信息安全方針

信息安全方針信息安全管理實(shí)務(wù)刑事執(zhí)行專(zhuān)業(yè)教學(xué)資源庫(kù)目錄CONTENTS0102030405信息安全方針背景及概述背景、承諾、信息安全方針信息安全方針適用范圍及紀(jì)律處罰適用范圍、紀(jì)律處罰信息安全管理體系（ISMS）目標(biāo)ISMS目標(biāo)信息安全管理體系（ISMS）總則及重要原則ISMS總則、ISMS重要原則信息安全管理體系更新、審核、批準(zhǔn)更新、審核、批準(zhǔn)刑事執(zhí)行專(zhuān)業(yè)教學(xué)資源庫(kù)信息安全方針背景及概述背景應(yīng)用于任何屬于XXXXXX（以下簡(jiǎn)稱“本單位”）的信息，包括傳統(tǒng)紙張文件的、在計(jì)算機(jī)中存儲(chǔ)的和任何其它種類(lèi)。信息安全方針指明本單位信息安全活動(dòng)的總方向和總原則，根據(jù)本單位IT風(fēng)險(xiǎn)管理框架，建立和保持信息安全管理體系。高層承諾本單位領(lǐng)導(dǎo)完全支持一個(gè)貫徹始終的信息安全方針，并會(huì)提供一切必要支持保護(hù)信息和信息資產(chǎn)。刑事執(zhí)行專(zhuān)業(yè)教學(xué)資源庫(kù)信息安全方針本單位信息安全管理以建立安全可靠的信息支撐環(huán)境，提升本單位安全管理的核心能力為總體方針。本單位信息系統(tǒng)安全管理實(shí)行統(tǒng)一規(guī)劃、統(tǒng)一規(guī)范、分級(jí)管理和分擔(dān)責(zé)任的原則。所有包含、處理、傳送本單位信息的信息技術(shù)設(shè)施，例如外包供應(yīng)商提供的處理本單位信息的設(shè)施所有屬于本單位的場(chǎng)所，例如辦公室、機(jī)房等所有屬于本單位的信息（用任何介質(zhì)儲(chǔ)存或者傳送）或信息資產(chǎn)，和有關(guān)器材，例如服務(wù)器、個(gè)人電腦、網(wǎng)絡(luò)設(shè)備等所有處理屬于本單位信息或信息資產(chǎn)的人員，包括在本單位工作場(chǎng)所或通過(guò)通訊網(wǎng)絡(luò)接入本單位的信息處理設(shè)施信息安全方針適用范圍及紀(jì)律處罰01030204所有與本單位信息資產(chǎn)有關(guān)的服務(wù)和產(chǎn)品所有用以處理本單位信息的工作和行政步驟0506一些用來(lái)處理信息部信息資產(chǎn)的非本單位持有的信息處理設(shè)施、服務(wù)、人員和單位，例如外包公司提供儀器和人員為信息中心處理信息07適用范圍信息安全方針使用范圍及紀(jì)律處罰紀(jì)律處罰任何本單位員工違反或者沒(méi)有貫徹本單位信息安全管理制度，將受到嚴(yán)正處理。紀(jì)律處分的方法，將會(huì)按情節(jié)嚴(yán)重程度定奪，本單位有權(quán)辭退違規(guī)者；若本單位認(rèn)為情況需要，可把事件交有關(guān)執(zhí)法人員處理，并且保留一切采取法律行動(dòng)追究的權(quán)利。刑事執(zhí)行專(zhuān)業(yè)教學(xué)資源庫(kù)信息安全管理體系（ISMS）目標(biāo)01確保本單位持有和代管的信息資產(chǎn)免受任何實(shí)際或者邏輯破壞02保護(hù)本單位信息的使用、訪問(wèn)、披露和獲取，使其符合本單位利益、法律以及信息安全要求03保護(hù)本單位的信息資產(chǎn)是在經(jīng)過(guò)授權(quán)和符合本單位業(yè)務(wù)需要下使用04識(shí)別確實(shí)發(fā)生或意圖的非授權(quán)/違規(guī)行為，并采取適當(dāng)措施補(bǔ)救和進(jìn)行紀(jì)律檢查程序05使管理層有法理依據(jù)去對(duì)任何非授權(quán)和違規(guī)的行為采取行動(dòng)06實(shí)施合乎成本效益的信息安全管理措施07配合本單位的人事管理策略和程序08將任何為本單位信息資產(chǎn)帶來(lái)的脆弱性進(jìn)行風(fēng)險(xiǎn)處理以使風(fēng)險(xiǎn)水平降低到可以接受的程度任何授權(quán)必須有確實(shí)業(yè)務(wù)需要，可證明此授權(quán)是正當(dāng)?shù)模覍?duì)工作是必須的只有經(jīng)過(guò)本單位正常渠道授權(quán)的人員才可以使用、訪問(wèn)、儲(chǔ)存、傳送和處理屬于本單位的信息或信息資產(chǎn)所有人員有責(zé)任按ISMS條文去保護(hù)本單位所有的信息和信息資產(chǎn)任何對(duì)本單位的信息或信息資產(chǎn)的使用、訪問(wèn)、儲(chǔ)存、傳送和處理，都必須采取一切可行方法確保其保密性、可用性和完整性信息安全管理體系（ISMS）總則及重要原則01030204任何對(duì)本單位信息或信息資產(chǎn)的變更，例如變更應(yīng)用程序或者網(wǎng)絡(luò)配置，必須確保不會(huì)被破壞、繞過(guò)和架空任何現(xiàn)有信息安全措施，導(dǎo)致信息或信息資產(chǎn)暴露于任何不可接受的風(fēng)險(xiǎn)之下任何對(duì)本單位信息或信息資產(chǎn)的變更，例如變更應(yīng)用程序或者網(wǎng)絡(luò)配置，必須按本單位正式的變更管理步驟，獲得授權(quán)才可以進(jìn)行0506任何使用、訪問(wèn)、儲(chǔ)存、傳送和處理屬于本單位的信息或信息資產(chǎn)的權(quán)限或者方法，必須定期審核和檢查07ISMS總則信息安全管理體系（ISMS）總則及重要原則確保本單位的信息資產(chǎn)的保密性、可用性和完整性，使本單位的活動(dòng)有責(zé)任性根據(jù)定期的IT風(fēng)險(xiǎn)評(píng)估和管理，使信息安全水平達(dá)到成本效益最優(yōu)的目標(biāo)本單位管理層定期對(duì)信息安全方針進(jìn)行檢查、修正和更新任何使用、訪問(wèn)、儲(chǔ)存、傳送和處理屬于本單位的信息或信息資產(chǎn)必須按業(yè)務(wù)相關(guān)性或個(gè)人職務(wù)范圍得到適當(dāng)?shù)臋?quán)限01020304重要原則ADDATITLEHERETEXTTEXTTEXTADDTEXT內(nèi)容小標(biāo)題01內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息STEP1STEP2STEP3內(nèi)容小標(biāo)題02內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容小標(biāo)題03內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息內(nèi)容文本信息信息安全管理體系更新、審核、批準(zhǔn)審核評(píng)估由于本單位本身或信息中心的系統(tǒng)環(huán)境、實(shí)際業(yè)務(wù)、技術(shù)等會(huì)改變，因此本信息安全方針需要定期審核檢查加以修正更新，應(yīng)付不同改變帶來(lái)的安全需要。任何有關(guān)人員都可對(duì)此文件提出改善建議審核評(píng)估本單位會(huì)按情況適當(dāng)?shù)脑u(píng)估對(duì)文件的更新和改變，以符合本單位的業(yè)務(wù)和配合本單位業(yè)務(wù)