文档介绍:大庆市华拓数码科技有限公司
文件名称
信息安全管理制度
文件编号
WLB-XXAQGL-04-
文件密级
秘密
制修订记录
版本号
制修订日期
制修订者
制修订摘要
李钦
草稿
李钦
修改完善,申请发布
文件编制单位意见
审核签字
校对签字
管理者代表签发
前言
为了保证我公司信息及我公司提供服务的客户的信息安全,避免信息遭丢失、破坏、泄漏、非授权访问等情况的发生,特制定本制度。
适用于本公司所有项目组和职能部门。
参考文件:《计算机使用管理规定》、《物理访问控制程序》、《用户访问控制程序》。
关联文件:无
相关记录:无。
角色名称
职责
网络部
组织对该文件的使用进行正式培训。
行政部
在文件发布时,对文件版式、文字进行核准。
网络部
负责本文件的编写、修订、报批。
技术总监
负责此文件的审核。
管理者代表
对该文件进行全面负责,如同意则代表该文件可以发布。
本文件由网络部负责培训、解释与维护。
总则
网络与信息安全主要包括下列三个基本属性:
机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。
完整性(Integrity):确保网络设施和信息及其处理的准确性和完整性。
可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。
需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。
网络与信息都是资产,具有不可或缺的重要价值。无论对企业、国家还是个人,保证其安全性是十分重要的。
网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;也是保障企业和客户利益的基础。因此华拓数码的网络与信息安全是企业和客户安全的需要。
网络与信息安全工作无所不在,分散在每一个部门,每一个岗位,甚至是每一个合作伙伴;同时,网络与信息安全是华拓数码所有员工共同分担的责任,与每一个员工每一天的日常工作息息相关。华拓数码所有员工必须统一思想,提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。
华拓数码网络与信息安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范(第一、二层),另一部分是实施层面的工作流程和记录文档(第三层)。
信息安全管理制度(以下简称总纲)根据公司信息安全方针而制定,位于安全体系的第一层。它主要阐述安全的必要性、基本原则及宏观策略。具有高度的概括性,涵盖了技术和管理两个方面,对华拓数码各方面的安全工作具有通用性。
安全体系的第二层是一系列的技术规范和管理规定,是对总纲的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。
安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。
安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。
安全策略是在公司内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。华拓数码必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全策略应被定期评审和修订,以确保其持续适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。
华拓数码的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工作。
确立安全需求是建立完整的安全体系的首要工作。华拓数码的安全需求主要源自下述三个方面:
● 系统化的安全评估。结合经验教训和技术发展,通过安全评估分析公司网络和信息资产所面临的威胁,存在的薄弱点和安全事件发生的可能性,并估计可能对公司造成的各种直接的和潜在的影响。
● 华拓数码及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束,以及公司对客户的服务承诺。
● 公司运营管理的目标与策略。
下图说明了安全需求、风险评估和安全措施三者的关系。
安全风险评估可以应用于整个公司或