文档介绍:xxx信息安全管理制度项目标号密级:绝密机密限制一般草稿文档:正式文档:正式文档修正:上海xxx电子商务有限公司信息安全管理制度 目录第一章关于信息安全的总述 3第二章信息安全管理的组织架构 4第三章岗位和人员管理 5第四章信息分级与管理 5第五章信息安全管理准则 5第六章信息安全风险评估和审计 12第七章培训 13第八章奖惩 14第九章附则 14第一章关于信息安全的总述(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息;2)保证信息完整和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3)保证信息的可用性。(制度的任务)通过对具体工作中关于信息安全管理的规定,提高全体员工的安全意识,增强公司经营过程中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。(制度的地位)本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。(制度的适用范围)全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人,均予以追究。(信息的概念)本制度所称的信息是指一切与公司经营有关情况的反映(或者虽然与公司经营无关,但其产生或存储是发生在公司控制的介质中),它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说,包括但不限于下列类型:1、与公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等;2、与公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等;3、与公司内部管理相关的各类行政数据,如人事资料、人事组织结构等;4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息;5、其他如公司各分子公司和外地办事结构的数据;公司员工对内、对外进行各种书面的、口头的信息传播行为等。(信息安全工作的重要性)信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。第二章信息安全管理的组织架构公司最高管理层是公司信息安全管理工作的最高领导者,负责全面把握公司信息安全管理工作的方向。公司CTO以及其领导的技术专家小组作为信息安全管理工作顾问小组,负责指导公司信息安全管理工作。公司成立专门的信息安全管理工作小组,负责检查信息管理风险、制定安全管理规范、监督公司信息安全管理工作。公司人力资源部、法务部、支付运维部及技术专家小组作为信息安全管理辅助执行机构配合信息安全小组工作执行。第三章岗位和人员管理涉及到信息安全的岗位和人员的权责必须清晰明确,建立责任人机制,任何信息都有明确的责任人进行负责。加强对机要岗位人员的管理,严格控制机要岗位人员的人事变动,加强日常工作监管。定期对员工进行信息安全培训,确保员工了解信息安全存在的威胁和问题,在日常工作中切实遵守信息安全政策。第四章信息分级与管理信息分级依据信息的价值,或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。公司各类经营管理信息均属公司无形资产,都必须按照规定的分级方式进行分级,并明确标注。公司为每级信息制定最低安全操作原则,以指导各项具体操作手册的制定和具体信息操作。注:详细的信息分级标准,以及最低安全操作原则,见《信息分级和管理标准》。。存放关键或敏感信息的介质或设备离开工作环境(安全区域),运输、携带或在外部使用,需采取保护手段,防止信息窃取和损坏。存放关键或敏感信息的介质或设备,如果不再使用或转作其他用途,应将其中的数据进行彻底销毁。应注意选择数据销毁手段,确保数据真正无法恢复。第二节操作管理明确所有信息处理操作的流程,明确流程中每个环节的责任,确保信息处理过程安全无误。具体措施如下:,改动处理过程必须得到管理层授权,操作人员必须按照信息处理的规定程序操作;,并通过访问控制、接触限制机制确定授权人员身份;。信息系统必须建立详细的操作规范和要求,并对这些操作规范进行备案,进行定期检查,及时更新操作规范。各信息管理部门应采取有效取防范措施防止和检测恶