信息安全方針信息安全策略管理規(guī)范

第一章 總則

第一條 為提高公司信息安全管理水平，建立、健全信息安全管理體系，貫徹執(zhí)行ISO27001:2013《信息技術(shù) 安全技術(shù) 信息安全管理體系?要求》，保障公司信息系統(tǒng)業(yè)務(wù)的正常進(jìn)行，防止由于信息安全事件導(dǎo)致的公司損失，確保全體員工理解信息安全的重要性，執(zhí)行信息安全管理體系文件的要求，特制定本制度。

第二條 本制度是公司信息安全管理的綱領(lǐng)性文件，用于貫徹企業(yè)的信息安全管理方針、目標(biāo)，是所有從事、涉及信息安全相關(guān)活動(dòng)人員的行為準(zhǔn)則，是向客戶、向社會(huì)、向認(rèn)證機(jī)構(gòu)提供本公司信息安全管理保證能力的依據(jù)。

第三條 信息部在得到信息安全委員會(huì)批準(zhǔn)的前提下負(fù)責(zé)本制度的更改和建立，信息部定期對(duì)其適用性、持續(xù)性、有效性進(jìn)行評(píng)審，匯總更改需求和建議并上報(bào)。

第四條 本制度適用于公司所屬各單位。

第二章 職責(zé)分工

第五條 公司信息安全管理工作由信息安全委員會(huì)指導(dǎo)和批準(zhǔn)，委員會(huì)下設(shè)信息安全工作推進(jìn)組，并設(shè)立信息安全顧問團(tuán)。

第六條 信息安全工作推進(jìn)組由信息部信息安全專業(yè)人員和公司各部門主管任命的信息化專業(yè)員組成。

第七條 信息安全顧問組由提供服務(wù)的外部安全產(chǎn)品公司或外聘的信息安全顧問組成。

第八條 信息安全工作推進(jìn)組職責(zé)

(一) 建立信息安全管理方針、目標(biāo)和策略；

(二) 評(píng)估信息安全顧問組意見的可用性；

(三) 確定公司信息資產(chǎn)風(fēng)險(xiǎn)準(zhǔn)則和信息安全事件處置措施；

(四) 組織并確保全公司信息安全教育活動(dòng)的落實(shí)；

(五) 監(jiān)控公司的信息安全情況，監(jiān)督檢查信息安全活動(dòng)的落實(shí)情況，并定期向信息安全委員會(huì)匯報(bào)；

(六) 向兩化融管理委員會(huì)提出實(shí)現(xiàn)信息安全目標(biāo)和符合信息安全方針的改進(jìn)需要，推行各項(xiàng)信息安全策略要求和控制措施；

(七) 負(fù)責(zé)公司信息安全內(nèi)部、外部評(píng)估的具體安排；

(八) 推進(jìn)組中各部門安全專員負(fù)責(zé)對(duì)本部門信息資產(chǎn)進(jìn)行匯總上報(bào)，負(fù)責(zé)本部門信息安全事件的應(yīng)急處理，收集、上報(bào)與本部門相關(guān)的信息安全管理方面的要求，同時(shí)負(fù)責(zé)在本部門內(nèi)傳達(dá)、落實(shí)公司信息安全管理策略的要求。

第九條 信息安全顧問組職責(zé)

(一) 提供信息安全相關(guān)產(chǎn)品的使用幫助和更新；

(二) 負(fù)責(zé)為公司提供完整的信息安全管理咨詢服務(wù)；

(三) 提供信息安全管理方面的相關(guān)培訓(xùn)。

第三章 信息安全方針和目標(biāo)

第十條 公司信息安全方針為：

滿足客戶要求，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。在此方針下應(yīng)堅(jiān)持的基本原則

(一) 基本安全需求原則：信息安全工作推進(jìn)組根據(jù)公司信息系統(tǒng)擔(dān)負(fù)的使命和信息資產(chǎn)重要程度等，按照等級(jí)保護(hù)要求確定相應(yīng)的信息安全保護(hù)措施，從全局恰當(dāng)?shù)仄胶庑畔踩度牒桶踩珷顟B(tài)；

(二) 全員參與原則：所有從事信息安全相關(guān)工作的人員應(yīng)普遍參與信息安全活動(dòng)，保證自身信息安全素質(zhì)，提高安全意識(shí)，共同保護(hù)公司信息安全；

(三) 管理與技術(shù)并重原則：堅(jiān)持積極防御和綜合防范，全面提高信息安全防護(hù)能力，結(jié)合公司實(shí)際情況，采用管理科學(xué)性和技術(shù)前瞻性相輔相成的方法，達(dá)到信息安全管理的目的；

(四) 持續(xù)改進(jìn)原則：信息安全管理是動(dòng)態(tài)的，貫穿整個(gè)企業(yè)管理的生命周期，隨著安全需求和系統(tǒng)脆弱性的時(shí)間空間分布變化、威脅程度的提高和對(duì)信息安全認(rèn)知的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略和保護(hù)措施進(jìn)行檢查、修改和調(diào)整，以提升安全管理水平，持續(xù)維護(hù)信息安全管理體系的有效性。

(五) 遵循PDCA(Plan、Do、Check、Action 計(jì)劃、實(shí)施、檢查、改進(jìn))模型原則：運(yùn)用ISO27001的PDCA模型建立信息安全管理體系。

第十一條 公司信息安全目標(biāo)

(一) 商業(yè)秘密信息泄露事故為零；

(二) 造成公司生產(chǎn)中斷時(shí)間累計(jì)不能超過2小時(shí)/年；

(三) 造成公司生產(chǎn)中斷事故發(fā)生次數(shù)不超過2次/年。

第四章 總體信息安全策略

第十二條 本公司安全策略應(yīng)滿足國家信息安全等級(jí)保護(hù)制度相關(guān)要求。

第十三條 物理安全策略

(一) 機(jī)房、數(shù)據(jù)中心等物理位置的選擇應(yīng)選在防震、防潮防水、防火的建筑內(nèi)；

(二) 機(jī)房、數(shù)據(jù)中心等的入出口應(yīng)采取訪問控制措施，安排值守、控制、鑒別和記錄工作；

(三) 機(jī)房內(nèi)部署基礎(chǔ)的防護(hù)系統(tǒng)和設(shè)備，如防火系統(tǒng)、環(huán)境控制系統(tǒng)、UPS供電系統(tǒng)、消防滅火系統(tǒng)、防雷系統(tǒng)、監(jiān)控系統(tǒng)；

(四) 網(wǎng)絡(luò)通信線纜布置于安全隱蔽處（地下、管道）；

(五) 機(jī)房部署防盜報(bào)警系統(tǒng)。

第十四條 網(wǎng)絡(luò)安全策略

(一) 網(wǎng)絡(luò)核心設(shè)備部署要求性能良好，設(shè)備和鏈路有冗余，保證業(yè)務(wù)高峰期需求；

(二) 繪制與實(shí)際相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；

(三) 強(qiáng)化對(duì)終端的控制，并強(qiáng)制終端使用防病毒系統(tǒng)；

(四) 對(duì)于涉密終端強(qiáng)制安裝數(shù)據(jù)防泄密軟件；

(五) 網(wǎng)絡(luò)邊界處部署防火墻、IPS等安全設(shè)備；

(六) 按照網(wǎng)絡(luò)內(nèi)的不同區(qū)域，劃分不同的VLAN；

(七) 郵箱系統(tǒng)增加垃圾郵件檢測功能；

(八) 嚴(yán)格控制控制帶寬設(shè)置優(yōu)先級(jí)，限制上網(wǎng)權(quán)限。

第十五條 主機(jī)安全策略

(一) 登陸操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶必須進(jìn)行身份標(biāo)識(shí)和鑒別；

(二) 登陸操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)不能出現(xiàn)同名用戶，口令復(fù)雜程度高并定期更換；

(三) 操作系統(tǒng)和數(shù)據(jù)庫必須及時(shí)刪除多余的、過期的賬戶，避免共享賬戶的存在；

(四) 重要主機(jī)人機(jī)分離時(shí)，確保信息安全狀態(tài)。

第十六條 數(shù)據(jù)安全策略

(一) 業(yè)務(wù)數(shù)據(jù)及文檔必須進(jìn)行備份，以便發(fā)生安全事件時(shí)進(jìn)行恢復(fù)；

(二) 數(shù)據(jù)備份必須使用專用的備份設(shè)備和工具；

(三) 重要數(shù)據(jù)在傳遞過程中，使用加密手段；

(四) 備份的數(shù)據(jù)采用異地儲(chǔ)存手段；

(五) 保證數(shù)據(jù)庫硬件備件富有量，防止硬件故障導(dǎo)致數(shù)據(jù)不可用和不完整；

(六) 數(shù)據(jù)的處理（傳輸、儲(chǔ)存、恢復(fù)）做明確的記錄；

(七) 故障不可用的數(shù)據(jù)存儲(chǔ)介質(zhì)要及時(shí)物理銷毀，可以返廠用來更換新介質(zhì)的，用不可恢復(fù)性手段銷毀數(shù)據(jù)。

第十七條 人員安全策略

(一) 信息安全需要全體員工參與，全體員工都有保護(hù)信息安全的職責(zé)，在崗位職責(zé)中應(yīng)包含對(duì)信息安全的要求。特殊涉密崗位人員須承擔(dān)特別要求的安全責(zé)任；

(二) 定期對(duì)信息安全相關(guān)崗位員工進(jìn)行信息安全相關(guān)教育和培訓(xùn)，提高安全意識(shí)；

(三) 嚴(yán)格對(duì)破壞公司信息資產(chǎn)的行為進(jìn)行懲戒，明確安全要求和安全職責(zé)。

(四) 建立健全的外來人員訪問制度，限制外來人員對(duì)重要信息的訪問。

第十八條 安全事件處理策略

(一) 制定安全事件處置管理制度，明確安全事件的類型，規(guī)定安全事件的處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；

(二) 制定安全事件報(bào)告和相應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度以及處理方法。

第十九條 應(yīng)急預(yù)案策略

(一) 制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架包括預(yù)案啟動(dòng)條件、處理流程、事后教育和學(xué)習(xí)；

(二) 從人力、設(shè)備、技術(shù)、財(cái)務(wù)方面確保滿足應(yīng)急預(yù)案執(zhí)行所需的資源；

(三) 定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，并根據(jù)不同預(yù)案確定演練周期；

(四) 應(yīng)急預(yù)案定期進(jìn)行更新修改，并明確修改后的學(xué)習(xí)。

第二十條 文件管理策略

(一) 對(duì)于信息系統(tǒng)所產(chǎn)生的文件要予以保護(hù)和控制；

(二) 確保整個(gè)文件的生命周期都是在控制范圍內(nèi)；

(三) 文件發(fā)布前要得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?/p>

(四) 確保文件僅對(duì)需要的人可用。

第五章 附則

第二十一條 本管理制度由公司信息部負(fù)責(zé)解釋。

第二十二條 本制度自發(fā)布之日起執(zhí)行。