收藏
下载资源

信息安全风险管理制度

上传人:大米 文档编号:504491523 上传时间:2023-05-31 格式:DOCX 页数:13 大小:54.17KB
返回 下载 相关 举报
信息安全风险管理制度_第1页
第1页 / 共13页
信息安全风险管理制度_第2页
第2页 / 共13页
信息安全风险管理制度_第3页
第3页 / 共13页
信息安全风险管理制度_第4页
第4页 / 共13页
信息安全风险管理制度_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《信息安全风险管理制度》由会员分享,可在线阅读,更多相关《信息安全风险管理制度(13页珍藏版)》请在金锄头文库上搜索。

1、信息安全风险管理办法北京国都信业科技有限公司2017 年10月、 . 、前言本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管 理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程 序的要求制定相应的文件,以便指导本部门的实施操作。本制度自实施之日起,立即生效。本制度由北京国都信业科技有限公司企业信息管理部起草。本制度由北京国都信业科技有限公司企业信息管理部归口管理。1 目的为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风 险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆 盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息

2、安全体系建 设。2 范围本制度适用于本公司信息管理部信息安全风险管理应用及活动。3 术语和定义无。4 职责信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体 系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息 管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响 应、处理及报告等工作。信息安全管理人员负责全行信息安全策略的执行和推动。5 管理规定5.1 信息安全管理内容信息安全管理内容应覆盖信息管理、信息管理相关的所有风险点,包括用户 管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、 病毒防护、敏感数据交换等内容。5.

3、2信息管理岗位设置为保证本公司信息安全管理,设置信息管理部岗位分工及职责时,应全面考 虑信息管理工作实际需要及责任划分,制定详细的岗位分工及职责说明,对信息 管理人员权限进行分级管理,信息管理关键岗位有设置 AB 角。应配备专职安全 管理员,关键区域或部位的安全管理员符合机要人员管理要求,对涉密人员签订 了保密协议。5.3 信息安全人员管理5.3.1 人员雇佣安全管理信息管理人员的雇佣符合如下要求:信息管理人员的专业知识和业务水平达到本公司要求;详细审核科技人员工作经历,信息管理人员应无不良记录; 针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取 不同的管理措施。5.3.2 人员

4、入职安全管理在员工工作职责说明书中除了要说明岗位的一般职责和规范以外,还要加入 与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范 围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安 全管理规范的相关内容解释和技术培训。5.3.3 人员安全培训根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面 临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所 面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培 训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等, 培训前要写好培训方案,并通知相关

5、人员,培训后要进行考核。5.3.4 人员安全考核人事部门对人员进行的定期考核中应该包括安全管理规范的相关内容。5.3.5 人员离职安全管理本公司人员离职手续中应该包括如下安全相关的内容:a) 收回所有的密码,并确认密码的正确性;b) 收回所有的物理安全设备,包括钥匙和证件;c) 收回所有工作资料,包括纸介质和电子介质;d) 进行调离谈话,申明其调离后的保密义务;e) 离职后应该立刻更改所有此离职人员曾掌握过的密码或密钥。对于本公司辞退人员,必须在第一时间完成上述工作,通知其辞退后,所有 的工作交接内容必须有专人陪同,需填写工作交接单;对于辞退人员应该跟 踪其工作动向,采取合理的手段阻止其就职于

6、竞争对手组织,如保密协议中的条 款。5.3.6 外部人员访问安全管理外部人员访问要遵守本公司相关安全管理规定。对需要访问本公司的外部人 员发放通行证,通行证应该针对访问地点的安全敏感度设置不同的安全级别。外 部人员访问敏感地点应该有专人陪同。对于需要长时间访问的外部人员应该建立 档案,档案应与通行证对应。外来人员携带电脑要接入企业网,必须征得信息管理部允许方可接入。员工 有义务向外来人员说明网络接入安全要求。5.4信息资产风险评估信息管理安全制度建设与信息管理安全风险相结合,信息管理安全制度全面 涵盖了信息管理安全的风险点,包括:安全管理策略、制度、机房、软件、硬件、 网络、数据、文档等方面,

7、并针对信息资产进行了风险程度评估,生成了信息资 产风险评估文件。5.5信息管理制度密级管理应根据制度的密级要求程度,对制度进行密级分级管理。5.6 信息管理安全分级应根据信息管理的安全保护级别,对信息管理进行安全等级划分管理,根据 安全保护等级对信息管理进行相应的管理措施。5.7信息管理安全保护体系为更好的贯彻应用系统的安全保护体系,建立了应用系统的分类及分级保护 体系,根据系统类别及级别进行安全评估,制定不同的防范措施,对应用系统按 照重要程度实行等级保护。5.7.1信息管理分级为了更好地规范应用系统保护措施,根据信息管理安全等级保护实施指南 为本公司信息管理进行了分级。经过定级,并上报给公

8、安部门共有一个三级系统, 七个二级系统。572分级保护措施573安全设计与实施在系统建设之初,根据该系统的安全保护定级,按照信息管理安全总体方案 的要求,结合信息管理安全建设项目计划,分期分步落实安全措施,如下图1。ttiA信鼠换应獣全It迎駭目计金I石廳惬4此全产品扯重口世KV二:ft土姐蛾馆啊聚 寻规沮圧枫境和豪Itts他 采找it:斥建就过乂档 斥規養杭抱的一_曾1 里曲陆实禮囂址吃仝产詁卑!ft晤事瞑喷證也攔皆图1安全设计与实施流程图上图为安全设计与实施的流程图。对于系统的安全设计与实施流程,最重要 的三个阶段为:安全方案详细设计阶段、技术措施实现阶段和管理措施实现阶段。对于安全保护等

9、级为三级的信息管理,要求严格依据安全设计与实施流程, 保证各阶段的输入和产出文件,保证系统的安全性。574安全运行与维护5741安全运行与维护阶段工作流程宝全狀斋!K腔口监梅对寒就表 室仝杭吉仿.社 安全状态分折报吉安士订细役计方索-迄行首虔栢挥机y运肝曾理人员帝也用眾责展安苣组貓L构农rV并类运厅管理臾件黑号主要过径姒II百息皋统订邹描述艾样 变更结旻抿告 安全哦簷玄析报窑宝兰lift拉匸民咔 鲁找惑会两索宝兰瑕什处宜报告安士检査忸皆 安全改进力妄 测迂礎隨报吿各类宾主钿捌农“ 安全字舒肚宜和应急预索 安主状需金析报告“口=图2安全运行与维护阶段工作流程574.2运行管理控制运行维护职责对于

10、信息安全保护等级为三级和二级的信息管理,信息管理部配备专门的人 员对其的运行进行维护。运行管理过程控制a)建立操作规程将操作过程或流程规范化,并形成指导运行管理人员工作的操作规程,操作 规程作为正式文件处理。b)操作过程记录对运行管理人员按照操作规程执行的操作过程形成相关的记录文件,可以是 日志文件,记录操作的时间和人员、正常或异常等信息。5.7.4.3 变更管理配置通过信息管理管理平台,对系统变更流程进行控制,包括:变更内容审核和审批对变更目的、内容、影响、时间和地点以及人员权限进行审核,以确保变更 合理、科学的实施。按照机构建立的审批流程对变更方案进行审批。 建立变更过程日志按照批准的变更

11、方案实施变更,对变更过程各类系统状态、各种操作活动等 建立操作记录或日志。 形成变更结果报告收集变更过程的各类相关文档,整理、分析和总结各类数据,形成变更结果 报告,并归档保存。活动输出:变更结果报告。对于二级或二级以上的系统,应严格遵循变更管理过程控制规定 ,在信息管 理管理平台中,遵循变更流程进行操作。5.7.4.4 运行状态监控 安全关键点分析对影响系统、业务安全性的关键要素进行分析,确定安全状态监控的对象, 这些对象可能包括主机、服务器、存储、防火墙、防病毒、核心路由器、核心交 换机、主要通信线路、关键服务器或客户端等系统范围内的对象;也可能包括安 全标准和法律法规等外部对象。 形成监

12、控对象列表根据确定的监控对象,分析监控的必要性和可行性、监控的开销和成本等因 素,形成监控对象列表。活动输出:监控对象列表。 状态分析对安全状态信息进行分析,及时发现险情、隐患或安全事件,并记录这些安 全事件,分析其发展趋势。 影响分析根据对安全状况变化的分析,分析这些变化对安全的影响,通过判断他们的 影响决定是否有必要作出响应。形成安全状态分析报告根据安全状态分析和影响分析的结果,形成安全状态分析报告,上报安全事 件或提出变更需求。活动输出:安全状态分析报告。对于安全保护等级为三级的信息管理,需要对系统的运行状态、容量使用情 况等严格进行实时监控。5745安全事件处置安全事件调查和分析针对各

13、类安全事件列表,调查本系统内安全事件的类型、安全事件对业务的 影响范围和程度以及安全事件的敏感程度等信息,分析对安全事件进行响应恢复 所需要的时间。安全事件等级划分根据以上调查和分析结果,根据信息安全事件造成的损失程度,信息管理遭 到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权 益的危害程度等因素,确定事件等级,制定安全事件的报告程序。三级以上的信息管理,需严格遵循安全事件处理流程,即时调查解决问题并 进行上报。575信息管理中止5751信息管理中止流程定思泵经估魁蛊产洛单匚二怙息轴移.皆年和涓除二 佶息音苗 寿除处毘r记录丈档怕思衷览预件设备清单二设臨迁韩咸度萍匚二设

14、备迁爾、廉弃处晖记录立料信息播號存储弁质滴草二存皤介關的悄矗並柑毀存搐介质淸儒、別皆处理记录文档图 3 信息管理中止流程5.7.5.2 信息转移、暂存和清除识别要转移、暂存和清除的信息资产根据要终止的信息管理的信息资产清单,识别重要信息资产、所处的位置以 及当前状态等,列出需转移、暂存和清除的信息资产的清单。 信息资产转移、暂存和清除 根据信息资产的重要程度制定信息资产的转移、暂存、清除的方法和过程。如果是涉密信息,应该按照国家相关部门的规定进行转移、暂存和清除。 处理过程记录 记录信息转移、暂存和清除的过程,包括参与的人员,转移、暂存和清除的方式以及目前信息所处的位置等。5.7.5.3 设备

15、迁移或废弃 软硬件设备识别 根据要终止的信息管理的设备清单,识别要被迁移或废弃的硬件设备、所处的位置以及当前状态等,列出需迁移、废弃的设备的清单。 制定硬件设备处理方案 根据规定和实际情况制定设备处理方案,包括重用设备、废弃设备、敏感信息的清除方法等。 处理方案审批 包括重用设备、废弃设备、敏感信息的清除方法等的设备处理方案应该经过 主管领导审查和批准。 设备处理和记录 根据设备处理方案对设备进行处理,如果是涉密信息的设备,其处理过程应符合国家相关部门的规定;记录设备处理过程,包括参与的人员、处理的方式、 是否有残余信息的检查结果等。5.7.5.4 存储介质的清除或销毁 识别要清除或销毁的介质根据要终止的信息管理的存储介质清单,识别载有重要信息的存储介质、所 处的位置以及当前状态等,列出需清除或销毁的存储介质

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号