信息安全管理方针手册.doc

卷号 卷内编号 密级 内部公开 XXXX集团 2008 信息安全管理方针手册 version：1.0 编制人： 日期: 审核人: 日期： 批准人： 日期： 受控状态： 目 录 一、编制说明 6 1．前言 6 2．目的 6 3．适用范围 6 4．引用文件 6 5．手册控制 7 二、信息安全术语 8 1．前言 8 2．信息安全术语 8 三、信息安全方针声明 10 四、管理组织与职责 11 1. 总则 11 2. 信息安全职责 11 五、信息安全管理体系 17 1．信息安全管理体系范围 17 2．信息安全管理体系模型 17 3．信息安全管理体系文件要求 18 六、管理职责 20 1．总则 20 2．管理承诺 20 3．资源管理 20 4. 培训、意识与能力 21 七、信息安全管理体系评价与改进 22 1．总则 22 2．信息安全活动及过程监视与检查 22 3．信息安全管理体系审核 22 4. 技术符合性审核 22 5. 管理评审 22 6. 数据分析 23 7. 纠正和预防措施 23 八、信息安全基本方针 24 1．总则 24 2．信息安全管理基本方针描述 24 九、风险评估管理 25 1．前言 25 2．风险评估方法与准则 25 3．风险评估 25 4．风险管理 25 5、风险处置 26 十、信息安全组织 27 1．信息安全管理架构 27 2．组织间合作 27 3．专家建议 27 4．信息处理设施授权 27 5、第三方访问安全 27 十一、资产管理 29 1．总则 29 2．资产职责 29 3．信息分级 29 十二、人员安全 30 1．前言 30 2. 雇佣前 30 3. 雇佣中 30 4.雇佣终止或转岗 30 5. 培训 31 十三、物理与环境安全 32 1．总则 32 2．安全区域 32 3．设备安全 32 4．存储介质 33 5．基本控制措施 33 十四、通讯与运行安全 34 1．总则 34 2．程序和职责 34 3．系统规划和接收 34 4．防止恶意软件、代码 35 5．备份 35 6．网络管理 35 7．媒介处理和安全 36 8．信息和软件交换 36 十五、访问控制 37 1．总则 37 2．用户访问管理 37 3．网络安全方针 37 4．可移动计算机工作及远程工作方针 38 十六、系统开发及维护 40 1．总则 40 2．系统安全要求建立 40 3．系统文件安全 40 4．开发与支持过程的安全 40 5．技术脆弱性管理 40 十七、信息安全事件管理 42 1．总则 42 2．报告安全事件及薄弱环节 42 3．信息安全事件处理和改进 42 十八、业务连续性管理 43 1．总则 43 2．业务连续性管理总体策略 43 十九、符合性管理 44 1．总则 44 2．符合性管理 44 附录一、信息安全组织架构 45 修订文档历史记录 日期 版本 说明 作者 2008-4-18 1.0 创建 XXX 一、编制说明 1．前言 XXXX（集团）有限公司（以下简称XXXX）是以软件技术和服务为核心，从事XX业务服务、系统集成、数据处理等多个信息技术业务领域的股份公司。随着公司XX业务服务业务的不断发展，客户对信息安全的要求也日趋严格与系统化，而随着信息技术革命和经济全球化的发展，企业间的竞争已经转为技术和信息的竞争。随着公司业务的快速增长、IT规模的不断扩大以及客户要求的不断提升，公司业务是否能高效的运作、核心客户群的维持已经越来越依赖于我们是否有稳定、安全的信息系统，以保护公司和客户的知识资产。 鉴于信息安全在公司运营管理中越来越重要的地位，公司高层领导不断要求要高度重视信息安全管理和控制工作，加大信息安全投资和人力资源配置。为此，公司成立了信息安全管理委员会以及信息安全管理工作小组，负责在公司全范围建立有效的信息安全管理体系，以确保信息安全机制有效运行。《信息安全管理方针手册》作为公司信息安全方面的最高层文件，是公司各项信息安全工作开展的依据，各部门应该严格遵照执行，并可根据本文件规定制定或修订本部门的相关管理规定。 2．目的 本方针手册明确公司在信息安全工作方面的总体要求，指导各项信息安全工作的开展，包括： 为建立信息及信息处理设施管理程序、作业规程提供指南； 为处理各类信息安全事件提供指南，以预防及降低安全事件所造成的损失； 教育公司员工，让其了解公司信息资产的必威体育官网网址性、完整性和可