信息安全制度总纲_cmmt
- 格式:pdf
- 大小:124.36 KB
- 文档页数:5
信息安全制度总纲
编制:________________
培训:__________(Y/N)
审批:
姓名 职位 签名 日期
目录
1.文件概述
2.制订目标
3.适用范围
4.修改记录
5.定义
6.策略
7.细则
内容
1文件概述
本制度定义了与公司业务相关的各类人员在信息安全管理过程中所需承担的责任和义务。
2制订目标
本制度概括总结了公司信息安全服务的各项规范、标准和指导方针。
这些制度是信息安全的重要组成部门,涵盖了对用户帐号和数据文件的保护,被强制执行以保障公司和员工的合法权益。
3适用范围
本制度适用于所有经授权使用公司信息资源的用户,包括长期和临时的雇员,以及第三方经本公司授权拥有有效帐号的个人或团体(例如合约人、顾问、访问人员等)
4修改记录
无
5定义
5.1. Malware: 恶意软件(Malicious software)的简称,包括病毒、木马、蠕虫等。
5.2. 信息资源:公司信息资源包括电脑、网络、应用软件等能被公司授权的用户访问的资
源。
5.3. 用户:任何经授权使用公司信息资源的用户,包括长期和临时的雇员,以及第三方经
本公司授权拥有有效帐号的个人或团体(例如合约人、顾问、访问人员等)
6策略
6.1. 信息是公司资产中的关键部分,必须通过一定的保护策略来防止对信息非授权的查阅、
删除和修改。
6.2. 与公司相关的任何人都必须对公司的信息安全负责。
公司的成功取决于能否为客户提
供高水平的产品和服务,必须对客户、合作者和员工提供给我们信息负责,因此,必须保证数据保护的必要措施被严格执行。
6.3. 公司通过建立信息管理规范,明确职责的方式在整个公司层面建立长期高效的信息安
全环境。
7细则
7.1. 角色和责任
用户必须遵守所有已经建立的IT 制度、规范和标准。
以下的角色定义明确了各个部门和个人在保障公司信息安全方面所必须履行的责任。
7.1.1.普通用户的责任包含但不限于以下几点:
z保证个人帐号密码的安全性和机密性
z对可能存在或已经发生的信息安全问题及时汇报给IT部
z学习并遵守IT制度、规范和标准
z使用符合规定的计算机信息资源
7.1.2.部门主管领导主任负责批准并定期审核其业务范围内的用户授权和访问,具体责任包
括但不限于以下几点:
z确保其业务范围内与职责相关的制度、规范和标准的制定和完善
z保证其业务活动的安全性
z必要时将信息安全方面的问题上报相关的领导
z配合有关安全方面的宣传和培训工作
7.1.3.VP级公司领导除了具有用户的责任外,还包含以下几点:
z保证公司范围内的所有用户都了解并遵守IT制度、规范和标准
z参与高风险的安全问题和安全缺陷的处理
z对重大信息安全问题作出审核和决策
7.1.4.IT部门负责实施、维护和改进公司的计算机系统和应用程序以保证公司信息资源的
安全性、完整性和有效性。
总体来说,IT部门的责任包含但不限于以下几点:
z通过制定并执行IT的制度、规范和标准来避免非授权的访问,从而保证信息的安全性和完整性
z监控并记录IT相关制度的执行以保证其效力
z保证IT制度、规范和标准的及时性和实用性
z对于日常发生的安全问题进行检查,分析其原因和影响,并及时给予处理
z保证应用程序、系统和数据库被及时更新和升级,并按照IT制度规定的要求被正常维护,从而确保公司各种信息设备的安全性、完整性和有效性 z与其它业务部门协商建立合适的信息安全策略和信息保护措施
z提供最新的信息安全支持(如最新的漏洞、Malware、补丁等信息)
z管理防火墙、访问控制系统和代理服务器等安全设备
z对访问本公司信息资源的外部人员进行严格的认证和控制
z协助人事部进行信息安全方面的宣传和培训,在公司范围内倡导信息安全意识 z参与评估IT信息安全管理缺陷,对解决方案给出合理的建议
z及时向有关领导反映公司信息安全方面存在的问题
z组织协调信息资源的实施,完善信息安全程序
z对政府部门或行业标准指定的安全规范作出说明
7.1.5.IT部门Director总监主任的责任包含但不限于以下几点:
z确保IT工作人员遵照IT相关的制度、规范和标准开展IT工作
z对信息安全控制进行审核,并进行全面的信息安全风险评估,对安全缺陷寻求合适的解决方案
z定期的审查公司现有的系统和程序以保证符合相关的安全策略和规范
z保证任何新项目的实施和变更遵守IT相关的制度、规范和标准
z必要时将信息安全方面的问题上报相关的领导
7.2. 信息安全的重要性
7.2.1.合法的企业信息无论以何种形式存在,都是公司资产的一部分。
所以和其他资产一样,
必须对其进行保护以防止它被盗窃、损害、破坏、篡改及其他非授权的操作。
7.2.2.信息安全必须作为企业战略规划的一部分考虑内容。
为了保证相关的安全规范被定义
并有效执行,IT部门必须关注在任何新的或现有的系统或应用程序中实施了访问控制或数据流控制。
公司的所有系统都必须遵守IT制度、规范和标准的相关规定。
7.2.3.为达到控制目标,根据公司的资源现状和实施力度可酌情采用不同形式控制方法。
7.3. 信息安全制度管理
7.3.1.公司现有的IT制度、规范和标准替代了所有之前的版本,是当前最有效的规范。
7.3.2.公司的IT制度、规范和标准必须基于信息技术、操作环境、潜在风险等客观条件被
监控、评估和调整。
7.4. 制度的反馈和建议
7.4.1.用户可能会针对某项具体的业务对公司的IT制度、规范和标准提出置疑,或给予一
定的反馈和建议。
所有这些用户反映的问题必须被证实,IT部门将对此进行评估、审核并存档,对于用户认为不合理或无法执行的制度、规范或标准进行更细致的考量和变更。
7.4.2.用户任何反馈必须是合理的、被证实过的,并且是经过审核的。
IT部拥有判定和否
决这些反馈的权力。
7.5. 制度的强制执行性
7.5.1.IT部可以通过日志记录或者监控的方式,来保证用户的网络活动符合相应的IT制度、
规范和标准。
7.5.2.违反IT制度、规范和标准的任何行为,一经发现,将视其情节,根据公司相关规定
给予严肃处理。