信息安全方针
商密三级
XX信息安全管理体系文档
XX
信息安全方针
编号:ISMS-L1-001
XX
二○一六年十月
版本控制信息
目录
目录B
1目的 (1)
2范围 (1)
3参考文件 (1)
4术语说明 (1)
5信息安全定义 (1)
6总体方针与原则 (1)
7信息安全责任 (2)
8信息安全管理体系(ISMS) (2)
9信息安全部 (2)
9.1信息安全管理委员会(ISMC) (2)
10评估与维护 (2)
11方针的宣导 (3)
12附则 (3)
1 目的
本文档为XX有限公司(以下简称“XX”或“公司”)ISO/IEC 27001信息安全管理体系文档的一级文档,将阐明组织的信息安全目标和方针,对信息安全管理体系做出概括性叙述,是组织对外实施信息安全保证、对内进行信息安全管理的总纲。
2 范围
本方针为XX所有信息安全标准、规范、流程必须遵从的纲领性文件,其中所规定的信息安全控制措施,适用对象为所有接触、处理、使用、运营、维护和保管XX重要信息资产的公司员工和第三方人员。
3 参考文件
《ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》
《信息系统安全保护等级基本要求 GBT 22239-2008》
4 术语说明
机密性:确保只有经过合法授权才可以存取信息。
完整性:保护信息资产的准确、完整的特性。
可用性:确保经授权的用户在需要时可以获取信息及服务。
信息安全管理体系:指为确保达成信息安全方针所建立的相关管理制度与配套措施。XX 信息安全管理体系,以ISO27001为主要参考标准,兼顾等级保护要求的法律法规要求。
第三方:本方针所称第三方,指除公司内部组织和员工外的其他单位,如合作机构、供应商、服务商、战略合作伙伴、访客等。
5 信息安全定义
XX以信息技术为命脉,将信息技术作为商业的组成部分。公司信息安全的定义为:确保重要信息资产及相关信息的机密性、完整性、可用性。
6 总体方针与原则
所有“公司”的信息资产是“公司”高度有价值的资产。信息资产指“公司”所创造、
使用、及维护的客户及员工个人的信息和“公司”专有的信息,这包括著述、口述、或电子信息。信息安全目的是保护此类资产,使信息不能在为授权下,意外地或刻意的被使用、发放、篡改、或删除。
随着“公司”日利益利用互联网进行业务扩展,减低信息资产受到的外来威胁(如,计算机病毒、黑客攻击、信息泄密等)的风险同样重要。
“公司”承诺建立并推行高标准的信息安全规范,并:
1、严格遵循国家法例、监管机构法规、及行业常规和守则的信息安全要求,并以最高标准作为规范原则;
2]信息受到适当的保护,确保信息的保密性、完整性机可用性;
3、构建信息及信息系统安全控制是以深度防御及默认安全作为实施原则;
4、信息及信息系统所建立的保护与其敏感度、价值、及重要性相匹配。
7 信息安全责任
所有“公司”人员,包括员工及第三方人员,都有责任保护信息及信息系统的保密性、完整性及可用性。所有人员必须明白及确保执行信息安全方针、策略及相关规范。
任何违反信息安全规范的人员会受到纪律处分,包括解除劳动合同及刑事检控。
8 信息安全管理体系(ISMS)
9 信息安全部
红头文件【2008】14号确认信息安全部的成立。信息安全部推行“公司”统一的、高标准的信息安全策略,并监察信息安全规范在集团各部门、专业公司的执行情况,强化跨业务、跨系统的独立综合信息安全审查,加大信息安全监控力度。
9.1 信息安全管理委员会(ISMC)
信息安全委员会(ISMC)由来自“公司”各职能部门领导及信息安全部主管组成。信息安全部主管领导ISMC咨询对于创立及修改信息安全规范的意见,接纳信息安全规范,商讨信息安全在业务及信息管理中心的推行情况。
各专业公司可自组ISMC或由专业公司的高层管理委员会(如执行委员会)执行其职能。而“公司”统一的ISMC更能有效推行“公司”整体化的信息安全的规范。
10 评估与维护
1.公司应至少每年定期评估一次信息安全方针。当组织、业务、法律或环境等因素变
更时,应予以适当修订,以反映信息安全管理方针、操作规范、技术及业务需求的
最新状况,确保信息安全方针得到有效执行。
2.信息安全方针执行情况的评估可由信息安全办公室组织评估,或受公司委托的外部
咨询、审核机构进行。
11 方针的宣导
1.本方针的规定及公司员工在信息安全中应承担的角色及职责等有关规定,应在相关
管理办法、流程、标准等中详细说明并在公司内部正式发布,并以书面、电子或其
他方式告知公司员工及相关人员。
2.为贯彻执行,应要求公司员工在执行相关工作任务前,必须先知晓、熟悉相关要求,
并按具体要求操作。
12 附则
本方针自发布之日起执行。
信息安全管理方针和策略
1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
?与内部利益相关方的关系,内部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间范围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
信息安全总体方针和安全策略指引
信息安全总体方针和安全 策略指引 Last updated on the afternoon of January 3, 2021
X X X公司信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。 第二条本指引适合于公司。 第三条公司信息安全管理遵循如下原则: (一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源; (二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全; (三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。 (五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。
(六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。 第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。 (一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架; (二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; (三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。 第六条公司安全保障框架: (一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。 (二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安
信息安全工作总体方针和安全策略
1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
信息安全工作总体方针
信息安全工作总体方针 第一章总则 第一条为加强和规范信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为本公司信息系统安全管理提供一个总体的策略性架构文件,该文件将指导信息系统的交全管理体系的建立。立全管理体系的建立是为信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三条本文档适用各单位信息系统资产和信息技术人员的安全管理和指导,适用于信息系统安全策略的制定、安全方案的规划和安全建设的实施、适用于安全管理体系中安全管理措施的选择。 第四条引用标准及参考文件 本文档的编制参照了以下国家的标准和文件: (一)《中华人民共和国计算机信息系统安全保护条例》 (二)《关于信息安全等级保护建设的实施指异意见》(信息运安
(2009)27号)
(三)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) (四)《信息安全技术信息系统安全管理要求》(GB/T 20269一 2006) (五)《信息系统等级保护交全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指异意见》(公信交[2009]1429号) 第二章方针、目标和原则 第五条信息系统安全坚持"安全第一、预防为主,管理和技术并重,综合防范“的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。 第六条信息系统安全总体目标是确保信息系统持续、隐定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统朋溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据云失和失密,防止有害信息在网上传播,防止对
ISMS-3012信息安全方针信息安全策略管理制度
深圳市首品精密模型有限公司 信息安全方针信息安全策略管理制度 文件编号:ISMS-3012
变更履历
第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行 £027001:2013《信息技术安全技术信息安全管理体系?要求》,保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组 成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信 息安全委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需 要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排;
信息安全方针和信息安全目标(参照模板)
信息安全方针和信息安全目标 信息安全方针:信息安全人人有责 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。 二、信息安全管理组织 2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。 3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。 5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。 三、人员安全 6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 7.对本公司的相关方,要明确安全要求和安全职责。 8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安
全意 9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 五、风险评估 11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。 13.应根据风险评估的结果,采取相应措施,降低风险。 六、报告安全事件 14.公司建立报告信息安全事件的渠道和相应的主管部门。 15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。 16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。
信息安全方针
密级:敏感 文档编号:ISMS-A-01信息安全方针 版本号:V1.0 --------------------------------------------------------------------- 保密说明:。
修订页
目录 1.目的和使用范围 (4) 2.信息安全定义 (4) 3.信息安全方针 (4) 4.安全管理机构 (4) 5.职责 (5) 6.信息安全管理体系实施框架 (6) 7.重要原则、标准和符合性要求 (6) 8.评审 (7) 9.相关文件 (7)
1.目的和适用范围 信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了公司的信息安全管理体系的范围。 本文件适用于公司信息安全管理体系涉及的所有人员和组织的全部重要信息资产及过程。 2.信息安全定义 信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。 信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。 3.信息安全方针 公司信息安全方针为:全员参与、控制风险;积极预防、持续改进;客户信赖、永续经营。 4.安全管理机构 根据ISO/IEC 27001:2005的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立以下不同级别的信息安全管理机构。 信息安全管理委员会 信息安全管理委员会是本公司信息安全管理工作的最高领导机构,承担以下方面的工作: 1)审批信息安全方针和总体职责; 2)审批信息安全的特殊方法和过程,如风险评估等; 3)审批加强信息安全的重大举措; 4)提供所需要的足够的资源; 5)协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。 信息安全委员会主席由总经理担任,常务副主席由公司总经理任命(管理者代表);信息安全管理委员会由相关部门的信息安全员组成。信息安全管理委员会主要工作为:在信息安全管理委员会主席/副主席的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。 信息安全员 相关部门指定一位兼职的信息安全员,参与/配合信息安全委员会的活动,指导本部门信息安全管理并实施对其本部门的日常信息安全监视和检查工作。
01 XX公司信息安全总体方针和安全策略指引
XX公司 信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。第二条本指引适合于公司。 第三条公司信息安全管理遵循如下原则: (一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源; (二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全; (三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。 (五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风
险,同时提升信息安全管理制度的可操作性。 (六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。 (一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架; (二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; (三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。 第六条公司安全保障框架: (一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。(二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数
信息安全方针
陕西广电网络传媒股份有限公司 信息安全方针
文档信息
第一章总则 第一条为给信息安全工作提供清晰的指导方向,加强安全管理工作,保证业务系统的安全运营,特制定本方针。 第二条信息安全工作是企业运营与发展的基础和核心,是保证网络品质的基础,是保障客户利益的基础,也是国家安全的需要,因此必须重视网络与信息安全工作。 第三条信息安全是公司各部门所有员工共同分担的责任,与每一个员工的日常工作息息相关,所有员工必须提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。 第四条本方针适用于陕西广电网络传媒股份有限公司全体员工。 第二章安全目标 第五条陕西广电网络传媒股份有限公司的信息安全使命是: (一)保障业务正常和安全运行,保证业务连续性; (二)保护客户隐私,保护客户资料的机密性,维护客户的利益; (三)保护公司的商业机密和技术机密,维护公司的利益; 第六条陕西广电网络传媒股份有限公司的信息安全愿景是: 建立行业一流的信息安全保障体系。
第三章安全工作基本原则 第七条安全工作应遵循以下基本原则: (一)“分级保护”原则:应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别,分级保护,合理投资。 (二)“同步规划、同步建设、同步运行”原则:安全建设应与业务系统同步规划、同步建设、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。 (三)“三分技术、七分管理”原则:网络与信息安全不是单纯的技术问题,需要在采用安全技术和产品的同时,重视安全管理,不断完善各类安全管理规章制度和操作规程,全面提高安全管理水平。 (四)“内外并重”原则:安全工作需要做到内外并重,在防范外部威胁的同时,加强规范内部人员行为和审计机制。 (五)“整体规划,分步实施”原则:需要对公司信息安全建设进行整体规划,分步实施,逐步建立完善的信息安全体系。 (六)“风险管理”原则:进行安全风险管理,确认可能影响信息系统的安全风险,并以较低的成本将其降低到可接受的水平。 (七)“适度安全”原则:没有绝对的安全,安全和易用性是矛盾的,需要做到适度安全,找到安全和易用性的平衡点。
信息安全总体方针
信息安全总体方针 信息化服务中心 信息安全总体方针 项目名称 XXX安全运维服务项目客户名称 XXX信息化服务中心实施地点 XXX信息化服务中心实施单位 XXX络安信息技术有限实施时间 XXX年7月17日星期二 文档修订情况 版本修订记录日期修订审核批准v1.0制作文档XXX-07-17XXX V2.0修改信息安全管理委员会框架XXX-07-20XXX 目录 1 目的和适用范围................................................................... . (3) 2 信息安全定义................................................................... ..................................................................... ..3 3 信息安全方针................................................................... ..................................................................... ..3 4 安全管理机构................................................................... ..................................................................... ..3 4.1信息安全管理委员会................................................................... . (3) 5 职责................................................................... ..................................................................... .. (4) 6 信息安全管理体系实施框架...................................................................
信息安全方针
商密三级 XX信息安全管理体系文档 XX 信息安全方针 编号:ISMS-L1-001 XX 二○一六年十月
版本控制信息
目录 目录B 1目的 (1) 2范围 (1) 3参考文件 (1) 4术语说明 (1) 5信息安全定义 (1) 6总体方针与原则 (1) 7信息安全责任 (2) 8信息安全管理体系(ISMS) (2) 9信息安全部 (2) 9.1信息安全管理委员会(ISMC) (2) 10评估与维护 (2) 11方针的宣导 (3) 12附则 (3)
1 目的 本文档为XX有限公司(以下简称“XX”或“公司”)ISO/IEC 27001信息安全管理体系文档的一级文档,将阐明组织的信息安全目标和方针,对信息安全管理体系做出概括性叙述,是组织对外实施信息安全保证、对内进行信息安全管理的总纲。 2 范围 本方针为XX所有信息安全标准、规范、流程必须遵从的纲领性文件,其中所规定的信息安全控制措施,适用对象为所有接触、处理、使用、运营、维护和保管XX重要信息资产的公司员工和第三方人员。 3 参考文件 《ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》 《信息系统安全保护等级基本要求 GBT 22239-2008》 4 术语说明 机密性:确保只有经过合法授权才可以存取信息。 完整性:保护信息资产的准确、完整的特性。 可用性:确保经授权的用户在需要时可以获取信息及服务。 信息安全管理体系:指为确保达成信息安全方针所建立的相关管理制度与配套措施。XX 信息安全管理体系,以ISO27001为主要参考标准,兼顾等级保护要求的法律法规要求。 第三方:本方针所称第三方,指除公司内部组织和员工外的其他单位,如合作机构、供应商、服务商、战略合作伙伴、访客等。 5 信息安全定义 XX以信息技术为命脉,将信息技术作为商业的组成部分。公司信息安全的定义为:确保重要信息资产及相关信息的机密性、完整性、可用性。 6 总体方针与原则 所有“公司”的信息资产是“公司”高度有价值的资产。信息资产指“公司”所创造、
信息安全管理方针和策略
1、信息安全管理方针与策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1、1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡就是注日期的引用文件,只有引用的版本适用于本标准;凡就是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述与词汇。 1、2术语与定义 ISO/IEC 27000中的术语与定义适用于本文件。 1、3公司环境 1、3、1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部与内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然与竞争环境,无论国际、国内、区域,还就是本地的; ?影响组织目标的主要动力与趋势; ?与外部利益相关方的关系,外部利益相关方的观点与价值观。 明确内部状况:
?治理、组织结构、作用与责任; ?方针、目标,为实现方针与目标制定的战略; ?基于资源与知识理解的能力(如:资金、时间、人员、过程、系统与技术); ?与内部利益相关方的关系,内部利益相关方的观点与价值观; ?组织的文化; ?信息系统、信息流与决策过程(正式与非正式); ?组织所采用的标准、指南与模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵与外延; ?以时间与地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其她项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效与有效性的方法; ?识别与规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度与目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因与后果的性质与类别,以及如何予以测量; ?可能性如何确定;
信息安全总体方针
xxx 单位信息安全总体方 针 制定: 审核: 批准: xxx 单位信息中心 二〇一五年三月 第一章总则 第一条为规范 xxx单位信息系统的信息安全管理,促进信息安全工作体系化、规范化,提高信息和网络服务质量,提高信息系统管理人员、使用人员的整
体安全素质和水平,特制定本方针。本方针目标是为xxx单位信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全建设和管理所需的支持和承诺。 第二条本方针是指导 xxx单位信息安全工作的基本依据,信息安全相关人员依据本方针,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度及其实施细则,做好信息安全管理工作。 第三条信息安全是 xxx单位信息系统管理工作的重要内容。xxx 单位管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本方针的适用人员包括所有与xxx 单位信息系统各方面相关联的人员,它适用于全部员工,集成商,软件开发商,产品提供商,顾问,临时工和使用 xxx 单位信息系统的其他第三方。 第五条本方针适用范围包括 xxx单位信息系统拥有的、控制和管理的所有计算机系统、数据和网络环境。 第六条本方针主要依据国际标准 ISO17799,并遵照我国信息安全有关法律法规和相关标准。 第二章信息安全管理的主要原则 第七条管理与技术并重原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断完善信息安全管理制度与管理规程,全面提高信息安全管理水平。 第八条全过程原则:信息安全是一个系统工程,应将它落实在系统的计划组织、开发采购、实施交付、运行维护、废弃五个阶段的全生命周期管理过程中,信息安全建设管理应遵循与信息系统同步规划、同步建设、同步运行的原则。 第九条风险管理和风险控制原则:应进行信息安全风险管理和风险控制,将信息安全风险减低、控制在可以接受的程度内,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素确定各类信息资产的安全保护级别。
信息安全管理方针和策略
1、信息安全管理方针和策略 围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的容。 1.1规性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
?与部利益相关方的关系,部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的围以及深度、广度,包括具体的涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
信息安全方针
标题信息安全管理方针生效日期2011年01月01日 xxxx有限公司 信息安全管理方针 密级□机密□保密■内部使用□公开信息受控状态■受控□非受控 2011-12-01颁布封面 2011-01-01 实施 深圳市英腾威电气股份有限公司信息中心发布
标题信息安全管理方针生效日期2011年01月01日 文件历史控制记录 文件名称信息安全管理方针 文件编号IT-IT-M-0001 对应OA文号 版次编制与修订概要完成日期状态 角色参与人员 编写 初审 会签 审核 批准
保密等级内部使用 标题信息安全管理手册生效日期2010年12月23日 信息安全管理方针 本公司信息安全方针: “优化信息系统强化风险管理保障信息安全提升客户满意” 优化信息系统:在信息系统建设开发过程中,以“实用、安全 高效”为原则,不断全面的对现有系统和预期开发运用系统进行规划, 以快速度的响应公司业务的高速发展,进一步提高公司业务效率,保 障系统安全高效。 强化风险管理:秉承“预防为主,防冶结合”的理念,优化信息 安全策略和信息安全管理流程,对运行的信息系统和重要信息资产进 行全方位风险预防管控,保护信息系统和重要信息资产免受各种威胁 的损害,使信息安全风险最小化,以确保信息系统业务的连续性。 保障信息安全:坚持“安全第一,预防为主”的安全管理方针,适时保持与政府部门及特定权益团体联系,获得信息安全事故的预防 和纠正信息,在特殊时期得到相应的支持。定期开展信息安全风险评估,完善信息安全管理制度和管理信息系统灾难性恢复的应急预案,及时处理不可接受风险,杜绝可能出现的信息安全事故。 提升客户满意: 始终坚持以客户为关注焦点,遵循着公司“竭尽 全力提供物超所值的产品和服务,让客户更有竞争力”的发展使命,积极开展信息安全意识宣传,倡导“信息安全人人有责任"全面的安 全理念,树立良好的企业形象。进一步加强信息安全教育培训工作,
11信息安全工作总体方针和安全策略
11信息安全工作总体方针和安全策略
1?总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。
4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面
信息安全工作总体方针和安全策略
1. 总 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息 安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。 息网络的硬件、 软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而 遭到破坏、 更改、泄露,系统连续可靠正常地运行, 信息服务不中断为总体目标。 2. 范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门 对该项工作的落实和执行进行监督, 由某部门配合某部门对本案的有效性进行持 续改进。 3. 原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适 4. 策略框架 全需求、 控制措施及执行程序, 并在关联制度文档中定义出相关的安全角色, 并 对其赋予管理职责。 “以人为本”,通过对信息安全工作人员的安全意识培训等 方法不断加强系统分布的合理性和有效性。 4.1 物理方面 依据实际情况建立机房管理制度, 明确机房的出入管理办法, 机房介以信 度保护的等级化原则”、 分域保护原则”、 动态保护原则”、“多级保护原 则”、“深度保护原则” 和“信息流向原则” 等)。 建立一套关于物理、 主机、网络、应用、 数据、建设和管理等六个方面的安
质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制 方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。
信息安全管理体系方针
信息安全管理体系方针 1.总体方针: 满足客户要求,遵守法律法规,实施风险管理,确保信息安全,实现持续改进。 2.诠释: 一、信息安全管理机制 1.我们通过计算机及网络设备提供软件开发业务、IT系统集成业务等服务,因此,信息资产的安全性对我们来说是非常重要的事情。为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,我们依据ISO/IEC 27001:2005标准,建立信息安全管理体系,全面保护公司的信息安全,并承诺如下: 二、信息安全管理组织 1.总经理对信息安全全面负责,批准信息安全方针,确定安全要求,提供资源。 2.信息安全管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安 全管理体系的持续适宜性和有效性。 3.在公司内部建立息安全组织机构:信息安全委员会及信息安全工作小组,负责信息 安全管理体系的运行。 4.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发 展动态,获得对信息安全管理的支持。 三、人员安全 1.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动 合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责 任。对岗位调动或离职人员,应及时调整安全职责和权限。 2.对公司的相关方,如:软硬件供应商、服务商、保卫、消防、清洁等人员,也要明 确安全要求和安全职责。 3.定期对全体员工进行信息安全相关教育和培训,包括:技能、职责等,以提高安全 意识。 4.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 1.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满 足安全要求。 五、风险评估 1.根据公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 2.定期进行风险评估,以识别公司风险的变化。公司或环境发生重大变化时,随时评估。
ISMS02 信息安全管理体系方针
信息安全管理体系方针 1 适用范围 为了对组织整体业务的信息安全活动进行指导,并表明组织管理层对信息安全的支 持,特制定本方针。本方针适用于组织ISMS涉及的所有人员(以下简称“全体员工”)和组织的全部重要信息资产及过程。 2引用文件 组织的《信息安全管理手册》。 3术语和定义 (此处略去) 4职责 4.1 信息安全管理委员会 a)负责解释本方针,是本方针的归口管理部门; b)负责决定组织信息安全相关事项。 4.2信息安全部 负责协调推行信息安全管理委员会制定的方针政策。 4.3信息安全战略推进组 负责执行信息安全管理委员会下发、信息安全部督导的ISMS相关文档。 5 ISMS范围 组织信息安全管理体系的范围覆盖组织的所有业务,运行范围包括图1组织结构图中 所示的所有业务部门,该范围与《适用性声明》保持一致。 组织结构示意图(略去)
6信息安全基本策略 6.1 信息安全方针及信息安全目标 信息安全是保护信息免受各种威胁的损害,以确保业务连续性、业务风险最小化,投资回报和商业机遇最大化。 6.1.1 组织信息安全方针 积极预防、全面管理、控制风险、保障安全。信息安全方针应由CEO批准,发布并传达给全体员工和外部相关方。 6.1.2组织信息安全目标 使已识别的信息资产满足信息安全的各项要求,包括法律法规、客户与相关方和组织业务要求。具体目标包括: a)信息泄漏事件为零; b)引起组织主要业务中断时间累计不能超过2 h/年; c)引起组织主要业务中断事件发生次数小于1次/年; d)严重影响网络与信息系统可用性的事件小于1次/年; e)信息安全事件发生时,以损失最小化、恢复时间最短化、避免再次发生为目标。 6.2信息安全管理体制 信息安全管理体制由以下人员组成:CEO、信息安全官、信息安全战略推进组、信息安全部门主管、信息安全员和用户。 为了确保信息安全工作有一个明确的方向相获得CEO的支持,组织设立了三个不同级别的信息安全机构:信息安全管理委员会、信息安全部和信息安全战略推进组。 6.3信息的分类和管理 根据信息的重要程度规定信息分类分级及管理方法。 6.3.1信息的分类分级 根据信息的保密性、完整性及可用性等安全属性,对信息进行分类分级。具体请参考《信息资产分类/分级指南》实施。