文档介绍:信息安全风险管理办法北京国都信业科技有限公司月年201710前言本程序所规定的是北京国都信业科技有限公司企业的信息安全风险管理原则,在具体实施过程中,各部门可结合本部门的实际情况,根据本程序的要求制定相应的文件,以便指导本部门的实施操作。本制度自实施之日起,立即生效。本制度由北京国都信业科技有限公司企业信息管理部起草。本制度由北京国都信业科技有限公司企业信息管理部归口管理。1目的为规范北京国都信业科技有限公司企业(以下简称“本公司”)信息安全风险管理体系,建立、健全信息安全管理制度,确定信息安全方针和目标,全面覆盖信息安全风险点,对信息安全风险进行有效管理,并持续改进信息安全体系建设。2范围本制度适用于本公司信息管理部信息安全风险管理应用及活动。3术语和定义无。4职责信息管理部作为本公司信息安全管理的主管部门,负责实施信息安全管理体系必要的程序并维持其有效运行,制定信息安全相关策略、制度、规定,对信息管理活动各环节进行安全监督和检查,信息安全培训、宣传,信息安全事件的响应、处理及报告等工作。信息安全管理人员负责全行信息安全策略的执行和推动。、信息管理相关的所有风险点,包括用户管理、身份验证、身份管理、用户管理、风险评估、信息资产管理、网络安全、病毒防护、敏感数据交换等内容。,设置信息管理部岗位分工及职责时,应全面考对信息制定详细的岗位分工及职责说明,虑信息管理工作实际需要及责任划分,角。应配备专职安全AB管理人员权限进行分级管理,信息管理关键岗位有设置对涉密人员签订关键区域或部位的安全管理员符合机要人员管理要求,管理员,了保密协议。:信息管理人员的专业知识和业务水平达到本公司要求;详细审核科技人员工作经历,信息管理人员应无不良记录;针对正式信息管理人员、临时聘用或合同制信息管理人员及顾问,采取不同的管理措施。,还要加入与此岗位相关的信息安全管理规范,具体内容参看各个安全管理规范中的适用范围部分。人员入职必须签订保密协议,在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。、从业者本身的实际能力以及从业者所面临信息安全风险,确定培训内容。考虑不同层次的职责、能力、文化程度以及所面临的风险,信息安全主管部门应该根据培训需求组织培训,制定培训计划,培训计划包括:培训项目、主要内容、主要负责人、培训日程安排、培训方式等,培训前要写好培训方案,并通知相关人员,培训后要进行考核。。:a)收回所有的密码,并确认密码的正确性;b)收回所有的物理安全设备,包括钥匙和证件;c)收回所有工作资料,包括纸介质和电子介质;d)进行调离谈话,申明其调离后的保密义务;e)离职后应该立刻更改所有此离职人员曾掌握过的密码或密钥。对于本公司辞退人员,必须在第一时间完成上述工作,通知其辞退后,所有的工作交接内容必须有专人陪同,需填写《工作交接单》;对于辞退人员应该跟踪其工作动向,采取合理的手段阻止其就职于竞争对手组织,如保密协议中的条款。。对需要访问本公司的外部人员发放通行证,通行证应该针对访问地点的安全敏感度设置不同的安全级别。外部人员访问敏感地点应该有专人陪同。对于需要长时间访问的外部人员应该建立档案,档案应与通行证对应。外来人员携带电脑要接入企业网,必须征得信息管理部允许方可接入。员工有义务向外来人员说明网络接入安全要求。,信息管理安全制度全面涵盖了信息管理安全的风险点,包括:安全管理策略、制度、机房、软件、硬件、网络、数据、文档等方面,并针对信息资产进行了风险程度评估,生成了信息资产风险评估文件。,对制度进行密级分级管理。,对信息管理进行安全等级划分管理,根据安全保护等级对信息管理进行相应的管理措施。.,对应用系统按制定不同的防范措施,体系,根据系统类别及级别进行安全评估,照重要程度实行等级保护。《信息管理安全等级保护实施指南》根