信息安全策略.doc

. -
- -可修编.
三二一（）科技XX信息安全策略
2016年8月
. -
- -可修编.
版本控制
版本
修改时间
修改内容
修改人员
审核人员

2016-08-25
新增
陈达隆
吴为问
总则
为了建立、健全三二一（）科技XX的信息安全管理制度，按照相关的国家标准，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照信息安全管理制度的相关规定执行，改进信息安全管理制度的有效性，特制定信息安全策略文档。
本文档适用于三二一（）科技XX信息安全管理活动。
信息安全范围
信息安全策略涉及的范围包括：
公司全体员工。
公司所有业务系统。
公司现有信息资产，包括与上述业务系统相关的数据、硬件、软件、服务及文档等。
公司办公场所和上述信息资产所处的物理位置。
信息安全总体目标
通过建立健全公司各项信息安全管理制度、加强公司员工的信息安全培训和教育工作，制定适合公司的风险控制措施，有效控制信息系统面临的安全风险，保障信息系统的正常稳定运行。
信息安全方针
公司主管领导定期组织相关人员召开信息安全会议，对有关的信息安全重大问题做出决策。
. -
- -可修编.
清晰识别所有资产，实施等级标记，对资产进行分级、分类管理，并编制和维护所有重要资产的清单。
综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全，并加强对外单位人员访问信息系统的控制，降低系统被非法入侵的风险。
启动服务器操作系统、网络设备、安全设备、应用软件的日志功能，定期进行审计并作相应的记录。
明确全体员工的信息安全责任，所有员工必须接受信息安全教育培训，提高信息安全意识。针对不同岗位，制定不同等级培训计划，并定期对各个岗位人员进行安全技能及安全认知考核。
建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息安全事故的流程，并使所有的员工和相关方都能理解和执行事故处理流程，同时妥善保存安全事件的相关记录与证据。
对用户权限和口令进行严格管理，防止对信息系统的非法访问。
制定完善的数据备份策略，对重要数据进行备份。数据备份定期进行还原测试，备份介质与原信息所在场所应保持安全距离。
与外单位的外包（服务）合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容，并采取相应措施严格保证对协议安全内容的执行。
在开发新业务系统时，应充分考虑相关的安全需求，并严格控制对项目相关文件和源代码等敏感数据的访问。
. -
- -可修编.
定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施进行风险控制。
上述方针由信息安全管理委员会批准发布，并定期评审其适用性和充分性，必要时予以修订。
信息安全职责
信息安全管理委员会负责批准信息安全策略文件并且保证本文件被公司的各部门执行，同时负责对三二一（）科技XX信息系统信息安全方面的指导方向、安全建设等重大问题做出决策，协调各个部门之间的安全协同工作，支持和推动信息安全工作在整个公司范围内的实施。
信息技术部负责具体执行