信息安全总体方针VIP专享VIP免费

xxx单位信息安全总体方针制定：审核：批准：xxx单位信息中心二〇一五年三月第1页共5页第一章总则第一条为规范xxx单位信息系统的信息安全管理，促进信息安全工作体系化、规范化，提高信息和网络服务质量，提高信息系统管理人员、使用人员的整体安全素质和水平，特制定本方针。本方针目标是为xxx单位信息安全管理提供清晰的策略方向，阐明信息安全建设和管理的重要原则，阐明信息安全建设和管理所需的支持和承诺。第二条本方针是指导xxx单位信息安全工作的基本依据，信息安全相关人员依据本方针，并根据工作实际情况，制定并遵守相应的安全标准、流程和安全制度及其实施细则，做好信息安全管理工作。第三条信息安全是xxx单位信息系统管理工作的重要内容。xxx单位管理层非常重视，大力支持信息安全工作，并给予所需的人力物力资源。第四条本方针的适用人员包括所有与xxx单位信息系统各方面相关联的人员，它适用于全部员工，集成商，软件开发商，产品提供商，顾问，临时工和使用xxx单位信息系统的其他第三方。第五条本方针适用范围包括xxx单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境。第六条本方针主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规和相关标准。第二章信息安全管理的主要原则第七条管理与技术并重原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视管理，不断完善信息安全管理制度与管理规程，全面提高信息安全管理水平。第八条全过程原则：信息安全是一个系统工程，应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则。第九条风险管理和风险控制原则：应进行信息安全风险管理和风险控制将信息安全风险减低、控制在可以接受的程度内，并将其带来的危害最小化。第2页共5页第十条分级保护原则：应根据信息资产的重要程度以及面临的风险大小等因素确定各类信息资产的安全保护级别。第十一条统一规划、分级管理原则：信息安全管理遵循统一规划、分级管理的原则。上级主管部门信息安全领导小组负责对xxx单位信息安全管理工作进行统一规划，各级单位（部门）在上级主管部门信息安全领导小组的领导与监督下，负责本单位（部门）的信息安全管理工作。第十二条平衡原则：在xxx单位信息安全管理过程中，应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。第十三条动态管理原则：在xxx单位信息安全管理过程中，应遵循动态管理原则，针对信息系统环境的变动情况及时调整管理办法。第三章信息安全管理组织与职责第十四条建立和健全信息安全管理组织，设立由高层领导组成的信息安全领导小组，对于信息安全方面的重大问题做出决策，支持并推动信息安全管理工作在整个xxx单位范围内的实施。第十五条xxx单位信息系统应该设置相应的信息安全管理机构，在信息安全领导小组的领导下，负责xxx单位的信息安全管理工作。第十六条xxx单位信息安全管理机构职责如下：1)根据本方针制定信息系统的信息安全管理制度、管理标准规范和执行程序；2)组织和监督信息安全工作的贯彻和实施；3)考核和检查信息系统的安全管理情况，定期进行安全风险评估，并对出现的安全问题提出解决方案；4)负责安全管理员的选用和监督；5)参与信息系统新工程建设和新业务开展的方案论证，并提出相应的安全方面的建议；6)在信息系统工程验收时，对信息安全方面的验收测试方案进行审查第3页共5页并参与验收。第四章信息系统安全运行管理第十七条信息资产鉴别和分类是整个xxx单位信息安全管理工作的基础。第十八条制定信息资产鉴别和分类制度，鉴别信息资产的价值和等级，建立并维护信息资产清单。第十九条建立机密信息分类方法和制度，根据机密程度和重要程度对数据和信息进行分类管理。第二十条安全运行管理是整个信息安全管理工作的日常体现和执行环节。应该在本方针的指导下，建立并执行信息安全管理制度与信息安全操作规程。第二十一条定期开展信息安全风险评估工作，通过对整个信息系统进行信息安全风险评估，确定信息系统所存在的安...