ISMS02信息安全管理體系方針

1、信息安全管理體系方針1 適用范圍為了對組織整體業(yè)務(wù)的信息安全活動進行指導(dǎo)，并表明組織管理層對信息安全的支持，特制定本方針。本方針適用于組織ISMS涉及的所有人員（以下簡稱“全體員工”）和組織的全部重要信息資產(chǎn)及過程。2 引用文件組織的信息安全管理手冊3 術(shù)語和定義（此處略去）4 職責(zé)4.1 信息安全管理委員會a）負(fù)責(zé)解釋本方針，是本方針的歸口管理部門；b）負(fù)責(zé)決定組織信息安全相關(guān)事項。4.2 信息安全部負(fù)責(zé)協(xié)調(diào)推行信息安全管理委員會制定的方針政策。4.3 信息安全戰(zhàn)略推進組負(fù)責(zé)執(zhí)行信息安全管理委員會下發(fā)、信息安全部督導(dǎo)的 ISMS相關(guān)文檔。5 ISMS 范圍組織信息安全管理體系的范圍覆蓋組織的

2、所有業(yè)務(wù)，運行范圍包括圖1 組織結(jié)構(gòu)圖中所示的所有業(yè)務(wù)部門，該范圍與適用性聲明保持一致。組織結(jié)構(gòu)示意圖（略去）6 信息安全基本策略6.1 信息安全方針及信息安全目標(biāo)以確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險最小化， 投資回報信息安全是保護信息免受各種威脅的損害， 和商業(yè)機遇最大化。6.1.1 組織信息安全方針積極預(yù)防、全面管理、控制風(fēng)險、保障安全。信息安全方針應(yīng)由CEO 批準(zhǔn)，發(fā)布并傳達給全體員工和外部相關(guān)方。包括法律法規(guī)、客戶與相關(guān)方和組織業(yè)務(wù)要6.1.2 組織信息安全目標(biāo)使已識別的信息資產(chǎn)滿足信息安全的各項要求，求。具體目標(biāo)包括：a）信息泄漏事件為零；b）引起組織主要業(yè)務(wù)中斷時間累計不能超過2 h/年；c

3、）引起組織主要業(yè)務(wù)中斷事件發(fā)生次數(shù)小于1次/年；d）嚴(yán)重影響網(wǎng)絡(luò)與信息系統(tǒng)可用性的事件小于1次/年；e）信息安全事件發(fā)生時，以損失最小化、恢復(fù)時間最短化、避免再次發(fā)生為目標(biāo)。6.2 信息安全管理體制信息安全管理體制由以下人員組成： CEO信息安全官、信息安全戰(zhàn)略推進組、信息安全部 門主管、信息安全員和用戶。為了確保信息安全工作有一個明確的方向相獲得 CEO的支持，組織設(shè)立了三個不同級別的 信息安全機構(gòu)：信息安全管理委員會、信息安全部和信息安全戰(zhàn)略推進組。6.3 信息的分類和管理根據(jù)信息的重要程度規(guī)定信息分類分級及管理方法。6.3.1 信息的分類分級根據(jù)信息的保密性、 完整性及可用性等安全屬性，

4、 對信息進行分類分級。 具體請參考 信 息資產(chǎn)分類/分級指南實施。6.3.2 信息的使用和管理用戶使用信息時， 對不同重要度等級的信息資產(chǎn)按照相關(guān)程序使用和管理。 具體請參考 信息標(biāo)識與處理程序?qū)嵤?.4 人力資源安全管理人在信息安全活動中是最復(fù)雜、 最難控制的， 所有的管理活動都離不開人， 因此必須對 其進行合理管理，具體請參考人員信息安全管理指南實施。此外，員工意識對 ISMS 的實施效果產(chǎn)生很大的影響，因此還需要提高員工的信息安全 意識，具體請參考員工培訓(xùn)管理指南實施。6.5 物理和環(huán)境安全6. 5.1 環(huán)境設(shè)施和安全區(qū)域為了防止重要信息資產(chǎn)遭受不當(dāng)訪問、 損壞和干擾等， 應(yīng)將其放入安

5、全區(qū)域， 進行重點 管理，使用組織環(huán)境設(shè)施和安全區(qū)域時， 必須遵守 環(huán)境設(shè)施與物理設(shè)備管理規(guī)定中規(guī)定 的事項。6.5.2 設(shè)備安全設(shè)備在安裝、布線、使用和維護時，應(yīng)遵守相應(yīng)的安全管理措施。此外，除了要保護設(shè) 備本身的安全外， 更重要的是要保護設(shè)備中所存儲的信息， 要防止信息未授權(quán)訪問， 具體內(nèi) 容請參見環(huán)境設(shè)施與物理設(shè)備管理規(guī)定 、信息系統(tǒng)安全使用規(guī)定 和信息系統(tǒng)安金操 作規(guī)定。6.6 通信和操作管理積極收集信息安全方面的信息， 采取必要的措施， 保證交換信息、 操作信息處理設(shè)備和 信息系統(tǒng)時的安全，具體請參考信息系統(tǒng)安全使用規(guī)定實施。6.7 訪問控制對信息、 信息處理設(shè)備、 信息系統(tǒng)的訪問應(yīng)

6、在業(yè)務(wù)和安全要求的基礎(chǔ)上進行控制， 對信 息系統(tǒng)的訪問權(quán)應(yīng)有正式的授權(quán)和撤銷程序，具體請參考用戶訪問控制管理規(guī)定實施。6.8 信息系統(tǒng)的獲取、開發(fā)和維護對信息系統(tǒng)的購置、 開發(fā)建設(shè)及系統(tǒng)運行維護過程的信息安全采取必要的控制措施， 具 體請參考信息系統(tǒng)安全使用規(guī)定 、信息系統(tǒng)安全操作規(guī)定 和信息系統(tǒng)安全設(shè)計規(guī)定 實施。6.9 風(fēng)險管理框架組織根據(jù)所要實現(xiàn)的信息安全目標(biāo)選取風(fēng)險評估方法， 說明風(fēng)險接受準(zhǔn)則和可接受的風(fēng) 險級別，具體請參考信息安全風(fēng)險評估程序?qū)嵤Ｋ行畔踩L(fēng)險在被識別后， 都應(yīng)進行分析和評價， 確定適當(dāng)?shù)娘L(fēng)險處理選項， 選取 合適的控制措施， 以滿足風(fēng)險評估和風(fēng)險處理過程中所識別

7、的安全要求。 控制措施的選擇還 應(yīng)考慮可接受風(fēng)險的準(zhǔn)則以及法律法規(guī)和合同要求。 風(fēng)險處理方法請參考 信息安全風(fēng)險處 理程序?qū)嵤?.10 信息安全事件管理當(dāng)員工發(fā)現(xiàn)任何安全弱點或信息安全事件時， 應(yīng)按照相應(yīng)的程序及時上報， 以便盡早采 取措施， 降低信息安全事件發(fā)生的可能性或其帶來的影響。 具體請參考 信息安全事件管理 程序?qū)嵤?. 11 業(yè)務(wù)連續(xù)性管理為防止組織業(yè)務(wù)活動中斷， 保護關(guān)鍵業(yè)務(wù)免受重大失誤或災(zāi)難的影響， 以及確保它們的 及時恢復(fù)，組織要制定業(yè)務(wù)連續(xù)性計劃 。業(yè)務(wù)連續(xù)性計劃 必須考慮信息和信息安全的需求。 對可能引起業(yè)務(wù)中斷的事件進行 識別， 并對這些中斷發(fā)生的概率、 影響以及對

8、信息安全的后果進行預(yù)測， 確保在關(guān)鍵業(yè)務(wù)中 斷后能夠在要求的水平和要求的時間內(nèi)恢復(fù)。業(yè)務(wù)連續(xù)性管理的相關(guān)內(nèi)容請參考 業(yè)務(wù)連續(xù)性管理程序 和業(yè)務(wù)連續(xù)性計劃編寫指 南實施。6. 12 重要原則和符合性要求6. 12.1 符合法律法規(guī)和合同要求組織在建立和管理 ISMS 時，必須符合相關(guān)法律法規(guī)和合同的要求，包括：a）法律：國家所頒布的與信息安全相關(guān)的法律法規(guī)要求。b）合同：與客戶簽訂的信息安全楣關(guān)的合同要求。 具體請參考法律法規(guī)符合性規(guī)定實施。6. 12.2 安全教育、培訓(xùn)和意識要求組織全體員工和外部相關(guān)方， 應(yīng)受到與其工作職能相關(guān)的適當(dāng)?shù)囊庾R培訓(xùn)和組織方針策 略及程序的定期更新培訓(xùn)。具體請參考員工培訓(xùn)管理指南實施。6. 12.3 違反信息安全方針的后果任何違反組織信息安全方針的人員， 將受到相關(guān)懲罰和或法律制裁， 具體請參考 信 息安全獎懲管理規(guī)定實施。6. 13 方針評