信息安全方针

1、商密三级XX信息安全管理体系文档XX信息安全方针编号：ISMS-L1-001XX二。一六年十月版本控制信息版本日期拟稿和修改说明A初版发行本文档中的所有内容为XX有限公司的机密和专属所有。未经XX有限公司的明确书面许可，任何 组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部内容。目录目录B TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document 目的1 HYPERLINK l bookmark25 o Current Document 范围1 HYPERLINK l bookmark28 o Current Docu

2、ment 参考文件1 HYPERLINK l bookmark31 o Current Document 术语说明1 HYPERLINK l bookmark34 o Current Document 信息安全定义1 HYPERLINK l bookmark37 o Current Document 总体方针与原则1信息安全责任2信息安全管理体系（ISMS） 2信息安全部29.1信息安全管理委员会（ISMC） 2 HYPERLINK l bookmark42 o Current Document 评估与维护2 HYPERLINK l bookmark47 o Current Document

3、方针的宣导3 HYPERLINK l bookmark52 o Current Document 附则31目的本文档为XX有限公司（以下简称“XX”或“公司”）ISO/IEC 27001信息安全管理体系 文档的一级文档，将阐明组织的信息安全目标和方针，对信息安全管理体系做出概括性叙述， 是组织对外实施信息安全保证、对内进行信息安全管理的总纲。2范围本方针为XX所有信息安全标准、规范、流程必须遵从的纲领性文件，其中所规定的信 息安全控制措施，适用对象为所有接触、处理、使用、运营、维护和保管XX重要信息资产 的公司员工和第三方人员。3参考文件ISO/IEC 27001:2013信息技术安全技术信息

4、安全管理体系要求信息系统安全保护等级基本要求GBT 22239-20084术语说明机密性：确保只有经过合法授权才可以存取信息。完整性：保护信息资产的准确、完整的特性。可用性：确保经授权的用户在需要时可以获取信息及服务。信息安全管理体系：指为确保达成信息安全方针所建立的相关管理制度与配套措施。XX 信息安全管理体系，以ISO27001为主要参考标准，兼顾等级保护要求的法律法规要求。第三方：本方针所称第三方，指除公司内部组织和员工外的其他单位，如合作机构、供 应商、服务商、战略合作伙伴、访客等。5信息安全定义XX以信息技术为命脉，将信息技术作为商业的组成部分。公司信息安全的定义为：确 保重要信息资

5、产及相关信息的机密性、完整性、可用性。6总体方针与原则所有“公司”的信息资产是“公司”高度有价值的资产。信息资产指“公司”所创造、 使用、及维护的客户及员工个人的信息和“公司”专有的信息，这包括著述、口述、或电子 信息。信息安全目的是保护此类资产，使信息不能在为授权下，意外地或刻意的被使用、发 放、篡改、或删除。随着“公司”日利益利用互联网进行业务扩展，减低信息资产受到的外来威胁（如，计 算机病毒、黑客攻击、信息泄密等）的风险同样重要。“公司”承诺建立并推行高标准的信息安全规范，并：1、严格遵循国家法例、监管机构法规、及行业常规和守则的信息安全要求，并以最高 标准作为规范原则；2信息受到适当的

6、保护，确保信息的保密性、完整性机可用性；3、构建信息及信息系统安全控制是以深度防御及默认安全作为实施原则；4、信息及信息系统所建立的保护与其敏感度、价值、及重要性相匹配。7信息安全责任所有“公司”人员，包括员工及第三方人员，都有责任保护信息及信息系统的保密性、 完整性及可用性。所有人员必须明白及确保执行信息安全方针、策略及相关规范。任何违反信息安全规范的人员会受到纪律处分，包括解除劳动合同及刑事检控。8 信息安全管理体系（ISMS）9信息安全部红头文件【2008】14号确认信息安全部的成立。信息安全部推行“公司”统一的、高 标准的信息安全策略，并监察信息安全规范在集团各部门、专业公司的执行情况

7、，强化跨业 务、跨系统的独立综合信息安全审查，加大信息安全监控力度。9.1信息安全管理委员会（ISMC）信息安全委员会（ISMC）由来自“公司”各职能部门领导及信息安全部主管组成。 信息安全部主管领导ISMC咨询对于创立及修改信息安全规范的意见，接纳信息安全规范， 商讨信息安全在业务及信息管理中心的推行情况。各专业公司可自组ISMC或由专业公司的高层管理委员会（如执行委员会）执行其职 能。而“公司”统一的ISMC更能有效推行“公司”整体化的信息安全的规范。10评估与维护公司应至少每年定期评估一次信息安全方针。当组织、业务、法律或环境等因素变 更时，应予以适当修订，以反映信息安全管理方针、操作规范、技术及业务需求的 最新状况，确保信息安全方针得到有效执行。信息安全方针执行情况的评估可由信息安全办公室组织评估，或受公司委托的外部 咨询、审核机构进行。11方针的宣导本方针的规定及公司员工在信息安全中应承担的角色及职责等有关规定，应在相关