舞钢市公共信用信息系统
总体安全制度
第一章 总则
第一条 为保证舞钢市公共信用信息平台计算机系统(以下简称信息系统)的安全,规范信息系统的安全管理,根据国家有关的法律、法规和相关规定,并结合系统建设的实际情况,特制定本制度。
第二条 本制度所指的信息系统,是以计算机(包括相关配套设备)为终端设备,利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。
信息系统安全的含义是:通过各种计算机、网络、密码技术和信息安全技术,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的保密性、完整性和真实性。
第三条 信息系统包括舞钢市公共信用信息平台,所有用户均应按照本规定执行。
第四条 信息系统的建设和应用要本着“预防为主、集中管理、分级负责、保障安全”的方针,按照“业务工作谁主管、安全工作谁负责”和“谁使用、谁负责”的原则进行管理。
第五条 信息系统安全管理的任务是根据信息系统的性质,实事求是地确定基准威胁,按照基准威胁的需要,建立管理机构,配备管理人员,建立健全规章制度,加强安全教育和培训,适时进行安全检查和评估,落实各项人防、物防、技防措施,以保障单位信息的安全。充分体现技术与管理并重的原则,利用各种先进的技术手段加强管理。
第六条 计算机信息系统按照《信息系统安全等级保护基本要求》进行等级保护和管理。
第二章 信息安全方针
第一条 本信息安全管理体系方针指明了信息系统的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。本方针适用于舞钢市信息安全管理体系涉及的所有人员和过程。
第二条 信息安全的定义是:保证业务所依赖的信息和信息系统的保密性、完整性、可用性。
第三条 信息系统安全的总体方针为:积极预防、及时发现、快速响应、确保安全。其目标是:满足已识别的信息安全要求,包括法律法规、业务要求。具体目标包括:
l 秘密信息泄漏事故为零。
l 保证重要信息系统可用性在98%以上。
l 信息安全事件如病毒感染、黑客攻击等事件在可控范围内、发生可能性较低、损失极小。
第四条 为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,设立信息安全领导小组,具体负责:
l 制定信息安全方针和目标;
l 建立信息安全角色和职责;
l 提供ISMS(信息安全管理体系)所需要的资源;
l 领导建立和实施ISMS(信息安全管理体系);
l 监督和检查信息安全工作;
l 制定和实施信息安全工作的奖惩政策。
第五条 信息安全管理人员要通过适当的标准和程序实施信息安全方针。所有职工必须按照相应的程序,维护此方针,所有职工有责任报告信息安全事件,以及识别信息安全风险。
重要原则和符合性要求所有职工应明确,在信息安全方面满足以下原则和符合以下要求是必须的:
l 法律法规和合同要求的符合性;
l 信息安全的安全意识;
l 遵守单位所有信息安全策略和操作规程。
第六条 本文件需要定期或不定期根据需要进行评审,当信息安全管理体系发生重大变化时,也应评审,以维持其适用性。