信息安全方针.docx

商密三级
XX信息安全管理体系文档
XX
信息安全方针
编号：ISMS-L1-001
XX
二。一六年十月
版本控制信息
版本
日期
拟稿和修改
说明
A
初版发行
商密三级
XX信息安全管理体系文档
XX
信息安全方针
编号：ISMS-L1-001
XX
二。一六年十月
版本控制信息
版本
日期
拟稿和修改
说明
A
初版发行
本文档中的所有内容为XX有限公司的机密和专属所有。未经XX有限公司的明确书面许可，任何 组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部内容。
目录
目录B
目的 1
范围 1
参考文件 1
术语说明 1
信息安全定义 1
总体方针与原则 1
信息安全责任 2
信息安全管理体系（ISMS） 2
信息安全部 2
信息安全管理委员会（ISMC） 2
评估与维护 2
方针的宣导 3
附则 3
1目的
本文档为XX有限公司（以下简称“XX”或“公司”）ISO/IEC 27001信息安全管理体系 文档的一级文档，将阐明组织的信息安全目标和方针，对信息安全管理体系做出概括性叙述， 是组织对外实施信息安全保证、对内进行信息安全管理的总纲。
2范围
本方针为XX所有信息安全标准、规范、流程必须遵从的纲领性文件，其中所规定的信 息安全控制措施，适用对象为所有接触、处理、使用、运营、维护和保管XX重要信息资产 的公司员工和第三方人员。
3参考文件
《ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》
《信息系统安全保护等级基本要求GBT 22239-2008》
4术语说明
机密性：确保只有经过合法授权才可以存取信息。
完整性：保护信息资产的准确、完整的特性。
可用性：确保经授权的用户在需要时可以获取信息及服务。
信息安全管理体系：指为确保达成信息安全方针所建立的相关管理制度与配套措施。XX 信息安全管理体系，以ISO27001为主要参考标准，兼顾等级保护要求的法律法规要求。
第三方：本方针所称第三方，指除公司内部组织和员工外的其他单位，如合作机构、供 应商、服务商、战略合作伙伴、访客等。
5信息安全定义
XX以信息技术为命脉，将信息技术作为商业的组成部分。公司信息安全的定义为：确 保重要信息资产及相关信息的机密性、完整性、可用性。
6总体方针与原则
所有“公司”的信息资产是“公司”高度有价值的资产。信息资产指“公司”所创造、
使用、及维护的客户及员工个人的信息和“公司”专有的信息，这包括著述、口述、或电子 信息。信息安全目的是保护此类资产，使信息不能在为授权下，意外地或刻意的被使用、发 放、篡改、或删除。
随着“公司”日利益利用互联网进行业务扩展，减低信息资产受到的外来威胁（如，计 算机病毒、黑客攻击、信息泄密等）的风险同样重要。
“公司”承诺建立并推行高标准的信息安全规范，并：
1、严格遵循国家法例、监管机构法规、及行业常规和守则的信息安全要求，并以最高 标准作为规范原则；
2］信息受到适当的保护，确保信息的保密性、完整性机可用性；