信息安全管理方针手册

修订文档历史记录。

xxxx（集团）****（以下简称xxxx）是以软件技术和服务为核心，从事xx业务服务、系统集成、数据处理等多个信息技术业务领域的股份公司。随着公司xx业务服务业务的不断发展，客户对信息安全的要求也日趋严格与系统化，而随着信息技术革命和经济全球化的发展，企业间的竞争已经转为技术和信息的竞争。随着公司业务的快速增长、it规模的不断扩大以及客户要求的不断提升，公司业务是否能高效的运作、核心客户群的维持已经越来越依赖于我们是否有稳定、安全的信息系统，以保护公司和客户的知识资产。

鉴于信息安全在公司运营管理中越来越重要的地位，公司高层领导不断要求要高度重视信息安全管理和控制工作，加大信息安全投资和人力资源配置。为此，公司成立了信息安全管理委员会以及信息安全管理工作小组，负责在公司全范围建立有效的信息安全管理体系，以确保信息安全机制有效运行。《信息安全管理方针手册》作为公司信息安全方面的最高层文件，是公司各项信息安全工作开展的依据，各部门应该严格遵照执行，并可根据本文件规定制定或修订本部门的相关管理规定。

本方针手册明确公司在信息安全工作方面的总体要求，指导各项信息安全工作的开展，包括：

为建立信息及信息处理设施管理程序、作业规程提供指南；

为处理各类信息安全事件提供指南，以预防及降低安全事件所造成的损失；

教育公司员工，让其了解公司信息资产的保密性、完整性和可用性及其相关的保护方法。

本适用性声明书适用于xx集团及其所有公司。

4.1 iso27001：2005 信息技术 – 安全技术 - 信息安全管理体系 – 规范。

4.2 iso17799：2005 信息技术 – 安全技术 – 信息安全管理体系实施细则。

5.1手册编制与批准。

5.1.1 信息安全方针手册由集团信息中心负责信息安全管理人员编制。

5.1.2 信息安全管理委员会成员负责对信息安全方针手册的内容进行审查，最终由信息安全管理委员会主任批准。

5.2发行版本。

5.2.1信息安全方针手册的版本状态分别在封面和每一页中给出，按阿拉伯数字
.0……顺序依次递增。

5.2.2 信息安全方针手册每章节的修订状况通过“本节修订”标识，在手册内容的每一页上标识其所在章节的“本节修订”。

当修改某章节时，更新一次该章节的“本节修订”，“本节修订”按阿拉伯数字顺序递增。

5.2.3 信息安全方针手册发布满三年或全部章节均已发生修改时，将重新发布手册，并更改手册的版本编号。

5.3发放控制。

5.3.1 发出的信息安全方针手册分为“受控”和“非受控”两种。

5.3.2 受控信息安全方针手册由信息中心按公司《信息安全体系文件控制程序》的规定进行发放控制。

5.3.3 非受控信息安全方针手册经信息安全管理者代表批准后，由行政部门统一发放，手册修改时，将不再对其进行跟踪控制。

5.3.4 信息安全方针手册的有效正本由信息安全办公室委托行政办公室负责保管。

5.4手册修改。

5.4.1当信息安全方针手册需要修改时，必须经信息安全管理委员会审查，并由信息管理委员会主任批准。

5.4.2 每次手册的修改都必须在“信息安全手册修改记录”列明该次修改原因或内容摘要、日期及标志。

5.5 定期审核。

5.5.1 公司通过定期的管理评审和内部信息安全审核，对信息安全方针进行审核，确保信息安全方针的充分性和完整性。

本章节对与信息安全管理体系相关的术语进行定义，以避免在使用过程中由于定义混淆造成对管理要求的误解。

2.1 信息(information):信息是一种具有价值、需要进行恰当保护的资产，信息以多种方式呈现，如以印刷品、手写稿或电子方式等保存，以邮件、电子邮件、投影方式等进行传递。

2.2 敏感信息(sensitive information): 需要某种等级保护的信息，由于有意或无意的泄密、修改或破坏，可能对公司业务运作造成很大损失或危害。

2.3 计算机信息系统 (computer information system):是指由计算机及其相关和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.4 信息安全(information security):为保证信息的完整性、可用性和保密性所需的全面管理、规程和控制。信息安全包括所以下三个基本要素：

1） 保密性 – 使信息不泄露给非授权的个人、实体或过程，不为其所用。

2） 完整性 – 确保信息及其信息系统免遭破坏及篡改，即系统中的信息与原文档相同，信息处理设施能正常运作。

3） 可用性 - 被授权实体所需的资源可被访问与使用，即攻击者不能占用相关资源而阻碍授权者的工作。

2.5 拒绝服务（denial of service）: 妨碍信息访问或延迟操作时间。

2.6 威胁（threat）:导致发生某一非期望事件的可能性，此类事件的发生可能对某一信息、信息系统及组织造成损害。

威胁**有三类：来自自然的威胁、人为的威胁以及意外事件产生的威胁。

2.7 脆弱性（vulnerability）:某一项或一组资产的弱点、薄弱性，并容易被威胁利用。

脆弱性本身不会引起损害，只是一种条件或一组条件，在条件下，被威胁利用后对组织资产造成损害。

2.8 风险（risk）: 威胁利用脆弱性造成某一信息资产或某一组信息资产丢失或损坏的可能性，这样的风险可能波及整个组织。

2.9 风险评估（risk assessment）：识别信息及信息系统威胁与脆弱性发生的可能性，分析对资产造成的影响，以决定风险程度的过程，是风险管理的一部分。

2.10 风险管理（risk management）: 根据风险评估结果，对组织不可接受的风险，以合理的成本、采取合理的安全控制措施将风险控制在可以接受的水平内，达成控制措施与风险的平衡。

xxxx（集团）****，作为以软件技术与服务为核心的信息技术企业，已充分意识到到信息安全对公司发展及顾客信心的影响，公司管理层决定针对与公司业务运作、顾客和法规要求相关的重要资产建立信息安全管理体系，以向公司顾客、股东、合作伙伴及社会提供充分的信息安全信心。

信息安全方针

版本控制信息。目录。目录 b 1 目的 1 2 范围 1 3 参考文件 1 4 术语说明 1 5 信息安全定义 1 6 总体方针与原则 1 7 信息安全责任 2 8 信息安全管理体系 isms 2 9 信息安全部 2 9.1 信息安全管理委员会 ismc 2 10 评估与维护 2 11 方针的宣导 ...

信息安全管理手册

一 发布说明。为了落实国家与xx市网络信息安全与等级保护的相关政策，贯彻信息安全管理体系标准，提高xxxx信息安全管理水平，维护xxxx电子政务信息系统安全稳定可控，实现业务信息和系统服务的安全保护等级，按照iso iec 27001 2005 信息安全管理体系要求 iso iec 17799 20...

信息安全管理手册

一 发布说明。为了落实国家与xx市网络信息安全与等级保护的相关政策，贯彻信息安全管理体系标准，提高xxxx信息安全管理水平，维护xxxx电子政务信息系统安全稳定可控，实现业务信息和系统服务的安全保护等级，按照iso iec 27001 2005 信息安全管理体系要求 iso iec 17799 20...