四川长虹电器股份有限公司
虹微公司管理文件
信息安全基线管理办法
××××–××–××发布××××–××–××实施
四川长虹虹微公司发布
第 I 页共 5 页
目录
1目的 (1)
2 正文 (1)
2.1术语定义 (1)
2.2职责分工 (1)
2.2.1信息安全服务部 (1)
2.2.2各职能部门 (1)
2.3管理内容 (2)
2.3.1 信息安全基线的编制 (2)
2.3.2 信息安全基线的评审 (2)
2.3.3 信息安全基线的发布 (2)
2.3.4信息安全基线的实施 (2)
2.3.5信息安全基线的修订 (2)
3 检查计划 (2)
4 解释 (2)
5 附录 (3)
1目的
明确公司各部门在业务开展、管理活动执行过程中的最低信息安全要求,有效防范信息安全风险,提高公司的抗风险能力。
2 正文
2.1 术语定义
信息安全:广义上是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统连续可靠正常地运行,信息服务不中断。
信息安全基线:信息安全基线是公司最低的信息安全保证,即公司在业务开展、管理活动执行过程中需要满足的最基本安全要求。信息安全基线是实现信息安全风险评估和风险管理的前提和基础。
2.2 职责分工
2.2.1信息安全服务部
负责本管理办法及附录安全基线的制定和发布,并定期维护和更新。
监督和指导本管理办法及附录安全基线在公司范围内的执行。
定期检查信息安全基线在公司各部门的落实情况,并向公司管理层汇报。
2.2.2各职能部门
根据本管理办法和安全基线要求,组织编制和优化本部门/事业群(以下统称“部门”)的安全管理制度和工作流程,保证安全基线在本部门的落地执行。
配合信息安全服务部确认信息安全基线内容,编制信息安全基线在本部门的落实计划。
协助和配合信息安全基线检查、风险整改等工作。
配合公司关于信息安全基线的宣贯和推广工作,并在本部门内进一步宣贯和落实。
2.3 管理内容
2.3.1 信息安全基线的编制
信息安全基线的编制,主要参考国际国内信息安全标准,并结合公司业务及管理活动实际,目的是为了确立公司最低的信息安全要求,保障公司业务快速发展的形势下,信息安全得以保障。
2.3.2 信息安全基线的评审
信息安全基线初稿编制完成后,与各相关部门评审通过后确认定稿。在此期间,各部门可以根据实际情况,反馈对基线要求的建议、意见等。
2.3.3 信息安全基线的发布
信息安全基线定稿后由信息安全服务部负责在全公司范围内发布。
2.3.4信息安全基线的实施
信息安全基线是公司最低的信息安全要求,公司所有部门必须遵循并按计划实施,对于特例情况,必须提交“信息安全例外”流程进行审批。
信息安全基线的实施由各部门负主责,信息安全服务部负责指导和监督。
2.3.5信息安全基线的修订
信息安全基线执行过程中,各部门可以根据实际执行情况,向信息安全服务部反馈对基线要求的修订建议、意见等,信息安全服务部以此作为信息安全基线修订的主要依据。
原则上,信息安全服务部每年对信息安全基线修订一次。
3 检查计划
信息安全服务部根据不同信息安全基线的内容,对各部门执行情况进行检查。每次检查实施前,先与被检查部门沟通确认检查计划,达成一致后实施检查工作。
4 解释
本管理办法由信息安全服务部负责解释。
5 附录
附录1:《Linux-centos安全配置基线》
附录2:《mysql安全配置基线》
附录3:《redis安全配置基线》
附录4:《memcache安全配置基线》
附录5:《Tomcat web服务器安全配置基线》附录6:《Nginx安全配置基线》
