信息安全策略.docxVIP

信息安全策略

主责部门：质量中心

编制：年月日

审核：年月日

审查：年月日

批准：年月日

实施日期：2024年9月12日

文件编号

版本号

A/0

收发管理号

受控状态（盖章）

有限公司

文件编号

管理文件

页数

信息安全策略

版本号

A/0

第

第PAGE3页共15页

件版本号

修改内容说明

修改处数

修改人

生效日期

内部公开

1目的

为确保《信息安全手册》中明确规定的公司信息安全基本方针得到贯彻执行，规定必要的组织、体制、应遵守行为等，增强信息资产保密性、完整性和可用性，达成信息安全目标。

2适用范围

本适用于本公司的全体员工、相关公司、外部委托者等使用本公司管理下的信息资产的所有人员。

3术语和定义

3.1策略

可以实现目标的方案集合，是组织的意图和方向，由其最高管理层正式表达。

3.2信息安全策略

正确使用和管理信息资产使得它们拥有更好的保密性、完整性、可用性的策略。

4职责、权限与资格

4.1质量中心：负责编制本信息安全策略，每年在风险评估后对信息安全策略进行修订（必要时），并及时传达给所有员工，监督策略的执行情况。

4.2各部门：按信息安全策略内容执行相关要求。

5信息安全策略展开

5.1组织安全

5.1.1信息安全组织机构策略

公司设立信息安全小组作为信息安全管理工作的最高领导机构，信息安全领导小组组长由蓝黛科技集团股份有限公司王鑫担任，信息安全管理者代表由组长任命质量中心王殿超担任。成员由公司经营班子领导构成，下设信息管理部作为安全小组的常设工作机构，按照“业务谁主管、安全工作谁负责”原则，各部门主管负责本部门的信息安全管理工作。

5.1.2信息分类和处理策略

公司信息分为机密、秘密、内部公开、外部公开四大类。

涉密信息从秘密的产生、管理、利用、散播、解除等全过程进行分级管理、分级标识。

5.1.2..3完全按照员工的岗位界定知悉范围。对于机密信息，未获得公司总经理的书面批准，任何人都无下载、打印、复制（复印）的权力。

5.1.3信息资产评价和安全等级策略

信息管理部在维持我公司圆满持续的事业发展相关的重要信息资产方面，基于威胁出现的频率、脆弱性的严重程度、资产价值进行风险分析、根据其风险等级确立需要的安全性对策的水准；

在决定安全性对策的水准之时，必须十分注意考虑为达成水准所需要的必要的费用或是作业负荷，防止过度要求对策；

进行风险评价、对于根据其重要度需要决定必要的安全性水准的信息资产方面，为能明确把握其内容，将不同的信息资产种类制作一览性的目录，编制为文件化资料；

有关具体的风险评价、重要度的评价以及需要的安全性水准的决定方法方面，参照《信息安全风险管理制度》；

程序开发的风险参照《IT开发项目管理办法》。

5.1.4信息传输策略

信息传输管理分为涉密信息设备管理、内部网络（局域网）及信息设备管理、互联网及信息设备管理三个管理层次。

涉及机密信息的信息设备，实行物理隔离管理，机密信息通过内容加密和或通过加密传输路径（如：VPN，加密连接（HTTPS、SFTP、TLS)，终端管理工具加密、压缩加密等）进行端到端加密传输，以防止被泄漏、破坏或修改。

内部网络（局域网）及信息设备配置加密管理措施，与互联网隔离配置保密管理措施，只能通过局域网传输、储存技术文档、软件等涉及公司秘密的信息。这些信息必须定期备份进行保护，以免破坏和非授权修改。

互联网信息设备主要处理来自于外部资源的普通信息，配置上网行为管理措施，同样在信息安全防护上进行安全考虑。

上述信息系统和信息设备根据分层次管理的要求分类进行物理标记。网络服务商按服务协议中定义的服务等级执行网络服务。

在使用电子通信方式（如：email，EDI，视频，微信等）进行信息传输时，员工和其他相关方不得发送带有关键信息的短信或即时消息。

在传输机密/秘密信息的物理存储介质（包括纸张）时，担当人员需书面提出申请、经部门负责人审核、部门分管领导批准；需包装保护内容物免受在运输过程中可能出现的任何物理损伤、保护内容物不被识别/读取和篡改、防止任何可能降低恢复存储介质有效性的环境因素（如暴露于热、湿气或电磁场中）；从经批准的提供传输或快递服务的第三方名