三级等保,安全管理制度,信息安全管理策略VIP专享VIP免费

*主办部门：系统运维部执笔人：审核人：XXXXX信息安全管理策略V0.1XXX-XXX-XX-010012014年3月17日[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]文件版本信息版本日期拟稿和修改说明V0.12014.3.17拟稿文件版本信息说明记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。阅送范围内部发送部门：综合部、系统运维部目录第一章总则....................................................1第二章信息安全方针............................................1第三章信息安全策略............................................2第四章附则...................................................13第一章总则第一条为规范XXXXX信息安全系统，确保业务系统安全、稳定和可靠的运行，提升服务质量，不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《金融行业信息系统信息安全等级保护实施指引》（JR/T0071—2012）、《金融行业信息系统信息安全等级保护测评指南》（JR/T0072—2012），并结合XXXXX实际情况，特制定本策略。第二条本策略为XXXXX信息安全管理的纲领性文件，明确提出XXXXX在信息安全管理方面的工作要求，指导信息安全管理工作。为信息安全管理制度文件提供指引，其它信息安全相关文件在制定时不得违背本策略中的规定。第三条网络与信息安全工作领导小组负责制定信息安全管理策略。第二章信息安全方针第四条XXXXX的信息安全方针为：安全第一、综合防范、预防为主、持续改进。（一）安全第一：信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务；1（二）综合防范：管理措施和技术措施并重，建立有效的识别和预防信息安全风险机制，合理选择安全控制方式，使信息安全风险的发生概率降低到可接受水平；（三）预防为主：依据国家、行业监管机构相关规定和信息安全管理最佳实践，根据信息资产的重要性等级，对重要信息资产采取有效措施消除可能的隐患，降低信息安全事件的发生概率；（四）持续改进：建立全面覆盖信息安全各个管理域的，可度量的、可管理的管理机制，并在此基础上建立持续改进的体系框架，不断自我完善，为业务的平稳运行提供可靠的安全保障。第五条XXXXX信息安全管理的总体目标包括：（一）信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门的相关强制性规定、规则及适用的相关惯例、准则和协议；（二）确保信息系统能够持续、可靠、正常地运行，为用户提供及时、稳定和高质量的信息技术服务并不断改进；（三）保护信息系统及数据的机密性、完整性和可用性，保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章信息安全策略2第六条安全管理制度（一）应形成由管理规定、管理规范、操作流程等构成的全面的信息安全管理制度体系。（二）安全管理制度应具有统一的格式，并进行版本控制，通过正式有效的方式发布。（三）应定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。第七条安全管理机构（一）信息安全管理工作实行统一领导、分级管理，建立网络与信息安全工作领导小组，指导信息安全管理工作，决策信息安全重大事宜。（二）设立系统安全管理员、网络安全管理员、安全专员等岗位，并配备专职人员，实行A、B岗制度。（三）应加强内部之间，以及外部监管机构、公安机关、供应商和安全组织的合作与沟通。第八条员工信息安全管理（一）公司应制定安全用工原则，尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。3（二）信息技术总部应定期组织针对员工的信息安全培训，以增强安全意识、提高安全技能、明确安全职责，应对安全教育...