2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩23頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、信息風(fēng)險評估相關(guān)制度信息風(fēng)險評估相關(guān)制度信息安全管理相關(guān)制度信息安全管理相關(guān)制度1總則總則第1條為規(guī)范信息安全管理工作,加強過程管理和基礎(chǔ)設(shè)施管理的風(fēng)險分析及防范,建立安全責(zé)任制,健全安全內(nèi)控制度,保證信息系統(tǒng)的機密性、完整性、可用性,特制定本規(guī)定。2適用范圍適用范圍第2條本規(guī)定適用于。3管理對象管理對象第3條管理對象指組成計算機信息系統(tǒng)的系統(tǒng)、設(shè)備和數(shù)據(jù)等信息資產(chǎn)和人員的安全。主要范圍包括:人員安全、物理環(huán)境安全、資產(chǎn)識別和分類、風(fēng)險

2、管理、物理和邏輯訪問控制、系統(tǒng)操作與運行安全、網(wǎng)絡(luò)通訊安全、信息加密與解密、應(yīng)急與災(zāi)難恢復(fù)、軟件研發(fā)與應(yīng)用安全、機密資源管理、第三方與外包安全、法律和標(biāo)準(zhǔn)的符合性、項目與工程安全控制、安全檢查與審計等。4第四章術(shù)語定義第四章術(shù)語定義DMZ:用于隔離內(nèi)網(wǎng)和外網(wǎng)的區(qū)域,此區(qū)域不屬于可信任的內(nèi)網(wǎng),也不是完全開放給因特網(wǎng)。容量:分為系統(tǒng)容量和環(huán)境容量兩方面。系統(tǒng)容量包括CPU、內(nèi)存、硬盤存儲等。環(huán)境容量包括電力供應(yīng)、濕度、溫度、空氣質(zhì)量等。安全

3、制度:與信息安全相關(guān)的制度文檔,包括安全管理辦法、標(biāo)準(zhǔn)、指引和程序等。安全邊界:用以明確劃分安全區(qū)域,如圍墻、大廈接待處、網(wǎng)段等。惡意軟件:包括計算機病毒、網(wǎng)絡(luò)蠕蟲、木馬、流氓軟件、邏輯炸彈等。備份周期:根據(jù)備份管理辦法制定的備份循環(huán)的周期,一個備份周期的內(nèi)容相當(dāng)于一個完整的全備份。系統(tǒng)工具:能夠更改系統(tǒng)及應(yīng)用配臵的程序被定義為系統(tǒng)工具,如系統(tǒng)管理、維護工具、調(diào)試程序等。消息驗證:一種檢查傳輸?shù)碾娮酉⑹欠裼蟹欠ㄗ兏蚱茐牡募夹g(shù),它可以

4、在硬件或軟件上實施。數(shù)字簽名:一種保護電子文檔真實性和完整性的方法。例如,在電子商務(wù)中可以使用它驗證誰簽署電子文檔,并檢查已簽署文檔的內(nèi)容是否被更改。信息處理設(shè)備:泛指處理信息的所有設(shè)備和信息系統(tǒng),包括網(wǎng)絡(luò)、服務(wù)器、個人電腦和筆記本電腦等。不可抵賴性服務(wù):用于解決交易糾紛中爭議交易是否發(fā)生的機制。電子化辦公系統(tǒng):包括電子郵件、KOA系統(tǒng)以及用于業(yè)務(wù)信息傳送及共享的企業(yè)內(nèi)部網(wǎng)。5安全制度方面安全制度方面5.1安全制度要求5.1.1本制度的

5、詮釋第4條所有帶有“必須”的條款都是強制性的。除非事先得到安全管理委員會的認(rèn)可,否則都要堅決執(zhí)行。其它的條款則是強烈建議的,只要實際可行就應(yīng)該被采用。第5條所有員工都受本制度的約束,各部門領(lǐng)導(dǎo)有責(zé)任確保其部門已實施足夠的安全控制措施,以保護信息安全。第6條各部門的領(lǐng)導(dǎo)有責(zé)任確保其部門的員工了解本安全管理制度、相關(guān)的標(biāo)準(zhǔn)和程序以6.1.2信息安全職責(zé)分配第17條信息管理部門作為信息安全管理部門,負(fù)責(zé)信息安全管理策略制定及實施,其主要職責(zé):

6、(一)負(fù)責(zé)全公司信息安全管理和指導(dǎo)(二)牽頭制訂全公司信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引,參與我司信息系統(tǒng)工程建設(shè)的安全規(guī)劃(三)組織全公司安全檢查(四)配合全公司安全審計工作的開展(五)牽頭組織全公司安全管理培訓(xùn)(六)負(fù)責(zé)全公司安全方案的審核和安全產(chǎn)品的選型、購臵。(七)依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實施各類安全策略。(八)負(fù)責(zé)各類安全策略的日常維護和管理。第18條各分公司信息管理部門作為信息安全管理部門,其主要職責(zé):(一)根

7、據(jù)本規(guī)定、信息安全體系規(guī)范、標(biāo)準(zhǔn)和檢查指引,組織建立安全管理流程、手冊(二)組織實施內(nèi)部安全檢查(三)組織安全培訓(xùn)(四)負(fù)責(zé)機密信息和機密資源的安全管理(五)負(fù)責(zé)安全技術(shù)產(chǎn)品的使用、維護、升級(六)配合安全審計工作的開展(七)定期上報本單位信息系統(tǒng)安全情況,反饋安全技術(shù)和管理的意見和建議。(八)依據(jù)本規(guī)定、安全規(guī)范、技術(shù)標(biāo)準(zhǔn)、操作手冊實施各類安全策略。(九)負(fù)責(zé)各類安全策略的日常維護和管理。6.1.3信息處理設(shè)備的授權(quán)第19條新設(shè)備的采

8、購和設(shè)備部署的審批流程應(yīng)該充分考慮信息安全的要求。第20條新設(shè)備在部署和使用之前,必須明確其用途和使用范圍,并獲得安全管理委員會的批準(zhǔn)。必須對新設(shè)備的硬件和軟件系統(tǒng)進(jìn)行詳細(xì)檢查,以確保它們的安全性和兼容性。第21條除非獲得安全管理委員會的授權(quán),否則不允許使用私人的信息處理設(shè)備來處理公司業(yè)務(wù)信息或使用公司資源。6.1.4獨立的信息安全審核第22條必須對公司信息安全控制措施的實施情況進(jìn)行獨立地審核,確保公司的信息安全控制措施符合管理制度的要

9、求。審核工作應(yīng)由公司的審計部門或?qū)iT提供此類服務(wù)的第三方組織負(fù)責(zé)執(zhí)行。負(fù)責(zé)安全審核的人員必須具備相應(yīng)的技能和經(jīng)驗。第23條獨立的信息安全審核必須每年至少進(jìn)行一次。6.2第三方訪問的安全性6.2.1明確第三方訪問的風(fēng)險第24條必須對第三方對公司信息或信息系統(tǒng)的訪問進(jìn)行風(fēng)險評估,并進(jìn)行嚴(yán)格控制,相關(guān)控制須考慮物理上和邏輯上訪問的安全風(fēng)險。只有在風(fēng)險被消除或降低到可接受的水平時才允許其訪問。第25條第三方包括但不限于:1)硬件和軟件廠商的支持

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論