上傳人：1***

認(rèn)證信息

認(rèn)證類型：個人認(rèn)證

認(rèn)證主體：鄒**（實名認(rèn)證）

IP屬地：山東

IP屬地：山東 上傳時間：2024-12-29 格式：DOCX 頁數(shù)：6 大小：23.69KB 積分：12 舉報 版權(quán)申訴

【企業(yè)名稱】信息安全方針和信息安全目標(biāo)文檔信息文檔編號：ISM-4-6.2-01文檔名稱：信息安全方針和信息安全目標(biāo)起草人：審核人：批準(zhǔn)人：生效日期：2022.12.01發(fā)布范圍：內(nèi)部版本記錄版本號版本日期修改修改章節(jié)修改記錄A/02022.12.01創(chuàng)建新文檔信息安全方針：強化意識、積極防御、風(fēng)險控制、持續(xù)改進(jìn)本公司信息安全管理方針包括內(nèi)容如下：一、信息安全管理機制公司采用系統(tǒng)的方法，按照ISO/IEC27001:2022建立信息安全管理體系，全面保護(hù)本公司的信息安全。二、信息安全管理小組公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。在公司內(nèi)部建立信息安全管理小組，保證信息安全管理體系的有效運行。與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。三、人員安全信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責(zé)和權(quán)限。對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安全意識。全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。五、風(fēng)險評估根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準(zhǔn)則。采用先進(jìn)的風(fēng)險評估技術(shù)，定期進(jìn)行風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。六、報告安全事件公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。全體員工有報告信息安全隱患、威脅、薄弱點、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報告。接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果。七、監(jiān)督檢查定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。八、業(yè)務(wù)持續(xù)性公司根據(jù)風(fēng)險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。定期對業(yè)務(wù)持續(xù)性計劃進(jìn)行測試和更新。九、違反信息安全要求的懲罰對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。信息安全目標(biāo)：目標(biāo)計算方法及依據(jù)受控信息泄露的事態(tài)發(fā)生≤1起；顧客保密性投訴的次數(shù)每年不超過1起信息安全培訓(xùn)率≥99%信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時間內(nèi)恢復(fù)的次數(shù)0起/年目標(biāo)量化：可用性目標(biāo)確保本公司業(yè)務(wù)系統(tǒng)能有效率地運轉(zhuǎn)并使所有授權(quán)用戶得到所需信息服務(wù)。完整性目標(biāo)確保本公司業(yè)務(wù)系統(tǒng)在存儲、處理和傳輸過程中不會以非授權(quán)方式更改數(shù)據(jù)；確保本公司業(yè)務(wù)系統(tǒng)不受非法操作干擾并以無損方式執(zhí)行預(yù)定功能。保密性目標(biāo)確保本公司業(yè)務(wù)系統(tǒng)在存儲、處理和傳輸過程中的數(shù)據(jù)不向非授權(quán)用戶暴露。信息安全公司目標(biāo)考核記錄最新評價日期：考核人：序號目標(biāo)量化指標(biāo)考核頻次上半年下半年目標(biāo)完成情況評價目標(biāo)完成情況評價1受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生目標(biāo)考核符合要求2顧客保密性投訴的次數(shù)每年不超過≤1起未發(fā)生目標(biāo)考核符合要求3信息安全培訓(xùn)實施率≥99%100%目標(biāo)考核符合要求4信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時間內(nèi)恢復(fù)的次數(shù)每年不超過0起0目標(biāo)考核符合要求信息安全部門目標(biāo)考核記錄最新評價日期：考核人：部門序號目標(biāo)量化指標(biāo)考核頻次上半年下半年目標(biāo)完成情況評價目標(biāo)完成情況評價管理運營部1受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求2顧客保密性投訴的次數(shù)每年不超過≤1起1次/半年未發(fā)生信息安全事件考核符合要求3信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時間內(nèi)恢復(fù)的次數(shù)每年不超過0起1次/半年未發(fā)生信息安全事件考核符合要求智慧城市事業(yè)部1顧客保密性投訴的次數(shù)每年不超過≤1起1次/半年未發(fā)生信息安全事件考核符合要求2受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求3機密信息泄露的事態(tài)不得發(fā)生0起1次/半年未發(fā)生信息安全事件考核符合要求4重要信息設(shè)備丟失每年0起1次/半年未發(fā)生信息安全事件考核符合要求5信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時間內(nèi)恢復(fù)的次數(shù)每年不超過0起1次/半年未發(fā)生信息安全事件考核符合要求安全質(zhì)量部1受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求2重要信息設(shè)備丟失0起1次/半年未發(fā)生信息安全事件考核符合要求人力資源部1信息安全培訓(xùn)實施率≥99%1次/半年100%考核符合要求2受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求采購保障部1供方保密性投訴的次數(shù)每年不超過≤1起1次/半年未發(fā)生信息安全事件考核符合要求2受控信息泄露的事態(tài)發(fā)生≤1起1次/半年未發(fā)生信息安全事件考核符合要求財務(wù)資產(chǎn)部1財務(wù)數(shù)據(jù)泄露的事態(tài)不得發(fā)生0起1次/半年未發(fā)生信息安全事件考核符合要求2重要信息設(shè)備丟失0起1次/半年未發(fā)生信息安全事件考核符合要求考核要求