《信息安全系统管理系统方针手册簿》由会员分享,可在线阅读,更多相关《信息安全系统管理系统方针手册簿(53页珍藏版)》请在金锄头文库上搜索。
1、实用标准文案卷号卷内编号密级内部公开信息安全管理方针手册version : 1.0编制人:日期:审核人:日期:批准人:日期:XXXX集团受控状态:错误味指定书签。8文档信息安全管理方针手册一、编制说明 91 前言 92 .目的 93 适用范围104 引用文件105 手册控制10二、信息安全术语 112 信息安全术语 12三、信息安全方针声明 14四、管理组织与职责 151. 总则 152. 信息安全职责 16五、信息安全管理体系 231 信息安全管理体系范围 232 信息安全管理体系模型 233 信息安全管理体系文件要求 25六、管理职责 271 总则 272 管理承诺 283 资源管理 28
2、4. 培训、意识与能力 29七、信息安全管理体系评价与改进 301 总则 302 信息安全活动及过程监视与检查 303 信息安全管理体系审核 314. 技术符合性审核 31第3页,共 60页#信息安全管理方针手册1 总则 396. 数据分析 317. 纠正和预防措施 31八、信息安全基本方针 331 总则 332 信息安全管理基本方针描述 33九、风险评估管理 341 前言 342 风险评估方法与准则 343 风险评估 344 风险管理 355 、风险处置 35十、信息安全组织 361 信息安全管理架构 362 组织间合作 373 专家建议 374 信息处理设施授权 375 、第三方访问安全
3、37十一、资产管理 392 资产职责 393 信息分级 39十二、人员安全 401 前言 402. 雇佣前 403. 雇佣中 414. 雇佣终止或转岗 415. 培训 41十三、物理与环境安全 431 总则 432 安全区域 433 设备安全 434 存储介质 445 基本控制措施 44十四、通讯与运行安全 451 总则 452 程序和职责 453 系统规划和接收 46第5页,共 60页#信息安全管理方针手册3 信息安全事件处理和改进 565 备份 476 网络管理 477 媒介处理和安全 488 信息和软件交换 48十五、访问控制 491 总则 492 用户访问管理 493 网络安全方针 5
4、04 可移动计算机工作及远程工作方针 51十六、系统开发及维护 531 总则 532 系统安全要求建立 533 系统文件安全 534 开发与支持过程的安全 535 技术脆弱性管理 54十七、信息安全事件管理 551 总则 55十八、业务连续性管理 571 .总贝U 572 业务连续性管理总体策略 57十九、符合性管理 581 .总贝U 582 .符合性管理 58附录一、信息安全组织架构 59修订文档历史记录日期版本说明作者2008-4-181.0创建XXX第7页,共60页#信息安全管理方针手册一、编制说明1前言XXXX (集团)有限公司(以下简称 XXXX )是以软件技术和服务为核心,从事 X
5、X 业 务服务、系统集成、数据处理等多个信息技术业务领域的股份公司。随着公司 XX 业务服务 业务的不断发展, 客户对信息安全的要求也日趋严格与系统化, 而随着信息技术革命和经济 全球化的发展,企业间的竞争已经转为技术和信息的竞争。随着公司业务的快速增长、 IT 规模的不断扩大以及客户要求的不断提升, 公司业务是否能高效的运作、 核心客户群的维持 已经越来越依赖于我们是否有稳定、安全的信息系统,以保护公司和客户的知识资产。鉴于信息安全在公司运营管理中越来越重要的地位, 公司高层领导不断要求要高度重视 信息安全管理和控制工作, 加大信息安全投资和人力资源配置。 为此, 公司成立了信息安全 管理委
6、员会以及信息安全管理工作小组,负责在公司全范围建立有效的信息安全管理体系, 以确保信息安全机制有效运行。 信息安全管理方针手册作为公司信息安全方面的最高层 文件, 是公司各项信息安全工作开展的依据, 各部门应该严格遵照执行, 并可根据本文件规 定制定或修订本部门的相关管理规定。2目的本方针手册明确公司在信息安全工作方面的总体要求,指导各项信息安全工作的开展,包括:为建立信息及信息处理设施管理程序、作业规程提供指南;为处理各类信息安全事件提供指南,以预防及降低安全事件所造成的损失; 教育公司员工, 让其了解公司信息资产的保密性、 完整性和可用性及其相关的保护方法。3适用范围本适用性声明书适用于
7、XX 集团及其所有公司。4引用文件4.1 IS027001 : 2005信息技术 -安全技术-信息安全管理体系-规范4.2 ISO17799 : 2005信息技术-安全技术-信息安全管理体系实施细则5手册控制5.1 手册编制与批准5.1.1 信息安全方针手册由集团信息中心负责信息安全管理人员编制。5.1.2 信息安全管理委员会成员负责对信息安全方针手册的内容进行审查,最终由信息安全管理委员会主任批准。5.2 发行版本5.2.1 信息安全方针手册的版本状态分别在封面和每一页中给出,按阿拉伯数字1.0、1.2、2.0顺序依次递增。5.2.2 信息安全方针手册每章节的修订状况通过“本节修订”标识,在
8、手册内容的每一 页上标识其所在章节的 “本节修订” 。当修改某章节时, 更新一次该章节的 “本节修订” ,“本 节修订”按阿拉伯数字顺序递增。5.2.3 信息安全方针手册发布满三年或全部章节均已发生修改时,将重新发布手册,并更改手册的版本编号。第 10页,共 60页#信息安全管理方针手册5.3 发放控制5.3.1 发出的信息安全方针手册分为“受控”和“非受控”两种。5.3.2 受控信息安全方针手册由信息中心按公司信息安全体系文件控制程序的规定 进行发放控制。5.3.3 非受控信息安全方针手册经信息安全管理者代表批准后,由行政部门统一发放, 手册修改时,将不再对其进行跟踪控制。5.3.4 信息安
9、全方针手册的有效正本由信息安全办公室委托行政办公室负责保管。5.4 手册修改5.4.1 当信息安全方针手册需要修改时,必须经信息安全管理委员会审查,并由信息管 理委员会主任批准。5.4.2 每次手册的修改都必须在“信息安全手册修改记录”列明该次修改原因或内容摘 要、日期及标志。5.5 定期审核5.5.1 公司通过定期的管理评审和内部信息安全审核,对信息安全方针进行审核,确 保信息安全方针的充分性和完整性。二、信息安全术语1前言本章节对与信息安全管理体系相关的术语进行定义, 以避免在使用过程中由于定义混淆 造成对管理要求的误解。2 信息安全术语2.1 信息 (Information): 信息是一
10、种具有价值、需要进行恰当保护的资产,信息以多种方 式呈现, 如以印刷品、 手写稿或电子方式等保存, 以邮件、电子邮件、 投影方式等进行传递。2.2 敏感信息 (Sensitive Information): 需要某种等级保护的信息,由于有意或无意的泄 密、修改或破坏,可能对公司业务运作造成很大损失或危害2.3 计算机信息系统 (Computer Information System): 是指由计算机及其相关和配套 的设备、 设施(含网络) 构成的, 按照一定的应用目标和规则对信息进行采集、 加工、 存储、 传输、检索等处理的人机系统2.4 信息安全 (Information Security)
11、: 为保证信息的完整性、可用性和保密性所需的全面 管理、规程和控制。信息安全包括所以下三个基本要素:1) 保密性-使信息不泄露给非授权的个人、实体或过程,不为其所用。2) 完整性-确保信息及其信息系统免遭破坏及篡改,即系统中的信息与原文档相同, 信息处理设施能正常运作。3) 可用性 - 被授权实体所需的资源可被访问与使用, 即攻击者不能占用相关资源而 阻碍授权者的工作。2.5 拒绝服务( Denial of Service ) : 妨碍信息访问或延迟操作时间。2.6威胁(Threat):导致发生某一非期望事件的可能性, 此类事件的发生可能对某一信息、 信息系统及组织造成损害。 威胁来源有三类:
12、 来自自然的威胁、 人为的威胁以及意外事件产 生的威胁。2.7 脆弱性( vulnerability ) :某一项或一组资产的弱点、薄弱性,并容易被威胁利用。脆 弱性本身不会引起损害, 只是一种条件或一组条件, 在条件下, 被威胁利用后对组织资产造 成损害。2.8 风险( risk ): 威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能 性,这样的风险可能波及整个组织。2.9 风险评估( risk assessment ):识别信息及信息系统威胁与脆弱性发生的可能性,分 析对资产造成的影响,以决定风险程度的过程,是风险管理的一部分。2.10 风险管理( risk manageme
13、nt ) : 根据风险评估结果,对组织不可接受的风险,以 合理的成本、 采取合理的安全控制措施将风险控制在可以接受的水平内, 达成控制措施与风 险的平衡。第 32页,共 60页#三、信息安全方针声明XXXX (集团)有限公司,作为以软件技术与服务为核心的信息技术企业,已充分意识 到到信息安全对公司发展及顾客信心的影响, 公司管理层决定针对与公司业务运作、 顾客和 法规要求相关的重要资产建立信息安全管理体系, 以向公司顾客、 股东、 合作伙伴及社会提 供充分的信息安全信心。为此,我们对公司的信息安全管理作出以下声明:1 ) 系统策划,全面控制 - 系统地识别并评估公司信息资产所面临的风险,并确定
14、风 险可接受的程序,针对风险选择并实施相应的控制措施,通过风险管理,降低发生安全事件的可能性。2 ) 信息安全,人人有责 - 确保公司信息安全,是每个员工的义务和职责,只有每个 员工自觉遵守并执行信息安全管理方针、程序、规程以及各类法规要求,才能保证 公司信息安全总体目标的实现。3) 灾难预防,永续经营 -为保证公司业务持续经营, 在各个层面建立业务连续性计划, 确保在面临各类可能发生的灾难时,公司业务能够迅速恢复。4) 检查测量,持续改进-持续监视和测量信息安全管理体系,从安全事件中吸取教训,并不断吸收业界优秀标准,不断改善公司信息安全管理体系绩效。四、管理组织与职责1. 总则1.1 公司建立网络化的信息安全架构,该架构包括:1) 建立由各业务部门管理者组成的信息安全管理委员会,确保对信息安全 有明确的措施并得到管理层的支持。2) 由信息中心专职负责信息安全的 IT 管理,确保公司日常信息安全事务由 专门的部门负责管
