信息安全方针.docx

信息安全管理方针第一章背景第一条在落实“以技术的卓越支撑服务，以创新的力量创造价值”的经营理念，面向公众服务建设的过程中，信息支撑平台、各类应用系统和相关业务信息的使用、开发和维护已成为公司核心业务活动的重要组成部分，信息技术已深入到公司日常业务运行与管理工作的各个层面，因此，为保障公司业务的正常持续运行，保护信息资产的安全,特制定本信息安全方针。第二章目标第二条本方针旨在为公司的信息安全管理实践提供清晰的策略方向，阐明信息安全建设和管理的重要原则，为公司的信息安全管理工作的提供指引与支持，使本公司的信息安全管理从“无序、零散、被动”的风险补救状态，转变为“系统、科学、连贯、主动”的风险驾驭状态。第三章范围第三条除非特别说明，本方针的管理对象包括公司拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的公司所有部门，以及与公司有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和客户以及其他等第三方机构或人员。上述对象都要执行此信息安全方针，以满足信息安全管理的要求。第四条在本方针的指导下，公司可根据组织安全管理的实际情况，制定相应的安全策略、程序和实施细则，以保护公司所有信息资产的安全。第四章管理层承诺第五条公司最高管理层认识到信息安全是公司日常业务与管理工作中的重要内容，通过制定与批准本方针，最高管理层承诺对公司的信息安全工作提供一切必要支持，以保护公司信息资产的安全。第五章信息安全管理方针第六条通过建立和持续完善信息安全管理体系，使公司全员信息安全意识得以提高，积极做好预防工作，保障软件开发和技术服务的业务连续性和业务运转流程各个环节所有信息的机密性、完整性、可用性。具体的公司的信息安全管理方针为：实施风险管理，确保信息安全，保障业务可持续发展。信息安全方针含义：a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析全部信息资产,系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进，保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管理和服务的持续和安全，实现企业发展目标。第七条公司建立信息安全管理委员会作为公司最高安全机构，主任由公司总经理担任；委员由各业务部门及控股公司部门负责人组成。信息安全管理委员会下设信息安全管理工作组，成员由各业务部门及部门指定的核心员工组成。信息安全管理委员会每年召开会议，对有关信息安全重大问题做出决策。第八条本方针的适用对象必须遵守国家有关信息安全的法律、法规、上级主管部门及行业内的相关规定和要求，以及公司的有关规定。第九条公司需要建立完备的信息安全管理体系，定义重要信息资产的安全需求，持续地对信息资产进行风险评估，建立全公司范围内的信息安全保护策略和程序，使企业拥有可控的风险管理架构、方法和保障落实机制，确保企业在不断变化的安全风险环境中，始终能够通过科学的方法和持续的改进来增强企业的公信力。第十条公司必须对公司全体员工和第三方人员进行必要的信息安全教育与培训，使其充分理解公司制订的信息安全方针与策略，明确并促使其担当在保护公司信息资产过程中的角色和责任。第十一条信息安全管理工作组负责信息安全方针和措施的贯彻落实，并针对信息安全事件建立完善的响应、报告和调查机制。第十二条根据“谁管理，谁负责”的原则，建立信息安全绩效考核体系。对于违反信息安全方针的部门和个人，部门主管领导要负相应责任，个人将按照公司有关规定进行处罚。第六章信息安全管理原则第十三条公司的信息安全管理推行IT治理原则、管理与技术并重原则和PDCA（"Plan：规划”一“Do：实施"一“Check：检查”一“Action：处置”）动态循环管理原则。（一）IT治理原则：信息安全管理要符合公司的IT治理原则。在战略层面上，信息安全决策必须由最了解企业整体目标与价值的权威部门来决定，应当使信息安全问题得到管理层的关注，并进入企业战略层的日常议题；在战术层面上，信息安全实践要由国际和国内得到普遍实践与认可的IT治理标准（如IS027001/17799、FnL、CMMl等）来指导。（二）管理与技术并重原则：信息安全不是单纯的技术问题，在采用安全技术和产品的同时，应重视采取有效的管理措施，不断积累完善针对实际情况的各类安全管理策略、规章制度，全面提高信息安全管理水平，达到成本效益最优目标。（三）PDCA动态循环管理原则：应当对信息与信息系统的建设、运行、维护、废止的全过程进行信息安全管理；在对信息资产的管理上遵循PDCA动态循环管理原则，要针对企业内外部业务环境及技术条件的变化情况，进行周期性的风险评估，根据风险状况及时调整信息安全管理策略和方法。第七章信息安全管理方针的评审第十四条由于公司的经营环境、业务内容和技术状况随时都可能发生变化，因此需要对信息安全方针及其他信息安全政策进行定期评审（至少一年一次）或不定期评审（当发生了较大的安全事故或企业经历较大的变革，组织结构，业务和人员发生重大变化时），并根据实际需要加以更新，以反映当前最新的安全需要。第十五条对信息安全方针及相关信息安全政策的变更，可以由公司的各级员工和部门提出，由信息安全管理工作组进行汇总、分析研讨，并负责起草工作；然后通过信息安全管理委员会的审批，最后提交总经理办公会议讨论批准后方可公布。第十六条公司将通过不同的内部通讯渠道，例如内部网站、电子邮件向所有在公司工作人员公布本方针的新版本及相关信息。第十七条本方针由信息安全管理委员会负责解释和修订。