三级等保安全管理制度信息安全管理策略.docxVIP

*

主办部门：系统运维部

执笔人：

审核人：

XXXXX

信息安全管理策略V0.1

XXX-XXX-XX-01001

3月17日

[本文件中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明，版权均属XXXXX全部，受到关于产权及版权法保护。任何个人、机构未经XXXXX书面授权许可，不得以任何方式复制或引用本文件任何片断。]

文件版本信息

版本

日期

拟稿和修改

说明

V0.1

.3.17

拟稿

文件版本信息说明

统计本文件提交时当前有效版本控制信息，当前版本文件使用期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参考资料之目标。

阅送范围

内部发送部门：综合部、系统运维部

目录

TOC\o1-1\h\z\u第一章总则 1

第二章信息安全方针 1

第三章信息安全策略 2

第四章附则 13

第一章总则

第一条为规范XXXXX信息安全系统，确保业务系统安全、稳定和可靠运行，提升服务质量，不停推进信息安全工作健康发展。依照《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-）、《金融行业信息系统信息安全等级保护实施指导》（JR/T0071—）、《金融行业信息系统信息安全等级保护测评指南》（JR/T0072—），并结合XXXXX实际情况，特制订本策略。

第二条本策略为XXXXX信息安全管理纲领性文件，明确提出XXXXX在信息安全管理方面工作要求，指导信息安全管理工作。为信息安全管理制度文件提供指导，其它信息安全相关文件在制订时不得违反本策略中要求。

第三条网络与信息安全工作领导小组负责制订信息安全管理策略。

第二章信息安全方针

第四条XXXXX信息安全方针为：安全第一、综合防范、预防为主、连续改进。

（一）安全第一：信息安全为业务可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营首要任务；

（二）综合防范：管理方法和技术方法并重，建立有效识别和预防信息安全风险机制，合理选择安全控制方式，使信息安全风险发生概率降低到可接收水平；

（三）预防为主：依据国家、行业监管机构相关要求和信息安全管理最好实践，依照信息资产主要性等级，对主要信息资产采取有效方法消除可能隐患，降低信息安全事件发生概率；

（四）连续改进：建立全方面覆盖信息安全各个管理域，可度量、可管理管理机制，并在此基础上建立连续改进体系框架，不停自我完善，为业务平稳运行提供可靠安全保障。

第五条XXXXX信息安全管理总体目标包含：

（一）信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门相关强制性要求、规则及适用相关通例、准则和协议；

（二）确保信息系统能够连续、可靠、正常地运行，为用户提供及时、稳定和高质量信息技术服务并不停改进；

（三）保护信息系统及数据机密性、完整性和可用性，确保其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。

第三章信息安全策略

第六条安全管理制度

（一）应形成由管理要求、管理规范、操作流程等组成全方面信息安全管理制度体系。

（二）安全管理制度应具备统一格式，并进行版本控制，经过正式有效方式公布。

（三）应定时对安全管理制度进行检验和审定，对存在不足或需要改进安全管理制度进行修订。

第七条安全管理机构

（一）信息安全管理工作实施统一领导、分级管理，建立网络与信息安全工作领导小组，指导信息安全管理工作，决议信息安全重大事宜。

（二）设置系统安全管理员、网络安全管理员、安全专员等岗位，并配置专职人员，实施A、B岗制度。

（三）应加强内部之间，以及外部监管机构、公安机关、供给商和安全组织合作与沟通。

第八条员工信息安全管理

（一）企业应制订安全用工标准，尤其是信息系统相关人员、敏感信息处理人员录用、考评、转岗、离职等步骤应有详细安全要求。

（二）信息技术总部应定时组织针对员工信息安全培训，以增强安全意识、提升安全技能、明确安全职责，应对安全教育和培训情况和结果进行统计并归档保留。

（三）在岗位职责描述中，应该说明员工安全责任。

（四）企业制订和落实各种关于信息系统安全奖惩条例，处罚和奖励必须分明。

第九条第三方信息安全管理

（一）依照第三方所要访问信息资产等级及访问方式来进行风险评定，确定其安全风险。

（二）依照风险评定结果，采取适当控制方法对第三方访问进行安全控制，保护企业信息资产安全。

（三）第三方对敏感信息资产进行访问时，应订立保密协议或正式协议。在协议及协议中应该明确第三方安全责任和必须恪守安全要求。

（四）明确外包系统/软件开发安全要求。

（五）必须确保与第三方信息交