跳转至

信息安全组织管理制度

声明

本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们

修订说明

  • 烟台王较瘦 第一次编写 2022/5/1
  • 思安 修订 2023/6/1

第一章 总则

第一条 目的

为了北京思度文库股份有限公司(以下简称“公司”)建立完善的内外组织系统,保证内外部组织渠道的畅通,及时了解公司体系运行情况,确保体系有效运行,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定公司信息安全组织管理制度。

第二条 适用范围

本制度适用于公司业务组织的安全管理,包括:
(一) 内部之间的组织;
(二) 信息系统与外部系统之间的组织;
(三) 与供应商、客户等相关单位和个人间的组织。

第三条 引用文件

下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
  GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
  GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则

第二章 职责与权限

第四条 信息安全工作小组

维持内部的信息沟通,向公司内部人员传达与信息安全有关的法规资料及政策,接收内部人员对信息安全管理体系的意见并采取相应行动。

第五条 信息安全工作小组成员

收集员工对信息安全方面的意见,并向信息安全工作小组组长反映,协助宣传及教育员工,使员工熟悉有关信息安全方面的知识。

第六条 部门负责人

确保部门内容信息能及时有效沟通,对于公司内、外部所反馈的信息安全方面的意见、建议进行审查,不断的改进、完善信息安全管理体系。

第三章 内部组织及沟通

(一) 信息安全工作小组组织各个部门通过公告、内部网络、宣传物品、活动、通告、会议及培训把有关信息安全方面的政策及其它事项传达予各员工;
(二) 员工对公司信息安全管理体系有任何意见可向其部门主管或其所在部门信息安全员建议、投诉;部门主管或信息安全员将员工的意见分类后向信息安全工作小组反映;
(三) 信息安全管理体系的管理评审结果应由信息安全工作小组向各部门负责人员讲解及监察其执行情况;
(四) 信息安全工作小组联同各部门建立及维护信息安全管理体系的文件控制制度;
(五) 每月召开安全例会,传达公司安全精神和公司内部信息安全相关工作;

第四章 与监管机构联系

为及时了解政府相关监管机构新出台的管理政策及法规,并且依照相关管理政策,公司应该遵守的通报规定,公司应与有关监管机构或相关政府机构定期进行联系沟通,及时掌握监管机构或政府部门发布的相关信息,按照其相关规定调整公司的经营方针、政策。对可能引发的公司信息安全事件有所预期,在发生相关信息安全事件时可以及时取得相关机构的协助。
  公司对客户、员工、供应商等利益相关方,需要定义与监管机构沟通的方式、周期及接口部门。

第五章 与特定利益集团联系

为及时了解行业相关非营利机构新公布的信息,公司应保持与特定相关方、其他安全专家组和专业协会的适当联系,增进最佳实践的知识,掌握最新相关安全信息; 获取以前的有关攻击和脆弱性的预警、公告和补丁; 获得信息安全专家的建议; 共享和交换关于新的技术、产品、威胁或脆弱性的信息;当处置信息安全事件时,提供适当的联络点。

第六章 项目管理中的信息安全

作为项目的一部份,信息安全需整合到组织的项目管理方法中,以确保识别并强调了信息安全风险。所有项目,无论其特征是什么,例如软件开发过程、IT、设施管理和其他支持过程等方面的项目,均需要使用以下的信息安全控制措施进行管理:
(一) 重点项目启动前对人员和技术进行风险评估及合同评估;
(二) 根据客户要求签订保密协议;
(三) 信息安全目的被纳入项目目的;
(四) 信息安全作为所采用的项目管理方法各个阶段的一部分;
(五) 在所有项目中需定期评审信息安全问题。

第七章 笔记本电脑使用规定

(一) 笔记本电脑设备必须有严格的口令访问控制措施,口令设置需满足公司安全策略要求;
  (二) 对无人看守的笔记本电脑设备必须实施物理保护,必须放在带锁的办公室、抽屉或文件柜里;
  (三) 笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部;
  (四) 凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿;
  (五) 除自然损坏外,凡人为损坏(如撞坏、跌坏、电源插错烧坏等)由本人负责修好,费用由个人承担;
  (六) 笔记本电脑中除工作所需的软件外,不导入其他与工作无关的软件;
  (七) 离开公司办公环境的设备和媒体在公共场所不能无人看管,出差员工如需携带便携式计算机,需要提前向直属领导/行政部提出申请。在旅行时便携式计算机要作为手提行李携带不得托运,若可能宜伪装起来。重要数据需加密保存。

第八章 远程访问管理

第七条 远程接入的用户认证

(一) 凡是接入公司的远程用户的访问必须通过VPN并经过认证方可接入;
  (二) 认证用户必须使用8位以上复杂密码;
  (三) 任何远程接入用户不得将自己的用户名、密码提供给任何人,包括同事,家人;
  (四) 所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到最新。

第八条 远程接入的审计

远程接入用户的操作必须要经过接入设备的审计。应记录相关日志,对用户行为监控。

第九章 实施策略

信息安全工作小组负责内部信息沟通的有效渠道建设;                                                            

Back to top