信息安全方针(gas).docVIP

信息安全方针 Version 1.0 中密 文档控制 文档名称： 信息安全方针 机密分类： 内部 版本控制： 版本号 定版日期 作者 更新说明 文档审定： 姓名 部门（文档部分所有者） 复查计划： 复查时间 复查结果 发布批准人： 分发控制： 人员 文档权限 与文档的主要关系  目标 提高XXX全员的信息安全意识,积极做好预防工作,贯彻落实安全方针和各项安全措施,保护客户信息和提交的各种资料，保护包括业务支撑网、业务网、XXX范围内的信息资产免受内外部威胁，防止安全事故的发生，最小化安全事故的影响，增强客户信心，提高XXX竞争力，保证XXX业务可持续开展。 范围： 信息安全管理体系（ISMS）适用于XXX所有与业务支撑网、业务网和XXX网络相关的业务活动。 信息安全管理体系用于保护XXX所有信息资产，例如： 属于业务支撑网、业务网和XXX产权的信息如技术资料、操作文件 客户信息、市场信息、供应商信息、商业合同、人事信息、财务信息 物理设备，如计费主机、存储设备等 计算机网络系统、电话系统、电力通信设施、办公场所和机房等 内容 XXX成立信息安全委员会来领导信息安全工作。 要对XXX信息资产实行有效管理，来确保信息的机密性，维持信息的完整性和可用性，防范信息未经授权的访问。 XXX所有员工都必须接受信息安全的教育培训，提高信息安全意识。 XXX应遵守各项法律法规的要求,同时还要利用法律法规保护计费信息系统部的利益。 建立一套完整的事故处理程序,明确所有员工的安全责任，确定报告可疑的和发生的信息安全事故的流程,对违反安全制度的人员进行惩罚。 要对Internet的访问进行严格的控制,以确保信息的机密性。 保护XXX软件和信息的完整性，防止病毒与各种恶意软件的入侵。 任何人在未经审批的情况下，不准将信息资产带离XXX。 所有XXX员工都要严格遵守xxx的安全方针、程序和制度。 控制对内外部网络服务的访问，保护网络化服务的安全性与可用性 对用户权限和口令进行严格管理，防止对信息系统的非法访问。 对重要信息备份保护，以保证信息的可用性。 实施业务连续性计划，对重要的机房和设备购买保险和进行容灾备份，以保证XXX主要业务流程不受重大故障和灾难的影响。 定期对本方针进行回顾和评审。 相关文件 适用于XXX所有的人员和某些合同供应商，无论以任何形式，只要与信息安全管理体系范围内的信息资产有关，都有实施本方针的责任，并从本方针的发布者得到必要支持。 支持策略的程序包括： 组织安全方针 信息资产管理规定 信息安全方针 第3页 共6页