ISMS-3012信息安全方針信息安全策略管理制度

1、信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件深圳市首品精密模型有限公司信息安全方針信息安全策略管理制度文件編號(hào)：ISMS-3012信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件變更履歷序版本編 序號(hào)或更改記錄編號(hào)簡(jiǎn)要說(shuō)明（變更 內(nèi)容、變更位置、 變更原因和變更 范圍）變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1 A/0初始發(fā)行2016-8-信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件第一章總則第一條 為提高公司信息安全管理水平，建立、健全信息安全管理體系，貫徹執(zhí)行 ISO27001：2013信息技術(shù)安全技術(shù)信息安全管理體系要求，保障公司信息系統(tǒng)業(yè)務(wù)的 正常進(jìn)行，防止由于信息安全事件導(dǎo)致的公司損失，確保全體員工理解信息安全的重要

2、性， 執(zhí)行信息安全管理體系文件的要求，特制定本制度。第二條本制度是公司信息安全管理的綱領(lǐng)性文件，用于貫徹企業(yè)的信息安全管理方 針、目標(biāo)，是所有從事、涉及信息安全相關(guān)活動(dòng)人員的行為準(zhǔn)則，是向客戶(hù)、向社會(huì)、向認(rèn) 證機(jī)構(gòu)提供本公司信息安全管理保證能力的依據(jù)。第三條信息部在得到信息安全委員會(huì)批準(zhǔn)的前提下負(fù)責(zé)本制度的更改和建立，信息 部定期對(duì)其適用性、持續(xù)性、有效性進(jìn)行評(píng)審，匯總更改需求和建議并上報(bào)。第四條 本制度適用于公司所屬各單位。第二章職責(zé)分工第五條 公司信息安全管理工作由信息安全委員會(huì)指導(dǎo)和批準(zhǔn)，委員會(huì)下設(shè)信息安全 工作推進(jìn)組，并設(shè)立信息安全顧問(wèn)團(tuán)。第六條 信息安全工作推進(jìn)組由信息部信息安全專(zhuān)業(yè)

3、人員和公司各部門(mén)主管任命的 信息化專(zhuān)業(yè)員組成。第七條 信息安全顧問(wèn)組由提供服務(wù)的外部安全產(chǎn)品公司或外聘的信息安全顧問(wèn)組 成。第八條信息安全工作推進(jìn)組職責(zé)建立信息安全管理方針、目標(biāo)和策略；評(píng)估信息安全顧問(wèn)組意見(jiàn)的可用性；確定公司信息資產(chǎn)風(fēng)險(xiǎn)準(zhǔn)則和信息安全事件處置措施；組織并確保全公司信息安全教育活動(dòng)的落實(shí)；監(jiān)控公司的信息安全情況，監(jiān)督檢查信息安全活動(dòng)的落實(shí)情況，并定期向信息安全委員會(huì)匯報(bào)；向兩化融管理委員會(huì)提出實(shí)現(xiàn)信息安全目標(biāo)和符合信息安全方針的改進(jìn)需 要，推行各項(xiàng)信息安全策略要求和控制措施；負(fù)責(zé)公司信息安全內(nèi)部、外部評(píng)估的具體安排；信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件推進(jìn)組中各部門(mén)安全專(zhuān)員負(fù)責(zé)

4、對(duì)本部門(mén)信息資產(chǎn)進(jìn)行匯總上報(bào)，負(fù)責(zé)本部門(mén)信息安全事件的應(yīng)急處理，收集、上報(bào)與本部門(mén)相關(guān)的信息安全管理方面的要求，同時(shí)負(fù)責(zé) 在本部門(mén)內(nèi)傳達(dá)、落實(shí)公司信息安全管理策略的要求。第九條 信息安全顧問(wèn)組職責(zé)提供信息安全相關(guān)產(chǎn)品的使用幫助和更新；負(fù)責(zé)為公司提供完整的信息安全管理咨詢(xún)服務(wù)；提供信息安全管理方面的相關(guān)培訓(xùn)。第三章信息安全方針和目標(biāo)第十條 公司信息安全方針為：滿(mǎn)足客戶(hù)要求，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。在此方針下應(yīng)堅(jiān)持的基本原則基本安全需求原則：信息安全工作推進(jìn)組根據(jù)公司信息系統(tǒng)擔(dān)負(fù)的使命和信息資產(chǎn)重要程度等，按照等級(jí)保護(hù)要求確定相應(yīng)的信息安全保護(hù)措施，從全局恰當(dāng)?shù)仄胶庑?息安全投入

5、和安全狀態(tài)；全員參與原則：所有從事信息安全相關(guān)工作的人員應(yīng)普遍參與信息安全活動(dòng)，保證自身信息安全素質(zhì)，提高安全意識(shí)，共同保護(hù)公司信息安全；管理與技術(shù)并重原則：堅(jiān)持積極防御和綜合防范，全面提高信息安全防護(hù)能力，結(jié)合公司實(shí)際情況，采用管理科學(xué)性和技術(shù)前瞻性相輔相成的方法，達(dá)到信息安全管理 的目的；持續(xù)改進(jìn)原則：信息安全管理是動(dòng)態(tài)的，貫穿整個(gè)企業(yè)管理的生命周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)間空間分布變化、威脅程度的提高和對(duì)信息安全認(rèn)知的深化 等，應(yīng)及時(shí)地將現(xiàn)有的安全策略和保護(hù)措施進(jìn)行檢查、修改和調(diào)整，以提升安全管理水平， 持續(xù)維護(hù)信息安全管理體系的有效性。遵循PDCA（Plan、Do、Check、A

6、ction計(jì)劃、實(shí)施、檢查、改進(jìn)）模型原則： 運(yùn)用ISO27001的PDCA模型建立信息安全管理體系。第十一條公司信息安全目標(biāo)商業(yè)秘密信息泄露事故為零；造成公司生產(chǎn)中斷時(shí)間累計(jì)不能超過(guò)2小時(shí)/年；造成公司生產(chǎn)中斷事故發(fā)生次數(shù)不超過(guò)2次/年。第四章總體信息安全策略信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件第十二條本公司安全策略應(yīng)滿(mǎn)足國(guó)家信息安全等級(jí)保護(hù)制度相關(guān)要求。第十三條物理安全策略機(jī)房、數(shù)據(jù)中心等物理位置的選擇應(yīng)選在防震、防潮防水、防火的建筑內(nèi)；機(jī)房、數(shù)據(jù)中心等的入出口應(yīng)采取訪問(wèn)控制措施，安排值守、控制、鑒別和記錄工作；機(jī)房?jī)?nèi)部署基礎(chǔ)的防護(hù)系統(tǒng)和設(shè)備，如防火系統(tǒng)、環(huán)境控制系統(tǒng)、UPS供電系統(tǒng)、消防

7、滅火系統(tǒng)、防雷系統(tǒng)、監(jiān)控系統(tǒng)；網(wǎng)絡(luò)通信線纜布置于安全隱蔽處（地下、管道）；機(jī)房部署防盜報(bào)警系統(tǒng)。第十四條網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)核心設(shè)備部署要求性能良好，設(shè)備和鏈路有冗余，保證業(yè)務(wù)高峰期需求；繪制與實(shí)際相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；強(qiáng)化對(duì)終端的控制，并強(qiáng)制終端使用防病毒系統(tǒng)；對(duì)于涉密終端強(qiáng)制安裝數(shù)據(jù)防泄密軟件；網(wǎng)絡(luò)邊界處部署防火墻、IPS等安全設(shè)備；按照網(wǎng)絡(luò)內(nèi)的不同區(qū)域，劃分不同的VLAN；郵箱系統(tǒng)增加垃圾郵件檢測(cè)功能；嚴(yán)格控制控制帶寬設(shè)置優(yōu)先級(jí)，限制上網(wǎng)權(quán)限。第十五條主機(jī)安全策略登陸操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)必須進(jìn)行身份標(biāo)識(shí)和鑒別；登陸操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)不能出現(xiàn)同名用戶(hù)，口令復(fù)雜程度高并定

8、期更換；操作系統(tǒng)和數(shù)據(jù)庫(kù)必須及時(shí)刪除多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在；重要主機(jī)人機(jī)分離時(shí)，確保信息安全狀態(tài)。第十六條數(shù)據(jù)安全策略業(yè)務(wù)數(shù)據(jù)及文檔必須進(jìn)行備份，以便發(fā)生安全事件時(shí)進(jìn)行恢復(fù)；數(shù)據(jù)備份必須使用專(zhuān)用的備份設(shè)備和工具；重要數(shù)據(jù)在傳遞過(guò)程中，使用加密手段；備份的數(shù)據(jù)采用異地儲(chǔ)存手段；保證數(shù)據(jù)庫(kù)硬件備件富有量，防止硬件故障導(dǎo)致數(shù)據(jù)不可用和不完整；信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件數(shù)據(jù)的處理（傳輸、儲(chǔ)存、恢復(fù)）做明確的記錄；故障不可用的數(shù)據(jù)存儲(chǔ)介質(zhì)要及時(shí)物理銷(xiāo)毀，可以返廠用來(lái)更換新介質(zhì)的，用不可恢復(fù)性手段銷(xiāo)毀數(shù)據(jù)。第十七條人員安全策略信息安全需要全體員工參與，全體員工都有保護(hù)信息安全的職

9、責(zé)，在崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊涉密崗位人員須承擔(dān)特別要求的安全責(zé)任；定期對(duì)信息安全相關(guān)崗位員工進(jìn)行信息安全相關(guān)教育和培訓(xùn)，提高安全意識(shí)；嚴(yán)格對(duì)破壞公司信息資產(chǎn)的行為進(jìn)行懲戒，明確安全要求和安全職責(zé)。建立健全的外來(lái)人員訪問(wèn)制度，限制外來(lái)人員對(duì)重要信息的訪問(wèn)。第十八條安全事件處理策略制定安全事件處置管理制度，明確安全事件的類(lèi)型，規(guī)定安全事件的處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；制定安全事件報(bào)告和相應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度以及處理方法。第十九條應(yīng)急預(yù)案策略制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架包括預(yù)案啟動(dòng)條件、處理流程、事后教育和學(xué)習(xí)；從人力、設(shè)備、技術(shù)、財(cái)務(wù)方面確保滿(mǎn)足應(yīng)急預(yù)案執(zhí)行所需的資源；定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，并根據(jù)不同預(yù)案確定演練周期；應(yīng)急預(yù)案定期進(jìn)