ISMS-3012信息安全方针信息安全策略管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深圳市首品精密模型有限公司
信息安全方针信息安全策略管理制度
文件编号:ISMS-3012
变更履历
第一章总则
第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行
£027001:2013《信息技术安全技术信息安全管理体系•要求》,保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。
第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。
第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。
第四条本制度适用于公司所属各单位。
第二章职责分工
第五条公司信息安全管理工作由信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。
第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。
第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组
成。
第八条信息安全工作推进组职责
(一)建立信息安全管理方针、目标和策略;
(二)评估信息安全顾问组意见的可用性;
(三)确定公司信息资产风险准则和信息安全事件处置措施;
(四)组织并确保全公司信息安全教育活动的落实;
(五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信
息安全委员会汇报;
(六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需
要,推行各项信息安全策略要求和控制措施;
(七)负责公司信息安全内部、外部评估的具体安排;
推进组中各部门安全专员负责对本部门信息资产进行汇总上报,负责本部门信息安(八)
全事件的应急处理,收集、上报与本部门相关的信息安全管理方面的要求,同时负责在本部门内传达、落实公司信息安全管理策略的要求。
第九条信息安全顾问组职责
(一)提供信息安全相关产品的使用帮助和更新;
(二)负责为公司提供完整的信息安全管理咨询服务;
(三)提供信息安全管理方面的相关培训。
第三章信息安全方针和目标
第十条公司信息安全方针为:
满足客户要求,实施风险管理,确保信息安全,实现持续改进。在此方针下应坚持的基本原则(一)基本安全需求原则:信息安全工作推进组根据公司信息系统担负的使命和信
息资产重要程度等,按照等级保护要求确定相应的信息安全保护措施,从全局恰当地平衡信息安全投入和安全状态;
(二)全员参与原则:所有从事信息安全相关工作的人员应普遍参与信息安全活
动,保证自身信息安全素质,提高安全意识,共同保护公司信息安全;
(三)管理与技术并重原则:坚持积极防御和综合防范,全面提高信息安全防护能
力,结合公司实际情况,采用管理科学性和技术前瞻性相辅相成的方法,达到信息安全管理的目的;
(四)持续改进原则:信息安全管理是动态的,贯穿整个企业管理的生命周期,随
着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等,应及时地将现有的安全策略和保护措施进行检查、修改和调整,以提升安全管理水平,持续维护信息安全管理体系的有效性。
(五)遵循PDCA(Plan、Do、Check、Action 计划、实施、检查、改进)模型原则:
运用IS027001的PDCA模型建立信息安全管理体系。
第十一条公司信息安全目标
(一)商业秘密信息泄露事故为零;
(二)造成公司生产中断时间累计不能超过2小时/ 年;
(三)造成公司生产中断事故发生次数不超过2 次/ 年。
第四章总体信息安全策略
第十二条本公司安全策略应满足国家信息安全等级保护制度相关要求。
第十三条物理安全策略
(一)机房、数据中心等物理位置的选择应选在防震、防潮防水、防火的建筑内;
(二)机房、数据中心等的入出口应采取访问控制措施,安排值守、控制、鉴别和
记录工作;
(三)机房内部署基础的防护系统和设备,如防火系统、环境控制系统、UPS供电系统、消防灭火系统、防雷系统、监控系统;
(四)网络通信线缆布置于安全隐蔽处(地下、管道);
(五)机房部署防盗报警系统。
第十四条网络安全策略
(一)网络核心设备部署要求性能良好,设备和链路有冗余,保证业务高峰期需求;
(二)绘制与实际相符的网络拓扑结构图;
(三)强化对终端的控制,并强制终端使用防病毒系统;
(四)对于涉密终端强制安装数据防泄密软件;
(五)网络边界处部署防火墙、IPS 等安全设备;
(六)按照网络内的不同区域,划分不同的VLAN;
(七)邮箱系统增加垃圾邮件检测功能;
(八)严格控制控制带宽设置优先级,限制上网权限。
第十五条主机安全策略
(一)登陆操作系统和数据库系统的用户必须进行身份标识和鉴别;
(二)登陆操作系统和数据库系统管理用户身份标识不能出现同名用户,口令复杂程度高并定期更换;
(三)操作系统和数据库必须及时删除多余的、过期的账户,避免共享账户的存在;
(四)重要主机人机分离时,确保信息安全状态。
第十六条数据安全策略
(一)业务数据及文档必须进行备份,以便发生安全事件时进行恢复;
(二)数据备份必须使用专用的备份设备和工具;
(三)重要数据在传递过程中,使用加密手段;
(四)备份的数据采用异地储存手段;
(五)保证数据库硬件备件富有量,防止硬件故障导致数据不可用和不完整;