信息安全方针
文件版次
V1.0
密级
机密
第PAGE4页共NUMPAGES6页
密级等级:机密
受控状态:受控
文件编号:GM-IM-003-V1.0
信息安全方针
V1.0
2024年2月1日
XXXXX精密电子科技有限公司
内部资料版权所有未经允许不得抄印
变更履历
版本
变更内容
编制人/
创建日期
审核人/
审核日期
批准人/
批准日期
备注
V1.0
初次发布
目的和使用范围
信息安全管理体系方针指明了公司的信息安全目标和方向,并可以确保信息安全管理体系被充分理解和贯彻实施。为明确信息安全管理体系方针,特制定本文件。此外,本文件还描述了公司的信息安全管理体系的范围。
本文件适用于公司信息安全管理体系涉及的所有人员和过程。
信息安全定义
信息安全是指保证信息的保密性、完整性、可用性;另外也可包括诸如真实性、可核查性、不可否认性和可靠性等特性。
信息是对公司业务至关重要的一种资产,因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁,以确保业务连续性,是业务风险最小化,投资回报和商业机遇最大化。
信息安全方针
规范信息管理,保障信息安全,提升信息技术,服务公司经营。
含义为:公司全体员工应严格按ISO/IEC27001标准的要求,建立、实施、保持和改进公司信息安全管理体系,不断提升信息安全意识,规范信息生命周期过程的管理,持续识别和控制信息安全的风险,保证公司所有信息的安全。不断加大对信息设备的投入,提升信息技术水平,为公司经营提供高效、便捷、安全的服务,确保总体业务系统持续可靠地运行。
安全管理机构
根据ISO/IEC27001:2013的要求,为了确保信息安全工作有一个明确的方向和获得可见的管理者支持,公司设立以下二个不同级别的信息安全管理机构。
信息安全管理小组
信息安全管理小组是本公司信息安全管理工作的最高领导机构,承担以下方面的工作:
审批信息安全方针和总体职责;
审批信息安全的特殊方法和过程,如风险评估等;
审批加强信息安全的重大举措;
提供所需要的足够的资源
协调本ISMS、公司质量管理体系和公司其他规章制度之间的关系。
信息安全经理由公司总经理任命(管理者代表);信息安全管理小组由相关部门的信息安全员组成。信息安全管理小组主要工作为:在信息安全经理的领导下,负责公司日常信息安全的管理与监督活动,并对相关部门提供指导和对需要培训的员工进行培训。
信息安全员
相关部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作,并配合信息安全执行委员会的信息安全活动。
职责
公司领导职责
公司领导应具有以下方面的职责:
制定信息安全方针;
向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性;
主持ISMS的管理评审;
提供开发、实施、运行和维护ISMS所需的足够的资源;
决定可接受的风险级别。
部门领导职责
部门领导必须:
明确本部门所管理的(包括本公司的和相关方提供的)信息资产的类型,并进行资产登记和指定负责人。
对本部门所管理的关键信息资产进行风险评估,识别其所受的威胁、机密级别(密级信息按其所受的危险程度,可依次分为“绝密”、“机密”、“内部事项”)、风险级别(资产按其所受的危险程度,可依次分为:“很高”、“高”、“一般”)、脆弱性和潜在的影响,并制定与其相适应的控制措施。
向信息安全管理小组报告信息被危及的任何迹象,或信息可能被泄露或损毁的任何可疑活动和行为。
项目主管职责
这里所说的项目主管是指在部长领导下主持某些领域工作的人员。他们必须:
向部长说明本领域特殊的信息安全要求;
按本领域特殊的信息安全要求,保护本领域的信息资产的安全;
联系相关技术支持人员(包括网络维护员、网络管理员和系统管理员等),确保其所属的每一位员工的机器都安装和定期更新可靠的防病毒软件,并及时安装系统补丁软件包。
员工职责
每一位员工或使用本公司信息的人员都要遵守本方针,都有保护公司信息资产、系统和基础设施安全的职责。
每一位员工都应采取适当的措施(包括设置密码),保护其所负责的所有形式的机密信息在管理、使用、存储、处理和传输中的安全。
员工外出工作需要携带设备时,必须获得相关领导者的批准,并应采取相应的保护措施,防止丢失,防止损毁,确保信息安全。如:设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。
任何员工都有义务向其直接领导或信息安全管理小组报告可能会危及密级信息安全的任何活动、行为和提出改进建议。
使用者职责
这里所说的使用者是指访问本公司密级信息的人员。
使用者必须获得授权、了解该信息的安全要求,并采取相应的安全保护措施。
如果已授权的使用者不了解其