1、信息安全總體方針 信息化服務中心 信息安全 總體 方針 項目名稱 xxx 安全運維服務項目 客戶名稱 xxx 信息化服務中心 實施地點 xxx 信息化服務中心 實施單位 xxx 絡安信息技術有限 實施時間 xxx 年 7 月 17 日星期二 文檔修訂情況 版本 修訂記錄 日期 修訂 審核 批準 v1.0 制作文檔 xxx-07-17 xxx v2.0 修改信息安全管理委員會框架 xxx-07-20 xxx 目錄 1 目的和適用范圍 . 3 2 信息安全定義 . 3 3 信息安全方針 . 3 4 安全管理機構 . 3 4.1 信息安全管理委員會 . 3 5 職責. 4 6 信息安全管理體系實施框

2、架 . 4 7 重要原則、標準和符合性要求 . 5 8 評審. 5 1 目的和 適用 范圍 信息安全管理體系方針指明了 xxx 信息化服務中心的信息安全目標和方向，并可以確保信息安全管理體系被充分理解和貫徹實施。為明確信息安全管理體系方針，特制定本文件。此外，本文件還描述了 xxx 信息化服務中心的信息安全管理體系的范圍。 本文件適用于 xxx 信息化服務中心信息安全管理體系涉及的所有人員和組織的全部重要信息資產及過程。 2 信息安全定義 信息安全是指保證信息的保密性、完整性、可用性；另外也可包括諸如真實性、可核查性、不可否認性和可靠性等特性。 信息是對 xxx 信息化服務中心業務至關重要的一

3、種資產，因此需要加以適當的保護。在業務環境互連日益增加的情況下這一點顯得尤為重要。信息安全可防止信息受到各種威脅，以確保業務連續性，是業務風險最小化，投資回報和商業機遇最大化。 3 信息安全方針 xxx 信息化服務中心信息安全方針為：統一規劃建設、全面綜合防御、技術管理并重、保障運營安全。 4 安全管理機構 根據 iso/iec 27001:2021 的要求，為了確保信息安全工作有一個明確的方向和獲得可見的管理者支持，xxx 信息化服務中心設立以下信息安全管理機構。 4.1 信息安全管理委員會 信息安全管理委員會是 xxx 信息化服務中心信息安全管理工作的最高領導機構，承擔以下方面的工作： 1

4、) 審批信息安全方針和總體職責； 2) 審批信息安全的特殊方法和過程，如風險評估等； 3) 審批加強信息安全的重大舉措； 4) 提供所需要的足夠的資源； 5) 協調本 isms 和 xxx 信息化服務中心其他規章制度之間的關系。 信息安全委員會.由 xxx 信息化服務中心負責人擔任，常務副.由 xxx 信息化服務中心任命（管理者代表）；信息安全管理委員會由相關部門的信息安全員組成。信息安全管理委員會主要工作為：在信息安全管理委員會./副.的領導下，負責 xxx 信息化服務中心日常信息安全的管理與監督活動，并對相關部門提供指導和對需要培訓的員工進行培訓。 圖-信息安全管理委員會組織機構框架圖 5

5、 職責 (1) 領導職責 xxx 信息化服務中心領導應具有以下方面的職責： Ø 制定信息安全方針； Ø 向 xxx 信息化服務中心員工傳達滿足信息安全目標和符合信息安全方針、法律法規要求的重要性； Ø 主持 isms 的管理評審； Ø 提供開發、實施、運行和維護 isms 所需的足夠的資源； Ø 決定可接受的風險級別。 (2) 員工職責 Ø 每一位員工或使用本 xxx 信息化服務中心信息的人員都要遵守本方針，都有保護xxx 信息化服務中心信息資產、系統和基礎設施安全的職責。 Ø 每一位員工都應采取適當的措施（包括設置密碼），

6、保護其所負責的所有形式的機密信息在管理、使用、存儲、處理和傳輸中的安全。 Ø 員工外出工作需要攜帶設備時，必須獲得相關領導者的批準，并應采取相應的保護措施，防止丟失，防止損毀，確保信息安全。如：設備必須設置密碼、不留在公共場所無人看管、不暴露于強電磁場等。 Ø 任何員工都有義務向其直接領導或信息安全管理委員會報告可能會危及密級信息安全的任何活動、行為和提出改進建議。 (3) 使用者職責 這里所說的使用者是指訪問本 xxx 信息化服務中心密級信息的人員。 Ø 使用者必須獲得授權、了解該信息的安全要求，并采取相應的安全保護措施。 Ø 如果已授權的使用者不了解

7、其所要訪問的信息的安全要求，那么他必須對該信息提供最高極限的保護。 Ø 使用者應小心保護其訪問信息的密碼、物理鑰匙和id卡，一旦發生密碼泄露或鑰匙、id 卡丟失，應立即向其直接領導報告并承擔相應責任。 6 信息安全管理體系實施框架 xxx 信息化服務中心要根據所要實現的信息安全目標選取適當的風險評估方法，并制定風險評估程序以持續適用于 xxx 信息化服務中心的信息安全管理體系。 信息安全風險在被識別后，應進行分析和評價，根據其結果，選取合適的控制措施，以滿足風險評估和風險處理過程中所識別的需求。控制措施的選擇還應考慮可接受風險的準則以及法律法規和合同要求。 本 xxx 信息化服務中心

8、風險接受準則是：如果降低風險所付出的成本大于風險所造成的損失，則選擇接受風險。 可接受的風險級別為：按照 xxx 信息化服務中心所采取的風險評估方法，風險共分 4級，可接受風險級別為低風險和一般風險，或者管理者批準接受的風險；較高風險和高風險不能接受。 7 重要原則、標準和符合性要求 Ø 法律法規和合同要求的符合性 xxx 信息化服務中心在建立和管理信息安全管理體系時，必須符合相關法律法規和合同的要求。 Ø 安全教育、培訓和意識要求 所有分配有信息職責的人員必須具備執行所要求任務的能力，因此 xxx 信息化服務中心要確定這些人員所必要的能力，提供能力培訓，必要時，可聘用有能力的人員以滿足這些需求。同時要評價所提供的培訓和所采取的措施的有效性，保持教育、培訓、技能、經歷和資格的記錄。另外，xxx 信息化服務中心還要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到信息安全管理體系目標做出貢獻。 Ø 業務持續性管理 為防止 xxx 信息化服務中心業務活動中斷，保護關鍵業務過程免受重大失誤或災難的影響，以及確保它們的及時恢復，業務持續性管理計劃必須考慮信息和信息安全的需求，對能引起業務流程中斷的事態進行識別，連同這種中斷發生的概率和影響