信息安全总体方针和安全策略指引.docx
《信息安全总体方针和安全策略指引.docx》由会员分享,可在线阅读,更多相关《信息安全总体方针和安全策略指引.docx(8页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息安全总体方针和安全策略指引XXX公司信息安全总体方针和安全策略指引第一章总则第一条为了进一步深化贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引合适于公司。第三条公司信息安全管理遵循如下原则:(一)主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目的和策略,建立信息安全保障队伍并合理配置资源;(二)全员介入原则:公司全员介入信息系统的安全管理工作,将信息安全与本职工作相结合,互相协同工作,认真落实信息安全管理要求,共同保障信息系统安全;(三)合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信
2、息安全法律、法规、标准、规范为根本根据,全面符合相关主管部门和公司的各类要求。(四)监督制约原则:信息系统安全管理组织构造、组织职责、岗位职责、工作流程层面、执行层面建立互相监督制约机制,降低因缺乏约束而产生的安全风险。(五)规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。(六)持续改良原则:通过不断的持续改良,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。第二章信息安全保障框架及目的第五条参照国内外相关标准,并结合公司已有网
3、络与信息安全体系建设的实际情况,最终构成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护的安全保障体系框架。(一)“三个体系:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合构成相适应的体系构造框架;(二)“一个中心:信息安全管理中心,实现“自动、平台化的安全工作管理、统一技术管理和安全运维管理;(三)“三重防护:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。第六条公司安全保障框架:(一)安全管理体系:信息安全管理体
4、系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况构成符合行业和国家信息安全标准的信息安全管理体系框架。(二)安全技术体系:通过安全技术在物理、网络、主机、应用和数据各个层面的施行,建立与公司实际情况相结合的安全技术体系。同时与“安全计算环境、安全区域边界和安全网络通信的保护对象相作用,构成依托于保护对象的安全技术体系控制措施。(三)安全运行体系:信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求,并与公司实际情况相结合,构成符合行业和国家信息安全标准的信息安全运行体系框架。(四)安全管理中心:根据信息安全相关要求和安全设计技术要求的相关内容,
5、信息安全管理中心通过“自动、平台化的方式,对信息安全管理体系、信息安全技术体系以及信息安全运行体系的相关控制内容,结合公司的实际情况加以落实。第七条公司信息安全总体目的是:按照业务信息系统的实际情况和现实问题为基础,参照国内、国际的安全标准和规范,充分利用成熟的信息安全理论成果,设计出整体性好、可操作性强,并且融组织、管理和技术为一体的设计方案,到达行业和国家信息安全标准的要求。第三章安全策略第八条建立信息安全领导小组,负责组织、落实国家信息安全相关政策、法规和标准要求,审核并制定公司信息安全的发展战略、规划、政策和管理制度,落实(公司信息安全组织及职责管理办法)。第九条保持与国家信息安全主管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 总体 方针 安全策略 指引
限制150内