信息安全方针.docx

该【信息安全方针 】是由【1660287****】上传分享，文档一共【5】页，该文档可以免费在线阅读，需要了解更多关于【信息安全方针 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。信息平安管理方针
第一章背景
第一条在落实“以技术的卓越支撑服务,以创新的力量创造价值”的经营理念,面向公众服务建设的过程中,信息支撑平台、各类应用系统和相关业务信息的使用、开发和维护已成为公司核心业务活动的重要组成局部,信息技术已深入到公司日常业务运行与管理工作的各个层面,因此,为保障公司业务的正常持续运行,保护信息资产的平安,特制定本信息平安方针。
第二章目标
第二条本方针旨在为公司的信息平安管理实践提供清晰的策略方向,说明信息平安建设和管理的重要原那么,为公司的信息平安管理工作的提供指引与支持,使本公司的信息平安管理从“无序、零散、被动”的风险补救状态,转变为“系统、科学、连贯、主动”的风险驾驭状态。
第三章范围
第三条除非特别说明,本方针的管理对象包括公司拥有、控制、管理和使用的所有硬件、软件、信息、服务、人员和无形资产等信息资产。本方针的适用对象主要包括与以上信息资产相关的公司所有部门,以及与公司有关的集成商、软件开发商、产品提供商、顾问、商业合作伙伴、临时工作人员和客户以及其他等第三方机构或人员。上述对象都要执行此信息平安方针,以满足信息平安管理的要求。
第四条在本方针的指导下,公司可根据组织平安管理的实际情况,制定相应的平安策略、程序和实施细那么,以保护公司所有信息资产的平安。
第四章管理层承诺
第五条公司最高管理层认识到信息平安是公司日常业务与管理工作中的重要内容,通过制定与批准本方针,最高管理层承诺对公司的信息平安工作提供一切必要支持,以保护公司信息资产的平安。
第五章信息平安管理方针
第六条通过建立和持续完善信息平安管理体系,使公司全员信息平安意识得以提高,积极做好预防工作,保隙软件开发和技术服务的业务连续性和业务运转流程各个环节所有信息的机密性、完整性、可用性。
具体的公司的信息平安管理方针为:
实施风险管理,确保信息平安,保障业务可持续开展。
信息平安方针含义:
、法律法规要求,建立风险评估程序,确定风险接受准那么。定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。应根据风险评估的结果,采取相应措施,降低风险。
,对信息平安予以重视,全面识别和分析全部信息资产,系统考虑企业信息系统薄弱点、可能存在的威胁,考虑本钱、利益、风险的综合平衡,对资产进行分类保护,以适宜的本钱到达系统保护的要求。
,明确各级、各岗位的信息平安责任,以人为本,坚持全员、全方位、全过程信息平安管理。通过测量和监控,持续改进,保证信息平安管理体系的有效运行,做到制度执行有记录、记录记载可追溯,最终保障企业生产、经营、管理和服务的持续和平安,实现企业开展目标。
第七条公司建立信息平安管理委员会作为公司最高平安机构,主任由公司总经理担任;委员由各业务部门及控股公司部门负责人组成。信息平安管理委员会下设信息平安管理工作组,成员由各业务部门及部门指定的核心员工组成。信息平安管理委员会每年召开会议,对有关信息平安重大问题做出决策。
第八条本方针的适用对象必须遵守安的法律、法规、上级主管部门及行业内的相关规定和要求,以及公司的有关规定。
第九条公司需要建立完备的信息平安管理体系,定义重要信息资产的平安需求,持续地对信息资产进行风险评估,建立全公司范围内的信息平安保护策略和程序,使企业拥有可控的风险管理架构、方法和保障落实机制,确保企业在不断变化的平安风险环境中,始终能够通过科学的方法和持续的改进来增强企业的公信力。
第十条公司必须对公司全体员工和第三方人员进行必要的信息平安教育与培训,使其充分理解公司制订的信息平安方针与策略,明确并促使其担当在保护公司信息资产过程中的角色和责任。
第十一条信息平安管理工作组负责信息平安方针和措施的贯彻落实,并针对信息平安事件建立完善的响应、报告和调查机制。
第十二条根据“谁管理,谁负责”的原那么,建立信息平安绩效考核体系。对于违反信息平安方针的部门和个人,部门主管领导要负相应责任,个人将按照公司有关规定进行处分。
第六章信息平安管理原那么
第十三条公司的信息平安管理推行IT治理原那么、管理与技术并重原那么和PDCA("Plan:规划”一“Do:实施”一“Check:检查”一“Action:处置”)动态循环管理原那么。
(一)IT治理原那么:信息平安管理要符合公司的IT治理原那么。在战略层面上,信息平安决策必须由最了解企业整体目标与价值的权威部门来决定,应当使信息平安问题得到管理层的关注,并进入企业战略层的日常议题;在战术层面上,信息平安实践要由国际和国内得到普遍实践与认可的IT治理标准(如IS027001/17799、ITIL、CMMI等)来指导。
(二)管理与技术并重原那么:信息平安不是单纯的技术问题,在采用平安技术和产品的同时,应重视采取有效的管理措施,不断积累完善针对实际情况的各类平安管理策略、规章制度,全面提高信息平安管理水平,到达本钱效益最优目标。
(三)PDCA动态循环管理原那么:应当对信息与信息系统的建设、运行、维护、废止的全过程进行信息平安管理;在对信息资产的管理上遵循PDCA动态循环管理原那么,要针对企业内外部业务环境及技术条件的变化情况,进行周期性的风险评估,根据风险状况及时调整信息平安管理策略和方法。
第七章信息平安管理方针的评审
第十四条由于公司的经营环境、业务内容和技术状况随时都可能发生变化,因此需要对信息平安方针及其他信息平安政策进行定期评审(至少一年一次)或不定期评审(当发生了较大的平安事故或企业经历较大的变革,组织结构,业务和人员发生重大变化时),并根据实际需要加以更新,以反映当前最新的平安需要。
第十五条对信息平安方针及相关信息平安政策的变更,可以由公司的各级员工和部门提出,由信息平安管理工作组进行汇总、分析研讨,并负责起草工作;然后通过信息平安管理委员会的审批,最后提交总经理办公会议讨论批准后方可公布。
第十六条公司将通过不同的内部通讯渠道,例如内部网站、电子邮件向所有在公司工作人员公布本方针的新版本及相关信息。
第十七条本方针由信息平安管理委员会负责解释和修订。