信息安全方針_第1頁(yè)
信息安全方針_第2頁(yè)
信息安全方針_第3頁(yè)
信息安全方針_第4頁(yè)
信息安全方針_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、v1.0可編輯可修改密級(jí):敏感 文檔編號(hào):ISMS-A-01信息平安方針版本號(hào):信息平安方針蘇州XXXX 實(shí)施日期:保密說(shuō)明:修訂頁(yè)日期版本號(hào)修訂說(shuō)明修訂人審核人批準(zhǔn)人2021-10-28新版發(fā)行1受控文件第9頁(yè)目錄1. 目的和適用范圍 52. 信息平安定義53. 信息平安方針 54. 平安治理機(jī)構(gòu) 55. 責(zé)任66. 信息平安治理體系實(shí)施框架 87. 重要原那么、標(biāo)準(zhǔn)和符合性要求 88. 評(píng)審99. 相關(guān)文件91. 目的和適用范圍信息平安治理體系方針指明了公司的信息平安目標(biāo)和方向,并可以保證信息平安治理體系被充分理解和貫徹實(shí)施.為明確信息平安治理體系方針,特制定本文件.此外,本文件還描述了公

2、 司的信息平安治理體系的范圍.本文件適用于公司信息平安治理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及過(guò)程.2. 信息平安定義信息平安是指保證信息的保密性、完整性、可用性;另外也可包括諸如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等特性.信息是對(duì)公司業(yè)務(wù)至關(guān)重要的一種資產(chǎn),因此需要加以適當(dāng)?shù)谋Wo(hù).在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要.信息平安可預(yù)防信息受到各種威脅,以保證業(yè)務(wù)連續(xù)性,是業(yè)務(wù)風(fēng)險(xiǎn)最小化,投資回報(bào)和商業(yè)機(jī)遇最大化.3. 信息平安方針公司信息平安方針為:全員參與、限制風(fēng)險(xiǎn);積極預(yù)防、持續(xù)改良;客戶信賴、永續(xù)經(jīng)營(yíng).4. 平安治理機(jī)構(gòu)根據(jù)ISO/IEC 27001:2005 的要求

3、,為了保證信息平安工作有一個(gè)明確的方向和獲得可見(jiàn)的 治理者支持,公司設(shè)立以下不同級(jí)別的信息平安治理機(jī)構(gòu).信息平安治理委員會(huì)信息平安治理委員會(huì)是本公司信息平安治理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu),承當(dāng)以下方面的工作:1審批信息平安方針和總體責(zé)任;2審批信息平安的特殊方法和過(guò)程,如風(fēng)險(xiǎn)評(píng)估等;3審批增強(qiáng)信息平安的重大舉措;4提供所需要的足夠的資源;5協(xié)調(diào)本ISMS公司質(zhì)量治理體系和公司其他規(guī)章制度之間的關(guān)系.;信息安信息平安委員會(huì)主席由總經(jīng)理?yè)?dān)任,常務(wù)副主席由公司總經(jīng)理任命治理者代表全治理委員會(huì)由相關(guān)部門的信息平安員組成.信息平安治理委員會(huì)主要工作為:在信息平安治理委員會(huì)主席/副主席的領(lǐng)導(dǎo)下,負(fù)責(zé)公司日常信息平

4、安的治理與監(jiān)督活動(dòng),并對(duì)相關(guān)部門提供指導(dǎo)和對(duì)需要培訓(xùn)的員工進(jìn)行培訓(xùn).信息平安員相關(guān)部門指定一位兼職的信息平安員,參與/配合信息平安委員會(huì)的活動(dòng),指導(dǎo)本部門信息平安治理并實(shí)施對(duì)其本部門的日常信息平安監(jiān)視和檢查工作.5.責(zé)任1公司領(lǐng)導(dǎo)責(zé)任公司領(lǐng)導(dǎo)應(yīng)具有以下方面的責(zé)任:1制定信息平安方針;2向公司員工傳達(dá)滿足信息平安目標(biāo)和符合信息平安方針、法律法規(guī)要求的重要性;3主持ISMS的治理評(píng)審;4提供開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù)ISMS所需的足夠的資源;5決定可接受的風(fēng)險(xiǎn)級(jí)別.部門領(lǐng)導(dǎo)責(zé)任部門領(lǐng)導(dǎo)主要是部門經(jīng)理必須:1明確本部門所治理的包括本公司的和相關(guān)方提供的信息資產(chǎn)的類型,并進(jìn)行資產(chǎn)登記和指定負(fù)責(zé)人.2對(duì)本部

5、門所治理的關(guān)鍵信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,識(shí)別其所受的威脅、機(jī)密級(jí)別密級(jí)信息按其所受的危險(xiǎn)程度,可依次分為“絕密、“機(jī)密、“秘密、“敏感、“一般、風(fēng)險(xiǎn)級(jí)別資產(chǎn)按其所受的危險(xiǎn)程度,可依次分為:“很高、“高、“一般、“低、脆 弱性和潛在的影響,并制定與其相適應(yīng)的限制舉措.3向信息平安治理委員會(huì)報(bào)告信息被危及的任何跡象,或信息可能被泄露或損毀的任何可 疑活動(dòng)和行為.工程主管責(zé)任這里所說(shuō)的工程主管是指在部門經(jīng)理領(lǐng)導(dǎo)下主持某些領(lǐng)域工作的人員.他們必須:1向部門經(jīng)理說(shuō)明本領(lǐng)域特殊的信息平安要求;2按本領(lǐng)域特殊的信息平安要求,保護(hù)本領(lǐng)域的信息資產(chǎn)的平安;3聯(lián)系相關(guān)技術(shù)支持人員包括網(wǎng)絡(luò)維護(hù)員、網(wǎng)絡(luò)治理員和系統(tǒng)治理員

6、等,保證其所屬的每一位員工的機(jī)器都安裝和定期更新可靠的防殺病毒軟件,并及時(shí)安裝系統(tǒng)補(bǔ)丁軟件包.4員工責(zé)任1每一位員工或使用本公司信息的人員都要遵守本方針,都有保護(hù)公司信息資產(chǎn)、系統(tǒng)和 根底設(shè)施平安的責(zé)任.2每一位員工都應(yīng)采取適當(dāng)?shù)呐e措包括設(shè)置密碼,保護(hù)其所負(fù)責(zé)的所有形式的機(jī)密信息在治理、使用、存儲(chǔ)、處理和傳輸中的平安.3員工外出工作需要攜帶設(shè)備時(shí),必須獲得相關(guān)領(lǐng)導(dǎo)者的批準(zhǔn),并應(yīng)采取相應(yīng)的保護(hù)舉措, 預(yù)防喪失,預(yù)防損毀,保證信息平安.如:設(shè)備必須設(shè)置密碼、不留在公共場(chǎng)所無(wú)人看管、不暴露于強(qiáng)電磁場(chǎng)等.4任何員工都有義務(wù)向其直接領(lǐng)導(dǎo)或信息平安治理委員會(huì)報(bào)告可能會(huì)危及密級(jí)信息平安 的任何活動(dòng)、行為和提

7、出改良建議.5使用者責(zé)任這里所說(shuō)的使用者是指訪問(wèn)本公司密級(jí)信息的人員.1使用者必須獲得授權(quán)、了解該信息的平安要求,并采取相應(yīng)的平安保護(hù)舉措.2如果已授權(quán)的使用者不了解其所要訪問(wèn)的信息的平安要求,那么他必須對(duì)該信息提供最 高極限的保護(hù).3使用者應(yīng)小心保護(hù)其訪問(wèn)信息的密碼、物理鑰匙和ID卡,一旦發(fā)生密碼泄露或鑰匙、ID卡喪失,應(yīng)立即向其直接領(lǐng)導(dǎo)報(bào)告并承當(dāng)相應(yīng)責(zé)任.6. 信息平安治理體系實(shí)施框架公司要根據(jù)所要實(shí)現(xiàn)的信息平安目標(biāo)選取適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法,并制定風(fēng)險(xiǎn)評(píng)估程序以持續(xù)適用于公司的信息平安治理體系.信息平安風(fēng)險(xiǎn)在被識(shí)別后,應(yīng)進(jìn)行分析和評(píng)價(jià),根據(jù)其結(jié)果,選取適宜的限制舉措,以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理

8、過(guò)程中所識(shí)別的需求.限制舉措的選擇還應(yīng)考慮可接受風(fēng)險(xiǎn)的準(zhǔn)那么以及法律法規(guī)和合同要求.本公司風(fēng)險(xiǎn)接受準(zhǔn)那么是:如果降低風(fēng)險(xiǎn)所付出的本錢大于風(fēng)險(xiǎn)所造成的損失,那么選擇接受風(fēng)險(xiǎn).可接受的風(fēng)險(xiǎn)級(jí)別為:根據(jù)公司所采取的風(fēng)險(xiǎn)評(píng)估方法,風(fēng)險(xiǎn)共分4級(jí),可接受風(fēng)險(xiǎn)級(jí)別為低風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn),或者治理者批準(zhǔn)接受的風(fēng)險(xiǎn);較高風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)不能接受.7. 重要原那么、標(biāo)準(zhǔn)和符合性要求1法律法規(guī)和合同要求的符合性公司在建立和治理信息平安治理體系時(shí),必須符合相關(guān)法律法規(guī)和合同的要求.2平安教育、培訓(xùn)和意識(shí)要求所有分配有信息責(zé)任的人員必須具備執(zhí)行所要求任務(wù)的水平,因此公司要確定這些人員所必要的水平,提供水平培訓(xùn),必要時(shí),可聘用有水平的人員以滿足這些需求.同時(shí)要評(píng)價(jià)所提供的 培訓(xùn)和所采取的舉措的有效性,保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄.另外,公司還要確 保所有相關(guān)人員意識(shí)到其信息平安活動(dòng)的適當(dāng)性和重要性,以及如何為到達(dá)信息平安治理體系目標(biāo)做出奉獻(xiàn).3業(yè)務(wù)持續(xù)性治理為預(yù)防公司業(yè)務(wù)活動(dòng)中斷,保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受重大失誤或?yàn)?zāi)難的影響,以及保證它們的及時(shí)恢復(fù),業(yè)務(wù)持續(xù)性治理方案必須考慮信息和信息平安的需求,對(duì)能引起業(yè)務(wù)流程中斷的事態(tài)進(jìn)行識(shí)別,連同這種中斷發(fā)生的概率和影響,以及它們對(duì)信息平安的后果也要進(jìn)行識(shí)別,保證在關(guān)鍵業(yè)務(wù)過(guò)程中斷或失敗

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論