信息安全方针及安全策略.pdfVIP

密级：内部使用级 XXX公司 信息安全方针及安全策略 文件编号 ： 编 制 ： 审 核 ： 批 准 ： 版 本 ： Ｖ１.０ 颁布 日期 ： 受控状态 ： 受控文件 文件会签页及文件内容变更记录 文件会签表 会签部门 会签人/日期 会签部门 会签人/日期 研发部 变更记录 序 版本 更改项，更改内容 变更人 审核人 批准人 生效时间 号 1 总则 1.1目的 为了深入贯彻落实国家信息安全政策文件要求和信息安全等级保护政策要 求，加强XXX 公司的信息安全管理工作，增强全员信息安全意识，切实提高信息 系统安全保障能力，特制定本方针。 1.2范围 本方针适用于XXX 公司信息安全管理活动。 1.3职责 由领导和各科室主管为主体的信息安全领导小组负责本方针文件的审核和 修订，由信息中心为主体的信息安全工作小组负责本方针文件的贯彻和执行。 1.4符合性 本方针文件主要遵循《信息安全技术信息系统安全等级保护基本要求（GBT 22239-2008）》标准的要求，同时在部分环节也符合以下两个国际标准。 ISO/IEC 27001 信息安全管理体系要求 ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范 2 信息安全方针 XXX 公司总体安全方针为：提高人员信息安全风险意识，确保信息系统安 全；强化信息安全管理，坚持以人为本。 3 方针主要内容 3.1主要安全策略  信息安全是相关部门正常经营的重要保障，XXX公司将遵照“统一 规划、分级管理、积极防范、人人有责”的原则，通过风险评估和风险管理， 采取一切可能的措施，加强信息安全的建设和管理。  设立信息安全领导小组，信息安全领导小组是信息安全管理的最高 机构；信息中心、运维人员、系统管理员等是信息安全日常工作和执行机构， 负责信息系统及信息安全的日常维护和管理工作。  全体人员均有参与信息安全管理、保护及相关部门信息安全的义务 和责任。全体职工应积极参加各种形式的信息安全教育和培训，遵守相关国 家法律、法规、部门规章和行业规范，遵守信息安全管理制度。  承载信息系统的所有软硬件设施及物理环境均应受到适当的保护。  采取必要的措施保护信息的机密性，以防止未经授权的不当存取； 同时应确保信息不会在传递的过程中，或因无意间的行为透漏给未经授权的 第三者。  采取必要的措施确保信息的完整性，以防止未经授权的篡改。  采取必要的措施确保信息的可用性，以确保使用者需求可以得到满 足。  采取必要的措施确保信息的连续性，以确保业务持续可用。  相关的信息安全措施或规范应符合现行法令、法规的要求。  全体人员都有责任通过适当的上报机制，报告所发现的信息安全意 外事故或信息安全弱点。  任何危及信息安全的行为，都应诉诸适当的惩罚程序或法律行动。 3.2信息安全目标 最大限度保证信息系统的完整性、保密性和可用性免遭破坏。确保每年信息 安全重大事故（III级）的发生频率为可控范围内的最低，目标为“0”次。 3.3信息安全管理框架 XXX公司信息安全管理框架是根据ISO/IEC27001 《信息安全管理体系要求》 中的控制目标和控制项，并结合XXX公司的实际情况所建立的。符合“PDCA”的 管理模式。 1. P （PLAN）过程是计划过程，指统一规划和设计XXX公司的信息安全目 标和安全控制策略，指导XXX公司整体的信息安全管理工作。 2. D （DO) 过程是执行过程，指XXX公司在开展信息安全工作中需要落实 的管理要求，包括信息安全组织制度管理、人