01 信息安全总体方针和安全策略指引.docVIP

XXX公司 信息安全总体方针和安全策略指引 第一章 总 则 第一条 为了进一步深入贯彻落实国家政策文件要求，加强公司信息安全管理工作，切实提高公司信息系统安全保障能力，特制定本指引。 第二条 本指引适合于公司。 第三条 公司信息安全管理遵循如下原则： (一) 主要领导负责原则：公司主要领导负责信息安全管理工作，统筹规划信息安全管理目标和策略，建立信息安全保障队伍并合理配置资源； (二) 全员参与原则：公司全员参与信息系统的安全管理工作，将信息安全与本职工作相结合，相互协同工作，认真落实信息安全管理要求，共同保障信息系统安全； (三) 合规性原则：信息安全管理制度遵循国际信息安全管理标准，以国家信息安全法律、法规、标准、规范为根本依据，全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则：信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制，降低因缺乏约束而产生的安全风险。 (五) 规范化原则：通过建立规范化的工作流程，在执行层面对信息系统安全工作进行合理控制，降低由于工作随意性而产生的安全风险，同时提升信息安全管理制度的可操作性。 (六) 持续改进原则：通过不断的持续改进，每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定，并进行版本修订。 第四条 本指引适用于公司全体人员。 第二章 信息安全保障框架及目标 第五条 参照国内外相关标准，并结合公司已有网络与信息安全体系建设的实际情况，最终形成依托于安全保护对象为基础，纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系，一个中心，三重防护”的安全保障体系框架。 (一) “三个体系”：信息安全管理体系、信息安全技术体系和信息安全运行体系，把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架； (二) “一个中心”：信息安全管理中心，实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理； (三) “三重防护”：安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施，把安全技术控制措施与安全保护对象相结合。 第六条 公司安全保障框架： (一) 安全管理体系：信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求，并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。 (二) 安全技术体系：通过安全技术在物理、网络、主机、应用和数据各个层面的实施，建立与公司实际情况相结合的安全技术体系。同时与“安全计算环境、安全区域边界和安全网络通信”的保护对象相作用，形成依托于保护对象的安全技术体系控制措施。 (三) 安全运行体系：信息安全运行体系重点落实系统建设管理和系统运维管理的相关控制要求，并与公司实际情况相结合，形成符合行业和国家信息安全标准的信息安全运行体系框架。 (四) 安全管理中心：根据信息安全相关要求和安全设计技术要求的相关内容，信息安全管理中心通过“自动、平台化”的方式，对信息安全管理体系、信息安全技术体系以及信息安全运行体系的相关控制内容，结合公司的实际情况加以落实。 第七条 公司信息安全总体目标是：依照业务信息系统的实际情况和现实问题为基础，参照国内、国际的安全标准和规范，充分利用成熟的信息安全理论成果，设计出整体性好、可操作性强，并且融组织、管理和技术为一体的设计方案，达到行业和国家信息安全标准的要求。 第三章 安全策略 第八条 建立信息安全领导小组，负责组织、落实国家信息安全相关政策、法规和标准要求，审核并制定公司信息安全的发展战略、规划、政策和管理制度，落实《公司信息安全组织及职责管理办法》。 第九条 保持与国家信息安全主管机构、监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络，制定完整的《公司常用信息安全组织机构信息表》，确保与外部机构的沟通畅通。 第十条 加强公司内部人员在录用前、工作期间、调岗和离岗的人员安全管理，确保公司内部人员的背景、身份、专业资格和职能权限的安全性，要求信息安全人员签署保密协议，落实《公司内部人员信息安全管理办法》。 第十一条 加强外部人员的安全管理，防范外部人员带来的安全风险，规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则，严格落实《公司外部人员信息安全管理办法》。 第十二条 每年组织开展全员信息安全教育或培训，提升公司全员的信息安全意识，确保公司信息安全目标和策略能够得到必要的宣贯。 第十三条 建立信息安全管理制度制定、发布、审核和修订的管理要求，并满足国家法律、政策和规范的要求，确保信息安全管理制度持续改进，落实《公司信息安全制度管理办法》。 第十四条 确保信息化建设的项目立项、设计、实施、验收等各个环节与信息安全管理控制机制的有机结合，实现项目工程管理过