三级等保,安全管理制度,信息安全管理策略.docxVIP

PAGE PAGE #/11 PAGE PAGE #/11 主办部门: 系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日 ［本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过 程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权与版 权法保护。任何个人、机构未经XXXXX的书面授权许可，不得以任何方 式复制或引用本文件的任何片断。］ 文件版本信息 版本 日期 拟稿和修改 说明 V0.1 2014.3.17 拟稿 文件版本信息说明 记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将 在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为 草案，仅可作为参照资料之目的。 阅送范围 内部发送部门：综合部、系统运维部 TOC \o 1-5 \h \z 第一章总则 1 第二章 信息安全方针 1 第三章信息安全策略 2 第四章附则 8 PAGE PAGE #/11 PAGE PAGE #/11 第一章总则 第一条 为规范XXXXX信息安全系统，确保业务系统安全、稳定和 可靠的运行，提升服务质量，不断推动信息安全工作的健康发展。根据《中 华人民共和国计算机信息系统安全保护条例汉《信息安全技术信息系统安 全等级保护基本要求》（GB/T22239-2008）、《金融行业信息系统信息安 全等级保护实施指引》（JR/T 0071—2012）、《金融行业信息系统信息安 全等级保护测评指南》（JR/T 0072-2012）,并结合XXXXX实际情况， 特制定本策略。 第二条 本策略为XXXXX信息安全管理的纲领性文件，明确提出 XXXXX在信息安全管理方面的工作要求，指导信息安全管理工作。为信 息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违背 本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全管理策略。 第二章信息安全方针 第四条XXXXX的信息安全方针为：安全第一、综合防范、预防为 主、持续改进。 （一）安全第一：信息安全为业务的可靠开展提供基础保障。把信息 安全作为信息系统建设和业务经营的首要任务； （二）综合防范：管理措施和技术措施并重，建立有效的识别和预防 信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率 降低到可接受水平； （三）预防为主：依据国家、行业监管机构相关规定和信息安全管理 最佳实践，根据信息资产的重要性等级，对重要信息资产采取有效措施消 除可能的隐患，降低信息安全事件的发生概率； （四）持续改进：建立全面覆盖信息安全各个管理域的，可度量的、 可管理的管理机制，并在此基础上建立持续改进的体系框架，不断自我完 善，为业务的平稳运行提供可靠的安全保障。 第五条 XXXXX信息安全管理的总体目标包括： （一）信息安全管理体系建设和运行符合国家政府机关、监管机构和 主管部门的相关强制性规定、规则与适用的相关惯例、准则和协议； （二）确保信息系统能够持续、可靠、正常地运行，为用户提供与时、 稳定和高质量的信息技术服务并不断改进； （三）保护信息系统与数据的机密性、完整性和可用性，保证其不因 偶然或者恶意侵犯而遭受破坏、更改与泄露。 第三章信息安全策略 第六条安全管理制度 （一）应形成由管理规定、管理规范、操作流程等构成的全面的信息 安全管理制度体系。 （二）安全管理制度应具有统一的格式，并进行版本控制，通过正式 有效的方式发布。 （三）应定期对安全管理制度进行检查和审定，对存在不足或需要改 进的安全管理制度进行修订。 第七条安全管理机构 （一）信息安全管理工作实行统一领导、分级管理，建立网络与信息 安全工作领导小组，指导信息安全管理工作，决策信息安全重大事宜。 （二）设立系统安全管理员、网络安全管理员、安全专员等岗位，并 配备专职人员，实行A、B岗制度。 （三）应加强内部之间，以与外部监管机构、公安机关、供应商和安 全组织的合作与沟通。 第八条员工信息安全管理 （一）公司应制定安全用工原则，尤其是信息系统相关人员、敏感信 息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。 （二）信息技术总部应定期组织针对员工的信息安全培训，以增强安 全意识、提高安全技能、明确安全职责，应对安全教育和培训的情况和结 果进行记录并归档保存。 （三）在岗位职责的描述中，应该阐明员工安全责任。 （四）公司制定和落实各种有关信息系统安全的奖惩条例，处罚和奖 励必须分明。 第九条第三方信息安全管理 （一）根据第三方所要访问的信息资产的等级与访问方式来进行风险 评估，确定其安全风险。 （二）根据风险评估的结果，采取适当的控制方法对第三方访问进行 安全控制，保护