資源描述:
《上海海關(guān)學(xué)院信息安全管理方針》由會(huì)員上傳分享��,免費(fèi)在線(xiàn)閱讀�����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)����。
1��、上海海關(guān)學(xué)院信息安全管理方針1總則第一條【目的】本文件為上海海關(guān)學(xué)院(以下簡(jiǎn)稱(chēng):海關(guān)學(xué)院)信息安全管理的綱領(lǐng)性文件����,明確提出海關(guān)學(xué)院在信息安全管理方面的工作要求,指導(dǎo)信息安全管理工作�����。信息安全管理方針是海關(guān)學(xué)院領(lǐng)導(dǎo)層對(duì)信息安全目標(biāo)的具體表述,為信息安全管理制度文件提供指引�,其它文件在制定時(shí)不得違背本文件中的規(guī)定或與信息安全策略發(fā)生抵觸。以確保業(yè)務(wù)系統(tǒng)安全��、穩(wěn)定和可靠的運(yùn)行�����,提升信息化服務(wù)質(zhì)量���,不斷推動(dòng)信息安全工作的健康發(fā)展�����。第二條【依據(jù)】結(jié)合和參考《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》�、《信息安全等級(jí)保護(hù)管理辦
2�����、法試行》�、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)等制定相關(guān)管理規(guī)范,并落實(shí)符合海關(guān)學(xué)院系統(tǒng)安全保護(hù)等級(jí)要求和管理方針。第三條【范圍】本文件適用于海關(guān)學(xué)院與信息安全相關(guān)的各項(xiàng)活動(dòng)���。2信息安全組織策略—22—第一條建立針對(duì)內(nèi)部組織和外部組織的安全策略���,促進(jìn)海關(guān)學(xué)院建立合理的信息安全管理組織機(jī)構(gòu)與功能,以協(xié)調(diào)���、監(jiān)控信息安全目標(biāo)的實(shí)現(xiàn)。第二條信息安全組織策略一(內(nèi)部建立信息安全管理架構(gòu))�。1.策略目標(biāo)實(shí)現(xiàn)在海關(guān)學(xué)院內(nèi)部有效地管理信息安全。2.策略?xún)?nèi)容建立專(zhuān)門(mén)的信息安全組織體系��,以管理信息
3�����、安全事務(wù)�����,指導(dǎo)信息安全實(shí)踐���。3.策略描述通過(guò)建立信息安全管理組織���,啟動(dòng)和控制海關(guān)學(xué)院范圍內(nèi)信息安全工作的實(shí)施��,批準(zhǔn)信息安全方針與策略�,確定信息安全管理人員和職責(zé)分工�,協(xié)調(diào)整個(gè)信息安全管理制度的推行和落實(shí)。根據(jù)需要��,還應(yīng)建立與外部安全專(zhuān)家或組織的聯(lián)系����,方便跟蹤行業(yè)趨勢(shì),學(xué)習(xí)各類(lèi)先進(jìn)的標(biāo)準(zhǔn)和評(píng)估方法�。第三條信息安全組織策略二(對(duì)訪(fǎng)問(wèn)海關(guān)學(xué)院信息資產(chǎn)的外部組織進(jìn)行嚴(yán)格管理)。1.策略目標(biāo)確保被外部組織訪(fǎng)問(wèn)的信息資產(chǎn)得到有效安全防護(hù)�����。2.策略?xún)?nèi)容—22—海關(guān)學(xué)院信息處理設(shè)施和信息資產(chǎn)的安全性不應(yīng)由于客戶(hù)�����、第三方等外部組織的訪(fǎng)
4��、問(wèn)或由于引入外部產(chǎn)品或服務(wù)而降低���。當(dāng)任何外部組織需要對(duì)內(nèi)部信息處理設(shè)施進(jìn)行訪(fǎng)問(wèn)�����、對(duì)信息資產(chǎn)進(jìn)行處理時(shí)����,內(nèi)部相應(yīng)接口部門(mén)應(yīng)與外部組織簽訂協(xié)議,并采取有效措施進(jìn)行安全控制�����。1.策略描述將不可避免地需要與外界進(jìn)行業(yè)務(wù)往來(lái)與信息溝通�,經(jīng)常需要向外部組織開(kāi)放其信息資產(chǎn)和信息處理設(shè)施�����。因此��,需要對(duì)由于外部組織訪(fǎng)問(wèn)而帶來(lái)的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估�����,并根據(jù)風(fēng)險(xiǎn)水平����,在必要時(shí)與外部組織簽訂協(xié)議�,向其聲明信息安全方針與策略��,確定所需的安全控制措施����。3資產(chǎn)安全管理策略第一條為有效地控制信息安全風(fēng)險(xiǎn),首先需要識(shí)別信息資產(chǎn)��。只有對(duì)資產(chǎn)進(jìn)行科學(xué)而有效地
5���、分類(lèi)���,并在各個(gè)管理層面落實(shí)對(duì)資產(chǎn)的保護(hù)責(zé)任,采用恰當(dāng)?shù)目刂拼胧┎拍軐?shí)現(xiàn)對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)管理��。本節(jié)通過(guò)以下兩個(gè)策略進(jìn)行對(duì)信息資產(chǎn)的有效管理�。第二條資產(chǎn)管理策略一:對(duì)信息資產(chǎn)建立問(wèn)責(zé)機(jī)制,為實(shí)施適當(dāng)保護(hù)奠定基礎(chǔ)�。對(duì)所有信息資產(chǎn)進(jìn)行識(shí)別,建立資產(chǎn)清單并說(shuō)明使用規(guī)則�����,明確定義信息資產(chǎn)責(zé)任人及其職責(zé),為信息資產(chǎn)建立問(wèn)責(zé)機(jī)制�。—22—第一條所有資產(chǎn)需標(biāo)識(shí)出責(zé)任人�����,通?���?啥x為信息資產(chǎn)的所有者、保管者�����、維護(hù)者和使用者�����,同時(shí)需要明確不同責(zé)任主體的職責(zé)����。對(duì)信息資產(chǎn)的安全控制可以由信息資產(chǎn)所有者委派具體的保管者或維護(hù)者來(lái)承擔(dān)�����,但所有者和
6、使用者仍對(duì)資產(chǎn)承擔(dān)一定的保護(hù)責(zé)任��。第二條資產(chǎn)管理策略二:通過(guò)對(duì)信息資產(chǎn)的分類(lèi)����,明確其可以得到適當(dāng)程度的保護(hù)。應(yīng)按照信息資產(chǎn)的價(jià)值���、法律要求及對(duì)組織的敏感程度和對(duì)業(yè)務(wù)支撐的關(guān)鍵程度來(lái)進(jìn)行分類(lèi)分級(jí)和資產(chǎn)表示���。第三條信息資產(chǎn)的分類(lèi)分級(jí)及相關(guān)保護(hù)控制需要考慮業(yè)務(wù)需求以及與其相關(guān)的業(yè)務(wù)影響。資產(chǎn)所有者的職責(zé)應(yīng)包括確定資產(chǎn)的類(lèi)別�����,進(jìn)行必要的標(biāo)識(shí)����,并對(duì)其進(jìn)行周期性評(píng)審,確保其與組織的內(nèi)外環(huán)境變化相適應(yīng)��。第四條信息資產(chǎn)的分類(lèi)分級(jí)基于業(yè)務(wù)相關(guān)性���,從資產(chǎn)的機(jī)密性�、完整性和可用性三方面進(jìn)行分別進(jìn)行評(píng)估,并根據(jù)這三個(gè)方面考慮資產(chǎn)的保護(hù)級(jí)別4
7�、人員安全管理策略第五條網(wǎng)絡(luò)與信息—22—安全領(lǐng)導(dǎo)小組的成員要明確并履行各自的安全職責(zé),包括信息資產(chǎn)保護(hù)的責(zé)任��、執(zhí)行特定安全過(guò)程的責(zé)任及授權(quán)級(jí)別����,保證單位的安全責(zé)任能有效落實(shí)。第一條保持與海關(guān)相關(guān)部門(mén)的及相關(guān)安全廠商的適當(dāng)聯(lián)系���,并明確在發(fā)生重大信息安全事件后與相關(guān)部門(mén)進(jìn)行聯(lián)系�,確保能及時(shí)得到相關(guān)部門(mén)組織的支持和幫助�����。第二條定期(或出現(xiàn)重大安全變化時(shí))對(duì)我院的信息安全方法和實(shí)施進(jìn)行評(píng)審����,確保管理信息安全方法的持續(xù)適宜性、充分性和有效性���。評(píng)審的對(duì)象包括控制目標(biāo)、控制措施���、安全策略�����、程序文件和作業(yè)指導(dǎo)書(shū)�。評(píng)審信息安全領(lǐng)導(dǎo)小組
8、來(lái)啟動(dòng)����,如果評(píng)審識(shí)別出信息安全方法和實(shí)施不符合當(dāng)前的安全要求,信息安全領(lǐng)導(dǎo)小組要及時(shí)考慮糾正措施���。評(píng)審的結(jié)果要記錄成文件�,并報(bào)告給學(xué)院領(lǐng)導(dǎo)���,得到授權(quán)后發(fā)布至我院全體員工�。第三條識(shí)別外部機(jī)構(gòu)訪(fǎng)問(wèn)我院的信息和信息處理設(shè)施的風(fēng)險(xiǎn)���,包括被訪(fǎng)問(wèn)的信息處理設(shè)施����、訪(fǎng)問(wèn)類(lèi)型、被訪(fǎng)問(wèn)信息的重要性�����、不被訪(fǎng)問(wèn)的信息需要的控制措施����、外部訪(fǎng)問(wèn)的人員等,并在允許訪(fǎng)問(wèn)前實(shí)施
