信息安全策略.docx

精品资料，欢迎大家下载！
以上资料仅供参考，如有侵权，留言删除！
信息平安策略
批准人签字
审核人签字
制订人签字
精品资料，欢迎大家下载！
以上资料仅供参考，如有侵权，留言删除！
变更履历
序
号
必须
表示强制性的要求.
应当
好的做法所要到达的要求,条件允许就要实施.
可以
表示希望到达的要求.
引用文件
,其 随后所有的修改单〔不包括勘误的内容〕或修订版均不适用于本标准,然而,鼓励各部门研 ,其最新版本适用于本标准.
1〕 ISO/IEC 27001:2005 信息技术-平安技术-信息平安管理体系要求
精品资料，欢迎大家下载！
以上资料仅供参考，如有侵权，留言删除！
2) ISO/IEC 17799:2005 信息技术-平安技术-信息平安管理实施细那么
责任和权限
信息平安管控委员会：负责对信息平安策略进行编写、评审,监督和检查公司全体员 工执行情况.
信息平安策略
目标：为信息平安提供管理指导和支持,并与业务要求和相关的法律法规保持一致.
策略下发
本策略必须得到管理层批准,并向所有员工和相关第三方公布传达,全体人员必 须履行相关的义务,享受相应的权利,承当相关的责任.
策略维护
本策略通过以下方式进行文档的维护工作：
必须每年根据〈〈风险评估管理程序>进行例行的风险评估,如遇以下情况必须及 时进行风险评估：
发生重大平安事故
组织或技术根底结构发生重大变更
平安管理小组认为应当进行风险评估的
其他应当进行平安风险评估的情形
风险评估之后根据需要进行平安策略条目修订,并在内公布传达.
策略评审
每年必须参照〈〈管理评审程序>执行公司管理评审.
适用范围
适用范围是指本策略使用和涵盖的对象,包括现有的业务系统、硬件资产、 软
件资产、信息、通用效劳、 息系统工程也必须参照本策略执行.
信息系统平安组织
目标：在组织内部管理信息平安,保持可被外部组织访问、处理、沟通或管理的信息
及信息处理设备的平安.
内部组织
公司的管理层对信息平安承当最终责任. 管理者责任参见〈〈信息平安管理手册>
公司的信息系统平安管理工作采取信息平安管控委员会统一管理方式,其他相
,小组的人员
组成以及相关责任参见〈〈公司信息平安组织结构图> .
位的分工与责任参见〈〈信息平安管理手册> .
精品资料，欢迎大家下载！
以上资料仅供参考，如有侵权，留言删除！
〈〈信息资产列 表>.
信息系统内的每个重要的资产需要明确所有者、〈〈信息资产列 表> .
但凡涉及重要信息、机密信息〔相关定义参见〈〈信息资产鉴别和分类管理方法> 等信息的处理,相关的工作岗位员工以及第三方都必须签署保密协议.
法部门、消防部门、上级监管部门、电信供给商等提供公共效劳的部门.
应当与相关信息平安团体保持联系, 包括外部平安咨询商、独立的平安技术专家等.
信息平安管理小组每年至少进行一次信息平安风险评估工作〔参照〈〈风险评估 和风险管理程序>, 果和平安策略的修改良行审批.
每年或者发生重大信息平安变化时必须参照〈〈内部审核管理程序>执行公司内 部审核.
2〕 外部组织
a〕 ：
硬件及软件技术支持、维护人员；
工程现场实施人员；
外单位参观人员；
合作单位人员；
客户；
清洁人员、送餐人员、快递、保安以及其它外包的支持效劳人员；
b〕 第三方的访问类型包括物理访问和逻辑访问.
物理访问：重点考虑平安要求较高区域的访问,包括计算机机房、重要办
公区域和存放重要物品区域等；
逻辑访问：
主机系统
网络系统
数据库系统 应用系统
c〕 第三方访问需要进行以下的风险评估前方可对访问进行授权.
被访问资产是否会损坏或者带来平安隐患；
客户是否与有商业利益冲突；
是否已经完成了相关的权限设定,对访问加以控制；
是否有过违反平安规定的记录；
精品资料，欢迎大家下载！
以上资料仅供参考，如有侵权，留言删除！
是否与法律法规有冲突,