信息安全策略(模板27001)(精.选).docx

《信息安全策略(模板27001)(精.选).docx》由会员分享，可在线阅读，更多相关《信息安全策略(模板27001)(精.选).docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)目录1.目的和范围.错误!未指定书签。2.术语和定义.错误!未指定书签。3.引用文件.错误!未指定书签。4.职责和权限.错误!未指定书签。5.信息安全策略.错误!未指定书签。5.1.信息系统安全组织.错误!未指定书签。5.2.资产管理.错误

2、!未指定书签。5.3.人员信息安全管理.错误!未指定书签。5.4.物理和环境安全.错误!未指定书签。5.5.通信和操作管理.错误!未指定书签。5.6.信息系统访问控制.错误!未指定书签。5.7.信息系统的获取、开发和维护安全错误!未指定书签。5.8.信息安全事故处理.错误!未指定书签。5.9.业务连续性管理.错误!未指定书签。5.10.符合性要求.错误!未指定书签。1附件.错误!未指定书签。1.目的和范围1)本文档制定了的信息系统安全策略，作为信息安全的基本标准，是所有安全行为的指导方针，同时也是建立完好的安全管理体系最根本的基础。2)信息安全策略是在信息安全现状调研的基础上，根据27001的

3、最佳实践，结合现有规章制度制定而成的信息安全方针和策略文档。本文档遵守政府制定的相关法律、法规、政策和标准。本安全策略得到领导的认可，并在公司内强迫施行。3)建立信息安全策略的目的概括如下：a)在内部建立一套通用的、行之有效的安全机制；b)在的员工中树立起安全责任感；c)在中加强信息资产可用性、完好性和保密性；d)在中提高全体员工的信息安全意识和信息安全知识水平。本安全策略适用于公司全体员工，自发布之日起执行。2.术语和定义1)解释信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)信息安全策略(模板27001)(精.选)2)

4、词语使用3.引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。但凡注日期的引用文件，其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准，然而，鼓励各部门研究能否可使用这些文件的最新版本。但凡不注日期的引用文件，其最新版本适用于本标准。1)27001:2005信息技术-安全技术-信息安全管理体系要求2)17799:2005信息技术-安全技术-信息安全管理实施细则4.职责和权限信息安全管控委员会：负责对信息安全策略进行编写、评审，监督和检查公司全体员工执行情况。5.信息安全策略目的：为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。1)策略下发本策略必须得到管理

5、层批准，并向所有员工和相关第三方公布传达，全体人员必须履行相关的义务，享受相应的权利，承当相关的责任。2)策略维护本策略通过下面方式进行文档的维护工作：必须每年根据（风险评估管理程序）进行例行的风险评估，如遇下面情况必须及时进行风险评估：a)发生重大安全事故b)组织或技术基础构造发生重大变更c)安全管理小组以为应当进行风险评估的d)其他应当进行安全风险评估的情形风险评估之后根据需要进行安全策略条目修订，并在内公布传达。3)策略评审每年必须参照（管理评审程序）执行公司管理评审。4)适用范围适用范围是指本策略使用和涵盖的对象，包括现有的业务系统、硬件资产、软件资产、信息、通用服务、物理安全区域等。

6、对于即将投入使用和今后规划的信息系统项目也必须参照本策略执行。5.1.信息系统安全组织目的：在组织内部管理信息安全，保持可被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全。1)内部组织公司的管理层对信息安全承当最终责任。管理者职责参见（信息安全管理手册）。公司的信息系统安全管理工作采取信息安全管控委员会统一管理方式，其他相关部门配合执行。公司的内部信息安全组织包括信息安全管理小组，小组的人员组成以及相关职责参见（公司信息安全组织构造图）。各个部门之间必须严密配合共同进行信息安全系统的维护和建设。相关部门岗位的分工与责任参见（信息安全管理手册）。任何新的信息系统处理设施必须经过管理受权的经过。并更新至（信息资产列表）。信息系统内的每个重要的资产需要明确所有者、使用人