資源描述:
《上海海關(guān)學院信息安全管理方針》由會員上傳分享���,免費在線閱讀����,更多相關(guān)內(nèi)容在應用文檔-天天文庫���。
1�、上海海關(guān)學院信息安全管理方針1總則第一條【目的】本文件為上海海關(guān)學院(以下簡稱:海關(guān)學院)信息安全管理的綱領(lǐng)性文件����,明確提出海關(guān)學院在信息安全管理方面的工作要求���,指導信息安全管理工作��。信息安全管理方針是海關(guān)學院領(lǐng)導層對信息安全目標的具體表述�����,為信息安全管理制度文件提供指引��,其它文件在制定時不得違背本文件中的規(guī)定或與信息安全策略發(fā)生抵觸。以確保業(yè)務系統(tǒng)安全�����、穩(wěn)定和可靠的運行����,提升信息化服務質(zhì)量�����,不斷推動信息安全工作的健康發(fā)展����。第二條【依據(jù)】結(jié)合和參考《中華人民共和國計算機信息系統(tǒng)安全保護條例》�����、《信息安全等級保護管理辦
2����、法試行》��、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239-2008)等制定相關(guān)管理規(guī)范�����,并落實符合海關(guān)學院系統(tǒng)安全保護等級要求和管理方針。第三條【范圍】本文件適用于海關(guān)學院與信息安全相關(guān)的各項活動����。2信息安全組織策略—22—第一條建立針對內(nèi)部組織和外部組織的安全策略,促進海關(guān)學院建立合理的信息安全管理組織機構(gòu)與功能����,以協(xié)調(diào)���、監(jiān)控信息安全目標的實現(xiàn)。第二條信息安全組織策略一(內(nèi)部建立信息安全管理架構(gòu))�����。1.策略目標實現(xiàn)在海關(guān)學院內(nèi)部有效地管理信息安全���。2.策略內(nèi)容建立專門的信息安全組織體系�����,以管理信息
3、安全事務��,指導信息安全實踐����。3.策略描述通過建立信息安全管理組織�����,啟動和控制海關(guān)學院范圍內(nèi)信息安全工作的實施��,批準信息安全方針與策略�,確定信息安全管理人員和職責分工���,協(xié)調(diào)整個信息安全管理制度的推行和落實����。根據(jù)需要�,還應建立與外部安全專家或組織的聯(lián)系,方便跟蹤行業(yè)趨勢�,學習各類先進的標準和評估方法�����。第三條信息安全組織策略二(對訪問海關(guān)學院信息資產(chǎn)的外部組織進行嚴格管理)�����。1.策略目標確保被外部組織訪問的信息資產(chǎn)得到有效安全防護。2.策略內(nèi)容—22—海關(guān)學院信息處理設施和信息資產(chǎn)的安全性不應由于客戶���、第三方等外部組織的訪
4、問或由于引入外部產(chǎn)品或服務而降低��。當任何外部組織需要對內(nèi)部信息處理設施進行訪問、對信息資產(chǎn)進行處理時��,內(nèi)部相應接口部門應與外部組織簽訂協(xié)議�����,并采取有效措施進行安全控制。1.策略描述將不可避免地需要與外界進行業(yè)務往來與信息溝通���,經(jīng)常需要向外部組織開放其信息資產(chǎn)和信息處理設施。因此,需要對由于外部組織訪問而帶來的安全風險進行評估��,并根據(jù)風險水平���,在必要時與外部組織簽訂協(xié)議�����,向其聲明信息安全方針與策略���,確定所需的安全控制措施����。3資產(chǎn)安全管理策略第一條為有效地控制信息安全風險,首先需要識別信息資產(chǎn)�。只有對資產(chǎn)進行科學而有效地
5��、分類�����,并在各個管理層面落實對資產(chǎn)的保護責任,采用恰當?shù)目刂拼胧┎拍軐崿F(xiàn)對信息資產(chǎn)的風險管理��。本節(jié)通過以下兩個策略進行對信息資產(chǎn)的有效管理����。第二條資產(chǎn)管理策略一:對信息資產(chǎn)建立問責機制�����,為實施適當保護奠定基礎。對所有信息資產(chǎn)進行識別���,建立資產(chǎn)清單并說明使用規(guī)則,明確定義信息資產(chǎn)責任人及其職責��,為信息資產(chǎn)建立問責機制�����?�!?2—第一條所有資產(chǎn)需標識出責任人,通?���?啥x為信息資產(chǎn)的所有者、保管者���、維護者和使用者,同時需要明確不同責任主體的職責��。對信息資產(chǎn)的安全控制可以由信息資產(chǎn)所有者委派具體的保管者或維護者來承擔,但所有者和
6��、使用者仍對資產(chǎn)承擔一定的保護責任���。第二條資產(chǎn)管理策略二:通過對信息資產(chǎn)的分類,明確其可以得到適當程度的保護�����。應按照信息資產(chǎn)的價值�、法律要求及對組織的敏感程度和對業(yè)務支撐的關(guān)鍵程度來進行分類分級和資產(chǎn)表示�。第三條信息資產(chǎn)的分類分級及相關(guān)保護控制需要考慮業(yè)務需求以及與其相關(guān)的業(yè)務影響�����。資產(chǎn)所有者的職責應包括確定資產(chǎn)的類別,進行必要的標識�,并對其進行周期性評審��,確保其與組織的內(nèi)外環(huán)境變化相適應����。第四條信息資產(chǎn)的分類分級基于業(yè)務相關(guān)性�,從資產(chǎn)的機密性���、完整性和可用性三方面進行分別進行評估��,并根據(jù)這三個方面考慮資產(chǎn)的保護級別4
7、人員安全管理策略第五條網(wǎng)絡與信息—22—安全領(lǐng)導小組的成員要明確并履行各自的安全職責�,包括信息資產(chǎn)保護的責任����、執(zhí)行特定安全過程的責任及授權(quán)級別�����,保證單位的安全責任能有效落實��。第一條保持與海關(guān)相關(guān)部門的及相關(guān)安全廠商的適當聯(lián)系,并明確在發(fā)生重大信息安全事件后與相關(guān)部門進行聯(lián)系���,確保能及時得到相關(guān)部門組織的支持和幫助。第二條定期(或出現(xiàn)重大安全變化時)對我院的信息安全方法和實施進行評審�����,確保管理信息安全方法的持續(xù)適宜性���、充分性和有效性。評審的對象包括控制目標����、控制措施����、安全策略、程序文件和作業(yè)指導書����。評審信息安全領(lǐng)導小組
8���、來啟動��,如果評審識別出信息安全方法和實施不符合當前的安全要求��,信息安全領(lǐng)導小組要及時考慮糾正措施。評審的結(jié)果要記錄成文件����,并報告給學院領(lǐng)導���,得到授權(quán)后發(fā)布至我院全體員工��。第三條識別外部機構(gòu)訪問我院的信息和信息處理設施的風險,包括被訪問的信息處理設施��、訪問類型����、被訪問信息的重要性��、不被訪問的信息需要的控制措施、外部訪問的人員等��,并在允許訪問前實施
