《网络信息组织安全制度.doc》由会员分享,可在线阅读,更多相关《网络信息组织安全制度.doc(3页珍藏版)》请在启牛文库网上搜索。
1、网络信息组织安全制度 6.1 组织内部安全 6.1.1 信息安全体系管理 第11条 公司成立安全管理委员会,安全管理委员会是公司信息安全管理的最高决策机构,安全管理委员会的成员应包括公司主要管理人、生产技术管理部负责人、公司安全审计负责人、公司计算机管理员、操作员等。 第12条 信息安全管理代表由信息安全管理委员会指定,一般应包含安全稽核岗、信息管理部信息安全相关岗位。 第13条 安全管理委员会通过清晰的方向、可见的承诺、详细的分工,积极地支持信息安全工作,主要包括以下几方面: 1)确定信息安全的目标符合公司的要求和相关制度; 2)阐明、复查和批准信息安全管理制度; 3)复查信息安全管理制度执
2、行的有效性; 4)为信息安全的执行提供明确的指导和有效的支持; 5)提供信息安全体系运作所需要的资源 6)为信息安全在公司执行定义明确的角色和职责; 7)批准信息安全推广和培训的计划和程序; 8)确保信息安全控制措施在公司内被有效的执行。 第14条 安全管理委员会需要对内部或外部信息安全专家的建议进行评估,并检查和调整建议在公司内执行的结果。 第15条 必须举行信息安全管理会议,会议成员包括安全管理委员会、安全管理代表和其他相关的公司高层管理人员。 第16条 信息安全管理会议必须每年定期举行,讨论和审批信息安全相关事宜,具体包括以下内容: 1)复审本管理制度的有效性;2)复审技术变更带来的影响
3、; 3)复审安全风险; 4)审批信息安全措施及程序; 5)审批信息安全建议; 6)确保任何新项目规划已考虑信息安全的需求; 7)复审安全检查结果和安全事故报告; 8)复审安全控制实施的效果和影响; 9)宣导和推行公司高层对信息安全管理的指示。 6.1.2 信息安全职责分配 第17条 信息管理部门作为信息安全管理部门,负责信息安全管理策略制定及实施,其主要职责: (一)负责全公司信息安全管理和指导; (二)牵头制订全公司信息安全体系规范、标准和检查指引,参与我司信息系统工程建设的安全规划; (三)组织全公司安全检查; (四)配合全公司安全审计工作的开展; (五)牵头组织全公司安全管理培训; (六
4、)负责全公司安全方案的审核和安全产品的选型、购臵。 (七)依据本规定、安全规范、技术标准、操作手册实施各类安全策略。 (八)负责各类安全策略的日常维护和管理。 第18条 各分公司信息管理部门作为信息安全管理部门,其主要职责: (一)根据本规定、信息安全体系规范、标准和检查指引,组织建立安全管理流程、手册; (二)组织实施内部安全检查; (三)组织安全培训; (四)负责机密信息和机密资源的安全管理; (五)负责安全技术产品的使用、维护、升级; (六)配合安全审计工作的开展; (七)定期上报本单位信息系统安全情况,反馈安全技术和管理的意见和建议。 (八)依据本规定、安全规范、技术标准、操作手册实施
5、各类安全策略。 (九)负责各类安全策略的日常维护和管理。 6.1.3 信息处理设备的授权 第19条 新设备的采购和设备部署的审批流程应该充分考虑信息安全的要求。 第20条 新设备在部署和使用之前,必须明确其用途和使用范围,并获得安全管理委员会的批准。必须对新设备的硬件和软件系统进行详细检查,以确保它们的安全性和兼容性。 第21条 除非获得安全管理委员会的授权,否则不允许使用私人的信息处理设备来处理公司业务信息或使用公司资源。 6.1.4 独立的信息安全审核 第22条 必须对公司信息安全控制措施的实施情况进行独立地审核,确保公司的信息安全控制措施符合管理制度的要求。审核工作应由公司的审计部门或专
6、门提供此类服务的第三方组织负责执行。负责安全审核的人员必须具备相应的技能和经验。 第23条 独立的信息安全审核必须每年至少进行一次。 6.2 第三方访问的安全性 6.2.1 明确第三方访问的风险 第24条 必须对第三方对公司信息或信息系统的访问进行风险评估,并进行严格控制,相关控制须考虑物理上和逻辑上访问的安全风险。只有在风险被消除或降低到可接受的水平时才允许其访问。 第25条 第三方包括但不限于: 1) 硬件和软件厂商的支持人员和其他外包商 2) 监管机构、外部顾问、外部审计机构和合作伙伴 3) 临时员工、实习生 4) 清洁工和保安 5) 公司的客户 第26条 第三方对公司信息或信息系统的访
7、问类型包括但不限于: 1) 物理的访问,例如:访问公司机房、监控中心等; 2) 逻辑的访问,例如:访问公司的数据库、信息系统等; 3) 与第三方之间的网络连接,例如:固定的连接、临时的远程连接; 第27条 第三方所有的访问申请都必须经过信息安全管理代表的审批,只提供其工作所须的最小权限和满足其工作所需的最少资源,并且需要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必须有相关人员陪同。 第28条 公司负责与第三方沟通的人员必须在第三方接触公司信息或信息系统前,主动告知第三方的职责、义务和需要遵守的规定,第三方必须在清楚并同意后才能接触相应信息或信息系统。所有对第三方的安全要求必须包含在与其签订的合约中。 6.2.2 当与客户接触时强调信息安全 第29条 必须在允许客户访问信息或信息系统前识别并告知其需要遵守的安全需求。采取相应的保护措施保护客户访问的信息或信息系统。 6.2.3 与第三方签订合约的安全要求 第30条 与第三方合约中应包含必要的安全要求,如:访问、处理、管理公司信息或信息系统的安全要求。