信息安全總體方針

1、信息安全總體方針 信息化服務(wù)中心 信息安全 總體 方針 項(xiàng)目名稱(chēng) xxx 安全運(yùn)維服務(wù)項(xiàng)目 客戶(hù)名稱(chēng) xxx 信息化服務(wù)中心 實(shí)施地點(diǎn) xxx 信息化服務(wù)中心 實(shí)施單位 xxx 絡(luò)安信息技術(shù)有限 實(shí)施時(shí)間 xxx 年 7 月 17 日星期二 文檔修訂情況 版本 修訂記錄 日期 修訂 審核 批準(zhǔn) v1.0 制作文檔 xxx-07-17 xxx v2.0 修改信息安全管理委員會(huì)框架 xxx-07-20 xxx 目錄 1 目的和適用范圍 . 3 2 信息安全定義 . 3 3 信息安全方針 . 3 4 安全管理機(jī)構(gòu) . 3 4.1 信息安全管理委員會(huì) . 3 5 職責(zé). 4 6 信息安全管理體系實(shí)施框

2、架 . 4 7 重要原則、標(biāo)準(zhǔn)和符合性要求 . 5 8 評(píng)審. 5 1 目的和 適用 范圍 信息安全管理體系方針指明了 xxx 信息化服務(wù)中心的信息安全目標(biāo)和方向，并可以確保信息安全管理體系被充分理解和貫徹實(shí)施。為明確信息安全管理體系方針，特制定本文件。此外，本文件還描述了 xxx 信息化服務(wù)中心的信息安全管理體系的范圍。 本文件適用于 xxx 信息化服務(wù)中心信息安全管理體系涉及的所有人員和組織的全部重要信息資產(chǎn)及過(guò)程。 2 信息安全定義 信息安全是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等特性。 信息是對(duì) xxx 信息化服務(wù)中心業(yè)務(wù)至關(guān)重要的一

3、種資產(chǎn)，因此需要加以適當(dāng)?shù)谋Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。信息安全可防止信息受到各種威脅，以確保業(yè)務(wù)連續(xù)性，是業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。 3 信息安全方針 xxx 信息化服務(wù)中心信息安全方針為：統(tǒng)一規(guī)劃建設(shè)、全面綜合防御、技術(shù)管理并重、保障運(yùn)營(yíng)安全。 4 安全管理機(jī)構(gòu) 根據(jù) iso/iec 27001:2021 的要求，為了確保信息安全工作有一個(gè)明確的方向和獲得可見(jiàn)的管理者支持，xxx 信息化服務(wù)中心設(shè)立以下信息安全管理機(jī)構(gòu)。 4.1 信息安全管理委員會(huì) 信息安全管理委員會(huì)是 xxx 信息化服務(wù)中心信息安全管理工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)，承擔(dān)以下方面的工作： 1

4、) 審批信息安全方針和總體職責(zé)； 2) 審批信息安全的特殊方法和過(guò)程，如風(fēng)險(xiǎn)評(píng)估等； 3) 審批加強(qiáng)信息安全的重大舉措； 4) 提供所需要的足夠的資源； 5) 協(xié)調(diào)本 isms 和 xxx 信息化服務(wù)中心其他規(guī)章制度之間的關(guān)系。 信息安全委員會(huì).由 xxx 信息化服務(wù)中心負(fù)責(zé)人擔(dān)任，常務(wù)副.由 xxx 信息化服務(wù)中心任命（管理者代表）；信息安全管理委員會(huì)由相關(guān)部門(mén)的信息安全員組成。信息安全管理委員會(huì)主要工作為：在信息安全管理委員會(huì)./副.的領(lǐng)導(dǎo)下，負(fù)責(zé) xxx 信息化服務(wù)中心日常信息安全的管理與監(jiān)督活動(dòng)，并對(duì)相關(guān)部門(mén)提供指導(dǎo)和對(duì)需要培訓(xùn)的員工進(jìn)行培訓(xùn)。 圖-信息安全管理委員會(huì)組織機(jī)構(gòu)框架圖 5

5、 職責(zé) (1) 領(lǐng)導(dǎo)職責(zé) xxx 信息化服務(wù)中心領(lǐng)導(dǎo)應(yīng)具有以下方面的職責(zé)： Ø 制定信息安全方針； Ø 向 xxx 信息化服務(wù)中心員工傳達(dá)滿(mǎn)足信息安全目標(biāo)和符合信息安全方針、法律法規(guī)要求的重要性； Ø 主持 isms 的管理評(píng)審； Ø 提供開(kāi)發(fā)、實(shí)施、運(yùn)行和維護(hù) isms 所需的足夠的資源； Ø 決定可接受的風(fēng)險(xiǎn)級(jí)別。 (2) 員工職責(zé) Ø 每一位員工或使用本 xxx 信息化服務(wù)中心信息的人員都要遵守本方針，都有保護(hù)xxx 信息化服務(wù)中心信息資產(chǎn)、系統(tǒng)和基礎(chǔ)設(shè)施安全的職責(zé)。 Ø 每一位員工都應(yīng)采取適當(dāng)?shù)拇胧òㄔO(shè)置密碼），

6、保護(hù)其所負(fù)責(zé)的所有形式的機(jī)密信息在管理、使用、存儲(chǔ)、處理和傳輸中的安全。 Ø 員工外出工作需要攜帶設(shè)備時(shí)，必須獲得相關(guān)領(lǐng)導(dǎo)者的批準(zhǔn)，并應(yīng)采取相應(yīng)的保護(hù)措施，防止丟失，防止損毀，確保信息安全。如：設(shè)備必須設(shè)置密碼、不留在公共場(chǎng)所無(wú)人看管、不暴露于強(qiáng)電磁場(chǎng)等。 Ø 任何員工都有義務(wù)向其直接領(lǐng)導(dǎo)或信息安全管理委員會(huì)報(bào)告可能會(huì)危及密級(jí)信息安全的任何活動(dòng)、行為和提出改進(jìn)建議。 (3) 使用者職責(zé) 這里所說(shuō)的使用者是指訪(fǎng)問(wèn)本 xxx 信息化服務(wù)中心密級(jí)信息的人員。 Ø 使用者必須獲得授權(quán)、了解該信息的安全要求，并采取相應(yīng)的安全保護(hù)措施。 Ø 如果已授權(quán)的使用者不了解

7、其所要訪(fǎng)問(wèn)的信息的安全要求，那么他必須對(duì)該信息提供最高極限的保護(hù)。 Ø 使用者應(yīng)小心保護(hù)其訪(fǎng)問(wèn)信息的密碼、物理鑰匙和id卡，一旦發(fā)生密碼泄露或鑰匙、id 卡丟失，應(yīng)立即向其直接領(lǐng)導(dǎo)報(bào)告并承擔(dān)相應(yīng)責(zé)任。 6 信息安全管理體系實(shí)施框架 xxx 信息化服務(wù)中心要根據(jù)所要實(shí)現(xiàn)的信息安全目標(biāo)選取適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估方法，并制定風(fēng)險(xiǎn)評(píng)估程序以持續(xù)適用于 xxx 信息化服務(wù)中心的信息安全管理體系。 信息安全風(fēng)險(xiǎn)在被識(shí)別后，應(yīng)進(jìn)行分析和評(píng)價(jià)，根據(jù)其結(jié)果，選取合適的控制措施，以滿(mǎn)足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的需求?？刂拼胧┑倪x擇還應(yīng)考慮可接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。 本 xxx 信息化服務(wù)中心

8、風(fēng)險(xiǎn)接受準(zhǔn)則是：如果降低風(fēng)險(xiǎn)所付出的成本大于風(fēng)險(xiǎn)所造成的損失，則選擇接受風(fēng)險(xiǎn)。 可接受的風(fēng)險(xiǎn)級(jí)別為：按照 xxx 信息化服務(wù)中心所采取的風(fēng)險(xiǎn)評(píng)估方法，風(fēng)險(xiǎn)共分 4級(jí)，可接受風(fēng)險(xiǎn)級(jí)別為低風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)，或者管理者批準(zhǔn)接受的風(fēng)險(xiǎn)；較高風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)不能接受。 7 重要原則、標(biāo)準(zhǔn)和符合性要求 Ø 法律法規(guī)和合同要求的符合性 xxx 信息化服務(wù)中心在建立和管理信息安全管理體系時(shí)，必須符合相關(guān)法律法規(guī)和合同的要求。 Ø 安全教育、培訓(xùn)和意識(shí)要求 所有分配有信息職責(zé)的人員必須具備執(zhí)行所要求任務(wù)的能力，因此 xxx 信息化服務(wù)中心要確定這些人員所必要的能力，提供能力培訓(xùn)，必要時(shí)，可聘用有能力的人員以滿(mǎn)足這些需求。同時(shí)要評(píng)價(jià)所提供的培訓(xùn)和所采取的措施的有效性，保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。另外，xxx 信息化服務(wù)中心還要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到信息安全管理體系目標(biāo)做出貢獻(xiàn)。 Ø 業(yè)務(wù)持續(xù)性管理 為防止 xxx 信息化服務(wù)中心業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受重大失誤或?yàn)?zāi)難的影響，以及確保它們的及時(shí)恢復(fù)，業(yè)務(wù)持續(xù)性管理計(jì)劃必須考慮信息和信息安全的需求，對(duì)能引起業(yè)務(wù)流程中斷的事態(tài)進(jìn)行識(shí)別，連同這種中斷發(fā)生的概率和影響