信息安全管理方针和策略.docx

1、信息安全管理方针和策略信息安全管理方针和策略范畴公司依据ISO/IEC27001:2021信息安全治理体系标准的要求编制信息安全治理手册，并包括了风险评估及处置的要求。规定了公司的信息安全方针及治理目标，引用了信息安全治理体系的内容。1.1规范性引用文件以下参考文件的部分或整体在本文档中属于标准化引用，关于本文件的应用必不可少。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本包括任何修改适用于本标准。ISO/IEC 27000，信息技术安全技术信息安全治理体系概述和词汇。1.2术语和定义ISO/IEC 27000中的术语和定义适用于本文件。1.3公司环境1.

2、3.1明白得公司及其环境公司确定与公司业务目标相关并阻碍实现信息安全治理体系预期结果的能力的外部和内部问题，需考虑：明确外部状况：社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境，不管国际、国内、区域，依旧本地的；阻碍组织目标的要紧动力和趋势；与外部利益相关方的关系，外部利益相关方的观点和价值观。明确内部状况：治理、组织结构、作用和责任；方针、目标，为实现方针和目标制定的战略；基于资源和知识明白得的能力如：资金、时刻、人员、过程、系统和技术；与内部利益相关方的关系，内部利益相关方的观点和价值观；组织的文化；信息系统、信息流和决策过程正式与非正式；组织所采纳的标准、指南和模式；合同关

3、系的形式与范畴。明确风险治理过程状况：确定风险治理活动的目标；确定风险治理过程的职责；确定所要开展的风险治理活动的范畴以及深度、广度，包括具体的内涵和外延；以时刻和地点，界定活动、过程、职能、项目、产品、服务或资产；界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系；确定风险评判的方法；确定评判风险治理的绩效和有效性的方法；识别和规定所必须要做出的决策；确定所需的范畴或框架性研究，它们的程度和目标，以及此种研究所需资源。确定风险准那么：能够显现的致因和后果的性质和类别，以及如何予以测量；可能性如何确定；可能性和或后果的时刻范畴；风险程度如何确定；利益相关方的观点；风险可同意或可容许的

4、程度；多种风险的组合是否予以考虑，假如是，如何考虑及哪种风险组合宜予以考虑。1.3.2明白得相关方的需求和期望信息安全治理小组应确定信息安全治理体系的相关方及其信息安全要求，相关的信息安全要求。关于利益相关方，可作为信息资产识别，并依照风险评估的结果，制定相应的操纵措施，实施必要的治理。相关方的要求可包括法律法规要求和合同义务。1.3.3确定信息安全治理体系范畴本公司ISMS的范畴包括a)物理范畴：b)业务范畴：运算机软件开发，运算机系统集成相关信息安全治理活动。c)内部治理结构：办公室、财务部、研发部、商务部、工程部、运维部。d)外部接口：向公司提供各种服务的第三方1.3.4信息安全治理体系

5、本公司按照ISO/IEC27001:2021标准的要求建立一个文件化的信息安全治理体系。同时考虑该体系的实施、坚持、连续改善，确保其有效性。ISMS体系所涉及的过程基于PDCA模式。1.4领导力总经理应通过以下方式证明信息安全治理体系的领导力和承诺：a)确保信息安全方针和信息安全目标已建立，并与公司战略方向一致；b)确保将信息安全治理体系要求融合到日常治理过程中；c)确保信息安全治理体系所需资源可用；d)向公司内部传达有效的信息安全治理及符合信息安全治理体系要求的重要性；e)确保信息安全治理体系达到预期结果；f)指导并支持相关人员为信息安全治理体系有效性做出奉献；g)促进连续改进；h)支持信息

6、安全治理小组及各部门的负责人，在其职责范畴内展现领导力。1.5规划1.5.1应对风险和机会的措施1.5.1.1总那么公司针对公司内部和公司外部的实际情形，和相关方的要求，确定公司所需应对的信息安全方面的风险。在已确定的ISMS范畴内，针对业务全过程所涉及的所有信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施、人力资源及外包服务。对每一项信息资产，依照信息资产判定依据确定信息资产的重要性等级并对其重要度赋值。信息安全治理小组制定信息安全风险评估治理程序，经信息安全治理小组组长批准后组织实施。风险评估治理程序包括可同意风险准那么和可同意水平。该程序的详细内容见信息安全风险评估治

7、理程序。1.5.1.1.1信息安全风险评估1.5.1.1.1.1风险评估的系统方法信息安全治理小组制定信息安全风险评估治理程序，经治理者代表审核，总经理批准后组织实施。风险评估治理程序包括可同意风险准那么和可同意水平。该程序的详细内容适用于信息安全风险评估治理程序。1.5.1.1.1.2资产识别在已确定的ISMS范畴内，对所有的信息资产进行列表识别。信息资产包括软件/系统、数据/文档、硬件/设施及人力资源、服务等。对每一项信息资产，依照信息资产判定依据确定信息资产的重要性等级并对其重要度赋值。1.5.1.1.1.3评估风险a)针对每一项信息资产、记录、信息资产所处的环境等因素，识别出所有信息资

8、产所面临的威逼；b)针对每一项威逼，识别出被该威逼可能利用的薄弱点；c)针对每一项薄弱点，列显现有的操纵措施，并对操纵措施有效性赋值；同时考虑威逼利用脆弱性的容易程度，并对容易度赋值；d)判定一个威逼发生后可能对信息资产在保密性(C)、完整性(I)和可用性(A)方面的损害，进而对公司业务造成的阻碍，运算信息资产的安全事件的可能性和缺失程度。e)考虑安全事件的可能性和缺失程度两者的结合，运算信息资产的风险值。f)依照信息安全风险评估治理程序的要求确定资产的风险等级。g)关于信息安全风险，在考虑操纵措施与费用平稳的原那么下制定风险同意准那么，按照该准那么确定何种等级的风险为不可同意风险，该准那么在

9、信息安全风险评估治理程序有详细规定，并在风险评估报告中进行系统汇报并针对结果处理意见获得最高治理者批准。h)获得最高治理者对建议的残余风险的批准，残余风险应该在残余风险评判报告上留下记录，并记录残余风险处置批示报告。i)获得治理者对实施和运行ISMS的授权。ISMS治理者代表的任命和授权、ISMS文档的签署能够作为实施和运作ISMS的授权证据。1.5.1.1.2信息安全风险处置1.5.1.1.2.1风险处理方法的识别与评判信息安全治理小组应组织有关部门依照风险评估的结果，形成风险处理打算，该打算应明确风险处理责任部门、方法及时刻。关于信息安全风险，应考虑操纵措施与费用的平稳原那么，选用以下适当

10、的措施：a)采纳适当的内部操纵措施；b)同意某些风险不可能将所有风险降低为零；c)回避某些风险如物理隔离；d)转移某些风险如将风险转移给保险者、供方、分包商。1.5.1.1.2.2选择操纵目标与操纵措施信息安全治理小组依照信息安全方针、业务进展要求及风险评估的结果，组织有关部门制定信息安全目标。信息安全目标应获得总裁的批准。操纵目标及操纵措施的选择原那么来源于附录A。本公司依照信息安全治理的需要，能够选择标准之外的其他操纵措施。1.5.1.1.2.3适用性声明SoA信息安全治理小组编制信息安全适用性声明SoA。该声明包括以下方面的内容：a)所选择操纵目标与操纵措施的概要描述；b)对ISO/IE

11、C 27001:2021附录A中未选用的操纵目标及操纵措施理由的说明。1.5.1.1.2.3残余风险对风险处理后的残余风险应形成残余风险评估报告并得到信息安全最高责任人的批准。信息安全治理小组应保留信息安全风险处置过程的文件化信息。1.5.2信息安全目标和实现规划依照公司的信息安全方针，通过最高治理者确认，公司的信息安全治理目标为：顾客保密性埋怨/投诉的次数不超过1起/年。受控信息泄露的事态发生不超过3起/年隐秘信息泄露的事态不得发生。信息安全治理小组依照适用性声明、信息资产风险评估表中风险处理打算所选择的操纵措施，明确操纵措施改进时刻表。关于各部门信息安全目标的完成情形，按照信息安全目标及有

12、效性测量程序的要求，周期性在主责部门对各操纵措施的目标进行测量，并记录测量的结果。通过定期的内审、操纵措施目标测量及治理评审活动评判公司信息安全目标的完成情形。1.6支持1.6.1资源总经理负责确定并提供建立、实施、保持和连续改进信息安全治理体系所需的资源。1.6.2能力办公室应：a)确定公司全体职员阻碍公司信息安全绩效的必要能力；b)确保上述人员在适当的教育、培训或体会的基础上能够胜任其工作；c)适用时，采取措施以获得必要的能力，并评估所采取措施的有效性；d)保留适当的文件化信息作为能力的证据。注：适用的措施可包括，对新入职职员进行的信息安全意识教育；定期对公司职员进行的业务实施过程中的信息

13、安全治理相关的培训等。1.6.3意识公司全体职员应了解：a)公司的信息安全方针；b)个人其对公司信息安全治理体系有效性的奉献，包括改进信息安全绩效带来的益处；c)不符合信息安全治理体系要求带来的阻碍。1.6.4沟通信息安全治理小组负责确定与信息安全治理体系相关的内部和外部的沟通需求，包括：a)沟通内容；b)沟通时刻；c)沟通对象；d)谁应负责沟通；e)阻碍沟通的过程。1.6.5文件化信息1.6.5.1总那么公司的信息安全治理体系应包括：a)本标准要求的文件化信息；b)信息安全治理小组确保信息安全治理体系的有效运行，需编制文件操纵程序用以治理公司信息安全治理体系的相关文件。1.6.5.2创建和更

14、新创建和更新文件化信息时，信息安全治理小组应确保适当的：a)标识和描述例如标题、日期、作者或编号；b)格式例如语言、软件版本、图表和介质例如纸质、电子介质；c)对适宜性和充分性的评审和批准。1.6.5.3文件化信息的操纵信息安全治理体系及本标准所要求的文件化信息应予以操纵，以确保：a)在需要的地点和时刻，是可用和适宜的；b)得到充分的爱护如幸免保密性缺失、不恰当使用、完整性缺失等。c)为操纵文件化信息，适用时，科技规划部应开展以下活动：d)分发，访问，检索和使用；e)储备和爱护，包括保持可读性；f)操纵变更例如版本操纵；g)保留和处置。信息安全治理小组需在文件操纵程序中规划和运行信息安全治理体

15、系所必需的外来的文件化信息，应得到适当的识别，并予以操纵。1.7运行1.7.1运行规划和操纵为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a)形成信息安全风险处理打算，以确定适当的治理措施、职责及安全保密操纵措施的优先级，应专门注意公司外包过程的确定和操纵；关于系统集成和IT外包运维服务项目，项目经理应在项目策划时期识别所面临的信息安全风险，并在项目全过程中对信息安全风险进行监控和更新。b)为实现已确定的安全保密目标、实施风险处理打算，明确各岗位的信息安全职责；c)实施所选择的操纵措施，以实现操纵目标的要求；d)进行信息安全培训，提高全员信息安全意识和能力；e)对信息

16、安全体系的运作进行治理，操纵打罢了的变更，评审非预期变更的后果，必要时采取措施减缓负面阻碍；f)对信息安全所需资源进行治理；g)实施操纵程序，对信息安全事故或事件进行迅速反应。总经理为本公司信息安全最高责任者。办公室制定全公司的组织机构和各部门的职责包括信息安全职责，并形成文件。信息安全治理小组成员负责完成信息安全治理体系运行时必须的任务；对信息安全治理体系的运行情形和必要的改善措施向信息安全最高责任者报告。各部门负责人作为本部门信息安全的要紧责任人，信息安全内审员负责指导和监督本部门信息安全治理体系的运行与实施，并形成文件；全体职员都应按保密承诺的要求自觉履行信息安全义务。各部门应按照信息安

17、全适用性声明中规定的安全保密目标、操纵措施包括安全保密运行的各种操纵程序的要求实施信息安全操纵措施。信息安全治理小组应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和操纵，同时应实施打算以实现6.2中确定的信息安全目标。信息安全治理小组应保持文件化信息达到必要的程度，以确信过程按打算得到执行。信息安全治理小组应操纵打算内的变更并评审非预期变更的后果，必要时采取措施减轻负面阻碍。各部门确定本部门业务过程中的外包活动，并对外包过程进行必要的操纵。1.7.2信息安全风险评估公司按照组织信息安全风险评估治理程序的要求，每年定期或当重大变更提出或发生时，执行信息安全风险评估。每次风险

18、评估的过程均需形成记录，并由信息安全治理小组保留每次风险评估的记录，如：风险评估报告、风险处理打算等。1.7.3信息安全风险处置为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a)形成风险处理打算，以确定适当的治理措施、职责及安全保密操纵措施的优先级；b)为实现已确定的安全保密目标、实施风险处理打算，明确各岗位的信息安全职责；c)实施所选择的操纵措施，以实现操纵目标的要求；d)进行信息安全培训，提高全员信息安全意识和能力；e)对信息安全体系的运作进行治理；f)对信息安全所需资源进行治理；信息安全治理小组负责组织相关人员，定期检查风险处理打算的执行情形，并保留信息安全风险

19、处置结果的文件化信息。1.8绩效评判1.8.1监视、测量、分析和评判本公司通过实施定期的操纵措施实施有效性检查、事故报告调查处理、电子监控、技术检查等检查方式检查信息安全治理体系运行的情形，并报告结果以实现：a)及时发觉信息安全体系的事故和隐患；b)及时了解信息处理系统遭受的各类攻击；c)使治理者把握信息安全活动是否有效，并依照优先级别确定所要采取的措施；d)积存信息安全方面的体会。按照打算的时刻间隔不超过一年进行ISMS内部审核，内部审核的具体要求。依照操纵措施有效性检查和内审检查的结果以及来自相关方的建议和反馈，由最高责任者主持，每年对ISMS的有效性进行评审，其中包括信息安全范畴、方针、

20、目标及操纵措施有效性的评审。治理者代表应组织有关部门按照信息安全风险评估治理程序的要求对风险处理后的残余风险进行定期评审，以验证残余风险是否达到可同意的水平，对以下方面变更情形应及时进行风险评估：a)组织机构发生重大变更；b)信息处理技术发生重大变更；c)公司业务目标及流程发生重大变更；d)发觉信息资产面临重大威逼；e)外部环境，如法律法规或信息安全标准发生重大变更。保持上述活动和措施的记录。以上活动的详细程序规定于以下文件中：操纵措施有效性的测量程序信息安全职责权限划分对比表信息安全风险评估治理程序内部审核操纵程序1.8.2内部审核内部信息安全审核要紧指内部信息安全治理体系审核，其目的是验证

21、公司信息安全治理体系运行的符合性和有效性并不断改进和完善公司的信息安全治理体系。1.8.2.1组织审核a)公司统一组织、治理内部信息安全审核工作，信息安全治理小组负责制定内部审核操纵程序并贯彻执行；b)治理者代表负责领导和策划内部审核工作，批准年度内审打算和追加审核打算，批准审核组成员，批准审核实施打算，审批年度内审报告；c)信息安全治理小组负责对审核组长及成员提名，编制年度审核打算和追加审核打算，报治理者代表批准后执行。d)审核组长组织和治理内部审核工作，依照实际情形和重要性安排审核顺序实施审核。e)审核员不应审核自己的工作。1.8.2.2实施审核a)审核组长编制的审核打算，经治理者代表批准

22、后，负责在实施审核前5天向被审核方发出书面审核通知；b)审核小组按内部审核操纵程序实施审核；c)审核员收集客观证据，通过分析整理做出公平判定，填写内审不合格报告提交审核组长，并请被审核部门经理在报告上签字认可。1.8.2.3审核报告审核组长应在完成全部审核后，按规定格式编写内部治理体系审核报告提交信息安全治理小组，经其批阅后报治理者代表，内部治理体系审核报告作为治理评审的输入证据。1.8.2.4纠正措施和跟踪验证a)被审核部门经理制定纠正措施，填写在内审不合格报告中。b)纠正措施完成后后，应将纠正措施完成情形填写到内审不合格报告相应栏内，然后将内审不合格报告交到审核组长。c)审核组长视具体情形

23、通知审核组复查，跟踪验证纠正措施实施情形，并将验证结果填写在内审不合格报告中。1.8.2.5审核记录审核组长应收集所有内部信息安全审核中发生的打算通知、内部审核检查表、记录、审核报告、总结等原始资料，整理后由信息安全治理小组负责保管内审相关记录。1.8.3ISMS治理评审1.8.3.1总那么信息安全最高责任者为确认信息安全治理体系的适宜性、充分性和有效性，每年对信息安全治理体系进行一次全面评审。该治理评审应包括对信息安全治理体系是否需改进或变更的评判，以及对信息安全方针和信息安全治理目标的评判。治理评审的结果应形成书面记录，并至少储存3年，按照文件操纵程序的要求进行受控访问。1.8.3.2治理

24、评审的输入在治理评审时，信息安全治理小组应组织相关部门提供以下资料，供信息安全治理最高责任者和各部门负责人进行评审：a)ISMS体系内、外部审核的结果；b)相关方的反馈投诉、埋怨、建议；c)能够用来改进ISMS业绩和有效性的新技术、产品或程序；d)信息安全目标达成情形，纠正和预防措施的实施情形；e)信息安全事故或征兆，以往风险评估时未充分考虑到的薄弱点或威逼；f)上次治理评审时决定事项的实施情形；g)可能阻碍信息安全治理体系变更的事项标准、法律法规、相关方要求；h)对信息安全治理体系改善的建议；i)有效性测量结果。1.8.3.3治理评审的输出信息安全治理最高责任者对以下事项做出必要的指示：a)

25、信息安全治理体系有效性的改善事项；b)信息安全方针适宜性的评判；c)必要时，对阻碍信息安全的操纵流程进行变更，以应对包括以下变化的内外部事件对信息安全体系的阻碍：业务进展要求；信息安全要求；业务流程；法律法规要求；风险水平/可同意风险水平。d)对资源的需求。以上内容的详细规定见治理评审操纵程序。1.9改进1.9.1不符合和纠正措施发生不符合事项的责任部门在查明缘故的基础上制定并实施相应的纠正措施，以排除不符和的缘故，防止不符合事项再次发生。信息安全治理小组负责制定纠正措施操纵程序并组织问题发生部门针对发觉的不符合现象分析缘故、制定纠正措施，以排除不符合，并防止不符合的再次发生。对纠正措施的实施

26、和验证规定以下步骤：a)识别不符合；b)确定不符合的缘故；c)评判确保不符合不再发生的措施要求；d)确定和实施所需的纠正措施；e)记录所采取措施的结果；f)评审所采取的纠正措施，将重大纠正措施提交治理评审讨论。1.9.2连续改进公司的连续改进是信息安全治理体系得以连续保持其有效性的保证，公司在其信息治理体系安全方针、安全目标、安全审核、监视事态的分析、纠正措施以及治理评审方面都要连续改进信息安全治理体系的有效性。本公司开展以下活动，以确保ISMS的连续改进：a)实施每年治理评审、内部审核、安全检查等活动以确定需改进的项目；b)按照内部审核治理程序、纠正措施治理程序的要求采取适当的纠正和预防措施

27、；c)吸取其他组织及本公司安全事故的体会教训，不断改进安全措施的有效性；d)对信息安全目标及分解进行适当的治理，确保改进达到预期的成效；为了确保信息安全治理体系的连续有效，各级治理者应通过适当的手段保持在公司内部对信息安全措施的执行情形与结果进行有效的沟通。包括猎取外部信息安全专家的建议、信息安全政府行政主管部门、电信运营商等组织的联系及识别顾客对信息安全的要求等。如：治理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等。1.10信息安全治理方针方针公司的信息安全治理方针：安全第一，预防为主；全员参与，综治风险；遵纪守法，提高绩效；成本可控，连续进展。关于信息安全

28、方针的说明：a)满足客户要求：满足顾客的要求是企业运营的必定选择。b)保证信息安全：信息安全是企业治理的重中之重。c)遵守法律法规：遵守法律法规是企业生存之前提，满足法律法规及相关行业标准/技术规范的要求也是本公司必须承担的社会责任。d)连续改进治理：操纵风险是前提，风险自身是动态的过程。通过各种方式提升公司职员的信息安全意识，提高公司的信息安全治理过程。本公司承诺提供一切可能的资源与先进的技术，保证信息的保密性、可用性和完整性，有针对性地采取一切必要的安全措施。使用有效的风险评估的工具和方法，严格操纵风险事故在可同意风险范畴之内。制订周密可靠的应急方案并定期进行演练，关键信息数据异地备份，制

29、订业务连续性打算，以确保业务的连续进行。为了满足适用法律法规及相关方要求，坚持运算机系统集成及服务、运算机应用软件的设计开发及服务活动的正常进行，本公司依据ISO/IEC27001:2021标准，建立信息安全治理体系，以保证与公司经营治理相关信息的保密性、完整性、可用性和可追溯性，实现业务可连续进展的目的。本公司将：a)在公司内各层次建立完整的信息安全治理组织机构，确定信息安全方针、安全保密目标和操纵措施，明确信息安全的治理职责；b)识别并满足适用法律、法规和相关方信息安全要求；c)定期进行信息安全风险评估，ISMS评审，采取纠正预防措施，保证体系的连续有效性；d)采纳先进有效的设施和技术，处

30、理、传递、储存和爱护各类信息，实现信息共享；e)对全体职员进行连续的信息安全教育和培训，不断增强职员的信息安全意识和能力；f)制定并保持完善的业务连续性打算，实现可连续进展。上述方针的批准、公布及修订由公司信息安全最高责任者负责；通过培训、宣贯等方式使得本公司职员知晓并执行相关内容；通过有效途径告知服务相关方及客户，以提高安全保密意识及服务水平；并定期通过治理评审操纵程序评审其适用性、充分性，必要时予以修订。组织的角色，职责和权限公司经营治理层决定全公司的组织机构和各部门的职责包括信息安全职责，并形成文件。各部门的信息安全治理职责决定本部门组织形式和业务分担，并形成文件。总经理为本公司信息安全最高责任者。各部门/项目组负责人为本部门/项目组信息安全治理责任者，全体职员都应按保密承诺的要求自觉履行信息安全保密义务；各部门应按照信息安全适用性声明中规定的安全目标、操纵措施包括安全运行的各种操纵程序的要求实施信息安全操纵措施。2、制度与规范、业务流程2.1信息安全与保密治理制度2.1.1为了保证项目网络数据的安全保密，坚持安全可靠的运算机应用环境，特制定本规定。2.1.2凡项目组从事项目治理工作的职员都必须执行本规定。2.1.3项目的合同、需求说明、设计变更、工作联系单、工程洽商单、经济签证单