資源描述:
《ISMS-3012信息安全方針信息安全策略管理制度》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1��、信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件深圳市首品精密模型有限公司信息安全方針信息安全策略管理制度文件編號(hào):ISMS-3012編制審核批準(zhǔn)6/6信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件變更履歷序序號(hào)版本編號(hào)或更改記錄編號(hào)簡要說明(變更內(nèi)容�、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1A/0初始發(fā)行----2016-8-56/6信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件第一章總則第一條為提高公司信息安全管理水平�,建立、健全信息安全管理體系����,貫徹執(zhí)行ISO27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系·要求》,保障公司信息系統(tǒng)
2�����、業(yè)務(wù)的正常進(jìn)行�,防止由于信息安全事件導(dǎo)致的公司損失,確保全體員工理解信息安全的重要性����,執(zhí)行信息安全管理體系文件的要求,特制定本制度��。第二條本制度是公司信息安全管理的綱領(lǐng)性文件����,用于貫徹企業(yè)的信息安全管理方針��、目標(biāo),是所有從事����、涉及信息安全相關(guān)活動(dòng)人員的行為準(zhǔn)則,是向客戶��、向社會(huì)���、向認(rèn)證機(jī)構(gòu)提供本公司信息安全管理保證能力的依據(jù)�。第三條信息部在得到信息安全委員會(huì)批準(zhǔn)的前提下負(fù)責(zé)本制度的更改和建立�����,信息部定期對(duì)其適用性�����、持續(xù)性�、有效性進(jìn)行評(píng)審,匯總更改需求和建議并上報(bào)�����。第四條本制度適用于公司所屬各單位�。第二章職責(zé)分工第五條公司信息安全管理工作由
3�����、信息安全委員會(huì)指導(dǎo)和批準(zhǔn)�,委員會(huì)下設(shè)信息安全工作推進(jìn)組���,并設(shè)立信息安全顧問團(tuán)���。第六條信息安全工作推進(jìn)組由信息部信息安全專業(yè)人員和公司各部門主管任命的信息化專業(yè)員組成。第七條信息安全顧問組由提供服務(wù)的外部安全產(chǎn)品公司或外聘的信息安全顧問組成����。第八條信息安全工作推進(jìn)組職責(zé)(一)建立信息安全管理方針、目標(biāo)和策略�����;(二)評(píng)估信息安全顧問組意見的可用性��;(三)確定公司信息資產(chǎn)風(fēng)險(xiǎn)準(zhǔn)則和信息安全事件處置措施���;(四)組織并確保全公司信息安全教育活動(dòng)的落實(shí)�����;(五)監(jiān)控公司的信息安全情況����,監(jiān)督檢查信息安全活動(dòng)的落實(shí)情況�����,并定期向信息安全委員會(huì)匯報(bào)�����;(六)向
4��、兩化融管理委員會(huì)提出實(shí)現(xiàn)信息安全目標(biāo)和符合信息安全方針的改進(jìn)需要���,推行各項(xiàng)信息安全策略要求和控制措施�;(七)負(fù)責(zé)公司信息安全內(nèi)部�����、外部評(píng)估的具體安排��;6/6信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件(一)推進(jìn)組中各部門安全專員負(fù)責(zé)對(duì)本部門信息資產(chǎn)進(jìn)行匯總上報(bào)���,負(fù)責(zé)本部門信息安全事件的應(yīng)急處理����,收集、上報(bào)與本部門相關(guān)的信息安全管理方面的要求�����,同時(shí)負(fù)責(zé)在本部門內(nèi)傳達(dá)�、落實(shí)公司信息安全管理策略的要求。第一條信息安全顧問組職責(zé)(一)提供信息安全相關(guān)產(chǎn)品的使用幫助和更新�����;(二)負(fù)責(zé)為公司提供完整的信息安全管理咨詢服務(wù)����;(三)提供信息安全管理方面的相關(guān)培訓(xùn)
5、��。第一章信息安全方針和目標(biāo)第二條公司信息安全方針為:滿足客戶要求�����,實(shí)施風(fēng)險(xiǎn)管理,確保信息安全��,實(shí)現(xiàn)持續(xù)改進(jìn)�����。在此方針下應(yīng)堅(jiān)持的基本原則(一)基本安全需求原則:信息安全工作推進(jìn)組根據(jù)公司信息系統(tǒng)擔(dān)負(fù)的使命和信息資產(chǎn)重要程度等��,按照等級(jí)保護(hù)要求確定相應(yīng)的信息安全保護(hù)措施�,從全局恰當(dāng)?shù)仄胶庑畔踩度牒桶踩珷顟B(tài)�;(二)全員參與原則:所有從事信息安全相關(guān)工作的人員應(yīng)普遍參與信息安全活動(dòng),保證自身信息安全素質(zhì)����,提高安全意識(shí),共同保護(hù)公司信息安全�����;(三)管理與技術(shù)并重原則:堅(jiān)持積極防御和綜合防范���,全面提高信息安全防護(hù)能力��,結(jié)合公司實(shí)際情況�����,采用管理科
6����、學(xué)性和技術(shù)前瞻性相輔相成的方法,達(dá)到信息安全管理的目的�����;(四)持續(xù)改進(jìn)原則:信息安全管理是動(dòng)態(tài)的����,貫穿整個(gè)企業(yè)管理的生命周期,隨著安全需求和系統(tǒng)脆弱性的時(shí)間空間分布變化���、威脅程度的提高和對(duì)信息安全認(rèn)知的深化等�,應(yīng)及時(shí)地將現(xiàn)有的安全策略和保護(hù)措施進(jìn)行檢查��、修改和調(diào)整���,以提升安全管理水平����,持續(xù)維護(hù)信息安全管理體系的有效性。(五)遵循PDCA(Plan����、Do、Check�����、Action計(jì)劃�、實(shí)施、檢查�、改進(jìn))模型原則:運(yùn)用ISO27001的PDCA模型建立信息安全管理體系�����。第三條公司信息安全目標(biāo)(一)商業(yè)秘密信息泄露事故為零��;(二)造成公司生產(chǎn)中
7���、斷時(shí)間累計(jì)不能超過2小時(shí)/年���;(三)造成公司生產(chǎn)中斷事故發(fā)生次數(shù)不超過2次/年。第二章總體信息安全策略6/6信息技術(shù)-安全技術(shù)-信息安全作業(yè)文件第一條本公司安全策略應(yīng)滿足國家信息安全等級(jí)保護(hù)制度相關(guān)要求����。第二條物理安全策略(一)機(jī)房��、數(shù)據(jù)中心等物理位置的選擇應(yīng)選在防震�����、防潮防水�、防火的建筑內(nèi)��;(二)機(jī)房�����、數(shù)據(jù)中心等的入出口應(yīng)采取訪問控制措施��,安排值守���、控制����、鑒別和記錄工作���;(三)機(jī)房內(nèi)部署基礎(chǔ)的防護(hù)系統(tǒng)和設(shè)備���,如防火系統(tǒng)�����、環(huán)境控制系統(tǒng)��、UPS供電系統(tǒng)�、消防滅火系統(tǒng)�、防雷系統(tǒng)、監(jiān)控系統(tǒng)��;(四)網(wǎng)絡(luò)通信線纜布置于安全隱蔽處(地下����、管道)��;(五
8���、)機(jī)房部署防盜報(bào)警系統(tǒng)��。第三條網(wǎng)絡(luò)安全策略(一)網(wǎng)絡(luò)核心設(shè)備部署要求性能良好�����,設(shè)備和鏈路有冗余����,保證業(yè)務(wù)高峰期需求;(二)繪制與實(shí)際相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖�����;(三)強(qiáng)化對(duì)終端的控制����,并強(qiáng)制終端使用
