信息安全管理策略Word文件下载.docx

1、 文档变更历史版本修正日期修正人描述第一章 总则第一条为明确公司（以下简称“”）的信息安全管理职责和管理策略，依据管理体系总纲和信息科技风险管理策略，特制定本办法。第二条信息安全管理的主要目标是控制信息安全风险，确保信息的保密性、完整性和可用性。第二章 适用范围第三条本策略适用于组织安全、人力资源安全、信息资产、访问控制、密码、物理和环境安全、操作安全、网络和通讯安全、系统获取开发和维护安全、供应商安全、信息安全事件、业务连续性中的信息安全、以及合规等方面的管理。第四条本策略适用于各部门，以及与合作的商业伙伴、为提供服务的服务提供商及人员等。第三章 术语定义第五条本办法涉及的术语包括：信息、信

2、息安全、信息安全管理体系、风险、保密性、完整性、可用性、风险评估、风险处置、访问控制、信息安全事态、信息安全事件、业务连续性。第六条本办法涉及到术语定义，参见术语表。第四章 职责定义第七条负责本管理领域规章制度的设计、推广、监督和改进。第八条本办法涉及的角色包括：信息安全保护领导小组（以下简称“领导小组”）、信息安全保护工作小组（以下简称“工作小组”）、安全管理员、安全员、信息资产责任人、全体人员（包括公司员工，和相关外部人员）。第九条信息安全保护领导小组作为信息安全决策执行机构，主要职责包括：（一）负责分配和落实信息安全方面的角色和职责；（二）负责根据国家信息安全的有关法律、法规、制度、规范

3、及信息安全管理策略，组织、制定、落实信息安全方面的各项规章制度、实施细则、安全目标及岗位安全责任；（三）负责批准实施信息安全的相关具体流程和方法；（四）负责审批信息安全目标的执行情况；（五）负责审定风险接受准则，组织信息安全风险评估和处置的开展；（六）负责决策信息安全风险是否要采取安全措施或增加安全措施；（七）负责评估新系统或服务的安全性并监督上线实施；（八）负责审批调查信息安全事件报告；（九）负责确定信息安全方面的提议；（十）负责推动信息安全的各项工作。第十条信息安全保护工作小组是信息安全保护领导小组的下设机构，工作小组由安全管理员和各部门安全员组成，负责信息安全日常工作的具体执行，对领导小

4、组负责，主要职责包括：（一）负责领导小组指定日常事务的具体执行；（二）负责根据信息安全的有关法律、法规、制度、规范及信息安全管理规范，组织、协调、落实的信息安全工作；（三）负责落实执行信息安全相关的具体制度；（四）负责提交信息系统和信息资产需要采取的安全措施或增加安全措施建议；（五）负责根据领导小组的意见和建议及相关的流程，落实新系统或服务的安全保护措施并执行上线实施工作；（六）负责调查信息安全事件，并向领导小组提交相关书面调查报告；（七）负责抽查并监督安全措施的落实工作，及时汇总相关安全问题上报领导小组。第十一条安全管理员作为工作小组的负责人，由信息安全保护领导小组任命和指导，直接对信息安全

5、保护领导小组负责，主要职责包括：（一）负责组织内部信息安全意识和信息安全技术培训；（二）负责组织检查具体信息安全工作的执行情况，形成汇总分析并上报领导小组；（三）负责上报并调查信息安全事件，收集汇总信息安全事件报告；（四）负责收集汇总安全建设规划和改进意见。第十二条安全员作为各部门具体信息安全日常工作的组织者和检查者，由信息安全保护领导小组任命和指导，其主要职责包括：（一）负责本部门内的信息安全意识培训；（二）负责本部门具体信息安全工作的检查，形成汇总分析并上报安全管理员；（三）负责上报并调查本部门内信息安全事件，提出安全建设规划和改进意见等；第十三条信息资产责任人作为信息资产的负责人，主要职

6、责包括：（一）对所承担的信息资产的信息安全负主要责任，负责该项信息资产的日常保护；（二）负责识别所承担信息资产的信息安全风险。第十四条全体人员作为信息安全管理工作的具体执行者，其主要职责包括：（一）了解并执行信息安全方针，履行信息安全职责；（二）协助识别信息资产，执行相关信息资产的信息安全要求；（三）识别信息安全违规和信息安全事态，按要求及时上报并协助处理。第五章 管理要求第一节 信息安全管理体系第十五条信息安全管理体系的适用范围为：（一）管理范围：适用于的信息安全管理；（二）组织范围：适用于所有部门。第十六条信息安全管理体系策划、实施、检查和改进的相关要求，详见管理体系总纲。第十七条应根据信

7、息科技风险管理策略的相关要求，对信息安全管理的风险进行评估。第十八条应根据信息安全管理体系制度和该体系制订依据标准的对应关系，编写适用性声明。第二节 风险管理策略第十九条组织应定义并应用风险评估过程，以确定需要应对的风险和机会。（一）应根据风险管理策略，制定风险管理制度，明确风险评估的过程和方法；（二）实施风险评估时，应识别与信息保密性、完整性和可用性有关的风险；（三）针对信息安全风险评估，应定义风险接受准则；（四）风险评估的方法和要求，详见信息科技风险管理策略。第二十条组织应定义并应用风险处置过程。（一）应针对风险评估的结果，确定风险级别；（二）应针对风险评估的结果，明确风险处置责任人，制定

8、、审批并实施风险处置计划。第三节 组织安全管理策略第二十一条所有的信息安全职责应予以定义和分配。（一）应建立统一、有效的信息安全管理架构，确定信息安全角色和职责；（二）应该落实信息安全管理职责至各部门，并建立适当的沟通与交流机制。第二十二条应分割冲突的责任及职责范围，以降低未授权或无意识的修改或不当使用组织资产的机会。（一）应结合现状及安全相互约束性考虑，明确互斥、不兼容的角色和职责；（二）应制定角色和职责分离原则，并坚持具体的职责分离实施结果。第二十三条应保持与政府相关部门的适当联系。（一）应该建立与公安部门、人民银行、银监局（会）、国际金融业安全组织等机构之间的沟通与交流机制，建立并维护联

9、系清单；（二）应与当地执法机关、管理机关、信息服务商和电信运营商保持适当联系，确保在发生信息安全事件时能够得到及时响应及必要帮助。第二十四条应保持与特定利益集团、其他专业安全论坛和专业协会的适当联系。（一）应该建立与国内信息安全组织或专家之间的交流机制，建立并维护联系清单；（二）应与外部其它组织间进行安全协作，监督、检查、指导内部信息安全保护工作；（三）应积极参加组织间信息安全方面的技术交流。第二十五条无论项目类型，都应处理项目管理中的信息安全问题。（一）在项目实施过程中，应指定专人负责监督项目全生命周期中的信息安全风险；（二）在项目实施过程中，应评估并处置项目中可能发生的各项风险；（三）在项

10、目实施过程中，如发生信息安全事件，应参照信息安全事件相关要求的处理。第二十六条应采用策略和支持性安全措施以管理使用移动设备带来的风险。（一）应制定使用个人移动设备的管理策略，明确使用个人移动设备的审批流程，保护信息安全；（二）应明确使用移动设备时，需采用物理保护、访问控制、密码技术、备份和病毒防治等保护措施，确保信息不被泄露。第二十七条应实施策略和支持性安全措施以保护在远程工作场地访问、处理或存储的信息。（一）应进行网络控制，确保远程工作时，不能连接到生产环境；（二）应明确移动设备的安全措施和操作标准；（三）应采取合理的保护措施确保在公共场所使用移动设备办公时的信息安全；（四）移动设备内存储的

11、信息，应进行备份，并妥善保管备份信息。第四节 人力资源安全管理策略第二十八条对所有任用候选者的背景验证核查应按照相关法律、法规、道德规范进行，并与业务要求、被访问信息的类别和所察觉的风险相适宜。（一）在新员工及其他外部人员进入开展工作前，应当明确其安全职责、强调其安全责任，并进行背景调查；（二）应通过对所有应聘者、合同方人员、和第三方人员进行必要筛选和限制。第二十九条与员工和承包方人员的合同协议中应声明他们的和组织的信息安全职责。（一）应与所有员工签署保密协议，作为雇用合同基本条款和条件的一部分，保密协议应明确规定员工的信息安全责任、保密要求及其违约时的法律责任；（二）实习生、第三方人员在工作

12、前，应签署保密协议，明确其信息安全责任、保密要求及其违约时的法律责任。第三十条管理者应要求所有员工和承包方人员按照组织已建立的策略和规程对信息安全尽心尽力。（一）应制定管理制度，明确员工的信息安全职责；（二）在岗位职责的描述中，应阐明岗位对应的信息安全任务和职责；（三）应明确员工有责任将影响信息安全的违规和事件通过适当的管理渠道尽快上报。第三十一条组织的所有员工，适当时，包括承包方人员，应接受与其工作职能相关的适当的意识教育和培训，以及组织方针策略及规程的定期更新的信息。（一）所有员工、实习生、以及涉及的第三方人员，都应该接受安全制度和流程方面的教育和培训；（二）应该组织员工接受信息安全技能培

13、训，确保其保护信息安全的能力；（三）应该对信息安全意识和信息安全技能培训的效果进行检验。第三十二条应有一个正式的、已传达的纪律处理过程，以对信息安全违规的员工采取措施。（一）应制定和落实有关信息安全的奖惩在制度，制度中应明确员工被奖惩的适用情况、证据提供、奖惩手段、审批等具体要求；（二）应对奖惩机制的执行效果进行评估，并加以改进。第三十三条应明确任用终止或变更后仍持续有效的信息安全责任和义务，传达给员工或承包方人员并执行。（一）员工离职或其合同到期时，应根据保密协议的相关要求，对其工作进行审查；（二）应明确员工在信息安全方面的职责、以及该职责在聘用关系结束后的有效期；（三）任用中止时，员工、合

14、同方人员和第三方人员应归还其使用的设备并清除相关信息，并取消其对信息及信息资产的使用权；（四）对于职责发生变化的员工、合同方人员和第三方人员，对其所拥有的信息资产访问权要做相应的变更，并立刻生效。第五节 信息资产管理策略第三十四条应识别与信息和信息处理设施相关的资产，编制并维护这些资产的清单。（一）应对所有信息资产进行识别、建立资产清单；（二）资产清单应由相关部门进行维护，确保清单的准确性。第三十五条清单中的资产应有责任人。（一）明确定义信息资产责任人与信息资产管理人、使用人和安全员的职责，建立信息资产问责制；（二）对资产清单中的每项资产，都应指定信息资产责任人。第三十六条与信息及信息和信息处

15、理设施有关的资产的可接受使用规则应被确定、形成文件并加以实施。（一）应制定信息资产管理制度，明确信息和信息资产的管理要求；（二）应根据信息和信息资产的生命周期，明确使用规则和安全要求。第三十七条信息应按照法律要求、价值、关键性以及它对未授权泄露或修改的敏感性予以分级。（一）应根据对信息的机密性、完整性、可用性进行级别划分，制定信息分级机制；（二）各部门应负责对管辖范围内的信息进行识别及定级。第三十八条应按照组织所采纳的信息分级机制，制定并实施一套合适的信息标记规程。（一）应根据信息分级和信息资产的分类机制，制定信息资产的标识原则，并应用到所有信息资产中；（二）应对信息资产标识的实施情况进行检查，并维护标识的结果。第三十九条应按照组织所采纳的信