信息安全方針

1、密級(jí)：敏感文檔編號(hào)：ISMS-A-01信息安全方針版本號(hào)：信息安全方針蘇州XXXX有限公司保密說(shuō)明：。1受控文件修訂頁(yè)日期版本號(hào)修訂說(shuō)明修訂人審核人知匕準(zhǔn)人2011-10-28新版發(fā)行2受控文件第2頁(yè)3受控文件目錄 TOC o 1-5 h z 目的和適用范圍5 HYPERLINK l bookmark6 o Current Document 信息安全定義5 HYPERLINK l bookmark8 o Current Document 信息安全方針5安全管理機(jī)構(gòu)5 HYPERLINK l bookmark16 o Current Document 職責(zé)6 HYPERLINK l bookma

2、rk28 o Current Document 信息安全管理體系實(shí)施框架8 HYPERLINK l bookmark30 o Current Document 重要原則、標(biāo)準(zhǔn)和符合性要求8 HYPERLINK l bookmark32 o Current Document 評(píng)審9相關(guān)文件94受控文件1.目的和適用范1.目的和適用范信息安全管理體系方針指明了公司的信息安全目標(biāo)和方向，并可以確保信息安全管理體系被 充分理解和貫徹實(shí)施。為明確信息安全管理體系方針，特制定本文件。此外，本文件還描述了公 司的信息安全管理體系的范圍。本文件適用于公司信息安全管理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及

3、過(guò)程。.信息安全定義信息安全是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實(shí)性、可核查性、 不可否認(rèn)性和可靠性等特性。信息是對(duì)公司業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)谋Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增 加的情況下這一點(diǎn)顯得尤為重要。信息安全可防止信息受到各種威脅，以確保業(yè)務(wù)連續(xù)性，是業(yè) 務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。.信息安全方針公司信息安全方針為：全員參與、控制風(fēng)險(xiǎn)；積極預(yù)防、持續(xù)改進(jìn)；客戶信賴、永續(xù)經(jīng)營(yíng)。4安全管理機(jī)構(gòu) .根據(jù)ISO/IEC 27001:2005的要求，為了確保信息安全工作有一個(gè)明確的方向和獲得可見的 管理者支持，公司設(shè)立以下不同級(jí)別的信息安全管理機(jī)構(gòu)。信

4、息安全管理委員會(huì)信息安全管理委員會(huì)是本公司信息安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，承擔(dān)以下方面的工作：1）審批信息安全方針和總體職責(zé)；2）審批信息安全的特殊方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估等；3）審批加強(qiáng)信息安全的重大舉措；4）提供所需要的足夠的資源；5）協(xié)調(diào)本ISMS、公司質(zhì)量管理體系和公司其他規(guī)章制度之間的關(guān)系。信息安全委員會(huì)主席由總經(jīng)理?yè)?dān)任，常務(wù)副主席由公司總經(jīng)理任命（管理者代表）；信息安5受控文件 全管理委員會(huì)由相關(guān)部門的信息安全員組成。信息安全管理委員會(huì)主要工作為：在信息安全管理 委員會(huì)主席/副主席的領(lǐng)導(dǎo)下，負(fù)責(zé)公司日常信息安全的管理與監(jiān)督活動(dòng)，并對(duì)相關(guān)部門提供指 導(dǎo)和對(duì)需要培訓(xùn)的員工進(jìn)行培訓(xùn)。信息安

5、全員相關(guān)部門指定一位兼職的信息安全員，參與/配合信息安全委員會(huì)的活動(dòng)，指導(dǎo)本部門信息 安全管理并實(shí)施對(duì)其本部門的日常信息安全監(jiān)視和檢查工作。5.職責(zé)（1）公司領(lǐng)導(dǎo)職責(zé)公司領(lǐng)導(dǎo)應(yīng)具有以下方面的職責(zé)：1）制定信息安全方針；2）向公司員工傳達(dá)滿足信息安全目標(biāo)和符合信息安全方針、法律法規(guī)要求的重要性；3）主持ISMS的管理評(píng)審；4）提供開發(fā)、實(shí)施、運(yùn)行和維護(hù)ISMS所需的足夠的資源；5）決定可接受的風(fēng)險(xiǎn)級(jí)別。（2）部門領(lǐng)導(dǎo)職責(zé)部門領(lǐng)導(dǎo)（主要是部門經(jīng)理）必須：1）明確本部門所管理的（包括本公司的和相關(guān)方提供的）信息資產(chǎn)的類型，并進(jìn)行資產(chǎn)登 記和指定負(fù)責(zé)人。2）對(duì)本部門所管理的關(guān)鍵信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)

6、別其所受的威脅、機(jī)密級(jí)別（密級(jí)信 息按其所受的危險(xiǎn)程度，可依次分為“絕密”、“機(jī)密”、“秘密”、“敏感”、“一般”）、風(fēng) 險(xiǎn)級(jí)別（資產(chǎn)按其所受的危險(xiǎn)程度，可依次分為：“很高”、“高”、“一般”、“低”）、脆6受控文件 弱性和潛在的影響，并制定與其相適應(yīng)的控制措施。3）向信息安全管理委員會(huì)報(bào)告信息被危及的任何跡象，或信息可能被泄露或損毀的任何可 疑活動(dòng)和行為。項(xiàng)目主管職責(zé)這里所說(shuō)的項(xiàng)目主管是指在部門經(jīng)理領(lǐng)導(dǎo)下主持某些領(lǐng)域工作的人員。他們必須：1）向部門經(jīng)理說(shuō)明本領(lǐng)域特殊的信息安全要求；2）按本領(lǐng)域特殊的信息安全要求，保護(hù)本領(lǐng)域的信息資產(chǎn)的安全；3）聯(lián)系相關(guān)技術(shù)支持人員（包括網(wǎng)絡(luò)維護(hù)員、網(wǎng)絡(luò)管理員

7、和系統(tǒng)管理員等），確保其所屬 的每一位員工的機(jī)器都安裝和定期更新可靠的防殺病毒軟件，并及時(shí)安裝系統(tǒng)補(bǔ)丁軟件 包。（4）員工職責(zé)1）每一位員工或使用本公司信息的人員都要遵守本方針，都有保護(hù)公司信息資產(chǎn)、系統(tǒng)和 基礎(chǔ)設(shè)施安全的職責(zé)。2）每一位員工都應(yīng)采取適當(dāng)?shù)拇胧òㄔO(shè)置密碼），保護(hù)其所負(fù)責(zé)的所有形式的機(jī)密信 息在管理、使用、存儲(chǔ)、處理和傳輸中的安全。3）員工外出工作需要攜帶設(shè)備時(shí)，必須獲得相關(guān)領(lǐng)導(dǎo)者的批準(zhǔn)，并應(yīng)采取相應(yīng)的保護(hù)措施， 防止丟失，防止損毀，確保信息安全。如：設(shè)備必須設(shè)置密碼、不留在公共場(chǎng)所無(wú)人看 管、不暴露于強(qiáng)電磁場(chǎng)等。4）任何員工都有義務(wù)向其直接領(lǐng)導(dǎo)或信息安全管理委員會(huì)報(bào)告可能會(huì)

8、危及密級(jí)信息安全 的任何活動(dòng)、行為和提出改進(jìn)建議。（5）使用者職責(zé)這里所說(shuō)的使用者是指訪問(wèn)本公司密級(jí)信息的人員。1）使用者必須獲得授權(quán)、了解該信息的安全要求，并采取相應(yīng)的安全保護(hù)措施。7受控文件2）如果已授權(quán)的使用者不了解其所要訪問(wèn)的信息的安全要求，那么他必須對(duì)該信息提供最 高極限的保護(hù)。3）使用者應(yīng)小心保護(hù)其訪問(wèn)信息的密碼、物理鑰匙和ID卡，一旦發(fā)生密碼泄露或鑰匙、 ID卡丟失，應(yīng)立即向其直接領(lǐng)導(dǎo)報(bào)告并承擔(dān)相應(yīng)責(zé)任。6.信息安全管理體系實(shí)施框架公司要根據(jù)所要實(shí)現(xiàn)的信息安全目標(biāo)選取適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法，并制定風(fēng)險(xiǎn)評(píng)估程序以持續(xù) 適用于公司的信息安全管理體系。信息安全風(fēng)險(xiǎn)在被識(shí)別后，應(yīng)進(jìn)行分析和評(píng)

9、價(jià)，根據(jù)其結(jié)果，選取合適的控制措施，以滿足 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的需求?？刂拼胧┑倪x擇還應(yīng)考慮可接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律 法規(guī)和合同要求。本公司風(fēng)險(xiǎn)接受準(zhǔn)則是：如果降低風(fēng)險(xiǎn)所付出的成本大于風(fēng)險(xiǎn)所造成的損失，則選擇接受風(fēng) 險(xiǎn)?？山邮艿娘L(fēng)險(xiǎn)級(jí)別為：按照公司所采取的風(fēng)險(xiǎn)評(píng)估方法，風(fēng)險(xiǎn)共分4級(jí)，可接受風(fēng)險(xiǎn)級(jí)別為 低風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)，或者管理者批準(zhǔn)接受的風(fēng)險(xiǎn)；較高風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)不能接受。7重要原則、標(biāo)準(zhǔn)和符合性要求 .1）法律法規(guī)和合同要求的符合性公司在建立和管理信息安全管理體系時(shí)，必須符合相關(guān)法律法規(guī)和合同的要求。2）安全教育、培訓(xùn)和意識(shí)要求所有分配有信息職責(zé)的人員必須具備執(zhí)行所要求任務(wù)的能力，因此公司要確定這些人員所必 要的能力，提供能力培訓(xùn)，必要時(shí)，可聘用有能力的人員以滿足這些需求。同時(shí)要評(píng)價(jià)所提供的 培訓(xùn)和所采取的措施的有效性，保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。另外，公司還要確 保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到信息安全管理體系目 標(biāo)做出貢獻(xiàn)。3）業(yè)務(wù)持續(xù)性管理8受控文件為防止公司業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受重大失誤或?yàn)?zāi)難的影響，以及確保它們的及時(shí)恢復(fù)，業(yè)務(wù)持續(xù)性管理計(jì)劃必須考慮信息和信息安全的需求，對(duì)能引起業(yè)務(wù)流程中斷的事態(tài)進(jìn)行識(shí)別，連同這種中斷發(fā)生的概率和影響，以及它們對(duì)信息安全的后果