版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、企業(yè)安全管理制度的管理標(biāo)準(zhǔn)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc64981593 1引言 PAGEREF _Toc64981593 h 4 HYPERLINK l _Toc64981594 2規(guī)范性引用文件 PAGEREF _Toc64981594 h 4 HYPERLINK l _Toc64981595 3目標(biāo) PAGEREF _Toc64981595 h 4 HYPERLINK l _Toc64981596 4術(shù)語和定義 PAGEREF _Toc64981596 h 5 HYPERLINK l _Toc64981597 5 總體方針 PAGEREF _To
2、c64981597 h 5 HYPERLINK l _Toc64981598 第一章 組織與體制 PAGEREF _Toc64981598 h 5 HYPERLINK l _Toc64981599 第二章 遵守法令法規(guī) PAGEREF _Toc64981599 h 6 HYPERLINK l _Toc64981600 第三章 信息資產(chǎn)的分類與管理 PAGEREF _Toc64981600 h 6 HYPERLINK l _Toc64981601 第四章 培訓(xùn)與教育 PAGEREF _Toc64981601 h 6 HYPERLINK l _Toc64981602 第五章 物理性保護(hù) PAGER
3、EF _Toc64981602 h 6 HYPERLINK l _Toc64981603 第六章 技術(shù)性保護(hù) PAGEREF _Toc64981603 h 6 HYPERLINK l _Toc64981604 第七章 運(yùn)用 PAGEREF _Toc64981604 h 6 HYPERLINK l _Toc64981605 第八章 評價及復(fù)審 PAGEREF _Toc64981605 h 6 HYPERLINK l _Toc64981606 6 安全策略 PAGEREF _Toc64981606 h 7 HYPERLINK l _Toc64981607 第一章 安全管理機(jī)構(gòu) PAGEREF _T
4、oc64981607 h 7 HYPERLINK l _Toc64981608 第二章 人員安全管理 PAGEREF _Toc64981608 h 7 HYPERLINK l _Toc64981609 第三章 標(biāo)準(zhǔn)化管理 PAGEREF _Toc64981609 h 7 HYPERLINK l _Toc64981610 第四章 系統(tǒng)建設(shè)管理 PAGEREF _Toc64981610 h 8 HYPERLINK l _Toc64981611 第五章 系統(tǒng)運(yùn)維管理 PAGEREF _Toc64981611 h 8 HYPERLINK l _Toc64981612 第六章 物理安全 PAGEREF
5、_Toc64981612 h 8 HYPERLINK l _Toc64981613 第七章 網(wǎng)絡(luò)安全 PAGEREF _Toc64981613 h 9 HYPERLINK l _Toc64981614 第八章 主機(jī)安全 PAGEREF _Toc64981614 h 9 HYPERLINK l _Toc64981615 第九章 應(yīng)用安全 PAGEREF _Toc64981615 h 9 HYPERLINK l _Toc64981616 第十章 數(shù)據(jù)安全及備份恢復(fù) PAGEREF _Toc64981616 h 10 HYPERLINK l _Toc64981617 第十一章 應(yīng)急計劃 PAGERE
6、F _Toc64981617 h 10 HYPERLINK l _Toc64981618 7 職責(zé)分工 PAGEREF _Toc64981618 h 10 HYPERLINK l _Toc64981619 8 制度與發(fā)布 PAGEREF _Toc64981619 h 11 HYPERLINK l _Toc64981620 9 評審和修訂 PAGEREF _Toc64981620 h 11 HYPERLINK l _Toc64981621 10 附 則 PAGEREF _Toc64981621 h 121引言本標(biāo)準(zhǔn)闡述了信息通信分公司(以下簡稱“公司”)在信息安全管理制度方面的基本任務(wù)和管理原則
7、,確定了公司在信息安全管理制度方面的職責(zé)和義務(wù),明確了公司信息安全管理制度在編寫、制定和發(fā)布、評審和修訂等過程中應(yīng)遵守的原則與工作方式及流程。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件,其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)(不包括勘誤、通知單),然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件,其最新版本適用于本標(biāo)準(zhǔn)信息安全技術(shù) 信息系統(tǒng)安全保障評估框架(GB/T 20274.1-2006)信息安全技術(shù) 信息系統(tǒng)安全管理要求(GB/T 20269-2006 )信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求(
8、GBT 22239-2008)本標(biāo)準(zhǔn)未涉及的管理內(nèi)容,參照國家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行。3目標(biāo)總體目標(biāo):為貫徹執(zhí)行國家、地方和本行業(yè)有關(guān)信息化建設(shè)的方針政策,有效保障公司信息系統(tǒng)正常運(yùn)行。公司信息系統(tǒng)管理的規(guī)范化、程序化、制度化,進(jìn)一步提高管理制度的體系化和制定發(fā)布流程的標(biāo)準(zhǔn)化,特制定本制度。為更好的適應(yīng)公司的企業(yè)文化,本標(biāo)準(zhǔn)參照南方電網(wǎng)信息安全管理制度的相關(guān)要求,并借鑒了國內(nèi)外流行標(biāo)準(zhǔn)。具體建設(shè)目標(biāo):1)建立完整的信息安全管理體系和組織機(jī)構(gòu),提高信息安全管理的能力,完善各項業(yè)務(wù)和管理過程中的信息安全措施,確保信息安全管理正規(guī)有序。2)建立完整的信息安全運(yùn)行體系,實現(xiàn)網(wǎng)絡(luò)系
9、統(tǒng)安全系統(tǒng)的集中管理和透明化監(jiān)控,提高對突發(fā)事件的應(yīng)急響應(yīng)處理能力,保證關(guān)鍵業(yè)務(wù)應(yīng)用運(yùn)行的可用性、可依賴性以及故障恢復(fù)能力。4術(shù)語和定義本標(biāo)準(zhǔn)采用以下術(shù)語和定義。制度:對流程具體實施辦法的解釋,規(guī)定必須的關(guān)鍵因素,指明各類表單的填寫要求等。流程:一個輸入到輸出的過程,一般以流程圖表示,標(biāo)識關(guān)鍵環(huán)節(jié)和關(guān)鍵步驟,明確職責(zé)分工;表單:對每個關(guān)鍵環(huán)節(jié)進(jìn)行控制的過程文檔,表單文件閉環(huán)后作為檔案文件進(jìn)行管理。5 總體方針第一章 組織與體制構(gòu)筑確保信息安全所必需的組織與體制,明確其責(zé)任與權(quán)限。第二章 遵守法令法規(guī)遵守與信息安全有關(guān)的法令法規(guī),制定并遵守按基本方針?biāo)贫ǖ男畔踩嚓P(guān)的規(guī)定。第三章 信息資產(chǎn)的
10、分類與管理按照重要級別信息資產(chǎn)進(jìn)行分類,并妥善管理。第四章 培訓(xùn)與教育為使相關(guān)人員全面了解信息安全的重要性,適當(dāng)開展針對性培訓(xùn)與教育教育活動。使他們充分認(rèn)識信息安全的重要性以及掌握正確的管理方法。第五章 物理性保護(hù)為避免非法入侵、干擾及破壞信息資產(chǎn)等事故的發(fā)生,對其保管場所與保管辦法加以明確。第六章 技術(shù)性保護(hù)為切實保護(hù)信息資產(chǎn)不受來自外部的非法入侵,對信息系統(tǒng)的登錄方法、使用限制、網(wǎng)絡(luò)管理等采取適當(dāng)?shù)拇胧?。第七?運(yùn)用為確保基本方針的實際成效,在對遵守情況進(jìn)行監(jiān)督的同時,對違反基本方針時的處置辦法及針對來自外部的非法入侵等緊急事態(tài)采取的應(yīng)對措施等加以規(guī)定。第八章 評價及復(fù)審隨著社會環(huán)境的變化
11、、技術(shù)的進(jìn)步等,應(yīng)定期對基本方針與運(yùn)用方式進(jìn)行評價與復(fù)審。6 安全策略第一章 安全管理機(jī)構(gòu)建立組織管理體系是為了建立自上而下的信息安全工作管理體系,確定安全管理組織機(jī)構(gòu)的職責(zé),統(tǒng)籌規(guī)劃、專家決策,以推動信息安全工作的開展。公司成立信息安全領(lǐng)導(dǎo)小組,是信息安全的最高決策機(jī)構(gòu),負(fù)責(zé)研究重大事件,落實方針政策,制定實施策略和原則,開展安全普及教育等。下設(shè)辦公室掛靠在公司信息中心,負(fù)責(zé)信息安全領(lǐng)導(dǎo)小組的日常事務(wù)。信息安全領(lǐng)導(dǎo)小組下設(shè)兩個工作組:信息安全工作組、應(yīng)急處理工作組。第二章 人員安全管理通過建立安全崗位責(zé)任制,最大限度降低人為失誤所造成的風(fēng)險。人是決定性因素,人員安全管理的原則是:職責(zé)分離、有
12、限授權(quán)、相互制約、任期審計。人員安全管理的要素包括:安全管理人員配備、信息系統(tǒng)關(guān)鍵崗位、人員錄用、人員離崗、人員考核與審查、第三方人員管理等。信息安全人員的配備和變更情況,應(yīng)向上一級單位報告、備案。信息安全人員調(diào)離崗位,必須嚴(yán)格辦理調(diào)離手續(xù),承諾其調(diào)離后的保密義務(wù)。涉及業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位,必須進(jìn)行離崗審計,并在規(guī)定的脫密期后,方可調(diào)離。第三章 標(biāo)準(zhǔn)化管理應(yīng)通過公司信息系統(tǒng)內(nèi)部業(yè)務(wù)處理、操作流程、信息系統(tǒng)管理和技術(shù)等一系列標(biāo)準(zhǔn)化和規(guī)范化的過程,應(yīng)根據(jù)系統(tǒng)的安全等級,依照國家相關(guān)法律法規(guī)及政策標(biāo)準(zhǔn),建立信息安全的各項管理規(guī)范和技術(shù)標(biāo)準(zhǔn),規(guī)范基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和網(wǎng)絡(luò)平臺建設(shè)、應(yīng)用系統(tǒng)
13、開發(fā)、運(yùn)行管理等重要環(huán)節(jié),奠定信息安全的基礎(chǔ)。第四章 系統(tǒng)建設(shè)管理信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個生命周期,系統(tǒng)建設(shè)管理主要關(guān)注的是生命周期中的前三個階段(初始、采購、實施)中各項安全管理活動。系統(tǒng)建設(shè)管理分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮,具體包括系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商選擇十一個控制點(diǎn)。第五章 系統(tǒng)運(yùn)維管理目的是保障信息系統(tǒng)日常運(yùn)行的安全穩(wěn)定,對運(yùn)行環(huán)境、技術(shù)支持、操作使用、病毒防范、備份措施、文檔建立等全方位管理。包括用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服
14、務(wù)管理、有關(guān)安全機(jī)制保障、安全管理控制平臺等方面的管理要素。對運(yùn)行過程的任何變化,數(shù)據(jù)、軟件、物理設(shè)置等,都應(yīng)實施技術(shù)監(jiān)控和管理手段以確保其完整性,防止信息非法復(fù)制、篡改,任何查詢和變更操作需經(jīng)過授權(quán)和合法性驗證。應(yīng)急管理也是運(yùn)維的重要內(nèi)容,目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或災(zāi)難,建立一整套應(yīng)急措施,以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計劃、應(yīng)急計劃的實施保障等管理要素。在公司統(tǒng)一的應(yīng)急規(guī)劃下,針對信息系統(tǒng)面臨的各種應(yīng)急場景編制相應(yīng)的應(yīng)急預(yù)案,并經(jīng)過測試演練修訂,同時宣傳普及。第六章 物理安全目的是保護(hù)計算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及信息系統(tǒng)免遭自
15、然災(zāi)害和其他形式的破壞,保證信息系統(tǒng)的實體安全。有關(guān)物理環(huán)境的選址和設(shè)計應(yīng)遵照相關(guān)標(biāo)準(zhǔn),配備防火、防水、防雷擊、防靜電、防鼠害等機(jī)房措施,維持系統(tǒng)不間斷運(yùn)行能力,確保信息系統(tǒng)運(yùn)行的安全可靠。對重要安全設(shè)備的選擇,需符合國家相關(guān)標(biāo)準(zhǔn)規(guī)范,相關(guān)證書齊全。嚴(yán)格確定設(shè)備的合法使用人,建立詳細(xì)運(yùn)行日志和維護(hù)記錄。第七章 網(wǎng)絡(luò)安全目的是有效防范網(wǎng)絡(luò)體系的安全風(fēng)險,為業(yè)務(wù)應(yīng)用系統(tǒng)提供安全、可靠、穩(wěn)定的網(wǎng)絡(luò)管理和技術(shù)平臺。對于依賴網(wǎng)絡(luò)架構(gòu)安全的業(yè)務(wù)應(yīng)用系統(tǒng),需根據(jù)其安全級別,實施相應(yīng)的訪問控制、身份認(rèn)證、審計等安全服務(wù)機(jī)制;在網(wǎng)絡(luò)邊界處,需根據(jù)資源的保護(hù)等級,實施相應(yīng)安全級別的防火墻、認(rèn)證、審計、動態(tài)檢測等技
16、術(shù),防范信息資源的非法訪問、篡改和破壞。第八章 主機(jī)安全主機(jī)安全包括服務(wù)器、終端/工作站等在內(nèi)的計算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺式機(jī)與筆記本計算機(jī),服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、web、文件與通信等服務(wù)器。主機(jī)承載著各種應(yīng)用,是保護(hù)信息安全的中堅力量。主機(jī)安全需著重關(guān)注和加強(qiáng)身份鑒別、訪問控制、惡意代碼防范、安全審計、入侵防范幾個方面,同時定期或不定期的進(jìn)行安全評估(含滲透性測試)和加固,實時確保主機(jī)的健壯性。第九章 應(yīng)用安全應(yīng)用安全成是信息系統(tǒng)整體防御的最后一道防線,目的是保障業(yè)務(wù)應(yīng)用系統(tǒng)開發(fā)過程及最終產(chǎn)品的安全性。在應(yīng)用層面運(yùn)行著信息系統(tǒng)的基于網(wǎng)絡(luò)的應(yīng)用以
17、及特定業(yè)務(wù)應(yīng)用。基于網(wǎng)絡(luò)的應(yīng)用是形成其他應(yīng)用的基礎(chǔ),是基本的應(yīng)用;業(yè)務(wù)應(yīng)用采納基本應(yīng)用的功能以滿足特定業(yè)務(wù)的要求;故最終是保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序的安全運(yùn)行。應(yīng)用系統(tǒng)的總體需求計劃階段,應(yīng)全面評估系統(tǒng)的安全風(fēng)險,確定系統(tǒng)的訪問控制、身份認(rèn)證、審計跟蹤等安全需求;總體架構(gòu)設(shè)計階段,應(yīng)實施安全需求設(shè)計,確立安全服務(wù)機(jī)制、開發(fā)人員技術(shù)要求和操作規(guī)程;應(yīng)用系統(tǒng)的實現(xiàn)階段,應(yīng)全程實施質(zhì)量控制,防止程序后門,減少代碼漏洞;在上線運(yùn)行之前,應(yīng)充分進(jìn)行局部功能、整體功能、壓力測試,以及系統(tǒng)安全性能、操作流程、應(yīng)急方案的測試。第十章 數(shù)據(jù)安全及備份恢復(fù)信息系統(tǒng)處理的各種數(shù)據(jù)(用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等)在
18、維持系統(tǒng)正常運(yùn)行上起著至關(guān)重要的作用。由于信息系統(tǒng)的各個層面(網(wǎng)絡(luò)、主機(jī)、應(yīng)用等)都對各類數(shù)據(jù)進(jìn)行傳輸、存儲和處理等,因此,對數(shù)據(jù)的保護(hù)需要物理環(huán)境、網(wǎng)絡(luò)、數(shù)據(jù)庫和操作系統(tǒng)、應(yīng)用程序等提供支持。數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復(fù)的重要手段,而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容。第十一章 應(yīng)急計劃目的是分析信息系統(tǒng)可能出現(xiàn)的緊急事件或災(zāi)難,建立一整套應(yīng)急措施,以保障核心業(yè)務(wù)的快速恢復(fù)和持續(xù)穩(wěn)定運(yùn)行。應(yīng)急計劃包括應(yīng)急處理和災(zāi)難恢復(fù)策略、應(yīng)急計劃、應(yīng)急計劃的實施保障等管理要素。在公司統(tǒng)一的應(yīng)急規(guī)劃下,針對信息系統(tǒng)面臨的各種應(yīng)急場景編制相應(yīng)的應(yīng)急預(yù)案,并經(jīng)過測試演練修訂,同時宣傳普及。7 職責(zé)分工
19、a) 信息安全領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)小組是信息安全的最高決策機(jī)構(gòu),批準(zhǔn)公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn); 確定公司信息安全各有關(guān)部門工作職責(zé),指導(dǎo)、監(jiān)督信息安全工作。b) 信息安全工作組貫徹執(zhí)行公司信息安全領(lǐng)導(dǎo)小組的決議,協(xié)調(diào)和規(guī)范公司信息安全工作;組織有關(guān)人員進(jìn)行信息安全制度類文件的編制(包括成立編制小組)、評審、修訂、發(fā)布、控制,并監(jiān)督執(zhí)行。c) 信息安全管理人員信息安全管理人員負(fù)責(zé)信息安全管理的日常工作;開展信息安全知識的培訓(xùn)和宣傳工作,開展信息安全檢查工作,對要害崗位人員安全工作進(jìn)行指導(dǎo)和監(jiān)督;維護(hù)和審查有關(guān)安全審計記錄,及時發(fā)現(xiàn)存在問題,提出安全風(fēng)險防范對策;及時向信息安全工作領(lǐng)導(dǎo)小組和有關(guān)部門、單位報告信息安全事件;并負(fù)責(zé)信息安全制度類文件的歸檔、保管。8 制度與發(fā)布信息安全
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 臍帶脫垂的健康宣教
- 【大學(xué)課件】計算機(jī)網(wǎng)絡(luò)的安全
- 【培訓(xùn)課件】貨物貿(mào)易收支管理
- 兒童地包天的健康宣教
- 色素性蕁麻疹的臨床護(hù)理
- 非免疫性胎兒水腫的健康宣教
- 泌尿系腫瘤的臨床護(hù)理
- 皮膚纖維瘤的臨床護(hù)理
- 宮頸妊娠的健康宣教
- 2021年森馬服飾分析報告
- 2024年云南省昆明滇中新區(qū)公開招聘20人歷年(高頻重點(diǎn)復(fù)習(xí)提升訓(xùn)練)共500題附帶答案詳解
- 創(chuàng)新創(chuàng)業(yè)創(chuàng)造:職場競爭力密鑰智慧樹知到期末考試答案章節(jié)答案2024年上海對外經(jīng)貿(mào)大學(xué)
- 醫(yī)院檢驗科實驗室生物安全程序文件SOP
- 河北省石家莊市各縣區(qū)鄉(xiāng)鎮(zhèn)行政村居民村民委員會明細(xì)
- 送給蛤蟆的禮物PPT課件
- 電活性聚合物5.7
- 物業(yè)人必看的一部電影
- 《關(guān)于街道政務(wù)服務(wù)中心工作總結(jié)及工作計劃》
- 抽油煙機(jī)及排煙系統(tǒng)清洗記錄表
- MRPERP基本原理
- 酒吧人員配置與管理
評論
0/150
提交評論