信息安全管理制度第一章 总则第一条 为了建立、健全的信息安全管理制度,根据相关的国家标准,确定信息安全方针和目标,对信息安全风险进行有效管理,确保全体员工理解并遵照信息安全管理制度的相关规定执行,改进信息安全管理制度的有效性,特制定信息安全策略文档。第二条 本文档适用于公司信息安全管理活动.第二章 信息安全范围第三条 信息安全策略涉及的范围包括:1.单位全体员工.2.单位所有业务系统.3.单位现有信息资产,包括与上述业务系统相关的数据、硬件、软件、服务及文档等。4.单位办公场所和上述信息资产所处的物理位置.第三章 信息安全总体目标第一条 通过建立健全单位各项信息安全管理制度、加强单位员工的信息安全培训和教育工作,制定适合单位的风险控制措施,有效控制信息系统面临的安全风险,保障信息系统的正常稳定运行。第四章信息安全方针第一条 单位主管领导定期组织相关人员召开信息安全会议,对有关的信息安全重大问题做出决策。第二条 清楚识别所有资产,实施等级标记,对资产进行分级、分类管理,并编制和维护所有重要资产的清单.第三条 综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全,并加强对外单位人员访问信息系统的控制.降低系统被非法入侵的风险。第四条 启动服务器操作系统、网络设备、安全设备、应用软件的日志功能,定期进行审计并作相应的记录.第五条 明确全体员工的信息安全责任,所有员工必须接受信息安全教育培训,提高信息安全意识。针对不同岗位,制定不同等级培训计划,并定期对各个岗位人员进行安全技能及安全认知考核。第六条 建立安全事件报告、事故应答和分类机制,确定报告可疑的和发生的信息安全事故的流程,并使所有的员工和相关方都能理解和执行事故处理流程,同时妥善保存安全事件的相关记录与证据。第七条 对用户权限和口令进行严格管理,防止对信息系统的非法访问.第八条 制定完善的数据备份策略,对重要数据进行备份。数据备份定期进行还原测试,备份介质与原信息所在场所应保持安全距离。第九条 与外单位的外包(服务)合同应明确规定合同参加方的安全要求、安全责任和安全规定等相关安全内容,并实行相应措施严格保证对协议安全内容的执行。第十条 在开发新业务系统时,应充分考虑相关的安全需求,并严格控制对项目相关文件和源代码等敏感数据的访问。第十一条定期对信息系统进行风险评估,并根据风险评估的结果实行相应措施进行风险控...
