ISMS-3012信息安全方針信息安全策略管理制度

信息技術-信息技術-安全技術-信息安全作業(yè)文件/6深圳市首品精密模型有限公司信息安全方針信息安全策略管理制度文件編號：ISMS-3012

變更履歷序版本編序號或更改記錄編號簡要說明（變更內容、變更位置、變更原因和變更范圍）變更日期變更人審核人批準人批準日期1A/0初始發(fā)行2016-8-第一章總則第一條為提高公司信息安全管理水平，建立、健全信息安全管理體系，貫徹執(zhí)行ISO27001：2013《信息技術安全技術信息安全管理體系?要求》，保障公司信息系統(tǒng)業(yè)務的正常進行，防止由于信息安全事件導致的公司損失，確保全體員工理解信息安全的重要性，執(zhí)行信息安全管理體系文件的要求，特制定本制度。第二條本制度是公司信息安全管理的綱領性文件，用于貫徹企業(yè)的信息安全管理方針、目標，是所有從事、涉及信息安全相關活動人員的行為準則，是向客戶、向社會、向認證機構提供本公司信息安全管理保證能力的依據。第三條信息部在得到信息安全委員會批準的前提下負責本制度的更改和建立，信息部定期對其適用性、持續(xù)性、有效性進行評審，匯總更改需求和建議并上報。第四條 本制度適用于公司所屬各單位。第二章職責分工第五條 公司信息安全管理工作由信息安全委員會指導和批準，委員會下設信息安全工作推進組，并設立信息安全顧問團。第六條 信息安全工作推進組由信息部信息安全專業(yè)人員和公司各部門主管任命的信息化專業(yè)員組成。第七條 信息安全顧問組由提供服務的外部安全產品公司或外聘的信息安全顧問組成。第八條 信息安全工作推進組職責建立信息安全管理方針、目標和策略；評估信息安全顧問組意見的可用性；確定公司信息資產風險準則和信息安全事件處置措施；組織并確保全公司信息安全教育活動的落實；監(jiān)控公司的信息安全情況，監(jiān)督檢查信息安全活動的落實情況，并定期向信息安全委員會匯報；向兩化融管理委員會提出實現(xiàn)信息安全目標和符合信息安全方針的改進需要，推行各項信息安全策略要求和控制措施；負責公司信息安全內部、外部評估的具體安排；推進組中各部門安全專員負責對本部門信息資產進行匯總上報，負責本部門信息安全事件的應急處理，收集、上報與本部門相關的信息安全管理方面的要求，同時負責在本部門內傳達、落實公司信息安全管理策略的要求。第九條信息安全顧問組職責提供信息安全相關產品的使用幫助和更新；負責為公司提供完整的信息安全管理咨詢服務；提供信息安全管理方面的相關培訓。第三章信息安全方針和目標第十條公司信息安全方針為：滿足客戶要求，實施風險管理，確保信息安全，實現(xiàn)持續(xù)改進。在此方針下應堅持的基本原則基本安全需求原則：信息安全工作推進組根據公司信息系統(tǒng)擔負的使命和信息資產重要程度等，按照等級保護要求確定相應的信息安全保護措施，從全局恰當地平衡信息安全投入和安全狀態(tài)；全員參與原則：所有從事信息安全相關工作的人員應普遍參與信息安全活動，保證自身信息安全素質，提高安全意識，共同保護公司信息安全；管理與技術并重原則：堅持積極防御和綜合防范，全面提高信息安全防護能力，結合公司實際情況，采用管理科學性和技術前瞻性相輔相成的方法，達到信息安全管理的目的；持續(xù)改進原則：信息安全管理是動態(tài)的，貫穿整個企業(yè)管理的生命周期，隨著安全需求和系統(tǒng)脆弱性的時間空間分布變化、威脅程度的提高和對信息安全認知的深化等，應及時地將現(xiàn)有的安全策略和保護措施進行檢查、修改和調整，以提升安全管理水平，持續(xù)維護信息安全管理體系的有效性。遵循PDCA（Plan、Do、Check、Action計劃、實施、檢查、改進）模型原則：運用ISO27001的PDCA模型建立信息安全管理體系。第十一條公司信息安全目標商業(yè)秘密信息泄露事故為零；造成公司生產中斷時間累計不能超過2小時/年；造成公司生產中斷事故發(fā)生次數不超過2次/年。第四章總體信息安全策略第十二條本公司安全策略應滿足國家信息安全等級保護制度相關要求。第十三條物理安全策略機房、數據中心等物理位置的選擇應選在防震、防潮防水、防火的建筑內；機房、數據中心等的入出口應采取訪問控制措施，安排值守、控制、鑒別和記錄工作；機房內部署基礎的防護系統(tǒng)和設備，如防火系統(tǒng)、環(huán)境控制系統(tǒng)、UPS供電系統(tǒng)、消防滅火系統(tǒng)、防雷系統(tǒng)、監(jiān)控系統(tǒng)；網絡通信線纜布置于安全隱蔽處（地下、管道）；機房部署防盜報警系統(tǒng)。第十四條網絡安全策略網絡核心設備部署要求性能良好，設備和鏈路有冗余，保證業(yè)務高峰期需求；繪制與實際相符的網絡拓撲結構圖；強化對終端的控制，并強制終端使用防病毒系統(tǒng)；對于涉密終端強制安裝數據防泄密軟件；網絡邊界處部署防火墻、IPS等安全設備；按照網絡內的不同區(qū)域，劃分不同的VLAN；郵箱系統(tǒng)增加垃圾郵件檢測功能；嚴格控制控制帶寬設置優(yōu)先級，限制上網權限。第十五條主機安全策略登陸操作系統(tǒng)和數據庫系統(tǒng)的用戶必須進行身份標識和鑒別；登陸操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識不能出現(xiàn)同名用戶，口令復雜程度高并定期更換；操作系統(tǒng)和數據庫必須及時刪除多余的、過期的賬戶，避免共享賬戶的存在；重要主機人機分離時，確保信息安全狀態(tài)。第十六條數據安全策略業(yè)務數據及文檔必須進行備份，以便發(fā)生安全事件時進行恢復；數據備份必須使用專用的備份設備和工具；重要數據在傳遞過程中，使用加密手段；備份的數據采用異地儲存手段；保證數據庫硬件備件富有量，防止硬件故障導致數據不可用和不完整；數據的處理（傳輸、儲存、恢復）做明確的記錄；故障不可用的數據存儲介質要及時物理銷毀，可以返廠用來更換新介質的，用不可恢復性手段銷毀數據。第十七條人員安全策略信息安全需要全體員工參與，全體員工都有保護信息安全的職責，在崗位職責中應包含對信息安全的要求。特殊涉密崗位人員須承擔特別要求的安全責任；定期對信息安全相關崗位員工進行信息安全相關教育和培訓，提高安全意識；嚴格對破壞公司信息資產的行為進行懲戒，明確安全要求和安全職責。建立健全的外來人員訪問制度，限制外來人員對重要信息的訪問。第十八條安全事件處理策略制定安全事件處置管理制度，明確安全事件的類型，規(guī)定安全事件的處理、事件報告和后期恢復的管理職責；制定安全事件報告和相應處理程序，確定事件的報告流程，響應和處置的范圍、程度以及處理方法。第十九條應急預案策略制定不同事件的應急預案，應急預案框架包括預案啟動條件、處理流程、事后教育和學習；從人力、設備、技術、財務方面確保滿足應急預案執(zhí)行所需的資源；定期對應急預案進行演練，并根據不同預案確定演練周期；應急預案定期進行更新修改，