资源预览内容
第1页 / 共37页
第2页 / 共37页
第3页 / 共37页
第4页 / 共37页
第5页 / 共37页
第6页 / 共37页
第7页 / 共37页
第8页 / 共37页
第9页 / 共37页
第10页 / 共37页
亲,该文档总共37页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
信息安全总体政策方针 广州xxx信息安全政策方针历史版本编写、批准、发布信息记录表版本号创建人/创建日期批准人/批准日期生效日期V1.0/文档修改记录序号修改章节文件更改通知单编号修改日期修改人批准人目 录第1章 基本方针4第2章 对策方针7第1节信息安全管理体制7第2节信息资产的保护对策8第3节信息的管理12第4节信息设备、媒体的管理14第5节个人信息的管理16第6节信息系统的使用人员管理17第7节访问控制19第8节系统管理员特权20第9节系统操作记录20第10节可用性对策21第11节网络安全22第12节互联网和电子邮件的利用24第13节计算机病毒对策25第14节安全漏洞对策26第15节软件的管理28第16节本单位信息系统的构筑、运用28第17节设备对策30第18节发生侵害信息安全时的对应30第19节外包管理32第20节单位成员就职、辞职和人事变动时的措施32第21节信息安全的维持活动34各种细则35编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页 共1页第1章 基本方针(目的)第1条 本信息安全政策之“基本方针”以及“对策方针”(以下称“本政策”)阐明了广州xxx(以下称“本单位”)对信息资产管理和信息安全的观点,是针对信息安全对策的方针而制定的,以实现下述事项为目的。 保护客户以及本单位的知识产权(包括机密信息和私人信息) 明确应该保护的信息资产以及对策 与信息安全相关的风险管理以及安全等级的维持、均一化 统一采取信息安全对策方面的判断标准 提高单位成员对信息安全的意识 有法必依,照章行事(构成)第2条 本政策由规定本单位信息安全方面的基本且一般性方向的“基本方针”以及按各条款规定具体性事项以及指标的“对策方针”构成。2. “对策方针”是本单位在信息安全方面必须施行对策的条款中,所应该施行事项或者应该达到最低水平的指标,是基于以下构想而制定的。 从机密性、正确性、可用性的观点出发对信息资产的重要程度设立各个条款,将其分别设定为与上述重要程度相应的条款或指标。 对于信息资产的访问权(含浏览、更改、程序的起动)仅根据业务需要授权。 信息安全管理中,极力避免人员管理内容,积极采用信息技术,有组织地提高信息安全对策的可靠性为宗旨。(适用人员以及适用业务)第3条 本政策适用于就职于本单位的所有雇员及派遣员工。2. 外包对象,也必须遵守本政策。本政策中所提及的“外包对象”指: 合作单位及其员工 合同工(临时工等) 服务供应商及其员工(信息资产的对象)第4条 本政策信息资产对象包含各种文档以及数据等本单位的所有信息,此外还包括软硬件以及各种数据文件等信息技术性信息资产。 (经营职责)第5条 信息安全主管领导要在理解本政策宗旨以及内容的基础上,给予足够的重视,在遵守其规定的同时,还要按照本政策采取与信息安全有关的对策措施。 3. 信息安全主管领导要努力确保本政策所规定的条款稳定,不要随意变更,此外,当本政策所规定的条款存在不符合客观实际情况等不妥善之处时,要争取及时将其予以妥善修改。 4. 信息安全主管领导要率先推进乃至实行基于本政策的信息安全对策。(单位成员的职责)第6条 全体单位成员要在理解本政策的宗旨及内容的基础上给予足够的重视,遵守其规定。5. 全体单位成员要努力加深对信息安全的认识和理解。(信息安全管理组织)第7条 为了进行信息安全对策的起草提案以及维持管理,设置信息安全委员会(SM委员会),由信息安全主管领导指名任命信息安全委员会委员长(SM委员长)。 6. 各项目或各部的负责人(项目负责人、部长)要对各项目或各部遵守本政策以及有关规程进行管理,同时还要实施和审核信息安全对策。实施时,要指定各项目以及各部的信息安全主管(SM)。被指定的信息安全主管(SM)以信息安全委员会(SM委员会)的一员从事活动。 7. 组织体系依据本政策末尾所记载的信息安全管理组织图设立。(遵守法令等)第8条 除本政策以及有关规程外,当法令、行政机构、本行业团体制定有关信息安全的指针中有与本单位的指针一致的话,必须遵守。 第2章 对策方针第1节 信息安全管理体制(信息安全委员会委员长(SM委员长)第9条 信息安全委员会委员长(SM委员长)负责指挥、监督信息安全对策的实施、维持。 8. 信息安全委员会委员长(SM委员长)设置信息安全委员会,指挥信息安全对策的实施。 9. 信息安全委员会委员长(SM委员长)向总经理报告全单位的信息安全对策的实施情况。(信息安全委员会(SM委员会)第10条 信息安全委员会(SM委员会)由信息安全委员会委员长(SM委员长)设置,主管全单位信息安全对策推进、维持管理有关业务,执行信息安全有关业务的具体业务。 10. 信息安全委员会(SM委员会)是各个项目和各部申报、申请、出现紧急情况时报告的主管部署,在单位内起横向管理的作用。 11. 信息安全委员会(SM委员会)向主管领导报告全单位信息安全对策的实施情况。但重要事项要向信息安全委员会提出提案。12. 从信息安全委员会中选拔出以下负责人。各个负责人的作用如下: 设施管理人员对接受委托的开发环境等办公场所和服务器机房的出入进行管理。 网络管理人员与网络整体有关的管理。 电脑、服务器管理人员电脑和服务器安全对策的管理、设备管理。 数据管理人员测试数据和正式数据(书面、电子数据)的拿入和拿出、保管和复制、废弃、备份制作、开发文档类的管理。 (各个项目和各部的信息安全管理)第11条 各个项目和各部的项目负责人、部长作为各个项目和各部的信息安全对策负责人,实施信息安全对策的贯彻普及、维持管理。 13. 各个项目和各部的项目负责人、部长向信息安全委员会(SM委员会)报告各项目和各部信息安全对策的实施情况。 14. 各个项目和各部的项目负责人、部长为了在各项目或部内贯彻信息安全对策,可以指定信息安全主管(SM)。 15. 信息安全主管(SM)对项目或部内的信息安全对策实施提供支持,向项目负责人以及部长报告其实施情况。 (教育负责部署)第12条 教育负责部署的任务是为提高单位成员的安全意识,彻底贯彻落实本政策,开展教育计划的规划、起草、实施。(其他组织部门)第13条 构筑可与客户、服务提供商、信息安全专业机构等保持适当联系的信息安全有关体制。第2节 信息资产的保护对策(对来自单位外部组织信息的接收限制)第14条 除业务需要外,不擅自从客户或交易对方等单位外部组织获取重要信息。(根据重要度管理)第15条 对于本单位拥有的全部重要信息资产根据其重要度采取相应的管理和对策。(重要度的定义)第16条 信息的重要度从机密性(Confidentiality)完整性(Integrity)可用性(Availability)的观点来确定。此外,还规定:所谓机密性是指信息的隐匿性,只有正当的权限人员才能参阅信息;所谓完整性是指信息正确且具有整合性,信息之间不存在矛盾;所谓可用性是指信息以及信息系统在需要时随时可以提供。其各个等级定义如下:保护信息资产的观点等级定义机密性(Confidentiality)(非公开)4当开示或泄漏给无浏览权限的人时,会极大地损害来自客户的信赖,给本单位的经营带来巨大损害的信息,包括以下内容:- 客户编制的开发规章类、规格书、设计书、操作手册- 客户编制的程序源、软件(提高开发效率的工具等)- 客户系统环境相关信息(网络构成图等)- 客户(系统)办理的机密信息(含个人信息)- 客户企业的职工信息- 与客户企业的业务有关的现在或者未来的计划、方针- 含有由客户提供的技术或专业技能的信息 3当开示或泄漏给无浏览权限的人员时,有可能给本单位的经营造成损害的信息,包括以下内容: - 外包单位职工的信息(含各个职工的技能信息)- 与本单位经营战略有关的信息- 本单位的财务、人事信息(含职工的评价信息)- 与本单位系统有关的信息(含程序源、文档、测试数据等)21、3、4以外的信息(公开)1已经一般公开的信息保护信息资产的观点等级定义完整性(Integrity)3当信息被不当篡改或者与实际不符时,会给本单位的经营造成巨大损害的信息或者原本性高的信息,包括以下内容:- 接受客户委托的业务而编制的程序源- 接受客户委托的业务而编制的规格书、设计书、操作手册- 关于客户企业与本单位之间关系的信息(接受委托和委托关系、名称、内容)- 与本单位经营战略有关的信息- 本单位的财务、人事信息(含职工的评价信息)- 本单位系统有关的信息(含程序源、文档、测试数据等)2当信息被不当篡改或者与实际不符时,有可能给本单位的经营造成损害的信息,包括以下的内容:- 外包单位职工信息(含各个职工的技能信息)12、3以外的信息保护信息资产的观点等级定义可用性(Availability)3当无法使用时,会给本单位的经营或者客户造成巨大损害,因此要求随时可以使用的信息以及信息系统。2当无法使用时,会给本单位造成损害,但允许在一定时间内处于不能使用状态的信息以及信息系统,包括以下内容:- 电子邮件系统- 客户系统开发用服务器- 文件共享服务器(源程序和文档管理用服务器)12、3以外的信息以及信息系统(重要度的分类)第17条 彻底清查本单位所拥有的全部重要信息资产,编制出目录,根据重要度的定义进行重要度分类。(重要度的指定和维持管理)第18条 对信息的重要度,要适时进行重审。此外,当对信息的重要度进行变更时,要告知全体有关人员。 第3节 信息的管理(贴标签)第19条 当发布含有重要度高(等级2、3、4)的信息文书、可携带媒体(软磁盘、磁带、CD-ROM等)时,要根据其机密度贴上适当的标签。(保 管)第20条 信息资产的保管要确定管理负责人,根据其重要度确定保管场所、有效期限(保管期限)、保管方法、保管媒体。16. 特别是法定帐票或对事业维续不可缺少的信息、作为组织进行的记录、客户寄存的信息资产要严加保护,避免出现丢失/消失、损坏以及篡改等危险。此外,对于客户寄存的信息不要用于其目的以外的用途。17. 非公开信息不要放任不管,要进行适当的管理,做到不使其轻易地就能阅读到。18. 机密文件不要放
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号