信息安全方針

1、v1.0可編輯可修改密級：敏感 文檔編號：ISMS-A-01信息平安方針版本號：信息平安方針蘇州XXXX 實施日期：保密說明:修訂頁日期版本號修訂說明修訂人審核人批準(zhǔn)人2021-10-28新版發(fā)行1受控文件第9頁目錄1. 目的和適用范圍 52. 信息平安定義53. 信息平安方針 54. 平安治理機構(gòu) 55. 責(zé)任66. 信息平安治理體系實施框架 87. 重要原那么、標(biāo)準(zhǔn)和符合性要求 88. 評審99. 相關(guān)文件91. 目的和適用范圍信息平安治理體系方針指明了公司的信息平安目標(biāo)和方向,并可以保證信息平安治理體系被充分理解和貫徹實施.為明確信息平安治理體系方針,特制定本文件.此外,本文件還描述了公

2、 司的信息平安治理體系的范圍.本文件適用于公司信息平安治理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及過程.2. 信息平安定義信息平安是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實性、可核查性、不可否認(rèn)性和可靠性等特性.信息是對公司業(yè)務(wù)至關(guān)重要的一種資產(chǎn),因此需要加以適當(dāng)?shù)谋Ｗo(hù).在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點顯得尤為重要.信息平安可預(yù)防信息受到各種威脅,以保證業(yè)務(wù)連續(xù)性,是業(yè)務(wù)風(fēng)險最小化,投資回報和商業(yè)機遇最大化.3. 信息平安方針公司信息平安方針為：全員參與、限制風(fēng)險；積極預(yù)防、持續(xù)改良；客戶信賴、永續(xù)經(jīng)營.4. 平安治理機構(gòu)根據(jù)ISO/IEC 27001:2005 的要求

3、,為了保證信息平安工作有一個明確的方向和獲得可見的 治理者支持,公司設(shè)立以下不同級別的信息平安治理機構(gòu).信息平安治理委員會信息平安治理委員會是本公司信息平安治理工作的最高領(lǐng)導(dǎo)機構(gòu),承當(dāng)以下方面的工作:1審批信息平安方針和總體責(zé)任；2審批信息平安的特殊方法和過程,如風(fēng)險評估等；3審批增強信息平安的重大舉措；4提供所需要的足夠的資源；5協(xié)調(diào)本ISMS公司質(zhì)量治理體系和公司其他規(guī)章制度之間的關(guān)系.；信息安信息平安委員會主席由總經(jīng)理擔(dān)任,常務(wù)副主席由公司總經(jīng)理任命治理者代表全治理委員會由相關(guān)部門的信息平安員組成.信息平安治理委員會主要工作為：在信息平安治理委員會主席/副主席的領(lǐng)導(dǎo)下,負(fù)責(zé)公司日常信息平

4、安的治理與監(jiān)督活動,并對相關(guān)部門提供指導(dǎo)和對需要培訓(xùn)的員工進(jìn)行培訓(xùn).信息平安員相關(guān)部門指定一位兼職的信息平安員,參與/配合信息平安委員會的活動,指導(dǎo)本部門信息平安治理并實施對其本部門的日常信息平安監(jiān)視和檢查工作.5.責(zé)任1公司領(lǐng)導(dǎo)責(zé)任公司領(lǐng)導(dǎo)應(yīng)具有以下方面的責(zé)任：1制定信息平安方針；2向公司員工傳達(dá)滿足信息平安目標(biāo)和符合信息平安方針、法律法規(guī)要求的重要性;3主持ISMS的治理評審；4提供開發(fā)、實施、運行和維護(hù)ISMS所需的足夠的資源；5決定可接受的風(fēng)險級別.部門領(lǐng)導(dǎo)責(zé)任部門領(lǐng)導(dǎo)主要是部門經(jīng)理必須：1明確本部門所治理的包括本公司的和相關(guān)方提供的信息資產(chǎn)的類型,并進(jìn)行資產(chǎn)登記和指定負(fù)責(zé)人.2對本部

5、門所治理的關(guān)鍵信息資產(chǎn)進(jìn)行風(fēng)險評估,識別其所受的威脅、機密級別密級信息按其所受的危險程度,可依次分為“絕密、“機密、“秘密、“敏感、“一般、風(fēng)險級別資產(chǎn)按其所受的危險程度,可依次分為：“很高、“高、“一般、“低、脆 弱性和潛在的影響,并制定與其相適應(yīng)的限制舉措.3向信息平安治理委員會報告信息被危及的任何跡象,或信息可能被泄露或損毀的任何可 疑活動和行為.工程主管責(zé)任這里所說的工程主管是指在部門經(jīng)理領(lǐng)導(dǎo)下主持某些領(lǐng)域工作的人員.他們必須：1向部門經(jīng)理說明本領(lǐng)域特殊的信息平安要求；2按本領(lǐng)域特殊的信息平安要求,保護(hù)本領(lǐng)域的信息資產(chǎn)的平安；3聯(lián)系相關(guān)技術(shù)支持人員包括網(wǎng)絡(luò)維護(hù)員、網(wǎng)絡(luò)治理員和系統(tǒng)治理員

6、等,保證其所屬的每一位員工的機器都安裝和定期更新可靠的防殺病毒軟件,并及時安裝系統(tǒng)補丁軟件包.4員工責(zé)任1每一位員工或使用本公司信息的人員都要遵守本方針,都有保護(hù)公司信息資產(chǎn)、系統(tǒng)和 根底設(shè)施平安的責(zé)任.2每一位員工都應(yīng)采取適當(dāng)?shù)呐e措包括設(shè)置密碼,保護(hù)其所負(fù)責(zé)的所有形式的機密信息在治理、使用、存儲、處理和傳輸中的平安.3員工外出工作需要攜帶設(shè)備時,必須獲得相關(guān)領(lǐng)導(dǎo)者的批準(zhǔn),并應(yīng)采取相應(yīng)的保護(hù)舉措, 預(yù)防喪失,預(yù)防損毀,保證信息平安.如：設(shè)備必須設(shè)置密碼、不留在公共場所無人看管、不暴露于強電磁場等.4任何員工都有義務(wù)向其直接領(lǐng)導(dǎo)或信息平安治理委員會報告可能會危及密級信息平安 的任何活動、行為和提

7、出改良建議.5使用者責(zé)任這里所說的使用者是指訪問本公司密級信息的人員.1使用者必須獲得授權(quán)、了解該信息的平安要求,并采取相應(yīng)的平安保護(hù)舉措.2如果已授權(quán)的使用者不了解其所要訪問的信息的平安要求,那么他必須對該信息提供最 高極限的保護(hù).3使用者應(yīng)小心保護(hù)其訪問信息的密碼、物理鑰匙和ID卡,一旦發(fā)生密碼泄露或鑰匙、ID卡喪失,應(yīng)立即向其直接領(lǐng)導(dǎo)報告并承當(dāng)相應(yīng)責(zé)任.6. 信息平安治理體系實施框架公司要根據(jù)所要實現(xiàn)的信息平安目標(biāo)選取適當(dāng)?shù)娘L(fēng)險評估方法,并制定風(fēng)險評估程序以持續(xù)適用于公司的信息平安治理體系.信息平安風(fēng)險在被識別后,應(yīng)進(jìn)行分析和評價,根據(jù)其結(jié)果,選取適宜的限制舉措,以滿足風(fēng)險評估和風(fēng)險處理

8、過程中所識別的需求.限制舉措的選擇還應(yīng)考慮可接受風(fēng)險的準(zhǔn)那么以及法律法規(guī)和合同要求.本公司風(fēng)險接受準(zhǔn)那么是：如果降低風(fēng)險所付出的本錢大于風(fēng)險所造成的損失,那么選擇接受風(fēng)險.可接受的風(fēng)險級別為：根據(jù)公司所采取的風(fēng)險評估方法,風(fēng)險共分4級,可接受風(fēng)險級別為低風(fēng)險和一般風(fēng)險,或者治理者批準(zhǔn)接受的風(fēng)險；較高風(fēng)險和高風(fēng)險不能接受.7. 重要原那么、標(biāo)準(zhǔn)和符合性要求1法律法規(guī)和合同要求的符合性公司在建立和治理信息平安治理體系時,必須符合相關(guān)法律法規(guī)和合同的要求.2平安教育、培訓(xùn)和意識要求所有分配有信息責(zé)任的人員必須具備執(zhí)行所要求任務(wù)的水平,因此公司要確定這些人員所必要的水平,提供水平培訓(xùn),必要時,可聘用有水平的人員以滿足這些需求.同時要評價所提供的 培訓(xùn)和所采取的舉措的有效性,保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄.另外,公司還要確 保所有相關(guān)人員意識到其信息平安活動的適當(dāng)性和重要性,以及如何為到達(dá)信息平安治理體系目標(biāo)做出奉獻(xiàn).3業(yè)務(wù)持續(xù)性治理為預(yù)防公司業(yè)務(wù)活動中斷,保護(hù)關(guān)鍵業(yè)務(wù)過程免受重大失誤或災(zāi)難的影響,以及保證它們的及時恢復(fù),業(yè)務(wù)持續(xù)性治理方案必須考慮信息和信息平安的需求,對能引起業(yè)務(wù)流程中斷的事態(tài)進(jìn)行識別,連同這種中斷發(fā)生的概率和影響,以及它們對信息平安的后果也要進(jìn)行識別,保證在關(guān)鍵業(yè)務(wù)過程中斷或失敗