信息安全方针.pdfVIP

ISMS 密级：敏感 文档编号： ISMS-A-01 信息安全方针 版本号： V1.0 信息安全方针 苏州 XXXX有限公司 编制： 审核： 批准： 实施日期： 保密说明：。 受控文件 第 1 页 ISMS 修订页 日期 版本号 修订说明 修订人 审核人 批准人 2011-10-28 V1.0 新版发行 受控文件 第 2 页 ISMS 目录 1. 目的和使用范围 4 2. 信息安全定义 4 3. 信息安全方针 4 4. 安全管理机构 4 5. 职责 5 6. 信息安全管理体系实施框架 6 7. 重要原则、标准和符合性要求 6 8. 评审 7 9. 相关文件 7 受控文件 第 3 页 ISMS 1. 目的和适用范围 信息安全管理体系方针指明了公司的信息安全目标和方向， 并可以确保信息安全管理体系被 充分理解和贯彻实施。为明确信息安全管理体系方针，特制定本文件。此外，本文件还描述了公 司的信息安全管理体系的范围。 本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。 2. 信息安全定义 信息安全是指保证信息的保密性、完整性、可用性；另外也可包括诸如真实性、可核查性、 不可否认性和可靠性等特性。 信息是对公司业务至关重要的一种资产， 因此需要加以适当的保护。 在业务环境互连日益增 加的情况下这一点显得尤为重要。 信息安全可防止信息受到各种威胁， 以确保业务连续性， 是业 务风险最小化，投资回报和商业机遇最大化。 3. 信息安全方针 公司信息安全方针为： 全员参与、控制风险；积极预防、持续改进；客户信赖、永续经营 。 4. 安全管理机构 根据 ISO/IEC 27001:2005 的要求，为了确保信息安全工作有一个明确的方向和获得可见的 管理者支持，公司设立以下不同级别的信息安全管理机构。 信息安全管理委员会 信息安全管理委员会是本公司信息安全管理工作的最高领导机构，承担以下方面的工作： 1) 审批信息安全方针和总体职责； 2) 审批信息安全的特殊方法和过程，如风险评估等； 3) 审批加强信息安全的重大举措； 4) 提供所需要的足够的资源； 5) 协调本 ISMS 、公司质量管理体系和公司其他规章制度之间的关系。 信息安全委员会主席由总经理担任，常务副主席由公司总经理任命（管理者代表）