信息風(fēng)險(xiǎn)評(píng)估相關(guān)制度-信息安全管理相關(guān)制度

1、信息風(fēng)險(xiǎn)評(píng)估相關(guān)制度信息風(fēng)險(xiǎn)評(píng)估相關(guān)制度信息安全管理相關(guān)制度信息安全管理相關(guān)制度1總則總則第1條為規(guī)范信息安全管理工作，加強(qiáng)過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險(xiǎn)分析及防范，建立安全責(zé)任制，健全安全內(nèi)控制度，保證信息系統(tǒng)的機(jī)密性、完整性、可用性，特制定本規(guī)定。2適用范圍適用范圍第2條本規(guī)定適用于。3管理對(duì)象管理對(duì)象第3條管理對(duì)象指組成計(jì)算機(jī)信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。主要范圍包括:人員安全、物理環(huán)境安全、資產(chǎn)識(shí)別和分類、風(fēng)險(xiǎn)

2、管理、物理和邏輯訪問控制、系統(tǒng)操作與運(yùn)行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機(jī)密資源管理、第三方與外包安全、法律和標(biāo)準(zhǔn)的符合性、項(xiàng)目與工程安全控制、安全檢查與審計(jì)等。4第四章術(shù)語定義第四章術(shù)語定義DMZ:用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域，此區(qū)域不屬于可信任的內(nèi)網(wǎng)，也不是完全開放給因特網(wǎng)。容量:分為系統(tǒng)容量和環(huán)境容量兩方面。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲(chǔ)等。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。安全

3、制度:與信息安全相關(guān)的制度文檔，包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。安全邊界:用以明確劃分安全區(qū)域，如圍墻、大廈接待處、網(wǎng)段等。惡意軟件:包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。備份周期:根據(jù)備份管理辦法制定的備份循環(huán)的周期，一個(gè)備份周期的內(nèi)容相當(dāng)于一個(gè)完整的全備份。系統(tǒng)工具:能夠更改系統(tǒng)及應(yīng)用配臵的程序被定義為系統(tǒng)工具，如系統(tǒng)管理、維護(hù)工具、調(diào)試程序等。消息驗(yàn)證:一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù)，它可以

4、在硬件或軟件上實(shí)施。數(shù)字簽名:一種保護(hù)電子文檔真實(shí)性和完整性的方法。例如，在電子商務(wù)中可以使用它驗(yàn)證誰簽署電子文檔，并檢查已簽署文檔的內(nèi)容是否被更改。信息處理設(shè)備:泛指處理信息的所有設(shè)備和信息系統(tǒng)，包括網(wǎng)絡(luò)、服務(wù)器、個(gè)人電腦和筆記本電腦等。不可抵賴性服務(wù):用于解決交易糾紛中爭議交易是否發(fā)生的機(jī)制。電子化辦公系統(tǒng):包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。5安全制度方面安全制度方面5.1安全制度要求5.1.1本制度的

5、詮釋第4條所有帶有“必須”的條款都是強(qiáng)制性的。除非事先得到安全管理委員會(huì)的認(rèn)可，否則都要堅(jiān)決執(zhí)行。其它的條款則是強(qiáng)烈建議的，只要實(shí)際可行就應(yīng)該被采用。第5條所有員工都受本制度的約束，各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實(shí)施足夠的安全控制措施，以保護(hù)信息安全。第6條各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以6.1.2信息安全職責(zé)分配第17條信息管理部門作為信息安全管理部門，負(fù)責(zé)信息安全管理策略制定及實(shí)施，其主要職責(zé):

6、（一）負(fù)責(zé)全公司信息安全管理和指導(dǎo)（二）牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃（三）組織全公司安全檢查（四）配合全公司安全審計(jì)工作的開展（五）牽頭組織全公司安全管理培訓(xùn)（六）負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購臵。（七）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實(shí)施各類安全策略。（八）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。第18條各分公司信息管理部門作為信息安全管理部門，其主要職責(zé):（一）根

7、據(jù)本規(guī)定、信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引，組織建立安全管理流程、手冊（二）組織實(shí)施內(nèi)部安全檢查（三）組織安全培訓(xùn)（四）負(fù)責(zé)機(jī)密信息和機(jī)密資源的安全管理（五）負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護(hù)、升級(jí)（六）配合安全審計(jì)工作的開展（七）定期上報(bào)本單位信息系統(tǒng)安全情況，反饋安全技術(shù)和管理的意見和建議。（八）依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實(shí)施各類安全策略。（九）負(fù)責(zé)各類安全策略的日常維護(hù)和管理。6.1.3信息處理設(shè)備的授權(quán)第19條新設(shè)備的采

8、購和設(shè)備部署的審批流程應(yīng)該充分考慮信息安全的要求。第20條新設(shè)備在部署和使用之前，必須明確其用途和使用范圍，并獲得安全管理委員會(huì)的批準(zhǔn)。必須對(duì)新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查，以確保它們的安全性和兼容性。第21條除非獲得安全管理委員會(huì)的授權(quán)，否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。6.1.4獨(dú)立的信息安全審核第22條必須對(duì)公司信息安全控制措施的實(shí)施情況進(jìn)行獨(dú)立地審核，確保公司的信息安全控制措施符合管理制度的要

9、求。審核工作應(yīng)由公司的審計(jì)部門或?qū)ｉT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗(yàn)。第23條獨(dú)立的信息安全審核必須每年至少進(jìn)行一次。6.2第三方訪問的安全性6.2.1明確第三方訪問的風(fēng)險(xiǎn)第24條必須對(duì)第三方對(duì)公司信息或信息系統(tǒng)的訪問進(jìn)行風(fēng)險(xiǎn)評(píng)估，并進(jìn)行嚴(yán)格控制，相關(guān)控制須考慮物理上和邏輯上訪問的安全風(fēng)險(xiǎn)。只有在風(fēng)險(xiǎn)被消除或降低到可接受的水平時(shí)才允許其訪問。第25條第三方包括但不限于:1)硬件和軟件廠商的支持