况； 负责审定XX风险接受准则，组织信息安全风险评估和处置的开展； 负责决策信息安全风险是否要采取安全措施或增加安全措施； 负责评估新系统或服务的安全性并监督上线实施； 负责审批调查信息安全事件报告； 负责确定信息安全方面的提议； 负责推动XX信息安全的各项工作。 信息安全保护工作小组是信息安全保护领导小组的下设机构，工作小组由安全管理员和各部门安全员组成，负责信息安全日常工作的具体执行，对领导小组负责，主要职责包括： 负责领导小组指定日常事务的具体执行； 负责根据信息安全的有关法律、法规、制度、规范及XX信息安全管理规范，组织、协调、落实XX的信息安全工作； 负责落实执行信息安全相关的具体制度； 负责提交信息系统和信息资产需要采取的安全措施或增加安全措施建议； 负责根据领导小组的意见和建议及相关的流程，落实新系统或服务的安全保护措施并执行上线实施工作； 负责调查信息安全事件，并向领导小组提交相关书面调查报告； 负责抽查并监督安全措施的落实工作，及时汇总相关安全问题上报领导小组。 安全管理员作为工作小组的负责人，由信息安全保护领导小组任命和指导，直接对信息安全保护领导小组负责，主要职责包括： 负责组织XX内部信息安全意识和信息安全技术培训； 负责组织检查具体信息安全工作的执行情况，形成汇总分析并上报领导小组； 负责上报并调查信息安全事件，收集汇总信息安全事件报告； 负责收集汇总安全建设规划和改进意见。 安全员作为各部门具体信息安全日常工作的组织者和检查者，由信息安全保护领导小组任命和指导，其主要职责包括： 负责本部门内的信息安全意识培训； 负责本部门具体信息安全工作的检查，形成汇总分析并上报安全管理员； 负责上报并调查本部门内信息安