信息安全總體方針和安全策略指引

1、 第三條公司信息安全經(jīng)管遵循如下原則: 籌規(guī)劃信息安全經(jīng)管目標(biāo)和策略,建立信息安全保障隊伍并合理配置 以國家信息安全法律、法規(guī)、規(guī)范、規(guī)范為根本依據(jù)，全面符合相關(guān) 責(zé)、工作流程層面、執(zhí)行層面建立相互監(jiān)督制約機制，降低因缺乏約 （五) 規(guī)范化原則：通過建立規(guī)范化的工作流程,在執(zhí)行層面對信息 系統(tǒng)安全工作進行合理控制，降低由于工作隨意性而產(chǎn)生的安全風(fēng) 第四條本指引適用于公司全體人員.第二章信息安全保障框架及目標(biāo)第五條參照國內(nèi)外相關(guān)規(guī)范,并結(jié)合公司已有網(wǎng)絡(luò)與信息安全體系建 結(jié)合. 據(jù)各個層面的實施,建立與公司實際情況相結(jié)合的安全技術(shù)體系。同 作用,形成依托于保護對象的安全技術(shù)體系控制措施. 相關(guān)內(nèi)容

2、，信息安全經(jīng)管中心通過“自動、平臺化”的方式，對信息 內(nèi)容，結(jié)合公司的實際情況加以落實. 信息安全理論成果，設(shè)計出整體性好、可操作性強,并且融組織、經(jīng) 第八條建立信息安全領(lǐng)導(dǎo)小組,負(fù)責(zé)組織、落實國家信息安全相關(guān)政 撐企業(yè)信息安全建設(shè)、運營單位的聯(lián)絡(luò)，制定完整的公司常用信息 全經(jīng)管，確保公司內(nèi)部人員的背景、身份、專業(yè)資格和職能權(quán)限的安 全性，要求信息安全人員簽署保密協(xié)議，落實公司內(nèi)部人員信息安 規(guī)范外部人員在公司各項與信息系統(tǒng)相關(guān)的活動所要遵守的行為準(zhǔn) 第十四條確保信息化建設(shè)的工程立項、設(shè)計、實施、驗收等各個環(huán)節(jié) 第十五條加強公司信息系統(tǒng)的物理環(huán)境和設(shè)施的信息安全規(guī)范性經(jīng) 管工作，確保物理環(huán)境、

3、設(shè)施設(shè)備和進出訪問控制安全，落實公司 第十六條加強對公司信息資產(chǎn)的安全經(jīng)管，建立統(tǒng)一的信息資產(chǎn)分 類、責(zé)任、授權(quán)和配置經(jīng)管，明確公司硬件資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資 全運行、策略進行定期檢查,記錄信息系統(tǒng)運行的日志及狀態(tài)，定期 對信息資產(chǎn)進行清點，確保各系統(tǒng)的正常運行，落實公司信息安全 險,結(jié)合日常信息系統(tǒng)的運行有關(guān)經(jīng)管辦法，落實公司信息系統(tǒng)變 第二十條對磁帶、磁盤、磁盤陣列、光盤、硬盤、紙質(zhì)等各類移動存 第二十二條加強對網(wǎng)絡(luò)系統(tǒng)的設(shè)計、規(guī)劃、變更審批和運維監(jiān)督，定 期對網(wǎng)絡(luò)中的系統(tǒng)進行漏洞掃描,對重要網(wǎng)段進行保護，落實公司 份的方式,同時每年需要進行一次數(shù)據(jù)恢復(fù)演練，數(shù)據(jù)的保存周期至 少為五年，合理的根據(jù)情況進行調(diào)整備份時間，落實公司信息備份 第二十五條對長期認(rèn)真貫徹公司信息安全經(jīng)管辦法,并因此而取得較 司造成的損