信息安全策略

三二一（北京）科技有限公司信息安

全策略

2016年8月

版本控制

第一章总则

第一条为了建立、健全三二一（北京）科技有限公司的信息安全管理制度，按照相关的国家标准，确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理解并遵照信息安全管理制度的相关规定执行，改进信息安全管理制度的有效性，特制定信息安全策略文档。

第二条本文档适用于三二一（北京）科技有限公司信息安全管理活动。

第二章信息安全范围

第三条信息安全策略涉及的范围包括：

(一)公司全体员工。

(二)公司所有业务系统。

(三)公司现有信息资产，包括与上述业务系统相关的数据、硬件、软件、服务及文档等。

(四)公司办公场所和上述信息资产所处的物理位置。

第三章信息安全总体目标

第四条通过建立健全公司各项信息安全管理制度、加强公司员工的信息安全培训和教育工作，制定适合公司的风险控制措施，有效控制信息系统面临的安全风险，保障信息系统的正常稳定运行。

第四章信息安全方针

第五条公司主管领导定期组织相关人员召开信息安全会议，对有关的信息安全重大问题做出决策。

第六条清晰识别所有资产，实施等级标记，对资产进行分级、分类管理，并编制和维护所有重要资产的清单。

第七条综合使用访问控制、监测、审计和身份鉴别等方法来保证数据、网络、信息资源的安全，并加强对外单位人员访问信息系统的控制，降低系统被非法入侵的风险。

第八条启动服务器操作系统、网络设备、安全设备、应用软件的日志功能，定期进行审计并作相应的记录。

第九条明确全体员工的信息安全责任，所有员工必须接受信息安全教育培训，提高信息安全意识。针对不同岗位，制定不同等级培训计划，并定期对各个岗位人员进行安全技能及安全认知考核。

第十条建立安全事件报告、事故应答和分类机制，确定报告可疑的和发生的信息安全事故的流程，并使所有的员工和相关方都能理解和执行事故处理流程，同时妥善保存安全事件的相关记录与证据。

第十一条对用户权限和口令进行严格管理，防止对信息系统的非法访问。

制定完善的数据备份策略，对重要数据进行备份。数据备份定期进行还原测试，备份介质与原信息所在场所应保持

安全距离。

第十二条与外单位的外包（服务）合同应明确规定合同参与方的安全要求、安全责任和安全规定等相关安全内容，并采取相应措施严格保证对协议安全内容的执行。

第十三条在开发新业务系统时，应充分考虑相关的安全需求，并严格控制对项目相关文件和源代码等敏感数据的访问。

第十四条定期对信息系统进行风险评估，并根据风险评估的结果采取相应措施进行风险控制。

第十五条上述方针由信息安全管理委员会批准发布，并定期评审其适用性和充分性，必要时予以修订。

第五章信息安全职责

第十六条信息安全管理委员会负责批准信息安全策略文件并且保证本文件被公司的各部门执行，同时负责对三二一（北京）科技有限公司信息系统信息安全方面的指导方向、安全建设等重大问题做出决策，协调各个部门之间的安全协同工作，支持和推动信息安全工作在整个公司范围内的实施。

第十七条信息技术部负责具体执行安全管理策略文件的建立、实施、运作、监控、评审、维护和改进工作。

第十八条三二一（北京）科技有限公司所有员工有责任了解自身在信息系统信息安全方面的责任并认真执行。

第六章信息安全管理原则

第十九条信息安全管理工作实行“积极防范、突出重点、职责到位、保障业务”和“谁主管、谁负责”的管理原则。

第七章信息安全策略

一、安全管理制度策略

第二十条由公司统一制定信息安全工作的总体方针和安全策略，说明安全工作的总体目标、范围、原则和安全框架，形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

第二十一条信息技术部负责安全管理制度的制定，安全管理制度应具有统一的格式和版本控制，同时并组织相关人员对制定的安全管理制度进行论证和审定，并通过脐橙金融网络借贷信息中介平台进行发布。

第二十二条信息安全管理委员会负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定，对存在不足或需要改进的安全管理制度进行修订。

二、安全管理机构策略

第二十三条成立信息安全管理委员会，全面负责信息安全工作。

第二十四条信息技术部作为信息安全管理工作的职能部门，并设立安全管理专员，并设立应用系统管理员、数据库管理员、网络管理员等岗位，并定义各岗位的职责。

第二十五条关键事务岗位应配备AB角。

第二十六条针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度，并定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息，并记录审批过程并保存审批文档。

第二十七条加强组织内部的合作与沟通，定期召开协调会议，共同协作处理信息安全问题，并加强外联单位合作与沟通，并制定外联单位联系列表。

第二十八条制定安全审核和安全检查制度，规范安全审核和安全检查工作，定期按照程序进行安全审核和安全检查活动。

三、人员安全策略

第二十九条人力行政部负责员工录用，严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核，并签署保密协议。

第三十条员工应根据岗位职责要求严格履行其安全角色和职责，主要包括：保护资产免受未授权的访问、泄漏、修改、销毁或干扰，执行特定的安全过程或活动，报告安全事件或其他风险。安全角色和职责必须清晰的传达给所有员工，确保他们能清楚各自的安全责任。

定期对各个岗位的人员进行安全技能及安全认知的考核，对关键岗位的人员要进行全面、严格的安全审查和技能考核。

第三十一条外单位人员在访问公司信息处理设施前必须签署保密协议，保密协议内容包括外单位人员访问信息资产的权利、承担的安全责任、违反职责要承担的后果等。负责接待人员或部门要保证外单位人员了解保密协议的条款和内容，并同意协议规定的权利和责任。

第三十二条公司主要领导承担管理职责，保证所有员工和外单位人员能按照安全方针、策略和程序进行日常工作。管理职责包括使所有员工和外单位人员清晰了解各自的安全角色和安全职责、提高他们的安全意识和安全技能等。

第三十三条定期对所有员工进行安全培训，培训内容包括安全方针、策略、程序、信息处理设施正确使用方法、安全意识等。根据人员的安全角色和职责制定不同的培训计划，保证所有员工和外单位人员能认识到信息安全问题和信息安全事件，并能按照各自的安全角色履行安全职责。

第三十四条制定正式的纪律处理过程，来严肃处理安全违规的员工，并威慑其他员工，防止他们违反安全策略、程序和其他安全违规。纪律处理要正确、公平，要根据违规的性质、重要性和对业务的影响等因素区别对待。

第三十五条当员工离职或调离其他岗位、外单位人员合同期满时，立即终止原来的安全角色和安全职责，并通知中心所有员工，使所有员工能及时清楚人员的变化。