xxx信息安全管理制度.docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《xxx信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《xxx信息安全管理制度.docx(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、xxx信息安全管理制度上海xxx电子商务有限公司信息安全管理制度目录第一章关于信息安全的总述(2)第二章信息安全管理的组织架构(3)第三章岗位和人员管理(3)第四章信息分级与管理(3)第五章信息安全管理准则(4)第六章信息安全风险评估和审计(8)第七章培训(9)第八章赏罚(9)第九章附则(9)第一章关于信息安全的总述第一条制度的目的为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。第二条信息安全的概念本制度所称的信息安全是指在信息的采集、产生、处理、传递、存储等经过中,做到下面工作:1确保信息保密,但在经过受权的人员需要得到信息时能够在能够控制的情
2、况下获得信息;2保证信息完好和不被灭失,但在特定的情况下应当销毁一些不应保存的信息档案;3保证信息的可用性。第三条制度的任务通过对详细工作中关于信息安全管理的规定,提高全体员工的安全意识,加强公司经营经过中信息的安全保障,最终确保公司所有信息得到有效的安全管理,维护公司利益。第四条制度的地位本制度是公司各级组织制定信息安全的相关措施、标准、规范及施行细则都必须遵守的信息安全管理要求。第五条制度的适用范围全体员工均必须自觉维护公司信息的安全,遵守公司信息安全管理方面的相关规定。一切违背公司信息安全管理规定的组织和员人,均予以追查。第六条信息的概念本制度所称的信息是指一切与公司经营有关情况的反映或
3、者固然与公司经营无关,但其产生或存储是发生在公司控制的介质中,它们所反映的情况包括公司的经营状况、财务状况、组织状况等一切内容,其存储的介质包括纸质文件、电子文件甚至是存在员工大脑中。详细来讲,包括但不限于下列类型:1、与公司业务相关的各个业务系统中的信息,如设计文档、源代码、可执行代码、配置、接口以及相应的数据库和数据库相关备份等;2、与公司业务相关的各种业务数据,如用户资料、经销商资料、合作伙伴信息、合同、各业务系统运行时数据、各类统计数据和报表、收入数据等;3、与公司内部管理相关的各类行政数据,如人事资料、人事组织构造等;4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息
4、;5、其他如公司各分子公司和外地办事构造的数据;公司员工对内、对外进行各种书面的、口头的信息传播行为等。第七条信息安全工作的重要性信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。第二章信息安全管理的组织架构第八条公司最高管理层是公司信息安全管理工作的最高领导者,负责全面把握公司信息安全管理工作的方向。第九条公司CTO以及其领导的技术专家小组作为信息安全管理工作参谋小组,负责指导公司信息安全管理工作。第十条公司成立专门的信息安全管理工作小组,负责检查信息管理风险、制定安全管理规范、监督公司信息安全管理工作。第十一
5、条公司人力资源部、法务部、支付运维部及技术专家小组作为信息安全管理辅助执行机构配合信息安全小组工作执行。第三章岗位和人员管理第十二条涉及到信息安全的岗位和人员的权责必须明晰明确,建立责任人机制,任何信息都有明确的责任人进行负责。第十三条加强对机要岗位人员的管理,严格控制机要岗位人员的人事变动,加强日常工作监管。第十四条定期对员工进行信息安全培训,确保员工了解信息安全存在的威胁和问题,在日常工作中切实遵守信息安全政策。第四章信息分级与管理第十五条信息分级根据信息的价值,或者信息在不安全情况下对公司及合作伙伴的直接或潜在影响。第十六条公司各类经营管理信息均属公司无形资产,都必须根据规定的分级方式进
6、行分级,并明确标注。第十七条公司为每级信息制定最低安全操作原则,以指导各项详细操作手册的制定和详细信息操作。第十八条注:具体的信息分级标准,以及最低安全操作原则,见(信息分级和管理标准)。第五章信息安全管理准则第一节实体和环境安全第十九条关键或敏感信息的存放和处理设备需要放在安全的地方,并使用相应的安全防护设备和准入控制手段进行保护,确保这些信息或设备免受未经受权的访问、损害或者干扰。详细措施如下:1.存放或处理信息的设备,如服务器、存储设备等,应该放在公司内部机房或专业、可信的IDC机房内。2.存放公司重要信息的IT设备接入网络环境十分是接入公网环境必须经过严格的安全检查,配备符合安全要求的
7、网络设备和安全防备设备,并采取有效的管理措施确保不被入侵或数据泄露。3.对于那些不能放在机房里,但又存放有关键或敏感信息的设备,如文件服务器,代码管理服务器等,必须放在有严格进出限制的房间里,不得放在公共办公区域。4.对于存放纸质文件的文件柜和文件室,必须有锁或其他安全控制装置,并指定专人负责文件取放。5.对于纸质文件或可移动存储介质,暂时不用时,需存放在适宜的加锁的柜子和/或其它形式的安全设备中,并且可移动存储介质上的重要文件需要加密保护。第二十条严格控制进出安全区域的人员,并使用必要的监控设备或手段监视人员在安全区域的行为。详细包括:1.安全区域是指为存放关键或敏感信息,以及信息处理设备,
8、而划分出来有进入控制手段的区域。2.内部员工进入安全区域必须经过受权,并登记进入和离开时间。3.外来人员在安全区内工作,除需要经过受权外,必须在适当的监视下进行工作。4.人员随身携带物品或设备进出安全区域必须经过检查。第二十一条存放关键或敏感信息的介质或设备离开工作环境安全区域,运输、携带或在外部使用,需采取保护手段,防止信息窃取和损坏。第二十二条存放关键或敏感信息的介质或设备,假如不再使用或转作其他用处,应将其中的数据进行彻底销毁。应注意选择数据销毁手段,确保数据真正无法恢复。第二节操作管理第二十三条明确所有信息处理操作的流程,明确流程中每个环节的责任,确保信息处理经过安全无误。详细措施如下
9、:1.信息处理经过或操作步骤应整理成正式文档,改动处理经过必须得到管理层受权,操作人员必须根据信息处理的规定程序操作;2.信息处理职责划分明晰,并通过访问控制、接触限制机制确定受权人员身份;3.定期检查人员权限列表。第二十四条信息系统必须建立具体的操作规范和要求,并对这些操作规范进行备案,进行定期检查,及时更新操作规范。第二十五条各信息管理部门应采取有效取防备措施防止和检测恶意软件的入侵信息系统或设备,防备措施必须由安全部门制定或经过安全部门审核。第二十六条根据信息使用特性建立备份策略和恢复流程,留存一个或多个数据备份,并演练数据恢复流程。第二十七条信息系统应记录操作日志、事件日志和错误日志,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- xxx 信息 安全管理 制度
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内