ISMS-3012信息安全方針信息安全策略管理制度_第1頁
ISMS-3012信息安全方針信息安全策略管理制度_第2頁
ISMS-3012信息安全方針信息安全策略管理制度_第3頁
ISMS-3012信息安全方針信息安全策略管理制度_第4頁
ISMS-3012信息安全方針信息安全策略管理制度_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

信息技術(shù)-信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件/6深圳市首品精密模型有限公司信息安全方針信息安全策略管理制度文件編號(hào):ISMS-3012

變更履歷序版本編序號(hào)或更改記錄編號(hào)簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1A/0初始發(fā)行2016-8-第一章總則第一條為提高公司信息安全管理水平,建立、健全信息安全管理體系,貫徹執(zhí)行ISO27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系?要求》,保障公司信息系統(tǒng)業(yè)務(wù)的正常進(jìn)行,防止由于信息安全事件導(dǎo)致的公司損失,確保全體員工理解信息安全的重要性,執(zhí)行信息安全管理體系文件的要求,特制定本制度。第二條本制度是公司信息安全管理的綱領(lǐng)性文件,用于貫徹企業(yè)的信息安全管理方針、目標(biāo),是所有從事、涉及信息安全相關(guān)活動(dòng)人員的行為準(zhǔn)則,是向客戶、向社會(huì)、向認(rèn)證機(jī)構(gòu)提供本公司信息安全管理保證能力的依據(jù)。第三條信息部在得到信息安全委員會(huì)批準(zhǔn)的前提下負(fù)責(zé)本制度的更改和建立,信息部定期對其適用性、持續(xù)性、有效性進(jìn)行評審,匯總更改需求和建議并上報(bào)。第四條 本制度適用于公司所屬各單位。第二章職責(zé)分工第五條 公司信息安全管理工作由信息安全委員會(huì)指導(dǎo)和批準(zhǔn),委員會(huì)下設(shè)信息安全工作推進(jìn)組,并設(shè)立信息安全顧問團(tuán)。第六條 信息安全工作推進(jìn)組由信息部信息安全專業(yè)人員和公司各部門主管任命的信息化專業(yè)員組成。第七條 信息安全顧問組由提供服務(wù)的外部安全產(chǎn)品公司或外聘的信息安全顧問組成。第八條 信息安全工作推進(jìn)組職責(zé)建立信息安全管理方針、目標(biāo)和策略;評估信息安全顧問組意見的可用性;確定公司信息資產(chǎn)風(fēng)險(xiǎn)準(zhǔn)則和信息安全事件處置措施;組織并確保全公司信息安全教育活動(dòng)的落實(shí);監(jiān)控公司的信息安全情況,監(jiān)督檢查信息安全活動(dòng)的落實(shí)情況,并定期向信息安全委員會(huì)匯報(bào);向兩化融管理委員會(huì)提出實(shí)現(xiàn)信息安全目標(biāo)和符合信息安全方針的改進(jìn)需要,推行各項(xiàng)信息安全策略要求和控制措施;負(fù)責(zé)公司信息安全內(nèi)部、外部評估的具體安排;推進(jìn)組中各部門安全專員負(fù)責(zé)對本部門信息資產(chǎn)進(jìn)行匯總上報(bào),負(fù)責(zé)本部門信息安全事件的應(yīng)急處理,收集、上報(bào)與本部門相關(guān)的信息安全管理方面的要求,同時(shí)負(fù)責(zé)在本部門內(nèi)傳達(dá)、落實(shí)公司信息安全管理策略的要求。第九條信息安全顧問組職責(zé)提供信息安全相關(guān)產(chǎn)品的使用幫助和更新;負(fù)責(zé)為公司提供完整的信息安全管理咨詢服務(wù);提供信息安全管理方面的相關(guān)培訓(xùn)。第三章信息安全方針和目標(biāo)第十條公司信息安全方針為:滿足客戶要求,實(shí)施風(fēng)險(xiǎn)管理,確保信息安全,實(shí)現(xiàn)持續(xù)改進(jìn)。在此方針下應(yīng)堅(jiān)持的基本原則基本安全需求原則:信息安全工作推進(jìn)組根據(jù)公司信息系統(tǒng)擔(dān)負(fù)的使命和信息資產(chǎn)重要程度等,按照等級(jí)保護(hù)要求確定相應(yīng)的信息安全保護(hù)措施,從全局恰當(dāng)?shù)仄胶庑畔踩度牒桶踩珷顟B(tài);全員參與原則:所有從事信息安全相關(guān)工作的人員應(yīng)普遍參與信息安全活動(dòng),保證自身信息安全素質(zhì),提高安全意識(shí),共同保護(hù)公司信息安全;管理與技術(shù)并重原則:堅(jiān)持積極防御和綜合防范,全面提高信息安全防護(hù)能力,結(jié)合公司實(shí)際情況,采用管理科學(xué)性和技術(shù)前瞻性相輔相成的方法,達(dá)到信息安全管理的目的;持續(xù)改進(jìn)原則:信息安全管理是動(dòng)態(tài)的,貫穿整個(gè)企業(yè)管理的生命周期,隨著安全需求和系統(tǒng)脆弱性的時(shí)間空間分布變化、威脅程度的提高和對信息安全認(rèn)知的深化等,應(yīng)及時(shí)地將現(xiàn)有的安全策略和保護(hù)措施進(jìn)行檢查、修改和調(diào)整,以提升安全管理水平,持續(xù)維護(hù)信息安全管理體系的有效性。遵循PDCA(Plan、Do、Check、Action計(jì)劃、實(shí)施、檢查、改進(jìn))模型原則:運(yùn)用ISO27001的PDCA模型建立信息安全管理體系。第十一條公司信息安全目標(biāo)商業(yè)秘密信息泄露事故為零;造成公司生產(chǎn)中斷時(shí)間累計(jì)不能超過2小時(shí)/年;造成公司生產(chǎn)中斷事故發(fā)生次數(shù)不超過2次/年。第四章總體信息安全策略第十二條本公司安全策略應(yīng)滿足國家信息安全等級(jí)保護(hù)制度相關(guān)要求。第十三條物理安全策略機(jī)房、數(shù)據(jù)中心等物理位置的選擇應(yīng)選在防震、防潮防水、防火的建筑內(nèi);機(jī)房、數(shù)據(jù)中心等的入出口應(yīng)采取訪問控制措施,安排值守、控制、鑒別和記錄工作;機(jī)房內(nèi)部署基礎(chǔ)的防護(hù)系統(tǒng)和設(shè)備,如防火系統(tǒng)、環(huán)境控制系統(tǒng)、UPS供電系統(tǒng)、消防滅火系統(tǒng)、防雷系統(tǒng)、監(jiān)控系統(tǒng);網(wǎng)絡(luò)通信線纜布置于安全隱蔽處(地下、管道);機(jī)房部署防盜報(bào)警系統(tǒng)。第十四條網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)核心設(shè)備部署要求性能良好,設(shè)備和鏈路有冗余,保證業(yè)務(wù)高峰期需求;繪制與實(shí)際相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖;強(qiáng)化對終端的控制,并強(qiáng)制終端使用防病毒系統(tǒng);對于涉密終端強(qiáng)制安裝數(shù)據(jù)防泄密軟件;網(wǎng)絡(luò)邊界處部署防火墻、IPS等安全設(shè)備;按照網(wǎng)絡(luò)內(nèi)的不同區(qū)域,劃分不同的VLAN;郵箱系統(tǒng)增加垃圾郵件檢測功能;嚴(yán)格控制控制帶寬設(shè)置優(yōu)先級(jí),限制上網(wǎng)權(quán)限。第十五條主機(jī)安全策略登陸操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進(jìn)行身份標(biāo)識(shí)和鑒別;登陸操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn)同名用戶,口令復(fù)雜程度高并定期更換;操作系統(tǒng)和數(shù)據(jù)庫必須及時(shí)刪除多余的、過期的賬戶,避免共享賬戶的存在;重要主機(jī)人機(jī)分離時(shí),確保信息安全狀態(tài)。第十六條數(shù)據(jù)安全策略業(yè)務(wù)數(shù)據(jù)及文檔必須進(jìn)行備份,以便發(fā)生安全事件時(shí)進(jìn)行恢復(fù);數(shù)據(jù)備份必須使用專用的備份設(shè)備和工具;重要數(shù)據(jù)在傳遞過程中,使用加密手段;備份的數(shù)據(jù)采用異地儲(chǔ)存手段;保證數(shù)據(jù)庫硬件備件富有量,防止硬件故障導(dǎo)致數(shù)據(jù)不可用和不完整;數(shù)據(jù)的處理(傳輸、儲(chǔ)存、恢復(fù))做明確的記錄;故障不可用的數(shù)據(jù)存儲(chǔ)介質(zhì)要及時(shí)物理銷毀,可以返廠用來更換新介質(zhì)的,用不可恢復(fù)性手段銷毀數(shù)據(jù)。第十七條人員安全策略信息安全需要全體員工參與,全體員工都有保護(hù)信息安全的職責(zé),在崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊涉密崗位人員須承擔(dān)特別要求的安全責(zé)任;定期對信息安全相關(guān)崗位員工進(jìn)行信息安全相關(guān)教育和培訓(xùn),提高安全意識(shí);嚴(yán)格對破壞公司信息資產(chǎn)的行為進(jìn)行懲戒,明確安全要求和安全職責(zé)。建立健全的外來人員訪問制度,限制外來人員對重要信息的訪問。第十八條安全事件處理策略制定安全事件處置管理制度,明確安全事件的類型,規(guī)定安全事件的處理、事件報(bào)告和后期恢復(fù)的管理職責(zé);制定安全事件報(bào)告和相應(yīng)處理程序,確定事件的報(bào)告流程,響應(yīng)和處置的范圍、程度以及處理方法。第十九條應(yīng)急預(yù)案策略制定不同事件的應(yīng)急預(yù)案,應(yīng)急預(yù)案框架包括預(yù)案啟動(dòng)條件、處理流程、事后教育和學(xué)習(xí);從人力、設(shè)備、技術(shù)、財(cái)務(wù)方面確保滿足應(yīng)急預(yù)案執(zhí)行所需的資源;定期對應(yīng)急預(yù)案進(jìn)行演練,并根據(jù)不同預(yù)案確定演練周期;應(yīng)急預(yù)案定期進(jìn)行更新修改,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論