信息安全方针

信息安全方针信息安全管理实务刑事执行专业教学资源库目录CONTENTS0102030405信息安全方针背景及概述背景、承诺、信息安全方针信息安全方针适用范围及纪律处罚适用范围、纪律处罚信息安全管理体系（ISMS）目标ISMS目标信息安全管理体系（ISMS）总则及重要原则ISMS总则、ISMS重要原则信息安全管理体系更新、审核、批准更新、审核、批准刑事执行专业教学资源库信息安全方针背景及概述背景应用于任何属于XXXXXX（以下简称“本单位”）的信息，包括传统纸张文件的、在计算机中存储的和任何其它种类。信息安全方针指明本单位信息安全活动的总方向和总原则，根据本单位IT风险管理框架，建立和保持信息安全管理体系。高层承诺本单位领导完全支持一个贯彻始终的信息安全方针，并会提供一切必要支持保护信息和信息资产。刑事执行专业教学资源库信息安全方针本单位信息安全管理以建立安全可靠的信息支撑环境，提升本单位安全管理的核心能力为总体方针。本单位信息系统安全管理实行统一规划、统一规范、分级管理和分担责任的原则。所有包含、处理、传送本单位信息的信息技术设施，例如外包供应商提供的处理本单位信息的设施所有属于本单位的场所，例如办公室、机房等所有属于本单位的信息（用任何介质储存或者传送）或信息资产，和有关器材，例如服务器、个人电脑、网络设备等所有处理属于本单位信息或信息资产的人员，包括在本单位工作场所或通过通讯网络接入本单位的信息处理设施信息安全方针适用范围及纪律处罚01030204所有与本单位信息资产有关的服务和产品所有用以处理本单位信息的工作和行政步骤0506一些用来处理信息部信息资产的非本单位持有的信息处理设施、服务、人员和单位，例如外包公司提供仪器和人员为信息中心处理信息07适用范围信息安全方针使用范围及纪律处罚纪律处罚任何本单位员工违反或者没有贯彻本单位信息安全管理制度，将受到严正处理。纪律处分的方法，将会按情节严重程度定夺，本单位有权辞退违规者；若本单位认为情况需要，可把事件交有关执法人员处理，并且保留一切采取法律行动追究的权利。刑事执行专业教学资源库信息安全管理体系（ISMS）目标01确保本单位持有和代管的信息资产免受任何实际或者逻辑破坏02保护本单位信息的使用、访问、披露和获取，使其符合本单位利益、法律以及信息安全要求03保护本单位的信息资产是在经过授权和符合本单位业务需要下使用04识别确实发生或意图的非授权/违规行为，并采取适当措施补救和进行纪律检查程序05使管理层有法理依据去对任何非授权和违规的行为采取行动06实施合乎成本效益的信息安全管理措施07配合本单位的人事管理策略和程序08将任何为本单位信息资产带来的脆弱性进行风险处理以使风险水平降低到可以接受的程度任何授权必须有确实业务需要，可证明此授权是正当的，且对工作是必须的只有经过本单位正常渠道授权的人员才可以使用、访问、储存、传送和处理属于本单位的信息或信息资产所有人员有责任按ISMS条文去保护本单位所有的信息和信息资产任何对本单位的信息或信息资产的使用、访问、储存、传送和处理，都必须采取一切可行方法确保其保密性、可用性和完整性信息安全管理体系（ISMS）总则及重要原则01030204任何对本单位信息或信息资产的变更，例如变更应用程序或者网络配置，必须确保不会被破坏、绕过和架空任何现有信息安全措施，导致信息或信息资产暴露于任何不可接受的风险之下任何对本单位信息或信息资产的变更，例如变更应用程序或者网络配置，必须按本单位正式的变更管理步骤，获得授权才可以进行0506任何使用、访问、储存、传送和处理属于本单位的信息或信息资产的权限或者方法，必须定期审核和检查07ISMS总则信息安全管理体系（ISMS）总则及重要原则确保本单位的信息资产的保密性、可用性和完整性，使本单位的活动有责任性根据定期的IT风险评估和管理，使信息安全水平达到成本效益最优的目标本单位管理层定期对信息安全方针进行检查、修正和更新任何使用、访问、储存、传送和处理属于本单位的信息或信息资产必须按业务相关性或个人职务范围得到适当的权限01020304重要原则ADDATITLEHERETEXTTEXTTEXTADDTEXT内容小标题01内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息STEP1STEP2STEP3内容小标题02内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容小标题03内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息内容文本信息信息安全管理体系更新、审核、批准审核评估由于本单位本身或信息中心的系统环境、实际业务、技术等会改变，因此本信息安全方针需要定期审核检查加以修正更新，应付不同改变带来的安全需要。任何有关人员都可对此文件提出改善建议审核评估本单位会按情况适当的评估对文件的更新和改变，以符合本单位的业务和配合本单位业务