資源描述:
《信息安全管理方針手冊》由會員上傳分享,免費在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1��、信息安全管理方針手冊卷號卷內(nèi)編號密級內(nèi)部公開XXXX集團2008信息安全管理方針手冊version:1.0編制人:日期:審核人:日期:批準(zhǔn)人:日期:受控狀態(tài):45第45頁��,共45頁信息安全管理方針手冊目錄一���、編制說明61.前言62.目的63.適用范圍64.引用文件65.手冊控制7二、信息安全術(shù)語81.前言82.信息安全術(shù)語8三�����、信息安全方針聲明10四�����、管理組織與職責(zé)111.總則112.信息安全職責(zé)11五�、信息安全管理體系171.信息安全管理體系范圍172.信息安全管理體系模型173.信息安全管理體系文件要
2���、求18六、管理職責(zé)201.總則202.管理承諾203.資源管理204.培訓(xùn)����、意識與能力21七�����、信息安全管理體系評價與改進221.總則222.信息安全活動及過程監(jiān)視與檢查223.信息安全管理體系審核224.技術(shù)符合性審核225.管理評審226.數(shù)據(jù)分析237.糾正和預(yù)防措施2345第45頁��,共45頁信息安全管理方針手冊八�����、信息安全基本方針241.總則242.信息安全管理基本方針描述24九、風(fēng)險評估管理251.前言252.風(fēng)險評估方法與準(zhǔn)則253.風(fēng)險評估254.風(fēng)險管理255�����、風(fēng)險處置26十��、信息安全組織2
3�、71.信息安全管理架構(gòu)272.組織間合作273.專家建議274.信息處理設(shè)施授權(quán)275、第三方訪問安全27十一����、資產(chǎn)管理291.總則292.資產(chǎn)職責(zé)293.信息分級29十二����、人員安全301.前言302.雇傭前303.雇傭中304.雇傭終止或轉(zhuǎn)崗305.培訓(xùn)31十三��、物理與環(huán)境安全321.總則322.安全區(qū)域323.設(shè)備安全324.存儲介質(zhì)335.基本控制措施33十四�����、通訊與運行安全3445第45頁���,共45頁信息安全管理方針手冊1.總則342.程序和職責(zé)343.系統(tǒng)規(guī)劃和接收344.防止惡意軟件��、代碼355
4��、.備份356.網(wǎng)絡(luò)管理357.媒介處理和安全368.信息和軟件交換36十五��、訪問控制371.總則372.用戶訪問管理373.網(wǎng)絡(luò)安全方針374.可移動計算機工作及遠(yuǎn)程工作方針38十六��、系統(tǒng)開發(fā)及維護401.總則402.系統(tǒng)安全要求建立403.系統(tǒng)文件安全404.開發(fā)與支持過程的安全405.技術(shù)脆弱性管理40十七、信息安全事件管理421.總則422.報告安全事件及薄弱環(huán)節(jié)423.信息安全事件處理和改進42十八���、業(yè)務(wù)連續(xù)性管理431.總則432.業(yè)務(wù)連續(xù)性管理總體策略43十九�、符合性管理441.總則442.符
5����、合性管理44附錄一�����、信息安全組織架構(gòu)4545第45頁,共45頁信息安全管理方針手冊修訂文檔歷史記錄日期版本說明作者2008-4-181.0創(chuàng)建XXX45第45頁�����,共45頁信息安全管理方針手冊一��、編制說明1.前言XXXX(集團)有限公司(以下簡稱XXXX)是以軟件技術(shù)和服務(wù)為核心�����,從事XX業(yè)務(wù)服務(wù)�、系統(tǒng)集成、數(shù)據(jù)處理等多個信息技術(shù)業(yè)務(wù)領(lǐng)域的股份公司�����。隨著公司XX業(yè)務(wù)服務(wù)業(yè)務(wù)的不斷發(fā)展���,客戶對信息安全的要求也日趨嚴(yán)格與系統(tǒng)化,而隨著信息技術(shù)革命和經(jīng)濟全球化的發(fā)展,企業(yè)間的競爭已經(jīng)轉(zhuǎn)為技術(shù)和信息的競爭�����。隨著公司
6�、業(yè)務(wù)的快速增長�、IT規(guī)模的不斷擴大以及客戶要求的不斷提升,公司業(yè)務(wù)是否能高效的運作�、核心客戶群的維持已經(jīng)越來越依賴于我們是否有穩(wěn)定、安全的信息系統(tǒng)��,以保護公司和客戶的知識資產(chǎn)��。鑒于信息安全在公司運營管理中越來越重要的地位,公司高層領(lǐng)導(dǎo)不斷要求要高度重視信息安全管理和控制工作�,加大信息安全投資和人力資源配置。為此�����,公司成立了信息安全管理委員會以及信息安全管理工作小組���,負(fù)責(zé)在公司全范圍建立有效的信息安全管理體系,以確保信息安全機制有效運行?�!缎畔踩芾矸结樖謨浴纷鳛楣拘畔踩矫娴淖罡邔游募?����,是公司各項信
7�����、息安全工作開展的依據(jù)���,各部門應(yīng)該嚴(yán)格遵照執(zhí)行,并可根據(jù)本文件規(guī)定制定或修訂本部門的相關(guān)管理規(guī)定���。2.目的本方針手冊明確公司在信息安全工作方面的總體要求��,指導(dǎo)各項信息安全工作的開展�����,包括:為建立信息及信息處理設(shè)施管理程序���、作業(yè)規(guī)程提供指南�����;為處理各類信息安全事件提供指南,以預(yù)防及降低安全事件所造成的損失���;教育公司員工���,讓其了解公司信息資產(chǎn)的保密性、完整性和可用性及其相關(guān)的保護方法���。3.適用范圍本適用性聲明書適用于XX集團及其所有公司�。4.引用文件4.1ISO27001:2005信息技術(shù)–安全技術(shù)-信息安全管
8�����、理體系–規(guī)范4.2ISO17799:2005信息技術(shù)–安全技術(shù)–信息安全管理體系實施細(xì)則45第45頁�����,共45頁信息安全管理方針手冊5.手冊控制5.1手冊編制與批準(zhǔn)5.1.1信息安全方針手冊由集團信息中心負(fù)責(zé)信息安全管理人員編制。5.1.2信息安全管理委員會成員負(fù)責(zé)對信息安全方針手冊的內(nèi)容進行審查�����,最終由信息安全管理委員會主任批準(zhǔn)。5.2發(fā)行版本5.2.1信息安全方針手冊的版本狀態(tài)分別在封面和每一頁中給出�,按阿拉伯?dāng)?shù)字1.0����、1
