信息安全管理体系信息系统安全管理制度_第1页
信息安全管理体系信息系统安全管理制度_第2页
信息安全管理体系信息系统安全管理制度_第3页
信息安全管理体系信息系统安全管理制度_第4页
信息安全管理体系信息系统安全管理制度_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第一章 总则 1第二章 信息系统安全管理 1第三章 数据中心机房安全管理 2第四章 网络安全管理 2第五章 系统安全管理 3第六章 应用安全管理 3第七章 数据安全管理 3第八章 信息系统建设安全管理 4第九章 信息系统变更安全管理 4第十章 信息系统运维安全管理 4第十一章 信息系统安全事件管理 5第十二章 信息安全检查与审计管理 5第十三章 信息系统风险评估管理 5第十四章 信息系统安全应急预案 5第十五章 突发业务高可用性管理 6第十六章 信息系统安全值守巡检规范 6第十七章 附则 6总则为加强信息系统安全管理,保证信息系统的安全、可靠运行,提高服务质量,特制定本制度。信息系统安全管理是保障网络质量,保护客户利益的基础,因此必须重视信息系统安全工作。信息系统安全管理是集团各部门所有员工共同分担的责任,与每一位员工的日常工作息息相关,所有员工必须提高认识,高度重视,从自己开始,坚持不懈地做好信息系统安全工作。信息系统安全管理信息系统安全管理分为数据中心机房管理制度,网络安全管理制度,系统安全管理制度,应用安全管理制度,数据安全管理制度,信息系统变更安全管理制度,信息系统运维安全管理制度,信息系统安全事件管理制度,信息安全检查与审计管理制度,信息系统风险评估管理制度,信息系统建设安全管理制度,信息系统安全应急预案,业务连续性和灾难恢复管理制度,信息系统安全值守巡检规范共计14项制度,其结构与关系如下:数据中心机房安全管理数据中心机房是集团业务系统的信息化支撑平台,机房内信息处理设备的安全、稳定运行直接影响着集团各业务系统的正常运行,为防范机房可能发生的安全事故,保证机房内设备处于最佳运行状态,使其运行服务质量能够满足集团业务使用的需求,需对机房实施安全管理。数据中心机房安全管理的设备包括所有支持集团信息化业务的机房信息处理设备,包括服务器、网络设备、安全设备以及提供这些设备良好稳定运行的物理环境支撑设备,如空调、UPS等。数据中心机房安全管理的内容包括机房出入管理,机房操作管理和机房设备管理。网络安全管理为了加强集团网络安全管理工作,保障集团信息系统网络在安全、可控状态下运行,建立健全信息系统相关网络操作手册,提高网络通信质量,优化网络结构,需实施网络安全管理。网络安全管理的内容是对集团业务相关网络架构安全设计、网络安全策略的制定、网络设备的安全配置、网络运维安全进行统一规范和管理。系统安全管理为了加强集团的系统安全管理,保障集团业务相关服务器操作系统在安全、可控状态下运行,建立健全业务相关服务器操作系统的操作手册,需实施系统安全管理。系统安全管理的内容是对集团业务相关服务器操作系统安全配置、系统运维安全进行统一规范和管理。应用安全管理为规范集团业务系统、管理系统的应用安全,保障集团应用系统安全稳定运行,需实施应用安全管理。应用安全管理的内容应包括从身份鉴别,WEB页面安全,访问控制,安全审计,剩余信息保护,资源控制,应用容错,报文完整性,报文保密性,抗抵赖,编码安全和电子认证应用等。数据安全管理数据的安全管理是集团业务系统数据正常提供服务的重要保证。为加强数据的安全管理,提信息系统数据的可用性、完整性及保密性,需实施数据安全管理。数据安全管理涉及的内容有数据分级、数据传输安全、数据存储安全、数据变更安全、数据访问安全、数据备份安全、数据恢复安全、数据销毁安全以及密码密钥安全。信息系统建设安全管理为加快集团信息系统安全建设步伐,规范信息系统建设的安全管理,实现安全建设应与业务系统“同步规划、同步建设、同步运行”的安全工作原则,需实施信息系统建设安全管理。信息系统建设安全管理适用于对集团信息系统建设过程中的各阶段进行安全规范和管理,保证集团信息系统建设安全、可控。信息系统建设安全管理的内容是对信息系统的研发、测试以及上线安全进行统一规范和管理。信息系统变更安全管理为保证集团信息系统安全稳定运行,规范集团信息系统变更管理,提高变更的效率和质量,减少或避免变更对业务系统的影响,需实施信息系统变更安全管理。变更管理是指对信息系统的增补或修改的管理。变更行为包括但不限于硬件设备、系统软件、应用软件、网络架构、账号权限以及配置变更。变更管理的内容是对变更分类、变更管理流程安全进行统一规范和管理。信息系统运维安全管理为了加强集团信息系统的运行维护安全管理,建立和健全信息系统相关操作手册,提高系统运行维护质量,减少人为造成的操作不当,保障信息系统稳定可靠的运行,需实施信息系统运维安全管理。网络运营中心负责集团信息系统的日常安全运行维护工作,并负责制定详细的信息系统运行维护的操作手册。信息系统运维安全管理包括日常巡检管理,信息系统账号管理,安全监控与入侵防范管理及恶意代码防范等。信息系统安全事件管理为加强集团信息系统安全事件的快速应对能力,保障集团信息系统的业务连续性,需实施信息系统安全事件管理。信息系统安全事件管理的内容包括安全事件的定义,安全事件的分级和安全事件的处理。信息安全检查与审计管理为了能够及时发现和掌握集团信息系统目前存在的安全问题及安全风险,制定安全解决方案,保障信息系统安全稳定运行,需实施信息安全检查与审计管理。信息安全检查与审计工作是由网络运营中心信息安全部具体实施,其他业务相关部门协助实施的一项安全工作,信息安全检查与审计工作必须严格遵循本制度。信息系统风险评估管理风险评估的目的在于分析集团信息系统及其所依托的网络环境的安全状况,全面了解和掌握信息系统面临的信息安全威胁和风险,为制定信息系统的安全规划,开展安全建设提供依据和决策建议。风险评估的范围包括集团拥有的所有信息资产。风险评估的具体对象包括机房、服务器、网络、应用系统和管理制度。信息系统安全应急预案为提高集团信息系统突发事件的应急处理能力,形成科学、有效、反应迅速的应急工作机制,保障信息系统的正常运转,最大限度的减少非计划停机时间,减小突发事件对工作的影响,需建立信息系统安全应急预案。信息系统安全应急预案的目的是对集团信息系统突发事件应急处理进行统一规范和管理。突发业务高可用性管理为保障集团业务系统在各种突发情况下能够向客户提供连续不间断服务,防止业务中断对客户造成严重影响,保护关键业务过程免受重大失效或灾难的影响,确保灾难发生时能够及时进行数据恢复,需实施突发业务高可用性管理。信息系统安全值守巡检规范为规范集团信息化支撑设备或软件的安全巡检维护工作,保证信息系统安全稳定运行,最大限度的

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论