信息安全管理方针手册

信息安全管理方针手册内容摘要：

................................................................................................................................. 37 2．用户访问管理 ................................................................................................................................................. 37 3．网络安全方针 ................................................................................................................................................. 37 4．可移动计算机工作及远程工作方针 ......................................................................................................... 38 十六、系统开发及维护 ...................................................................................................................................... 40 1．总则 ................................................................................................................................................................... 40 2．系统安全要求建立 ........................................................................................................................................ 40 3．系 统文件安全 ................................................................................................................................................. 40 4．开发与支持过程的安全 ............................................................................................................................... 40 5．技术脆弱性管理 ............................................................................................................................................. 40 十七、信息安全事件管理 .................................................................................................................................. 42 1．总则 ................................................................................................................................................................... 42 2．报告安全事件及薄弱环节 ........................................................................................................................... 42 3．信息安全事件处理和改进 ........................................................................................................................... 42 十八、业务连续性管理 ...................................................................................................................................... 43 1．总则 ................................................................................................................................................................... 43 2．业务连续性管理总体策略 ........................................................................................................................... 43 十九、符合性管理 ............................................................................................................................................... 44 1．总则 ................................................................................................................................................................... 44 2．符合性管理 ...................................................................................................................................................... 44 附录一、信息安全组织架构 ............................................................................................................................. 45 信息安全管理方针手册 第 5 页，共 45 页 5 修订文档历史记录 日期 版本 说明 作者 2020418 创建 XXX 信息安全管理方针手册 第 6 页，共 45 页 6 一、 编制说明 1． 前言 XXXX（集团）有限公司（以下简称 XXXX）是以软件技术和服务为核心，从事 XX 业务 服务、系统集成、数据处理等多个信息技术业务领域的股份公司。 随着公司 XX 业务 服务业务的不断发展，客户对信息安全的要求也日趋严格与系统化，而随着信息技术革命和经济全球化的发展，企业间的竞争已经转为技术和信息的竞争。 随着公司业务的快速增长、 IT规模的不断扩大以及客户要求的不断提升，公司业务是否能高效的运作、核心客户群的维持已经越来越依赖于我们是否有稳定、安全的信息系统，以保护公司和客户的知识资产。 鉴于信息安全在公司运营管理中越来越重要的地位，公司高层领导不断要求要高度重视信息安全管理和控制工作，加大信息安全投资和人力资源配置。 为此，公司成立了信息安全管理委员会以及信 息安全管理工作小组，负责在公司全范围建立有效的信息安全管理体系，以确保信息安全机制有效运行。 《信息安全管理方针手册》作为公司信息安全方面的最高层文件，是公司各项信息安全工作开展的依据，各部门应该严格遵照执行，并可根据本文件规定制定或修订本部门的相关管理规定。 2． 目的 本方针手册明确公司在信息安全工作方面的总体要求，指导各项信息安全工作的开展，包括： 为建立信息及信息处理设施管理程序、作业规程提供指南； 为处理各类信息安全事件提供指南，以预防及降低安全事件所造成的损失； 教育公司员工，让其了解公司信息资产的 保密性、完整性和可用性及其相关的保护方法。 3．适用范围 本适用性声明书适用于 XX 集团及其所有公司。 4． 引用文件 ISO27001： 2020 信息技术 – 安全技术 信息安全管理体系 – 规范 ISO17799： 2020 信息技术 – 安全技术 – 信息安全管理体系实施细则 信息安全管理方针手册 第 7 页，共 45 页 7 5．手册控制 手册编制与批准 信息安全方针手册由 集团信息中心 负责信息安全管理人员编制。 信息安全管理委员会成员负责对信息安全方针手册的内容进行审查，最终由 信息安全管理委员会主任 批准。 发行版本 信息安全方针手册的版本状态分别在封面和每一页中给出，按 阿拉伯数字 、 、„„顺序依次递增。 信息安全方针手册每章节的修订状况通过“本节 修订 ”标识，在手册内容的每一页上标识其所在章节的“本节 修订 ”。 当修改某章节时，更新一次该章节的“本节 修订 ”，“本节 修订 ”按阿拉伯数字顺序递增。 信息安全方针手册发布满三年或全部章节均已发生修改时，将重新发布手册，并更改手册的版本编号。 发放控制 发出的信息安全方针手册分为“受控”和“非受控”两种。 受控信息安全方针手册由 信息中心 按公司《 信息安全体系 文件控制程序》的规定进行发放控制。 非受控信息安全方针手册经信息安全管理者代表批准后，由 行政部门 统一发放，手册修改时，将不再对其进行跟踪控制。 信息安全方针手册的有效正本由 信息安全办公室委托行政办公室 负责保管。 手册修改 当信息安全方针手册需要修改时，必须经信息安全管理委员会审查，并由 信息管理委员会主任 批准。 每次手册的修改都必须在“信息安全手册修改记录”列明该次修改原因或内容摘要、日期及标 志。 定期审核 公司通过定期的管理评审和内部信息安全审核，对信息安全方针进行审核，确保信息安全方针的充分性和完整性。 信息安全管理方针手册 第 8 页，共 45 页 8 二、信息安全术语 1． 前言 本章节对与信息安全管理体系相关的术语进行定义，以避免在使用过程中由于定义混淆造成对管理要求的误解。 2．信息安全术语 信息 (Information):信息是一种具有价值、需要进行恰当保护的资产，信息以多种方式呈现，如以印刷品、手写稿或电子方式等保存，以邮件、电子邮件、投影方式等进行传递。 敏感信息 (Sensitive Information): 需要某种等级保护的信息，由于有意或无意的泄密、修改或破坏，可能对公司业务运作造成很大损失或危害 计算机信息系统 (Computer Information System):是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统 信息安全 (Information Security):为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制。 信息安全包括所以下三个基本要素： 1） 保密性 – 使信息不泄露给非授权的个人、实体或过程 ,不为其所用。 2） 完整性 – 确保信息及其信息系统免遭破坏及篡改，即系统中的信息与原文档相同，信息处理设施能正常运作。 3） 可用性 被授权实体所需的资源可被访问与使用，即攻击者不能占用相关资源而阻碍授权者的工作。 拒绝服务（ Denial of Service） : 妨碍信息访问或延迟操作时间。 威胁（ Threat） :导致发生某一非期望事件的可能性，此。