第一章总 则第一条 为法律规范公司项目管理过程的信息安全,明晰项目管理过程的信息安全中信息安全职责特制定本制度。第二条 本制度适用于公司 ISMS 体系的项目管理过程中信息安全的管理。第二章项目管理中的安全职责第三条 在项目管理中项目经理应承担如下责任:1) 分析公司及与项目相关的法律法规的信息安全需求及项目信息安全风险,在此基础上制定有针对性的风险处置计划。2) 对项目成员进行信息安全的培训。3) 对项目信息安全管理制度的执行进行监控并记录。4) 对安全问题进行定期汇报,并对信息安全事件进行及时上报。5) 进行持续的风险识别过程,根据实施过程中识别出的新的风险、发现的问题或变更对风险处置计划进行改进或更新。第四条 网络安全与信息化领导小组办公室应对项目经理拟定的风险处置计划进行审批,确保计划满足公司信息安全的需求。对整个项目的信息安全管理工作进行监控和指导。对安全事件及时上报,所有信息安全事件应第一时间上报到网络安全与信息化领导小组。第三章项目启动期信息安全第五条 分析安全需求及识别风险1) 项目经理根据项目的具体情况,分析项目的安全要求及相关风险。2) 项目经理负责识别信息安全风险,识别风险时应考虑: 风险发生可能带来的业务影响和后果。 风险发生的现实可能性。 资产的主要威胁、脆弱点和影响以及已经实施的安全控制措施。通过风险识别, 把相应风险记录到《风险评估列表&风险处置》第六条 制定风险处置计划项目经理根据可接受风险的准则推断是否可以接受,针对不可接受的风险制订相关的风险处置计划,经批准后执行,风险处置计划记录到《风险评估列表&风险处置》中。处置措施应考虑技术措施和管理措施。第七条 信息安全要求培训 项目经理必须对项目成员进行项目信息安全要求的培训,培训内容为项目的信息安全风险、注意事项及要求。维护类项目如有责任工程师,责任工程师必须参加培训。对于软件实施类项目,项目实施组成员必须参加培训。 对于持续时间较长的项目,项目信息安全要求培训至少每年一次。 项目成员包括供应方的项目人员。第四章项目实施阶段第八条 运行、评估、改进1) 项目组根据《信息安全风险评估与处置表》中风险处置措施内容开展风险管理活动,以达到安全控制的目标。2) 项目经理定期进行信息安全管理评估活动,确保: 安全管理活动按期望实施。 及时发现过程中的问题。 及时识别安全违规活动。 识别安全管理活动的有...
