信息安全方針

1、v1.0可編輯可修改密級：敏感文檔編號:版本號：ISMS-A-01信息安全方針信息安全方針蘇州XXXXt限公司編制：審核：批準：實施日期：保密說明:i受控文件v1.0可編輯可修改修訂頁日期版本號修訂說明修訂人審核人批準人2011-10-28新版發(fā)行2受控文件v1.0可編輯可修改3受控文件v1.0可編輯可修改目錄 TOC o 1-5 h z 目的和適用范圍 5信息安全定義 5信息安全方針 5安全管理機構(gòu) 5職責6信息安全管理體系實施框架 8重要原則、標準和符合性要求 8評審9相關文件94受控文件v1.0可編輯可修改1.目的和適用范圍信息安全管理體系方針指明了公司的信息安全目標和方向，并可以確保信

2、息安全管理體系被充分理解和貫徹實施。為明確信息安全管理體系方針，特制定本文件。此外，本文件還描述了公司的信息安全管理體系的范圍。本文件適用于公司信息安全管理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及過程。2.信息安全定義信息安全是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實性、可核查性、不可否認性和可靠性等特性。信息是對公司業(yè)務至關重要的一種資產(chǎn)，因此需要加以適當?shù)谋Ｗo。在業(yè)務環(huán)境互連日益增加的情況下這一點顯得尤為重要。信息安全可防止信息受到各種威脅，以確保業(yè)務連續(xù)性，是業(yè)務風險最小化，投資回報和商業(yè)機遇最大化。3.信息安全方針公司信息安全方針為：全員參與、控制風險；積極預防、持

3、續(xù)改進；客戶信賴、永續(xù)經(jīng)營4.安全管理機構(gòu)根據(jù)ISO/IEC 27001:2005 的要求，為了確保信息安全工作有一個明確的方向和獲得可見的管理者支持，公司設立以下不同級別的信息安全管理機構(gòu)。信息安全管理委員會信息安全管理委員會是本公司信息安全管理工作的最高領導機構(gòu)，承擔以下方面的工作：審批信息安全方針和總體職責；審批信息安全的特殊方法和過程，如風險評估等；審批加強信息安全的重大舉措；提供所需要的足夠的資源；協(xié)調(diào)本ISMS公司質(zhì)量管理體系和公司其他規(guī)章制度之間的關系。信息安全委員會主席由總經(jīng)理擔任，常務副主席由公司總經(jīng)理任命（管理者代表）；信息安5受控文件v1.0可編輯可修改全管理委員會由相關

4、部門的信息安全員組成。信息安全管理委員會主要工作為：在信息安全管理委員會主席/副主席的領導下，負責公司日常信息安全的管理與監(jiān)督活動，并對相關部門提供指導和對需要培訓的員工進行培訓。信息安全員相關部門指定一位兼職的信息安全員，參與/配合信息安全委員會的活動，指導本部門信息安全管理并實施對其本部門的日常信息安全監(jiān)視和檢查工作。5.職責（1）公司領導職責公司領導應具有以下方面的職責：1）制定信息安全方針；2）向公司員工傳達滿足信息安全目標和符合信息安全方針、法律法規(guī)要求的重要性；3）主持ISMS的管理評審；4）提供開發(fā)、實施、運行和維護ISMS所需的足夠的資源；5）決定可接受的風險級別。（2）部門領

5、導職責部門領導（主要是部門經(jīng)理）必須：1）明確本部門所管理的（包括本公司的和相關方提供的）信息資產(chǎn)的類型，并進行資產(chǎn)登記和指定負責人。2）對本部門所管理的關鍵信息資產(chǎn)進行風險評估，識別其所受的威脅、機密級別（密級信息按其所受的危險程度，可依次分為“絕密”、“機密”、“秘密”、“敏感”、“一般”）、風險級別（資產(chǎn)按其所受的危險程度，可依次分為：“很高”、“高”、“一般”、“低”）、脆6受控文件v1.0可編輯可修改弱性和潛在的影響，并制定與其相適應的控制措施。3）向信息安全管理委員會報告信息被危及的任何跡象，或信息可能被泄露或損毀的任何可 疑活動和行為。（3）項目主管職責這里所說的項目主管是指在部

6、門經(jīng)理領導下主持某些領域工作的人員。他們必須：1）向部門經(jīng)理說明本領域特殊的信息安全要求；2）按本領域特殊的信息安全要求，保護本領域的信息資產(chǎn)的安全；3）聯(lián)系相關技術(shù)支持人員（包括網(wǎng)絡維護員、網(wǎng)絡管理員和系統(tǒng)管理員等），確保其所屬的每一位員工的機器都安裝和定期更新可靠的防殺病毒軟件，并及時安裝系統(tǒng)補丁軟件 包。（4）員工職責1）每一位員工或使用本公司信息的人員都要遵守本方針，都有保護公司信息資產(chǎn)、系統(tǒng)和 基礎設施安全的職責。2）每一位員工都應采取適當?shù)拇胧òㄔO置密碼），保護其所負責的所有形式的機密信息在管理、使用、存儲、處理和傳輸中的安全。3）員工外出工作需要攜帶設備時，必須獲得相關領導者

7、的批準，并應采取相應的保護措施， 防止丟失，防止損毀，確保信息安全。如：設備必須設置密碼、不留在公共場所無人看 管、不暴露于強電磁場等。4）任何員工都有義務向其直接領導或信息安全管理委員會報告可能會危及密級信息安全 的任何活動、行為和提出改進建議。（5）使用者職責這里所說的使用者是指訪問本公司密級信息的人員。1）使用者必須獲得授權(quán)、了解該信息的安全要求，并采取相應的安全保護措施。7受控文件v1.0可編輯可修改2）如果已授權(quán)的使用者不了解其所要訪問的信息的安全要求，那么他必須對該信息提供最 高極限的保護。3）使用者應小心保護其訪問信息的密碼、物理鑰匙和 ID卡，一旦發(fā)生密碼泄露或鑰匙、 ID卡丟

8、失，應立即向其直接領導報告并承擔相應責任。.信息安全管理體系實施框架公司要根據(jù)所要實現(xiàn)的信息安全目標選取適當?shù)娘L險評估方法，并制定風險評估程序以持續(xù)適用于公司的信息安全管理體系。信息安全風險在被識別后，應進行分析和評價，根據(jù)其結(jié)果，選取合適的控制措施，以滿足風險評估和風險處理過程中所識別的需求?？刂拼胧┑倪x擇還應考慮可接受風險的準則以及法律法規(guī)和合同要求。本公司風險接受準則是： 如果降低風險所付出的成本大于風險所造成的損失，則選擇接受風險。可接受的風險級別為： 按照公司所采取的風險評估方法，風險共分4級，可接受風險級別為低風險和一般風險，或者管理者批準接受的風險；較高風險和高風險不能接受。.重

9、要原則、標準和符合性要求1）法律法規(guī)和合同要求的符合性公司在建立和管理信息安全管理體系時，必須符合相關法律法規(guī)和合同的要求。2）安全教育、培訓和意識要求所有分配有信息職責的人員必須具備執(zhí)行所要求任務的能力，因此公司要確定這些人員所必要的能力，提供能力培訓，必要時，可聘用有能力的人員以滿足這些需求。同時要評價所提供的培訓和所采取的措施的有效性，保持教育、培訓、技能、經(jīng)歷和資格的記錄。另外，公司還要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到信息安全管理體系目標做出貢獻。3）業(yè)務持續(xù)性管理8受控文件v1.0可編輯可修改為防止公司業(yè)務活動中斷，保護關鍵業(yè)務過程免受重大失誤或災難的影響，以及確保它們的及時恢復，業(yè)務持續(xù)性管理計劃必須考慮信息和信息安全的需求，對能引起業(yè)務流程中斷的事態(tài)進行識別，連同這種中斷發(fā)生的概率和影響，以及它們對信息安全的后果也要進行識別，確保