资源预览内容
第1页 / 共37页
第2页 / 共37页
第3页 / 共37页
第4页 / 共37页
第5页 / 共37页
第6页 / 共37页
第7页 / 共37页
第8页 / 共37页
第9页 / 共37页
第10页 / 共37页
亲,该文档总共37页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
. .信息安全管理制度琥珀(安吉)燃机热电2016.01.15 / 信息安全制度1 总则 第1条 为规信息安全管理工作,加强过程管理和基础设施管理的风险分析与防,建立安全责任制,健全安全控制度,保证信息系统的性、完整性、可用性,特制定本规定。 2 适用围 第2条 本规定适用于琥珀(安吉)燃机热电各部门与生产现场。 3 管理对象 第3条 管理对象指组成计算机信息系统的系统、设备和数据等信息资产和人员的安全。主要围包括:人员安全、物理环境安全、资产识别和分类、风险管理、物理和逻辑访问控制、系统操作与运行安全、网络通讯安全、信息加密与解密、应急与灾难恢复、软件研发与应用安全、资源管理、第三方与外包安全、法律和标准的符合性、项目与工程安全控制、安全检查与审计等。4 术语定义 DMZ:用于隔离网和外网的区域,此区域不属于可信任的网,也不是完全开放给因特网。 容量:分为系统容量和环境容量两方面。系统容量包括CPU、存、硬盘存储等。环境容量包括电力供应、湿度、温度、空气质量等。 安全制度:与信息安全相关的制度文档,包括安全管理办法、标准、指引和程序等。 安全边界:用以明确划分安全区域,如围墙、办公大楼、网段等。 恶意软件:包括计算机病毒、网络蠕虫、木马、流氓软件、逻辑炸弹等。 备份周期:根据备份管理办法制定的备份循环的周期,一个备份周期的容相当于一个完整的全备份。 系统工具:能够更改系统与应用配臵的程序被定义为系统工具,如系统管理、维护工具、调试程序等。 消息验证:一种检查传输的电子消息是否有非法变更或破坏的技术,它可以在硬件或软件上实施。 数字签名:一种保护电子文档真实性和完整性的方法。例如,在电子商务中可以使用它验证谁签署电子文档,并检查已签署文档的容是否被更改。 信息处理设备:泛指处理信息的所有设备和信息系统,包括网络、服务器、个人电脑和笔记本电脑等。 不可抵赖性服务:用于解决交易纠纷中争议交易是否发生的机制。 电子化办公系统:包括电子、OA系统以与用于业务信息传送与共享的企业部网。 5 安全制度方面 5.1 安全制度要求 5.1.1 本制度的诠释 第4条 所有带有“必须”的条款都是强制性的。除非事先得到安全管理委员会的认可,否则都要坚决执行。其它的条款则是强烈建议的,只要实际可行就应该被采用。 第5条 所有员工都受本制度的约束,各部门领导有责任确保其部门已实施足够的安全控制措施,以保护信息安全。 第6条 各部门的领导有责任确保其部门的员工了解本安全管理制度、相关的标准和程序以与日常的信息安全管理。 第7条 安全管理代表(或其指派的人员)将审核各部门安全控制措施实施的准确性和完整性,此过程是公司例行部审计的一部分。 5.1.2 制度发布 第8条 所有制度在创建和更新后,必须经过相应管理层的审批。制度经批准之后必须通知所有相关人员。 5.1.3 制度复审 第9条 当环境改变、技术更新或者业务本身发生变化时,必须对安全制度重新进行评审,并作出相应的修正,以确保能有效地保护公司的信息资产。 第10条 安全管理委员会必须定期对本管理办法进行正式的复审,并根据复审所作的修正,指导相关员工采取相应的行动。6 组织安全方面 6.1 组织部安全 6.1.1 信息安全体系管理 第11条 公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括公司主要管理人、生产技术管理部负责人、公司安全审计负责人、公司计算机管理员、操作员等。 第12条 信息安全管理代表由信息安全管理委员会指定,一般应包含安全稽核岗、信息管理部信息安全相关岗位。 第13条 安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面: 1)确定信息安全的目标符合公司的要求和相关制度; 2)阐明、复查和批准信息安全管理制度; 3)复查信息安全管理制度执行的有效性; 4)为信息安全的执行提供明确的指导和有效的支持; 5)提供信息安全体系运作所需要的资源 6)为信息安全在公司执行定义明确的角色和职责; 7)批准信息安全推广和培训的计划和程序; 8)确保信息安全控制措施在公司被有效的执行。 第14条 安全管理委员会需要对部或外部信息安全专家的建议进行评估,并检查和调整建议在公司执行的结果。 第15条 必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。 第16条 信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具体包括以下容: 1)复审本管理制度的有效性;2)复审技术变更带来的影响; 3)复审安全风险; 4)审批信息安全措施与程序; 5)审批信息安全建议; 6)确保任何新项目规划已考虑信息安全的需求; 7)复审安全检查结果和安全事故报告; 8)复审安全控制实施的效果和影响; 9)宣导和推行公司高层对信息安全管理的指示。6.1.2 信息安全职责分配 第17条 信息管理部门作为信息安全管理部门,负责信息安全管理策略制定与实施,其主要职责: (一)负责全公司信息安全管理和指导; (二)牵头制订全公司信息安全体系规、标准和检查指引,参与我司信息系统工程建设的安全规划; (三)组织全公司安全检查; (四)配合全公司安全审计工作的开展; (五)牵头组织全公司安全管理培训; (六)负责全公司安全方案的审核和安全产品的选型、购臵。 (七)依据本规定、安全规、技术标准、操作手册实施各类安全策略。 (八)负责各类安全策略的日常维护和管理。 第18条 各分公司信息管理部门作为信息安全管理部门,其主要职责: (一)根据本规定、信息安全体系规、标准和检查指引,组织建立安全管理流程、手册; (二)组织实施部安全检查; (三)组织安全培训; (四)负责信息和资源的安全管理; (五)负责安全技术产品的使用、维护、升级; (六)配合安全审计工作的开展; (七)定期上报本单位信息系统安全情况,反馈安全技术和管理的意见和建议。 (八)依据本规定、安全规、技术标准、操作手册实施各类安全策略。 (九)负责各类安全策略的日常维护和管理。 6.1.3 信息处理设备的授权 第19条 新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。 第20条 新设备在部署和使用之前,必须明确其用途和使用围,并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。 第21条 除非获得安全管理委员会的授权,否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。 6.1.4 独立的信息安全审核 第22条 必须对公司信息安全控制措施的实施情况进行独立地审核,确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专门提供此类服务的第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。 第23条 独立的信息安全审核必须每年至少进行一次。 6.2 第三方访问的安全性 6.2.1 明确第三方访问的风险 第24条 必须对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。 第25条 第三方包括但不限于: 1) 硬件和软件厂商的支持人员和其他外包商 2) 监管机构、外部顾问、外部审计机构和合作伙伴 3) 临时员工、实习生 4) 清洁工和保安 5) 公司的客户 第26条 第三方对公司信息或信息系统的访问类型包括但不限于: 1) 物理的访问,例如:访问公司机房、监控中心等; 2) 逻辑的访问,例如:访问公司的数据库、信息系统等; 3) 与第三方之间的网络连接,例如:固定的连接、临时的远程连接; 第27条 第三方所有的访问申请都必须经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所需的最少资源,并且需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。 第28条 公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前,主动告知第三方的职责、义务和需要遵守的规定,第三方必须在清楚并同意后才能接触相应信息或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。 6.2.2 当与客户接触时强调信息安全 第29条 必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或信息系统。 6.2.3 与第三方签订合约的安全要求 第30条 与第三方合约中应包含必要的安全要求,如:访问、处理、管理公司信息或信息系统的安全要求。7 信息资产与人员安全 7.1 资产责任 7.1.1 资产的清单 第31条 应清楚识别所有的资产,所有与信息相关的重要资产都应该在资产清单中标出,并与时维护更新。这些资产包括但不限于 1)信息:数据库和数据文件、系统文档、用户手册、培训材料、操作手册、业务连续性计划、系统恢复计划、备份信息和合同等。 2)软件:应用软件、系统软件、开发工具以与实用工具等。 3)实体:计算机设备(处理器、显示器、笔记本电脑、调制解调器等)、通讯设备(路由器、程控交换机、 机等)、存储设备、磁介质(磁带和磁盘等)、其它技术设备(电源、空调器等)、机房等。 4)服务:通讯服务(专线)。 第32条 资产清单必须每年至少审核一次。在购买新资产之前必须进行安全评估。资产交付后,资产清单必须更新。资产的风险评估必须每年至少一次,主要评估当前已部署安全控制措施的有效性。 第33条 实体资产需要贴上适当的标签。 7.1.2 资产的管理权 第34条 所有资产都应该被详细说明,必须指明具体的管理者。管理者可以是个人,也可以是某个部门。管理者是部门的资产则由部门主管负责监护。 第35条 资产管理者的职责是: 1)确定资产的等级分类和访问管理办法; 2)定期复查资产的分类和访问管理办法。 7.1.3 资产的合理使用 第36条 必须识别信息和信息系统的使用准则,形成文件并实施。使用准则应包括: 1)使用围 2)角色和权限 3)使用者应负的责任 4)与其他系统交互的要求 第37条 所有访问信息或信息系统的员工、第三方必须清楚要访问资源的使用准则,并承担他们的责任。公司的所有信息处理设备(包括个人电脑)只能被使用于工作相关的活动,不得用来炒股、玩游戏等。滥用信息处理设备的员工将受到纪律处分。 7.2 信息分类 7.2
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号