信息安全总体方针和安全策略指引.docxVIP

WORD格式 专业资料整理 XXX公司 信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求， 加强公司信息安 全经管工作，切实提高公司信息系统安全保障能力，特制定本指引。 第二条本指引适合于公司。 第三条公司信息安全经管遵循如下原则： ( 一) 主要领导负责原则：公司主要领导负责信息安全经管工作，统 筹规划信息安全经管目标和策略， 建立信息安全保障队伍并合理配置 资源； ( 二) 全员参与原则：公司全员参与信息系统的安全经管工作，将信 息安全与本职工作相结合， 相互协同工作， 认真落实信息安全经管要 求，共同保障信息系统安全； ( 三) 合规性原则：信息安全经管制度遵循国际信息安全经管规范， 以国家信息安全法律、法规、规范、规范为根本依据，全面符合相关 主管部门和公司的各类要求。 ( 四) 监督制约原则：信息系统安全经管组织结构、组织职责、岗位 职责、工作流程层面、执行层面建立相互监督制约机制，降低因缺乏 约束而产生的安全风险。 ( 五) 规范化原则：通过建立规范化的工作流程，在执行层面对信息 系统安全工作进行合理控制，降低由于工作随意性而产生的安全风 1 / 6 险，同时提升信息安全经管制度的可操作性。 ( 六) 持续改进原则：通过不断的持续改进，每年组织公司经管层对 制度的全面性、适用性和有效性进行论证和审定，并进行版本修订。 第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关规范， 并结合公司已有网络与信息安全体系建 设的实际情况， 最终形成依托于安全保护对象为基础， 纵向建立安全 经管体系、安全技术体系、 安全运行体系和安全经管中心的“三个体 系，一个中心，三重防护”的安全保障体系框架。 ( 一) “三个体系”：信息安全经管体系、信息安全技术体系和信息安 全运行体系，把信息安全规范的控制点和公司实际情况相结合形成相 适应的体系结构框架； ( 二) “一个中心”：信息安全经管中心，实现“自动、平台化”的安 全工作经管、统一技术经管和安全运维经管； ( 三) “三重防护”：安全计算环境防护措施、安全区域边界防护措施 和安全网络通信防护措施， 把安全技术控制措施与安全保护对象相结 合。 第六条公司安全保障框架： ( 一) 安全经管体系：信息安全经管体系重点落实安全经管制度、安 全经管机构和人员安全经管的相关控制要求， 并结合公司的实际情况 形成符合行业和国家信息安全规范的信息安全经管体系框架。 ( 二) 安全技术体系：通过安全技术在物理、网络、主机、应用和数 2 / 6 据各个层面的实施， 建立与公司实际情况相结合的安全技术体系。 同 时与“安全计算环境、安全区域边界和安全网络通信”的保护对象相 作用，形成依托于保护对象的安全技术体系控制措施。 ( 三) 安全运行体系：信息安全运行体系重点落实系统建设经管和系 统运维经管的相关控制要求， 并与公司实际情况相结合， 形成符合行 业和国家信息安全规范的信息安全运行体系框架。 ( 四) 安全经管中心：根据信息安全相关要求和安全设计技术要求的相关内容，信息安全经管中心通过“自动、平台化”的方式，对信息安全经管体系、信息安全技术体系以及信息安全运行体系的相关控制内容，结合公司的实际情况加以落实。 第七条公司信息安全总体目标是： 依照业务信息系统的实际情况和现实问题为基础，参照国内、 国际的安全规范和规范，充分利用成熟的信息安全理论成果，设计出整体性好、可操作性强，并且融组织、经管和技术为一体的设计方案，达到行业和国家信息安全规范的要求。 第三章安全策略 第八条建立信息安全领导小组， 负责组织、落实国家信息安全相关政策、法规和规范要求，审核并制定公司信息安全的发展战略、规划、政策和经管制度，落实《公司信息安全组织及职责经管办法》 。 第九条保持与国家信息安全主管机构、 监管机构、上级主管单位和支撑企业信息安全建设、运营单位的联络，制定完整的《公司常用信息安全组织机构信息表》，确保与外部机构的沟通畅通。 第十条加强公司内部人员在录用前、 工作期间、调岗和离岗的人员安 3 / 6 全经管，确保公司内部人员的背景、身份、专业资格和职能权限的安全性，要求信息安全人员签署保密协议，落实《公司内部人员信息安全经管办法》。 第十一条加强外部人员的安全经管，防范外部人员带来的安全风险，规范外部人员在公司各项与信息系统相关的活动所要遵守的行为准则，严格落实《公司外部人员信息安全经管办法》 。 第十二条每年组织开展全员信息安全教育或培训， 提升公司全员的信息安全意识，确保公司信息安全目标和策略能够得到必要的宣贯。 第十三条建立信息安全经管制度制定、 发布、审核和修订的经管要求，并满足国家法律、 政策和规范的要求， 确