信息安全策略.pdfVIP

信息安全策略 目 录 1. 目的和范围 2 2. 术语和定义 2 3. 引用文件 5 4. 职责和权限 6 5. 信息安全策略 6 5.1. 信息系统安全组织 7 5.2. 资产管理 10 5.3. 人员信息安全管理 12 5.4. 物理和环境安全 14 5.5. 通信和操作管理 18 5.6. 信息系统访问控制 25 5.7. 信息系统的获取、开发和维护安全 30 5.8. 信息安全事故处理 34 5.9. 业务连续性管理 35 5.10. 符合性要求 39 1 附件 41 1. 目的和范围 1) 本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全 行为的指导方针，同时也是建立完整的安全管理体系最根本的基础。 2) 信息安全策略是在信息安全现状调研的基础上，根据 ISO27001 的最佳实践， 结合现有规章制度制定而成的信息安全方针和策略文档。 本文档遵守政府制定的 相关法律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强制实 施。 3) 建立信息安全策略的目的概括如下： a) 在内部建立一套通用的、行之有效的安全机制； b) 在的员工中树立起安全责任感； c) 在中增强信息资产可用性、完整性和保密性； d) 在中提高全体员工的信息安全意识和信息安全知识水平。 本安全策略适用于公司全体员工，自发布之日起执行。 2. 术语和定义 1) 解释 信息安全 是指保护信息资产免受多种安全威胁， 保证业务连续性， 将安 全事件造成的损失降至最小， 同时最大限度地获得投资回报和 商业机遇。 可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息 资产。 保密性 确保只有经过授权的人才能访问信息。 完整性 保护信息和信息的处理方法准确而完整。 保密信息 安全规章定义的密级信息。 信息安全策略 正确使用和管理 IT 信息资源并保护这些资源使得它们拥有更 好的保密性、完整性、可用性的策略。 风险评估 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发 生的可能性。 风险管理 以可以接受的成本，确认、控制、排除可能影响信息系统的安 全风险或将其带来的危害最小化的过程。 计算机机房 装有计算机主机、 服务器和相关设备的，除了安装和维护的情 况外，不允许人员在里边工作的专用房间。 员工 在系统内工作的正式员工、雇佣的临时工作人员。 用户 被授权能使用 IT 系统的人员。 信息资产 与信息系统相关联的信息、信息的处理设备和服务。 信息资产责任人 是指对某项信息资