資源描述:
《【9A文】信息安全管理策略》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫��。
1���、【MeiWei_81重點(diǎn)借鑒文檔】RRRR公司信息安全管理策略制度編號:二0一五年六月【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】屬性內(nèi)容用戶名稱:文檔主標(biāo)題:文檔副標(biāo)題:文檔編號:版本日期:制度版本作者:密級:r文檔變更歷史版本修正日期修正人描述目錄第一章總則4第二章適用范圍4第三章術(shù)語定義4第四章職責(zé)定義5第五章管理要求8第一節(jié)信息安全管理體系8第二節(jié)風(fēng)險管理策略8第三節(jié)組織安全管理策略9第四節(jié)人力資源安全管理策略11第五節(jié)信息資產(chǎn)管理策略14第六節(jié)訪問控制管理策略16第七節(jié)密碼管理策略21第八節(jié)物理和
2、環(huán)境安全管理策略22【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】第一章總則第一條為明確RRRR公司(以下簡稱“RR”)的信息安全管理職責(zé)和管理策略��,依據(jù)《管理體系總綱》和《信息科技風(fēng)險管理策略》���,特制定本辦法�。第二條信息安全管理的主要目標(biāo)是控制信息安全風(fēng)險�����,確保RR信息的保密性、完整性和可用性�����。第二章適用范圍第三條本策略適用于RR組織安全��、人力資源安全�����、信息資產(chǎn)����、訪問控制、密碼�、物理和環(huán)境安全、操作安全�����、網(wǎng)絡(luò)和通訊安全��、系統(tǒng)獲取開發(fā)和維護(hù)安全����、供應(yīng)商安全�、信息安全事件�����、業(yè)務(wù)連續(xù)性中的信息安全�����、以及合規(guī)等方面
3�、的管理。第四條本策略適用于RR各部門���,以及與RR合作的商業(yè)伙伴����、為RR提供服務(wù)的服務(wù)提供商及人員等�。第三章術(shù)語定義第五條本辦法涉及的術(shù)語包括:信息、信息安全�、信息安全管理體系�����、風(fēng)險��、保密性、完整性���、可用性�����、風(fēng)險評估����、風(fēng)險處置���、訪問控制���、信息安全事態(tài)、信息安全事件�����、業(yè)務(wù)連續(xù)性����。第六條本辦法涉及到術(shù)語定義,參見《術(shù)語表》�����。第四章職責(zé)定義第七條RR【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】負(fù)責(zé)本管理領(lǐng)域規(guī)章制度的設(shè)計、推廣��、監(jiān)督和改進(jìn)���。第一條本辦法涉及的角色包括:信息安全保護(hù)領(lǐng)導(dǎo)小組(以下簡稱“領(lǐng)導(dǎo)小組”)����、信
4�����、息安全保護(hù)工作小組(以下簡稱“工作小組”)�����、安全管理員����、安全員、信息資產(chǎn)責(zé)任人��、全體人員(包括公司員工���,和相關(guān)外部人員)����。第二條信息安全保護(hù)領(lǐng)導(dǎo)小組作為信息安全決策執(zhí)行機(jī)構(gòu)���,主要職責(zé)包括:(一)負(fù)責(zé)分配和落實(shí)信息安全方面的角色和職責(zé)����;(二)負(fù)責(zé)根據(jù)國家信息安全的有關(guān)法律����、法規(guī)、制度�、規(guī)范及RR信息安全管理策略,組織�����、制定��、落實(shí)RR信息安全方面的各項規(guī)章制度�、實(shí)施細(xì)則、安全目標(biāo)及崗位安全責(zé)任;(三)負(fù)責(zé)批準(zhǔn)實(shí)施信息安全的相關(guān)具體流程和方法��;(四)負(fù)責(zé)審批信息安全目標(biāo)的執(zhí)行情況�;(五)負(fù)責(zé)審定RR風(fēng)險接受準(zhǔn)則,組織信息安全風(fēng)險評估和處
5�����、置的開展����;(六)負(fù)責(zé)決策信息安全風(fēng)險是否要采取安全措施或增加安全措施;(七)負(fù)責(zé)評估新系統(tǒng)或服務(wù)的安全性并監(jiān)督上線實(shí)施�;(八)負(fù)責(zé)審批調(diào)查信息安全事件報告;(九)負(fù)責(zé)確定信息安全方面的提議���;(十)負(fù)責(zé)推動RR信息安全的各項工作�。第三條信息安全保護(hù)工作小組是信息安全保護(hù)領(lǐng)導(dǎo)小組的下設(shè)機(jī)構(gòu)��,工作小組由安全管理員和各部門安全員組成����,負(fù)責(zé)信息安全日常工作的具體執(zhí)行,對領(lǐng)導(dǎo)小組負(fù)責(zé)��,主要職責(zé)包括:【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】(一)負(fù)責(zé)領(lǐng)導(dǎo)小組指定日常事務(wù)的具體執(zhí)行;(二)負(fù)責(zé)根據(jù)信息安全的有關(guān)法律�����、法
6�����、規(guī)���、制度、規(guī)范及RR信息安全管理規(guī)范����,組織、協(xié)調(diào)�、落實(shí)RR的信息安全工作;(三)負(fù)責(zé)落實(shí)執(zhí)行信息安全相關(guān)的具體制度��;(四)負(fù)責(zé)提交信息系統(tǒng)和信息資產(chǎn)需要采取的安全措施或增加安全措施建議����;(五)負(fù)責(zé)根據(jù)領(lǐng)導(dǎo)小組的意見和建議及相關(guān)的流程,落實(shí)新系統(tǒng)或服務(wù)的安全保護(hù)措施并執(zhí)行上線實(shí)施工作�����;(六)負(fù)責(zé)調(diào)查信息安全事件,并向領(lǐng)導(dǎo)小組提交相關(guān)書面調(diào)查報告�����;(七)負(fù)責(zé)抽查并監(jiān)督安全措施的落實(shí)工作����,及時匯總相關(guān)安全問題上報領(lǐng)導(dǎo)小組。第一條安全管理員作為工作小組的負(fù)責(zé)人���,由信息安全保護(hù)領(lǐng)導(dǎo)小組任命和指導(dǎo)�����,直接對信息安全保護(hù)領(lǐng)導(dǎo)小組負(fù)責(zé)�����,主要職責(zé)包括
7����、:(一)負(fù)責(zé)組織RR內(nèi)部信息安全意識和信息安全技術(shù)培訓(xùn)�����;(二)負(fù)責(zé)組織檢查具體信息安全工作的執(zhí)行情況,形成匯總分析并上報領(lǐng)導(dǎo)小組��;(三)負(fù)責(zé)上報并調(diào)查信息安全事件�����,收集匯總信息安全事件報告���;(四)負(fù)責(zé)收集匯總安全建設(shè)規(guī)劃和改進(jìn)意見。第二條安全員作為各部門具體信息安全日常工作的組織者和檢查者�����,由信息安全保護(hù)領(lǐng)導(dǎo)小組任命和指導(dǎo)�,【MeiWei_81重點(diǎn)借鑒文檔】【MeiWei_81重點(diǎn)借鑒文檔】其主要職責(zé)包括:(一)負(fù)責(zé)本部門內(nèi)的信息安全意識培訓(xùn);(二)負(fù)責(zé)本部門具體信息安全工作的檢查�����,形成匯總分析并上報安全管理員�;(三)負(fù)責(zé)上報并調(diào)
8、查本部門內(nèi)信息安全事件��,提出安全建設(shè)規(guī)劃和改進(jìn)意見等;第一條信息資產(chǎn)責(zé)任人作為信息資產(chǎn)的負(fù)責(zé)人���,主要職責(zé)包括:(一)對所承擔(dān)的信息資產(chǎn)的信息安全負(fù)主要責(zé)任��,負(fù)責(zé)該項信息資產(chǎn)的日常保護(hù)�����;(二)負(fù)責(zé)識別所承擔(dān)信息資產(chǎn)的信息安全風(fēng)險�。第二條全體人員作為信
