信息安全管理策略.pdfVIP

XXXX公司 信息安全管理策略 制度编号： 二 0 一五年六月 属性 内容 用户名称： 文档主标题： 文档副标题： 文档编号： 版本日期： 制度版本 作者： 密级： 文档变更历史 版本 修正日期 修正人 描述 目录 第一章 总则 4 第二章 适用范围 4 第三章 术语定义 4 第四章 职责定义 5 第五章 管理要求 8 第一节 信息安全管理体系 8 第二节 风险管理策略 8 第三节 组织安全管理策略 9 第四节 人力资源安全管理策略 11 第五节 信息资产管理策略 13 第六节 访问控制管理策略 16 第七节 密码管理策略 2 1 第八节 物理和环境安全管理策略 22 信息安全管理策略 第一章 总则 第一条 为明确 XXXX公司（以下简称“ XX”）的信息安全管 理职责和管理策略，依据《管理体系总纲》和《信息科技风险管 理策略》，特制定本办法。 第二条 信息安全管理的主要目标是控制信息安全风险，确 保 XX信息的保密性、完整性和可用性。 第二章 适用范围 第三条 本策略适用于 XX 组织安全、人力资源安全、信息 资产、访问控制、密码、物理和环境安全、操作安全、网络和 通讯安全、系统获取开发和维护安全、供应商安全、信息安全 事件、业务连续性中的信息安全、以及合规等方面的管理。 第四条 本策略适用于 XX各部门，以及与 XX 合作的商业伙 伴、为 XX提供服务的服务提供商及人员等。 第三章 术语定义 第五条 本办法涉及的术语包括：信息、信息安全、信息安 全管理体系、风险、保密性、完整性、可用性、风险评估、风险 处臵、访问控制、信息安全事态、信息安全事件、业务连续性。 第六条 本办法涉及到术语定义，参见《术语表》。 第 4 页/ 共 27 页 信息安全管理策略 第四章 职责定义 第七条 XX 负责本管理领域规章制度的设计、推广、监督 和改进。 第八条 本办法涉及的角色包括：信息安全保护领导小组 （以下简称“领导小组”）、信息安全保护工作小组 （以下简称“工 作小组”）、安全管理员、 安全员、 信息资产责任人、 全体人员 （包 括公司员工，和相关外部人员）。 第九条 信息安全保护领导小组作为信息安全决策执行机构， 主要职责包括： ( 一