信息安全方针

商密三级

XX信息安全管理体系文档

XX

信息安全方针

编号：ISMS-L1-001

XX

二○一六年十月

版本控制信息

目录

目录B

1目的 (1)

2范围 (1)

3参考文件 (1)

4术语说明 (1)

5信息安全定义 (1)

6总体方针与原则 (1)

7信息安全责任 (2)

8信息安全管理体系（ISMS） (2)

9信息安全部 (2)

9.1信息安全管理委员会（ISMC） (2)

10评估与维护 (2)

11方针的宣导 (3)

12附则 (3)

1 目的

本文档为XX有限公司（以下简称“XX”或“公司”）ISO/IEC 27001信息安全管理体系文档的一级文档，将阐明组织的信息安全目标和方针，对信息安全管理体系做出概括性叙述，是组织对外实施信息安全保证、对内进行信息安全管理的总纲。

2 范围

本方针为XX所有信息安全标准、规范、流程必须遵从的纲领性文件，其中所规定的信息安全控制措施，适用对象为所有接触、处理、使用、运营、维护和保管XX重要信息资产的公司员工和第三方人员。

3 参考文件

《ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求》

《信息系统安全保护等级基本要求 GBT 22239-2008》

4 术语说明

机密性：确保只有经过合法授权才可以存取信息。

完整性：保护信息资产的准确、完整的特性。

可用性：确保经授权的用户在需要时可以获取信息及服务。

信息安全管理体系：指为确保达成信息安全方针所建立的相关管理制度与配套措施。XX 信息安全管理体系，以ISO27001为主要参考标准，兼顾等级保护要求的法律法规要求。

第三方：本方针所称第三方，指除公司内部组织和员工外的其他单位，如合作机构、供应商、服务商、战略合作伙伴、访客等。

5 信息安全定义

XX以信息技术为命脉，将信息技术作为商业的组成部分。公司信息安全的定义为：确保重要信息资产及相关信息的机密性、完整性、可用性。

6 总体方针与原则

所有“公司”的信息资产是“公司”高度有价值的资产。信息资产指“公司”所创造、

使用、及维护的客户及员工个人的信息和“公司”专有的信息，这包括著述、口述、或电子信息。信息安全目的是保护此类资产，使信息不能在为授权下，意外地或刻意的被使用、发放、篡改、或删除。

随着“公司”日利益利用互联网进行业务扩展，减低信息资产受到的外来威胁（如，计算机病毒、黑客攻击、信息泄密等）的风险同样重要。

“公司”承诺建立并推行高标准的信息安全规范，并：

1、严格遵循国家法例、监管机构法规、及行业常规和守则的信息安全要求，并以最高标准作为规范原则；

2]信息受到适当的保护，确保信息的保密性、完整性机可用性；

3、构建信息及信息系统安全控制是以深度防御及默认安全作为实施原则；

4、信息及信息系统所建立的保护与其敏感度、价值、及重要性相匹配。

7 信息安全责任

所有“公司”人员，包括员工及第三方人员，都有责任保护信息及信息系统的保密性、完整性及可用性。所有人员必须明白及确保执行信息安全方针、策略及相关规范。

任何违反信息安全规范的人员会受到纪律处分，包括解除劳动合同及刑事检控。

8 信息安全管理体系（ISMS）

9 信息安全部

红头文件【2008】14号确认信息安全部的成立。信息安全部推行“公司”统一的、高标准的信息安全策略，并监察信息安全规范在集团各部门、专业公司的执行情况，强化跨业务、跨系统的独立综合信息安全审查，加大信息安全监控力度。

9.1 信息安全管理委员会（ISMC）

信息安全委员会（ISMC）由来自“公司”各职能部门领导及信息安全部主管组成。信息安全部主管领导ISMC咨询对于创立及修改信息安全规范的意见，接纳信息安全规范，商讨信息安全在业务及信息管理中心的推行情况。

各专业公司可自组ISMC或由专业公司的高层管理委员会（如执行委员会）执行其职能。而“公司”统一的ISMC更能有效推行“公司”整体化的信息安全的规范。

10 评估与维护

1.公司应至少每年定期评估一次信息安全方针。当组织、业务、法律或环境等因素变

更时，应予以适当修订，以反映信息安全管理方针、操作规范、技术及业务需求的

最新状况，确保信息安全方针得到有效执行。

2.信息安全方针执行情况的评估可由信息安全办公室组织评估，或受公司委托的外部

咨询、审核机构进行。

11 方针的宣导

1.本方针的规定及公司员工在信息安全中应承担的角色及职责等有关规定，应在相关

管理办法、流程、标准等中详细说明并在公司内部正式发布，并以书面、电子或其

他方式告知公司员工及相关人员。

2.为贯彻执行，应要求公司员工在执行相关工作任务前，必须先知晓、熟悉相关要求，

并按具体要求操作。

12 附则

本方针自发布之日起执行。