信息安全方针.docx

1、信息安全方针信息安全方针密级：敏感文档编号：ISMS-A-01信息安全方针版本号：V1.0信息安全方针r苏州XXXX有限公司编制：审核：批准：实施日期：保密说明:修订页日期版本号修订说明修订人审核 人批准 人201110-28V1.0新版发行1.目的和使用范围 52.信息安全定义 53信息安全方针 54.安全管理机构 55.职责 76.信息安全管理体系实施框架 10乙重要原则、标准和符合性要求 118.评审 129.相关文件 121.目的和适用范围信息安全管理体系方针指明了公司的信息安全 目标和方向，并可以确保信息安全管理体系被充分 理解和贯彻实施。为明确信息安全管理体系方针， 特制定本文件。

2、此外，本文件还描述了公司的信息 安全管理体系的范围。本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。2.信息安全定义信息安全是指保证信息的保密性、完整性、可用 性；另外也可包括诸如真实性、可核查性、不可否 认性和可靠性等特性。信息是对公司业务至关重要的一种资产，因此需 要加以适当的保护。在业务环境互连日益增加的情 况下这一点显得尤为重要。信息安全可防止信息受 到各种威胁，以确保业务连续性，是业务风险最小 化，投资回报和商业机遇最大化。3.信息安全方针公司信息安全方针为：全员参与、控制风险；积 极预防、持续改进；客户信赖、永续经营。4.安全管理机构根据ISO/IEC

3、 27001:2005的要求，为了确保信受控文件 第5页息安全工作有一个明确的方向和获得可见的管理 者支持，公司设立以下不同级别的信息安全管理机 构。信息安全管理委员会信息安全管理委员会是本公司信息安全管理工 作的最高领导机构，承担以下方面的工作：1） 审批信息安全方针和总体职责；2） 审批信息安全的特殊方法和过程，如风险评估 等；3） 审批加强信息安全的重大举措；4） 提供所需要的足够的资源；5） 协调本ISMS、公司质量管理体系和公司其他 规章制度之间的关系。信息安全委员会主席由总经理担任， 常务副主席 由公司总经理任命（管理者代表）；信息安全管理 委员会由相关部门的信息安全员组成。信息安

4、全管 理委员会主要工作为：在信息安全管理委员会主席 /副主席的领导下，负责公司日常信息安全的管理 与监督活动，并对相关部门提供指导和对需要培训 的员工进行培训。信息安全员相关部门指定一位兼职的信息安全员，参与 /配 合信息安全委员会的活动，指导本部门信息安全管 理并实施对其本部门的日常信息安全监视和检查 工作。5.职责（1） 公司领导职责公司领导应具有以下方面的职责：1） 制定信息安全方针；2） 向公司员工传达满足信息安全目标和符合信 息安全方针、法律法规要求的重要性；3） 主持ISMS的管理评审；4） 提供开发、实施、运行和维护ISMS所需的足 够的资源；5） 决定可接受的风险级别。（2）

5、部门领导职责部门领导（主要是部门经理）必须:1）明确本部门所管理的（包括本公司的和相关方提供的）信息资产的类型，并进行资产登记和 指定负责人。2） 对本部门所管理的关键信息资产进行风险评 估，识别其所受的威胁、机密级别（密级信息 按其所受的危险程度，可依次分为“绝密”、“机 密”、“秘密”、“敏感”、“一般”）、风险级别（资 产按其所受的危险程度，可依次分为：“很高”、“高”、“一般”、“低”）、脆弱性和潜在的影响， 并制定与其相适应的控制措施。3） 向信息安全管理委员会报告信息被危及的任 何迹象，或信息可能被泄露或损毁的任何可疑 活动和行为。（3）项目主管职责这里所说的项目主管是指在部门经理

6、领导下主持某些领域工作的人员。他们必须：1） 向部门经理说明本领域特殊的信息安全要求；2） 按本领域特殊的信息安全要求，保护本领域的 信息资产的安全；3） 联系相关技术支持人员（包括网络维护员、网 络管理员和系统管理员等），确保其所属的每 一位员工的机器都安装和定期更新可靠的防 杀病毒软件，并及时安装系统补丁软件包。（4）员工职责1） 每一位员工或使用本公司信息的人员都要遵 守本方针，都有保护公司信息资产、系统和基 础设施安全的职责。2） 每一位员工都应采取适当的措施（包括设置密 码），保护其所负责的所有形式的机密信息在 管理、使用、存储、处理和传输中的安全。3） 员工外出工作需要携带设备时，

7、必须获得相关 领导者的批准，并应采取相应的保护措施，防 止丢失，防止损毁，确保信息安全。如：设备 必须设置密码、不留在公共场所无人看管、不 暴露于强电磁场等。4） 任何员工都有义务向其直接领导或信息安全 管理委员会报告可能会危及密级信息安全的 任何活动、行为和提出改进建议。（5）使用者职责这里所说的使用者是指访问本公司密级信息的人员1） 使用者必须获得授权、了解该信息的安全要 求，并采取相应的安全保护措施。2） 如果已授权的使用者不了解其所要访问的信 息的安全要求，那么他必须对该信息提供最高 极限的保护。3） 使用者应小心保护其访问信息的密码、物理钥 匙和ID卡，一旦发生密码泄露或钥匙、ID卡

8、 丢失，应立即向其直接领导报告并承担相应责 任。6.信息安全管理体系实施框架公司要根据所要实现的信息安全目标选取适当 的风险评估方法，并制定风险评估程序以持续适用 于公司的信息安全管理体系。信息安全风险在被识别后，应进行分析和评价， 根据其结果，选取合适的控制措施，以满足风险评 估和风险处理过程中所识别的需求。控制措施的选 择还应考虑可接受风险的准则以及法律法规和合 同要求。本公司风险接受准则是：如果降低风险所付出的 成本大于风险所造成的损失，则选择接受风险。受控文件 第10页可接受的风险级别为：按照公司所采取的风险评 估方法，风险共分4级，可接受风险级别为低风险 和一般风险，或者管理者批准接

9、受的风险；较高风 险和高风险不能接受。7.重要原则、标准和符合性要求1） 法律法规和合同要求的符合性公司在建立和管理信息安全管理体系时，必须符 合相关法律法规和合同的要求。2） 安全教育、培训和意识要求所有分配有信息职责的人员必须具备执行所要 求任务的能力，因此公司要确定这些人员所必要的 能力，提供能力培训，必要时，可聘用有能力的人 员以满足这些需求。同时要评价所提供的培训和所 采取的措施的有效性，保持教育、培训、技能、经 历和资格的记录。另外，公司还要确保所有相关人 员意识到其信息安全活动的适当性和重要性，以及 如何为达到信息安全管理体系目标做出贡献。3） 业务持续性管理为防止公司业务活动中断，保护关键业务过程免 受重大失误或灾难的影响，以及确保它们的及时恢 复，业务持续性管理计划必须考虑信息和信息安全受控文件 第11页的需求，对能引起业务流程中断的事态进行识别， 连同这种中断发生的概率和影响，以及它们对信息 安全的后果也要进行识别，确保在关键业务过程中 断或失败后能够在要求的水平和要求的时间内恢 复信息的可用性。8.评审此文件需要在12个月内定期通过管理评审等方 式进行一次评审，当信息安全管理体系发生重大变 化时，也应评审并根据评审结果适时更新，以维持 其持续适用性。9.相关文件信息安全目标信息安全风险管理程序业务连续性管理程序