信息安全政策方针模板

广州xxx信息安全政策方针信息安全总体政策方针历史版本编写、批准、发布信息记录表版本号创建人/创建日期批准人/批准日期生效日期V1.0//////////////////////////////文档修改记录序号修改章节文件更改通知单编号修改日期修改人批准人信息安全总体政策方针信息安全总体政策方针目录第1章基本方针···········································································································4第2章对策方针···········································································································7第1节信息安全管理体制··························································································7第2节信息资产的保护对策·······················································································8第3节信息的管理·································································································12第4节信息设备、媒体的管理··················································································14第5节个人信息的管理···························································································16第6节信息系统的使用人员管理···············································································17第7节访问控制····································································································19第8节系统管理员特权···························································································20第9节系统操作记录······························································································20第10节可用性对策······························································································21第11节网络安全·································································································22第12节互联网和电子邮件的利用············································································24第13节计算机病毒对策························································································25第14节安全漏洞对策···························································································26第15节软件的管理······························································································28第16节本单位信息系统的构筑、运用······································································28第17节设备对策·································································································30第18节发生侵害信息安全时的对应·········································································30第19节外包管理·································································································32第20节单位成员就职、辞职和人事变动时的措施·······················································32第21节信息安全的维持活动··················································································34各种细则················································································································35第1章基本方针（目的）第1条本信息安全政策之“基本方针”以及“对策方针”（以下称“本政策”）阐明了广州xxx（以下称“本单位”）对信息资产管理和信息安全的观点，是针对信息安全对策的方针而制定的，以实现下述事项为目的。保护客户以及本单位的知识产权（包括机密信息和私人信息）明确应该保护的信息资产以及对策与信息安全相关的风险管理以及安全等级的维持、均一化统一采取信息安全对策方面的判断标准提高单位成员对信息安全的意识有法必依，照章行事（构成）第2条本政策由规定本单位信息安全方面的基本且一般性方向的“基本方针”以及按各条款规定具体性事项以及指标的“对策方针”构成。2.“对策方针”是本单位在信息安全方面必须施行对策的条款中，所应该施行事项或者应该达到最低水平的指标，是基于以下构想而制定的。从机密性、正确性、可用性的观点出发对信息资产的重要程度设立各个条款，将其分别设定为与上述重要程度相应的条款或指标。对于信息资产的访问权（含浏览、更改、程序的起动）仅根据业务需要授权。信息安全管理中，极力避免人员管理内容，积极采用信息技术，有组织地提高信息安全对策的可靠性为宗旨。（适用人员以及适用业务）第3条本政策适用于就职于本单位的所有雇员及派遣员工。信息安全总体政策方针2.外包对象，也必须遵守本政策。本政策中所提及的“外包对象”指：合作单位及其员工合同工（临时工等）服务供应商及其员工（信息资产的对象）第4条本政策信息资产对象包含各种文档以及数据等本单位的所有信息，此外还包括软硬件以及各种数据文件等信息技术性信息资产。（经营职责）第5条信息安全主管领导要在理解本政策宗旨以及内容的基础上，给予足够的重视，在遵守其规定的同时，还要按照本政策采取与信息安全有关的对策措施。2.信息安全主管领导要努力确保本政策所规定的条款稳定，不要随意变更，此外，当本政策所规定的条款存在不符合客观实际情况等不妥善之处时，要争取及时将其予以妥善修改。3.信息安全主管领导要率先推进乃至实行基于本政策的信息安全对策。（单位成员的职责）第6条全体单位成员要在理解本政策的宗旨及内容的基础上给予足够的重视，遵守其规定。2.全体单位成员要努力加深对信息安全的认识和理解。（信息安全管理组织）第7条为了进行信息安全对策的起草提案以及维持管理，设置信息安全委员会（SM委员会），由信息安全主管领导指名任命信息安全委员会委员长（SM委员长）。2.各项目或各部的负责人（项目负责人、部长）要对各项目或各部遵守本政策以及有关规程进行管理，同时还要实施和审核信息安全对策。实施时，要指定各项目以及各部的信息安全主管（SM）。被指信息安全总体政策方针定的信息安全主管（SM）以信息安全委员会（SM委员会）的一员从事活动。3.组织体系依据本政策末尾所记载的信息安全管理组织图设立。（遵守法令等）第8条除本政策以及有关规程外，当法令、行政机构、本行业团体制定有关信息安全的指针中有与本单位的指针一致的话，必须遵守。信息安全总体政策方针第2章对策方针第1节信息安全管理体制（信息安全委员会委员长（SM委员长））第9条信息安全委员会委员长（SM委员长）负责指挥、监督信息安全对策的实施、维持。2.信息安全委员会委员长（SM委员长）设置信息安全委员会，指挥信息安全对策的实施。3.信息安全委员会委员长（SM委员长）向总经理报告全单位的信息安全对策的实施情况。（信息安全委员会（SM委员会））第10条信息安全委员会（SM委员会）由信息安全委员会委员长（SM委员长）设置，主管全单位信息安全对策推进、维持管理有关业务，执行信息安全有关业务的具体业务。2.信息安全委员会（SM委员会）是各个项目和各部申报、申请、出现紧急情况时报告的主管部署，在单位内起横向管理的作用。3.信息安全委员会（SM委员会）向主管领导报告全单位信息安全对策的实施情况。但重要事项要向信息安全委员会提出提案。4.从信息安全委员会中选拔出以下负责人。各个负责人的作用如下：设施管理人员对接受委托的开发环境等办公场所和服务器机房的出入进行管理。网络管理人员与网络整体有关的管理。电脑、服务器管理人员电脑和服务器安全对策的管理、设备管理。数据管理人员测试数据和正式数据（书面、电子数据）的拿入和拿出、保管和复制、废弃、备份制作、开发文档类的管理。信息安全总体政策方针（各个项目和各部的信息安全管理）第11条各个项目和各部的项目负责人、部长作为各个项目和各部的信息安全对策负责人，实施信息安全对策的贯彻普及、维持管理。2.各个项目和各部的项目负责人、部长向信息安全委员会（SM委员会）报告各项目和各部信息安全对策的实施情况。3.各个项目和各部的项目负责人、部长为了在各项目或部内贯彻信息安全对策，可以指定信息安全主管（SM）。4.信息安全主管（SM）对项目或部内的信息安全对策实施提供支持，向项目负责人以及部长报告其实施情况。（教育负责部署）第12条教育负责部署的任务是为提高单位成员的安全意识，彻底贯彻落实本政策，开展教育计划的规划、起草、实施。（其他组织部门）第13条构筑可与客户、服务提供商、信息安全专业机构等保持适当联系的信息安全有关体制。第2节信息资产的保护对策（对来自单位外部组织信息的接收限制）第14条除业务需要外，不擅自从客户或交易对方等单位外部组织获取重要信息。（根据重要度管理）第15条对于本单位拥有的全部重要信息资产根据其重要度采取相应的管理和对策。（重要度的定义）第16条信息的重要度从机密性（Confidentiality）・完整性（Integrity）・可用性（Availability）的观点来确定。信息安全总体政策方针此外，还规定：所谓机密性是指信息的隐匿性，只有正当的权限人员才能参阅信息；所谓完整性是指信息正确且具有整