信息安全策略.docx

PAGE1

信息安全策略

批准人签字

审核人签字

制订人签字

日期：

日期：

日期：

信息安全策略

变更履历

序号

版本编号或更改记录编号

变化状态*

简要说明(变更内容、变更位置、变更原因和变更范围)

变更日期

变更人

审核人

批准人

批准日期

*变化状态：C——创建，A——增加，M——修改，D——删除

目的：

制定公司在A5到A15方面的具体控制措施，以达到：

在内部建立一套通用的、行之有效的信息安全机制；

在全体员工中树立起信息安全责任感；提高全体员工的信息安全意识和信息安全知识水平。

增强信息资产的可用性、完整性和保密性；

范围：

本策略适用范围，包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域、人员等。对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。

术语和定义：

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC27001:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。

引用文件

ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系要求》

ISO/IEC27002:2005《信息技术-安全技术-信息安全管理实施细则》

职责和权限

信息安全委员会：审查批准本策略，并在公司内发布。

信息安全工作小组：负责对信息安全策略进行编写、评审，监督和检查公司全体员工执行情况。

信息安全方针

目标：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。

相关文件：《信息安全管理手册》《信息安全方针》《信息安全策略》《风险评估控制程序》《管理评审控制程序》和《内部审核控制程序》

本策略必须得到管理层批准，并向所有员工和相关第三方公布传达，全体人员必须履行相关的义务，享受相应的权利，承担相关的责任。

策略维护和评审

本策略通过以下方式进行文档的维护工作：

必须每年按照《风险评估控制程序》进行例行的风险评估，如遇以下情况必须及时进行风险评估：

发生重大安全事故

组织或技术基础结构发生重大变更

安全管理小组认为应当进行风险评估的

其他应当进行安全风险评估的情形

风险评估之后根据需要进行安全策略条目的修订，并在公司内公布传达。

每年必须参照《管理评审控制程序》和《内部审核控制程序》执行公司对本策略的管理评审。

信息系统安全组织

内部组织

目标：在组织内部管理信息安全。

相关文件：《信息安全管理手册》《信息安全交流控制程序》《风险评估控制程序》《管理评审控制程序》和《内部审核控制程序》。

公司成立信息安全委员会，由最高管理者对信息安全承担最终责任。具体请参照《信息安全方针》的[附录D:信息安全组织结构图]，[附录E:信息安全职责说明]及《信息安全体系要求与部门职能分配表》

公司的信息安全具体管理工作采取信息安全工作小组统一管理方式，其他相关部门配合执行。具体请参照《信息安全管理手册》的[附录C:信息安全组织结构图]，[附录D:信息安全职责说明]及《附录B:信息安全体系要求与部门职能分配表》

各个部门之间必须紧密配合共同进行信息安全管理体系的维护和建设。具体请参照《信息安全管理手册》的[附录D:信息安全职责说明]及《附录B:信息安全体系要求与部门职能分配表》。

任何新的信息系统处理设施必须经过管理授权的过程。并更新至《信息资产识别表》。

信息系统内的每个重要的资产需要明确所有者、使用者。参见《信息资产识别表》。

应当与政府机构保持必要的联系共同协调信息安全相关问题。这些部门包括执法部门、消防部门、上级监管部门、电信供应商等提供公共服务的部门。

应当与相关信息安全团体保持联系，以取得信息安全上必要的支持。这些团体包括外部安全咨询商、独立的安全技术专家等。

信息安全工作小组每年至少进行一次信息安全风险评估工作（参照《风险评估控制程序》，并对安全策略进行复审。信息安全委员会每年对风险评估结果和安全策略的修改进行审批。

每年或者发生重大信息安全变化时必须参照《管理评审控制程序》和《内部审核控制程序》执行公司内部审核。

外部组织

目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的安全。

相关文件：《第三方服务管理规定》《信息安全交流控制程序》、《访问控制程序》

第三方访问是指非本公司人员对公司资源的访问。第三方包含如下人员：

硬件及软件技术支持、维护人员；

清洁人员、送餐人员