文档介绍:xxx信息安全管理制度
项目标号
密级:
绝密 机密 限制 一般
草稿文档:
正式文档:
正式文档修正:
上海xxx电子商务有限公司
信息安全管理制度
目录
第一章 关于信息安全的总述 3
第二章 信息安全管理的组织架构 4
第三章 岗位和人员管理 5
第四章 信息分级与管理 5
第五章 信息安全管理准则 5
第六章 信息安全风险评估和审计 12
第七章 培训 13
第八章 奖惩 14
第九章 附则 14
第一章 关于信息安全的总述
(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。
(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时能够在可以控制的情况下获得信息;2)保证信息完整和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3)保证信息的可用性。
(制度的任务)通过对具体工作中关于信息安全管理的规定,提高全体员工的安全意识,增强公司经营过程中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。
(制度的地位)本制度是公司各级组织制定信息安全的相关措施、标准、规范及实施细则都必须遵守的信息安全管理要求。
(制度的适用范围)全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。一切违反公司信息安全管理规定的组织和员人,均予以追究。
(信息的概念)本制度所称的信息是指一切与公司经营有关情况的反映(或者虽然与公司经营无关,但其产生或存储是发生在公司控制的介质中),它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。具体来说,包括但不限于下列类型:
1、 与公司业务相关的各个业务系统中的信
第三章 岗位和人员管理
涉及到信息安全的岗位和人员的权责必须清晰明确,建立责任人机制,任何信息都有明确的责任人进行负责。
加强对机要岗位人员的管理,严格控制机要岗位人员的人事变动,加强日常工作监管。
定期对员工进行信息安全培训,确保员工了解信息安全存在的威胁和问题,在日常工作中切实遵守信息安全政策。
第四章 信息分级与管理
信息分级依据信息的价值,或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。
公司各类经营管理信息均属公司无形资产,都必须按照规定的分级方式进行分级,并明确标注。
公司为每级信息制定最低安全操作原则,以指导各项具体操作手册的制定和具体信息操作。
注:详细的信息分级标准,以及最低安全操作原则,见《信息分级和管理标准》。
第五章 信息安全管理准则
第一节 实体和环境安全
关键或敏感信息的存放和处理设备需要放在安全的
地方,并使用相应的安全防护设备和准入控制手段进行保护,确保这些信息或设备免受未经授权的访问、损害或者干扰。具体措施如下:
1. 存放或处理信息的设备,如服务器、存储设备等,应该放在公司内部机房或专业、可信的IDC机房内。
2. 存放公司重要信息的IT设备接入网络环境(特别是接入公网环境)必须经过严格的安全检查,配备符合安全要求的网络设备和安全防范设备,并采取有效的管理措施确保不被入侵或数据泄露。
3. 对于那些不能放在机房里,但又存放有关键或敏感信息的设备,如文件服务器,代码管理服务器等,必须放在有严格进出限制的房间里,不得放在公共办公区域。
4. 对于存放纸质文件的文件柜和文件室,必须有锁或其他安全控制装置,并指定专人负责文件取放。
5. 对于纸质文件或可移动存储介质,暂时不用时,需存放在合适的加锁的柜子和/或其它形式的安全设备中,并且可移动存储介质上的重要文件需要加密保护。
严格控制进出安全区域的人员,并使用必要的监控设备或手段监视人员在安全区域的行为。具体包括:
1. 安全区域是指为存放关键或敏感信息,以及信息处理设备,而划分出来有进入控制手段的区域。
2. 内部员工进入安全区域必须经过授权,并登记进入和离开时间。
3. 外来人员在安全区内工作,除需要经过授权外,必须在适当的监视下进行工作。
4. 人员随身携带物品或设备进出安全区域必须经过检查。
存放关键或敏感信息的介质或设备离开工作环境(安全区域),运输、携带或在外部使用,需采取保护手段,防止信息窃取和损坏。
存放关键或敏感信息的介质或设备,如果不再使用或转作其他用途,应将其中的数据进行彻底销毁。应注意选择数据销毁手段,确保数据真正无法恢复