企业安全管理制度的管理标准.docx

企业安全管理制度的管理标准  目 录 TOC \o 1-3 \h \z \u 1引言 4 2规范性引用文件 4 3目标 4 4术语和定义 5 5 总体方针 5 第一章 组织与体制 5 第二章 遵守法令法规 6 第三章 信息资产的分类与管理 6 第四章 培训与教育 6 第五章 物理性保护 6 第六章 技术性保护 6 第七章 运用 6 第八章 评价及复审 6 6 安全策略 7 第一章 安全管理机构 7 第二章 人员安全管理 7 第三章 标准化管理 7 第四章 系统建设管理 8 第五章 系统运维管理 8 第六章 物理安全 8 第七章 网络安全 9 第八章 主机安全 9 第九章 应用安全 9 第十章 数据安全及备份恢复 10 第十一章 应急计划 10 7 职责分工 10 8 制度与发布 11 9 评审和修订 11 10 附 则 12  1引言 本标准阐述了信息通信分公司（以下简称“公司”）在信息安全管理制度方面的基本任务和管理原则，确定了公司在信息安全管理制度方面的职责和义务，明确了公司信息安全管理制度在编写、制定和发布、评审和修订等过程中应遵守的原则与工作方式及流程。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准 《信息安全技术 信息系统安全保障评估框架》（GB/T 20274.1-2006） 《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006 ） 《信息安全技术 信息系统安全等级保护基本要求》（GBT 22239-2008） 本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和规定执行。 3目标 总体目标：为贯彻执行国家、地方和本行业有关信息化建设的方针政策，有效保障公司信息系统正常运行。公司信息系统管理的规范化、程序化、制度化，进一步提高管理制度的体系化和制定发布流程的标准化，特制定本制度。为更好的适应公司的企业文化，本标准参照南方电网信息安全管理制度的相关要求，并借鉴了国内外流行标准。 具体建设目标： 1）建立完整的信息安全管理体系和组织机构，提高信息安全管理的能力，完善各项业务和管理过程中的信息安全措施，确保信息安全管理正规有序。 2）建立完整的信息安全运行体系，实现网络系统安全系统的集中管理和透明化监控，提高对突发事件的应急响应处理能力，保证关键业务应用运行的可用性、可依赖性以及故障恢复能力。 ? 4术语和定义 ?? 本标准采用以下术语和定义。 制度： 对流程具体实施办法的解释，规定必须的关键因素，指明各类表单的填写要求等。 流程： 一个输入到输出的过程，一般以流程图表示，标识关键环节和关键步骤，明确职责分工； 表单： 对每个关键环节进行控制的过程文档，表单文件闭环后作为档案文件进行管理。 5 总体方针 第一章 组织与体制 构筑确保信息安全所必需的组织与体制，明确其责任与权限。 第二章 遵守法令法规 遵守与信息安全有关的法令法规，制定并遵守按基本方针所制定的信息安全相关的规定。 第三章 信息资产的分类与管理 按照重要级别信息资产进行分类，并妥善管理。 第四章 培训与教育 为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育教育活动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。 第五章 物理性保护 为避免非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保管办法加以明确。 第六章 技术性保护 为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、使用限制、网络管理等采取适当的措施。 第七章 运用 为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针时的处置办法及针对来自外部的非法入侵等紧急事态采取的应对措施等加以规定。 第八章 评价及复审 随着社会环境的变化、技术的进步等，应定期对基本方针与运用方式进行评价与复审。 6 安全策略 第一章 安全管理机构 建立组织管理体系是为了建立自上而下的信息安全工作管理体系，确定安全管理组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。 公司成立信息安全领导小组，是信息安全的最高决策机构，负责研究重大事件，落实方针政策，制定实施策略和原则，开展安全普及教育等。下设办公室挂靠在公司信息中心，负责信息安全领导小组的日常事务。 信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。 第二