信息安全方针.doc

ISMS
受控文件 第 1 页
密级：敏感
文档编号： 第 6 页
职责
公司领导职责
公司领导应具有以下方面的职责：
制定信息安全方针；
向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性；
主持ISMS的管理评审；
提供开发、实施、运行和维护ISMS所需的足够的资源；
决定可接受的风险级别。
部门领导职责
部门领导（主要是部门经理）必须：
明确本部门所管理的（包括本公司的和相关方提供的）信息资产的类型，并进行资产登记和指定负责人。
对本部门所管理的关键信息资产进行风险评估，识别其所受的威胁、机密级别（密级信息按其所受的危险程度，可依次分为“绝密”、“机密”、“秘密”、“敏感”、“一般”）、风险级别（资产按其所受的危险程度，可依次分为：“很高”、“高”、“一般”、“低”）、脆弱性和潜在的影响，并制定与其相适应的控制措施。
向信息安全管理委员会报告信息被危及的任何迹象，或信息可能被泄露或损毁的任何可疑活动和行为。
项目主管职责
这里所说的项目主管是指在部门经理领导下主持某些领域工作的人员。他们必须：
向部门经理说明本领域特殊的信息安全要求；
按本领域特殊的信息安全要求，保护本领域的信息资产的安全；
联系相关技术支持人员（包括网络维护员、网络管理员和系统管理员等），确保其所属的每一位员工的机器都安装和定期更新可靠的防杀病毒软件，并及时安装系统补丁软件包。
员工职责
每一位员工或使用本公司信息的人员都要遵守本方针，都有保护公司信息资产、系统和基础设施安全的职责。
每一位员工都应采取适当的措施（包括设置密码），保护其所负责的所有形式的机密信息在管理、使用、存储、处理和传输中的安全。
员工外出工作需要携带设备时，必须获得相关领导者的批准，并应采取相应的保护措施，防止丢失，防止损毁，确保信息安全。如：设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。
ISMS
受控文件 第 6 页
任何员工都有义务向其直接领导或信息安全管理委员会报告可能会危及密级信息安全的任何活动、行为和提出改进建议。
使用者职责
这里所说的使用者是指访问本公司密级信息的人员。
使用者必须获得授权、了解该信息的安全要求，并采取相应的安全保护措施。
如果已授权的使用者不了解其所要访问的信息的安全要求，那么他必须对该信息提供最高极限的保护。
使用者应小心保护其访问信息的密码、物理钥匙和ID卡，一旦发生密码泄露或钥匙、ID卡丢失，应立即向其直接领导报告并承担相应责任。
信息安全管理体系实施框架
公司要根据所要实现的信息安全目标选取适当的风险评估方法，并制定风险评估程序以持续适用于公司的信息安全管理体系。
信息安全风险在被识别后，应进行分析和评价，根据其结果，选取合