项目信息安全管理制度

第一章 总 则第一条 为规范公司项目管理过程的信息安全，明晰 项目管理过程的信息安全中信息安全职责特制定本制 度。第二条 本制度适用于公司 ISMS 体系的项目管理过程 中信息安全的管理。第二章 项目管理中的安全职责第三条 在项目管理中项目经理应承担如下责任：1) 分析公司及与项目相关的法律法规的信息安全需求 及项目信息安全风险，在此基础上制定有针对性的风险处置 计划。2) 对项目成员进行信息安全的培训。3) 对项目信息安全管理制度的执行进行监控并记录。4) 对安全问题进行定期汇报，并对信息安全事件进行 及时上报。5) 进行持续的风险识别过程，根据实施过程中识别出 的新的风险、发现的问题或变更对风险处置计划进行改进或 更新。第四条 网络安全与信息化领导小组办公室应对项 目经理拟定的风险处置计划进行审批，确保计划满足公 司信息安全的需求。对整个项目的信息安全管理工作进行监控和指导。对安全事件及时上报，所有信息安全事 件应第一时间上报到网络安全与信息化领导小组。第三章 项目启动期信息安全第五条 分析安全需求及识别风险1) 项目经理根据项目的具体情况，分析项目的安全要 求及相关风险。2) 项目经理负责识别信息安全风险，识别风险时应考 虑：风险发生可能带来的业务影响和后果。风险发生的现实可能性。 资产的主要威胁、脆弱点和影响以及已经实施的安 全控制措施。通过风险识别， 把相应风险记录到风险评估列表 &风险处置第六条 制定风险处置计划项目经理根据可接受风险的准则判断是否可以接受， 针对不可接受的风险制订相关的风险处置计划，经批准后 执行，风险处置计划记录到风险评估列表 &风险处置 中。处置措施应考虑技术措施和管理措施。第七条 信息安全要求培训项目经理必须对项目成员进行项目信息安全要求的 培训，培训内容为项目的信息安全风险、注意事项及要求 维护类项目如有责任工程师，责任工程师必须参加培训。 对于软件实施类项目，项目实施组成员必须参加培训。对于持续时间较长的项目，项目信息安全要求培训 至少每年一次。项目成员包括供应方的项目人员。第四章 项目实施阶段第八条 运行、评估、改进1) 项目组根据信息安全风险评估与处置表中风险处 置措施内容开展风险管理活动，以达到安全控制的目 标。2) 项目经理定期进行信息安全管理评估活动，确保：安全管理活动按期望实施。及时发现过程中的问题。 及时识别安全违规活动。 识别安全管理活动的有效性。 确定解决安全违规的行动是否有效。3) 所有信息安全管理过程中的项目自身改进，由项目经 理具体实施，并监控改进的实施。第九条 信息安全事件的处置与上报项目经理需定期向网络安全与信息化领导小组办公 室汇报项目的信息安全管理情况（可单独汇报，也可和其 它项目管理问题一起汇报）。项目上一旦有信息安全事件 的发生，除了通知网络安全与信息化领导小组办公室及相 关责任人及时采取解决措施，尽量减少损失和降低影响 外，必须上报网络安全与信息化领导小组。对于重大信息 安全事件，需网络安全与信息化领导小组办公室的调查工 作，分析根本原因，并采取纠正措施，网络安全与信息化 领导小组办公室对纠正措施进行监控。关于信息安全事件的处置参考信息安全事件管理规 范。第十条 持续运行信息安全管理过程是在项目生命周期中持续运行的 管理过程，项目组需要定期分析信息安全需求及识别风 险，并对新的信息安全需求及风险进行评估，对不可接 受风险制定风险处置措施。第五章 项目结束阶段第十一条 项目结束阶段应对供应商项目成员使 用的资源（设备、信息、帐号、软件）进行归还，数据 进行清理。在归还资源时，确认对其中信息进行了清理。 如使用公司帐号，项目经理必须对帐号或密码进行变更。第六章 项目信息安全管理注意事项第十二条 项目人员到场/离场管理人员到场、离场管理对于驻场项目尤为重要。项目 经理需要制定人员到场、离场的管理计划，以下几点需 要注意：1) 人员到场尽快完成项目信息安全要求的培训。根据人员的角色及工作内容申请帐号和权限。在申 请帐号及权限时注意职责分离原则及最小权限原 则。 为到岗人员申请必须的资源，但需明确如何使用这 些资源的要求，尤其是用到重要的设备和数据时。 项目组成员到岗时应及时签署保密协议。2) 人员离场 人员离场时，项目经理必须确认所有使用的资源已经归还。 确保帐号被及时删除。第十三条 帐号与权限管理帐号与权限管理适合各种类型项目。如果项目需要 供应商人员使用帐号登陆系统，供应商人员的帐号与权限申请必须符合以下规则：1) 根据人员的角色及工作内容申请帐号和权限，不能 因为方便给所有人都申请最大权限。2) 申请帐号及权限时注意职责分离原则3) 限制和控制特殊权限、特权帐号的使用。4) 最小权限原则，能用更小的权限解决问题就不申请更 大的权限。5) 定期检查原则，应定期对项目成员的帐号及权限进行 检查、调整和删除。6) 及时删除原则，如果项目成员离开项目或长时间不使 用或已没有必要继续使用该权限，应及时申请删除帐 号。项目的访问权限管理可参考公司访问控制安全管理 规范。