信息安全方针

陕西广电网络传媒股份有限公司

信息安全方针

文档信息

第一章总则

第一条为给信息安全工作提供清晰的指导方向，加强安全管理工作，保证业务系统的安全运营，特制定本方针。

第二条信息安全工作是企业运营与发展的基础和核心，是保证网络品质的基础，是保障客户利益的基础，也是国家安全的需要，因此必须重视网络与信息安全工作。

第三条信息安全是公司各部门所有员工共同分担的责任，与每一个员工的日常工作息息相关，所有员工必须提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。

第四条本方针适用于陕西广电网络传媒股份有限公司全体员工。

第二章安全目标

第五条陕西广电网络传媒股份有限公司的信息安全使命是：

(一)保障业务正常和安全运行，保证业务连续性；

(二)保护客户隐私，保护客户资料的机密性，维护客户的利益；

(三)保护公司的商业机密和技术机密，维护公司的利益；

第六条陕西广电网络传媒股份有限公司的信息安全愿景是：

建立行业一流的信息安全保障体系。

第三章安全工作基本原则

第七条安全工作应遵循以下基本原则：

(一)“分级保护”原则：应根据各业务系统的重要程度以及面临的风险大小等因素决定各类信息的安全保护级别，分级保护，合理投资。

(二)“同步规划、同步建设、同步运行”原则：安全建设应与业务系统同步规划、同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。

(三)“三分技术、七分管理”原则：网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

(四)“内外并重”原则：安全工作需要做到内外并重，在防范外部威胁的同时，加强规范内部人员行为和审计机制。

(五)“整体规划，分步实施”原则：需要对公司信息安全建设进行整体规划，分步实施，逐步建立完善的信息安全体系。

(六)“风险管理”原则：进行安全风险管理，确认可能影响信息系统的安全风险，并以较低的成本将其降低到可接受的水平。

(七)“适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。

第四章安全组织机构职责

第八条公司信息安全领导小组是由公司主管信息安全工作的高层领导主持，由公司信息安全主管与各部门主管组成的公司信息安全工作常设领导组织，是公司信息安全工作的最高决策机构和领导机构，全面负责公司信息安全各项工作，其成员包括：公司信息安全主管、各部门主管。公司信息安全领导小组的主要职责是：

1、负责公司的整体信息安全管理工作，负责公司信息资产的安全。

2、负责协调公司内部信息安全工作，分配信息安全管理目标、职责，

并支持和推动信息安全工作在本所范围内的实施。

3、负责对与信息安全管理有关的重大事项进行决策，包括信息安全组

织机构调整、信息安全关键人事变动、以及信息安全管理重大策略变更、

确认可接受的风险和风险水平等。

4、负责对信息安全管理进行评审，审批和发布信息安全方针、信息安

全规范及管理办法以及与信息安全管理相关的重大事项。

5、评审与监督重大信息安全事故的处理。

第九条公司信息安全工作小组是公司信息安全工作的执行机构，由公司信息安全主管担任组长，成员包括各部门安全管理员。公司信息安全工作小组的职责是：

1、直接对信息安全管理领导小组负责，承担信息安全的具体工作，协

助信息安全领导小组在信息安全事务上的决策。

2、负责信息安全政策的贯彻与落实，负责信息安全管理体系的建立、

实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各

信息安全执行部门对于信息安全政策、措施的实施。

3、负责制定违反信息安全政策行为的标准，并协助公司人力资源部和

下属单位对违反信息安全政策的人员和事件进行确认。

4、负责信息安全事件的调查和记录，对发生的每一起信息安全事件进

行调查，并将过程、原因和解决方法记录在案。

5、负责定期召开信息安全工作会议，定期总结信息安全事件记录报告，

并向信息安全领导小组汇报。

第十条公司信息安全主管，由公司信息安全领导小组产生，具体负责信息安全管理的各项工作，并直接向信息安全领导小组汇报工作。公司信息安全主管的职责是：

1、依照信息安全领导小组的统一部署，贯彻与协调落实公司的信息安

全管理措施、技术措施、过程和程序。

2、协调各部门与外部组织间有关的信息安全工作，并督促各部门对于

信息安全管理措施、技术措施、过程和程序的实施和落实。

3、依照信息安全风险评估和等级保护等相关标准的要求，组织各部门

常态化地进行信息安全风险评估和等级保护工作。

4、进行信息安全事件的调查和记录，对发生的每一起信息安全事件进

行调查，并将过程、原因和解决方法都记录在案。

5、定期召集信息安全工作会议，总结信息安全工作经验，向信息安全

领导小组汇报信息安全管理工作。

第十一条公司各部门安全管理员，由公司各部门产生，具体负责部门内部信息安全管理的各项工作，并直接向信息安全主管汇报工作。公司各部门安全管理员的职责是：

1、根据公司信息安全工作小组的计划和要求，组织协调落实本部门的

信息安全管理工作，整理、核查并归档本部门的信息安全记录。

2、在本部门内宣传落实信息安全管理体系各项方针、政策、规范、办

法与细则等文件，提高本部门人员的信息安全意识与技能。

第五章安全工作要求

第十二条公司和各部门必须建立和完善信息安全管理规章制度和操作程序，规范和加强信息安全管理工作，所有员工必须遵守与其相关的信息安全规章制度。

第十三条加强内部人员安全管理，依据最小特权原则清晰划分岗位，在所有岗位职责中明确信息安全责任，要害工作岗位实现职责分离，关键事务双人临岗，重要岗位要有人员备份，定期进行人员的安全审查。

第十四条所有员工都应签署保密协议，并接受信息安全教育培训，提高安全意识，及时报告网络与信息安全事件。

第十五条必须加强第三方访问和外包服务的安全控制，在风险评估的基础上制定安全控制措施，并与第三方公司和外包服务公司签署安全责任协议，明确其安全责任。

第十六条各部门必须加强信息资产管理，建立和维护信息资产清单，维护