依据文件
本总纲的制定参考并依据了下列文件资料,详见《符合性实施制度》。
1) 法律法规:是指我国颁布的、所有相关且具有约束和指导作用的法律、法规;
2) 监管规定:是指证监会及其分支机构颁布的具有约束和指导作用的所有文件、规定等;
3) 文件:公司下发的对信息业务系统、信息安全管理等有约束力和指导作用的所有文件;
4) 国际惯例:是指开展业务以及提供信息安全建设过程中必须遵循的具有约束和指导作用的国际通用惯例;
5) 标准:
Ø 《GB/T22080-2016/ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》;
术语定义
1) 信息安全:对信息的机密性、完整性和可用性的保护;
2) 机密性:确保信息仅供给那些获得授权的人使用;
3) 完整性:保护信息及信息处理方法的准确性和完全性;
4) 可用性:确保获得授权使用该信息及信息系统的人能及时、可靠地使用;
5) 风险评估:评估信息及信息处理系统所存在的或可能产生的威胁、影响和薄弱环节,是风险分析和风险评价的全过程;
6) 风险管理:指导和控制组织通过区分、控制、减少或去除等方法将风险控制在可承受范围内的活动;