《网络与信息安全保障制度.docx》由会员分享,可在线阅读,更多相关《网络与信息安全保障制度.docx(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络与信息安全保障制度目的为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要求,加强苏州锦华企业服务股份有限公司的信息安全管理工作,增强公司全员信息安全意识,切实提高公司信息系统安全保障能力,特制定本方针。范围本方针适用于苏州锦华企业服务股份有限公司信息安全管理活动职责由公司领导和各部门主管为主题的信息安全领导小组负责本方针文件的审核和修订,由研发部门为主题的信息安全工作小组辅助本方针的贯彻和执行。符合性本方针文件主要遵循信息安全技术信息系统安全等级保护基本要求(GBT22239-2008)标准的要求,同时在部分环节也符合以下两个国家标准。ISO/IEC 27001信息安全管理体
2、系要求ISO/IEC 27002信息技术-安全技术-信息安全管理时间规范2、 信息安全方针苏州锦华企业服务股份有限公司总体安全方针为:提高人员信息安全风险意识,确保信息系统安全;强化信息安全管理,坚持以人为本。3、 方针主要内容1、 主要安全策略信息安全是公司及相关部门正常经营的重要保障,苏州锦华企业服务股份有限公司将遵照“统一规划,分级管理,积极防范,人人有责”的原则,通过风险评估和风险管理,采取一切可能的措施,加强公司信息安全的建设和管理。公司设立信息安全领导小组,信息安全领导小组是公司信息安全管理的最高机构;信息中心、运维人员、系统管理员等是公司信息信息安全日常工作和执行机构,辅助公司信
3、息系统及信息安全的日常维护和管理工作。公司全体职工均有参与信息安全管理、保护公司及相关部门信息安全的义务和责任。公司全体职工应积极参加各种形式的信息安全教育和培训,遵守相关的国家法律、法规、部门规章和行业规范,遵守公司信息安全管理制度。承载信息系统的所有软硬件设施及物理环境均应受到适当的保护。采取必要的措施保护公司信息的机密性,以防止未经授权的不当存取;同时应确保信息不会在传递过程中,或因无意间的行为透露给未经授权的第三者。采取必要的措施确保公司信息的完整性,以防止未经授权的篡改。采取必要的措施确保公司信息的可用性,以确保使用者需求可以得到满足。采取必要的额措施确保公司信息的连续性,以确保业务
4、持续可用。公司相关的信息安全措施或规范应符合现行法令、法规的要求。公司全体员工都有责任通过适当的上报机制,报告所发现的信息安全意外事故或信息安全弱点。任何危机信息安全的行为,都应诉诸适当的惩罚程序或法律行动。2、 信息安全目标最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息安全重大事故(级)的发生频率为可控范围内的最低,目标为“0”次。3、 信息安全管理框架 苏州锦华企业服务股份有限公司信息安全管理框架是根据ISO/IEC 27001信息安全管理体系要求中的控制目标和控制项,并结合苏州锦华企业服务股份有限公司的实际情况所建立的。符合“PDCA”的管理模式。P(PLAN)过程是
5、计划过程,指统一计划和设计苏州锦华企业服务股份有限公司的信息安全目标和安全控制策略,指导苏州锦华企业服务股份有限公司整体的信息安全管理工作。D(DO)过程是执行过程,指苏州锦华企业服务股份有限公司在开展信息安全工作中需要落实的管理要求,包括信息安全组织制度管理、人员安全管理、系统建设安全管理、信息细听运维管理、变更管理和信息资产安全管理等,指导日常的信息安全管理工作哦。C(CHECK)过程是检查过程,指苏州锦华企业服务股份有限公司开展信息安全工作的持续改进机制,通过信息安全风险评估、等级保护测评、检查,监督和审核等方式,知道信息安全管理体系控制要求不断完善。A(ACTION)过程是处置过程,指
6、苏州锦华企业服务股份有限公司信息安全事件处置和应急预案,通过发现和总结信息安全问题,形成新的管理办法和控制措施,确保信息安全管理体系的适用性和有效性。苏州锦华企业服务股份有限公司信息安全管理框架通过PDCA各环节的不断完善,实现信息安全管理体系自身的持续改进,从而提高信息安全管理体系的全面性、有效性和适用性。4、信息安全管理原则基于安全需求原则:苏州锦华企业服务股份有限公司核心业务信息系统根据等级保护要求,定级为三级,安全需求主要参照三级等级保护要求,同时考虑可能收到的威胁及面临的风险分析安全需求,遵从三级等级保护的规范要求,从全局上恰当地平衡安全投入与效果;主要领导负责原则:信息安全领导小组
7、的主要领导确立苏州锦华企业服务股份有限公司信息安全保障的宗旨和策略,辅助提高全员的安全意识,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与个部门工作的关系,并确保其落实、有效;全员参与原则:与核心业务信息系统相关的所有运行维护人员应普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统安全;持续改进原则:安全管理是一种动态反馈过程,贯穿整个安全管理的生命周期,随着安全需求和系统脆弱性的时空分布变化,威胁程度的提高,系统环境的变化以及对系统安全认识的深化等,应及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级,维护和持续改进信息安全管理体系的有效性;依法管理原则:信息安全管理工作主要体现为管理行为,应保证信息系统安全管理主体合法、管理行为合法、管理内容合法、管理程序合法。对安全事件的处理,应由授权者适时发布准确一致的有关信息,避免带来不良的社会影响;选用成熟技术原则:成熟的技术具有较好的可靠性和稳定性,采用新及时时要重视其成熟程度,并应首先局部试点然后逐步推广,以减少或避免可能出现的失误;管理与技术并重原则:坚持积极防御和综合防范,全面提高信息系统安全防护能力,立足国情,采用管理与技术相结合,管理科学性和技术前瞻性结合的方法,保障信息系统的安全性达到所要求的目标。责任机构:苏州锦华网约车研发部和维护部