公司制度-信息安全策略总纲

1一、编制目的1.明确公司信息安全整体管理要求，作为全公司信息2.指导各部门落地各项信息安全工作，各部门需严格遵照本文件执行，并可依据二、术语及定义3.保密信息：公司具备重要价值或敏感性的信息，泄露后将给公司带来损失或不良影响，需限定知悉人员与时限进行保护。保密信息划分为绝密、机密、秘密、5.秘密信息：公司重要、敏感类信息，泄露会对公司利益造成局部损害，6.机密信息：对公司经营管理至关重要、敏感度高的信息，泄露将造成公司重大9.关键信息资产：主要指绝密、机密类信息资产，10.信息责任人：信息生成方、需求方各级主管，主要职责：判定信息密级、知悉11.信息使用人：经正式授权或审批申请后，可访2执行一检查-改进)**循环模型搭建、运行及持续优化。3.2各阶段核心工作1.规划阶段信息安全监管委员会结合公司业务战略，确定信息安全管理体系范围2.执行阶段信息安全管理办公室依据风险评估结果制定风险处置方案，统筹、推3.检查阶段信息安全管理办公室对照安全策略与目标，开展风险评估、管控措施有效性核查，排查管理漏洞，并向信息安全监管委4.改进阶段信息安全管理办公室牵头组织各部门整改体系运行问题，完成体系优2.第二层：信息安全规定文件政策文件的具象化落地要求，细化各项管理规则。3o标准/规范：强制执行文件，保障安全规定有效落地；o实施指南：参考性文件，为安全管理5.1总体管理原则3.秉持风险管理理念，平衡安全、效率与成本，实行分层分级、重点防护5.保密信息访问严格遵循工作相关、合理授权、审批受控三大原则。5.2信息安全组织与职责2.信息安全管理部/信息安全管理办公室：专职管理机构，负责搭建、运维、优3.部门信息安全执行人员：各部门设置专/兼职安全人员，重要业务部门可设立4.设立独立审计机制，定期审视公司信息安全管理措施、流程及执行效果。5.安全管理组织与各业务部门保持常态化沟通，确保安全管控贴合业务风险实1.各级部门主管为本部门信息安全第一责任人，统筹负责本部门全部信息安全相2.明确各类信息资产、信息系统的管理员，管理员对对应资产、系统安全负直接3.全体员工必须遵守公司信息安全制度，主动上报安全隐患、安全事件，自觉保45.3信息资产分类与管控5.3.1资产所有人职责5.3.2资产标识与日常处理3.发现保密信息泄露、丢失或存在泄露风险，需第一时间上报信息安全管理部4.公司设备、网络中存储、传输的所有信息均归属公司所有，仅授权人员可查阅5.对外发布信息必须履行审批流程，严禁员工在公开平台发布、谈论、传播公司6.信息销毁必须采用公司统一批准的方式，严禁私自处置涉密资5.4人员安全管理5.4.1聘用与协议1.劳动合同/聘用协议中明确员工信息安全责任与义务。5.4.2人员审查5.4.3安全培训5.4.4离职管理5.5物理安全策略5.5.1场地安全51.区域划分：依据业务属性、安全等级划分管控区域，配套对应的访问控制规则；2.出入管控：进入管控区域需审批、登记；所有人员佩戴身份标识卡；第三方人3.安全防护：受控区域部署门禁、监控设备；设备存储5.5.2设备安全5.5.3存储介质5.6通信与操作管理5.6.1运作流程2.系统生产环境与开发、测试环境物理/逻辑隔离。5.6.2病毒防控4.对重要信息系统实施7×245.7访问控制65.7.1网络管控1.网络划分：按照业务及保密要求划分逻辑网络域，各域执行独立安全管控策2.外网连接：所有内外网互联必须经信息安全管理办公室审批；网络出入口部署变更、撤销履行审批流程；严禁泄露网络拓5.7.2操作系统5.7.3应用系统3.建立并定期维护系统权限清单，限制管理员对系统文件、业务数据的操作权5.8系统开发与维护3.口令管理：口令传输全程加密，口令与业务数据分开传输；设置专职机构统一4.开发规范：严格执行安全开发标准；涉及涉密信息的系统，开发及部署阶段必5.文件管理：运行环境仅保留程序可执行文件，源代码原则上不在生产系统留5.9信息安全事故与风险管理74.定期开展信息安全风险评估，排查安全隐患，制定并落实风5.10业务连续性管理3.关键业务系统执行异地数据备份+本地热备份双重机制。5.11检查、稽核与监控5.11.1工作原则1.定期组织全公司范围信息安全检查与稽核，评估整体安全状态，并向信息安全2.对网络攻击类行为实时监控、自动告警；其他违规行为按需开展实时或定期核3.持续监控关键服务器、网络设备、应用系统日志，发现异常