编 号: 版 本 号: 受控状态: 受控
密 级: 内部公开
ISO20000体系文件
信息安全管理规定
文档信息
文档编号: 起草人: 批准人: 发布范围:
文档名称:信息安全管理规定 审核人: 生效日期: 版本记录
版本号
版本日期 修改 修改章节 修改记录
信息安全管理规定
目 录
1 2 3
文档介绍 ................................................................................................................................................. 4 术语、定义和缩略语 ............................................................................................................................. 4 内容 ......................................................................................................................................................... 4 3.1 角色及职责 ............................................................................................................................. 4 3.2 信息安全政策 ......................................................................................................................... 5 3.3 资产分类和保护 ..................................................................................................................... 5 3.4 人力资源安全 ......................................................................................................................... 5 3.5 物理与环境安全 ..................................................................................................................... 6 3.6 通讯和操作安全 ..................................................................................................................... 6 3.7 访问控制 ................................................................................................................................. 6 3.8 信息系统的获取、开发和维护 ............................................................................................. 7 3.9 信息安全事件管理 ................................................................................................................. 7 3.10 法律法规符合性 ..................................................................................................................... 7
xxx公司 版权所有 6
信息安全管理规定
1 文档介绍
本文档编写的目的是保护xxx公司(以下简称xxx)所维护的基础设施、信息系统及其所存储的信息资产,确保其机密性、完整性和可用性,增强xxxIT服务人员的信息安全意识。
2 术语、定义和缩略语
术语/定义 资产 信息安全 机密性 完整性 可用性 任何对组织有价值的事物 对信息机密性、完整性和可用性的保护 确保信息只能由那些被授权的人访问 确保信息的正确性和未经破坏 保证经授权的用户可以在需要时访问到信息和相关的资产 说 明 3 内容
3.1 角色及职责
角色 信息安全管理经理 信息安全员 职责 负责信息安全管理 执行信息安全管理经理分派的任务 xxx公司 版权所有 6
信息安全管理规定
3.2 信息安全政策
信息安全政策文件应由xxx负责人审核批准,并公布与传达给xxx所有员工与相关外部团体。
信息安全政策文件应定期回顾,如果xxx的业务活动、基础设施或外部相关的政策法规发生了重大的改变,需要立即重新进行信息安全政策文件的检查和评估、修订,并通过管理层的审核,以确保其持续的适用性、可操作性及有效性。
3.3 资产分类和保护
应明确xxx所有重要信息资产的所有者,所有者要确保资产受到合适的保护。 信息安全管理经理应根据信息资产的价值、法规要求、敏感度和对组织的重要程度不同对其进行分类,不同级别的信息资产要有适合其相应安全保护要求的控制措施。
3.4 人力资源安全
建立并将信息安全相关的控制贯穿于xxx的人力资源流程中,对于关键岗位需要建立相关的安全监督机制;确保员工、合同方和第三方人员在雇佣前、雇佣中或离职以及雇佣关系变更时都以一种有序的方式进行。
应根据xxx的信息安全管理要求明确定义员工、第三方人员的安全角色和责任,并记录在职责描述中;并且根据相关的职责,制定相关的信息安全基本行为准则和安全操作准则。
对所有员工、第三方人员要开展合适的安全意识培训和教育,确保其了解xxx的信息安全管理流程,以减少人为错误、偷窃、欺诈及滥用设施所带来的安全风险。如果出现了任何违反信息安全政策的行为并造成损失的,要依照xxx规定和国家相关的法律法规进行处罚。
xxx公司 版权所有 6
信息安全管理规定
3.5 物理与环境安全
信息资产在物理上应有访问控制和保护,防止偷窃、滥用、损坏或未经授权的访问;办公场所要满足相关的常规安全要求,在物理上应有访问控制和保护。
必须制定相关的管理流程以确保设备安全。如:《机房安全管理规定》。
3.6 通讯和操作安全
网络自身的设计、构建和使用应满足安全控制的要求,并部署必要的基于网络的安全技术和手段。
网络设备在运行维护过程中应严格遵照安全技术规范和操作管理规范,所有网络设备接入、配置变更、设备废弃或更换应遵循变更流程,所有变更实施过程都必须记录在案。
针对xxx目前所维护的所有基础设施及信息系统必须制定相应的安全技术规范和操作管理规范,通过对日常操作的管理、备份管理、信息交换过程的控制以及系统的规划验收等措施,确保xxx信息处理设施的正确和安全操作。
明确针对第三方组织人员的信息安全管理要求,建立相应的安全控制措施。 应保障存储介质使用和保管的安全。废弃的存储介质应确保被安全销毁,其中存储的敏感信息被彻底消除或覆盖,不会造成信息泄漏。将任何含有敏感信息的信息系统设备或存储介质带到xxx以外之前必须得到授权,并保障其处于妥善保管和安全控制之中。
3.7 访问控制
基础设施及信息系统都必须具备访问控制机制,防止未经授权的访问和信息泄漏。 对信息系统的访问授权,不能超过员工工作所需的范围,以减少信息被滥用的风险。 建立完善的用户访问管理流程,引入用户帐号的创建、重设、变更、删除、维护、定期审核和用户口令管理的管理规范,确保用户帐号的安全使用。
xxx公司 版权所有 6
ITSM-2-IS-01 信息安全管理规定-模板
