公司信息安全管理办法模版.doc

1、（二次系统)信息安全管理办法1目的为贯彻落实国务院国有资产监督管理委员会关于信息化发展的相关要求,落实公司信息化规划，规范公司信息安全管理工作,特制定本办法。2 适用范围本办法适用于公司总部和所属各单位。3 机构与职责31公司设立信息安全领导小组,由公司总经理任领导小组组长、副总经理任副组长，由综合部、安全生产部、工程部、计划财务部的领导任小组成员。3.公司信息化领导小组职责3.2. 负责贯彻国家相关主管部门的信息化工作方针政策,审议公司信息化发展规划;3.22 审核批准公司信息化年度项目计划;3 审查公司重大信息化建设方案；3.4 协调信息化工作中的重大事项和问题；3.2.5协调信息化资金来

2、源,保障信息化建设资金；3.26 整合优化公司信息化工作管理机构与流程，营造良好的信息化发展环境。3.2公司信息化领导小组办公室职责.公司信息化领导小组设办公室，负责领导小组日常工作,挂靠公司综合部。3.22组织贯彻落实国家有关信息化工作的政策法规和公司的决策决议，制定公司信息化发展规划和年度计划并组织实施，指导和审核公司各单位的信息化发展规划与年度计划；3.2.3具体执行和处理信息化工作中的事项和问题;.24负责公司网络与信息安全保障管理与考核，信息安全评估及信息安全事故调查分析、处理;.2制定公司信息化有关标准、规范、制度、办法、规定;326定期组织召开信息化工作会议和专题会议；3.7负责

3、信息化专业队伍能力建设，定期组织信息技术培训和信息技术交流、提升信息化专业的技术水平；3.8提出信息化组织机构设置、岗位与人员配置建议;2.9参加公司统一实施的信息化项目方案审查、招评标及验收,并在本单位组织实施;32.10负责公司信息系统运行维护与管理工作，负责网络与信息系统安全保障管理。4 工作内容与要求 4.1 公司信息化工作实行“集中管理、分级负责、专业服务”的原则。.2信息安全工作纳入信息系统的整个生命周期，包括规划、设计、开发、测试、部署、验收、运行、改造、退出运行等各个环节。4.3信息安全实行“一票否决制”，信息系统验收和投运前对安全措施进行测试，安全性达不到要求的不能投入运行。

4、.4坚持“安全第一、预防为主,管理与技术并重，综合防范”的方针，网络与信息系统安全纳入公司安全生产管理体系。4.构建信息安全技术体系。从物理安全、网络安全、主机安全、应用安全、数据和文档安全方面分别部署信息安全技术措施,形成综合防御体系。46信息安全运行管理。增强信息安全运行管理能力,加强对各层面的安全运行状况监控,集中管理安全信息和事件;4.建立健全应急预案体系，完善突发事件信息报告制度和快速反应机制,切实提高事故处理能力，推进信息安全风险评估和信息安全检查工作。48信息安全建设资金管理。保障对信息安全基础设施和安全防御系统建设的资金投入，实施过程遵循“网络和信息安全与信息系统同步规划、同步

5、建设、同步投入运行”的三同步原则。4.9信息安全教育和培训。持之以恒地开展用户信息安全教育和培训，各单位和个人不得利用信息网络和信息系统从事危害国家安全,损害国家与公司利益、他人合法权益的活动，不得危害信息网络和信息系统的安全。计算机信息系统保密工作按照公司有关规定执行。O701信息安全管理标准理解及内审员培训 培训热线：07525963、25934李小姐客服QQ：1843445、6758375 SO2701信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】IO/IEC7001：20信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。本课程将

6、详述O 2001:20ISO2002:005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 1901：2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解,请参考 德信诚IO2001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO21导入组织的人员，在ISO2700实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分:IS27001：2005

7、信息安全概述、标准条款讲解 信息安全概述：信息及信息安全,CI目标,信息安全需求来源，信息安全管理。风险评估与管理：风险管理要素，过程,定量与定性风险评估方法，风险消减。SO/IE27001简介：S27001标准发展历史、现状和主要内容,ISO2001标准认证。 信息安全管理实施细则:从十个方面介绍ISO2700的各项控制目标和控制措施。 信息安全管理体系规范:SO/IEC700-2005标准要求内容，DCA管理模型,ISMS建设方法和过程。第二部分：20：205信息安全管理体系文件建立(ISO27001与ISO9、ISO100管理体系如何整合）ISO2701与ISO0、IS4001的异同 IS701与ISO001、ISO401可以共用的程序文件和三级文件如何将三体系整合降低公司的体系运行成本 IO901、S00、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 IO2701：200标准对内审员的新要求信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析考试考试合格者颁发“IO2000信息安全管理体系内部审核员培训合格证书”制度执行情况反馈意见表制度名称XXX有限公司信息(二次系统)安全管理办法制度编号CPIJXY(W）-7-0执行中发现的问题