信息安全策略.docx

三二一（北京）科技有限公司信息安 全策略 2016年8月 版本控制 版本 修改时间 修改内容 修改人员 审核人员 V1.0 2016-08-25 新增 陈达隆 吴为问 I 第一章 总则 第一条 为了建立、健全三二一（北京）科技有限公司的信息安全管理制度，按照相关的国家标准，确定信息安全方针和目标，对信息安全风险进行有效管理， 确保全体员工理解并遵照信息安全管理制度的相关规定执行， 改进信息安全管理制度的有效性， 特制定信息安全策略文档。 第二条 本文档适用于三二一 （北京）科技有限公司信息安全管理活动。 第二章 信息安全范围 第三条 信息安全策略涉及的范围包括： ( 一) 公司全体员工。 ( 二) 公司所有业务系统。 ( 三) 公司现有信息资产，包括与上述业务系统相关的数据、硬 件、软件、服务及文档等。 ( 四) 公司办公场所和上述信息资产所处的物理位置。 第三章 信息安全总体目标 第四条 通过建立健全公司各项信息安全管理制度、 加强公司员 工的信息安全培训和教育工作， 制定适合公司的风险控制措施， 有效 控制信息系统面临的安全风险，保障信息系统的正常稳定运行。 1 第四章 信息安全方针 第五条 公司主管领导定期组织相关人员召开信息安全会议， 对有关的信息安全重大问题做出决策。 第六条 清晰识别所有资产，实施等级标记，对资产进行分级、分类管理，并编制和维护所有重要资产的清单。 第七条 综合使用访问控制、 监测、审计和身份鉴别等方法来保证数据、网络、 信息资源的安全，并加强对外单位人员访问信息系统的控制，降低系统被非法入侵的风险。 第八条 启动服务器操作系统、网络设备、安全设备、应用软件的日志功能，定期进行审计并作相应的记录。 第九条 明确全体员工的信息安全责任， 所有员工必须接受信息安全教育培训，提高信息安全意识。针对不同岗位，制定不同等级培训计划，并定期对各个岗位人员进行安全技能及安全认知考核。 第十条 建立安全事件报告、 事故应答和分类机制， 确定报告可疑的和发生的信息安全事故的流程， 并使所有的员工和相关方都能理解和执行事故处理流程，同时妥善保存安全事件的相关记录与证据。 第十一条 对用户权限和口令进行严格管理，防止对信息系统的非法访问。 第十二条 制定完善的数据备份策略，对重要数据进行备份。数据备份定期进行还原测试， 备份介质与原信息所在场所应保持安全距离。 第十三条 与外单位的外包（服务）合同应明确规定合同参与 2 方的安全要求、 安全责任和安全规定等相关安全内容， 并采取相应措 施严格保证对协议安全内容的执行。 第十四条 在开发新业务系统时， 应充分考虑相关的安全需求， 并严格控制对项目相关文件和源代码等敏感数据的访问。 第十五条 定期对信息系统进行风险评估，并根据风险评估的 结果采取相应措施进行风险控制。 第十六条 上述方针由信息安全管理委员会批准发布，并定期 评审其适用性和充分性，必要时予以修订。 第五章 信息安全职责 第十七条 信息安全管理委员会负责批准信息安全策略文件并 且保证本文件被公司的各部门执行，同时负责对三二一（北京）科技 有限公司信息系统信息安全方面的指导方向、 安全建设等重大问题做 出决策，协调各个部门之间的安全协同工作， 支持和推动信息安全工 作在整个公司范围内的实施。 第十八条 信息技术部负责具体执行安全管理策略文件的建立、 实施、运作、监控、评审、维护和改进工作。 第十九条 三二一（北京）科技有限公司所有员工有责任了解 自身在信息系统信息安全方面的责任并认真执行。 第六章 信息安全管理原则 第二十条 信息安全管理工作实行“积极防范、突出重点、职 责到位、保障业务”和“谁主管、谁负责”的管理原则。 3 第七章 信息安全策略 一、 安全管理制度策略 第二十一条 由公司统一制定信息安全工作的总体方针和安全策略，说明安全工作的总体目标、范围、原则和安全框架，形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。 第二十二条 信息技术部负责安全管理制度的制定，安全管理制度应具有统一的格式和版本控制， 同时并组织相关人员对制定的安全管理制度进行论证和审定， 并通过脐橙金融网络借贷信息中介平台进行发布。 第二十三条 信息安全管理委员会负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定， 对存在不足或需要改进的安全管理制度进行修订。 二、 安全管理机构策略 第二十四条 成立信息安全管理委员会， 全面负责信息安全工作。 第二十五条 信息技术部作为信息安全管理工作的职能部门，并设立安全管理专员，并设立应用系统管理员、数据库管理员、网络管理员等岗位，并定义各岗位的职责。 第二十六条 关键事务岗位应配备 AB角。 第二十七条 针对系统变更、重要操作、物理访问和系统接