网络信息组织安全制度.docx

《网络信息组织安全制度.docx》由会员分享，可在线阅读，更多相关《网络信息组织安全制度.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络信息组织安全制度网络信息组织平安制度 6.1 组织内部平安6.1.1信息平安体系管理第 11 条公司成立平安管理委员会，平安管理委员会是公司信息平安管理的最高决策机构，平安管理委员会的成员应包括公司主要管理人、生产技术管理部负责人、公司平安审计负责人、公司计算机管理员、操作员等。 第 12 条信息平安管理代表由信息平安管理委员会指定，一般应包含平安稽核岗、信息管理部信息平安相关岗位。 第 13 条平安管理委员会通过清楚的方向、可见的承诺、具体的分工，主动地支持信息平安工作，主要包括以下几方面：1)确定信息平安的目标符合公司的要求和相关制度； 2)阐明、复查和批准信息平安管理制度； 3)复查

2、信息平安管理制度执行的有效性；4)为信息平安的执行供应明确的指导和有效的支持； 5)供应信息平安体系运作所须要的资源6)为信息平安在公司执行定义明确的角色和职责； 7)批准信息平安推广和培训的安排和程序； 8)确保信息平安限制措施在公司内被有效的执行。第 14 条平安管理委员会须要对内部或外部信息平安专家的建议进行评估，并检查和调整建议在公司内执行的结果。第 15 条必需实行信息平安管理睬议，会议成员包括平安管理委员会、平安管理代表和其他相关的公司高层管理人员。第 16 条信息平安管理睬议必需每年定期实行，探讨和审批信息平安相关事宜，详细包括以下内容: : 1)复审本管理制度的有效性；2)复审

3、技术变更带来的影响； 3)复审平安风险；4)审批信息平安措施及程序； 5)审批信息平安建议；6)确保任何新项目规划已考虑信息平安的需求； 7)复审平安检查结果和平安事故报告； 8)复审平安限制实施的效果和影响； 9)宣导和推行公司高层对信息平安管理的指示。 6.1.2信息平安职责安排第17条信息管理部门作为信息平安管理部门，负责信息平安管理策略制定及实施，其主要职责： （一）负责全公司信息平安管理和指导； （二）牵头制订全公司信息平安体系规范、标准和检查指引，参与我司信息系统工程建设的平安规划； （三）组织全公司平安检查；（四）协作全公司平安审计工作的开展； （五）牵头组织全公司平安管理培训；

4、（六）负责全公司平安方案的审核和平安产品的选型、购臵。（七）依据本规定、平安规范、技术标准、操作手册实施各类平安策略。（八）负责各类平安策略的日常维护和管理。 第18条各分公司信息管理部门作为信息平安管理部门，其主要职责：（一）依据本规定、信息平安体系规范、标准和检查指引，组织建立平安管理流程、手册； （二）组织实施内部平安检查； （三）组织平安培训；（四）负责机密信息和机密资源的平安管理；（五）负责平安技术产品的运用、维护、升级； （六）协作平安审计工作的开展；（七）定期上报本单位信息系统平安状况，反馈平安技术和管理的看法和建议。 （八）依据本规定、平安规范、技术标准、操作手册实施各类平安策

5、略。 （九）负责各类平安策略的日常维护和管理。 6.1.3 信息处理设备的授权第 19 条新设备的选购和设备部署的审批流程应当充分考虑信息平安的要求。第 20 条新设备在部署和运用之前，必需明确其用途和运用范围，并获得平安管理委员会的批准。必需对新设备的硬件和软件系统进行具体检查，以确保它们的平安性和兼容性。第 21 条除非获得平安管理委员会的授权，否则不允许运用私人的信息处理设备来处理公司业务信息或运用公司资源。 6.1.4 独立的信息平安审核第 22 条必需对公司信息平安限制措施的实施状况进行独立地审核，确保公司的信息平安限制措施符合管理制度的要求。审核工作应由公司的审计部门或特地供应此类

6、服务的第三方组织负责执行。负责平安审核的人员必需具备相应的技能和阅历。第 23 条独立的信息平安审核必需每年至少进行一次。 6.2 第三方访问的平安性6. 2.1 明确第三方访问的风险第 24 条必需对第三方对公司信息或信息系统的访问进行风险评估，并进行严格限制，相关限制须考虑物理上和逻辑上访问的平安风险。只有在风险被消退或降低到可接受的水平常才允许其访问。第 25 条第三方包括但不限于：1) 硬件和软件厂商的支持人员和其他外包商2) 监管机构、外部顾问、外部审计机构和合作伙伴 3) 临时员工、实习生 4) 清洁工和保安5) 公司的客户第 26 条第三方对公司信息或信息系统的访问类型包括但不限

7、于： 1) 物理的访问，例如：访问公司机房、监控中心等；2) 逻辑的访问，例如：访问公司的数据库、信息系统等；3) 与第三方之间的网络连接，例如：固定的连接、临时的远程连接；第 27 条第三方全部的访问申请都必需经过信息平安管理代表的审批，只供应其工作所须的最小权限和满意其工作所需的最少资源，并且须要定期对第三方的访问权限进行复查。第三方对重要信息系统或地点的访问和操作必需有相关人员陪伴。 第 28 条公司负责与第三方沟通的人员必需在第三方接触公司信息或信息系统前，主动告知第三方的职责、义务和须要遵守的规定，第三方必需在清晰并同意后才能接触相应信息或信息系统。全部对第三方的平安要求必需包含在与其签订的合约中。 6.2.2当与客户接触时强调信息平安 第 29 条必需在允许客户访问信息或信息系统前识别并告知其须要遵守的平安需求。实行相应的爱护措施爱护客户访问的信息或信息系统。 6.2.3 与第三方签订合约的平安要求第 30 条与第三方合约中应包含必要的平安要求，如：访问、处理、管理公司信息或信息系统的平安要求。