上海海关学院信息安全管理方针1 总则第一条 【目的】本文件为上海海关学院(以下简称:海关学院)信息安全管理的纲领性文件,明确提出海关学院在信息安全管理方面的工作要求,指导信息安全管理工作。信息安全管理方针是海关学院领导层对信息安全目标的具体表述,为信息安全管理制度文件提供指引,其它文件在制定时不得违反本文件中的规定或与信息安全策略发生抵触。以确保业务系统安全、稳定和可靠的运行,提升信息化服务质量,不断推动信息安全工作的健康进展。第二条 【依据】结合和参考《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法 试行》、《信息安全技术信息系统安全等级保护基本要求》(GB/T22239—2024)等制定相关管理法律规范,并落实符合海关学院系统安全保护等级要求和管理方针.第三条 【范围】本文件适用于海关学院与信息安全相关的各项活动。2 信息安全组织策略第四条 建立针对内部组织和外部组织的安全策略,促进海关学院建立合理的信息安全管理组织机构与功能,以协调、监控信息安全目标的实现。第五条 信息安全组织策略一(内部建立信息安全管理架构)。1. 策略目标实现在海关学院内部有效地管理信息安全.2. 策略内容建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。3. 策略描述通过建立信息安全管理组织,启动和控制海关学院范围内信息安全工作的实施,批准信息安全方针与策略,确定信息安全管理人员和职责分工,协调整个信息安全管理制度的推行和落实。根据需要,还应建立与外部安全专家或组织的联系,方便跟踪行业趋势,学习各类先进的标准和评估方法。第六条 信息安全组织策略二(对访问海关学院信息资产的外部组织进行严格管理)。1. 策略目标确保被外部组织访问的信息资产得到有效安全防护.2. 策略内容海关学院信息处理设施和信息资产的安全性不应由于客户、第三方等外部组织的访问或由于引入外部产品或服务而降低.当任何外部组织需要对内部信息处理设施进行访问、对信息资产进行处理时,内部相应接口部门应与外部组织签订协议,并实行有效措施进行安全控制。3. 策略描述将不可避开地需要与外界进行业务往来与信息沟通,常常需要向外部组织开放其信息资产和信息处理设施。因此,需要对由于外部组织访问而带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订协议,向其声明信息安全方针与策略,确定所需的安全控制措施。3 资产安全管理策略第七条 为有...
