ISMS-3012信息安全方针信息安全策略管理制度

信息技术-信息技术-安全技术-信息安全作业文件/6深圳市首品精密模型有限公司信息安全方针信息安全策略管理制度文件编号：ISMS-3012

变更履历序版本编序号或更改记录编号简要说明（变更内容、变更位置、变更原因和变更范围）变更日期变更人审核人批准人批准日期1A/0初始发行2016-8-第一章总则第一条为提高公司信息安全管理水平，建立、健全信息安全管理体系，贯彻执行ISO27001：2013《信息技术安全技术信息安全管理体系•要求》，保障公司信息系统业务的正常进行，防止由于信息安全事件导致的公司损失，确保全体员工理解信息安全的重要性，执行信息安全管理体系文件的要求，特制定本制度。第二条本制度是公司信息安全管理的纲领性文件，用于贯彻企业的信息安全管理方针、目标，是所有从事、涉及信息安全相关活动人员的行为准则，是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立，信息部定期对其适用性、持续性、有效性进行评审，汇总更改需求和建议并上报。第四条 本制度适用于公司所属各单位。第二章职责分工第五条 公司信息安全管理工作由信息安全委员会指导和批准，委员会下设信息安全工作推进组，并设立信息安全顾问团。第六条 信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。第七条 信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组成。第八条 信息安全工作推进组职责建立信息安全管理方针、目标和策略；评估信息安全顾问组意见的可用性；确定公司信息资产风险准则和信息安全事件处置措施；组织并确保全公司信息安全教育活动的落实；监控公司的信息安全情况，监督检查信息安全活动的落实情况，并定期向信息安全委员会汇报；向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需要，推行各项信息安全策略要求和控制措施；负责公司信息安全内部、外部评估的具体安排；推进组中各部门安全专员负责对本部门信息资产进行汇总上报，负责本部门信息安全事件的应急处理，收集、上报与本部门相关的信息安全管理方面的要求，同时负责在本部门内传达、落实公司信息安全管理策略的要求。第九条信息安全顾问组职责提供信息安全相关产品的使用帮助和更新；负责为公司提供完整的信息安全管理咨询服务；提供信息安全管理方面的相关培训。第三章信息安全方针和目标第十条公司信息安全方针为：满足客户要求，实施风险管理，确保信息安全，实现持续改进。在此方针下应坚持的基本原则基本安全需求原则：信息安全工作推进组根据公司信息系统担负的使命和信息资产重要程度等，按照等级保护要求确定相应的信息安全保护措施，从全局恰当地平衡信息安全投入和安全状态；全员参与原则：所有从事信息安全相关工作的人员应普遍参与信息安全活动，保证自身信息安全素质，提高安全意识，共同保护公司信息安全；管理与技术并重原则：坚持积极防御和综合防范，全面提高信息安全防护能力，结合公司实际情况，采用管理科学性和技术前瞻性相辅相成的方法，达到信息安全管理的目的；持续改进原则：信息安全管理是动态的，贯穿整个企业管理的生命周期，随着安全需求和系统脆弱性的时间空间分布变化、威胁程度的提高和对信息安全认知的深化等，应及时地将现有的安全策略和保护措施进行检查、修改和调整，以提升安全管理水平，持续维护信息安全管理体系的有效性。遵循PDCA（Plan、Do、Check、Action计划、实施、检查、改进）模型原则：运用ISO27001的PDCA模型建立信息安全管理体系。第十一条公司信息安全目标商业秘密信息泄露事故为零；造成公司生产中断时间累计不能超过2小时/年；造成公司生产中断事故发生次数不超过2次/年。第四章总体信息安全策略第十二条本公司安全策略应满足国家信息安全等级保护制度相关要求。第十三条物理安全策略机房、数据中心等物理位置的选择应选在防震、防潮防水、防火的建筑内；机房、数据中心等的入出口应采取访问控制措施，安排值守、控制、鉴别和记录工作；机房内部署基础的防护系统和设备，如防火系统、环境控制系统、UPS供电系统、消防灭火系统、防雷系统、监控系统；网络通信线缆布置于安全隐蔽处（地下、管道）；机房部署防盗报警系统。第十四条网络安全策略网络核心设备部署要求性能良好，设备和链路有冗余，保证业务高峰期需求；绘制与实际相符的网络拓扑结构图；强化对终端的控制，并强制终端使用防病毒系统；对于涉密终端强制安装数据防泄密软件；网络边界处部署防火墙、IPS等安全设备；按照网络内的不同区域，划分不同的VLAN；邮箱系统增加垃圾邮件检测功能；严格控制控制带宽设置优先级，限制上网权限。第十五条主机安全策略登陆操作系统和数据库系统的用户必须进行身份标识和鉴别；登陆操作系统和数据库系统管理用户身份标识不能出现同名用户，口令复杂程度高并定期更换；操作系统和数据库必须及时删除多余的、过期的账户，避免共享账户的存在；重要主机人机分离时，确保信息安全状态。第十六条数据安全策略业务数据及文档必须进行备份，以便发生安全事件时进行恢复；数据备份必须使用专用的备份设备和工具；重要数据在传递过程中，使用加密手段；备份的数据采用异地储存手段；保证数据库硬件备件富有量，防止硬件故障导致数据不可用和不完整；数据的处理（传输、储存、恢复）做明确的记录；故障不可用的数据存储介质要及时物理销毁，可以返厂用来更换新介质的，用不可恢复性手段销毁数据。第十七条人员安全策略信息安全需要全体员工参与，全体员工都有保护信息安全的职责，在岗位职责中应包含对信息安全的要求。特殊涉密岗位人员须承担特别要求的安全责任；定期对信息安全相关岗位员工进行信息安全相关教育和培训，提高安全意识；严格对破坏公司信息资产的行为进行惩戒，明确安全要求和安全职责。建立健全的外来人员访问制度，限制外来人员对重要信息的访问。第十八条安全事件处理策略制定安全事件处置管理制度，明确安全事件的类型，规定安全事件的处理、事件报告和后期恢复的管理职责；制定安全事件报告和相应处理程序，确定事件的报告流程，响应和处置的范围、程度以及处理方法。第十九条应急预案策略制定不同事件的应急预案，应急预案框架包括预案启动条件、处理流程、事后教育和学习；从人力、设备、技术、财务方面确保满足应急预案执行所需的资源；定期对应急预案进行演练，并根据不同预案确定演练周期；应急预案定期进行更新修改，