网站大量收购闲置独家精品文档,联系QQ:2885784924

资产管理公司信息安全管理办法.docxVIP

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

资产管理公司信息安全管理办法

第一章总则

第一条为加强[资产管理公司名称]信息安全管理,保障公司信息系统的稳定运行,保护公司及客户的信息资产安全,依据国家相关法律法规以及行业标准,结合本公司实际情况,特制定本办法。

第二条本办法适用于公司内部所有部门、员工以及与公司信息系统有交互的第三方机构和人员。

第三条信息安全管理应遵循“安全第一、预防为主、综合治理”的方针,坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,实现信息安全管理的规范化、制度化和科学化。

第二章信息安全管理机构与职责

第四条公司设立信息安全管理委员会(以下简称“信安委”),作为公司信息安全管理的最高决策机构。信安委由公司高层领导、各部门主要负责人组成,负责制定公司信息安全战略、方针和政策,审议重大信息安全事项,协调解决信息安全工作中的重大问题。

第五条信安委下设信息安全管理办公室(以下简称“信安办”),作为信安委的日常办事机构。信安办挂靠在公司信息技术部门,负责贯彻执行信安委的决策部署,组织制定和完善信息安全管理制度、流程和标准,开展信息安全风险评估、监测预警、应急处置等工作,对公司信息安全工作进行监督、检查和考核。

第六条公司各部门应设立信息安全管理员,负责本部门信息安全日常管理工作,落实公司信息安全管理制度和要求,组织开展本部门信息安全培训和教育,及时报告本部门信息安全事件和隐患。

第七条公司员工应遵守公司信息安全管理制度,妥善保管个人账号和密码,不得泄露公司信息资产,积极参与公司组织的信息安全培训和教育活动,发现信息安全问题应及时报告。

第三章信息资产分类与分级

第八条公司信息资产包括但不限于计算机设备、网络设备、通信设备、存储设备、软件系统、数据信息、文档资料等。

第九条信息资产分类按照其表现形式可分为硬件资产、软件资产、数据资产、人员资产、文档资产等;按照其重要性和敏感性可分为核心资产、重要资产、普通资产等。

第十条信息资产分级根据其一旦泄露、篡改或破坏可能对公司造成的损失程度以及对公司业务运营的影响程度,分为机密级、秘密级、内部公开级和公开级四个级别。

第十一条公司信息技术部门应会同各业务部门定期对信息资产进行识别、分类和分级,并建立信息资产台账,明确信息资产的责任人、使用人、存放地点、安全等级等信息。

第四章信息安全风险管理

第十二条公司应建立信息安全风险评估机制,定期对信息系统进行风险评估,识别信息安全风险,分析风险发生的可能性和影响程度,制定风险处置措施。

第十三条信息安全风险评估应至少每年进行一次,当信息系统发生重大变更、业务流程调整、法律法规变化等情况时,应及时进行风险评估。

第十四条信息安全风险处置措施包括风险规避、风险降低、风险转移和风险接受等。公司应根据风险评估结果,选择合适的风险处置措施,制定风险处置计划,并跟踪风险处置效果。

第十五条公司应建立信息安全监测预警机制,对信息系统的运行状态、网络流量、安全事件等进行实时监测,及时发现信息安全风险和隐患,发布预警信息,采取相应的防范措施。

第十六条公司应建立信息安全应急处置机制,制定信息安全应急预案,定期组织应急演练,提高应急处置能力。当发生信息安全事件时,应按照应急预案及时进行处置,降低事件损失,并按照规定及时报告。

第五章人员安全管理

第十七条公司应建立人员安全管理制度,对员工的招聘、录用、培训、考核、离职等环节进行信息安全管理。

第十八条公司在招聘员工时,应对应聘人员的身份背景、学历资质、工作经历等进行审查,确保其具备良好的职业道德和信息安全意识。对于涉及重要信息岗位的人员,应进行更为严格的背景审查。

第十九条公司应对新入职员工进行信息安全培训,使其了解公司信息安全管理制度和要求,掌握基本的信息安全知识和技能。员工在转岗、晋升时,应根据新岗位的要求进行相应的信息安全培训。

第二十条公司应定期对员工进行信息安全考核,考核结果与员工的绩效、晋升、奖惩等挂钩。对于违反信息安全管理制度的员工,应按照规定进行处理,情节严重的,依法追究其法律责任。

第二十一条公司在员工离职时,应及时收回其使用的公司信息资产,如计算机设备、账号密码、门禁卡等,删除其在公司信息系统中的账号和权限,并对其工作期间涉及的信息资产进行交接和审查,确保信息资产的安全。

第六章物理与环境安全管理

第二十二条公司应建立物理与环境安全管理制度,保障信息系统所在机房、办公区域等物理环境的安全。

第二十三条机房应具备防火、防水、防盗、防雷、防静电等安全防护措施,配备必要的消防设备和监控设备,并定期进行检查和维护。机房应实行门禁管理,限制无关人员进入,进入机房的人员应进行登记。

第二十四条机房的供电系统应具备冗余备份,确保电力供应的稳定性和可靠性。机房应配备不间断电

文档评论(0)

***** + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档