信息安全方针信息安全策略管理规范

信息安全方针信息安全策略管理规范

（ISO27001-2013）

第一章总则

第一条为提高公司信息安全管理水平，建立、健全信息安全管理体系，贯彻执行ISO27001:2013《信息技术安全技术信息安全管理体系•要求》，保障公司信息系统业务的正常进行，防止由于信息安全事件导致的公司损失，确保全体员工理解信息安全的重要性，执行信息安全管理体系文件的要求，特制定本制度。

第二条本制度是公司信息安全管理的纲领性文件，用于贯彻企业的信息安全管理方针、目标，是所有从事、涉及信息安全相关活动人员的行为准则，是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。

第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立，信息部定期对其适用性、持续性、有效性进行评审，汇总更改需求和建议并上报。

第四条本制度适用于公司所属各单位。

第二章职责分工

第五条公司信息安全管理工作由信息安全委员会指导和批准，委员会下设信息安全工作推进组，并设立信息安全顾问团。

第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管

任命的信息化专业员组成。

第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。

第八条信息安全工作推进组职责

(一) 建立信息安全管理方针、目标和策略；

(二) 评估信息安全顾问组意见的可用性；

(三) 确定公司信息资产风险准则和信息安全事件处置措施；

(四) 组织并确保全公司信息安全教育活动的落实；

(五) 监控公司的信息安全情况，监督检查信息安全活动的落实情况，并定期向信息安全委员会汇报；

(六) 向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要，推行各项信息安全策略要求和控制措施；

(七) 负责公司信息安全内部、外部评估的具体安排；

(八) 推进组中各部门安全专员负责对本部门信息资产进行汇总上报，负责本部门信息安全事件的应急处理，收集、上报与本部门相关的信息安全管理方面的要求，同时负责在本部门内传达、落实公司信息安全管理策略的要求。

第九条信息安全顾问组职责

(一) 提供信息安全相关产品的使用帮助和更新；

(二) 负责为公司提供完整的信息安全管理咨询服务；

(三) 提供信息安全管理方面的相关培训。

第三章信息安全方针和目标

第十条公司信息安全方针为：

满足客户要求，实施风险管理，确保信息安全，实现持续改进。在此方针下应坚持的基本原则

(一) 基本安全需求原则：信息安全工作推进组根据公司信息系统担负的使命和信息资产重要程度等，按照等级保护要求确定相应的信息安全保护措施，从全局恰当地平衡信息安全投入和安全状态；

(二) 全员参与原则：所有从事信息安全相关工作的人员应普遍参与信息安全活动，保证自身信息安全素质，提高安全意识，共同保护公司信息安全；(三) 管理与技术并重原则：坚持积极防御和综合防范，全面提高信息安全防护能力，结合公司实际情况，采用管理科学性和技术前瞻性相辅相成的方法，达到信息安全管理的目的；

(四) 持续改进原则：信息安全管理是动态的，贯穿整个企业管理的生命周期，随着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等，应及时地将现有的安全策略和保护措施进行检查、修改和调整，以提升安全管理水平，持续维护信息安全管理体系的有效性。

(五) 遵循PDCA(Plan、Do、Check、Action 计划、实施、检查、改进)模型原