信息技术安全防护手册（执行版）.docx

信息技术安全防护手册（执行版）

第1章总则与组织管理

1.1安全方针与目标

本手册确立“零信任”与“纵深防御”为核心安全哲学，明确规定所有业务系统必须假设网络已受攻击，并实施最小权限原则，确保数据全生命周期（采集、存储、传输、使用、销毁）的可信性。设定关键业务指标（KPI）为“零安全事件”，并设定“零数据泄露”为绝对红线，要求所有涉及客户隐私的敏感数据访问必须通过双因素认证（MFA）进行，任何未授权访问将被视为最高级别的安全事件。

明确数据安全分级分类标准，依据国家等保2.0标准及行业特规，将数据划分为核心、重要、一般三级，核心数据（如用户身份证号、银行卡号）必须实施加密存储