ISO27001信息安全管理体系程序文件.docx

上传人:王** 文档编号:1009091 上传时间:2024-03-15 格式:DOCX 页数:13 大小:31.64KB
下载 相关 举报
ISO27001信息安全管理体系程序文件.docx_第1页
第1页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第2页
第2页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第3页
第3页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第4页
第4页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第5页
第5页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第6页
第6页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第7页
第7页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第8页
第8页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第9页
第9页 / 共13页
ISO27001信息安全管理体系程序文件.docx_第10页
第10页 / 共13页
亲,该文档总共13页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《ISO27001信息安全管理体系程序文件.docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系程序文件.docx(13页珍藏版)》请在优知文库上搜索。

1、IS027001信息安全管理体系程序文件Ol互联网使用策略互联网使用策略发布生效时间部门批准文件编号人介绍互联网是传播和获取信息的重要途径。而信息是组织的重要资产。因此,建立该策略能够:I确保互联网的使用符合相应的、与信息资源管理相关的法令、规章及要求;I建立谨慎的、合理的互联网使用惯例;I向使用互联网或者企业内部网络的员工告知其应负的责任。目的该策略的目的是规范互联网以及公司内部网络的使用,确保信息资源不会被泄漏、篡改和破坏。适用该策略适用于有权访问任何信息资源而又可以访问互联网以及范围公司内部网络的所有人员。内容I提供给授权使用者的互联网浏览软件只能用于业务和研发;I所有用于访问互联网的软

2、件必须都经过批准,并且必须结合卖方提供的安全补丁;I从互联网下载的所有文件必须通过经过批准的病毒检测软件进行病毒扫描;I用于互联网访问的所有软件都应该使用防火墙进行配置;I访问的所有站点都必须符合信息资源使用策略;I所有Web站点上的内容都必须符合信息资源使用策略;I禁止通过Web站点访问带有攻击性或骚扰性的资料;I互联网不可以用于个人私利;I在不能确保资料只被授权的人员或组织使用时,数据不能通过Web站点获取;I通过外部网络传送的所有敏感资料都必须经过加密;I文档和文件的发送或接受必须以不引起法律责任或业务阻碍的方式进行;I使用互联网应遵循法律法规要求,并不得利用国际联网危害国家安全、泄露国

3、家秘密,不得损害国家、社会、集体的利益和公民的合法权益,不得从事违法犯罪活动。02病毒防范策略03变更管理安全策略04便携式计算机安全策略05安全培训策略06软件注册策略07入侵检测策略入侵检测策略发生效时间布部门批文件编号准人介入侵检测策略在实施和加强组织安全策略方面有重要作用。由于绍信息系统复杂程度越来越高,因此必须开发有效的安全系统。随着分布式系统引入的薄弱点数量的增长,系统和网络安全必须加以保证。入侵检测系统可以提供一些保证。目在保护信息资源方面,入侵检测主要有以下两项重要作用:的I反馈器:能够提供对安全系统其他组成部分有效的信息。如果有功能强大且有效的入侵检测系统,那么检测出的入侵行

4、为就能为其他防御工作提供信号;I触发器:是一种有效的机制,能够确定何时对入侵事件启动计划的响应措施。适该策略适用于负责新信息资源安装、现有信息资源运作的所有人用员以及负责信息资源安全的人员。范围内I在所有主机和服务器系统都必须启动操作系统、用户账号以及容应用软件的审核记录过程;I任何防火墙以及其他网络访问控制系统的警报和警示功能必须启动;I任何防火墙以及其他网络访问控制系统的审核日志必须启动;I网络访问控制系统的审核日志都必须由系统管理员监控并评审;I防火墙以及其他网络边界访问控制系统的系统完整性检查必需按照规定的周期进行;I内部受保护的服务器以及主机和网络的审核日志必须每周进行一次评审。系统

5、管理员应该按照科技信息部的需要定期提供审核日志;I用作入侵工具的主机应该定期检查;I所有问题报告都应该被评审,判断其是否预示着入侵事件;I所有可疑的和/或经证实的任何成功的和/或尝试性的入侵行为都必须立刻按照事故管理策略的要求进行报告;I应该培训用户如何报告系统性能的异常情况。08清洁桌面和清屏策略09口令策略10可移动代码防范策略19生产管理程序31员工培训控制程序32员工聘用控制程序33远程工作控制程序34重要信息备份控制程序35电子邮件控制程序36信息安全奖惩管理程序37容量管理控制程序38适用性声明指南39适用性声明40各部门信息安全管理职责各部门信息安全管理职责1总经理(1)负责组织

6、建立公司信息安全管理体系。(2)负责制定、发布公司信息安全方针。(3)负责组织各部门定期评审、更新公司信息安全方针。(4)负责向公司员工和外部提出信息安全管理承诺。(5)负责实施公司信息安全资源的配置。(6)负责公司信息安全管理体系评审工作。(7)负责组织公司信息安全管理体系持续改进工作。(8)负责公司信息安全管理体系内部协调工作。(9)负责公司各部门信息安全管理职责的审批工作。(10)负责组织公司信息安全管理体系符合安全策略和标准。(Il)负责组建公司信息安全管理委员会。(12)负责任命公司信息安全管理者代表。2管理者代表(1)协助总经理建立公司信息安全管理体系。(2)协助总经理制定、发布公

7、司信息安全方针。(3)协助总经理组织各部门定期评审、更新公司信息安全方针。(4)协助总经理向公司员工和外部提出信息安全管理承诺。(5)协助总经理实施公司信息安全资源的配置。(6)协助总经理公司信息安全管理体系评审工作。(7)协助总经理组织公司信息安全管理体系持续改进工作。(8)协助总经理公司信息安全管理体系内部协调工作。(9)协助总经理公司各部门信息安全管理职责的审批工作。(10)协助总经理组织公司信息安全管理体系符合安全策略和标准。(Il)负责主持公司信息安全管理体系内部审核工作。3信息安全管理委员会(1)负责实施公司信息安全管理体系风险评估。(2)负责根据风险评估制定相关措施。(3)负责建

8、立公司适用性声明。(4)负责指导公司信息安全管理体系运行。(5)负责检查改进公司信息安全管理体系。(6)负责对公司残余风险进行评估。(7)配合开展公司信息安全管理体系内部审核和管理评审工作。4办公室(1)负责公司信息安全管理体系文件控制工作。(2)负责与外部各方相关信息安全风险的识别。(3)负责处理公司与第三方协议中涉及的安全问题。(4)负责建立公司信息资产清单。(5)负责公司物理安全周边的管理工作。(6)负责公司物理入口控制。(7)负责公司办公室、房间和设施的安全保护工作。(8)负责公司外部和环境威胁的安全防护。(9)负责公司在安全区域工作的管理。(10)负责公司公共访问交接区安全管理工作。

9、(Il)负责公司支持性设施管理工作。(12)负责公司布缆安全控制工作。(13)负责公司信息资产带出公司的管理工作。(14)负责公司计算机软件服务交付管理工作。(15)负责对第三方服务的监视和评审工作。(16)负责第三方服务的变更管理工作。(17)负责公司访问控制策略的建立和实施。(18)负责公司计算机清空桌面和清屏管理工作。(19)负责公司远程工作的控制。(20)负责报告公司信息安全事件。(21)负责报告公司信息安全弱点。(22)负责建立公司信息安全处理职责和规程。(23)负责对公司信息安全事件进行总结。(24)负责收集公司信息安全事件的证据。(25)负责对公司滥用信息处理设施行为进行控制。5

10、人力资源部(1)负责公司员工信息安全意识、能力和培训工作。(2)负责公司信息安全纠正措施的控制。(3)负责公司信息安全预防措施的控制。(4)负责建立公司信息分类指南,并组织对信息分类进行标识。(5)负责对公司员工任用之前进行信息安全管理和控制。(6)负责公司员工违反信息安全管理的处理控制。(7)负责对公司员工任用中止或变更的控制。(8)负责对公司信息设备的安全处置或再利用控制。(9)负责建立信息处理规程。(IO)负责对公司电子消息发送进行控制。(Il)负责对公司业务信息系统进行控制。(12)负责公司用户注册管理。(13)负责公司用户口令管理。(14)负责公司用户访问权的复查工作。(15)负责公

11、司口令使用控制。(16)负责公司远程工作的控制。(17)负责公司数据保护和个人隐私的管理。(18)负责公司员工滥用信息处理设施的控制。6财务部(1)负责公司信息安全管理体系记录的控制。(2)负责公司与相关方保密性协议的签订工作。(3)负责处理与第三方协议中涉及的安全问题。(4)负责公司可接受的资产使用控制。(5)负责公司信息分类指南的编制,并负责对信息分类进行标识。(6)负责公司外的信息设施安全控制。(7)负责公司财务信息的备份控制。(8)负责建立公司信息处理规程。(9)负责公司敏感信息系统的控制。(IO)负责公司笔记本办公实施有效安全管理。7技术部(1)负责策划、建立、实施、改进公司的信息安

12、全管理体系。(2)配合营销中心开展信息安全管理体系培训工作。(3)配合执行公司信息安全方针,并定期配合开展信息安全方针的评审工作。(4)配合开展公司信息安全管理体系内部协调工作。(5)负责公司新的信息处理设施授权控制。(6)负责与特定利益集团的联系控制。(7)负责公司与外部各方风险的识别工作。(8)负责公司信息资产清单的建立工作。(9)负责公司信息资产责任人的确定工作。(10)负责资产的可接受使用的控制。(Il)负责公司信息分类指南的编制,并负责对信息分类进行标识。(12)配合开展公司员工信息安全管理体系意识、能力和培训工作。(13)负责公司信息设备的安全管理工作。(14)负责公司信息设备的操

13、作规程和职责的建立工作。(15)负责公司第三方服务交付管理工作。(16)负责公司信息系统规划和验收控制。(17)负责公司防范恶意和移动代码控制。(18)负责公司信息备份控制。(19)负责公司网络安全管理工作。(20)负责建立公司信息处理规程。(21)负责公司信息系统文件安全的管理。(22)负责公司业务信息系统管理。(23)负责公司公共可用信息管理。(24)负责公司信息系统的监视控制。(25)负责建立公司访问控制策略。(26)负责公司使用网络服务策略的建立。(27)负责公司网络访问控制工作。(28)负责公司操作系统访问控制。(29)负责公司信息访问限制管理工作。(30)负责公司信息系统获取、开发

14、和维护控制。(31)负责公司业务连续性管理控制。(32)负责公司知识产权管理控制。(33)负责保护公司信息安全管理体系记录。(34)负责公司密码控制措施的规则制定。(35)负责公司技术性核查工作的控制。(36)负责公司信息系统审计控制工作。8市场部(1)负责处理与顾客有关的安全问题。(2)负责公司信息分类指南的编制,并负责对信息分类进行标识。(3)配合建立公司信息处理规程。(4)负责公司运输中物理介质的管理。9客户服务部(1)负责处理与顾客有关的安全问题。(2)负责公司信息分类指南的编制,并负责对信息分类进行标识。(3)负责与客户有关的信息备份控制。(4)配合建立公司信息处理规程。(5)负责公

15、司无人值守的用户设备管理。(6)配合开展公司业务连续性管理。10公共关系发展部(I)负责与公司政府部门的联系控制。(2)负责公司信息安全可用法律法规的识别控制和合规性评价。11营销中心(I)负责组织公司员工信息安全管理培训工作。(2)负责组织公司信息安全管理体系内部审核工作。(3)负责组织公司信息安全管理体系管理评审工作。(4)负责处理第三方协议中涉及的安全问题。(5)负责公司可移动介质的管理和处置工作。(6)负责对本部门笔记本电脑进行管理。(7)负责保证公司信息安全管理体系符合安全策略和标准。12服务外包办公室(1)负责建立公司信息交换策略和规程。(2)负责编制公司信息交换协议。41信息安全管理岗位任职要求61用户口令设置和分配设置策略62无人值守控制

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 管理/人力资源 > 质量管理

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!