1. 目的和范围
2. 引用文件
3. 职责和权限
4. 内部组织及沟通
5. 与监管机构联系
6. 与特定利益集团联系
7. 项目管理中的信息安全
8. 笔记本电脑使用规定
9. 远程访问管理
9.1. 远程接入的用户认证
9.2. 远程接入的审计
10. 实施策略
11. 相关记录
1. 目的和范围
建立完善内外组织系统,保证内外部组织渠道的畅通,及时了解体系运行情况,确保体系有效运行,促进公司业务组织的安全管理制度。
本规定适用于公司业务组织的安全管理,包括:
1) 内部之间的组织;
2) 信息系统与外部系统之间的组织;
3) 与供应商、客户等相关单位和个人间的组织。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
3. 职责和权限
1) 信息安全工作小组
内部沟通职责:维持内部的信息沟通;向公司内部人员传达与信息安全有关的法规资料及政策;接收内部人员对信息安全管理体系的意见并采取相应行动。
2) 信息安全工作小组成员:收集员工对信息安全方面的意见,并向信息安全工作小组组长反映;协助宣传及教育员工,使员工熟悉有关信息安全方面的知识。
3) 部门负责人:确保部门内容信息能及时有效沟通。对于公司内、外部所反馈的信息安全方面的意见、建议进行审查,不断的改进、完善信息安全管理体系。
1. 目的和范围
为了规定公司所采用的信息安全风险评估方法。通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2. 引用文件
1) 下列文件中的条款通过本制度的引用而成为本制度的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本制度。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) ISO/IEC 27005:2008《信息技术-安全技术-风险管理》
5) 《GB/T 20984-2007信息安全风险评估指南》
3. 职责和权限
1) 信息安全管理小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2) 公司全体员工:在信息安全管理小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理小组更新《信息安全风险评估表》。
1 目的
为规范公司信息安全管理,**公司信息安全,根据《信息安全等级保护管理办法》、《信息技术安全技术信息安全管理体系要求》(GB/T 22080-2016/ISO/IEC 27001:2013)以及公司相关规章制度,制订本制度。
2 范围
本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容,包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考核。
3术语和定义
3.1 人员安全
是指通过管理和控制,确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。
3.2 第三方人员
第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。
临时来访的第三方人员是指因某些临时需求来访公司的人员,如:面试人员、客户以及其他来访人员等。
非临时来访的第三方是指来自外单位的专业服务机构,为本单位提供设备、网络、系统、软件、信息安全、保洁等外包服务的工作人员,如:项目人员、保洁人员、设备维护人员等。
3.3 安全教育和培训
是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。
-/gbafcjj/-
http://iso9001fsc1.b2b168.com
