企业信息安全规范.docx

精选文档 精选文档 羁PAGE 蚇肁 莅蚂 精选文档 精选文档 信息安全管理规范 第一章 总则 第一条为规范公司信息系统及所肩负保护服务的用户信息系统的信息安全管理，促使信息安全管理工作系统化、规范化，提升信息系统和网络服务质量， 提升信息系统管理人员、保护人员以及使用人员的整体安全素质和水平，特拟订本管理规范。本管理规范目标是为公司信息安全管理供给清楚的策略方向，说明信息安全建设和管理的重要原则，说明信息安全的所需支持和承诺。 第二条 本规范是指导公司信息安全工作的基本依照，信息安全有关人员必 须仔细履行本规程，并依据工作实质状况，拟订并恪守相应的安全标准、流程和安全制度实行细则，做好安全保护管理工作。 第三条 信息安所有是公司及所肩负的用户信息系统系统运维服务工作的重要 内容。公司管理层特别重视，鼎力支持信息安全工作，并赐予所需的人力物力资 源。 第四条本规范的合用范围包含所有与公司信息系统及本公司所肩负保护服务的各方面有关系的人员，它合用于本公司所有职工，集成商，软件开发商，产品供给商，商务伙伴和使用公司信息系统的其余第三方。 第五条本规范合用于公司所肩负服务支撑的外面各单位的信息系统的安全工作范围。 第六条本规范主要依照国际标准ISO17799,并依照我国信息安全有关法律法例、电信行业规范和有关标准。 第二章 安全管理的主要原则 第七条 管理与技术并重的原则：信息安全不是纯真的技术问题，在采纳安 全技术和产品的同时，应重视管理，不停累积完美各个信息安全管理章程与规定， 全面提升信息安全管理水平。 . 精选文档 第八条 全过程原则：信息安所有是一个系统工程，应将它落实在系统建设、 运转、保护、管理的全过程中，安全系统应按照与信息系统同步规划、同步建设、同步运转的原则，在任何一个环节的大意都可能给信息系统带来危害。 第九条 风险管理微风险控制原则：应进行安全风险管理微风险控制，以可 以接受的成本或最小成本，确认、控制、清除可能影响公司信息系统的安全风险， 并将其带来的危害最小化。 第十条分级保护原则：应依据信息财产的重要程度以及面对的风险大小等因素决定各种信息财产的安全保护级别。制定各种网络系统和信息财产的安全保护等级表，在表中明确财产类型，同时确立对何种财产应达到何种级其余安全。 第十一条一致规划、分级管理实行原则：信息安全管理按照一致规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行一致规 划，负责信息安全管理方法的拟订和监察实行。各级部门在信息安全领导小组指导与监察下，负责详细实行。 第十二条均衡原则：在公司信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最正确的均衡点。 第十三条动向管理原则：在公司信息安全管理过程中，应按照动向管理原则，要针对信息系统环境的改动状况实时调整管理方法。 第三章 安全组织和职责 第十四条成立和健全信息安全组织，建立由高层领导构成的信息安全领导小组，关于信息安全方面的重要问题做出决议，协调信息安全有关各部门之间的关系，并支持和推进信息安全工作在整个信息系统范围内的实行。 第十五条公司应设置相应的信息安全管理机构，负责信息系统的信息安全管理工作，装备专职安全管理员，由安全管理员详细履行本公司信息安全方面的有关工作。 第十六条 公司信息系统的安全管理机构职责以下： 依据本规范拟订信息系统的信息安全管理制度、标准规范和履行程序； . 精选文档 监察和指导信息安全工作的贯彻和实行； 查核和检查信息系统的信息安全工作状况，按期进行安全风险评估，并对出现的安全问题提出解决方案； 负责安全管理员的采纳和监察； 参加信息系统有关的新工程建设和新业务展开的方案论证，并提出相应的安全方面的建议； 在信息系统有关的工程查收时，对信息安全方面的查收测试方案进行审察并参加查收。 第四章 安全运作管理 第十七条信息财产鉴识和分类是整个公司信息安全管理的基础，这样才能够真实知道要保护的对象。 第十八条拟订信息财产鉴识和分类制度，鉴识信息财产的价值和等级，保护包含所有信息财产的清单。 第十九条成立机密信息分类方法和制度，依据机密程度和商业重要程度对数据和信息进行分类。 第二十条安全运作管理是整个信息安全工作的平时表现和履行环节。应当在本信息安全策略的指导下，拟订并依照安全保护的操作流程，实行信息安全运作。 第二十一条按期进行安全风险评估，经过对安全管理策略、信息系统构造、网络、系统、数据库、业务应用等方面进行安全风险评估，确立所存在的安全隐患和安全风险，认识安全现状以及怎样解决这些问题的方法。 第二十二条进行物理安全和环境安全的管理，成立机房管理制度。 第二十三条关于公司及所肩负保护服务的用户信息系统中重要业务系统、服务器和网络设施，拟订安全配置标准和规定来规范的安全配置管理工