（风险管理）信息风险评估相关制度信息安全管理相关制度.pdfVIP

（风险管理）信息风险评 估相关制度信息安全管理 相关制度 1 第四章术语定义 DMZ ：用于隔离内网和外网的区域，此区域不属于可信任的内网， 也不是完全开放给因特网。 容量：分为系统容量和环境容量两方面。系统容量包括 CPU 、内 存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度：与信息安全相关的制度文档，包括安全管理办法、标 准、指引和程序等。 安全边界：用以明确划分安全区域，如围墙、大厦接待处、网段 等。 恶意软件：包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑 炸弹等。 备份周期：根据备份管理办法制定的备份循环的周期，一个备份 周期的内容相当于一个完整的全备份。 系统工具：能够更改系统及应用配置的程序被定义为系统工具， 如系统管理、维护工具、调试程序等。 消息验证：一种检查传输的电子消息是否有非法变更或破坏的技 术，它可以在硬件或软件上实施。 数字签名：一种保护电子文档真实性和完整性的方法。例如，在 电子商务中可以使用它验证谁签署电子文档，并检查已签署文档的内 容是否被更改。 信息处理设备：泛指处理信息的所有设备和信息系统，包括网络、 服务器、个人电脑和笔记本电脑等。 不可抵赖性服务：用于解决交易纠纷中争议交易是否发生的机制。 电子化办公系统：包括电子邮件、KOA 系统以及用于业务信息传 送及共享的企业内部网。 2 安全制度方面 2.1 安全制度要求 2.1.1本制度的诠释 第1条 所有带有“必须”的条款都是强制性的。除非事先得到 安全管理委员会的认可，否则都要坚决执行。其它的条款则是强烈建 议的，只要实际可行就应该被采用。 第2条 所有员工都受本制度的约束，各部门领导有责任确保其 部门已实施足够的安全控制措施，以保护信息安全。 第3条 各部门的领导有责任确保其部门的员工了解本安全管理 制度、相关的标准和程序以及日常的信息安全管理。 第4条 安全管理代表（或其指派的人员）将审核各部门安全控 制措施实施的准确性和完整性，此过程是公司例行内部审计的一部分。 2.1.2制度发布 第5条 所有制度在创建和更新后，必须经过相应管理层的审批。 制度经批准之后必须通知所有相关人员。 2.1.3制度复审 第6条 当环境改变、技术更新或者业务本身发生变化时，必须 对安全制度重新进行评审，并作出相应的修正，以确保能有效地保护 公司的信息资产。 第7条 安全管理委员会必须定期对本管理办法进行正式的复审， 并根据复审所作的修正，指导相关员工采取相应的行动。 3 组织安全方面 3.1 组织内部安全 3.1.1信息安全体系管理 第8条 公司成立安全管理委员会，安全管理委员会是公司信息 安全管理的最高决策机构，安全管理委员会的成员应包括总裁室主管 IT 领导、公司安全审计负责人、公司法律负责人等。 第9条 信息安全管理代表由信息安全管理委员会指定，一般应 包含稽核部IT 稽核岗、信息管理部信息安全相关岗位及分公司 IT 岗。 第10条 安全管理委员会通过清晰的方向、可见的承诺、详细的 分工，积极地支持信息安全工作，主要包括以下几方面： 1)确定信息安全的目标符合公司的要求和相关制度； 2)阐明、复查和批准信息安全管理制度； 3)复查信息安全管理制度执行的有效性； 4)为信息安全的执行提供明确的指导和有效的支持； 5)提供信息安全体系运作所需要的资源 6)为信息安全在公司执行定义明确的角色和职责； 7)批准信息安全推广和培训的计划和程序； 8)确保信息安全控制措施在公司内被有效的执行。 第11条 安全管理委员会需要对内部或外部信息安全专家的建议 进行评估，并检查和调整建议在公司内执行的结果。 第12条 必须举行信息安全管理会议，会议成员包括安全管理委 员会、安全管理代表和其他相关的公司高层管理人员。 第13条 信息安全管理会议必须每年定期举行，讨论和审批信息 安全相关事宜，具体包括以下内容 1