信息安全风险管理制度.pdfVIP

信息安全风险管理办法

北京国都信业科技有限公司

2017年10月

_、.乙,a

刖B

本序所规定的是北京国都信业科技有限公司企业的信息安全风险管

理原则，在具体实施过中，各部门可结合本部门的实际情况，根据本

序的要求制定相应的文件，以便指导本部门的实施操作。

本制度自实施之日起，立即生效。

本制度由北京国都信业科技有限公司企业信息管理部起草。

本制度由北京国都信业科技有限公司企业信息管理部归口管理。

北京国都信业科技有限公司

1目的

2为规范北京国都信业科技有限公司企业（以下简称“本公司”）信息安全风

险管理体系，建立、健全信息安全管理制度，确定信息安全方针和目标,

全面覆盖信息安全风险点，对信息安全风险进行有效管理，并持续改进信

息安全体系建设。

3范围

本制度适用于本公司信息管理部信息安全风险管理应用及活动。

4术语和定义

无。

5职责

信息管理部作为本公司信息安全管理的主管部门，负责实施信息安全管理

体系必要的序并维持其有效运行，制定信息安全相关策略、制度、规定，对信

息管理活动各环节进行安全监督和检查，信息安全培训、宣传，信息安全事件的

响应、处理及报告等工作。

信息安全管理人员负责全行信息安全策略的决行和推动。

北京国都信业科技有限公司

6管理规定

6.1信息安全管理内容

6.2信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点，包括用户

管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络

安全、病毒防护、敏感数据交换等内容。

6.3信息管理岗位设置

6.4为保证本公司信息安全管理，设置信息管理部岗位分工及职责时，应全面

考虑信息管理工作实际需要及责任划分，制定详细的岗位分工及职责说

明，对信息管理人员权限进行分级管理，信息管理关键岗位有设置AB

角。应配备专职安全管理员，关键区域或部位的安全管理员符合机要人员

管理要求，对涉密人员签订了保密协议。

6.5信息安全人员管理

6.5.1人员雇佣安全管理

•信息管理人员的雇佣符合如下要求：

•信息管理人员的专业知识和业务水平达到本公司要求；

北京国都信业科技有限公司

6.5.2详细审核科技人员工作经历，信息管理人员应无不良记录；

6.5.3针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问，采取

不同的管理措施。

6.5.4人员入职安全管理

6.5.5在员工工作职责说明书中除了要说明岗位的一般职责和规范以外，还要

加入与此岗位相关的信息安全管理规范，具体内容参看各个安全管理规

范中的适用范围分。人员入职必须签订保密协议，在人员的入职培训

内容中应该包括信息安全管理规范的相关内容解释和技术培训。

6.5.6人员安全培训

6.5.7根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者

所面临信息安全风险，确定培训内容。考虑不同层次的职责、能力、文

化程度以及所面临的风险，信息安全主管门应该根据培训需求组织培

训，制定培训计划，培训计划包括：培训项目、主要内容、主要负责人、

培训日程安排、培训方式等，培训前要写好培训方案，并通知相关人员，

培训后要进行考核。

6.5.8人员安全考核

人事门对人员进行的定期考核中应该包括安全管理规范的相关内容。

6.5.9人员离职安全管理

a）本公司人员离职手续中应该包括如下安全相关的内容：

b）收回所有的密码，并确认密码的正确性；

c）收回所有的物理安全设备，包括钥匙和证件；

d）收回所有工作资料，包括纸介质和电子介质；

e）进行调离谈话，