信息安全政策方针案例.doc

广州xxx 信息安全政策方针 历史版本编写、批准、发布信息记录表 版本号 创建人/创建日期 批准人/批准日期 生效日期 V1.0 / / / / / / / / / / / / / / / / / / / / / / / / / / / / / / 文档修改记录 序号 修改章节 文件更改通知单编号 修改日期 修改人 批准  目 录 第1章 基本方针 4 第2章 对策方针 7 第1节 信息安全管理体制 7 第2节 信息资产的保护对策 8 第3节 信息的管理 12 第4节 信息设备、媒体的管理 14 第5节 个人信息的管理 16 第6节 信息系统的使用人员管理 17 第7节 访问控制 19 第8节 系统管理员特权 20 第9节 系统操作记录 20 第10节 可用性对策 21 第11节 网络安全 22 第12节 互联网和电子邮件的利用 24 第13节 计算机病毒对策 25 第14节 安全漏洞对策 26 第15节 软件的管理 28 第16节 本单位信息系统的构筑、运用 28 第17节 设备对策 30 第18节 发生侵害信息安全时的对应 30 第19节 外包管理 32 第20节 单位成员就职、辞职和人事变动时的措施 32 第21节 信息安全的维持活动 34 各种细则 35 基本方针 （目的） 本信息安全政策之“基本方针”以及“对策方针”（以下称“本政策”）阐明了广州xxx（以下称“本单位”）对信息资产管理和信息安全的观点，是针对信息安全对策的方针而制定的，以实现下述事项为目的。 保护客户以及本单位的知识产权（包括机密信息和私人信息） 明确应该保护的信息资产以及对策 与信息安全相关的风险管理以及安全等级的维持、均一化 统一采取信息安全对策方面的判断标准 提高单位成员对信息安全的意识 有法必依，照章行事 （构成） 本政策由规定本单位信息安全方面的基本且一般性方向的“基本方针”以及按各条款规定具体性事项以及指标的“对策方针”构成。 “对策方针”是本单位在信息安全方面必须施行对策的条款中，所应该施行事项或者应该达到最低水平的指标，是基于以下构想而制定的。 从机密性、正确性、可用性的观点出发对信息资产的重要程度设立各个条款，将其分别设定为与上述重要程度相应的条款或指标。 对于信息资产的访问权（含浏览、更改、程序的起动）仅根据业务需要授权。 信息安全管理中，极力避免人员管理内容，积极采用信息技术，有组织地提高信息安全对策的可靠性为宗旨。 （适用人员以及适用业务） 本政策适用于就职于本单位的所有雇员及派遣员工。 外包对象，也必须遵守本政策。本政策中所提及的“外包对象”指： 合作单位及其员工 合同工（临时工等） 服务供应商及其员工 （信息资产的对象） 本政策信息资产对象包含各种文档以及数据等本单位的所有信息，此外还包括软硬件以及各种数据文件等信息技术性信息资产。 （经营职责） 信息安全主管领导要在理解本政策宗旨以及内容的基础上，给予足够的重视，在遵守其规定的同时，还要按照本政策采取与信息安全有关的对策措施。 信息安全主管领导要努力确保本政策所规定的条款稳定，不要随意变更，此外，当本政策所规定的条款存在不符合客观实际情况等不妥善之处时，要争取及时将其予以妥善修改。 信息安全主管领导要率先推进乃至实行基于本政策的信息安全对策。 （单位成员的职责） 全体单位成员要在理解本政策的宗旨及内容的基础上给予足够的重视，遵守其规定。 全体单位成员要努力加深对信息安全的认识和理解。 （信息安全管理组织） 为了进行信息安全对策的起草提案以及维持管理，设置信息安全委员会（SM委员会），由信息安全主管领导指名任命信息安全委员会委员长（SM委员长）。 各项目或各部的负责人（项目负责人、部长）要对各项目或各部遵守本政策以及有关规程进行管理，同时还要实施和审核信息安全对策。实施时，要指定各项目以及各部的信息安全主管（SM）。被指定的信息安全主管（SM）以信息安全委员会（SM委员会）的一员从事活动。 组织体系依据本政策末尾所记载的信息安全管理组织图设立。 （遵守法令等） 除本政策以及有关规程外，当法令、行政机构、本行业团体制定有关信息安全的指针中有与本单位的指针一致的话，必须遵守。 对策方针 信息安全管理体制 （信息安全委员会委员长（SM委员长）） 信息安全委员会委员长（SM委员长）负责指挥、监督信息安全对策的实施、维持。 信息安全委员会委员长（SM委员长）设置信息安全委员会，指挥信息安全对策的