aaaaa公司。
v1.0)注:替换:aaaaa为公司名称,ddddd为公司简称,bbbbb为系统名称,xxxxx为信息安全管理的部门(如“xxxxx”)。
信息安全管理机构制度版本记录。
信息系统安全等级保护管理制度体系是对实现信息系统安全等级保护所采用的安全管理措施的描述。本制度体系从信息安全管理机构制度、信息安全人力资源管理制度、信息系统建设安全管理制度、信息安全系统运维管理制度和信息系统操作规程及应急预案等方面,针对aaaaa公司的bbbbb系统,从信息安全管理和信息系统运维两个方面做出规定。
本制度的信息安全总体原则如下:
全面贯彻国家和上海市关于信息安全工作的要求文件和相关指导性文件精神,在部门内建立符合国家要求完善的信息安全管理体系;
建立由安全策略、管理制度、操作规程等构成的全面信息安全管理制度体系,并落实信息安全管理责任到个人,使信息安全管理有章可循;
定期进行信息安全培训,提高相关人员信息安全意识及能力;
实行预防为主,应急为辅的信息安全理念,对可能存在的信息安全隐患进行提前预防性排查和处理;对于突发性信息安全事件,可以按照应急预案进行快速响应,将事件影响降到最低;
定期对信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平,以降低突发性事件出现的概率;
持续改进信息安全管理所要求包含的各项工作,为系统提供可靠的安全信息服务。
明确aaaaa公司信息安全管理机构和人力资源管理制度;
按照等级保护**要求规范aaaaa公司的bbbbb系统建设和运维;
制定aaaaa公司的bbbbb系统应急预案,并定期进行应急演练;
定期开展全系统范围的信息系统安全检查和信息安全管理制度宣传,并按需开展第三方信息安全风险评估。
本制度的安全策略包括信息安全管理安全策略和信息系统运维安全策略,如下图所示:
系统信息运维安全策略包括信息安全管理机构制度和信息安全人力资源管理制度。
建立aaaaa公司的bbbbb系统信息安全管理组织机构。
明确网络管理员、主机管理员、系统管理员、安全管理员、安全审计员等安全管理相关岗位及职责。
加强信息安全的授权和审批。
对于系统变更(包含软件和硬件)实施审批,并记录在案。
定期审查信息安全管理体系。
监督各项安全控制措施的落实情况,并针对有偏差的地方进行纠正,以保证信息安全管理体系持续有效。
规范产品采购和使用管理制度流程。
明确产品所有者、使用者与维护者;对所有产品进行标记,实现信息资产从采购、安装、调试、使用、变更到报废整个周期的安全管理,并且密码相关产品符合国家密码主管部门的要求。
定期评估安全风险。
根据评估结果选择适当的安全策略和控制措施,保证安全风险可控。
加强人员安全管理。
包含人员录用前考察、人员在岗和离岗的安全控制、人员考核、奖惩措施等内容;对于关键岗位的工作人员,需签订保密协议。
保密协议签署。
对于外包的软件开发,需与服务提供商签署保密协议;在信息系统立项和审批过程中,同步考虑信息安全需求和目标。系统开发完成后,要求通过第三方安全机构对软件安全性的测评。
信息系统安全管理安全策略包括信息建设安全管理制度、信息安全系统运维管理和信息系统操作规程及应急预案。
文档发布制度化。
制定文档发布规范制度,统一文档版本、格式等,并定期按照制度对文档进行更新,以保证所有文档的时效性。
保障机房物理与环境安全。
实施多种手段对机房安全进行监控,包括门禁、**监控、红外线报警等安全防范措施,确保机房物理安全。部署机房专用空调、ups,灭火设备等环境保障设施;每天对机房设施运转情况进行定期巡检、和维护。控制机房人员和设备的出入管理,非管理人员无法进入主机房,外部人员进入机房需填写出入记录并且由管理人员全程陪同。
维护和操作规程文档化。
对系统维护和操作规程实施文档化操作,降低和避免因误操作所引发信息安全事件的可能性。
部署防病毒软件。
统一部署防病毒软件,并进行病毒库的统一更新,任何人不得私自卸载防病毒软件。
定期备份重要系统和数据。
对重要的数据和信息系统进行每日增量备份每周全量备份,并对备份介质进行安全地保存,以及对备份数据每季度进行备份还原测试,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
信息安全事件应对机制。
建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对网络、数据库、系统和恶意**等的应急预案,并每年两次进行测试和演练。
本手册按照iso/iec 27001:2005 《信息安全管理体系要求》,结合aaaaa公司的bbbbb系统的实际编制而成,符合iso/iec 27001:2005 标准的全部要求。
本管理制度适用于aaaaa公司的bbbbb系统建设和运维过程。
为规范aaaaa公司xxxxx(以下简称“ddddd”)的信息安全管理体系文件的制订、修订及评审,特制定本制度。
本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。
由信息安全工作小组的主体部门ddddd负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。
体系文件流程图。
信息安全工作小组组织相关人员,根据《信息安全技术信息系统安全等级保护基本要求(gbt 22239-2008)》、信息安全技术信息系统安全管理要求(gbt 20269-2006)》、iso/iec 27001:2005 信息安全管理体系》的要求, 结合实际的职责和工作流程,策划制定信息安全管理体系文件,并形成《aaaaa公司xxxxx信息安全管理体系文件汇编》。
信息安全工作小组将制定的《aaaaa公司xxxxx信息安全管理体系文件汇编》汇报给信息安全领导小组,信息安全领导小组进行审批确认。
信息安全工作小组应定期发起对体系文件的评审, 应填写《体系文件建立申请表》(详见附1)。对体系文件的评审应至少每年进行一次。评审流程如下:
1) 信息安全工作小组发起对体系文件的评审申请,信息安全领导小组确认后批准评审要求。
2) 信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。
3) 各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估现有文件的有效性和充分性。如果确定文档有必要进行修改,应填写《体系文件更改申请表》(详见附2)。
4) 如果修改的内容只涉及xxxxx,则由信息安全工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。
5) 如果修改的内容涉及到xxxxx以外的部门,需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。如需要,可邀请专家对体系文件进行专家评审(详见附5、附6、附7)。
6) 修改完毕之后,各责任人将《体系文件评审记录表》(详见附3)和完善后的体系文件版本一并报送信息安全工作小组,由信息安全工作小组进行标识和保存。
7) 信息安全工作小组最终对评审结果向信息安全领导小组进行汇报。
1) 在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写《体系文件作废申请表》(详见附4),由信息安全工作小组审批后,报信息安全领导小组进行审批。
2) 信息安全领导小组审批完成后,信息安全工作小组负责通知所有相关人员,并对《aaaaa公司xxxxx信息安全管理体系文件》进行废除。
以iso/iec 27001:2005 《信息安全管理体系要求》为依据,建立信息安全管理体系,并形成相关的信息安全管理体系文件。由aaaaa公司主管领导批准发布,在aaaaa公司范围内实施并保持,利用内部审核、管理评审、定期检查、定期更新和预防措施以及持续改进的手段,确保信息安全管理体系的有效性。
根据aaaaa公司系统业务特点、组织机构、物理位置确定aaaaa公司的bbbbb系统信息安全管理体系的范围为:
所有部门和正式工作人员,包括aaaaa公司所有成员;
安全体系管理制度
1 范围。本制度明确了安全组织机构的组成和职责管理的职责 内容及要求等。本制度适用于安全组织机构的管理。2 规范性引用文件。安全生产法。工程建设安全健康与环境管理工作规定。3 管理职责。3.1 总经理负责建立健全安全组织机构,主持企业的安全工作。3.2 制造部负责企业日常安全工作。4 管理内容与方法...
安全责任体系管理制度
幼儿园安全工作四大体系。一 安全工作领导管理体系。1 成立以园长为组长 总务处负责同志 后勤主任组成的幼儿园安全工作领导小组,设置2名专职门卫,其工作人员在幼儿园安全工作领导小组的领导下开展工作。2 幼儿园安全工作要形成园长亲自抓,分管领导具体抓,安全领导小组成员具体落实的分层管理体系。二 安全工作...
双控体系管理制度
第一条为确保风险分级管控和隐患排查治理双重预防体系 以下简称 双控体系 前期顺利推进 后期双控体系的正常运行,提高双控体系的针对性 实用性及可操作性,强化安全发展理念,创新安全监管模式,不断加强和改进安全生产工作,进一步加强我公司的安全风险分级管控 隐患排查治理工作,把风险预控放在隐患排查治理前面,...