1、 第 I 页 共 5 页四川长虹电器股份有限公司虹微公司管理文件信息安全基线管理办法 发布 实施四 川 长 虹 虹 微 公 司 发 布目录1 目的 12 正文 .12.1 术语定义 12.2 职责分工 12.2.1信息安全服务部 12.2.2各职能部门 12.3 管理内容 22.3.1 信息安全基线的编制 .22.3.2 信息安全基线的评审 .22.3.3 信息安全基线的发布 .22.3.4信息安全基线的实施 22.3.5信息安全基线的修订 23 检查计划 .24 解释 .25 附录 .3第 1 页 共 5 页1 目的明确公司各部门在业务开展、管理活动执行过程中的最低信息安全要求,有效防范信息
2、安全风险,提高公司的抗风险能力。2 正文2.1 术语定义信息安全:广义上是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,保证系统连续可靠正常地运行,信息服务不中断。信息安全基线:信息安全基线是公司最低的信息安全保证,即公司在业务开展、管理活动执行过程中需要满足的最基本安全要求。信息安全基线是实现信息安全风险评估和风险管理的前提和基础。2.2 职责分工2.2.1 信息安全服务部负责本管理办法及附录安全基线的制定和发布,并定期维护和更新。监督和指导本管理办法及附录安全基线在公司范围内的执行。定期检查信息安全基线在公司各部门的落实情况,并向公司管理层
3、汇报。2.2.2 各职能部门根据本管理办法和安全基线要求,组织编制和优化本部门/事业群(以下统称“部门” )的安全管理制度和工作流程,保证安全基线在本部门的落地执行。配合信息安全服务部确认信息安全基线内容,编制信息安全基线在本部门的落实计划。协助和配合信息安全基线检查、风险整改等工作。配合公司关于信息安全基线的宣贯和推广工作,并在本部门内进一步宣贯和落实。第 2 页 共 5 页2.3 管理内容2.3.1 信息安全基线的编制信息安全基线的编制,主要参考国际国内信息安全标准,并结合公司业务及管理活动实际,目的是为了确立公司最低的信息安全要求,保障公司业务快速发展的形势下,信息安全得以保障。2.3.
4、2 信息安全基线的评审信息安全基线初稿编制完成后,与各相关部门评审通过后确认定稿。在此期间,各部门可以根据实际情况,反馈对基线要求的建议、意见等。2.3.3 信息安全基线的发布信息安全基线定稿后由信息安全服务部负责在全公司范围内发布。2.3.4 信息安全基线的实施信息安全基线是公司最低的信息安全要求,公司所有部门必须遵循并按计划实施,对于特例情况,必须提交“信息安全例外”流程进行审批。信息安全基线的实施由各部门负主责,信息安全服务部负责指导和监督。2.3.5 信息安全基线的修订信息安全基线执行过程中,各部门可以根据实际执行情况,向信息安全服务部反馈对基线要求的修订建议、意见等,信息安全服务部以此作为信息安全基线修订的主要依据。原则上,信息安全服务部每年对信息安全基线修订一次。3 检查计划信息安全服务部根据不同信息安全基线的内容,对各部门执行情况进行检查。每次检查实施前,先与被检查部门沟通确认检查计划,达成一致后实施检查工作。4 解释本管理办法由信息安全服务部负责解释。第 3 页 共 5 页5 附录附录1:Linux-centos安全配置基线 附录2:mysql安全配置基线 附录3:redis安全配置基线 附录4:memcache安全配置基线 附录5:Tomcat web服务器安全配置基线 附录6:Nginx安全配置基线
