服务项目

ISO20000认证：信息安全方针制定策略

文章录入：华道众合文章来源：华道众合添加时间：2021-2-20

1.目的

信息安全管理方针指明了公司的信息安全目标和方向，并可以确保管理体系被充分理解和贯彻实施。为明确信息安全管理方针，特制定本文件。

2.范围

本文件适用于公司管理体系涉及的所有人员和过程。

3.定义
信息安全是指保证信息的保密性、完整性、可用性；另外也可包括诸如真实性、可核查性，不可否认性和可靠性等特性。
信息是对公司业务至关重要的一种资产，因此需要加以适当的保护。在业务环境互连日益增加的情况下这一点显得尤为重要。信息安全可防止信息受到各种威胁，以确保业务连续性，使业务风险最小化，投资回报和商业机遇人性化。

4.信息安全方针

公司信息安全方针：

群策群力、共筑安全；坚持持续改进，完善安全措施，提高用户信任度

5.安全管理机构

根据ISO/IEC27001:2013的要求，为确保信息安全工作有一个明确的方向和获得管理者支持，公司设立信息安全管理小组，作为公司信息安全管理机构进行日常运作，信息安全管理小组是本公司信息安全管理工作的最高领导机构。

（1）信息安全管理小组的主要工作

信息安全管理小组主要工作为：在信息安全管理小组组长的领导下，负责公司日常信息安全的管理与监督活动，并对相关部门提供指导和对员工进行培训。具体工作如下：

（2）信息安全管理小组的组织构成

信息安全管理小组组长由公司总经理任命，公司副总经理兼任；小组成员包括：

a. 信息安全管理小组组长

b. 管理者代表

c. 公司各部门领导

d. IT服务部

e. 公司各部门的信息安全员

6.职责

（1）信息安全管理小组组长职责

信息安全管理小组组长职责：

a. 组织制定信息安全方针和总体职责，并进行审批

b. 审批信息安全的特殊方法和进程，如风险评估方法等

c. 审批加强信息安全的重大举措

d. 向公司员工传达满足信息安全目标和符合信息安全方针、法律法规要求的重要性

e. 授权管理者代表主持ISMS的管理评审

f. 提供开发、实施、运行和维护ISMS所需的足够的资源

g. 协调公司信息安全管理体系（ISMS）、公司质量管理体系和公司其他规章制度之间的关系

h. 决定可接受的风险级别

（2）管理者代表职责

管理者代表职责：

a. 协助最高管理者建立、维持和改进信息安全管理体系

b. 具体组织实施信息安全管理工作计划的实施

c. 向最高管理者报告信息安全管理工作，包括信息安全管理业绩以及改进的需要

d. 确保在整个公司提高对顾客要求的认识

e. 协助解决最高管理者交办的有关信息安全管理体系的重大事项

f. 监督协调信息安全体系中各项工作

g. 主持ISMS的管理评审，跟踪落实管理评审的结果

h. 信息安全体系与外部的有关联络事宜

（3）各部门领导职责

各部门领导职责：

a. 组织人员对本部门所管理的（包括本公司的和相关方提供的）信息资产的类型进行分类，并进行资产登记

b. 组织人员对本部门所管理的关键信息资产进行风险评估，识别其所受的威胁、敏感级别（密级信息按其所受的危险程度，可依次分为：绝密→机密→秘密→敏感→一般）、风险级别（资产按其所受的危险程度，可依次分为：很高→高→较高→一般→低）、脆弱性和潜在的影响，并制定与其相适应的控制措施。

c. 向部门员工说明本领域的信息安全管理要求

d. 确保其所在部门的每一位员工都遵守公司信息安全管理规定
（4）IT服务部职责

IT服务部职责：

a. 根据公司员工的IT保障，负责公司全体员工的桌面维护，实现为员工提供统一的服务台，为员工解答各类IT问题及处理各类IT故障及请求

b. 依据公司的数据安全要求，负责公司重要数据的备份工作，实现保障公司重要数据的存储

c. 依据公司的管理要求，负责各IT环境（如应用系统、公司网络、电话、会议室、打印机、复印机等）的维护，实现为员工提供一个稳定、便捷的工作环境

d. 依据公司发展要求及各业务部门的需求，负责各IT资源需求调研，规划、环境搭建（如服务器、存储、操作系统、数据库的安装）及人员技能培训，实现满足各业务发展需要几生产环境的保障

e. 依据公司各应用系统的权限要求，负责各应用系统的用户管理及权限管理，实现用户权限的有效控制，保障公司数据的保密性

（5）信息安全员职责

信息安全员职责：

a. 按信息安全管理要求，保护所在部门的信息资产的安全

b. 对本部门员工进行信息安全管理规定的培训和指导

c. 联系相关技术人员对员工信息安全提供技术支持

d. 对于信息安全被危及的任何迹象，或信息可能被泄露或损毁的任何可疑活动和行为，向信息安全管理小组报告

（6）员工职责

a.每一位员工或使用本公司信息的人员都要遵守本方针，都有保护公司信息资产、系统和基础设施安全的职责。

b.每一位员工都应采取适当的措施（包括设置密码），保护敏感信息在管理、使用、存储、处理和传输中的安全。

c.员工外出工作需要携带设备时，应采取相应的保护措施，防止丢失、损毁，确保信息安全。如∶设备必须设置密码、不留在公共场所无人看管、不暴露于强电磁场等。

d.任何员工都有义务向其直接领导或信息安全管理小组报告可能会危及密级信息安全的任何活动、行为和提出改进建议。

（7）使用者职责

这里所说的使用者是指访问本公司密级信息的人员。

a. 使用者必须获得授权、了解该信息的安全要求，并采取相应的安全保护措施。

b. 如果已授权的使用者不了解其所要访问的信息的安全要求，那么他必须对该信息提供最高极限的保护。

c. 使用者应小心保护其访问信息的密码、物理钥匙和ID卡，一旦发生密码泄露或钥匙、ID卡丢失，应立即向其直接领导报告并承担相应责任。

7.信息安全管理体系实施框架

公司要根据所要实现的信息安全目标选取适当的风险评估方法，并制定风险评估程序以持续适用于公司的信息安全管理体系。

信息安全风险在被识别后，应进行分析和评价，根据其结果，选取合适的控制措施，以满足风险评估和风险处理过程中所识别的需求。控制措施的选择还应考虑可接受风险的准则以及法律法规和合同要求。

本公司风险接受准则是∶如果降低风险所付出的成本大于风险所造成的损失，则选择接受风险。

可接受的风险级别为∶按照公司所采取的风险评估方法，风险共分5级，可接受风险级别为低风险和一般风险;较高风险、高风险和很高风险不能接受。

8.重要原则、标准和符合性要求

1）法律法规和合同要求的符合性

公司在建立和管理信息安全管理体系时，必须符合相关法律法规和合同的要求。

2）安全教育、培训和意识要求

所有分配有信息职责的人员必须具备执行所要求任务的能力，因此公司要确定这些人员所必要的能力，提供能力培训，必要时，可聘用有能力的人员以满足这些需求。同时要评价所提供的培训和所采取的措施的有效性，保持教育，培训、技能、经历和资格的记录。另外，公司还要确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到信息安全管理体系目标做出贡献。

3）业务连续性管理

为防止公司业务活动中断，保护关键业务过程免受重大失误或灾难的影响，以及确保它们的及时恢复，业务连续性管理计划必须考虑信息和信息安全的需求，对能引起业务流程中断的事态进行识别，连同这种中断发生的概率和影响，以及它们对信息安全的后果也要进行识别，确保在关键业务过程中断或失败后能够在要求的水平和要求的时间内恢复信息的可用性。

9.评审

本文件需要定期被评审，12个月内评审一次，当信息安全管理体系发生重大变化时，也应评审，以维持其适用性。

10. 相关文件

《信息安全目标》

《信息安全风险管理程序》

《业务连续性管理程序》

想了解更多的关于ISO20000认证信息可以经常关注我们

【相关文章】