企业信息安全规范.docxVIP

信息安全管理规范 第一章 总则 第一条 为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理，促进信息安全管理工作体系化、规范化，提高信息系统和网络服务质量， 提高信息系统管理人员、 维护人员以及使用人员的整体安全素质和水平， 特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向， 阐明信息安全建设和管理的重要原则，阐明信息安全的所需支持和承诺。 第二条 本规范是指导公司信息安全工作的基本依据，信息安全相关人员必 须认真执行本规程， 并根据工作实际情况， 制定并遵守相应的安全标准、 流程和安全制度实施细则，做好安全维护管理工作。 第三条 信息安全是公司及所承担的用户信息系统系统运维服务工作的重要 内容。公司管理层非常重视， 大力支持信息安全工作， 并给予所需的人力物力资 源。 第四条 本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员，它适用于本公司全部员工，集成商，软件开发商，产品提供商，商务伙伴和使用公司信息系统的其他第三方。 第五条 本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条 本规范主要依据国际标准 ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章 安全管理的主要原则 第七条 管理与技术并重的原则：信息安全不是单纯的技术问题，在采用安 全技术和产品的同时，应重视管理，不断积累完善各个信息安全管理章程与规定， 全面提高信息安全管理水平。 第八条 全过程原则：信息安全是一个系统工程，应将它落实在系统建设、 运行、维护、管理的全过程中， 安全系统应遵循与信息系统同步规划、 同步建设、同步运行的原则，在任何一个环节的疏忽都可能给信息系统带来危害。 第九条 风险管理和风险控制原则：应进行安全风险管理和风险控制，以可 以接受的成本或最小成本， 确认、控制、排除可能影响公司信息系统的安全风险， 并将其带来的危害最小化。 第十条 分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。 制订各类网络系统和信息资产的安全保护等级表，在表中明确资产类别，同时确定对何种资产应达到何种级别的安全。 第十一条 统一规划、分级管理实施原则： 信息安全管理遵循统一规划、 分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规 划，负责信息安全管理办法的制定和监督实施。 各级部门在信息安全领导小组指导与监督下，负责具体实施。 第十二条 平衡原则：在公司信息安全管理过程中， 应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条 动态管理原则：在公司信息安全管理过程中， 应遵循动态管理原则，要针对信息系统环境的变动情况及时调整管理办法。 第三章 安全组织和职责 第十四条 建立和健全信息安全组织， 设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策， 协调信息安全相关各部门之间的关系，并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条 公司应设置相应的信息安全管理机构， 负责信息系统的信息安全管理工作，配备专职安全管理员， 由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条 公司信息系统的安全管理机构职责如下： 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序； 监督和指导信息安全工作的贯彻和实施； 考核和检查信息系统的信息安全工作情况，定期进行安全风险评估，并对出现的安全问题提出解决方案； 负责安全管理员的选用和监督； 参与信息系统相关的新工程建设和新业务开展的方案论证，并提出相应的安全方面的建议； 在信息系统相关的工程验收时，对信息安全方面的验收测试方案进行审查并参与验收。 第四章 安全运作管理 第十七条 信息资产鉴别和分类是整个公司信息安全管理的基础， 这样才能够真正知道要保护的对象。 第十八条 制定信息资产鉴别和分类制度， 鉴别信息资产的价值和等级， 维护包含所有信息资产的清单。 第十九条 建立机密信息分类方法和制度， 根据机密程度和商业重要程度对数据和信息进行分类。 第二十条 安全运作管理是整个信息安全工作的日常体现和执行环节。 应该在本信息安全策略的指导下， 制定并遵照安全维护的操作流程， 实施信息安全运作。 第二十一条 定期进行安全风险评估，通过对安全管理策略、信息系统结构、网络、系统、数据库、业务应用等方面进行安全风险评估，确定所存在的安全隐患和安全风险，了解安全现状以及如何解决这些问题的方法。 第二十二条 进行物理安全和环境安全的管理，建立机房管理制度。 第二十三条 对于公司及所承担维护服务的用户信息系统中重要业务系统、 服务器和网络设备， 制定安全配置标准和规定来规范的安全配置管理工