ImageVerifierCode 换一换
格式:DOC , 页数:16 ,大小:46.26KB ,
资源ID:3462331      下载积分:10 文钱
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,省得不是一点点
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenke99.com/d-3462331.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(三级等保项目安全治理规章制度方案信息项目安全治理策略.doc)为本站会员(小**)主动上传,文客久久仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文客久久(发送邮件至hr@wenke99.com或直接QQ联系客服),我们立即给予删除!

三级等保项目安全治理规章制度方案信息项目安全治理策略.doc

1、-_*主办部门:系统运维部 执 笔 人: 审 核 人:XXXXX信息安全管理策略 V0.1XXX-XXX-XX-010012014 年 3 月 17 日-_本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属 XXXXX 所有,受到有关产权及版权法保护。任何个人、机构未经 XXXXX 的书面授权许可,不得以任何方式复制或引用本文件的任何片断。文件版本信息版本 日期 拟稿和修改 说明V0.1 2014.3.17 拟稿文件版本信息说明记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文

2、件为草案,仅可作为参照资料之目的。阅送范围内部发送部门:综合部、系统运维部-_目 录第一章 总则 .1第二章 信息安全方针 .1第三章 信息安全策略 .2第四章 附则 .13-_第一章 总则第一条 为规范 XXXXX 信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据中华人民共和国计算机信息系统安全保护条例 、 信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008) 、 金融行业信息系统信息安全等级保护实施指引 (JR/T 00712012) 、 金融行业信息系统信息安全等级保护测评指南 (JR/T 00722012) ,并结

3、合 XXXXX 实际情况,特制定本策略。第二条 本策略为 XXXXX 信息安全管理的纲领性文件,明确提出 XXXXX 在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。第三条 网络与信息安全工作领导小组负责制定信息安全管理策略。第二章 信息安全方针第四条 XXXXX 的信息安全方针为:安全第一、综合防范、预防为主、持续改进。(一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;-_(二)综合防范:管理措施和技术措施并重,建立有效的识别和预防信息安全风险机制,合理

4、选择安全控制方式,使信息安全风险的发生概率降低到可接受水平;(三)预防为主:依据国家、行业监管机构相关规定和信息安全管理最佳实践,根据信息资产的重要性等级,对重要信息资产采取有效措施消除可能的隐患,降低信息安全事件的发生概率;(四)持续改进:建立全面覆盖信息安全各个管理域的,可度量的、可管理的管理机制,并在此基础上建立持续改进的体系框架,不断自我完善,为业务的平稳运行提供可靠的安全保障。第五条 XXXXX 信息安全管理的总体目标包括:(一)信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门的相关强制性规定、规则及适用的相关惯例、准则和协议;(二)确保信息系统能够持续、可靠、正常地运

5、行,为用户提供及时、稳定和高质量的信息技术服务并不断改进;(三)保护信息系统及数据的机密性、完整性和可用性,保证其不因偶然或者恶意侵犯而遭受破坏、更改及泄露。第三章 信息安全策略第六条 安全管理制度-_(一)应形成由管理规定、管理规范、操作流程等构成的全面的信息安全管理制度体系。(二)安全管理制度应具有统一的格式,并进行版本控制,通过正式有效的方式发布。(三)应定期对安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度进行修订。第七条 安全管理机构(一)信息安全管理工作实行统一领导、分级管理,建立网络与信息安全工作领导小组,指导信息安全管理工作,决策信息安全重大事宜。(二)设立系统安

6、全管理员、网络安全管理员、安全专员等岗位,并配备专职人员,实行 A、B 岗制度。(三)应加强内部之间,以及外部监管机构、公安机关、供应商和安全组织的合作与沟通。第八条 员工信息安全管理(一)公司应制定安全用工原则,尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。(二)信息技术总部应定期组织针对员工的信息安全培训,以增强安全意识、提高安全技能、明确安全职责,应对安全教育和培训的情况和结果进行记录并归档保存。(三)在岗位职责的描述中,应该阐明员工安全责任。-_(四)公司制定和落实各种有关信息系统安全的奖惩条例,处罚和奖励必须分明。第九条 第三方信息安全管理

7、(一)根据第三方所要访问的信息资产的等级及访问方式来进行风险评估,确定其安全风险。(二)根据风险评估的结果,采取适当的控制方法对第三方访问进行安全控制,保护公司信息资产的安全。(三)第三方对敏感的信息资产进行访问时,应签订保密协议或正式的合同。在协议及合同中应该明确第三方的安全责任和必须遵守的安全要求。(四)明确外包系统/软件开发的安全要求。(五)必须确保与第三方信息交换中各环节的安全。第十条 信息系统建设安全管理(一)在项目立项前,必须明确信息系统的安全等级、安全目标及所有的安全需求并文档化。安全需求的确定过程必须是成熟的、有效的。(二)必须通过对安全需求进行详细的分析,制定安全设计方案,明

8、确安全控制措施及所采取的安全技术。(三)根据设计方案的要求,对使用的软硬件产品进行选型和测试,最终确定具体采用的产品。-_(四)根据设计方案和选定的产品编制实施方案。在实施方案中必须考虑到实施过程中的风险,必须包含详细的项目实施计划、实施步骤、测试方案和风险应对措施。(五)应制定软件开发管理制度和代码编写安全规范,明确说明开发过程的控制方法和人员行为准则。(六)必须对实施过程进行安全管理,明确实施过程中各种活动的程序及职责,并形成文件。(七)应根据信息系统等级,在上线前完成信息系统安全防护措施的实施,包括基线设置等。同时还应建立必要的机制,保证能够对投产后的信息系统进行更新升级。(八)必须根据

9、验收流程,对系统进行必要的测试和评定。(九)系统下线必须按照严格的审批流程进行,确保系统下线不对 XXXXX 的安全生产和业务持续性产生影响,并同步进行系统数据的清除。第十一条 机房安全管理(一)机房建设必须符合国家标准电子计算机机房设计规范(GB50174-2008) 和电子计算机机房施工及验收规范(GB50462-2008) 。(二)依据信息资产的安全等级、设备对场地环境的要求、易管理性等,合理划分机房区域,针对不同区域实施不同的安全保护措施,确保所有设备及介质的安全。-_(三)由专人负责机房环境的日常维护、监控、报警和故障处理工作。根据公司实际情况,建立机房值班制度。(四)制定机房以及机

10、房内不同区域的出入管理规定,明确门禁管理、设备出入、人员出入(包括第三方) 、出入审批、进出日志记录保留和审核等工作的管理要求和流程。(五)制定有关机房工作守则,规范人员在机房内的行为。(六)对于机房内的文档资料应固定存放在带锁或密码的专业文件柜中,由专人妥善保管并设置相应清单。第十二条 信息资产管理(一)应对公司信息资产进行登记,建立资产清单,并指定其安全责任人。该责任人需负责贯彻及监督相关安全策略、安全规范、安全技术标准的实施。(二)根据机密性、完整性和可用性要求对信息资产进行分类分级,确定不同级别信息资产在其生命周期内的保护要求。(三)必须明确信息资产访问控制原则,并建立信息资产访问的授

11、权机制。 第十三条 介质管理(一)公司对介质的存放环境、标识、使用、维护、运输、交接和销毁等方面做出规定,有介质的归档和访问记录,并对存档介质的目录清单定期盘点。-_(二)存储介质的管理同信息资产管理相一致,根据所承载数据和软件的重要程度对介质进行分类分级管理。(三)针对存放数据的存储介质应达到国家标准要求,进行标识和定期抽检。(四)需要长期存放的存储介质,应该在介质有效期内进行转存;明确数据转存的程序与职责。(五)应设立同城异地存放备份数据的场所。异地存放备份数据的场所应该具备防盗、防水、防火设施和一定的抗震能力。第十四条 监控管理(一)应对通信线路、网络设备、主机和应用软件的运行状况、网络流量、用户行为等进行监测和报警。(二)应定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,发现重大隐患和运行事故应及时协调解决,并报上安全相关部门。(三)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。第十五条 网络安全管理(一)指定专人对网络进行管理,负责日常的网络维护和报警信息处理工作。(二)制定网络访问控制机制,网络访问控制策略以“除明确允许执行情况外必须禁止”为原则。

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。