信息安全方针.docx

信息安全方针
ISMS
密级：敏感
文档编号： ISMS-A-01 信息安全方针
版本号：
信息委员会由相关部门的信息安全员组成。 信息安全管理委员会主要工作为： 在信息安全管理委员会主席
副主席的领导下，负责公司日常信息安全的管理与监督活动，并对相关部门提供指导和对需要培训的员工进行培训。
受控文件 第 6 页
ISMS
信息安全员
相关部门指定一位兼职的信息安全员，参与 / 配合信息安全委员会的活动， 指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。
职责
公司领导职责
公司领导应具有以下方面的职责：
制定信息安全方针；
向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性；
主持 ISMS的管理评审；
提供开发、实施、运行和维护 ISMS所需的足够的资源；
决定可接受的风险级别。
部门领导职责
部门领导（主要是部门经理）必须：
受控文件 第 7 页
ISMS
明确本部门所管理的 （包括本公司的和相关方提供的）信息资产的类型，并进行资产登记和
指定负责人。
对本部门所管理的关键信息资产进行风险评
估，识别其所受的威胁、机密级别（密级信息按其所受的危险程度， 可依次分为“绝密”、“机密”、“秘密”、“敏感”、“一般”）、风险级别（资产按其所受的危险程度， 可依次分为：“很高”、“高”、“一般”、“低”）、脆弱性和潜在的影响，并制定与其相适应的控制措施。
向信息安全管理委员会报告信息被危及的任何迹象，或信息可能被泄露或损毁的任何可疑活动和行为。
项目主管职责
这里所说的项目主管是指在部门经理领导下主持某些领域工作的人员。他们必须：
向部门经理说明本领域特殊的信息安全要求；
按本领域特殊的信息安全要求， 保护本领域的信息资产的安全；
联系相关技术支持人员 （包括网络维护员、 网
受控文件 第 8 页
ISMS
络管理员和系统管理员等） ，确保其所属的每一位员工的机器都安装和定期更新可靠的防杀病毒软件，并及时安装系统补丁软件包。
员工职责
每一位员工或使用本公司信息的人员都要遵守本方针，都有保护公司信息资产、系统和基
础设施安全的职责。
每一位员工都应采取适当的措施 （包括设置密码），保护其所负责的所有形式的机密信息在管理、使用、存储、处理和传输中的安全。
员工外出工作需要携带设备时， 必须获得相关
领导者的批准，并应采取相应的保护措施，防止丢失，防止损毁，确保信息安全。如：设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。
任何员工都有义务向其直接领导或信息安全
管理委员会报告可能会危及密级信息安全的任何活动、行为和提出改进建议。
使用者职责
这里所说的使用者是指访问本公司密级信息的
受控文件 第 9 页
ISMS
人员。
使用者必须获得授权、了解该信息的安全要
求，并采取相应的安全保护措施。
如果已授权的使用者不了解其所要访问的信息的安全要求， 那么他必须对该信息提供最高极限的保护。
使用者应小心保护其访问信息的密码、 物理钥
匙和 ID 卡，一旦发生密码泄露或钥匙、 ID 卡丢失，应立即向其直接领导报告并承担相应责任。
信息安全管理体系实施框架
公司要根据所要实现的信息安全目标选取适当的风险评估方法， 并制定风险评估程序以持续适用于公司的信息安全管理体系。
信息安全风险在被识别后，应进行分析和评价，根据其结果，选取合适的控制措施，以满足风险评估和风险处理过程中所识别的需求。 控制措施的选择还应考虑可接受风险的准则以及法律法规和合
同要求。
本公司风险接受准则是： 如果降低风险所付出的成本大于风险所造成的损失，则选择接受风险。
受控文件 第10 页
ISMS
可接受的风险级别为： 按照公司所采取的风险评估方法，风险共分 4 级，可接受风险级别为低风险和一般风险，或者管理者批准接受的风险；较高风险和高风险不能接受。
重要原则、标准