信息安全方针.doc

: .
信息安全方针
LT
ISMS
受控文件 第 页
ISMS
受控文件 第 页
ISMS
受控文件 第 页
ISMS
目录
HYPERLINK \l "_Toc267063068" 1. 目的和使用范围 3
HYPERLINK \l "_Toc267063069" 2. 信息安全定义 3
HYPERLINK \l "_Toc267063070" 3. 信息安全方针 3
HYPERLINK \l "_Toc267063071" 4. 安全管理机构 3
HYPERLINK \l "_Toc267063072" 5. 职责 5
HYPERLINK \l "_Toc267063073" 6. 信息安全管理体系实施框架 8
HYPERLINK \l "_Toc267063074" 7. 重要原则、标准和符合性要求 9
HYPERLINK \l "_Toc267063075" 8. 评审 10
HYPERLINK \l "_Toc267063076" 9. 相关文件 10
1. 目的和适用范围
信息安全管理体系方针指明了公司的信息安全目标和方向，并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针，特制定本文件。此外，本文件还描述了公司的信息安全管理体系的范围。
本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。
2. 信息安全定义
信息安全是指保证信息的保密性、完整性、可用性；另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。
信息是对公司业务至关重要的一种资产，因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁，以确保业务连续性，是业务风险最小化，投资回报和商业机遇最大化。
3. 信息安全方针
公司信息安全方针为：全员参与、控制风险；积极预防、持续改进；客户信赖、永续经营。
4. 安全管理机构
根据ISO/IEC 27001:2005的要求，为了确保信息安全工作有一个明确的方向和获得可见的管理者支持，公司设立以下不同级别的信息安全管理机构。
信息安全管理委员会
信息安全管理委员会是本公司信息安全管理工作的最高领导机构，承担以下方面的工作：
1) 审批信息安全方针和总体职责；
2) 审批信息安全的特殊方法和过程，如风险评估等；
3) 审批加强信息安全的重大举措；
4) 提供所需要的足够的资源；
5) 协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。
信息安全委员会主席由总经理担任，常务副主席由公司总经理任命（管理者代表）；信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为：在信息安全管理委员会主席/副主席的领导下，负责公司日常信息安全的管理与监督活动，并对相关部门提供指导和对需要培训的员工进行培训。
信息安全员
相关部门指定一位兼职的信息安全员，参与/配合信息安全委员会的活动，指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。
5. 职责
(1) 公司领导职责
公司领导应具有以下方面的职责：
1) 制定信息安全方针；
2) 向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性；
3) 主持ISMS的管理评审；
4) 提供开发、实施、运行和维护ISMS所需的足够的资源；
5) 决定可接受的风险级别。
(2) 部门领导职责
部门领导（主要是部门经理）必须：
1) 明确本部门所管理的（包括本公司的和相关方提供的）信息资产的类