- 1、本文档共62页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
(风险管理)信息风险评
估相关制度信息安全管理
相关制度
1 第四章术语定义
DMZ :用于隔离内网和外网的区域,此区域不属于可信任的内网,
也不是完全开放给因特网。
容量:分为系统容量和环境容量两方面。系统容量包括 CPU 、内
存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。
安全制度:与信息安全相关的制度文档,包括安全管理办法、标
准、指引和程序等。
安全边界:用以明确划分安全区域,如围墙、大厦接待处、网段
等。
恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑
炸弹等。
备份周期:根据备份管理办法制定的备份循环的周期,一个备份
周期的内容相当于一个完整的全备份。
系统工具:能够更改系统及应用配置的程序被定义为系统工具,
如系统管理、维护工具、调试程序等。
消息验证:一种检查传输的电子消息是否有非法变更或破坏的技
术,它可以在硬件或软件上实施。
数字签名:一种保护电子文档真实性和完整性的方法。例如,在
电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的内
容是否被更改。
信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、
服务器、个人电脑和笔记本电脑等。
不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。
电子化办公系统:包括电子邮件、KOA 系统以及用于业务信息传
送及共享的企业内部网。
2 安全制度方面
2.1 安全制度要求
2.1.1本制度的诠释
第1条 所有带有“必须”的条款都是强制性的。除非事先得到
安全管理委员会的认可,否则都要坚决执行。其它的条款则是强烈建
议的,只要实际可行就应该被采用。
第2条 所有员工都受本制度的约束,各部门领导有责任确保其
部门已实施足够的安全控制措施,以保护信息安全。
第3条 各部门的领导有责任确保其部门的员工了解本安全管理
制度、相关的标准和程序以及日常的信息安全管理。
第4条 安全管理代表(或其指派的人员)将审核各部门安全控
制措施实施的准确性和完整性,此过程是公司例行内部审计的一部分。
2.1.2制度发布
第5条 所有制度在创建和更新后,必须经过相应管理层的审批。
制度经批准之后必须通知所有相关人员。
2.1.3制度复审
第6条 当环境改变、技术更新或者业务本身发生变化时,必须
对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护
公司的信息资产。
第7条 安全管理委员会必须定期对本管理办法进行正式的复审,
并根据复审所作的修正,指导相关员工采取相应的行动。
3 组织安全方面
3.1 组织内部安全
3.1.1信息安全体系管理
第8条 公司成立安全管理委员会,安全管理委员会是公司信息
安全管理的最高决策机构,安全管理委员会的成员应包括总裁室主管
IT 领导、公司安全审计负责人、公司法律负责人等。
第9条 信息安全管理代表由信息安全管理委员会指定,一般应
包含稽核部IT 稽核岗、信息管理部信息安全相关岗位及分公司 IT 岗。
第10条 安全管理委员会通过清晰的方向、可见的承诺、详细的
分工,积极地支持信息安全工作,主要包括以下几方面:
1)确定信息安全的目标符合公司的要求和相关制度;
2)阐明、复查和批准信息安全管理制度;
3)复查信息安全管理制度执行的有效性;
4)为信息安全的执行提供明确的指导和有效的支持;
5)提供信息安全体系运作所需要的资源
6)为信息安全在公司执行定义明确的角色和职责;
7)批准信息安全推广和培训的计划和程序;
8)确保信息安全控制措施在公司内被有效的执行。
第11条 安全管理委员会需要对内部或外部信息安全专家的建议
进行评估,并检查和调整建议在公司内执行的结果。
第12条 必须举行信息安全管理会议,会议成员包括安全管理委
员会、安全管理代表和其他相关的公司高层管理人员。
第13条 信息安全管理会议必须每年定期举行,讨论和审批信息
安全相关事宜,具体包括以下内容
1
文档评论(0)