企业安全管理制度的管理标准.pdf

企业安全管理制度的管理标准 目录 1 引言 4 2 规范性引用文件 4 3 目标 4 4 术语和定义 5 5 总体方针 5 第一章组织与体制 5 第二章遵守法令法规 6 第三章信息资产的分类与管理 6 第四章培训与教育 6 第五章物理性保护 6 第六章技术性保护 6 第七章运用 6 第八章评价及复审 6 6 安全策略 7 第一章 安全管理机构 7 第二章人员安全管理 7 第三章标准化管理 7 第四章 系统建设管理 8 第五章 系统运维管理 8 第六章物理安全 8 第七章 网络安全 9 第八章主机安全 9 第九章应用安全 9 第十章数据安全及备份恢复 10 第十一章应急计划 10 7 职责分工 10 8 制度与发布 11 9 评审和修订 11 10 附则 12 1 引言 本标准阐述了信息通信分公司（以下简称“公司”）在信息安全管理制度方面 的基本任务和管理原则，确定了公司在信息安全管理制度方面的职责和义务，明确 了公司信息安全管理制度在编写、制定和发布、评审和修订等过程中应遵守的原则 与工作方式及流程。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用 文件，其随后所有的修改单或修订版均不适用于本标准（不包括勘误、通知单）， 然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未 注日期的引用文件，其最新版本适用于本标准 《信息安全技术信息系统安全保障评估框架》（GB/T 20274.1-2006） 《信息安全技术信息系统安全管理要求》（GB/T 20269-2006 ） 《信息安全技术信息系统安全等级保护基本要求》（GBT 22239-2008） 本标准未涉及的管理内容，参照国家、电力行业、南方电网公司的有关标准和 规定执行。 3 目标 总体目标：为贯彻执行国家、地方和本行业有关信息化建设的方针政策，有效 保障公司信息系统正常运行。公司信息系统管理的规范化、程序化、制度化，进一 步提高管理制度的体系化和制定发布流程的标准化，特制定本制度。为更好的适应 公司的企业文化，本标准参照南方电网信息安全管理制度的相关要求，并借鉴了国 内外流行标准。 具体建设目标： 1）建立完整的信息安全管理体系和组织机构，提高信息安全管理的能力，完 善各项业务和管理过程中的信息安全措施，确保信息安全管理正规有序。 2）建立完整的信息安全运行体系，实现网络系统安全系统的集中管理和透明 化监控，提高对突发事件的应急响应处理能力，保证关键业务应用运行的可用性、 可依赖性以及故障恢复能力。 4 术语和定义 本标准采用以下术语和定义。 制度： 对流程具体实施办法的解释，规定必须的关键因素，指明各类表单的填写要求 等。 流程： 一个输入到输出的过程，一般以流程图表示，标识关键环节和关键步骤，明确 职责分工； 表单： 对每个关键环节进行控制的过程文档，表单文件闭环后作为档案文件进行管 理。 5 总体方针 第一章组织与体制 构筑确保信息安全所必需的组织与体制，明确其责任与权限。 第二章遵守法令法规 遵守与信息安全有关的法令法规，制定并遵守按基本方针所制定的信息安全相 关的规定。 第三章信息资产的分类与管理 按照重要级别信息资产进行分类，并妥善管理。 第四章培训与教育 为使相关人员全面了解信息安全的重要性，适当开展针对性培训与教育教育活 动。使他们充分认识信息安全的重要性以及掌握正确的管理方法。 第五章物理性保护 为避免非法入侵、干扰及破坏信息资产等事故的发生，对其保管场所与保管办 法加以明确。 第六章技术性保护 为切实保护信息资产不受来自外部的非法入侵，对信息系统的登录方法、使用 限制、网络管理等采取适当的措施。 第七章运用 为确保基本方针的实际成效，在对遵守情况进行监督的同时，对违反基本方针 时的处置办法及针对来自外