信息安全方针_精品文档.doc

1、陕西广电网络传媒股份有限公司-信息安全方针陕西广电网络传媒股份有限公司信息安全方针文档信息机密级分类版版本控制版本日期人员更新说明V1.02010-10-27文文档审核审核人职务审核日期文文档批准批准人职务批准日期复分发控制部门人员文档权限复复查计划复查时间复查人员复查结果第一章 总则第一条 为给信息安全工作提供清晰的指导方向，加强安全管理工作，保证业务系统的安全运营，特制定本方针。第二条 信息安全工作是企业运营与发展的基础和核心，是保证网络品质的基础，是保障客户利益的基础，也是国家安全的需要，因此必须重视网络与信息安全工作。第三条 信息安全是公司各部门所有员工共同分担的责任，与每一个员工的日

2、常工作息息相关，所有员工必须提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。第四条 本方针适用于陕西广电网络传媒股份有限公司全体员工。第二章 安全目标第五条 陕西广电网络传媒股份有限公司的信息安全使命是：(一) 保障业务正常和安全运行，保证业务连续性；(二) 保护客户隐私，保护客户资料的机密性，维护客户的利益 ；(三) 保护公司的商业机密和技术机密，维护公司的利益；第六条 陕西广电网络传媒股份有限公司的信息安全愿景是：建立行业一流的信息安全保障体系。第三章 安全工作基本原则第七条 安全工作应遵循以下基本原则：(一) “分级保护”原则：应根据各业务系统的重要程度以及面临的风险大

3、小等因素决定各类信息的安全保护级别，分级保护，合理投资。(二) “同步规划、同步建设、同步运行”原则：安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。(三) “三分技术、七分管理”原则：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。(四) “内外并重”原则：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和审计机制。(五) “整体规划，分步实施”原则：需要对公司信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。(六)

4、“风险管理”原则：进行安全风险管理，确认可能影响信息系统的安全风险，并以较低的成本将其降低到可接受的水平。(七) “适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。第四章 安全组织机构职责第八条 公司信息安全领导小组是由公司主管信息安全工作的高层领导主持，由公司信息安全主管与各部门主管组成的公司信息安全工作常设领导组织，是公司信息安全工作的最高决策机构和领导机构，全面负责公司信息安全各项工作，其成员包括：公司信息安全主管、各部门主管。公司信息安全领导小组的主要职责是：1、负责公司的整体信息安全管理工作，负责公司信息资产的安全。2、负责协调公司内

5、部信息安全工作，分配信息安全管理目标、职责，并支持和推动信息安全工作在本所范围内的实施。3、负责对与信息安全管理有关的重大事项进行决策，包括信息安全组织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、确认可接受的风险和风险水平等。4、负责对信息安全管理进行评审，审批和发布信息安全方针、信息安全规范及管理办法以及与信息安全管理相关的重大事项。5、评审与监督重大信息安全事故的处理。第九条 公司信息安全工作小组是公司信息安全工作的执行机构，由公司信息安全主管担任组长，成员包括各部门安全管理员。公司信息安全工作小组的职责是：1、直接对信息安全管理领导小组负责，承担信息安全的具体工作，协助

6、信息安全领导小组在信息安全事务上的决策。2、负责信息安全政策的贯彻与落实，负责信息安全管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行部门对于信息安全政策、措施的实施。3、负责制定违反信息安全政策行为的标准，并协助公司人力资源部和下属单位对违反信息安全政策的人员和事件进行确认。4、负责信息安全事件的调查和记录，对发生的每一起信息安全事件进行调查，并将过程、原因和解决方法记录在案。5、负责定期召开信息安全工作会议，定期总结信息安全事件记录报告，并向信息安全领导小组汇报。第十条 公司信息安全主管，由公司信息安全领导小组产生，具体负责信息安全管理的各项工作，

7、并直接向信息安全领导小组汇报工作。公司信息安全主管的职责是：1、依照信息安全领导小组的统一部署，贯彻与协调落实公司的信息安全管理措施、技术措施、过程和程序。2、 协调各部门与外部组织间有关的信息安全工作，并督促各部门对于信息安全管理措施、技术措施、过程和程序的实施和落实。3、 依照信息安全风险评估和等级保护等相关标准的要求，组织各部门常态化地进行信息安全风险评估和等级保护工作。4、 进行信息安全事件的调查和记录，对发生的每一起信息安全事件进行调查，并将过程、原因和解决方法都记录在案。5、 定期召集信息安全工作会议，总结信息安全工作经验，向信息安全领导小组汇报信息安全管理工作。第十一条 公司各部

8、门安全管理员，由公司各部门产生，具体负责部门内部信息安全管理的各项工作，并直接向信息安全主管汇报工作。公司各部门安全管理员的职责是：1、根据公司信息安全工作小组的计划和要求，组织协调落实本部门的信息安全管理工作，整理、核查并归档本部门的信息安全记录。2、在本部门内宣传落实信息安全管理体系各项方针、政策、规范、办法与细则等文件，提高本部门人员的信息安全意识与技能。第五章 安全工作要求第十二条 公司和各部门必须建立和完善信息安全管理规章制度和操作程序，规范和加强信息安全管理工作，所有员工必须遵守与其相关的信息安全规章制度。第十三条 加强内部人员安全管理，依据最小特权原则清晰划分岗位，在所有岗位职责

9、中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的安全审查。第十四条 所有员工都应签署保密协议，并接受信息安全教育培训，提高安全意识，及时报告网络与信息安全事件。第十五条 必须加强第三方访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方公司和外包服务公司签署安全责任协议，明确其安全责任。第十六条 各部门必须加强信息资产管理，建立和维护信息资产清单，维护最新的网络拓扑图，建立信息资产责任制，对信息资产进行分类管理和贴标签。第十七条 加强机房和办公区域的安全管理，为设备的正常运行提供物理和环境安全保障。第十八条 建立日常维护操

10、作规程和变更控制规程，规范日常运行维护操作，严格控制和审批任何变更行为。第十九条 加强项目建设的安全管理，配套安全系统必须与业务系统“同步规划、同步建设、同步运行”，加强安全规划、安全审批、安全验收管理。第二十条 加强防范恶意软件，所有Windows机器必须安装网络防病毒系统，定期更新病毒特征代码，及时报告发现的病毒。第二十一条 按照补丁跟进和发布、补丁获取、补丁测试、补丁加载、补丁验证、补丁归档这一流程进行补丁安全管理。第二十二条 建立维护作业计划，严格执行维护作业计划，加强对设备、操作系统、数据库、应用系统的运行监控，编写日常运行维护报告。第二十三条 部署网络层面和系统层面的访问控制、安全

11、审计以及安全监控技术措施，保障业务系统的安全运行。第二十四条 增强主机系统的安全配置，定期进行安全评估和安全加固。第二十五条 制定各业务系统的应急方案，定期更新、维护和测试，做好数据备份工作，确保数据的及时恢复，保证数据的安全。第二十六条 加强用户帐号和权限管理，按照最小特权原则为用户分配权限，避免出现共用帐号的情况。第二十七条 加强用户口令的管理，口令长度至少8位，并采用数字、字母和特殊字符的组合，定期修改用户口令。第二十八条 加强应用系统的安全管理，包括软件开发安全管理、投产测试和上线安全管理、应用软件版本和配置管理，加强外包开发的业务系统软件的安全管理。第二十九条 建立安全检查制度和安全处罚制度，对违反规章制度的部门和人员按照规定进行处罚。第六章 附则第三十条 本方针由陕西广电网络传媒股份有限公司制定并负责解释和修订。第三十一条 本方针自发布之日起执行。