ISMS02信息安全管理体系方针

1、信息安全管理体系方针1 适用范围为了对组织整体业务的信息安全活动进行指导，并表明组织管理层对信息安全的支持，特制定本方针。本方针适用于组织ISMS涉及的所有人员（以下简称“全体员工”）和组织的全部重要信息资产及过程。2 引用文件组织的信息安全管理手册3 术语和定义（此处略去）4 职责4.1 信息安全管理委员会a）负责解释本方针，是本方针的归口管理部门；b）负责决定组织信息安全相关事项。4.2 信息安全部负责协调推行信息安全管理委员会制定的方针政策。4.3 信息安全战略推进组负责执行信息安全管理委员会下发、信息安全部督导的 ISMS相关文档。5 ISMS 范围组织信息安全管理体系的范围覆盖组织的

2、所有业务，运行范围包括图1 组织结构图中所示的所有业务部门，该范围与适用性声明保持一致。组织结构示意图（略去）6 信息安全基本策略6.1 信息安全方针及信息安全目标以确保业务连续性、业务风险最小化， 投资回报信息安全是保护信息免受各种威胁的损害， 和商业机遇最大化。6.1.1 组织信息安全方针积极预防、全面管理、控制风险、保障安全。信息安全方针应由CEO 批准，发布并传达给全体员工和外部相关方。包括法律法规、客户与相关方和组织业务要6.1.2 组织信息安全目标使已识别的信息资产满足信息安全的各项要求，求。具体目标包括：a）信息泄漏事件为零；b）引起组织主要业务中断时间累计不能超过2 h/年；c

3、）引起组织主要业务中断事件发生次数小于1次/年；d）严重影响网络与信息系统可用性的事件小于1次/年；e）信息安全事件发生时，以损失最小化、恢复时间最短化、避免再次发生为目标。6.2 信息安全管理体制信息安全管理体制由以下人员组成： CEO信息安全官、信息安全战略推进组、信息安全部 门主管、信息安全员和用户。为了确保信息安全工作有一个明确的方向相获得 CEO的支持，组织设立了三个不同级别的 信息安全机构：信息安全管理委员会、信息安全部和信息安全战略推进组。6.3 信息的分类和管理根据信息的重要程度规定信息分类分级及管理方法。6.3.1 信息的分类分级根据信息的保密性、 完整性及可用性等安全属性，

4、 对信息进行分类分级。 具体请参考 信 息资产分类/分级指南实施。6.3.2 信息的使用和管理用户使用信息时， 对不同重要度等级的信息资产按照相关程序使用和管理。 具体请参考 信息标识与处理程序实施。6.4 人力资源安全管理人在信息安全活动中是最复杂、 最难控制的， 所有的管理活动都离不开人， 因此必须对 其进行合理管理，具体请参考人员信息安全管理指南实施。此外，员工意识对 ISMS 的实施效果产生很大的影响，因此还需要提高员工的信息安全 意识，具体请参考员工培训管理指南实施。6.5 物理和环境安全6. 5.1 环境设施和安全区域为了防止重要信息资产遭受不当访问、 损坏和干扰等， 应将其放入安

5、全区域， 进行重点 管理，使用组织环境设施和安全区域时， 必须遵守 环境设施与物理设备管理规定中规定 的事项。6.5.2 设备安全设备在安装、布线、使用和维护时，应遵守相应的安全管理措施。此外，除了要保护设 备本身的安全外， 更重要的是要保护设备中所存储的信息， 要防止信息未授权访问， 具体内 容请参见环境设施与物理设备管理规定 、信息系统安全使用规定 和信息系统安金操 作规定。6.6 通信和操作管理积极收集信息安全方面的信息， 采取必要的措施， 保证交换信息、 操作信息处理设备和 信息系统时的安全，具体请参考信息系统安全使用规定实施。6.7 访问控制对信息、 信息处理设备、 信息系统的访问应

6、在业务和安全要求的基础上进行控制， 对信 息系统的访问权应有正式的授权和撤销程序，具体请参考用户访问控制管理规定实施。6.8 信息系统的获取、开发和维护对信息系统的购置、 开发建设及系统运行维护过程的信息安全采取必要的控制措施， 具 体请参考信息系统安全使用规定 、信息系统安全操作规定 和信息系统安全设计规定 实施。6.9 风险管理框架组织根据所要实现的信息安全目标选取风险评估方法， 说明风险接受准则和可接受的风 险级别，具体请参考信息安全风险评估程序实施。所有信息安全风险在被识别后， 都应进行分析和评价， 确定适当的风险处理选项， 选取 合适的控制措施， 以满足风险评估和风险处理过程中所识别

7、的安全要求。 控制措施的选择还 应考虑可接受风险的准则以及法律法规和合同要求。 风险处理方法请参考 信息安全风险处 理程序实施。6.10 信息安全事件管理当员工发现任何安全弱点或信息安全事件时， 应按照相应的程序及时上报， 以便尽早采 取措施， 降低信息安全事件发生的可能性或其带来的影响。 具体请参考 信息安全事件管理 程序实施。6. 11 业务连续性管理为防止组织业务活动中断， 保护关键业务免受重大失误或灾难的影响， 以及确保它们的 及时恢复，组织要制定业务连续性计划 。业务连续性计划 必须考虑信息和信息安全的需求。 对可能引起业务中断的事件进行 识别， 并对这些中断发生的概率、 影响以及对

8、信息安全的后果进行预测， 确保在关键业务中 断后能够在要求的水平和要求的时间内恢复。业务连续性管理的相关内容请参考 业务连续性管理程序 和业务连续性计划编写指 南实施。6. 12 重要原则和符合性要求6. 12.1 符合法律法规和合同要求组织在建立和管理 ISMS 时，必须符合相关法律法规和合同的要求，包括：a）法律：国家所颁布的与信息安全相关的法律法规要求。b）合同：与客户签订的信息安全楣关的合同要求。 具体请参考法律法规符合性规定实施。6. 12.2 安全教育、培训和意识要求组织全体员工和外部相关方， 应受到与其工作职能相关的适当的意识培训和组织方针策 略及程序的定期更新培训。具体请参考员工培训管理指南实施。6. 12.3 违反信息安全方针的后果任何违反组织信息安全方针的人员， 将受到相关惩罚和或法律制裁， 具体请参考 信 息安全奖惩管理规定实施。6. 13 方针评