信息安全方针(gas).doc

信息安全方针信息安全方针 Version 1 0 中密中密 信息安全方针 第 2 页 共 6 页 文档控制文档控制 文档名称 文档名称 信息安全方针 机密分类 机密分类 内部 版本号版本号定版日期定版日期作者作者 更新说明 版本控制 版本控制 姓名部门 文档部分所有者 文档审定 文档审定 复查时间复查结果 复查计划 复查计划 发布批准人 人员文档权限与文档的主要关系 分发控制 分发控制 信息安全方针 第 3 页 共 6 页 信息安全方针 第 4 页 共 6 页 目标目标 提高 XXX 全员的信息安全意识 积极做好预防工作 贯彻落实安全方针和各 项安全措施 保护客户信息和提交的各种资料 保护包括业务支撑网 业务网 XXX 范围内的信息资产免受内外部威胁 防止安全事故的发生 最小化安全事 故的影响 增强客户信心 提高 XXX 竞争力 保证 XXX 业务可持续开展 范围 范围 信息安全管理体系 ISMS 适用于 XXX 所有与业务支撑网 业务网和 XXX 网络相关的业务活动 信息安全管理体系用于保护 XXX 所有信息资产 例如 属于业务支撑网 业务网和 XXX 产权的信息如技术资料 操作文件 客户信息 市场信息 供应商信息 商业合同 人事信息 财务信息 物理设备 如计费主机 存储设备等 计算机网络系统 电话系统 电力通信设施 办公场所和机房等 内容内容 XXX 成立信息安全委员会来领导信息安全工作 要对 XXX 信息资产实行有效管理 来确保信息的机密性 维持信息的完整 性和可用性 防范信息未经授权的访问 XXX 所有员工都必须接受信息安全的教育培训 提高信息安全意识 XXX 应遵守各项法律法规的要求 同时还要利用法律法规保护计费信息系统 部的利益 建立一套完整的事故处理程序 明确所有员工的安全责任 确定报告可疑的 和发生的信息安全事故的流程 对违反安全制度的人员进行惩罚 要对 Internet 的访问进行严格的控制 以确保信息的机密性 保护 XXX 软件和信息的完整性 防止病毒与各种恶意软件的入侵 任何人在未经审批的情况下 不准将信息资产带离 XXX 所有 XXX 员工都要严格遵守 xxx 的安全方针 程序和制度 控制对内外部网络服务的访问 保护网络化服务的安全性与可用性 信息安全方针 第 5 页 共 6 页 对用户权限和口令进行严格管理 防止对信息系统的非法访问 对重要信息备份保护 以保证信息的可用性 实施业务连续性计划 对重要的机房和设备购买保险和进行容灾备份 以 保证 XXX 主要业务流程不受重大故障和灾难的影响 定期对本方针进行回顾和评审 相关文件相关文件 适用于 XXX 所有的人员和某些合同供应商 无论以任何形式 只要与信息安全 管理体系范围内的信息资产有关 都有实施本方针的责任 并从本方针的发布 者得到必要支持 支持策略的程序包括 组织安全方针 信息资产管理规定 人员安全方针 安全事故处理程序 工作环境安全管理规定 通信与操作管理方针 信息交换管理程序 病毒控制操作程序 计算机及使用管理规定