資源描述:
《信息安全管理方針手冊》由會員上傳分享�,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫�。
1、信息安全管理方針手冊卷號卷內編號密級內部公開XXXX集團2008信息安全管理方針手冊version:1.0編制人:日期:審核人:日期:批準人:日期:受控狀態(tài):45第45頁����,共45頁信息安全管理方針手冊目錄一、編制說明61.前言62.目的63.適用范圍64.引用文件65.手冊控制7二���、信息安全術語81.前言82.信息安全術語8三���、信息安全方針聲明10四、管理組織與職責111.總則112.信息安全職責11五��、信息安全管理體系171.信息安全管理體系范圍172.信息安全管理體系模型173.信息安全管理
2、體系文件要求18六��、管理職責201.總則202.管理承諾203.資源管理204.培訓、意識與能力21七、信息安全管理體系評價與改進221.總則222.信息安全活動及過程監(jiān)視與檢查223.信息安全管理體系審核224.技術符合性審核225.管理評審226.數據分析237.糾正和預防措施2345第45頁��,共45頁信息安全管理方針手冊八、信息安全基本方針241.總則242.信息安全管理基本方針描述24九、風險評估管理251.前言252.風險評估方法與準則253.風險評估254.風險管理255、風險處置2
3��、6十�����、信息安全組織271.信息安全管理架構272.組織間合作273.專家建議274.信息處理設施授權275����、第三方訪問安全27十一��、資產管理291.總則292.資產職責293.信息分級29十二�、人員安全301.前言302.雇傭前303.雇傭中304.雇傭終止或轉崗305.培訓31十三、物理與環(huán)境安全321.總則322.安全區(qū)域323.設備安全324.存儲介質335.基本控制措施33十四�����、通訊與運行安全3445第45頁��,共45頁信息安全管理方針手冊1.總則342.程序和職責343.系統規(guī)劃和接收3
4、44.防止惡意軟件��、代碼355.備份356.網絡管理357.媒介處理和安全368.信息和軟件交換36十五��、訪問控制371.總則372.用戶訪問管理373.網絡安全方針374.可移動計算機工作及遠程工作方針38十六�����、系統開發(fā)及維護401.總則402.系統安全要求建立403.系統文件安全404.開發(fā)與支持過程的安全405.技術脆弱性管理40十七�、信息安全事件管理421.總則422.報告安全事件及薄弱環(huán)節(jié)423.信息安全事件處理和改進42十八����、業(yè)務連續(xù)性管理431.總則432.業(yè)務連續(xù)性管理總體策略4
5、3十九���、符合性管理441.總則442.符合性管理44附錄一���、信息安全組織架構4545第45頁,共45頁信息安全管理方針手冊修訂文檔歷史記錄日期版本說明作者2008-4-181.0創(chuàng)建XXX45第45頁���,共45頁信息安全管理方針手冊一��、編制說明1.前言XXXX(集團)有限公司(以下簡稱XXXX)是以軟件技術和服務為核心����,從事XX業(yè)務服務、系統集成�、數據處理等多個信息技術業(yè)務領域的股份公司。隨著公司XX業(yè)務服務業(yè)務的不斷發(fā)展���,客戶對信息安全的要求也日趨嚴格與系統化�����,而隨著信息技術革命和經濟全球化的發(fā)
6��、展���,企業(yè)間的競爭已經轉為技術和信息的競爭。隨著公司業(yè)務的快速增長��、IT規(guī)模的不斷擴大以及客戶要求的不斷提升�����,公司業(yè)務是否能高效的運作�����、核心客戶群的維持已經越來越依賴于我們是否有穩(wěn)定、安全的信息系統�,以保護公司和客戶的知識資產。鑒于信息安全在公司運營管理中越來越重要的地位����,公司高層領導不斷要求要高度重視信息安全管理和控制工作,加大信息安全投資和人力資源配置���。為此,公司成立了信息安全管理委員會以及信息安全管理工作小組��,負責在公司全范圍建立有效的信息安全管理體系��,以確保信息安全機制有效運行���?���!缎畔踩?/p>
7�����、管理方針手冊》作為公司信息安全方面的最高層文件,是公司各項信息安全工作開展的依據�����,各部門應該嚴格遵照執(zhí)行��,并可根據本文件規(guī)定制定或修訂本部門的相關管理規(guī)定����。2.目的本方針手冊明確公司在信息安全工作方面的總體要求,指導各項信息安全工作的開展����,包括:為建立信息及信息處理設施管理程序、作業(yè)規(guī)程提供指南���;為處理各類信息安全事件提供指南��,以預防及降低安全事件所造成的損失�;教育公司員工�,讓其了解公司信息資產的保密性、完整性和可用性及其相關的保護方法����。3.適用范圍本適用性聲明書適用于XX集團及其所有公司。4.
8、引用文件4.1ISO27001:2005信息技術–安全技術-信息安全管理體系–規(guī)范4.2ISO17799:2005信息技術–安全技術–信息安全管理體系實施細則45第45頁�,共45頁信息安全管理方針手冊5.手冊控制5.1手冊編制與批準5.1.1信息安全方針手冊由集團信息中心負責信息安全管理人員編制。5.1.2信息安全管理委員會成員負責對信息安全方針手冊的內容進行審查�����,最終由信息安全管理委員會主任批準�。5.2發(fā)行版本5.2.1信息安全方針手冊的版本狀態(tài)分別在封面和每一頁中給出,按阿拉伯數字1.0�����、1
