文档介绍:word
word
1 / 18
word
*
主办部门:系统运维部
执笔人:
审核人:
XXXXX
XXX-XXX-XX-01001
2014年3月17日
word
word
2 / 18
word
[本文件中出现的任何文字表示、文档格式、插图、照片、方法、过程等容,除另有特别注明,均属XXXXX所有,受到有关产权与法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
文件版本信息
版本
日期
拟稿和修改
说明
拟稿
文件版本信息说明
记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动完毕。 时,表示该版本文件为草案,仅可作为参照资料之目的。
阅送围
部发送部门:综合部、系统运维部
word
word
3 / 18
word
目 录
第一章总如此1
第二章信息安全方针1
第三章信息安全策略2
第四章附如此13
第一章 总如此
第一条 为规XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康开展。根据《中华人民国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护根本要求》〔GB/T22239-2008〕、《金融行业信息系统信息安全等级保护实施指引》〔JR/T 0071—2012〕、《金融行业信息系统信息安全等级保护测评指南》〔JR/T 0072—2012〕,并结合XXXXX实际情况,特制定本策略。
第二条 本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。
第三条 网络与信息安全工作领导小组负责制定信息安全管理策略。
第二章 信息安全方针
第四条XXXXX的信息安全方针为:安全第一、综合防、预防为主、持续改良。
〔一〕安全第一:信息安全为业务的可靠开展提供根底保障。把信息安全作为信息系统建设和业务经营的首要任务;
word
word
1 / 18
word
〔二〕综合防:管理措施和技术措施并重,建立有效的识别和预防信息安全风险机制,合理选择安全控制方式,使信息安全风险的发生概率降低到可承受水平;
〔三〕预防为主:依据国家、行业监管机构相关规定和信息安全管理最优实践,根据信息资产的重要性等级,对重要信息资产采取有效措施消除可能的隐患,降低信息安全事件的发生概率;
〔四〕持续改良:建立全面覆盖信息安全各个管理域的,可度量的、可管理的管理机制,并在此根底上建立持续改良的体系框架,不断自我完善,为业务的平稳运行提供可靠的安全保障。
第五条XXXXX信息安全管理的总体目标包括:
〔一〕信息安全管理体系建设和运行符合国家政府机关、监管机构和主管部门的相关强制性规定、规如此与适用的相关惯例、准如此和协议;
〔二〕确保信息系统能够持续、可靠、正常地运行,为用户提供与时、稳定和高质量的信息技术服务并不断改良;
〔三〕保护信息系统与数据的性、完整性和可用性,保证其不因偶然或者恶意侵犯而遭受破坏、更改与泄露。
第三章 信息安全策略
第六条 安全管理制度
word
word
2 / 18
word
〔一〕应形成由管理规定、管理规、操作流程等构成的全面的信息安全管理制度体系。
〔二〕安全管理制度应具有统一的格式,并进展版本控制,通过正式有效的方式发布。
〔三〕应定期对安全管理制度进展检查和审定,对存在不足或需要改良的安全管理制度进展修订。
第七条 安全管理机构
〔一〕信息安全管理工作实行统一领导、分级管理,建立网络与信息安全工作领导小组,指导信息安全管理工作,决策信息安全重大事宜。
〔二〕设立系统安全管理员、网络安全管理员、安全专员等岗位,并配备专职人员,实行A、B 岗制度。
〔三〕应加强部之间,以与外部监管机构、公安机关、供应商和安全组织的合作与沟通。
第八条员工信息安全管理
〔一〕公司应制定安全用工原如此,尤其是信息系统相关人员、敏感信息处理人员的录用、考核、转岗、离职等环节应有具体的安全要求。
word
word
3 / 18
word
〔二〕信息技术总部应定期组织针对员工的信息安全培训,以增强安全意识、提高安全技能、明确安全职责,应对安全教育和培训的情况和结果进展记录并归档保存。
〔三〕在岗位职责的